FAQ

  • iSCSI
    仮想化
    2016.03.09

QNAP Turbo NASにおけるiSCSIアドバンストACLの構成方法

本書類は、QNAP Turbo NASにおけるiSCSIアドバンストACL (アクセス制御リスト) の構成および設定の確認の方法について記載しています。すべてのx86ベースのTurbo NASモデル (TS-x39, TS-x59, TS-509, TS-809) はこの機能をサポートしています。

はじめに

クラスターネットワーク環境では、複数のiSCSIイニシエータがクラスター対応システムあるいはSCSIフェンシング機構により同一のiSCSI LUN (論理ユニット番号) にアクセスすることができます。クラスター対応機構はファイルロックを備え、ファイルシステムの破損を防ぎます。

クラスター環境においてiSCSIサービスを使用しない際に、iSCSIサービスが2つ以上のイニシエータに接続されている場合は、1つのiSCSI LUNに同時に複数のアクセスがないようにする必要があります。QNAP iSCSIアドバンストACL (アクセス制御リスト) は、iSCSI環境をセットアップする安全な方法を提供します。LUNマスキングポリシーを作成し、NAS上のiSCSIターゲットにマップされたLUNへアクセスを試みるiSCSIイニシエータに対する許可を構成することができます。

LUNマスキングは、接続されたiSCSIイニシエータのLUNアクセス権を定義する際に使用されます。イニシエータがLUNマスキングポリシーに割り当てられていない場合、デフォルトポリシーが適用されます。(図1を参照) 接続された各イニシエータに対し以下のLUNアクセス権をセットアップすることができます:

  • 読み取り専用: 接続されたイニシエータは、LUNからデータを読み取ることのみ可能です。
  • 読み取り/書き込み: 接続されたイニシエータは、LUNへの読み取り/書き込み権限があります。
  • アクセス拒否: 接続されたイニシエータはLUNにアクセスできません。
  • 想定:

    このハウツーでは、QNAP Turbo NASにおけるiSCSIアドバンストACLの構成方法について説明しています。テスト環境は表1のとおりに設定されています。ホスト1およびホスト2は、3つのLUNを持つ同一のiSCSIターゲットに接続しています。LUNのファイルシステム形式はNTFSです。デフォルトポリシーは、全てのイニシエータに対しアクセス拒否となっています。2つのイニシエータに対するLUN使用許可は表2に一覧されています。

    注記 : ACL設定の変更中にいくつかのiSCSIイニシエータがiSCSIターゲットに接続した場合、全ての変更は、これらのイニシエータが接続を解除し、再度iSCSIターゲットに接続した後から有効となります。
    FAQ-features01_jp
    図1:アドバンストACLのフローチャート
    FAQ-features11

    QNAP NASにおけるiSCSI構成

    デフォルトポリシー設定

    NASのウェブ管理インターフェイスに管理者としてログインします。続いて、”Disc Management (ディスク管理)” > “iSCSI” > “ADVANCED ACL (アドバンストACL)” を開きます。 をクリックしてデフォルトポリシーを編集します。
    FAQ-features03
    図2:デフォルトポリシー

    “Deny Access (アクセス拒否)” を選択し、すべてのLUNからのアクセスを拒否します。 “Apply (適用)” をクリックします。
    FAQ-features04
    図3:デフォルトポリシー構成

    HOST1向けLUNマスキング構成:

     1.”Add a Policy (ポリシーの追加)” をクリックします。
     2.”Policy Name (ポリシー名)” に “host1-policy (ホスト1ポリシー)” と入力します。
     3.”Initiator IQN (イニシエータIQN)” に “iqn.1991-05.com.microsoft:host1” と入力します。
     4.表2:LUNマスキング設定に従ってLUN使用許可を設定します。
     5.”Apply (適用)” をクリックします。

    上記の手順を繰り返してホスト2のLUN使用許可を構成します。

    FAQ-features05
    図5:HOST1向け新規ポリシー構成

    FAQ-features06
    図6:HOST2向け新規ポリシー構成

    ヒント: イニシエータIQNはどこにありますか?
    ホスト1およびホスト2にて、Microsoft iSCSIイニシエータを開始し、’General (全般)’をクリックします。イニシエータのIQNは下図のように表示されます。

    FAQ-features08

    設定の確認

    構成を確認するため、ホスト1およびホスト2にてこのiSCSIターゲットに接続することができます。
    ホスト1における確認:

     1.iSCSIサービスに接続します。(詳細はWindowsのMicrosoft iSCSIイニシエータを使用してiSCSIターゲットに接続するを参照してください)
     2.Windows OSのスタートメニューにて “Computer (コンピュータ)” を右クリック、”Manage (管理)” を開きます。”Server Manager (サーバマネージャ)” ウィンドウにて、 “Disk Management (ディスク管理)” をクリックします。

    ホスト1にはLUN-1 (10GB) に対するアクセス許可がありません。そのため、2つのディスクのみが一覧されています。ディスク1(20GB)は読み取りのみ、ディスク2(30GB)は書込みが可能です。

    FAQ-features09

    ホスト2における確認:
    ホスト2の確認には、同じ手順を行います。”Server Manager (サーバマネージャ)” には2つのディスクが一覧されます。ディスク1(10GB)は読み取りのみ、ディスク2(20GB)は書込みが可能です。

    FAQ-features10

    ↑