Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi - VMware Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi Einrichten der statischen Erkennung Bei iSCSI-Initiatoren können Sie neben der dynamischen Erkennungsmethode auch die statische Erkennung verwenden und Informationen für die Ziele manuell eingeben. Vorgehensweise 1 Melden Sie sich am vSphere-Client an, und klicken Sie im Bestandslistenfenster auf den Server. 2 Klicken Sie auf die Registerkarte [Konfiguration] und anschließend unter [Hardware] auf [Speicher‐ adapter] . Ein Verzeichnis der verfügbaren Speicheradapter wird angezeigt. 3 Wählen Sie den zu konfigurierenden iSCSI-Initiator aus und klicken Sie auf [Eigenschaften] . 4 Klicken Sie im Dialogfeld [iSCSI‐Initiator‐Eigenschaften] auf die Registerkarte [Statische Erkennung (Static Discovery)] . Die Registerkarte zeigt alle dynamisch erkannten Ziele und alle bereits eingegebenen statischen Ziele an. 5 Um ein Ziel hinzuzufügen, klicken Sie auf [Hinzufügen] und geben Sie die Informationen des Ziels ein. 6 Sie können ein bestimmtes Ziel löschen, indem Sie das Ziel auswählen und auf [Entfernen] klicken. HINWEIS Sie können die IP-Adresse, den DNS-Namen, den iSCSI-Zielnamen oder die Portnummer eines vorhandenen Ziels nicht ändern. Wenn Sie Änderungen vornehmen möchten, entfernen Sie das vorhandene Ziel und fügen Sie ein neues hinzu. Konfigurieren von CHAP-Parametern für iSCSI-Initiatoren Da die IP-Netzwerke, die die iSCSI-Technologie zum Verbinden mit Remotezielen verwendet, die von ihnen transportierten Daten nicht schützen, muss die Sicherheit der Verbindung gewährleistet werden. iSCSI erfordert, dass alle Geräte im Netzwerk das Challenge Handshake Authentication Protocol (CHAP) implementieren, das die Legitimität der Initiatoren verifizieren kann, die auf Ziele im Netzwerk zugreifen. CHAP verwendet einen dreiteiligen Handshake-Algorithmus, um die Identität Ihres Hosts und, sofern zutreffend, des iSCSI-Ziels zu verifizieren, wenn der Host und das Ziel eine Verbindung herstellen. Die Verifizierung basiert auf einem vordefinierten privaten Wert, dem CHAP-Schlüssel, den der Initiator und das Ziel gemeinsam verwenden. ESXi unterstützt die CHAP-Authentifizierung auf der Adapterebene. In diesem Fall erhalten alle Ziele vom iSCSI-Initiator denselben CHAP-Namen und -Schlüssel. Für Software-iSCSI unterstützt ESXi auch die CHAP- Authentifizierung für einzelne Ziele, was Ihnen ermöglicht, unterschiedliche Anmeldedaten für die einzelnen Ziele zu konfigurieren und so die Sicherheit zu erhöhen. Auswählen der CHAP-Authentifizierungsmethode ESXi unterstützt unidirektionales CHAP für Hardware- und Software-iSCSI sowie beiderseitiges CHAP für Software-iSCSI. Bevor Sie CHAP konfigurieren, überprüfen Sie, ob CHAP im iSCSI-Speichersystem aktiviert ist und welche CHAP-Authentifizierungsmethode vom System unterstützt wird. Wenn CHAP aktiviert ist, müssen Sie es für Ihre Initiatoren aktivieren und dabei sicherstellen, dass die Anmeldedaten für die CHAP-Authentifizierung mit den Anmeldedaten im iSCSI-Speicher übereinstimmen. 90 VMware, Inc.
ESXi unterstützt die folgenden CHAP-Authentifizierungsmethoden: Unidirektionales CHAP Bei der unidirektionalen CHAP-Authentifizierung authentifiziert das Ziel den Initiator, nicht jedoch der Initiator das Ziel. Beiderseitiges CHAP (nur Software-iSCSI) Bei der beiderseitigen oder bidirektionalen CHAP-Authentifizierung ermöglicht eine zusätzliche Sicherheitsstufe dem Initiator die Authentifizierung des Ziels. Bei Software-iSCSI können Sie unidirektionales CHAP und beiderseitiges CHAP für die einzelnen Initiatoren oder auf der Zielebene festlegen. Hardware-iSCSI unterstützt CHAP nur auf der Initiatorebene. Wenn Sie die CHAP-Parameter festlegen, geben Sie eine Sicherheitsstufe für CHAP an. Tabelle 8-1. CHAP-Sicherheitsstufe CHAP-Sicherheitsstufe Beschreibung Unterstützt CHAP nicht verwenden Der Host verwendet keine CHAP-Authentifizierung. Wählen Sie diese Option aus, um die Authentifizierung zu deaktivieren, wenn sie derzeit aktiviert ist. CHAP nur verwenden, wenn Ziel dies erfordert CHAP verwenden, sofern Ziel dies unterstützt Der Host bevorzugt eine Nicht-CHAP-Verbindung, er kann jedoch eine CHAP-Verbindung verwenden, wenn das Ziel dies erfordert. Der Host bevorzugt CHAP, er kann jedoch Nicht-CHAP- Verbindungen verwenden, wenn das Ziel CHAP nicht unterstützt. CHAP verwenden Für den Host ist eine erfolgreiche CHAP-Authentifizierung erforderlich. Die Verbindung schlägt fehl, wenn die CHAP-Aushandlung fehlschlägt. Einrichten von CHAP-Anmeldedaten für einen iSCSI-Initiator Software-iSCSI Hardware-iSCSI Software-iSCSI Software-iSCSI Hardware-iSCSI Software-iSCSI Zur Erhöhung der Sicherheit können alle Ziele so eingerichtet werden, dass sie denselben CHAP-Namen und -Schlüssel vom iSCSI-Initiator auf der Initiatorebene empfangen. Standardmäßig übernehmen alle Erkennungsadressen und statischen Ziele die CHAP-Parameter, die Sie auf der Initiatorebene einrichten. Voraussetzungen Legen Sie vor dem Einrichten von CHAP-Parametern für Software-iSCSI fest, ob unidirektionales oder beiderseitiges CHAP konfiguriert werden soll. Beiderseitiges CHAP wird von Hardware-iSCSI nicht unterstützt. n Bei unidirektionalem CHAP authentifiziert das Ziel den Initiator. n Bei beiderseitigem CHAP authentifizieren sich das Ziel und der Initiator gegenseitig. Stellen Sie sicher, dass Sie für CHAP und beiderseitiges CHAP verschiedene Schlüssel verwenden. Stellen Sie beim Konfigurieren von CHAP-Parametern sicher, dass sie mit den Parametern auf der Speicherseite übereinstimmen. Bei Software-iSCSI darf der CHAP-Name nicht mehr als 511 und der CHAP-Schlüssel nicht mehr als 255 alphanumerische Zeichen umfassen. Bei Hardware-iSCSI darf der CHAP-Name nicht mehr als 255 und der CHAP-Schlüssel nicht mehr als 100 alphanumerische Zeichen umfassen. Vorgehensweise 1 Melden Sie sich am vSphere-Client an, und klicken Sie im Bestandslistenfenster auf den Server. 2 Klicken Sie auf die Registerkarte [Konfiguration] und anschließend unter [Hardware] auf [Speicher‐ adapter] . Ein Verzeichnis der verfügbaren Speicheradapter wird angezeigt. Kapitel 8 Konfigurieren von ESXi-Speicher VMware, Inc. 91
- Seite 39 und 40: Erweiterte Netzwerkthemen 5 Die fol
- Seite 41 und 42: Bearbeiten der Failover- und Lastau
- Seite 43 und 44: 7 Legen Sie die Einstellungen in de
- Seite 45 und 46: 4 Geben Sie in der Gruppe „Gruppi
- Seite 47 und 48: 4 Geben Sie in der Gruppe „Gruppi
- Seite 49 und 50: Bearbeiten von dvPort VLAN-Richtlin
- Seite 51 und 52: 7 Im Fenster „Richtlinienausnahme
- Seite 53 und 54: 4 Wählen Sie in der Sicherheitsgru
- Seite 55 und 56: 5 Wählen Sie das Portgruppenelemen
- Seite 57 und 58: 3 Klicken Sie auf [Richtlinien] . 4
- Seite 59 und 60: 4 Wählen Sie unter MAC-Adresse (MA
- Seite 61 und 62: 6 Klicken Sie auf [Hinzufügen] . 7
- Seite 63 und 64: Konfigurieren eines PCI-Geräts auf
- Seite 65 und 66: Optimale Vorgehensweisen, Szenarien
- Seite 67 und 68: Speicher VMware, Inc. 67
- Seite 69 und 70: Einführung in die Speicherung 7 Di
- Seite 71 und 72: Netzwerkspeicher Netzwerkspeicher b
- Seite 73 und 74: Grundlegendes zur iSCSI-Benennung u
- Seite 75 und 76: Je nach Typ des verwendeten Speiche
- Seite 77 und 78: Speicherzugriff durch virtuelle Mas
- Seite 79 und 80: Tabelle 7-3. Informationen zu Speic
- Seite 81 und 82: Anzeigen von Datenspeichern Sie kö
- Seite 83 und 84: Konfigurieren von ESXi-Speicher 8 D
- Seite 85 und 86: Sie müssen iSCSI-Initiatoren konfi
- Seite 87 und 88: Wenn Sie den iSCSI-Namen ändern, w
- Seite 89: Konfigurieren von Erkennungsadresse
- Seite 93 und 94: Voraussetzungen Legen Sie vor dem E
- Seite 95 und 96: Tabelle 8-2. Zusätzliche Parameter
- Seite 97 und 98: 3 Wenn neue Festplatten oder LUNs e
- Seite 99 und 100: Die von Ihnen in NFS-basierten Date
- Seite 101 und 102: 5 Legen Sie den Diagnosepartitionst
- Seite 103 und 104: Speicherverwaltung 9 Nachdem Sie Ih
- Seite 105 und 106: Unmounten von Datenspeichern Wenn S
- Seite 107 und 108: Option Beschreibung Freien Speicher
- Seite 109 und 110: 6 Wählen Sie unter „Optionen fü
- Seite 111 und 112: n Verarbeiten der E/A-Warteschlange
- Seite 113 und 114: 4 Wenn der E/A-Vorgang einen Fehler
- Seite 115 und 116: Abbildung 9-4. Software-iSCSI und F
- Seite 117 und 118: Anzeigen von Speichergerätepfaden
- Seite 119 und 120: Thin-Bereitstellung Wenn Sie eine v
- Seite 121 und 122: 3 Klicken Sie auf die Registerkarte
- Seite 123 und 124: Raw-Gerätezuordnung 10 Die Raw-Ger
- Seite 125 und 126: Dateizugriffsberechtigungen Die Raw
- Seite 127 und 128: n Keine Snapshots im physischen Kom
- Seite 129 und 130: Abbildung 10-4. Beispiel einer Name
- Seite 131 und 132: Verwalten zugeordneter LUNs Mithilf
- Seite 133 und 134: Sicherheit VMware, Inc. 133
- Seite 135 und 136: Sicherheit für ESXi-Systeme 11 Bei
- Seite 137 und 138: Jede virtuelle Maschine ist von den
- Seite 139 und 140: Abbildung 11-4. Konfigurierte DMZ a
<strong>Handbuch</strong> <strong>zur</strong> <strong>Serverkonfiguration</strong> <strong>für</strong> <strong>ESXi</strong><br />
Einrichten der statischen Erkennung<br />
Bei iSCSI-Initiatoren können Sie neben der dynamischen Erkennungsmethode auch die statische Erkennung<br />
verwenden und Informationen <strong>für</strong> die Ziele manuell eingeben.<br />
Vorgehensweise<br />
1 Melden Sie sich am vSphere-Client an, und klicken Sie im Bestandslistenfenster auf den Server.<br />
2 Klicken Sie auf die Registerkarte [Konfiguration] und anschließend unter [Hardware] auf [Speicher‐<br />
adapter] .<br />
Ein Verzeichnis der verfügbaren Speicheradapter wird angezeigt.<br />
3 Wählen Sie den zu konfigurierenden iSCSI-Initiator aus und klicken Sie auf [Eigenschaften] .<br />
4 Klicken Sie im Dialogfeld [iSCSI‐Initiator‐Eigenschaften] auf die Registerkarte [Statische Erkennung<br />
(Static Discovery)] .<br />
Die Registerkarte zeigt alle dynamisch erkannten Ziele und alle bereits eingegebenen statischen Ziele an.<br />
5 Um ein Ziel hinzuzufügen, klicken Sie auf [Hinzufügen] und geben Sie die Informationen des Ziels ein.<br />
6 Sie können ein bestimmtes Ziel löschen, indem Sie das Ziel auswählen und auf [Entfernen] klicken.<br />
HINWEIS Sie können die IP-Adresse, den DNS-Namen, den iSCSI-Zielnamen oder die Portnummer eines<br />
vorhandenen Ziels nicht ändern. Wenn Sie Änderungen vornehmen möchten, entfernen Sie das vorhandene<br />
Ziel und fügen Sie ein neues hinzu.<br />
Konfigurieren von CHAP-Parametern <strong>für</strong> iSCSI-Initiatoren<br />
Da die IP-Netzwerke, die die iSCSI-Technologie zum Verbinden mit Remotezielen verwendet, die von ihnen<br />
transportierten Daten nicht schützen, muss die Sicherheit der Verbindung gewährleistet werden. iSCSI erfordert,<br />
dass alle Geräte im Netzwerk das Challenge Handshake Authentication Protocol (CHAP) implementieren,<br />
das die Legitimität der Initiatoren verifizieren kann, die auf Ziele im Netzwerk zugreifen.<br />
CHAP verwendet einen dreiteiligen Handshake-Algorithmus, um die Identität Ihres Hosts und, sofern zutreffend,<br />
des iSCSI-Ziels zu verifizieren, wenn der Host und das Ziel eine Verbindung herstellen. Die Verifizierung<br />
basiert auf einem vordefinierten privaten Wert, dem CHAP-Schlüssel, den der Initiator und das Ziel<br />
gemeinsam verwenden.<br />
<strong>ESXi</strong> unterstützt die CHAP-Authentifizierung auf der Adapterebene. In diesem Fall erhalten alle Ziele vom<br />
iSCSI-Initiator denselben CHAP-Namen und -Schlüssel. Für Software-iSCSI unterstützt <strong>ESXi</strong> auch die CHAP-<br />
Authentifizierung <strong>für</strong> einzelne Ziele, was Ihnen ermöglicht, unterschiedliche Anmeldedaten <strong>für</strong> die einzelnen<br />
Ziele zu konfigurieren und so die Sicherheit zu erhöhen.<br />
Auswählen der CHAP-Authentifizierungsmethode<br />
<strong>ESXi</strong> unterstützt unidirektionales CHAP <strong>für</strong> Hardware- und Software-iSCSI sowie beiderseitiges CHAP <strong>für</strong><br />
Software-iSCSI.<br />
Bevor Sie CHAP konfigurieren, überprüfen Sie, ob CHAP im iSCSI-Speichersystem aktiviert ist und welche<br />
CHAP-Authentifizierungsmethode vom System unterstützt wird. Wenn CHAP aktiviert ist, müssen Sie es <strong>für</strong><br />
Ihre Initiatoren aktivieren und dabei sicherstellen, dass die Anmeldedaten <strong>für</strong> die CHAP-Authentifizierung<br />
mit den Anmeldedaten im iSCSI-Speicher übereinstimmen.<br />
90 <strong>VMware</strong>, Inc.