MCPLive > 杂志文章 > 高安全性高性能高可用性的企业网络存储

高安全性高性能高可用性的企业网络存储

2009-04-07微型计算机评测室《微型计算机》2009年3月上

在如今严酷的外部经济环境之下,许多企业正面临着提高内部运行效率、降低运营成本的迫切需求。就拿企业内部的存储系统来说,虽然大家已经明白专业的集中网络存储必不可少,但如何以较低的代价获得高可靠性、高性能、高可用性的网络存储却是一大难题。近,一位读者朋友就给我们寄来了一封这方面的求助信件,颇具代表性。接下来我们就以这封来信为引子,一起来看看中小型企业网络存储方案究竟该如何组建?

一位读者的来信

亲爱的编辑老师:

近惊喜地看到贵刊新增了PC OFFICE栏目,正好本人所在公司近需要确定一项存储扩容方案,想请教一下编辑老师的意见。我们公司是一家中小型企业,之所以近考虑选择网络存储方案,主要是因为企业经过多年来的发展,公司和员工都积累了大量的历史资料,而2002年配备的大量办公用机的硬盘容量只有大约80GB,无论怎么优化容量都已经捉襟见肘,所以对扩大存储规模有了很迫切的需求。

但是,近经济大环境比较严峻,而本公司的员工大约有200人,拥有四个外地办事处。如果按照传统的模式升级办公设备,即使只给每人的机器增加一个硬盘,综合投入也在50000元以上,对于公司来说这样的成本实在是比较高。另外,本公司除了关键资料有纸质备份以外,很多资料多数保存在各台办公电脑上,一旦出现故障,往往很难恢复数据。所以,老板希望有一个成本不超过2万元,同时安全性高、使用成本比较低的方案。我是负责确定采购方案的负责人,之前曾经从贵刊看到过不少关于网络NA S设备的介绍,感觉它的成本可能相对会比较低,所以有这方面的考虑。但毕竟没有实际使用过,接触得也相对较少,所以希望编辑老师能指点一二,同时教教我们该如何充分利用NAS的功能。

北京 忠实读者

面对我们新栏目开设以来的新年第一个具体要求,《微型计算机·PCOFFICE》自然要全力满足这样一个“既要马儿跑,又要马儿少吃草”的美好愿望。经过慎密的思考和测试,MC评测工程师向有类似需求的用户推荐以下企业级NAS存储解决方案。

多重功能保安全

1.RAID保护系统内部数据

对于企业用户来说,首先需要解决的就是安全问题。方案中所选择的产品必须要有足够的数据安全保护功能。我们所选择的QNAP TS-509 Pro具有5个盘位,高支持7.5TB总存储容量(1.5TB单个硬盘×5)。它内建硬件RAID系统,支持JBOD、RAID 0/1/5/6。RAID 5系统可以用四块同容量的硬盘组建,并以总容量中的四分之一容量为代价,用来存储冗余数据,因此即使有一块硬盘损坏也能恢复数据。而RAID 6系统则在RAID 5的基础上,多增加一块硬盘,并提供五分之二容量的空间存储冗余数据,因此即使有两块硬盘同时损坏,也能保证数据完好无损。以QNAP TS-509 Pro为例,我们使用5块1TB硬盘组建RAID 6系统时,系统的实际可用容量仅有3TB,另外2TB容量用来存储冗余数据。虽然表面上看,浪费了2块硬盘的空间,但数据的安全等级比普通电脑高得多。

各种RAID模式的说明,组建RAID 6系统耗费的时间相当长,根据硬盘容量的大小,从数小时到数十小时不等,我们将在近期进行详细介绍。

可能有人要问,为什么不选择PC或服务器来承担存储任务。其实初我们也想过这一方案。但选择服务器的价格也不便宜,而PC通常高只支持到RAID 5系统,而且无论服务器还是PC,其整体功耗和成本都不低,长期使用下来的使用成本问题值得商榷。

2.异地备份保障系统整体安全

当然,除了保证NAS设备内部的数据安全之外,NAS设备整体的损坏或崩溃也不可不防。
QNAP TS-509 Pro支持异地备份功能,可以防止这种风险。这也是我们为什么选择它的原因之一。

 选择NAS服务器

 QNAP TS-509 Pro

 NAS价格

 8900元/空箱

 硬盘价格

 600元/1TB 900元/1.5TB

例如,用户可以同时使用两台TS-509 Pro,一台做主设备,一台做冗余设备(冗余设备与主设备有网络相连即可,对存放地点没有要求)。在主设备的Web管理界面中选择“系统工具”、“异地备份”、“新增”,输入冗余设备的IP地址、网络磁盘、用户名、密码和备份源,就可以在冗余设备上备份数据。此外还可以选择定时的增量备份,这样主设备就能自动把新的数据备份到冗余设备上。就算主设备崩溃,管理员也可以立即将冗余设备投入使用,减小对公司运作的影响(图1)。


图1:异地备份可以防止单个网络存储设备崩溃导致数据尽失

无论从数据安全性还是维护的便捷性来说,NAS平台确实要比服务器方便一些,所以对于求助的读者所在的中小型企业来说,NAS方案更加适合。

不间断工作更可靠

当然,除了安全性以外,作为未来即将成为企业运作中心的成熟网络存储方案,我们还需要考虑以下一些其它的要素,保证它能在各种环境下保持正常运转。这也是我们为什么选择NAS系统的重要原因。

1.热插拔功能方便系统维护

QNAP TS-509 Pro支持SATA硬盘的热插拔功能。我们在它运行时直接拔下了一块硬盘,系统服务仍然能正常运作,然后再插上一块新硬盘,TS-509 Pro便立即开始重建RAID系统,只是重建
RAID系统耗时较长。虽然重建的过程对系统性能有很大的影响,但是提供基本的网络服务是没有问题的,仍然可以维持企业存储系统的正常运作。

2.网络容错功能保证网络不断线

QNAP TS-509 Pro具有双千兆网络接口,在Web管理界面中的“网络设定”、“TCP/IP设定”中可以看到,它具有网络容错、负载平衡和多址设定三种网络模式。在网络容错模式下,将1、2号网络接口同时接入网络,平时2号网络接口并不会工作,但当1号网络接口出现故障时,2号网络接口会立即接管1号网络接口的所有属性和任务,保证网络服务不会被中断(图2)。


图2:双千兆网络接口提供了三种网络模式,确保网络连通顺畅

3.UPS保护系统不断电

要保证网络存储系统不间断工作,还必须考虑电力供应的影响,但面对停电这种“天灾”
QNAP TS-509 Pro也是有办法的。它不但支持USB接口的UPS,还支持网络接口的UPS,选择面更广。它可以在Web管理界面的“系统工具”、“不断电系统”中设置外部电力中断后的持续供电时间,还可以设置断电后进入待机模式,当外部电力恢复时自动回到正常状态(图3)。


图3:UPS不断电系统,保证网络存储系统尽量不受断电影响

QNAP TS-509 Pro

威联通科技 021-54882362 www.qnap.com/cn 8990元/空箱

 QNAP TS-509 Pro产品资料

 处理器

 Celeron 1.6GHz处理器

 内存容量

 1GB

 闪存容量

 128MB

 网络接口

 千兆网络×2

 其它接口

 USB×5、eSATA×1

 尺寸

 261.1mm×188.5mm×261.1mm

 重量

 6.4kg

 测试成绩

 IOMeter测试成绩(单位:IOps)

 大读取IO

 16346

 大写入IO

 10050

 文件服务器

 445

 网站服务器

 562

 工作站

 439

 数据库

 319

 NASPT测试成绩(单位:MB/s)

 HDVideo_1Play

 87.97

 HDVideo_2Play

 71.334

 HDVideo_4Play

 58.841

 HDVideo_1Record

 54.058

 HDVideo_1Play_1Record

 53.853

 ContentCreation

 29.198

 OfficeProductivity

 13.072

 FileCopyToNAS

 48.916

 FileCopyFromNAS

 79.279

 DirectoryCopyToNAS

 20.688

 DirectoryCopyFromNAS

 26.833

 PhotoAlbum

 21.326

 FTP多线程下载高速度

 55MB/s

 待机功耗

 39W

 存取功耗

 43W

 48小时稳定性测试

 通过

高性能保证数据流畅传输不堵塞

解决了可靠性的问题之后,用户还必须考虑到网络存储的性能问题。如果用户公司内部的数据存取量较大,所以网络存储设备的性能一定要好,至少要与服务器相当。

QNAP TS-509 Pro采用Intel Celeron 1.6GHz处理器、1GB DDR2内存和128MB闪存,这在中端NAS设备中属于一流配置。由于NAS的任务比较单一,不像PC那样非常需要高频处理器处理多样化的任务,因此NAS对高频处理器的需求并不是特别明显,用了也不能获得非常明显的性能提升,反而会增大功耗。


IOZone的完整写入测试曲面图,写入速度在50~80MB之间

因为内置了容量高达128MB的闪存,所以这款NAS的操作系统被固化其中,再加上其前面板上设计有显示屏,插入硬盘之后无需另行安装软件,直接操作显示屏就能初始化硬盘并投入运行,非常方便。

IOZone的完整写入测试曲面图,读取速度在70~85MB之间。

凭借较高的硬件配置,相比中低端NAS,QNAP TS-509 Pro的性能优势非常突出。经过MC评测工程师的详细测试,它在IOZone中测得的实际网络写入速度在50~80MB之间,实际网络读取速度在70~85MB之间,结合IOMeter和NASPT的测试,可以说QNAP TS-509 Pro的性能是双盘位
NAS平均性能水平的5倍以上,相比4盘位NAS也有一倍以上的性能优势,其速度与动辄上万元的服务器级磁盘阵列比也相差无几,具有较高的性价比。

iSCSI提高网络存储空间的可用性

我们在考察了NAS系统的可靠性和性能以后,还必须考察另外一个问题:如何拓展员工办公电脑的存储空间?前面已经提到,如果要给公司的200名员工全部升级硬盘,成本很高,而且并不是每一个员工都需要那么大的硬盘空间。如何有效地管理存储空间,避免浪费呢?QNAP TS-509 Pro所支持的一个特别功能是非常不错的选择……


iSCSI磁盘空间使用示意图

原本我们也考虑过采用SAN(存储区域网络)设备,这样不但可以通过集中存储的方式为每台电脑提供独立的磁盘空间,并且光纤传输的性能很高,但成本实在过于惊人,在目前的经济环境下显然不符合这位读者老板的心意。

所以在终选择了QNAP TS-509 Pro以后,我们开始研究它所支持iSCSI功能。该功能也是中高端NAS区别于中低端NAS的一大特征。在使用5块1TB硬盘并采用RAID 6模式的情况下,实际可用容量为3TB,我们可以使用iSCSI功能划分出200多个私人磁盘空间,根据需要设定大小,分别供
200多台员工电脑独立使用,互不干扰,剩下的数百GB的磁盘空间还可以作为公共存储区域。

值得一提的是,在员工电脑上使用iSCSI磁盘空间就和使用本地磁盘一样,分区、格式化、重命名均可。而且由于iSCSI协议通过IP网络来传输SCSI数据块,数据块的潜伏时间短,因此理论上
iSCSI磁盘的性能比普通共享的网络磁盘更高。接下来我们就具体介绍该怎样用QNAP TS-509 Pro组建一个iSCSI网络存储系统。

注意:请勿同时使用两台电脑连接到同一个iSCSI磁盘空间,以免该磁盘空间的数据损毁。

什么是iSCSI?

iSCSI是“Internet小型计算机系统接口”的英文简称。它是一种网络存储标准,其目的是为了用TCP/IP协议通过网络传输磁盘数据,由于它可以在局域网(LAN)、广域网(WAN)和Internet上使用,因此让数据的存储不再受到地域的限制。

iSCSI技术的核心是在TCP/IP网络上传输SCSI协议,让SCSI命令和数据可以在普通以太网络上进行传输。具体操作是:发送端先将SCSI命令和数据包封装到TCP/IP包中再通过网络转发,接收端收到TCP/IP包之后,将其还原为SCSI命令和数据并执行,完成之后将返回的SCSI命令和数据再封装到TCP/IP包中并传送回发送端(这和借壳的道理很相似)。整个过程在用户看来,使用远端的网络存储设备就像访问本地硬盘一样简单,并且性能接近使用光纤通道的SAN。

由于iSCSI集SCSI、以太网和TCP/IP等技术于一身,支持iSCSI技术的服务器和网络存储设备能够直接连接到现有的IP交换机和路由器上,具有低廉、开放、大容量、传输速度高、安全等诸多优点,适合需要在网络上存储和传输大量数据的应用环境,以及许多对IO性能和带宽性能要求不是很高的数据库存储系统、大容量文件存储系统。

根据iSCSI任务的关系,发起iSCSI传输命令的电脑被称为“发起端(Initiator)”,而接收
iSCSI传输命令的网络存储设备被称为“目标端(Target)”。

建立iSCSI目标端

这里还是以本方案所选择的QNAP TS-509 Pro为例,首先我们通过QNAP Finder软件找到
QNAP TS-509 Pro,选中它之后再点击软件左下角的“联机”(图4),或直接在浏览器中输入它的IP地址,打开QNAP TS-509 Pro的Web管理界面。


图4

在其Web管理界面首页中,点击上方的“系统管理”(图5),用户名和密码输入“admin”进入系统管理界面。


图5

接着选择“装置设定”、“iSCSI装置”,点击“建立新的iSCSI装置”(图6)。给iSCSI磁盘空间命名以便管理,如“iSCSI1”,系统会自动产生iSCSI装置的IQN(相当于唯一的识别码)。


图6

在“立即配置磁盘空间”左侧的方框中打钩,选择硬盘群组,并指定该iSCSI磁盘空间的容量(如50GB),然后点击“确定”即可(图7)。


图7

现在我们就可以看到“iSCSI装置清单”中出现了刚刚创建的iSCSI磁盘空间,表示成功建立了
iSCSI目标端。

建立iSCSI发起端

1.Windows操作系统篇

目前应用广泛的iSCSI发起端软件是Microsoft iSCSI Software Initiator,新版本为去年底刚刚发布的2.08版,面向Windows XP/2000/2003操作系统,大家可在www.microsoft.com下载。而
Windows Vista和Windows Server 2008已内建了Microsoft iSCSI Software Initiator。现在以Windows Vista为例建立iSCSI发起端。


图8

在开始菜单的搜索栏中输入“iSCSI”,点击搜索到的“iSCSI发起程序”(图8),首次使用
iSCSI发起程序会弹出是否开启iSCSI服务器的对话框,选择“是”;接着会提示是否解除防火墙对
iSCSI服务的阻止,同样选择“是”(图9)。


图9

在开启的iSCSI发起程序中点击“发现”标签,选择“添加门户”,在弹出对话框中输入QNAP TS-509 Pro的IP地址,端口号不变,点击“确定”(图10)。


图10

然后选择“目标”标签,选中刚刚添加的门户并点击“登录”(图11),在弹出对话框中“计算机启动时自动还原此连接”左侧的方框中打钩(图12),这样就可以让计算机开启后自动挂载
iSCSI磁盘空间并投入使用。点击“确定”后就可以发现门户的状态已经变为“已连接”。


图11


图12

接着在桌面“我的电脑上”点击“管理”、“磁盘管理”,系统会自动发现未配置磁盘空间并要求初始化(图13)。注意,这就是我们刚刚在NAS上建立的iSCSI磁盘空间。


图13

在“初始化磁盘”对话框中点击“确定”,然后在新的磁盘上点击右键并选择“新建简单卷”,将其格式化后再打开“我的电脑”就会看见新分区(图14),iSCSI磁盘空间被当作本地磁盘分区使用。


图14

2.Mac操作系统篇

如果你的公司有用Apple电脑的同事,也不用担心iSCSI系统的使用,有一个globalSAN initiator软件是专为MacOSX 10.4及更高版本操作系统而设计的iSCSI Initiator(系统需求为MacOSX 10.4或以后版本),下载地址为:www.studionetworksolutions.com


图15

下载并安装完成后,打开“System Preference”选择运行其中的globalSAN iSCSI(图15)。点击该软件左小角的“+”按键(图16),在弹出对话框中输入QNAP TS-509 Pro的IP地址,端口号不变。


图16

回到主界面后选择“Targets”标签,选择刚刚创建的门户,并在右侧“Connected”方框中打钩,在弹出登录窗口中点击“Connect”(图17)。


图17

首次连接iSCSI Target时系统会弹出对话框提醒磁盘尚未格式化,点击“Initialize…”按键即可格式化磁盘。现在就可以把iSCSI磁盘空间当作Mac的外接硬盘使用(图18)。


图18

3.Ubuntu操作系统篇

相信还有一些公司里的技术发烧友喜欢用Linux。实际上,以热门的Ubuntu 8.04 LTS及以上版本为例,它们已经集成了Linux Open-iSCSI Initiator软件,无需另行下载,但在使用前仍需安装。

a.首先打开shell prompt命令行窗口。
# sudo apt-get install open-iscsi
b.寻找iSCSI Target,如IP地址:192.168.1.2,端口号:3260。
# iscsiadm-m discovery-t sendtargets-p
192.168.1.2:3260
c.选择要联机的iSCSI node。
# iscsiadm-m node
d.重新启动open-iscsi并登录要联机的node。
# /etc/init.d/open-iscsi restart
e.输入以下指令建立分区,分区名称为/dev/sdb。
# fdisk/dev/sdb
f.格式化分割区。
# mkfs.ext3/dev/sdb1
g.挂载file system。
# mkdir/mnt/iscsi
# mount/dev/sdb1/mnt/iscsi/

iSCSI进阶设置

以上的设置还仅仅是初级层面的,事实上我们还可以进行更多的定制,满足诸如动态空间分配、用户信息安全保障等需要。

1.动态分配磁盘空间

对于大容量集中存储来说,一次性划分固定容量的磁盘空间给每位用户其实还是会有不小的浪费,因为用户一开始可能根本用不到这么大的磁盘空间,如果只是给每位用户指定磁盘空间的容量上限,让NAS动态分配磁盘空间,将大大减轻企业存储的扩容压力。QNAP TS-509 Pro支持存储资源随需分配(Thin Provisioning)技术,操作起来很简单,在QNAP TS-509 Pro的Web管理界面中建立新的iSCSI装置时,不要在“立即配置磁盘空间”左侧的方框中打钩即可(图11)。

2.CHAP身份验证

iSCSI虽然好用,但是其安全性也不可忽视,为了让指定用户只能连接自己的iSCSI磁盘空间,应使用CHAP身份验证。首先在QNAP TS-509 Pro的Web管理界面中建立新的iSCSI装置时,在认证方法中选择“CHAP”,创建用户名和密码(图19)。


图19

如果已经创建并连接了无需认证的iSCSI装置,现在要把它改为CHAP身份验证,则应先关闭该iSCSI装置的服务(图20),再对其进行编辑,创建CHAP用户名和密码即可。


图20

然后在Windows操作系统的Microsoft iSCSI Software Initiator软件中选择“目标”标签,选择指定给自己的iSCSI磁盘空间并点击“登录”,在弹出的登录对话框中点击左下角的“高级”按键,在弹出的“高级设置”窗口中给“CHAP登录信息”左侧的方框打钩,然后输入用户名和密码并保存就能成功连接(图21),然后在Windows操作系统的磁盘管理中初始化和格式化iSCSI磁盘空间即可。Mac和Ubuntu操作系统的设置方法以此类推。


图21

3.IPsec VPN连接

求助者所在的企业在外地还有四个办事处,公司可能需要他们经常访问内部网络,所以这次的解决方案也包括使用IPsec加密的VPN连接总部和分支机构的网络,同时方便员工在家办公时也能访问公司内部网。而要在异地使用iSCSI磁盘空间,必须在iSCSI发起端通过VPN的IPsec加密认证,才能穿透VPN隧道连接到公司内部的iSCSI磁盘空间。


图22

同样以Windows操作系统的Microsoft iSCSI Software Initiator软件为例,在添加门户的“高级设置”窗口中选择“IPsec”标签,在“启用IPsec设置”左侧的方框中打钩,在预共享密钥中输入
VPN的IPsec密码即可(图22)。

写在后

现在,让我们再回顾一下那位北京读者的需求。这位读者所在的公司急需扩大存储规模,要求网络存储系统具有较高的安全性和可靠性,能防范大多数情况下的数据丢失和设备故障、并且希望采购成本和使用成本较低,如果能支持四个外地办事处的网络存储扩容更好。我们与之对应地提出了采用中高端NAS的解决方案,刚好能满足读者提出的各项需求。

以QNAP TS-509 Pro为代表的中高端NAS在性能上接近价格上万元的磁盘阵列,而设备价格却在万元以内;同时其自身功耗仅为40W左右,长期使用成本低。而在存储容量方面,如果5盘位NAS还不能满足扩容的需求,那么目前市场也有6盘位、8盘位甚至16盘位的NAS可供选择,与磁盘阵列不逞多让。

更重要的是,目前中高端NAS已经具有了较高的安全性、可靠性、可用性和多样化的功能,能够满足中小企业在数据安全性、不间断工作等各方面需求,特别是对于iSCSI的支持,解决了企业在高速连接、扩容和管理上的难题,让企业能够以较低的成本实现外地办事处的存储扩容。

因此我们认为,目前中高端NAS产品非常适合具有分布式网络环境、存储需求量较大,但同时预算有限的中小企业使用,可以让用户轻松打造高可靠性、高性能、高可用性的企业网络存储。

后,不论是勉励还是批评,我们都希望在www.mcplive.cn官方网站、博客和论坛中倾听到您的想法。如果您在SOHO和商用领域有任何疑问、需求,或者投稿,请发送邮件到fengl@cniti.cn

分享到:

用户评论

用户名:

密码: