canjoena - stock.adobe.com

SAN-Zoning: Was ist Zoning und welche Zoning-Typen gibt es?

SAN-Zoning gibt der IT-Abteilung die Möglichkeit, unterschiedliche Arten von SAN-Bereichen zu gestalten. Neben einem gemischten Ansatz gibt es Ansätze je nach besonderen Aufgaben.

SAN-Zoning gewinnt dann an Bedeutung, wenn das SAN eines Unternehmens mehr als ein paar Dutzend Geräte umfasst. Während der Entstehungszeit des SAN (Storage Area Network) gab es eine Debatte darüber, ob Zoning als ein Standard für Fibre-Channel-SANs notwendig sei. Selbst heute entwickeln sich noch immer neue Zoning-Standards und -Implementierungsformen. Werfen wir einen näheren Blick auf dieses Gebiet.

Was ist SAN Zoning?

Ein SAN sorgt dafür, dass jedes Speichergerät allen Servern im LAN oder WAN zur Verfügung steht. Es erlaubt es auch dem Unternehmen, Speichergeräte aufzuteilen, wobei jedoch jedes Gerät in seinem eigenen Sub-Netzwerk existieren und direkt mit anderen Geräten über ein Highspeed-Speichermedium kommunizieren kann.

Der Vorteil von SAN-Zoning besteht darin, die Server daran zu hindern, alle LUNs zu mounten, die sie in einem Netz sehen. Mit Zoning kontrolliert man, zu welchen Geräten ein Anwender Zugang erhält. Geräte werden in logischen Gruppen isoliert, obwohl ein einzelnes Gerät oft in mehreren Gruppen auftaucht. Zoning sorgt für effizientes Management, Netzstabilität und -Security. Kleinere SAN-Umgebungen können eventuell mit einer No-Zoning-Architektur funktionieren, in der alle Geräte miteinander interagieren, aber Unternehmen ist von so einer Struktur abzuraten. Wenn sich alle Geräte in einer gemeinsamen großen Zone befinden, wird jedes einzelne von einer Änderung gestört werden – zum Beispiel wenn Geräte dem Netz hinzugefūgt oder aus ihm entfernt werden.

Wenn dies geschieht, erstellt das SAN eine Registered State Change Notification (RSCN). Eine RSCN wird losgeschickt, wenn sich ein neues Gerät einloggt oder wenn ein bestehendes Gerät das Netz verlässt. Die daraus entstehende Unterbrechung kann zu einem Verlust gerade aktiver Daten führen, das Netz insgesamt destabilisieren und seiner Performance- und Security-Funktionen berauben.

Dieses Video von Techie Magnate gibt einen Überblick über Storage-Zoning:

Zoning könnte für Server, Storage und Switches eingerichtet werden.Verschiedene Mechanismen kontrollieren, welche Geräte eine Anwendung auf einem Server wahrnimmt und ob es ihr erlaubt ist, mit anderen Geräten in Kontakt zu kommen. Auf dem niedrigsten Niveau verfügen Firmware oder Treiber eines Host Bus Adapters (HBA) über eine Masking-Fähigkeit zur Kontrolle, ob ein Server mit anderen Geräten interagieren darf. Zusätzlich kann das Betriebssystem so konfiguriert werden, dass es die Geräte kontrolliert, die als ein Storage-Volume gemountet werden. Und schließlich hilft eine eigene Softwareschicht für Volume-Management, Clustering und File System Sharing bei der Kontrolle des Gerätezugangs von Applikationen.

Wenn man JBOD und die ersten RAID-Subsysteme auf den meisten Disk-Arrays einmal vernachlässigt, gibt es eine Form von selektiver Darstellung. Das Array ist mit einer Liste konfiguriert, die zeigt, welche Server zu welchen LUNs und zu welchen Ports Zugang haben können. Zugangsanfragen von nicht aufgelisteten Geräten werden ignoriert oder zurückgewiesen. Beim Switch-Zoning sieht es so aus, dass die meisten, wenn nicht alle Fibre-Channel-Switches eine gewisse Art von Zoning unterstützen, um zu kontrollieren, welche Geräte an welchen Ports Zugang zu anderen Geräten oder Ports haben.

Eine andere Form der Zugangskontrolle wird durch die Virtualisierung gebildet. Zone Sets erweitern die SAN-Segmentierung und bilden einen logischen Schritt über Zoning hinaus. Mehrere Zones führen zu einem Zone Set. Jede Zone gilt für eine Anzahl von dedizierten Geräten wie zum Beispiel Switches, Arrays oder Storage Server. Zone Sets unterstützen die Security über Fabric-connected Geräte hinweg. Nur Mitgliedern derselben Zone wird eine Erlaubnis zur Interaktion gewährt.

Mohammed Saleem von EMC Dell erklärt in diesem Video die SAN-Nomenklatur:

Jede SAN-Zone kann ein Mitglied mehrerer Zone Sets sein. Zone Sets stellen die Flexibilität her, um Backup, Wartung und Testen von Geräten im SAN durchzuführen, ohne andere Geräte zu behindern. Ein SAN kann viele Zone Sets haben, aber es ist immer nur eines zu einer bestimmten Zeit aktiv.

Welchen Typ von SAN Zoning sollte man nutzen?

Der beste Ratschlag besteht darin, einen gemischten Ansatz einzusetzen. Man sollte kontrollieren, welche Geräte und LUNs über das Betriebssystem oder andere Software an den Server angeschlossen sind, um einen Mount-all-Ansatz zu vermeiden. Man sollte eine selektive Darstellung beim Storage Array und beim Zoning im Netz benutzen. Warum sage ich das? Um eine Netzwerkanalogie zu bemühen: Man will ja auch nicht, dass sich ein privater PC in die Dateien des Unternehmensnetzwerkes hineinhakt.

Man vermeidet solche Ereignisse durch Zugangskontrolllisten der Dateien in den Dateisystemen. An den Außengrenzen setzt man Firewalls, Security Gateways und Packet Filtering ein. Jedes dieser Elemente übernimmt eine ergänzende und leicht unterschiedliche Aufgabe beim Schutz der Daten.

Wie genau funktioniert Zoning?

Wenn sich ein Knoten (Node) mit einer Fabric verbindet, besteht die erste Aktion aus einem Fabric Logon. Auf diese Weise erhält das Gerät seine 24-Bit-Adresse, die für das Routing im Netz genutzt wird. Das Gerät besitzt bereits einen World Wide Name (WWN) – oder sogar mehrere –, da jeder Switch-Port einen einzigartigen WWN besitzt, in der Regel in Hardware programmiert.

Es gibt auch einen Node WWN, der den Node oder das Gerät identifiziert und auch an jedem Port zu sehen sein sollte. Der nächste Schritt kommt dann, wenn sich ein Gerät bei dem Name Server des SAN zu registrieren versucht. Das SAN baut eine Datenbank aller Geräte im Netz auf, indem es den Node und die Port-WWNs mit der 24-Bit-Adresse sowie den Ressourcen jeden Geräts verbindet. Dies schließt auch FC-Port-Geräte (FCP) ein, die SCSI-Kommandos über FC benutzen.

Die Sicherheit von Soft Zoning ist einfach: Man bekommt nur Dinge mitgeteilt, die man wirklich wissen muss. Im Vergleich dazu enthält Hard Zoning viel mehr Informationen.

Schließlich wird der Server beim Name Server anfragen, eine Liste aller im Netz erkannten FCP-Geräte zurückzusenden. An dieser Stelle macht sich Zoning bemerkbar. Der Name Server schickt nämlich nur eine Liste jener FCP-Geräte zurück, die sich in der gleichen oder gemeinsamen Zone befinden – mit anderen Worten nur die Geräte, für die man autorisiert ist.

Der Server verfügt über eine Liste der 24-Bit-Adressen aller Geräte, für die er autorisiert ist. Er wird sich dann in der Regel bei jedem einloggen, um festzustellen, welcher FCP/SCSI-Typ das Gerät ist. Dies verhält sich ähnlich wie bei normalen SCSI-Umgebungen, bei denen der SCSI-Controller oder -Server einen Scan vom Bus durchführt und die Eigenschaften von jedem Gerät überprūft, das er auf dem Bus erkennen kann.

Zoning-Syntax

Es gibt eine Reihe von Begriffen, mit denen man Zoning-Verfahren und ihre fortgeschrittenen Funktionen beschreiben kann. Hard Zoning ist nicht das gleiche wie Port Zoning, und Soft Zoning ist nicht das gleiche wie WWN Zoning.

Wenn man eine Zone konfiguriert, erlauben es einem viele SANs, die Mitglieder einer Zone aufzulisten, wobei die Port ID oder 24-Bit-Adressen genutzt werden. Genauer gesagt, ist die Syntax in der Regel X/Y, wobei X die Domain ID eines Switch und Y die Port-Nummer des Switch darstellt. Dies entspricht zum Beispiel einer Verbindung, bei der ein Kabel von Server 1 in den Port 3 von Switch 5 gesteckt ist. Sollte man die SAN-Verkabelung und Topologie ändern, müsste man alle Zones neu konfigurieren.

Der andere Ansatz für eine Zone-Konfiguration besteht darin, die Mitglieder einer Zone mit ihrem Port WWN oder Node WWN aufzulisten. Der Vorteil hierbei ist, dass bei einem Wechsel der Domain ID eines Switches, der Topologie des SANs oder dem Ort, wo das Gerät angeschlossen ist, die Zone noch immer funktionieren wird. Man muss eventuell einen HBA ersetzen und dann die Zones ändern, da der WWN in der Regel fest an einen HBA angeschlossen ist. Aber das ist nur eine einfache Änderung.

Was ist Hard Zoning und was ist Soft Zoning?

Hard Zoning wird durch SAN-Hardware erzwungen, indem der Zugang von Geräten außerhalb der Zone blockiert wird. Soft Zoning geschieht, wenn Software die in FC-Switching vorhandenen Filterfähigkeiten aktiviert und so Ports daran hindert, von Usern außerhalb der Zone angesteuert zu werden.

Die Sicherheit von Soft Zoning ist einfach: Man bekommt nur Dinge mitgeteilt, die man wirklich wissen muss. Im Vergleich dazu enthält Hard Zoning viel mehr Informationen. Aber man kann nur diejenigen Informationen nutzen, für die man eine Berechtigung besitzt. Hard Zoning vertraut nicht den Anwendern, sondern liefert echte, solide Security.

Es gibt dennoch Verwirrung bei Soft und Hard Zoning. Manche Switches sind nicht für Hard Zoning ausgerüstet. Andere Switches können eine Hard Zone erstellen, aber nur mit einer Menge von Einschränkungen und nicht mit der Feinheit von individuellen Ports. Und wieder andere Switches bieten nur dann Hard Zoning, wenn alle Zonen die portID Syntax verwenden – was sicher zu dem Missverständnis beiträgt, dass portID Zoning nur ein Synonym für Hard Zoning sei. Nun, einige Switches liefern inzwischen tatsächlich Hard Zoning, das entweder die portID- oder die WWN-Syntax verwendet.

Was ist der Unterschied zwischen SAN Zoning und VSANs?

Hier ist meine Meinung darüber, wie sich ein virtuelles SAN (VSAN) von einer Zone unterscheidet. Man beachte, dass die Abkürzung VSAN für virtuelles SAN von vSAN bei VMware abweicht – vSAN bezeichnet softwaredefinierten Speicher für eine hyperkonvergente Infrastruktur.

Wie viele wissen, impliziert die allgemeine Empfehlung „hot-code Akivierung oder nicht“, immer zwei getrennte Netze zu unterhalten, wobei jedes Gerät mit beiden Netzen verbunden wird. Es gibt eine Menge von Gründen dafür. Einer besteht darin, dass Dienste wie der Name Server als ein einzelner Distributed Service in einem Netz laufen. Deshalb gibt es nur eine geringe Möglichkeit dafür, dass ein fehlerhaftes Gerät den Name Service so stark beeinflussen könnte, dass alle Geräte im Netz und nicht nur in der gleichen Zone betroffen sind.

Die grundlegende Idee eines VSAN besteht darin, eine Struktur auf einem höheren Niveau mit einer komplett getrennten Name-Server-Datenbank zu liefern, anstatt einer für alle Zonen gemeinsam. Sie kann sogar als ein komplett getrennter Service im Switch laufen, so dass die Möglichkeit einer gegenseitigen Ansteckung bei Gefährdungen niedriger ist und Probleme mit größerer Treffsicherheit gelöst werden können.

Natürlich kann ein Gerät, das mit zwei getrennten VSANs verbunden ist, auch Fehler aufweisen und beide zum Absturz bringen. Ein auf Standards basiertes Managementsystem könnte eine Suche für FC Name Server ohne dedizierte Zone nutzen, um alle ans Netz angebundenen Geräte zu identifizieren. Aber wie könnte sich dieses Kommando auf VSANs erstrecken, die keinem FC-Standard entsprechen?

Storage Zoning und Zoning-Schemata

Nachdem wir einiges über Zoning in einem SAN-Netz erfahren haben, können wir uns nun mit einigen gängigen Zoning-Schemata befassen.

Common Host. Kleine und mittlere Umgebungen tendieren dazu, ein übliches Host-Schema anzuwenden. Diese Methode ordnet eine Zone pro Betriebssystem, Serverhersteller, HBA-Marke oder nach einem ähnlichen Muster zu. Die IT-Geräte von der gleichen Marke zu benutzen, stellt eine einfache Methode für solche Umgebungen dar. Es schafft eine Zone, die aus den gleichen Servern sowie den entsprechenden Speichergeräten besteht. Einfacher Zugang garantiert.

Single Target Multiple Initiator. Viele Storage-Subsysteme funktionieren traditionell auf Basis einer Regel, nach der jeder Port auf einem Array nur von verschiedenen Servern, die das gleiche Betriebssystem haben, benutzt werden konnten. Kunden, die mit dem Common-Host-Ansatz gestartet waren, aber dann mehr Granularität in ihrem Zoning haben wollten, begriffen den Vorteil, wenn jede Zone aus einem Port an einem Speicher-Array besteht – für alle Geräte, die einen Zugang zu diesem Port erhalten hatten.

Diese Form von Zoning macht es auch leicht für einen Administrator, visuell zu verfolgen, ob die Support-Richtlinien des Array-Betriebssystems eingehalten werden.

Single Initiator Multiple Target. Zunehmend verbreitet in heterogenen SANs beruht dieser Ansatz auf einer einfachen Prämisse: SCSI-Initiatoren (Server) müssen nicht mit anderen SCSI-Initiatoren sprechen.

Zoning mit Single Initiator Multiple Target erlaubt einen Server oder HBA in jeder Zone. In die Zone gepackt sind alle jene Speichergeräte, mit denen der Host kommunizieren darf. Diese Methode hindert einen Server daran, auf die Server dieser Speichersysteme zuzugreifen.

Single Initiator Single Target. Dieser Ansatz bringt am meisten in Sachen Security, da die Zonen auf ihre absolut nutzbare Minimalgröße beschränkt sind, um maximale Security für das Zoning des Unternehmens zu liefern. Dies wurde erfolgreich in ein paar Fällen eingesetzt, aber ist nicht so gebräuchlich. Selbst mit guter Software ist es ein anstrengender Prozess, diesen Ansatz einzurichten und zu verwalten.

Es wird erwartet, dass sich neue Entwicklungen bei NVMe-Flash auf das SAN-Management auswirken werden. Das gilt besonders für neu veröffentlichte Standards bei FC over NVMe als eine Methode, Performance-Probleme zu reduzieren.

Wie bei allen Dingen kommt es nicht nur auf die Technologievariante an, für die man sich entscheidet, sondern auch auf den Umgang mit ihr. Eins ist auf jeden Fall sicher: Man sollte sich für einen Ansatz entscheiden und ihn dann voll und ganz einsetzen. SAN Zoning ist nicht die Antwort auf alle Probleme der Anwender, aber es ist ein entscheidender Anteil der Bereitstellung von Storage. Man sollte gerade zu Beginn nicht kleckern, selbst wenn man zunächst das Gefühl hat, einen Overkill in einem kleinen SAN einzusetzen. Wenn man dann die richtige Richtung gefunden hat, wird es umso leichter sein, mit einem robusten und zuverlässigen Ansatz fortzufahren.

Artikel wurde zuletzt im November 2014 aktualisiert

Erfahren Sie mehr über Storage-Hardware

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close