iSCSI 技术用于将 ESXi 主机连接到远程目标的 IP 网络不会保护其传输的数据。因此,必须确保连接的安全性。质询握手身份验证协议 (CHAP) 是 iSCSI 实现的协议之一。CHAP 协议会验证访问网络上目标的 ESXi 启动器的合法性。

在主机和目标建立连接时,CHAP 使用三路握手算法验证主机和 iSCSI 目标(如果适用的话)的身份。系统根据启动器和目标共享的预定义的专用值或 CHAP 密钥进行验证。

ESXi 支持适配器级别的 CHAP 身份验证。在这种情况下,所有目标从 iSCSI 启动器接收相同的 CHAP 名称和密钥。对于软件和从属硬件 iSCSI 适配器以及 iSER 适配器,ESXi 还支持每个目标的 CHAP 身份验证,此身份验证使您能够为每个目标配置不同凭据以实现更高级别的安全性。

选择 CHAP 身份验证方法

ESXi 支持为所有类型的 iSCSI 和 iSER 启动器设置单向 CHAP,以及为软件和从属硬件 iSCSI 及 iSER 设置双向 CHAP。

配置 CHAP 之前,请检查是否在 iSCSI 存储系统中激活了 CHAP。此外,还请获取有关系统支持的 CHAP 身份验证方法的信息。如果已激活 CHAP,请为启动器配置 CHAP,确保 CHAP 身份验证凭据与 iSCSI 存储上的凭据相匹配。

ESXi 支持下列 CHAP 身份验证方法:
单向 CHAP
在单向 CHAP 身份验证中,目标需验证启动器,但启动器无需验证目标。
双向 CHAP
双向 CHAP 身份验证额外增加了一层安全保护。通过此方法,启动器也可以对目标进行身份验证。VMware 仅对软件和从属硬件 iSCSI 适配器以及 iSER 适配器支持此方法。

对于软件和从属硬件 iSCSI 适配器以及 iSER 适配器,可以为每个适配器或在目标级别设置单向 CHAP 和双向 CHAP。独立硬件 iSCSI 仅支持适配器级别的 CHAP。

设置 CHAP 参数时,请指定 CHAP 的安全级别。

注: 指定 CHAP 安全级别时,存储阵列的响应方式取决于阵列的 CHAP 实施,且因供应商而异。有关不同的启动器和目标配置中的 CHAP 身份验证行为的信息,请参阅阵列文档。
表 1. CHAP 安全级别
CHAP 安全级别 描述 支持的存储适配器
主机不使用 CHAP 身份验证。如果激活了身份验证,则使用此选项将其停用。

独立硬件 iSCSI

软件 iSCSI

从属硬件 iSCSI

iSER
使用单向 CHAP (如果目标需要) 主机首选非 CHAP 连接,但如果目标要求可以使用 CHAP 连接。

软件 iSCSI

从属硬件 iSCSI

iSER
使用单向 CHAP (除非目标禁止) 主机首选 CHAP,但如果目标不支持 CHAP,可以使用非 CHAP 连接。

独立硬件 iSCSI

软件 iSCSI

从属硬件 iSCSI

iSER
使用单向 CHAP 主机需要成功的 CHAP 身份验证。如果 CHAP 协商失败,则连接失败。

独立硬件 iSCSI

软件 iSCSI

从属硬件 iSCSI

iSER
使用双向 CHAP 主机和目标支持双向 CHAP。

软件 iSCSI

从属硬件 iSCSI

iSER

为 iSCSI 或 iSER 存储适配器设置 CHAP

在 iSCSI/iSER 适配器级别设置 CHAP 名称和密钥时,所有目标都从适配器接收相同的参数。默认情况下,所有发现地址或静态目标都继承在适配器级别设置的 CHAP 参数。

CHAP 名称不得超过 511 个字母数字字符,CHAP 密钥不得超过 255 个字母数字字符。有些适配器(例如 QLogic 适配器)的限值更低,CHAP 名称不得超过 255 个字母数字字符,CHAP 密钥不得超过 100 个字母数字字符。

前提条件

  • 为软件或从属硬件 iSCSI 设置 CHAP 参数前,要确定是配置单向还是双向 CHAP。独立硬件 iSCSI 适配器不支持双向 CHAP。
  • 验证在存储端配置的 CHAP 参数。您配置的参数必须与在存储端配置的相符。
  • 所需特权:主机.配置.存储分区配置

过程

  1. 导航到 iSCSI 或 iSER 存储适配器。
    1. vSphere Client 中,导航到 ESXi 主机。
    2. 单击配置选项卡。
    3. 存储下,单击存储适配器,然后选择要配置的适配器 (vmhba#)。
  2. 单击属性选项卡,然后在身份验证面板中单击编辑
  3. 指定身份验证方法。
    • 使用单向 CHAP (如果目标需要)
    • 使用单向 CHAP (除非目标禁止)
    • 使用单向 CHAP
    • 使用双向 CHAP。要配置双向 CHAP,必须选择该选项。
  4. 指定出站 CHAP 名称。

    确保指定的名称与在存储端配置的名称相匹配。

    • 要将 CHAP 名称设置为 iSCSI 适配器名称,请选中使用启动器名称
    • 要将 CHAP 名称设置为除 iSCSI 启动器名称之外的任何其他名称,请取消选中使用启动器名称,然后在名称文本框中输入名称。
  5. 输入要在身份验证过程中使用的出站 CHAP 密钥。使用在存储端输入的同一密钥。
  6. 如果配置双向 CHAP,请指定入站 CHAP 凭据。
    确保对出站和入站 CHAP 使用不同的密钥。
  7. 单击确定
  8. 重新扫描 iSCSI 适配器。

结果

如果更改了 CHAP 参数,则它们会用于新的 iSCSI 会话。但对于现有会话,注销并重新登录后才能使用新设置。

下一步做什么

有关可为 iSCSI 或 iSER 存储适配器执行的其他配置步骤,请参见以下主题:

设置目标的 CHAP

如果使用软件和从属硬件 iSCSI 适配器或 iSER 存储适配器,可为每个发现地址或静态目标配置不同的 CHAP 凭据。

CHAP 名称不得超过 511 个字母数字字符,CHAP 密钥不得超过 255 个字母数字字符。

前提条件

  • 在设置 CHAP 参数之前,先确定是要配置单向 CHAP 还是双向 CHAP。
  • 验证在存储端配置的 CHAP 参数。您配置的参数必须与在存储端配置的相符。
  • 所需特权:主机.配置.存储分区配置

过程

  1. 导航到 iSCSI 或 iSER 存储适配器。
    1. vSphere Client 中,导航到 ESXi 主机。
    2. 单击配置选项卡。
    3. 存储下,单击存储适配器,然后选择要配置的适配器 (vmhba#)。
  2. 单击动态发现静态发现
  3. 从现有目标列表中,选择要配置的目标,然后单击身份验证
  4. 取消选中从父项继承设置,然后指定身份验证方法。
    • 使用单向 CHAP (如果目标需要)
    • 使用单向 CHAP (除非目标禁止)
    • 使用单向 CHAP
    • 使用双向 CHAP。要配置双向 CHAP,必须选择该选项。
  5. 指定出站 CHAP 名称。

    确保指定的名称与在存储端配置的名称相匹配。

    • 要将 CHAP 名称设置为 iSCSI 适配器名称,请选中使用启动器名称
    • 要将 CHAP 名称设置为除 iSCSI 启动器名称之外的任何其他名称,请取消选中使用启动器名称,然后在名称文本框中输入名称。
  6. 输入要在身份验证过程中使用的出站 CHAP 密钥。使用在存储端输入的同一密钥。
  7. 如果配置双向 CHAP,请指定入站 CHAP 凭据。
    确保对出站和入站 CHAP 使用不同的密钥。
  8. 单击确定
  9. 重新扫描存储适配器。

结果

如果更改了 CHAP 参数,则它们会用于新的 iSCSI 会话。但对于现有会话,直到注销并重新登录之后才能使用新设置。