Webkarium.cz

iSCSI: Komplexní průvodce pro efektivní ukládání dat přes IP síť – výkon, bezpečnost a best practices

9. listopadu 2025 Od Webmaster Vyp
Pre

iSCSI, zkratka pro Internet Small Computer Systems Interface, představuje moderní způsob, jak přenášet SCSI příkazy přes IP sítě. Tato technologie umožňuje hostitelským počítačům přistupovat k blokovému ukládání vzdáleně, jako by šlo o interní disk. V praxi to znamená, že můžete vybudovat rychlé a flexibilní sdílené úložiště bez klasických Fibre Channel řešení, často s nižšími náklady a jednodušší správou. V tomto článku se ponoříme do principů iSCSI, vysvětlíme, jak funguje, jaké jsou hlavní komponenty, tipy pro ladění výkonu, bezpečnostní postupy a praktické návody pro nasazení na Linuxu i Windows, včetně scénářů pro virtualizační prostředí.

Co je iSCSI a jak funguje

iSCSI umožňuje převedení SCSI příkazů do blokového úložiště, které je přenášeno po TCP/IP sítích. Z pohledu architektury existují dvě hlavní role:

  • Iniciátor – software nebo hardware na hostiteli (serveru, desktopu), který posílá SCSI příkazy skrze iSCSI protokol na cílové zařízení. V Linuxu se často používá open-iscsi jako iniciátor, na Windows je to nativní Microsoft iSCSI Initiator.
  • Cíl (Target) – storage zařízení nebo software, který přijímá iSCSI příkazy, provádí operace na LUN (Logical Unit Number) a vrací data zpět iniciátoru. Cíle mohou být fyzická úložná pole, software-defined storage nebo virtualizované storage appliance.

V praxi spolu iniciátor a cíl vytvářejí spojení, které bývá organizováno do portal groups (skupin portálů). Každá skupina má své IP adresy na straně cíle a IP adresu iniciátora, která se používá pro navázání spojení. Jednotlivé LUNy představují konkrétní blokové úložiště na cíli, které lze připojit a v systému iniciátoru zviditelnit jako další disk.

Nevyberte si zcela jednoduchou definici, protože iSCSI se vyznačuje několika klíčovými koncepčními prvky:

  • TCP/IP protokolová komunikace – iSCSI běží nad standardní sítí, často na rychlých Ethernetových sítích.
  • Port 3260 – výchozí port, přes který se navazují iSCSI spojení mezi iniciátorem a cílem.
  • CHAP autentizace – volitelná autentizace mezi iniciátorem a cílem pro zvýšení bezpečnosti.
  • Multiple path I/O (MPIO) – technika pro vyvažování zátěže a redundanci pomocí více cest mezi iniciátorem a cílem.

Hlavní komponenty iSCSI: iniciátor, cíl, LUN a další pojmy

Pro lepší pochopení je užitečné si vyrobit obraz o jednotlivých prvcích iSCSI infrastruktury:

  • Iniciátor (Initiator) – software/zařízení na hostiteli, které posílá SCSI příkazy přes iSCSI na cílové úložiště. Příkladem je open-iscsi na Linuxu a Microsoft iSCSI Initiator na Windows.
  • Cíl (Target) – zařízení nebo software, který přijímá iSCSI požadavky, provádí operace na LUN a vrací data. Cíl může zahrnovat i více LUNů, které lze mapovat do systémů iniciátorů.
  • LUN (Logical Unit Number) – virtuální disk na cíli, který se z pohledu iniciátoru chová jako fyzický blokový disk.
  • Portal – IP adresa a port na cíli, který iniciátor používá pro navázání spojení. Portal může být součástí většího clusteru s více portály pro redundanci a vyrovnání zátěže.
  • Portal Group – seskupení portálů, které patří k jednomu cíli. Umožňuje optimalizaci a správu tras pro více sítí či adaptérov.
  • CHAP – Challenge-Handshake Authentication Protocol, mechanismus pro bezpečnou autentizaci mezi iniciátorem a cílem.

V praxi je tedy iSCSI most mezi hostiteli a úložnou infrastrukturou založený na existenci SCSI rozhraní, které se přenáší po IP sítích. Toto rozšíření po síti se hodí pro malé až středně velké firmy, ale i pro větší prostředí, pokud má robustní infrastrukturu a správně nastavené parametry výkonu a bezpečnosti.

Jak iSCSI pracuje nad IP sítí: technické detaily a optimální konfigurace

Proč TCP/IP a port 3260

iSCSI využívá TCP/IP, protože umožňuje spolehlivou a standardní komunikaci po široce rozšířených sítích. Protokol na úrovni SCSI je konvertován na SCSI příkazy a odpovědi, které se posílají jako data TCP/IP paketů. Výchozí port 3260 slouží jako komunikační kanál mezi iniciátorem a cílem. V praxi si často nastavíte více sítových cest a portálů, aby bylo možné vyřešit redundantní cesty a latenci.

Rychlost a efektivita: MTU a Jumbo Frames

Správně nastavené MTU (Maximum Transmission Unit) má velký vliv na výkon iSCSI. V prostředích, kde je to možné, se často používají Jumbo Frames (např. MTU 9 140 nebo 9 518 bajtů v závislosti na síťovém prostředí). Větší MTU snižuje režii na odeslání hlaviček a zrychluje přenos velkých bloků. Avšak kompatibilita mezi initiátorem, cílem a přepínači (switch) musí být zajištěna. Chybná konfigurace MTU může vést k fragmentaci a snížené propustnosti.

Multipath I/O (MPIO) a redundance

MPIO je zásadní pro vysokou dostupnost iSCSI řešení. Umožňuje současné cesty mezi iniciátorem a cílem, které se dynamicky vyvažují a mohou selhání jedné cesty automaticky přesměrovat na jinou. Pro správnou funkci MPIO je potřeba mít více síťových cest (včetně dvou NIC na hostiteli a více portálů na cíli) a konfigurovat vlastnosti na úrovni operačního systému a na úrovni switchů.

Bezpečnost iSCSI: autentizace, izolace sítě a best practices

Bezpečnostní rizika v prostředí iSCSI pramení z přenášených dat po IP síti a možnosti útoků na autentizaci. Zde jsou klíčové prvky pro zabezpečení:

  • CHAP autentizace – volitelné ověřování mezi iniciátorem a cílem, které minimalizuje riziko zlopřístupů. CHAP lze konfigurovat na obou stranách a podporuje různá schémata.
  • VLAN a izolace sítě – oddělení iSCSI provozu od běžného LAN provozu pomocí virtual LAN (VLAN) a segmentace. To snižuje riziko nežádoucího „posunu“ dat a zvyšuje odolnost proti síťovým útokům.
  • IPsec a šifrování na síťové vrstvě – pro vybrané scénáře lze zvážit šifrování toku dat na IP vrstvě. Je však nutné počítat s režijními náklady a možným dopadem na výkon.
  • Bezpečnostní politiky na cíli – omezení přístupů, definice listu práv pro jednotlivé iniciátory a pravidelné audity konfigurací.

V praxi to znamená, že pro citlivá data je vhodné propojit iSCSI s pečlivě navrženou sítí, dvoufaktorové autentizace a pravidelné aktualizace firmware, aby se snížilo riziko zneužití.

iSCSI vs Fibre Channel: kdy zvolit které řešení

Fibre Channel (FC) je tradiční volbou pro vysoce výkonná SAN prostředí. iSCSI na druhou stranu nabízí:

  • Snížené počáteční náklady – využívá stávající Ethernet infrastrukturu a IP sítě, často s nižšími náklady na komponenty a licenční poplatky.
  • Flexibilitu a jednoduchost správy – jednodušší rozšíření, využití běžných znalostí administrátorů sítí a storage administrátorů.
  • Snadnější integraci do virtualizačních prostředí – mnohdy jednodušší propojení napříč hypervizor a cloudovými platformami.

FC však nabízí velmi nízkou latenci a vysokou propustnost snižující overhead na síťové vrstvě, což může být rozhodující v některých enterprise scénářích. Ideální je zhodnotit požadavky na výkon, provozní náklady a existující infrastrukturu a vybrat řešení na základě konkrétních potřeb.

Architektura a plánování: jak navrhnout iSCSI řešení pro vaše prostředí

Topologie a redundance

Dobrá infrastruktura pro iSCSI by měla zahrnovat alespoň dvě cesty mezi iniciátorem a cílem a oddělené sítě pro data a transport. Doporučuje se:

  • Použít minimálně dva síťové switche mezi iniciátory a cíli pro redundanci.
  • Konfigurovat více portálů na cíli a více IP adres na iniciátorech pro lepší flexibilitu.
  • Využít MPIO nebo podobnou technologii pro vyvažování zátěže mezi cestami.
  • Podporovat segmentaci provozu a monitorovat výkon v reálném čase.

Hodnocení výkonu a kapacity

Při návrhu iSCSI řešení se vyplatí provést odhad výkonu: průměrná velikost IO operací, IOPS a propustnost v MB/s. Zvažte délku peer-to-peer komunikace, latenci na cestách a případný dopad na více hostů sdílejících stejná LUNy. Plánujte kapacitu s rezervou pro budoucí potřeby a zohledněte časové špičky.

iSCSI v virtualizaci: VMware, Hyper-V a KVM

Virtualizační prostředí často využívají iSCSI pro sdílené ukládání VMs a datových disků. Níže jsou klíčové poznámky pro populární platformy:

VMware

Ve VMware environment je iSCSI běžně používáno pro tvorbu datových store, LUN a pro lambda-virtualizace. Doporučuje se:

  • Nastavit více portálů a MPIO pro redundantní cesty.
  • Správně nakonfigurovat iSCSI Storages Appliances a LUNy s dostatečnou propustností.
  • Využít VMware iSCSI Initiator a monitorovat latenci a IOPS pro každý datastore.

Hyper-V

Hyper-V podporuje iSCSI stejně jako Windows initiátor. Doporučení zahrnují:

  • Vytvoření oddělené sítě pro iSCSI provoz a vyvažování cest.
  • Testování výkonu a spolehlivosti pomocí Metro IO testů a monitorování latence.

KVM a Linux virtualizace

U KVM a dalších Linuxových řešení je běžné mít open-iscsi na hostiteli, který načte LUNy a připojí je jako blokové zařízení. Následující kroky bývají typické:

  • Instalace open-iscsi balíčků a konfigurace /etc/iscsi/initiatorname.iscsi.
  • Navázání spojení k cíli pomocí iscsiadm a vytvoření session.
  • Mapování LUN na blokové zařízení a následné vytvoření souborového systému a přesunutí do VM datastore.

Praktické kroky: nastavení iSCSI na Linuxu (open-iscsi) a Windows

Nastavení iSCSI na Linuxu (open-iscsi)

Komplexní postup pro Linuxové prostředí:

  1. Instalace balíčků: na Debianu/Ubuntu: sudo apt-get install open-iscsi; na RHEL/CentOS: sudo yum install iscsi-initiator-utils.
  2. Úprava konfiguračních souborů: /etc/iscsi/initiatorname.iscsi pro identifikaci iniciátora a provozní parametry v /etc/iscsi/iscsid.conf.
  3. Vyhledání cíle: iscsiadm –mode discovery –type sendtargets –portal 192.168.1.100
  4. Navázání spojení: iscsiadm –mode node –targetname iqn.2024-04.local.storage:target1 –portal 192.168.1.100:3260 –login
  5. Identifikace a otevření LUN: zkontrolujte, zda se nové zařízení objevilo v /dev/disk/by-path/ a poté vytvořte souborový systém (např. ext4) a připojte do systému.
  6. Konfigurace trvalého spojení: iscsiadm –mode node –targetname … –portal … –login

Tipy pro ladění: zkontrolujte logy (journalctl -u iscsid), ověřte, že portál je dostupný (telnet 3260), a ověřte kompatibilitu MTU se switchovou infrastrukturou. Pokud používáte MPIO, konfigurace na úrovni jádra a moduly multipath musí být v souladu s hardware.

Nastavení iSCSI na Windows

Postup na Windows s použitím nativního iSCSI Initiatoru:

  1. Spusťte iSCSI Initiator z Ovládacích panelů a nastavte identitu iniciátora.
  2. V sekci Discovery zadejte adresu cíle (portal) a provádějte vyhledání.
  3. V sekci Targets zvolte nalezený cíl a klikněte na Connect, zvolte Enable Multipath pro vyvažování cest.
  4. Na konci proveďte inicializaci a rozšíření LUN-cíle do Windows disk management a vytvořte datový svazek.

Řešení problémů a tipy pro troubleshooting

Při nasazení iSCSI se mohou objevit následující situační problémy a postupy:

  • Problém s navázáním spojení – zkontrolujte síťovou konektivitu, portál a firewall. Ujistěte se, že port 3260 je otevřený na obou stranách.
  • Stabilita a latence – sledujte latenci IO operací, zkontrolujte MTU a vyvažování cest. Pokud latency roste, zkoušejte změnu cest, aktualizujte firmware na switchích aNIC.
  • Chyby CHAP autentizace – ověřte správnost hesel a konfigurace na obou stranách, zkontrolujte případnou kompatibilitu mezi verzemi CHAP.
  • MPIO nefunguje správně – ujistěte se, že všechny cesty jsou aktivní a že multipath modul v jádře správně běží. Zkontrolujte pravidla pro load balancing.
  • Problémy se zobrazením LUN – zkontrolujte, zda LUNy nejsou ve stavu offline na cíli a že máte správně nastavené LUN mapping.

Tipy a osvědčené postupy pro správu iSCSI

Pro spolehlivý a škálovatelný provoz iSCSI doporučujeme:

  • Vždy plánujte redundanci na úrovni sítí i storage – více portálů a více cest.
  • Snižujte latenci zbytečným překlenutím vrstev – případy MTU a quality of service (QoS) mohou výrazně ovlivnit výkon.
  • Pravidelně monitorujte IO metriky a provádějte testy výkonu, abyste odhalili problémové uzly předtím, než zasáhnou produkční provoz.
  • Udržujte aktuální firmware a software na všech koncových bodech a v síťové infrastruktuře.

Případové studie a scénáře nasazení iSCSI

Různá prostředí vyžadují odlišný návrh. Zde jsou stručné scénáře pro inspiraci:

  • Malá firma s jedním storage serverem – méně portálů, dvě cesty, CHAP autentizace, VMware pro virtualizaci s jedním datastore založeným na iSCSI. Priorita: nízké náklady, jednoduchá správa, vysoká dostupnost.
  • Středně velká organizace s více servery – více initiátorů, více cílových LUNů, MPIO, VLAN pro iSCSI provoz, pokročilé monitorování a pravidelné zálohy dat.
  • Datové centrum s vysokým výkonem – Fibre Channel alternativy, iSCSI s vysoce výkonnými switchi a NIC, optická konektivita pro dosažení nízké latence a vysoké propustnosti, NVMe drive u cíle pro rychlostní hranice.

Budoucnost iSCSI a alternativy

Ačkoli iSCSI zůstává oblíbeným řešením pro řadu podnikových prostředí, současně se objevují moderní alternativy, které doplňují nebo nahrazují iSCSI v závislosti na konkrétních potřebách. Mezi významné trendy patří:

  • NVMe over Fabrics (NoF) – výrazně nižší latence a vyšší propustnost, zejména při práci s NVMe SSD disky, a to přes různé fabric technologie (RoCE, NVMe/TCP).
  • iSCSI se změnou rolí – iSCSI zůstává flexibilní volbou pro sdílení blokového úložiště přes IP sítě, často v kombinaci s hyperkonvergovanými infrastrukturami a software-defined storage.
  • Software-defined storage – řešení, která kombinují iSCSI s inteligentní správou dat, snapshoty, replikačními funkcemi a úložišti v cloudu.

Shrnutí a kvalitní doporučení pro start

iSCSI představuje robustní a ekonomicky atraktivní řešení pro sdílené blokové ukládání dat přes IP sítě. Správné nasazení vyžaduje důsledné plánování s redundancí, správu MTU, konfiguraci MPIO a bezpečnostní postupy. Pokud zvažujete přechod na iSCSI, zvažte následující kroky:

  • Proveďte analýzu stávající sítě a určete, zda je infrastruktura vhodná pro iSCSI provoz, včetně potřeby VLAN a QoS.
  • Nastavte minimálně dvě cesty a portály pro každý cíl a iniciátor, abyste zajistili redundanci.
  • Implementujte CHAP autentizaci a zvažte další vrstvy zabezpečení pro kritická data.
  • Testujte výkon a latenci pomocí standardních nástrojů a monitorujte systémové metriky.
  • Pravidelně aktualizujte firmware a software na všech komponentech a udržujte záznamy o konfiguracích.

Celkově lze říci, že iSCSI je vysoce flexibilní a efektivní řešení pro širokou škálu případů použití – od malých firem až po velká datová centra. Správně navržené a spravované iSCSI řešení nabízí rychlé a spolehlivé ukládání dat, jednoduchou správu a kompatibilitu s širokým spektrem platforem, což z něj činí jednu z nejrozumnějších voleb pro moderní IT infrastruktury.

KategorieOstatní