notizie dal CINECA
ISCSI:
Storage Area Network
su protocollo IP
di Stefano Spitoni
Alla crescente potenza di calcolo richiesta dal
mondo della ricerca accademica e industriale,
e più in generale alle crescenti esigenze con-
seguenza della rapida evoluzione del mondo
dell’Information Technology, corrisponde un
esponenziale aumento delle esigenze di
memorizzazione dei dati, sia in termini di spa-
zio, che di accessibilità.
Questa tecnologia È infatti emersa la necessità di disporre di
infrastrutture di memorizzazione dati efficien-
consente di veicolare ti e flessibili, capaci di adeguarsi rapidamente
le risorse di storage ai cambiamenti tecnologici. In risposta a que-
ste richieste si è imposto uno schema ben rap-
attraverso presentato dalla tecnologia delle Storage Area
il protocollo IP, Network (SAN).
La rapida diffusione delle SAN ha di fatto
superando agevolato la tendenza al consolidamento dello
il perimetro fisico storage ed ha contribuito a unificare e centra-
lizzare le modalità di utilizzo, anche nel caso
delle SAN e rendendo in cui la Storage Area Network non sia con-
disponibile lo storage centrata in un singolo punto. La SAN rappre-
senta dunque il vero ambito in cui avviene il
non solo attraverso consolidamento dello storage.
la rete locale Le caratteristiche più evidenti di una SAN
sono rappresentate dalle alte prestazioni e
ma anche in ambito dalla flessibilità nell’utilizzo dello storage,
ottenibili grazie al protocollo utilizzato Fibre
più vasto, Channel (ovvero il potocollo SCSI seriale su
sulle reti geografiche fibra ottica)
Questi risultati si ottengono però a spese di
attraverso Internet una infrastruttura complessa e quasi sempre
molto costosa, il che limita di fatto il numero
dei server candidati ad appartenere alla SAN.
Una possibile soluzione che valorizza l’infra-
struttura della SAN, ne ottimizza l’investi-
mento e rende disponibile in modo estrema-
mente pervasivo il potenziale storage delle
22
SAN è rappresentata da una tecnologia emer-
gente chiamata iSCSI ovvero il protocollo
SCSI su IP.
Questa tecnologia consente di veicolare le
risorse di storage attraverso il protocollo IP,
superando il perimetro fisico delle SAN, e
rendendo disponibile lo storage non solo attra-
verso la rete locale (LAN) ma anche in ambi-
to più vasto, sulle reti geografiche attraverso
Internet.
L’iSCSI consente di accedere ai dispositivi via
block-I/O cioè direttamente al dispositivo fisi-
co, anziché ad un file system condiviso come
nel caso dell’NFS o SAMBA.
Le specifice dell’iSCSI Protocol sono attual-
mente in fase finale di sviluppo come “draft”
all’IETF (Internet Engineering Task Force).
Questo significa che se da un lato il proto-
collo iSCSI ha già delineato molte delle
caratteristiche funzionali, non ha ancora rag-
giunto la maturità di uno standard completa-
mente definito.
SCSI over IP: concetti fondamentali
Il protocollo iSCSI (Internet SCSI) impemen-
ta la traduzione dei comandi SCSI standard
definiti nello SCSI Architecture Model
(SAM), veicolati attraverso il protocollo
TCP/IP. Lo SCSI è un protocollo client/server.
È composto da un insieme di metodi che con-
sentono di richiedere servizi da dispositivi di
I/O come dischi, nastri, CD e DVD, stampan-
ti e scanner. Ogni singolo dispositivo viene
chiamato logical unit (LU). I client nel proto-
collo SCSI vengono chiamati initiator. Gli
initiator richiedono alla controparte target i

servizi di una LU attraverso l’invocazione dei
comandi SCSI.
Il protocollo iSCSI, si occupa di implementa-
re l’architettura SAM descritta, veicolando
tutte le transazioni SCSI via TCP/IP anziché
su bus parallelo (SCSI classico) o seriale
(Fibre Channel).
Rispetto allo schema architetturale SCSI, il
protocollo iSCSI, deve affrontare alcune pro-
blematiche aggiuntive:
• autenticazione e sicurezza;
• gestione dei nomi e degli indirizzi dei target
e degli initiator (naming/addressing);
• incapsulamento SCSI su IP.
ISCSI operations
L’iSCSI è un protocollo connection oriented,
ovvero quando l’initiator accede alle risorse
del target vengono create una o più connessio-
ni TCP in cui vengono eseguiti il login e lo
scambio dei dati. L’insieme delle connessioni
TCP create tra initiator e target è una sessione
iSCSI. Il processo di login crea una connes-
sione persistente tra client e server nella quale
avviene l’autenticazione, l’eventuale scambio
dei certificati di sessione e la negoziazione dei
parametri di funzionamento.
Da questo momento il colloquio tra initiator e
target avviene esattamente secondo il proto-
notizie dal CINECA
collo SAM usato dallo SCSI. L’initiator quin-
di chiede servizi al target esattamente come se
colloquiasse con una periferica SCSI diretta- Nel caso dell’iSCSI,
mente connessa. si ripropongono
Autenticazione e sicurezza tutti i problemi
relativi
Storicamente, il problema della sicurezza in
ambito storage non è mai stato preso in seria alla sicurezza
considerazione proprio per il fatto che i dispo-
sitivi di storage erano connessi direttamente
delle transazioni
agli host, e quindi non esistevano i problemi in rete,
relativi alla protezione e alla riservatezza dei
dati tra server differenti. pertanto è stato
Nel caso dell’iSCSI, invece, si ripropongono particolarmente
tutti i problemi relativi alla sicurezza delle
transazioni in rete, pertanto è stato particolar- curato l’aspetto
mente curato l’aspetto dell’autenticazione e dell’autenticazione
dell’integrità dei dati.
Per accedere alle risorse rese disponibili da un e dell’integrità
target iSCSI, sono pertanto previste diverse dei dati
modalità:
accesso senza autenticazione;
autenticazione initiator-target: il client si
autentica presso il target, ed opzionalmente
anche viceversa. Questa modalità serve esclu-
sivamente a determinare l’identità del client
per assegnare con certezza le risorse a cui pos-
sono accedere i soli client autorizzati, in modo
da preservare l’integrità e la proprietà dei dati;
certificazione e cifratura: vengono verificati
23
 notizie dal CINECA
l’autenticità dell’origine e l’integrità di ogni
messaggio e di ogni sequenza di dati median-
te l’uso di certificati. L’iSCSI prevede inoltre
un’ampia gamma di metodi per la cifratura
delle comunicazioni (tra cui l’IPSec).
Naming e addressing
Vista la natura distribuita dei target e degli ini-
tiator, si è resa necessaria l’adozione di un
sistema di definizione e risoluzione dei nomi
per identificare correttamente target ed initia-
tor.
Il protocollo iSCSI prevede una specifica det-
tagliata sulla modalità di definizione dei nomi
delle componenti coinvolte. A tale scopo ad
ogni initiator e target viene assegnato un nome
univoco chiamato “iSCSI qualified name”
(iqn) in grado di identificarli univocamente.
Osservazioni sulle prestazioni
Le prestazioni ottenibili con l’iSCSI su rete
GB-ethernet sono teoricamente simili alle pre-
Tra le componenti stazioni ottenibili usando connessioni FC a
della SAN del CINECA 1Gbps. In realtà l’incapsulamento del proto-
l’Enterprise Storage collo SCSI e la gestione stessa dei pacchetti IP
Server e il robot ha un costo computazionale rilevante, soprat-
Storagetek Powderhorn tutto quando la banda impegnata diventa
3600 cospicua.
24
In questa direzione alcuni produttori hanno
reso disponibili host adapter specifici per la
gestione via silicio dell’incapsulamento e
della gestione della comunicazione IP.
Inoltre, per ottenere il massimo delle presta-
zioni è quantomeno consigliabile l’utilizzo di
reti ethernet dedicate allo storage in grado di
non interferire con il normale traffico di rete.
Queste apparenti limitazioni che riguardano le
prestazioni, non diminuiscono l’importanza
della tecnologia iSCSI, che è sicuramente vin-
cente grazie all’estrema fruibilità da parte di
qualunque computer collegabile in rete e, se il
suo ambito di elezione è la LAN, può essere
usato da qualsiasi computer presente nella rete
internet.
In questo senso, le risorse di una SAN, intese
non solo come disco, ma anche come librerie
di nastri robotizzate per l’archiviazione dei
dati, vengono rese disponibili al di fuori della
infrastruttura basata su FC, consentendo di
disporre di un impianto capace di rispondere
alle esigenze di “storage on demand” tipiche
dei recenti progetti di calcolo in cui è eviden-
te che la componente relativa allo storage è
sempre più strategica e determinante.
ISCSI al CINECA
Nel corso del 2002 è stata condotta una breve
sperimentazione dell’iSCSI, nella quale si è
cercato di evidenziare se la tecnologia rispon-
de alle aspettative, e in quali termini.
L’esperimento ha evidenziato l’efficacia della
tecnologia, unita a performance interessanti,
pur limitate, per quanto rigurada l’interopera-
bilità, dalla relativa maturità del protocollo. A
fronte di questi risultati incoraggianti, nel
mese di settembre la SAN CINECA è stata
dotata di un gateway FC-iSCSI che consentirà
di rendere disponibili le risorse della SAN via
TCP/IP. L’infrastruttura verrà quindi comple-
tata secondo lo schema mostrato in figura.
Lo storage della SAN verrà dunque reso
disponibile via IP a tutti i servizi che per vin-
coli di infrastruttura ma anche di costi non
avevano potuto attingere alle risorse della
SAN. Il passo successivo sarà quello di speri-
mentare iSCSI all’esterno delle LAN CINE-
CA, testando le funzionalità e verificando i
limiti dell’utilizzo di tale tecnologia in ambito
geografico.