7
Windows server 2016 als iscsi target: ein paar grundsätzliche Fragen
Hallo!
Ich habe gestern auf einem Windows Storage Server 2016 (VM in esxi) die iscsi-target-Rolle installiert. Ziel ist es für den Anfang, allen Clients im Netzwerk eine iscsi-Platte zur Verfügung zu stellen. Das ganze funktioniert auch, nur mache ich mir jetzt über ein paar grundsätzliche Design-Fragen Gedanken.
1.) Soll man pro target mehrere luns machen, oder immer 1 target 1 lun? wenn ich mehrere luns in einem target habe, aber diese luns für verscheindene Initiatoren sind, wie regle ich das dann, dass jeder Initiator nur auf sein LUN verbinden kann? Berechtig wird doch auf das target, und nicht das lun, oder?Vom Gefühl her würde ich sagen, dass ich jedem Client ein eigenes target gebe. Sollte dieser Cient mehrere luns ansprechen, dann befinden sich diese im selben target. Stimmt das so?
2.) Kann es sein, dass mpio mit Windows 8.1 pro nicht funktioniert? Habe ursprünglich probiert, am Initiator (win 8pro) 2 Pfade zum selben lun herzustellen, habe es aber nicht geschafft. dafür hatte ich am target-server 2 extra NICs einegrichtet für den iscsi-Verkehr. Für diese exta-NICs habe ich im esxi-Host eine jeweils eigene Portgruppe (für virtuelle Maschinen) erstellt und jeweils einem vlan zugeordnet. Am Client habe ich im ethernat adapter auch diese 2 vlans eingerichtet (getagged).Ich habe im server rauch eingestellt, dass er diese 2 nics (bzw IP-Adresse) für iscsi verwnenden soll, und in den nics habe ich target und initiator seitig alles bis auf ipv4 deaktiviert, dns lmhost und netbios alle sdeaktiviert.
Es funktionieren beide vlan-Verbindungen zum target, aber eben nicht gleichzeitig, nur entweder oder. deswegen glaube ich mittlerweile, dass mpio nur zwischen 2 servern geht, abe rlass emich gerne eine besseren belehren.
ok, das wärs für den Anfang,
lg flo
ps: theoretisch wäre es ja sogar möglich, jede Verbindung eines Initiators zu seinem target über eine eigenen eigenen ethernet adapter mit vlan an der target-vm laufen zu lassen. Wäre das übertrieben?
Ich habe gestern auf einem Windows Storage Server 2016 (VM in esxi) die iscsi-target-Rolle installiert. Ziel ist es für den Anfang, allen Clients im Netzwerk eine iscsi-Platte zur Verfügung zu stellen. Das ganze funktioniert auch, nur mache ich mir jetzt über ein paar grundsätzliche Design-Fragen Gedanken.
1.) Soll man pro target mehrere luns machen, oder immer 1 target 1 lun? wenn ich mehrere luns in einem target habe, aber diese luns für verscheindene Initiatoren sind, wie regle ich das dann, dass jeder Initiator nur auf sein LUN verbinden kann? Berechtig wird doch auf das target, und nicht das lun, oder?Vom Gefühl her würde ich sagen, dass ich jedem Client ein eigenes target gebe. Sollte dieser Cient mehrere luns ansprechen, dann befinden sich diese im selben target. Stimmt das so?
2.) Kann es sein, dass mpio mit Windows 8.1 pro nicht funktioniert? Habe ursprünglich probiert, am Initiator (win 8pro) 2 Pfade zum selben lun herzustellen, habe es aber nicht geschafft. dafür hatte ich am target-server 2 extra NICs einegrichtet für den iscsi-Verkehr. Für diese exta-NICs habe ich im esxi-Host eine jeweils eigene Portgruppe (für virtuelle Maschinen) erstellt und jeweils einem vlan zugeordnet. Am Client habe ich im ethernat adapter auch diese 2 vlans eingerichtet (getagged).Ich habe im server rauch eingestellt, dass er diese 2 nics (bzw IP-Adresse) für iscsi verwnenden soll, und in den nics habe ich target und initiator seitig alles bis auf ipv4 deaktiviert, dns lmhost und netbios alle sdeaktiviert.
Es funktionieren beide vlan-Verbindungen zum target, aber eben nicht gleichzeitig, nur entweder oder. deswegen glaube ich mittlerweile, dass mpio nur zwischen 2 servern geht, abe rlass emich gerne eine besseren belehren.
ok, das wärs für den Anfang,
lg flo
ps: theoretisch wäre es ja sogar möglich, jede Verbindung eines Initiators zu seinem target über eine eigenen eigenen ethernet adapter mit vlan an der target-vm laufen zu lassen. Wäre das übertrieben?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 383281
Url: https://administrator.de/contentid/383281
Printed on: April 19, 2024 at 20:04 o'clock
7 Comments
Latest comment
Hallo.
zu 1.
Wenn du die LUN z.bmit NTSF dann formatierst, darf da sowieso immer nur einer gleichzeitig zugreifen. Außer man verwendet Clusterfähige Dateisysteme, sonst strikt unterlassen.
zu2 .
Was erhoffst du dir von MPIO? das beide Leitungen gleichzeitig genutzt werden ? Das geht meines wissens garnich, entweder Aktiv/Passiv oder Roundrobin.
edit: was erhoffst du dir grundsätzlich von deinem vorhaben?
zu 1.
Wenn du die LUN z.bmit NTSF dann formatierst, darf da sowieso immer nur einer gleichzeitig zugreifen. Außer man verwendet Clusterfähige Dateisysteme, sonst strikt unterlassen.
zu2 .
Was erhoffst du dir von MPIO? das beide Leitungen gleichzeitig genutzt werden ? Das geht meines wissens garnich, entweder Aktiv/Passiv oder Roundrobin.
edit: was erhoffst du dir grundsätzlich von deinem vorhaben?
Moin Flo,
zu 1) Über die iSCSI-Ziele definierst du, welche iSCSI Initatoren auf das Target zugreifen dürfen. Zudem kannst über die Authenfizierungsdienste (CHAP) aktivieren. Somit können sich nur Clients verbinden, welche in den Zielen konfiguriert sind und den CHAP Benutzernamen/Passwort hinterlegt haben.
zu 2)
Gruß,
Dani
zu 1) Über die iSCSI-Ziele definierst du, welche iSCSI Initatoren auf das Target zugreifen dürfen. Zudem kannst über die Authenfizierungsdienste (CHAP) aktivieren. Somit können sich nur Clients verbinden, welche in den Zielen konfiguriert sind und den CHAP Benutzernamen/Passwort hinterlegt haben.
zu 2)
Kann es sein, dass mpio mit Windows 8.1 pro nicht funktioniert?
Hab ich noch nicht ausprobiert. Laut Technet ist es aber möglich. Hier noch eine Referenz für die Einrichtung auf den Clients.Habe ursprünglich probiert, am Initiator (win 8pro) 2 Pfade zum selben lun herzustellen, habe es aber nicht geschafft. dafür hatte ich am target-server 2 extra NICs einegrichtet für den iscsi-Verkehr. Für diese exta-NICs habe ich im esxi-Host eine jeweils eigene Portgruppe (für virtuelle Maschinen) erstellt und jeweils einem vlan zugeordnet.
Für MPIO brauchst du zweit physikalische oder logisch getrennte Subnetze (z.B. 192.168.24.0/24, 192.168.25.0/24). In denen sowohl das iSCSI Target als auch die Clients Mitglied sein müssen. Die Subnetze dürfen sich nicht sehen (kein Layer3 Routing).Gruß,
Dani
Zitat von @dodo30:
Hallo.
zu 1.
Wenn du die LUN z.bmit NTSF dann formatierst, darf da sowieso immer nur einer gleichzeitig zugreifen. Außer man verwendet Clusterfähige Dateisysteme, sonst strikt unterlassen.
zu2 .
Was erhoffst du dir von MPIO? das beide Leitungen gleichzeitig genutzt werden ? Das geht meines wissens garnich, entweder Aktiv/Passiv oder Roundrobin.
edit: was erhoffst du dir grundsätzlich von deinem vorhaben?
Hallo.
zu 1.
Wenn du die LUN z.bmit NTSF dann formatierst, darf da sowieso immer nur einer gleichzeitig zugreifen. Außer man verwendet Clusterfähige Dateisysteme, sonst strikt unterlassen.
zu2 .
Was erhoffst du dir von MPIO? das beide Leitungen gleichzeitig genutzt werden ? Das geht meines wissens garnich, entweder Aktiv/Passiv oder Roundrobin.
edit: was erhoffst du dir grundsätzlich von deinem vorhaben?
Er kann Multipath als Feature installieren und dann mehrere Links unter ISCSI nutzen ;)
hallo leute,
danke für die inputs.
mir ist iscsi grundsätzlich schon klar.
Mir gehts bei mpio um Lastenausgleich und Redundanz, und weil ich einfach testen und lernen will.
Hier nochmal eine genauere Beschreibung der Situation:
Ich habe habe ja 2 vlans als Pfade eingerichtet (192.168.122.0/24, 192.168.123-0/24). Sowohl Target als auch Inititiator sind tagged in beiden vlans. In den Ethernet-Adapter-Einstellungen ist alles deaktiviert außer ipv4. Im Router habe ich allerdings noch keine firewall-Regel angelegt, die forward in die 2 vlans unterbindet. chap und wechselseitiges chap sind auch eingerichtet.
Der iscsi-target-server ist eine VM auf nem esxi-host. Ich habe unter dem gleichen vSwitch, wo auch die Portgruppe für das "normale" Server-Vlan ist, 2 neue Portgruppen (für virtuelle Maschinen) angelgt, 1 für vlan iscsi-vlan-1 (192.168.122.0/24), 1 für iscsi-vlan-2 (192.168.123.0/24). Da der vSwitch 2 physische NIcs hat, habe ich auf Portgruppenebene jeweils 1 NIC für die neuen Portgruppen (wechselseitig) deaktiviert, damit sichergestellt ist, dass Nic 1 von iscsi-vlan-1 und NIC 2 von iscsi-vlan-2 verwendet wird. Dann 2 zusätzliche NICs der VM zugeteilt (mit jeweils 1 der erstellten Portgruppen). Im Servermanager habe ich eingerichtet, dass er für iscsi nur seine beiden iscsi-vlan-IPS vernweden soll (192.168.122.2, 192.168.123.2)
Der Initiator ist ein Windows-8.1-Client. Dem habe ich, nachdem ich zusätzliche Treiber auf der onboard intel-nic, um vlan support nachzurüsten, installiert habe, die neuen iscsi vlans hinugefügt. Der Client ist somit auch in beiden vlans vertreten. (192.168.122.20, 192.168.123.20). Ansonsten auch alles in den Ethernet Adapter deaktiviert, wie beim Target-Server.
Ein Target mit LUn ist erstellt, bei der Sicherheit ist chap und wechselseitiges chap aktiviert, als erlaubte Initiatoren sind 192.168.122.20 und 192.168.123.20 eingetragen.
Ich kann auch unter beiden Target-IPs eine verbindung aufbauen, aber nicht gleichzeitig. Im Initiator wird mir auch angezeigt: "Maximale "Verbindungen: 1" oder so ähnlich).
Frage 1:
Also was muss ich machen, damit ich das target sowohl unter 192.168.122.2 als auch 192.168.123.2 mit dem initiator verbinden kann??
Frage 2:
Und bezüglich der Target-Berechtigungs-Frage:
Das Problem sehe ich hier: Sagen wir, ich habe ein target mit 2 Luns. Lun 1 ist für Client A und Lun 2 ist für Client B gedacht. Nun berechtige ich bei den Target-Einstellungen Client A und CLient B für das Target. Das hat zur Folge, dass Client A sich auch mit Lun 2 verbinden könnte und umgekeht, was ich aber nicht will. Dieser Überlegung von mir liegt die Annahme zu grunde, dass man nur auf Targets berechtigen kann, nicht aber auf Luns. Wenn das alles so stimmt, muss ich zumindest für jeden Initiator ein eigenes Target machen. Sollte ein Initiator mehrere Luns vom Target-Server zur Verfügung gestellt bekommen, dann können diese ja unter dem selben target laufen. Kann man das so stehen lassen?
lg Flo
ps:
Pixi123 (Level 1)
14.08.2018 um 14:34 Uhr | Bearbeiten
@Spirit of eli
ja, aber das feature kann ich nur auf dem Server (der in meinem Fall das Target ist )nstallieren, oder? der initiator ist aber ein client-windows-Betriebssystem. ich habe das feature auf meinem target serve rübrigens installiert, abe rich denke, dass brauche ich nur, wenn der Server der Initiator ist. Ich weiss es allerdings nicht wirklich.
Wenn der Initiator auch ein Windiws Server Betriebssystme wäre, dann ja, aber in meinem Fall?
danke für die inputs.
mir ist iscsi grundsätzlich schon klar.
Mir gehts bei mpio um Lastenausgleich und Redundanz, und weil ich einfach testen und lernen will.
Hier nochmal eine genauere Beschreibung der Situation:
Ich habe habe ja 2 vlans als Pfade eingerichtet (192.168.122.0/24, 192.168.123-0/24). Sowohl Target als auch Inititiator sind tagged in beiden vlans. In den Ethernet-Adapter-Einstellungen ist alles deaktiviert außer ipv4. Im Router habe ich allerdings noch keine firewall-Regel angelegt, die forward in die 2 vlans unterbindet. chap und wechselseitiges chap sind auch eingerichtet.
Der iscsi-target-server ist eine VM auf nem esxi-host. Ich habe unter dem gleichen vSwitch, wo auch die Portgruppe für das "normale" Server-Vlan ist, 2 neue Portgruppen (für virtuelle Maschinen) angelgt, 1 für vlan iscsi-vlan-1 (192.168.122.0/24), 1 für iscsi-vlan-2 (192.168.123.0/24). Da der vSwitch 2 physische NIcs hat, habe ich auf Portgruppenebene jeweils 1 NIC für die neuen Portgruppen (wechselseitig) deaktiviert, damit sichergestellt ist, dass Nic 1 von iscsi-vlan-1 und NIC 2 von iscsi-vlan-2 verwendet wird. Dann 2 zusätzliche NICs der VM zugeteilt (mit jeweils 1 der erstellten Portgruppen). Im Servermanager habe ich eingerichtet, dass er für iscsi nur seine beiden iscsi-vlan-IPS vernweden soll (192.168.122.2, 192.168.123.2)
Der Initiator ist ein Windows-8.1-Client. Dem habe ich, nachdem ich zusätzliche Treiber auf der onboard intel-nic, um vlan support nachzurüsten, installiert habe, die neuen iscsi vlans hinugefügt. Der Client ist somit auch in beiden vlans vertreten. (192.168.122.20, 192.168.123.20). Ansonsten auch alles in den Ethernet Adapter deaktiviert, wie beim Target-Server.
Ein Target mit LUn ist erstellt, bei der Sicherheit ist chap und wechselseitiges chap aktiviert, als erlaubte Initiatoren sind 192.168.122.20 und 192.168.123.20 eingetragen.
Ich kann auch unter beiden Target-IPs eine verbindung aufbauen, aber nicht gleichzeitig. Im Initiator wird mir auch angezeigt: "Maximale "Verbindungen: 1" oder so ähnlich).
Frage 1:
Also was muss ich machen, damit ich das target sowohl unter 192.168.122.2 als auch 192.168.123.2 mit dem initiator verbinden kann??
Frage 2:
Und bezüglich der Target-Berechtigungs-Frage:
Das Problem sehe ich hier: Sagen wir, ich habe ein target mit 2 Luns. Lun 1 ist für Client A und Lun 2 ist für Client B gedacht. Nun berechtige ich bei den Target-Einstellungen Client A und CLient B für das Target. Das hat zur Folge, dass Client A sich auch mit Lun 2 verbinden könnte und umgekeht, was ich aber nicht will. Dieser Überlegung von mir liegt die Annahme zu grunde, dass man nur auf Targets berechtigen kann, nicht aber auf Luns. Wenn das alles so stimmt, muss ich zumindest für jeden Initiator ein eigenes Target machen. Sollte ein Initiator mehrere Luns vom Target-Server zur Verfügung gestellt bekommen, dann können diese ja unter dem selben target laufen. Kann man das so stehen lassen?
lg Flo
ps:
Pixi123 (Level 1)
14.08.2018 um 14:34 Uhr | Bearbeiten
@Spirit of eli
ja, aber das feature kann ich nur auf dem Server (der in meinem Fall das Target ist )nstallieren, oder? der initiator ist aber ein client-windows-Betriebssystem. ich habe das feature auf meinem target serve rübrigens installiert, abe rich denke, dass brauche ich nur, wenn der Server der Initiator ist. Ich weiss es allerdings nicht wirklich.
Wenn der Initiator auch ein Windiws Server Betriebssystme wäre, dann ja, aber in meinem Fall?
Moin,
Ich bin immer etwas misstrauisch, wenn es um den VLAN Support von Netzwerkkarten geht. Habe ich mir in der Vergangenheit genau einmal ausprobiert. Da es immer wieder Probleme gab, eine zweite dedizierte Netzwerkkarte verbaut und seitdem Ruhe gehabt.
Gruß,
Dani
Sowohl Target als auch Inititiator sind tagged in beiden vlans.
Warum hast du das das iSCSI Target, also die VM, die Netzwerkkarte das VLAN getagged. Normalerweise legst du auf dem VMWare ESXi zwei virtuelle Netzwerke an und dort gibst du jeweils eine VLAN-ID an. Die VM bekommt eine zweite Netzwerkkarte mit den passenden IP-Einstellungen. Somit liegen beide Netzwerke untagged in der VM an.Der Initiator ist ein Windows-8.1-Client. Dem habe ich, nachdem ich zusätzliche Treiber auf der onboard intel-nic, um vlan support nachzurüsten, installiert habe, die neuen iscsi vlans hinugefügt. Der Client ist somit auch in beiden vlans vertreten. (192.168.122.20, 192.168.123.20). Ansonsten auch alles in den Ethernet Adapter deaktiviert, wie beim Target-Server.
Kannst du dann vom Client die beiden IP-Adresses des iSCSI-Target anpingen?Ich bin immer etwas misstrauisch, wenn es um den VLAN Support von Netzwerkkarten geht. Habe ich mir in der Vergangenheit genau einmal ausprobiert. Da es immer wieder Probleme gab, eine zweite dedizierte Netzwerkkarte verbaut und seitdem Ruhe gehabt.
Ein Target mit LUn ist erstellt, bei der Sicherheit ist chap und wechselseitiges chap aktiviert, als erlaubte Initiatoren sind 192.168.122.20 und 192.168.123.20 eingetragen.
Im iSCSI Target muss doch der iSCSI-Initiatorname (Beispiel: iqn.1991-05.com.microsoft:your-pc.local) eingetragen werden. Das steht auch oben so in einem der Links.Wenn das alles so stimmt, muss ich zumindest für jeden Initiator ein eigenes Target machen. Sollte ein Initiator mehrere Luns vom Target-Server zur Verfügung gestellt bekommen, dann können diese ja unter dem selben target laufen. Kann man das so stehen lassen?
Nichts anderes habe ich oben geschrieben. Die Frage ist eher, warum es iSCSI sein muss und kein normales Netzlaufwerk ausreichend ist.ich habe das feature auf meinem target serve rübrigens installiert, abe rich denke, dass brauche ich nur, wenn der Server der Initiator ist. Ich weiss es allerdings nicht wirklich.
So ist es. Die iSCSI-Verbindung wird immer vom Client aufgebaut.Gruß,
Dani
Hi dani,
ich habe das mit dem tagged falsch beschrieben. Ich meinte, der Tag liegt nicht auf der nic der vm sondern auf der portgruppe. Die nic der vm ist demnach natürlich untagged. Das habe ich einfach nur falsch geschrieben, aber genau so gemacht wie du es sagst.
Zu der Sache mit der iqn:
Man kann ja statt der iqn auch eine IP nehmen, aber iqn ist vielleicht die sauberere Lösung, werde ich ändern.
Und ja ich kann die ip's des Servers beide anpingen. Ich kann auch mit beiden ip's eine Verbindung aufbauen, nur eben entweder oder, nicht mit beiden gleichzeitig.
Aber wenn ich es richtig verstehe und auf win8 mpio nicht geht, dann ist das eben so. Es gibt ja noch dieses mcs, das ist ja sowas ähnliches. Muss mich erst einlesen, wie das einzurichten ist.
Iscsi deswegen, weil ich es testen will ind weil ich die luns per schedule uumounten und offline nehmen will und wieder online und mounten.
ich habe das mit dem tagged falsch beschrieben. Ich meinte, der Tag liegt nicht auf der nic der vm sondern auf der portgruppe. Die nic der vm ist demnach natürlich untagged. Das habe ich einfach nur falsch geschrieben, aber genau so gemacht wie du es sagst.
Zu der Sache mit der iqn:
Man kann ja statt der iqn auch eine IP nehmen, aber iqn ist vielleicht die sauberere Lösung, werde ich ändern.
Und ja ich kann die ip's des Servers beide anpingen. Ich kann auch mit beiden ip's eine Verbindung aufbauen, nur eben entweder oder, nicht mit beiden gleichzeitig.
Aber wenn ich es richtig verstehe und auf win8 mpio nicht geht, dann ist das eben so. Es gibt ja noch dieses mcs, das ist ja sowas ähnliches. Muss mich erst einlesen, wie das einzurichten ist.
Iscsi deswegen, weil ich es testen will ind weil ich die luns per schedule uumounten und offline nehmen will und wieder online und mounten.
Guten Abend,
Gruß,
Dani
Aber wenn ich es richtig verstehe und auf win8 mpio nicht geht, dann ist das eben so.
wenn du wirklich Windows 8.1 Professional einsetzt ist es laut dem Link vom Technet möglich. Nach welcher Anleitung hast du es bereits versucht?Gruß,
Dani
