¿Por qué se debe aislar el tráfico iscsi?

8

¿Por qué se debe aislar el tráfico iscsi SAN? Estoy tratando de explicarle a mi chico de la red por qué deberíamos aislar el tráfico.

Jeffery Jarrells
fuente
11
¿Cómo podrías explicárselo si no lo sabes? Usted aboga por un diseño arquitectónico y una implementación particulares sin saber por qué ese diseño arquitectónico y su implementación en particular son importantes.
joeqwerty
1
No, lo sé, pero estos son muchachos de la red de la vieja escuela que solo quieren arrojar más ancho de banda al problema. Solo esperaba obtener más información sobre lo que podría decirles por qué y qué puede pasar si no está aislado.
Jeffery Jarrells

Respuestas:

21

Porque:

  • Sucederán cosas muy malas si alguien obtiene acceso no autorizado a su red de almacenamiento
  • Sucederán cosas muy, muy malas si su tráfico iSCSI no está separado, y a alguien le parece una buena idea hurgar con la topología STP en un interruptor de borde, con el resultado de que toda su red Y su subsistema de almacenamiento se caigan de inmediato
  • Sucederán cosas muy malas si el diseño de la red iSCSI no se realiza con cuidado. Mantenerlo en VLAN aisladas hace que sea mucho más difícil hacer algo tonto, como tratar de transportar el tráfico iSCSI a través de un enrutador o firewall (no debería haber enrutadores o firewalls en una red iSCSI)
  • Sucederán cosas muy, muy malas si su administrador de almacenamiento / virtualización quiere implementar tramas gigantes, y su administrador de red no quiere implementar tramas gigantes. Mantener iSCSI separado en conmutadores dedicados evitará que esto suceda. Incluso compartir conmutadores con tráfico de red regular evitará la falta de coincidencia de MTU, ya que solo aumentaría la MTU en los conmutadores que tienen tráfico iSCSI, no en los conmutadores conectados.

Probablemente podría enumerar más razones, pero creo que es suficiente para tener una idea. No mezcle el tráfico iSCSI con ningún otro tipo de tráfico en los mismos puertos. Si tiene conmutadores decentes, continúe y comparta la estructura del conmutador con otro tráfico, pero mantenga iSCSI en puertos separados en VLAN separadas.

pauska
fuente
1
Sin mencionar el rendimiento, el rendimiento y ... el rendimiento.
symcbean
En resumen, sucederán cosas muy, muy malas: P.
TMH
6

Porque no hacerlo permite que el tráfico regular afecte el tráfico de almacenamiento, lo cual es una mala idea, ya que significa que la descarga de un usuario podría retrasar una lectura o escritura importante.

Chopper3
fuente
Ese es un argumento para QoS. ¿También argumentaría a favor de aislar el tráfico de VoIP?
MSalters
Por lo tanto, no necesita QoS, generalmente tiene un costo de latencia
Chopper3
Eso es por diseño: QoS permite que los datos no sensibles al tiempo esperen datos más urgentes, como el tráfico iSCSI.
MSalters
1

No desea que los efectos secundarios del tráfico perturben su acceso a SAN. Tenemos un pequeño entorno VMWare VSphere donde al principio teníamos tráfico VMotion e iSCSI que pasaba por los mismos conmutadores en la misma red. Diferentes adaptadores de red, pero la misma red. Un error en ESXi 5.0 hizo que los hosts perdieran aleatoriamente el acceso a la SAN iSCSI cada vez que una acción VMotion más larga que utilizaba más de 1 adaptador de red estaba activa. Dependiendo de la solución SAN y de los clientes iSCSI utilizados, puede esperar todo tipo de comportamiento divertido cuando mezcla tráfico. Por supuesto, también puede funcionar sin ningún problema, pero eso generalmente solo dura hasta el día en que sus colegas están de vacaciones y de repente se desata el infierno.

Otro problema cuando tiene sistemas SAN iSCSI en su red predeterminada: alguien podría usar una dirección IP asignada a su nodo SAN. Eso probablemente no sucedería por accidente, pero alguien que intente meterte a ti o a la empresa en problemas podría escanear tu red, descubrir la SAN y usar cualquier dispositivo habilitado para IP para hacer que tu SAN desaparezca mágicamente.

Dirk Trilsbeek
fuente