LUN Masking
Was ist LUN Masking?
LUN Masking (zu Deutsch: LUN-Maskierung) ist ein Autorisierungsmechanismus, der in Storage Area Networks (SANs) verwendet wird, um Logical Unit Numbers (LUNs) für einige Hosts verfügbar zu machen, für andere Hosts jedoch nicht. LUN Masking wird in der Regel auf der Ebene des Host-Bus-Adapters (HBA) auf den Servern implementiert, die auf die Speichersysteme des SAN zugreifen, obwohl einige Speicher-Controller auch LUN-Maskierung unterstützen.
Wenn LUN Masking konfiguriert ist, kann ein Host nur die LUNs sehen, die diesem Host zugewiesen wurden, und kann keine anderen LUNs sehen oder darauf zugreifen. Eine Logical Unit Number (LUN) ist eine eindeutige Kennung, die bei der Zuweisung von physischem Speicher verwendet wird. Eine LUN kann auf eine gesamte RAID-Gruppe, ein einzelnes Laufwerk oder eine einzelne Partition oder auf mehrere Laufwerke oder Partitionen verweisen. Eine LUN wird von einem Transportprotokoll verwendet, das mit einer SCSI-, iSCSI-, Fibre Channel (FC)- oder ähnlichen Schnittstelle verbunden ist.
LUNs sind für die Verwaltung von Blockspeicher-Arrays, die über ein SAN gemeinsam genutzt werden, von zentraler Bedeutung. Ohne LUN-Maskierung kann ein mit einem SAN verbundener Host alle verfügbaren LUNs sehen und in einigen Fällen möglicherweise unerwünschte Aktionen ausführen. Beispielsweise könnte ein Windows-Server versehentlich Nicht-Windows-Speicher beschädigen, indem er versucht, Volume-Bezeichnungen darauf zu schreiben.
Durch LUN Masking kann verhindert werden, dass der Server auf diese Nicht-Windows-LUNs zugreift oder sie sogar sieht. Die LUN-Maskierung unterteilt den Zugriff auf einen bestimmten Port. Selbst wenn mehrere LUNs über denselben Port verfügbar sind, kann der Zugriff des Hosts auf bestimmte LUNs durch LUN Masking eingeschränkt werden.
Die folgende Abbildung zeigt beispielsweise ein Speichergerät mit vier verfügbaren LUNs und zwei Hosts, die jeweils mit einem HBA konfiguriert sind. Host A enthält HBA 1 und Host B enthält HBA 2. Jeder HBA ist mit dem SAN-Switch verbunden, der wiederum mit den beiden Speicher-Controllern (SC 1 und SC 2) verbunden ist. Ohne LUN Masking hätten beide HBAs Zugriff auf alle vier LUNs. In diesem Fall wurde jedoch auf HBA-Ebene eine LUN-Maskierung angewendet, sodass Host A nur auf LUN 1, LUN 2 und LUN 4 zugreifen kann und Host B nur auf LUN 3 und LUN 4.

LUN Masking kann ein nützliches Werkzeug zur Steuerung des Serverzugriffs auf bestimmte LUNs sein, bietet jedoch nur begrenzten Sicherheitsschutz, da die HBAs weiterhin kompromittiert werden können, wodurch die SAN-Infrastruktur anfällig bleibt. Aus diesem Grund implementieren die meisten SAN-Bereitstellungen auch Zoning und andere Mechanismen, um zusätzliche Schutzebenen zu bieten, wobei die LUN-Maskierung in erster Linie zum Schutz vor potenziellen Serverproblemen dient.