ESXi peut se connecter à un stockage SAN externe à l'aide du protocole iSCSI (Internet SCSI). Outre le protocole iSCSI traditionnel, ESXi prend également en charge iSER (iSCSI Extensions for RDMA).

Le protocole iSER permet à l'hôte d'utiliser la même infrastructure iSCSI, mais remplace le transport TCP/IP par le transport RDMA (Remote Direct Memory Access).

À propos du SAN iSCSI

Le SAN iSCSI utilise des connexions Ethernet entre les hôtes et les sous-systèmes de stockage haute performance.

Du côté hôte, les composants SAN iSCSI comprennent les adaptateurs de bus hôte (HBA) iSCSI ou les cartes d'interface réseau (NIC). Le réseau iSCSI comprend également les commutateurs et les routeurs qui acheminent le trafic de stockage, les câbles, les processeurs de stockage (SPs) et les systèmes de disque de stockage.

Le graphique décrit deux types de connexion iSCSI : l'une avec un initiateur logiciel, l'autre avec un initiateur matériel.

Le SAN iSCSI utilise une architecture client-serveur.

Le client, appelé initiateur iSCSI, agit sur votre hôte ESXi. Il lance des sessions iSCSI en émettant des commandes SCSI et en les transmettant, encapsulées dans le protocole iSCSI, à un serveur iSCSI. Le serveur est connu sous le nom de cible iSCSI. En général, la cible iSCSI représente un système de stockage physique sur le réseau.

Elle peut également être un SAN iSCSI virtuel, par exemple un émulateur cible iSCSI s'exécutant sur une machine virtuelle. La cible iSCSI répond aux commandes de l'initiateur en transmettant les données iSCSI requises.

Chemins multiples iSCSI

Lors du transfert de données entre le serveur hôte et le stockage, le SAN utilise une technique connue sous le nom de gestion multivoie. Avec la gestion multivoie, votre hôte ESXi peut disposer de plusieurs chemins physiques vers un LUN sur un système de stockage.

De manière générale, un chemin unique partant d'un hôte vers un LUN se compose d'un adaptateur iSCSI ou NIC, de ports de commutateur, de câbles de connexion et du port de contrôleur de stockage. Si un des composants du chemin subit une défaillance, l'hôte sélectionne un autre chemin disponible pour l'E/S. Le processus de détection d'un chemin défaillant et de changement vers un autre chemin est connu sous le nom de basculement de chemin.

Pour plus d'informations sur la gestion chemins multiples, consultez Présentation de la gestion multivoie et du basculement dans l'environnement ESXi.

Nœuds et ports du SAN iSCSI

Une entité simple détectable sur le SAN iSCSI, telle qu'un initiateur ou une cible, représente un nœud iSCSI.

Chaque nœud possède un nom de nœud. ESXi utilise plusieurs méthodes pour identifier un nœud.

Adresse IP
Chaque nœud iSCSI peut être associé à une adresse IP de sorte que le matériel d'acheminement et de commutation du réseau puisse établir la connexion entre l'hôte et le stockage. Cette adresse est semblable à l'adresse IP que vous attribuez à votre ordinateur pour bénéficier de l'accès au réseau de votre entreprise ou à Internet.
nom iSCSI
Nom unique international permettant d'identifier le nœud. iSCSI utilise les formats IQN (iSCSI Qualified Name) et EUI (Extended Unique Identifier).
Par défaut, ESXi génère des noms iSCSI uniques pour vos initiateurs iSCSI, par exemple, iqn.1998-01.com.vmware:iscsitestox-68158ef2. Il n'est généralement pas nécessaire de modifier la valeur par défaut, mais si vous la modifiez, veillez à ce que le nouveau nom iSCSI que vous saisissez soit unique mondialement.
Alias iSCSI
Un nom plus explicite pour le port ou le périphérique iSCSI utilisé à la place du nom iSCSI. Les alias iSCSI ne sont pas uniques et sont destinés à être un nom convivial à associer à un port.

Chaque nœud possède un ou plusieurs ports qui le connectent au SAN. Les ports iSCSI sont les points limites d'une session iSCSI.

Conventions de dénomination iSCSI

iSCSI utilise un nom unique spécial pour identifier un nœud iSCSI, cible ou initiateur.

Les noms iSCSI sont formatées de deux manières différentes. Le format le plus courant est le format IQN.

Pour plus d'informations sur les exigences de dénomination iSCSI et les profils de chaîne, reportez-vous aux sections RFC 3721 et RFC 3722 sur le site Web IETF.

Format IQN (iSCSI Qualified Name)
Le format IQN présente le nom sous la forme iqn.yyyy-mm.naming-authority:unique, où :
  • yyyy-mm représente l'année et le mois où l'autorité de dénomination a été établie.
  • naming-authority représente la syntaxe inverse du nom de domaine Internet de l'autorité de dénomination. Par exemple, l'autorité de dénomination iscsi.vmware.com peut avoir le nom iqn.1998-01.com.vmware.iscsi au format IQN. Le nom indique que le nom de domaine vmware.com a été enregistré en janvier 1998 et que iscsi est un sous-domaine géré par vmware.com.
  • unique name représente n'importe quel nom à votre guise, par exemple le nom de votre hôte. L'autorité de dénomination doit s'assurer que tous les éventuels noms attribués après les deux-points sont uniques, comme :
    • iqn.1998-01.com.vmware.iscsi:name1
    • iqn.1998-01.com.vmware.iscsi:name2
    • iqn.1998-01.com.vmware.iscsi:name999
Format EUI (Enterprise Unique Identifier)
Le format EUI se présente sous la forme eui.16_hex_digits.

Par exemple, eui.0123456789ABCDEF.

Les 16 chiffres hexadécimaux sont des représentations de texte d'un nombre 64 bits au format EUI (extended unique identifier) de l'IEEE. Les 24 premiers bits représentent l'identifiant d'une société que l'IEEE enregistre avec une société spécifique. Les 40 bits restants sont attribués par l'entité possédant l'identifiant de cette société et doivent être uniques.

Initiateurs iSCSI

Pour accéder aux cibles iSCSI, votre hôte ESXi utilise des initiateurs iSCSI.

L'initiateur est un logiciel ou un matériel installé sur votre hôte ESXi. L'initiateur iSCSI est issu de la communication entre votre hôte et un système de stockage iSCSI externe et envoie des données au système de stockage.

Dans l'environnement ESXi, les adaptateurs iSCSI configurés sur votre hôte jouent le rôle d'initiateurs. ESXi prend en charge plusieurs types d'adaptateurs iSCSI.

Pour plus d'informations sur la configuration et l'utilisation des adaptateurs iSCSI, reportez-vous à la section Configuration des adaptateurs et du stockage iSCSI et iSER avec ESXi.

Adaptateur de logiciel iSCSI
Un adaptateur de logiciel iSCSI est un code VMware intégré au VMkernel. À l'aide de l'adaptateur iSCSI logiciel, votre hôte peut se connecter au périphérique de stockage iSCSI via des adaptateurs réseau standard. L'adaptateur de logiciel iSCSI gère le traitement iSCSI tout en communiquant avec l'adaptateur réseau. Avec l'adaptateur de logiciel iSCSI, vous pouvez employer la technologie iSCSI sans acheter de matériel spécialisé.
Adaptateur de matériel iSCSI
Un adaptateur de matériel iSCSI est un adaptateur tiers qui décharge le traitement iSCSI et le réseau de votre hôte. Les adaptateurs matériels iSCSI se divisent en plusieurs catégories.
  • Dependent Hardware iSCSI Adapter. Dépend du réseau VMware et des interfaces de configuration et de gestion iSCSI fournies par VMware.

    Ce type d'adaptateur peut être un adaptateur réseau standard disposant de la fonction de déchargement iSCSI pour le même port. La fonction de déchargement iSCSI dépend de la configuration du réseau pour obtenir les paramètres IP, MAC et d'autres paramètres utilisés pour les sessions iSCSI. La carte réseau Broadcom 5709 sous licence iSCSI est un exemple d'adaptateur dépendant.

  • Independent Hardware iSCSI Adapter. Implémente ses propres protocoles réseau et ses propres interfaces de configuration et de gestion iSCSI.

    En général, une carte disposant uniquement de la fonction de déchargement iSCSI ou de la fonction de déchargement iSCSI et NIC standard est un adaptateur iSCSI matériel indépendant. La fonction de déchargement iSCSI dispose d'une fonction de gestion indépendante de la configuration, qui assigne les paramètres IP, MAC et d'autres paramètres pour les sessions iSCSI. L'adaptateur QLogic QLA4052 est un exemple d'adaptateur indépendant.

Les adaptateurs de matériel iSCSI doivent avoir une licence. Sinon, ils pourraient ne pas apparaître dans le client ou vSphere CLI. Contactez votre vendeur pour avoir des renseignements sur la licence.

Utilisation du protocole iSER avec ESXi

Outre le protocole iSCSI traditionnel, ESXi prend en charge le protocole d'extensions iSCSI pour RDMA (iSER). Lorsque le protocole iSER est activé, l'infrastructure iSCSI située sur l'hôte ESXi peut utiliser le transport d'accès direct à la mémoire à distance (RDMA) au lieu du protocole TCP/IP.

Le protocole iSCSI traditionnel transporte des commandes SCSI sur un réseau TCP/IP entre un initiateur iSCSI situé sur un hôte et une cible iSCSI située sur un périphérique de stockage. Le protocole iSCSI encapsule les commandes et assemble les données en paquets pour la couche TCP/IP. Lorsque les données arrivent, le protocole iSCSI désassemble les paquets TCP/IP, afin que les commandes SCSI puissent être différenciées et remises au périphérique de stockage.

Le protocole iSER diffère du protocole iSCSI traditionnel, car il remplace le modèle de transfert de données TCP/IP par le transport d'accès direct à la mémoire à distance (RDMA). Grâce à la technologie de placement direct des données du RDMA, le protocole iSER peut transférer directement des données entre la mémoire tampon de l'hôte ESXi et les périphériques de stockage. Cette méthode permet d'éliminer le traitement et la copie des données engendrés par le protocole TCP/IP et peut également réduire la latence et la charge du CPU sur le périphérique de stockage.

Dans l'environnement iSER, le protocole iSCSI fonctionne exactement comme avant, mais il utilise une infrastructure RDMA sous-jacente au lieu de l'interface basée sur TCP/IP.

Comme le protocole iSER préserve la compatibilité avec l'infrastructure iSCSI, le processus d'activation du protocole iSER sur l'hôte ESXi est semblable au processus pour le protocole iSCSI. Reportez-vous à la section Configurer iSER avec ESXi.

Établissement des connexions iSCSI

Dans un contexte ESXi, le terme cible identifie une unité de stockage unique accessible par l'hôte. Les termes périphérique de stockage et LUN décrivent un volume logique représentant l'espace de stockage sur une cible. En général, les termes périphérique et LUN, dans un contexte ESXi signifient qu'un volume SCSI est présenté à l'hôte depuis une unité de stockage cible et disponible pour un formatage.

Les différents fournisseurs de stockage iSCSI présentent le stockage sur des hôtes de différentes manières. Certains fournisseurs présentent plusieurs LUN sur une seule cible, alors que d'autres présentent plusieurs cibles disposant chacune d'un LUN.

Figure 1. Représentations LUN / Cible
Dans un cas, l'hôte voit une cible et trois LUN. Dans l'autre exemple, l'hôte voit trois cibles, chacune disposant d'un LUN.

Dans ces exemples, trois LUN sont disponibles dans chacune de ces configurations. Dans le premier cas, l'hôte détecte une cible, mais cette cible possède trois LUN utilisables. Chaque LUN représente un volume de stockage individuel. Dans le second cas, l'hôte détecte trois cibles différentes, chacune possédant un LUN.

Les initiateurs iSCSI basés sur l'hôte établissent des connexions sur chaque cible. Les systèmes de stockage avec une cible unique contenant plusieurs LUN présentent un trafic vers tous les LUN sur une seule connexion. Sur un système possédant trois cibles avec un LUN chacune, l'hôte utilise des connexions distinctes vers les trois LUN.

Ces informations sont utiles lorsque vous essayez d'agréger le trafic de stockage sur plusieurs connexions à partir de l'hôte doté de plusieurs adaptateurs iSCSI. Vous pouvez définir le trafic d'une cible vers un adaptateur particulier et utiliser un adaptateur différent pour le trafic vers une autre cible.

Types de systèmes de stockage iSCSI

Votre hôte prend en charge les types de stockage ESXi suivants : actif-actif, actif-passif et conforme à ALUA.

Système de stockage actif-actif
Prend en charge l'accès simultané aux LUN par tous les ports de stockage qui sont disponibles sans dégradation importante des performances. Tous les chemins sont toujours actifs, sauf si un chemin est défaillant.
Système de stockage actif-passif
Un système dans lequel un processeur de stockage fournit l'accès à un LUN donné. Les autres processeurs sont utilisés en tant que sauvegarde pour le LUN et peuvent fournir l'accès à d'autres E/S de LUN. L'E/S peut uniquement être envoyée avec succès vers un port actif pour un LUN spécifique. Si l'accès via le port de stockage actif échoue, un des processeurs de stockage passifs peut être activé par les serveurs qui y accèdent.
Système de stockage asymétrique
Prend en charge Asymmetric Logical Unit Access (ALUA). Les systèmes de stockage conforme à ALUA offrent des niveaux différents d'accès par port. Avec ALUA, les hôtes peuvent déterminer les états des ports cibles et classer les chemins par priorité. L'hôte utilise certains des chemins actifs comme étant principaux et d'autres comme secondaires.
Système de stockage de ports virtuels
Prend en charge l'accès à tous les LUN disponibles via un port virtuel unique. Les systèmes de stockage de ports virtuels sont des périphériques de stockage actifs-actifs qui cachent leurs nombreuses connexions via un seul port. La gestion multivoie ESXi ne permet pas d'établir de multiples connexions depuis un port spécifique vers le stockage par défaut. Certains fournisseurs de stockage fournissent des gestionnaires de sessions pour établir et gérer de multiples connexions vers leur stockage. Ces systèmes de stockage traitent les basculements de ports et l'équilibrage des connexions de manière transparente. Cette fonctionnalité est souvent appelée basculement transparent.

Découverte, authentification et contrôle d'accès

Vous pouvez utiliser plusieurs méthodes pour découvrir votre stockage et y limiter l'accès.

Vous devez configurer votre hôte et le système de stockage iSCSI pour qu'il prenne en charge votre politique de contrôle d'accès au stockage.

Découverte
Une session de découverte fait partie du protocole iSCSI. Elle renvoie l'ensemble des cibles auxquelles vous pouvez accéder sur un système de stockage iSCSI. Les deux types de découverte disponibles sur ESXi sont les découvertes dynamique et statique. La découverte dynamique obtient une liste des cibles accessibles à partir du système de stockage iSCSI. La découverte statique peut accéder uniquement à une cible particulière par nom cible et adresse.

Pour plus d'informations, consultez Configurer la détection dynamique ou statique pour iSCSI et iSER sur l'hôte ESXi.

Authentification
Les systèmes de stockage iSCSI authentifient un initiateur par un nom et une paire de clés. L' ESXi prend en charge le protocole d'authentification CHAP. Pour utiliser l'authentification CHAP, l'hôte ESXi et le système de stockage iSCSI doivent avoir la fonction CHAP activée et disposer d'informations d'identification communes.

Pour plus d'informations sur l'activation de CHAP, consultez Configuration des paramètres CHAP pour les adaptateurs de stockage iSCSI ou iSER sur un hôte ESXi

Contrôle d'accès
Le contrôle d'accès est une règle configurée sur le système de stockage iSCSI. La plupart des mises en œuvre prennent en charge un ou plusieurs des trois types de contrôle d'accès :
  • Par nom d'initiateur
  • Par adresse IP
  • Par protocole CHAP

Seuls les initiateurs qui respectent toutes les règles peuvent accéder au volume iSCSI.

L'utilisation exclusive du CHAP pour le contrôle d'accès peut ralentir les réanalyses parce que l'hôte ESXi peut découvrir toutes les cibles, mais échoue ensuite à l'étape d'authentification. Les réanalyses iSCSI sont plus rapides si l'hôte détecte uniquement les cibles qu'il peut authentifier.

Accès des machines virtuelles aux données sur un SAN iSCSI

ESXi stocke les fichiers disque d'une machine virtuelle dans une banque de données VMFS se trouvant sur un périphérique de stockage du SAN. Lorsque les systèmes d'exploitation invités de la machine virtuelle envoient des commandes SCSI à leurs disques virtuels, la couche de virtualisation SCSI traduit ces commandes en opérations de fichier VMFS.

Lorsqu'une machine virtuelle interagit avec son disque virtuel stocké sur un SAN, le processus suivant a lieu :

  1. Lorsque le système d'exploitation invité sur une machine virtuelle lit ou écrit sur le disque SCSI, il envoie des commandes SCSI au disque virtuel.
  2. Les pilotes de périphériques dans le système d'exploitation de la machine virtuelle communiquent avec les contrôleurs SCSI virtuels.
  3. Le contrôleur SCSI virtuel transmet les commandes au VMkernel.
  4. Le VMkernel effectue les tâches suivantes :
    1. Localisation du fichier de disque virtuel approprié dans le volume VMFS.
    2. Mappage des requêtes de blocs sur le disque virtuel sur les blocs sur le périphérique physique approprié.
    3. Envoi de la demande d'E/S modifiée à partir du pilote du périphérique du VMkernel vers l'initiateur iSCSI, matériel ou logiciel.
  5. Si l'initiateur iSCSI est un adaptateur iSCSI matériel, indépendant ou dépendant, l'adaptateur effectue les tâches suivantes :
    1. Encapsulation des demandes d'E/S dans les unités de données de protocole (PDU) iSCSI.
    2. Encapsulation des PDU iSCSI dans les paquets TCP/IP.
    3. Envoi des paquets IP via Ethernet au système de stockage iSCSI.
  6. Si l'initiateur iSCSI est un adaptateur iSCSI logiciel, les actions suivantes ont lieu :
    1. L'initiateur iSCSI encapsule les demandes d'E/S dans les PDU iSCSI.
    2. L'initiateur envoie les PDU iSCSI via des connexions TCP/IP.
    3. La pile TCP/IP VMkernel relaie les paquets TCP/IP vers un adaptateur réseau (NIC) physique.
    4. La carte réseau (NIC) physique envoie les paquets IP via Ethernet au système de stockage iSCSI.
  7. Les commutateurs et les routeurs Ethernet sur le réseau acheminent la demande vers le périphérique de stockage approprié.

Correction des erreurs

Pour protéger l'intégrité des en-têtes et des données iSCSI, le protocole iSCSI propose des méthodes de correction des erreurs, plus connues sous le nom de résumés d'en-tête et de résumés de données.

Ces deux méthodes sont prises en charge par l'hôte ESXi et peuvent être activées. Ces méthodes sont utilisées pour vérifier l'en-tête et les données SCSI transférées entre les initiateurs et les cibles iSCSI dans les deux sens.

Les résumés d'en-tête et de données vérifient l'intégrité des données non cryptographiques en plus des contrôles de santé effectués par d'autres couches du réseau, telles que TCP et Ethernet. Les résumés vérifient le chemin de communication complet, y compris tous les éléments susceptibles de modifier le trafic au niveau du réseau, tels que les routeurs, les commutateurs et les proxys.

L'existence et le type des résumés sont négociés lorsqu'une connexion iSCSI est établie. Lorsque l'initiateur et la cible s'accordent sur une configuration de résumé, celui-ci doit être utilisé pour l'ensemble du trafic entre eux.

L'activation des résumés d'en-tête et de données nécessite un traitement supplémentaire à la fois pour l'initiateur et la cible, et peut affecter le débit et les performances d'utilisation du CPU.

Note : Les systèmes qui utilisent les processeurs Intel Nehalem délestent les calculs de résumé iSCSI, en réduisant ainsi l'incidence sur les performances.

Pour plus d'informations sur l'activation des résumés d'en-tête et de données, reportez-vous à la section Configurer les paramètres avancés pour iSCSI sur un hôte ESXi.