ESXi 支持为所有类型的 iSCSI 启动器设置单向 CHAP,以及为软件和从属硬件 iSCSI 设置双向 CHAP。

在配置 CHAP 之前,请检查是否在 iSCSI 存储系统中启用了 CHAP。此外,还请获取有关系统支持的 CHAP 身份验证方法的信息。如果已启用 CHAP,请为启动器配置 CHAP,并确保 CHAP 身份验证凭据与 iSCSI 存储上的身份验证凭据相匹配。

ESXi 支持下列 CHAP 身份验证方法:

单向 CHAP

在单向 CHAP 身份验证中,目标需验证启动器,但启动器无需验证目标。

双向 CHAP

双向 CHAP 身份验证额外增加了一层安全保护。通过此方法,启动器也可以对目标进行身份验证。VMware 仅对软件和从属硬件 iSCSI 适配器支持此方法。

对于软件和从属硬件 iSCSI 适配器,可以为每个适配器或在目标级别设置单向 CHAP 和双向 CHAP。独立硬件 iSCSI 仅支持适配器级别的 CHAP。

设置 CHAP 参数时,请指定 CHAP 的安全级别。

注:

指定 CHAP 安全级别时,存储阵列的响应方式取决于阵列的 CHAP 实施,且因供应商而异。有关不同的启动器和目标配置中的 CHAP 身份验证行为的信息,请参阅阵列文档。

表 1. CHAP 安全级别

CHAP 安全级别

描述

支持

主机不使用 CHAP 身份验证。如果启用了身份验证,则使用此选项会将其禁用。

软件 iSCSI

从属硬件 iSCSI

独立硬件 iSCSI

使用单向 CHAP (如果目标需要)

主机首选非 CHAP 连接,但如果目标要求可以使用 CHAP 连接。

软件 iSCSI

从属硬件 iSCSI

使用单向 CHAP (除非目标禁止)

主机首选 CHAP,但如果目标不支持 CHAP,可以使用非 CHAP 连接。

软件 iSCSI

从属硬件 iSCSI

独立硬件 iSCSI

使用单向 CHAP

主机需要成功的 CHAP 身份验证。如果 CHAP 协商失败,则连接失败。

软件 iSCSI

从属硬件 iSCSI

独立硬件 iSCSI

使用双向 CHAP

主机和目标支持双向 CHAP。

软件 iSCSI

从属硬件 iSCSI