iSCSI 技術用於將 ESXi 主機連線至遠端目標的 IP 網路不會保護其傳輸的資料。因此,必須確保連線的安全性。Challenge Handshake 驗證通訊協定 (CHAP) 是 iSCSI 實作的通訊協定之一。CHAP 通訊協定會驗證存取網路上目標的 ESXi 啟動器的合法性。
主機和目標建立連線時,CHAP 會使用三向信號交換演算法,驗證主機和 iSCSI 目標 (如果有適用的目標) 的身分。驗證將根據啟動器和目標共用的預先定義的私人值或 CHAP 密碼來執行。
ESXi 支援介面卡層級的 CHAP 驗證。在此情況下,所有目標將從 iSCSI 啟動器接收相同的 CHAP 名稱和密碼。對於軟體和相依硬體 iSCSI 介面卡以及 iSER 介面卡,ESXi 還支援依每個目標進行 CHAP 驗證,可讓您為每個目標設定不同的認證以實現更高等級的安全性。
選取 CHAP 驗證方法
ESXi 支援為所有類型的 iSCSI 和 iSER 啟動器設定單向 CHAP,以及為軟體和相依硬體 iSCSI 與 iSER 設定雙向 CHAP。
在設定 CHAP 之前,檢查是否已在 iSCSI 儲存區系統中啟用 CHAP。另外,取得系統所支援之 CHAP 驗證方法的相關資訊。如果已啟用 CHAP,請為啟動器設定 CHAP,並確定 CHAP 驗證認證與 iSCSI 儲存區上的認證相符。
對於軟體和相依硬體 iSCSI 介面卡以及 iSER 介面卡,您可以為每個介面卡或在目標層級設定單向 CHAP 和雙向 CHAP。獨立硬體 iSCSI 僅支援介面卡層級的 CHAP。
設定 CHAP 參數時,請指定 CHAP 的安全性層級。
CHAP 安全性層級 | 說明 | 支援的儲存裝置介面卡 |
---|---|---|
無 | 主機不使用 CHAP 驗證。如果已啟用驗證,請使用此選項將其停用。 | 獨立硬體 iSCSI 軟體 iSCSI 相依硬體 iSCSI iSER |
目標需要時使用單向 CHAP | 主機優先選擇非 CHAP 連線,但如果目標要求,可以使用 CHAP 連線。 | 軟體 iSCSI 相依硬體 iSCSI iSER |
除非目標禁止,否則使用單向 CHAP | 主機優先選擇 CHAP,但如果目標不支援 CHAP,可以使用非 CHAP 連線。 | 獨立硬體 iSCSI 軟體 iSCSI 相依硬體 iSCSI iSER |
使用單向 CHAP | 主機需要成功的 CHAP 驗證。如果 CHAP 交涉失敗,則連線失敗。 | 獨立硬體 iSCSI 軟體 iSCSI 相依硬體 iSCSI iSER |
使用雙向 CHAP | 主機和目標支援雙向 CHAP。 | 軟體 iSCSI 相依硬體 iSCSI iSER |
為 iSCSI 或 iSER 儲存裝置介面卡設定 CHAP
在 iSCSI/iSER 介面卡層級設定 CHAP 名稱和密碼時,所有目標均從介面卡接收相同的參數。依預設,所有探索位址或靜態目標均繼承在介面卡層級設定的 CHAP 參數。
必要條件
- 為軟體或相依硬體 iSCSI 設定 CHAP 參數之前,判定是設定單向還是雙向 CHAP。獨立硬體 iSCSI 介面卡不支援雙向 CHAP。
- 確認在儲存區端設定的 CHAP 參數。您設定的參數必須與在儲存區端設定的參數相符。
- 所需權限:
程序
結果
如果變更了 CHAP 參數,則它們會用於新的 iSCSI 工作階段。對於現有工作階段,直到登出再重新登入後才能使用新設定。
下一步
設定目標的 CHAP
如果使用軟體和相依硬體 iSCSI 介面卡或 iSER 儲存裝置介面卡,您可以為每個探索位址或靜態目標設定不同的 CHAP 認證。
必要條件
- 設定 CHAP 參數之前,請先決定要設定單向 CHAP 還是雙向 CHAP。
- 確認在儲存區端設定的 CHAP 參數。您設定的參數必須與在儲存區端設定的參數相符。
- 所需權限:
程序
結果
如果變更了 CHAP 參數,則它們會用於新的 iSCSI 工作階段。對於現有工作階段,直到登出再重新登入後才能使用新設定。