为主机配置的存储器可能包括一个或多个使用 iSCSI 的存储区域网络 (SAN)。在主机上配置 iSCSI 时,管理员可采取几种措施最小化安全风险。
iSCSI 是一种使用 TCP/IP 通过网络端口(而不是通过直接连接到 SCSI 设备)来访问 SCSI 设备和交换数据记录的方法。在 iSCSI 事务中,原始 SCSI 数据块被封装在 iSCSI 记录中并传输至请求数据的设备或用户。
确保 iSCSI 设备免遭不利入侵的一种方法就是,每当主机尝试访问目标 LUN 上的数据时都要求 iSCSI 设备(或称目标)对主机(或称启动器)进行身份验证。身份验证可证明启动器具有访问目标的权利,
ESXi 和 iSCSI 支持质询握手身份验证协议 (CHAP),该协议会验证访问网络上目标的启动器的合法性。使用 vSphere Client 或 vSphere Web Client 可确定当前是否正在执行身份验证,并配置身份验证方法。有关为 iSCSI 配置 CHAP 的信息,请参见 vSphere 文档。