使用CHAP處理帳戶
在功能性儲存系統中、租戶可以使用帳戶來讓用戶端連線至叢集上的磁碟區。SolidFire帳戶包含存取指派給該帳戶的磁碟區所需的挑戰握手驗證傳輸協定(CHAP)驗證。當您建立Volume時、該磁碟區會指派給特定帳戶。
帳戶最多可指派2、000個磁碟區、但一個磁碟區只能屬於一個帳戶。
CHAP演算法
從元素12.7開始、支援安全的FIPS相容CHAP演算法SHA1、SHA-256和SHA3-256。使用元素12.7時、當主機iSCSI啟動器正在建立含有元素iSCSI目標的iSCSI工作階段時、會要求使用CHAP演算法清單。元素iSCSI目標會從主機iSCSI啟動器所要求的清單中、選擇其所支援的第一個演算法。若要確認元素iSCSI目標選擇最安全的演算法、您必須設定主機iSCSI啟動器、將從最安全的演算法(例如SHA3-256)排序的演算法清單傳送至最不安全的演算法、例如: SHA1或MD5。如果主機iSCSI啟動器未要求使用SHa演算法、則元素iSCSI目標會選擇MD5、假設主機的建議演算法清單包含MD5。您可能需要更新主機iSCSI啟動器組態、才能支援安全演算法。
在元素12.7升級期間、如果您已更新主機iSCSI啟動器組態、以便在儲存節點重新開機時、以內含SHA演算法的清單傳送工作階段要求、 新的安全演算法會啟動、並使用最安全的傳輸協定建立新的或重新連線的iSCSI工作階段。升級期間、所有現有的iSCSI工作階段都會從MD5移轉至SHa。如果您未將主機iSCSI啟動器組態更新為要求SHa、則現有的iSCSI工作階段將繼續使用MD5。稍後更新主機iSCSI啟動器CHAP演算法之後、iSCSI工作階段應根據導致iSCSI工作階段重新連線的維護活動、逐漸從MD5移轉至SHA。
例如、Red Hat Enterprise Linux(RHEL)8.3中的預設主機iSCSI啟動器具有「node.session.auth.chap_algs = SHA3-256、SHA256、SHA1、MD5」設定、指出哪些結果只會導致iSCSI啟動器使用MD5。在主機上取消註解此設定、然後重新啟動iSCSI啟動器、會觸發該主機的iSCSI工作階段、以開始使用SHA3-256。
如有需要、您可以使用 "清單" API方法來查看每個工作階段所使用的CHAP演算法。
建立帳戶
您可以建立帳戶以允許存取磁碟區。
系統中的每個帳戶名稱都必須是唯一的。
-
選擇*管理*>*帳戶*。
-
按一下「建立帳戶」。
-
輸入*使用者名稱*。
-
在「* CHAP設定*」區段中、輸入下列資訊:
將認證欄位保留空白、以自動產生任一密碼。 -
用於CHAP節點工作階段驗證的啟動器機密。
-
用於CHAP節點工作階段驗證的目標機密。
-
-
按一下「建立帳戶」。
檢視帳戶詳細資料
您可以以圖形格式檢視個別帳戶的績效活動。
圖表資訊提供帳戶的I/O和處理量資訊。「平均」和「尖峰」活動層級會以10秒報告期間為單位遞增顯示。這些統計資料包括指派給帳戶的所有磁碟區活動。
-
選擇*管理*>*帳戶*。
-
按一下帳戶的「動作」圖示。
-
按一下*檢視詳細資料*。
以下是一些詳細資料:
-
狀態:帳戶狀態。可能值:
-
作用中:作用中帳戶。
-
鎖定:鎖定的帳戶。
-
已移除:已刪除及清除的帳戶。
-
-
作用中磁碟區:指派給帳戶的作用中磁碟區數目。
-
壓縮:指派給帳戶之磁碟區的壓縮效率分數。
-
重複資料刪除:指派給帳戶之磁碟區的重複資料刪除效率分數。
-
精簡配置:指派給帳戶之磁碟區的精簡配置效率分數。
-
整體效率:指派給帳戶之磁碟區的整體效率分數。
編輯帳戶
您可以編輯帳戶以變更狀態、變更CHAP機密或修改帳戶名稱。
在帳戶中修改CHAP設定、或是從存取群組移除啟動器或磁碟區、可能會導致啟動器在非預期情況下失去對磁碟區的存取權。若要驗證Volume存取不會意外遺失、請務必登出會受帳戶或存取群組變更影響的iSCSI工作階段、並在完成啟動器設定和叢集設定的任何變更後、確認啟動器可以重新連線至磁碟區。
與管理服務相關的持續磁碟區會指派給在安裝或升級期間建立的新帳戶。如果您使用的是持續磁碟區、請勿修改或刪除其相關帳戶。 |
-
選擇*管理*>*帳戶*。
-
按一下帳戶的「動作」圖示。
-
在產生的功能表中、選取*編輯*。
-
選用:*編輯*使用者名稱。
-
選用:*按一下「*狀態」下拉式清單、然後選取不同的狀態。
將狀態變更為*鎖定*會終止所有與該帳戶的iSCSI連線、且該帳戶將無法再存取。與帳戶相關聯的磁碟區會保留、但磁碟區不會被iSCSI發現。 -
可選:*在 CHAP Settings*下、編輯*啟動器機密*和*目標機密*用於節點工作階段驗證的認證資料。
如果您未變更* CHAP設定*認證、則其維持不變。如果您將認證欄位設為空白、系統會產生新密碼。 -
按一下*儲存變更*。
刪除帳戶
您可以在不再需要時刪除帳戶。
刪除帳戶之前、請先刪除並清除與帳戶相關聯的任何磁碟區。
與管理服務相關的持續磁碟區會指派給在安裝或升級期間建立的新帳戶。如果您使用的是持續磁碟區、請勿修改或刪除其相關帳戶。 |
-
選擇*管理*>*帳戶*。
-
按一下您要刪除之帳戶的「動作」圖示。
-
在產生的功能表中、選取*刪除*。
-
確認行動。