跳到主要內容

iSCSI 深度解析:透過 TCP/IP 實現低成本區塊級儲存的聚合協定技術指南

在不動用昂貴光纖通道(Fibre Channel)基礎設施的前提下,iSCSI 讓企業透過現有乙太網路獲得區塊級儲存能力,大幅降低 SAN 部署門檻。

iSCSI 的聚合協定本質

iSCSI(Internet Small Computer Systems Interface)屬於聚合協定(Converged Protocol),核心機制是將原生 SCSI 指令封裝進 TCP/IP 封包,再透過標準 1GbE/10GbE 乙太網路傳輸。整個傳輸路徑由兩個角色定義:發起端稱為 Initiator(通常為伺服器),接收端稱為 Target(通常為儲存陣列)。兩者以 IQN(iSCSI Qualified Name) 作為唯一識別符,格式為 iqn.YYYY-MM.反向域名:識別字串。由於整個流程共用 TCP/IP 網路,儲存流量與一般資料流量可在同一實體網路上運行,實現「聚合」效果,這也是其成本優勢的根本來源。

驗證、加密與效能考量

iSCSI 的身份驗證標準為 CHAP(Challenge-Handshake Authentication Protocol),支援單向(Target 驗證 Initiator)與雙向(Mutual CHAP)兩種模式,防止未授權裝置掛載儲存資源。傳輸加密則依賴 IPSec,在 IP 層對整個 iSCSI 封包加密,但會帶來額外 CPU 開銷。為提升效能,企業通常部署支援 TCP Offload Engine(TOE) 的網卡或專用 iSCSI HBA,將 TCP 處理卸載至硬體。此外,建議規劃獨立的儲存 VLAN 進行流量隔離,並啟用 Jumbo Frame(MTU 9000) 以降低封包切割頻率、提升整體吞吐量。

# Linux iscsiadm 快速連線範例
iscsiadm -m discovery -t sendtargets -p 192.168.10.100
iscsiadm -m node -T iqn.2024-01.com.example:storage -p 192.168.10.100 --login

💡 重點整理

  • 聚合協定:SCSI 指令封裝於 TCP/IP,共用乙太網路基礎設施,無需專屬光纖。
  • 身份驗證:使用 CHAP 進行 Initiator/Target 雙向認證,防止未授權掛載。
  • 傳輸加密:依賴 IPSec 在網路層加密,需評估 CPU 負載或搭配硬體卸載。
  • 效能優化:獨立儲存 VLAN + Jumbo Frame(MTU 9000)是基本部署最佳實踐。

iSCSI 以「用現有網路跑 SAN」的核心思路,在成本與功能之間取得平衡。對於預算有限卻需要區塊儲存的場景,它至今仍是最務實的首選方案。

📚 參考文獻

  1. RFC 3720 — Internet Small Computer Systems Interface (iSCSI),IETF 官方標準文件,定義完整協定規範: https://datatracker.ietf.org/doc/html/rfc3720
  2. SNIA(儲存網路工業協會)iSCSI 技術白皮書,涵蓋部署架構與效能調校: