iSCSI 技術用於將 ESXi 主機連線至遠端目標的 IP 網路不會保護其傳輸的資料。因此,必須確保連線的安全性。Challenge Handshake 驗證通訊協定 (CHAP) 是 iSCSI 實作的通訊協定之一。CHAP 通訊協定會驗證存取網路上目標的 ESXi 啟動器的合法性。

主機和目標建立連線時,CHAP 會使用三向信號交換演算法,驗證主機和 iSCSI 目標 (如果有適用的目標) 的身分。驗證將根據啟動器和目標共用的預先定義的私人值或 CHAP 密碼來執行。

ESXi 支援介面卡層級的 CHAP 驗證。在此情況下,所有目標將從 iSCSI 啟動器接收相同的 CHAP 名稱和密碼。對於軟體和相依硬體 iSCSI 介面卡以及 iSER 介面卡,ESXi 還支援依每個目標進行 CHAP 驗證,可讓您為每個目標設定不同的認證以實現更高等級的安全性。

選取 CHAP 驗證方法

ESXi 支援為所有類型的 iSCSI 和 iSER 啟動器設定單向 CHAP,以及為軟體和相依硬體 iSCSI 與 iSER 設定雙向 CHAP。

在設定 CHAP 之前,檢查是否已在 iSCSI 儲存區系統中啟用 CHAP。另外,取得系統所支援之 CHAP 驗證方法的相關資訊。如果已啟用 CHAP,請為啟動器設定 CHAP,並確定 CHAP 驗證認證與 iSCSI 儲存區上的認證相符。

ESXi 支援下列 CHAP 驗證方法:
單向 CHAP
在單向 CHAP 驗證中,目標需驗證啟動器,但啟動器無需驗證目標。
雙向 CHAP
雙向 CHAP 驗證會增加額外的安全性層級。使用此方法時,啟動器也可以驗證目標。對於軟體和相依硬體 iSCSI 介面卡以及 iSER 介面卡,VMware 支援此方法。

對於軟體和相依硬體 iSCSI 介面卡以及 iSER 介面卡,您可以為每個介面卡或在目標層級設定單向 CHAP 和雙向 CHAP。獨立硬體 iSCSI 僅支援介面卡層級的 CHAP。

設定 CHAP 參數時,請指定 CHAP 的安全性層級。

備註: 指定 CHAP 安全性層級時,儲存區陣列的回應方式取決於陣列的 CHAP 實作,且是廠商專屬的。如需不同的啟動器和目標組態中的 CHAP 驗證行為的相關資訊,請參閱陣列說明文件。
表 1. CHAP 安全性層級
CHAP 安全性層級 說明 支援的儲存裝置介面卡
主機不使用 CHAP 驗證。如果已啟用驗證,請使用此選項將其停用。

獨立硬體 iSCSI

軟體 iSCSI

相依硬體 iSCSI

iSER
目標需要時使用單向 CHAP 主機優先選擇非 CHAP 連線,但如果目標要求,可以使用 CHAP 連線。

軟體 iSCSI

相依硬體 iSCSI

iSER
除非目標禁止,否則使用單向 CHAP 主機優先選擇 CHAP,但如果目標不支援 CHAP,可以使用非 CHAP 連線。

獨立硬體 iSCSI

軟體 iSCSI

相依硬體 iSCSI

iSER
使用單向 CHAP 主機需要成功的 CHAP 驗證。如果 CHAP 交涉失敗,則連線失敗。

獨立硬體 iSCSI

軟體 iSCSI

相依硬體 iSCSI

iSER
使用雙向 CHAP 主機和目標支援雙向 CHAP。

軟體 iSCSI

相依硬體 iSCSI

iSER

為 iSCSI 或 iSER 儲存裝置介面卡設定 CHAP

在 iSCSI/iSER 介面卡層級設定 CHAP 名稱和密碼時,所有目標均從介面卡接收相同的參數。依預設,所有探索位址或靜態目標均繼承在介面卡層級設定的 CHAP 參數。

CHAP 名稱不能超過 511 個英數字元,而 CHAP 密碼不能超過 255 個英數字元。部分介面卡 (例如 QLogic 介面卡) 的限制可能更低,CHAP 名稱不能超過 255 個英數字元,而 CHAP 密碼不能超過 100 個英數字元。

必要條件

  • 為軟體或相依硬體 iSCSI 設定 CHAP 參數之前,判定是設定單向還是雙向 CHAP。獨立硬體 iSCSI 介面卡不支援雙向 CHAP。
  • 確認在儲存區端設定的 CHAP 參數。您設定的參數必須與在儲存區端設定的參數相符。
  • 所需權限:主機.組態.儲存區磁碟分割組態

程序

  1. 導覽至 iSCSI 或 iSER 儲存裝置介面卡。
    1. vSphere Client 中,導覽至 ESXi 主機。
    2. 按一下設定索引標籤。
    3. 儲存區底下,按一下儲存區介面卡,然後選取要設定的介面卡 (vmhba#)。
  2. 按一下內容索引標籤,然後在驗證面板中按一下編輯
  3. 指定驗證方法。
    • 目標需要時使用單向 CHAP
    • 除非目標禁止,否則使用單向 CHAP
    • 使用單向 CHAP
    • 使用雙向 CHAP。若要設定雙向 CHAP,必須選取此選項。
  4. 指定傳出 CHAP 名稱。

    確保指定的名稱與在儲存區端設定的名稱相符。

    • 若要將 CHAP 名稱設定為 iSCSI 介面卡名稱,請選取使用啟動器名稱
    • 若要將 CHAP 名稱設定為 iSCSI 啟動器名稱以外的任何其他名稱,請取消選取使用啟動器名稱,並在名稱文字方塊中輸入名稱。
  5. 輸入用作驗證一部分的傳出 CHAP 密碼。使用在儲存區端輸入的相同密碼。
  6. 如果設定雙向 CHAP,請指定傳入 CHAP 認證。
    確保對傳出和傳入 CHAP 使用不同的密碼。
  7. 按一下確定
  8. 重新掃描 iSCSI 介面卡。

結果

如果變更了 CHAP 參數,則它們會用於新的 iSCSI 工作階段。對於現有工作階段,直到登出再重新登入後才能使用新設定。

下一步

如需可針對 iSCSI 或 iSER 儲存裝置介面卡執行的其他設定步驟,請參閱下列主題:

設定目標的 CHAP

如果使用軟體和相依硬體 iSCSI 介面卡或 iSER 儲存裝置介面卡,您可以為每個探索位址或靜態目標設定不同的 CHAP 認證。

CHAP 名稱不能超過 511 個英數字元,而 CHAP 密碼不能超過 255 個英數字元。

必要條件

  • 設定 CHAP 參數之前,請先決定要設定單向 CHAP 還是雙向 CHAP。
  • 確認在儲存區端設定的 CHAP 參數。您設定的參數必須與在儲存區端設定的參數相符。
  • 所需權限:主機.組態.儲存區磁碟分割組態

程序

  1. 導覽至 iSCSI 或 iSER 儲存裝置介面卡。
    1. vSphere Client 中,導覽至 ESXi 主機。
    2. 按一下設定索引標籤。
    3. 儲存區底下,按一下儲存區介面卡,然後選取要設定的介面卡 (vmhba#)。
  2. 按一下動態探索靜態探索
  3. 從可用目標清單中,選取要設定的目標,然後按一下驗證
  4. 取消選取從父系繼承設定,然後指定驗證方法。
    • 目標需要時使用單向 CHAP
    • 除非目標禁止,否則使用單向 CHAP
    • 使用單向 CHAP
    • 使用雙向 CHAP。若要設定雙向 CHAP,必須選取此選項。
  5. 指定傳出 CHAP 名稱。

    確保指定的名稱與在儲存區端設定的名稱相符。

    • 若要將 CHAP 名稱設定為 iSCSI 介面卡名稱,請選取使用啟動器名稱
    • 若要將 CHAP 名稱設定為 iSCSI 啟動器名稱以外的任何其他名稱,請取消選取使用啟動器名稱,並在名稱文字方塊中輸入名稱。
  6. 輸入用作驗證一部分的傳出 CHAP 密碼。使用在儲存區端輸入的相同密碼。
  7. 如果設定雙向 CHAP,請指定傳入 CHAP 認證。
    確保對傳出和傳入 CHAP 使用不同的密碼。
  8. 按一下確定
  9. 重新掃描儲存裝置介面卡。

結果

如果變更了 CHAP 參數,則它們會用於新的 iSCSI 工作階段。對於現有工作階段,直到登出再重新登入後才能使用新設定。