SAN TEMELLERİ
Artan depolama alanı gereksinimleri büyük kuruluşların geleneksel dosya sunucularından daha gelişmiş olan SAN çözümlerine yönelmesine sebep olmuştur. SAN; sunucular ve depolama üniteleri arasında hızlı, güvenilir bağlantı sağlayan özelleştirilmiş bir ağ türüdür. SAN uygulamasında bir depolama ünitesi herhangi tek bir sunucunun özel malı olmak yerine, depolama birimleri ağdaki sunucu ve diğer depolama ünitelerinin ortak malıdır. Kısacası SAN; sunucuları depolama birimlerine, depolama birimlerini birbirlerine ve sunucuları birbirine bağlamaktadır. Şekilde temel bir SAN topolojisi görünmektedir.
SAN ağdan fiziksel olarak ayrı olmak zorunda değildir. Belirli bir subnetin kendisine atanması sayesinde sunucu ve depolama birimleri arasındaki verileri taşıyabilir. Fakat bu subnette sadece sunucu ve diskler arasındaki veriler taşınmalıdır, e-mail trafiği gibi genel amaçlı trafikler buraya sokulmamalıdır.
Geleneksel LAN yapısında dosya sunucuları genel ağ trafiği ile ortak alanda olduğu için verimin azalmasına sebep olur. Bu tip alanlarda her uygulama için aynı ağın kullanılması performansta düşüklüklere sebep olur.
SAN’ın Yaraları
Her yıl şirketlerin depolama gereksinimleri azımsanmayacak derecede artmaktadır. Geleneksel dosya sunucuları çözümüne oranla, SAN bu gelişimlere sistemin çevrimiçi süresini azaltmadan adapte olmaya son derece elverişlidir. Ayrıca sunucu ve depolama üniteleri arasındaki doğrudan bağlantı performansın yükselmesine sebep olmaktadır.
SAN kurumsal bir yapıda temel olarak aşağıda belirtilen üç ihtiyacı karşılamaktadır;
- İşletme gereksinimlerinin, önceliklerinin değişmesindeki adaptasyonun sağlanması
- Yedekleme, kurtarma ve iletişimdeki verimin artması
- Kurulum ve işletme masraflarının azalması.
Aşağıdaki örnek Cisco’nun örnek bir SAN çözümünü göstermektedir.
SAN İletim Teknolojileri
San iletim teknolojileri dediğimizde üç farklı temel teknolojiden bahsedebiliriz; Fibre Channel, iSCSi, FCIP.
Fibre Channel; bu istemci-SAN bağlantısı için kullanılan birincil teknolojidir. Geleneksel olarak SAN’da, son istemcileri depolama ünitelerine bağlamak istendiğinde ayrı bir altyapıya gereksinim duyulur. İşte bu ihtiyacı karşılayan birincil protokol Fibre Channel’dır. Ayrıca Fibre Channel ağları SCSI protokolü için seri iletişim sağlar.
iSCSI; bir başka son kullanıcı- SAN bağlantı protokolüdür, genellikle LAN da kullanılır. SCSI’leri TCP/IP protokolü üzerinden bağlar.
FCIP; WAN ve MAN da kullanılan popüler bir SAN-SAN bağlantı modelidir. Fibre Channel da oluşan mesafe sorunlarını çözmek için open-standart olan FCIP kullanılabilir.
LUN
LUN (Local Unit Number) bir disk sunucusu için belirtilmiş özel bir adrestir. Saldırılardan korunmak için LUN maskelemesi yöntemi uygulanabilir. Yani LUN’ları sadece belirli istemciler için erişilebilir hale getirerek istenmeyen erişimleri engelleyebiliriz. Bu engelleme işlemi HBA (Host Bus Adapter) seviyesinde yapılır.
LUN masking sayesinde elde edilen güvenlik önlemleri limitlidir, çünkü bulunan birçok HBA’nın kaynak adreslerinin sahtesini yapmak mümkündür. Örneğin, SAN a Windows sunucuların ve Unix sunucuların bağlı olduğunu düşünelim. LUN’ları gizleyerek Windows sunucuların Unix sunuculara kendi etiketlerini yazmalarını engelleyebiliriz. Çünkü Windows sunucular Unix sunucuların varlığından bile haberdar olmayabilirler.
Günümüzde LUN’lar sadece bir disk sürücüsüne ait değildir, disk sürücüsünde bulunan birçok sanal bölüme ve RAID’e verilirler.
World Wide Name (WWN)
A World Wide Name (WWN) Fibre Channel ağı içindeki her elementi tanımlayan 64 bitlik bir adrestir. Zoning WWN’yi güvenlik izinlerini atamak için kullanabilir. Zoning fabriclerdeki özel WNN’lere giriş izni ya da girişin bloklanması için switchlerdeki isim sunucularını da kullanabilir.
Güvenlik amacı için WWN kullanımı özünde güvenli değildir çünkü WWN cihazın kullanıcı konfigürasyonlu bir parametresidir. WWN kullanan zoning, yetkisiz girişlere karşı dayanıklı değildir çünkü eğer saldırı yapmak isteyen kişi WWN adresini taklit edebilirse zone bypass edilebilir. HBA Fibre Channel loop ile Bus istemci arasında bulunan ve bu iki kanal arasında bilgi transferini sağlayan bir I/O bağdaştırıcısıdır.
SAN Zoning Stratejileri
SAN ağlarında bildiğiniz gibi birden çok depolama ünitesi bululmaktadır. Bu durumlarda güvenlik gerekçeleri sebebiyle bir ünitenin tümü üzerinde erişim izninin olması gerekmektedir. Bu durumu engellemek için Fibre Channel Zoning uygulanabilir.
Zoning bazı zamanlarda LUN masking ile karıştırılır çünkü her iki işlemin de hedefleri aynıdır. Fark şudur ki; zoning fabric switchlerde gerçekleştirilirken, LUN masking son nokta aygıtlarında görev yapar. Zoning potansiyel olarak daha güvenlidir. Zone üyeleri yalnızca zonedaki diğer elemanları görür. Aygıtlar birden fazla zone un elemanı olabilirler.
Zoning operasyonları için akılda tutulması gereken bazı basit kurallar;
– Zone elemanları sadece zone un diğer elemanlarını görürler.
– Zone’lar dinamik olarak WWN ye dayalı konfigüre edilebilirler.
– Aygıtlar birden fazla zone un elemanı olabilirler.
VSAN
İlk bakışta biraz karışık görünse de VSAN temelinde VLAN ile aynı yapıya sahiptir. VLAN’ler gibi, trafik VSAN ID ile işaretlenir ve iletişim böyle sağlanır. Böylece iletim işlemleri VSAN’lar arasında izole edilir.
VSAN Cisco tarafından bulunmuş ve kullanılmaya başlanmıştır fakat şuan ANSI standardı olarak kabul edilmektedir.