如果有機(jī)會(huì)能夠在不限制系統(tǒng)功能或者控制靈活性的情況下增強(qiáng)安全性，就再好不過了。使用VMware的VSpere 4.0中特定iSCSI啟動(dòng)程序驗(yàn)證改動(dòng)可以實(shí)現(xiàn)該條件。

***個(gè)主要修改是VMware ESX或者ESXi主機(jī)當(dāng)前可以同時(shí)使用不同iSCSI主機(jī)，即使這些iSCSI主機(jī)屬于不同的管理組或者是擁有不同的驗(yàn)證能力。這二個(gè)主要修改是VMware ESX 4.0增強(qiáng)了VI 3中的iSCSI驗(yàn)證程序，主要是通過另外的四個(gè)不同安全級(jí)別、手動(dòng)挑戰(zhàn)-握手驗(yàn)證協(xié)議（CHAP：Challenge-Handshake Authentication Protocol）安全以及為多目標(biāo)獨(dú)立配置驗(yàn)證的能力實(shí)現(xiàn)。

匿名和驗(yàn)證訪問

在驗(yàn)證級(jí)別， ESX 3.5對(duì)iSCSI目標(biāo)支持兩種不同類型的訪問方式：匿名訪問和驗(yàn)證訪問。ESX 3.5驗(yàn)證訪問使用挑戰(zhàn)-握手協(xié)議。訪問的實(shí)施有時(shí)候會(huì)受到限制，因?yàn)閮H僅使用一個(gè)本地名字和證書密鑰集合。在有多個(gè)潛在iSCSI目標(biāo)的工作環(huán)境中，這種情況有可能會(huì)有問題。在這些多目標(biāo)有不同驗(yàn)證程序的工作環(huán)境中，只有那些具有相同值的目標(biāo)才可以使用。這也就是說，實(shí)際上ESX 3.5中的CHAP驗(yàn)證要么是對(duì)全部對(duì)象適用，要么是不起作用。

然而隨著ESX 4.0的問世，VMware對(duì)iSCSI驗(yàn)證模式提供了進(jìn)一步的靈活性。可以在iSCSI啟動(dòng)程序的根用戶級(jí)別或者目標(biāo)級(jí)別配置CHAP驗(yàn)證程序。在根用戶級(jí)別配置證書，當(dāng)然如果需要的話，也可以從目標(biāo)級(jí)別繼承。ESX 4.0也新增了手動(dòng)CHAP驗(yàn)證，這在主機(jī)和iSCSI存儲(chǔ)系統(tǒng)之間增加一個(gè)新安全級(jí)別。

例如，假設(shè)一個(gè)公司在企業(yè)內(nèi)部使用很多不同的存儲(chǔ)技術(shù)：這個(gè)項(xiàng)目用這一項(xiàng)技術(shù)，另外一個(gè)項(xiàng)目用那一項(xiàng)技術(shù)等；另外也假設(shè)VMware項(xiàng)目用到其中一項(xiàng)技術(shù)，但是iSCSI目標(biāo)的配置卻各不相同。為使用VMware以及這兩種解決方案，必須對(duì)ESX 3.5的存儲(chǔ)技術(shù)做出修改才可以使用這兩項(xiàng)技術(shù)。

對(duì)VSphere iSCSi啟動(dòng)程序驗(yàn)證進(jìn)行修改，在ESX 4.0中配置手動(dòng)CHAP

為研究如何在ESX 4.0中配置手動(dòng)CHAP，我使用StarWind軟件公司的iSCSI存儲(chǔ)區(qū)域網(wǎng)絡(luò)（SAN：Storage Area Network）作為iSCSI存儲(chǔ)系統(tǒng)。StarWind的iSCSI SAN解決方案是運(yùn)行在Windows操作系統(tǒng)之上的應(yīng)用程序，配置起來非常簡單。我根據(jù)主要工作用途選擇企業(yè)版的解決方案，因?yàn)槠淇梢暂p量級(jí)供給存儲(chǔ)。

首先下載StarWind iSCSI SAN并安裝在Windows系統(tǒng)上。我選擇完全安裝，在安全結(jié)束后啟動(dòng)管理界面開始進(jìn)行存儲(chǔ)系統(tǒng)配置。登錄iSCSI連接之后，通過給連接增加一個(gè)設(shè)備來增加一個(gè)存儲(chǔ)系統(tǒng)。由于我的測試環(huán)境沒有足夠的空間并且我希望使用輕量級(jí)供給iSCSI目標(biāo)，所以我選擇的是“快照和CSP設(shè)備（Snapshot and CDP device）”。同時(shí)我還確保允許多iSCSI連接，因?yàn)槲以谄渌鼫y試ESX主機(jī)中也要用到該設(shè)備。

對(duì)VSphere iSCSi啟動(dòng)程序驗(yàn)證進(jìn)行修改，激活手動(dòng)CHAP驗(yàn)證

修改連接許可權(quán)限，把對(duì)StarWind iSCSI SAN的CHAP驗(yàn)證程序添加進(jìn)來，另外對(duì)ESX主機(jī)新增CHAP驗(yàn)證程序。因?yàn)槎郋SX主機(jī)將會(huì)使用這個(gè)驗(yàn)證程序，我也為其它主機(jī)增加CHAP驗(yàn)證程序。

為訪問主機(jī)級(jí)別已有的iSCSI目標(biāo)，可以修改ESX 4.0主機(jī)上的iSCSI軟件啟動(dòng)程序，在ESX 4.0上配置表項(xiàng)中的存儲(chǔ)系統(tǒng)適配器控制面板中可以進(jìn)行修改。在ESX 3.5中有一個(gè)配置表項(xiàng)，該表能夠只接受iSCSI目標(biāo)的CHAP驗(yàn)證證書。ESX 4.0把CHAP配置工作移到一個(gè)按鈕上，它不僅新增手動(dòng)CHAP驗(yàn)證，并且增添和CHAP可以使用的安全級(jí)別相關(guān)的規(guī)則。CHAP安全設(shè)置如下表所示：

對(duì)VSphere iSCSi啟動(dòng)程序驗(yàn)證進(jìn)行修改，需要切記的是硬件iSCSI啟動(dòng)程序不支持手動(dòng)CHAP。

為了在主機(jī)和StarWind iSCSI SAN之間配置驗(yàn)證程序，我首先進(jìn)入CHAP域中iSCSI目標(biāo)的本地用戶名和密鑰進(jìn)行配置，然后進(jìn)入手動(dòng)CHAP域中主機(jī)的本地用戶名和密鑰進(jìn)行配置。在點(diǎn)擊“OK”之后，系統(tǒng)提示是否重新掃描軟件iSCSI啟動(dòng)程序。這樣在ESX 4.0和iSCSI目標(biāo)之間就成功創(chuàng)建了雙向連接。

除了支持手動(dòng)CHAP，ESX 4.0允許不同目標(biāo)支持多種CHAP驗(yàn)證級(jí)別和不同的CHAP證書。在不太復(fù)雜的工作環(huán)境中，可以在啟動(dòng)程序級(jí)別配置這些設(shè)置，并且每一個(gè)目標(biāo)都可以繼承這些設(shè)置。正如當(dāng)今的經(jīng)濟(jì)領(lǐng)域一樣，當(dāng)需要把簡單問題逐漸復(fù)雜化時(shí)，從目前已有的系統(tǒng)上入手開始工作。如果能夠不中斷這些資源正在提供的服務(wù)而配置系統(tǒng)的話，最終將會(huì)更加靈活，同時(shí)也可以節(jié)省成本，這正是我在本文中提到的對(duì)Spere 4做出修改后所能提供的優(yōu)點(diǎn)。

【編輯推薦】

1. 在物理服務(wù)器上安裝VMware ESXi
2. 如何解決VMware ESX中出現(xiàn)的常見問題？
3. 提升VMware ESX Server性能的十大技巧
4. Vmware ESX 3.5應(yīng)用部署指南
5. NF295D2預(yù)裝VMware ESX 3i軟件 浪潮加速虛擬化普及