iSCSI 기술이 ESXi 호스트를 원격 대상에 연결하는 데 사용하는 IP 네트워크는 전송하는 데이터를 보호하지 않습니다. 따라서 연결의 보안을 보장해야 합니다. iSCSI가 구현하는 프로토콜 중 하나는 CHAP(Challenge Handshake Authentication Protocol)입니다. CHAP 프로토콜은 네트워크의 대상에 액세스하는 ESXi 이니시에이터의 적법성을 확인합니다.

CHAP는 3방향 핸드셰이크 알고리즘을 사용하여 호스트의 ID를 확인하고 호스트와 대상이 연결을 설정할 때 iSCSI 대상의 ID(해당되는 경우)를 확인합니다. 이러한 확인은 이니시에이터와 대상이 공유하는 미리 정의된 비공개 값 또는 CHAP 암호를 기반으로 합니다.

ESXi는 어댑터 수준에서 CHAP 인증을 지원합니다. 이 경우 모든 대상이 iSCSI 이니시에이터에서 동일한 CHAP 이름과 암호를 수신합니다. 소프트웨어와 종속 하드웨어 iSCSI 어댑터 및 iSER 어댑터의 경우, ESXi는 대상별 CHAP 인증도 지원하므로 각 대상마다 서로 다른 자격 증명을 구성하여 보안 수준을 높일 수 있습니다.

CHAP 인증 방법 선택

ESXi에서는 모든 유형의 iSCSI 및 iSER 이니시에이터에 대해 단방향 CHAP를 지원하고, 소프트웨어와 종속 하드웨어 iSCSI 및 iSER에 대해 양방향 CHAP를 지원합니다.

CHAP를 구성하기 전에 CHAP가 iSCSI 스토리지 시스템에서 활성화되어 있는지 여부를 확인합니다. 또한 시스템이 지원하는 CHAP 인증 방법에 대한 정보를 가져옵니다. CHAP가 활성화된 경우 이니시에이터에 대해 CHAP를 구성하여 CHAP 인증 자격 증명이 iSCSI 스토리지의 자격 증명과 일치하도록 해야 합니다.

ESXi에서는 다음 CHAP 인증 방법을 지원합니다.
단방향 CHAP
단방향 CHAP 인증에서는 대상이 이니시에이터를 인증하지만 이니시에이터는 대상을 인증하지 않습니다.
양방향 CHAP
양방향 CHAP 인증에서는 추가 보안 수준을 더합니다. 이 인증 방법을 사용하여 이니시에이터에서 대상을 인증할 수 있습니다. VMware는 소프트웨어와 종속 하드웨어 iSCSI 어댑터 및 iSER 어댑터에 대해 이 방법을 지원합니다.

소프트웨어 및 종속 하드웨어 iSCSI 어댑터와 iSER 어댑터의 경우 각 이니시에이터에 대해 또는 대상 수준에서 단방향 CHAP 및 양방향 CHAP를 설정할 수 있습니다. 독립 하드웨어 iSCSI는 어댑터 수준에서만 CHAP를 지원합니다.

CHAP 매개 변수를 설정할 경우 CHAP에 대한 보안 수준을 지정하십시오.

참고: CHAP 보안 수준을 지정할 경우 스토리지 어레이의 응답 방식은 어레이의 CHAP 구현과 벤더에 따라 달라집니다. 다른 이니시에이터 및 대상 구성의 CHAP 인증 작동에 대한 자세한 내용은 스토리지 설명서를 참조하십시오.
표 1. CHAP 보안 수준
CHAP 보안 수준 설명 지원되는 스토리지 어댑터
없음 호스트에서 CHAP 인증을 사용하지 않습니다. 인증이 활성화된 경우 비활성화하려면 이 옵션을 사용합니다.

독립 하드웨어 iSCSI

소프트웨어 iSCSI

종속 하드웨어 iSCSI

iSER
대상에서 필요로 하는 경우 단방향 CHAP 사용 호스트에서 비 CHAP 연결을 선호하지만 대상에 필요할 경우 CHAP 연결을 사용할 수 있습니다.

소프트웨어 iSCSI

종속 하드웨어 iSCSI

iSER
대상에서 금지하지 않는 한, 단방향 CHAP 사용 호스트에서 CHAP를 선호하지만 대상이 CHAP를 지원하지 않을 경우 비 CHAP 연결을 사용할 수 있습니다.

독립 하드웨어 iSCSI

소프트웨어 iSCSI

종속 하드웨어 iSCSI

iSER
단방향 CHAP 사용 호스트가 CHAP 인증을 통과해야 합니다. CHAP 협상에 실패하면 연결되지 않습니다.

독립 하드웨어 iSCSI

소프트웨어 iSCSI

종속 하드웨어 iSCSI

iSER
양방향 CHAP 사용 호스트와 대상이 양방향 CHAP를 지원합니다.

소프트웨어 iSCSI

종속 하드웨어 iSCSI

iSER

iSCSI 또는 iSER 스토리지 어댑터에 대한 CHAP 설정

iSCSI/iSER 어댑터 수준에서 CHAP 이름 및 암호를 설정하면 모든 대상은 어댑터에서 동일한 매개 변수를 수신합니다. 기본적으로 모든 탐색 주소 또는 정적 대상은 어댑터 수준에서 설정하는 CHAP 매개 변수를 상속합니다.

CHAP 이름은 영숫자 511자를 초과할 수 없으며 CHAP 암호는 영숫자 255자를 초과할 수 없습니다. QLogic 어댑터와 같은 일부 어댑터의 경우 CHAP 이름의 하한 값이 255자이며 CHAP 암호의 하한 값이 100자입니다.

사전 요구 사항

  • 소프트웨어나 종속 하드웨어 iSCSI에 대한 CHAP 매개 변수를 설정하기 전에 단방향 CHAP를 구성할지 양방향 CHAP를 구성할지 결정합니다. 독립 하드웨어 iSCSI 어댑터는 양방향 CHAP를 지원하지 않습니다.
  • 스토리지 측에 구성된 CHAP 매개 변수를 확인합니다. 구성하는 매개 변수는 스토리지 측에 구성된 매개 변수와 일치해야 합니다.
  • 필요한 권한: 호스트.구성.스토리지 파티션 구성

프로시저

  1. iSCSI 또는 iSER 스토리지 어댑터로 이동합니다.
    1. vSphere Client에서 ESXi 호스트로 이동합니다.
    2. 구성 탭을 클릭합니다.
    3. 스토리지 아래에서 스토리지 어댑터를 클릭하고 구성할 어댑터(vmhba#)를 선택합니다.
  2. 속성 탭을 클릭하고 인증 패널에서 편집을 클릭합니다.
  3. 인증 방법을 지정합니다.
    • 없음
    • 대상에서 필요로 하는 경우 단방향 CHAP 사용
    • 대상에서 금지하지 않는 한, 단방향 CHAP 사용
    • 단방향 CHAP 사용
    • 양방향 CHAP 사용. 양방향 CHAP를 구성하려면 이 옵션을 선택해야 합니다.
  4. 나가는 CHAP 이름을 지정합니다.

    지정하는 이름이 스토리지 쪽에서 구성한 이름과 일치하는지 확인합니다.

    • CHAP 이름을 iSCSI 어댑터 이름으로 설정하려면 이니시에이터 이름 사용을 선택합니다.
    • CHAP 이름을 iSCSI 이니시에이터 이름이 아닌 다른 이름으로 설정하려면 이니시에이터 이름 사용의 선택을 취소하고 이름 텍스트 상자에 이름을 입력합니다.
  5. 인증의 일부로 사용할 나가는 CHAP 암호를 입력합니다. 스토리지 쪽에서 입력한 것과 동일한 암호를 사용합니다.
  6. If configuring bidirectional CHAP, specify incoming CHAP credentials.
    나가는 CHAP와 들어오는 CHAP에 대해 서로 다른 암호를 사용해야 합니다.
  7. 확인을 클릭합니다.
  8. iSCSI 어댑터를 다시 검색합니다.

결과

CHAP 매개 변수를 변경하는 경우 이러한 매개 변수는 새 iSCSI 세션에 사용됩니다. 기존 세션의 경우 로그아웃했다가 다시 로그인할 때까지 새 설정이 사용되지 않습니다.

다음에 수행할 작업

iSCSI 또는 iSER 스토리지 어댑터에 대해 수행할 수 있는 다른 구성 단계는 다음 항목을 참조하십시오.

대상에 대한 CHAP 설정

소프트웨어 및 종속 하드웨어 iSCSI 어댑터 또는 iSER 스토리지 어댑터를 사용하는 경우 각 검색 주소 또는 정적 대상에 대해 서로 다른 CHAP 자격 증명을 구성할 수 있습니다.

CHAP 이름은 영숫자 511자를 초과할 수 없으며 CHAP 암호는 영숫자 255자를 초과할 수 없습니다.

사전 요구 사항

  • CHAP 매개 변수를 설정하기 전에 단방향 또는 양방향 CHAP를 구성할지 여부를 결정합니다.
  • 스토리지 측에 구성된 CHAP 매개 변수를 확인합니다. 구성하는 매개 변수는 스토리지 측에 구성된 매개 변수와 일치해야 합니다.
  • 필요한 권한: 호스트.구성.스토리지 파티션 구성

프로시저

  1. iSCSI 또는 iSER 스토리지 어댑터로 이동합니다.
    1. vSphere Client에서 ESXi 호스트로 이동합니다.
    2. 구성 탭을 클릭합니다.
    3. 스토리지 아래에서 스토리지 어댑터를 클릭하고 구성할 어댑터(vmhba#)를 선택합니다.
  2. 동적 검색 또는 정적 검색을 클릭합니다.
  3. 사용 가능한 대상 목록에서 구성할 대상을 선택하고 인증을 클릭합니다.
  4. 상위 항목의 설정 상속을 선택 취소하고 인증 방법을 지정합니다.
    • 없음
    • 대상에서 필요로 하는 경우 단방향 CHAP 사용
    • 대상에서 금지하지 않는 한, 단방향 CHAP 사용
    • 단방향 CHAP 사용
    • 양방향 CHAP 사용. 양방향 CHAP를 구성하려면 이 옵션을 선택해야 합니다.
  5. 나가는 CHAP 이름을 지정합니다.

    지정하는 이름이 스토리지 쪽에서 구성한 이름과 일치하는지 확인합니다.

    • CHAP 이름을 iSCSI 어댑터 이름으로 설정하려면 이니시에이터 이름 사용을 선택합니다.
    • CHAP 이름을 iSCSI 이니시에이터 이름이 아닌 다른 이름으로 설정하려면 이니시에이터 이름 사용의 선택을 취소하고 이름 텍스트 상자에 이름을 입력합니다.
  6. 인증의 일부로 사용할 나가는 CHAP 암호를 입력합니다. 스토리지 쪽에서 입력한 것과 동일한 암호를 사용합니다.
  7. If configuring bidirectional CHAP, specify incoming CHAP credentials.
    나가는 CHAP와 들어오는 CHAP에 대해 서로 다른 암호를 사용해야 합니다.
  8. 확인을 클릭합니다.
  9. 스토리지 어댑터를 다시 검색합니다.

결과

CHAP 매개 변수를 변경하는 경우 이러한 매개 변수는 새 iSCSI 세션에 사용됩니다. 기존 세션의 경우 로그아웃했다가 다시 로그인할 때까지 새 설정이 사용되지 않습니다.