Connexion aux initiateurs iSCSI - AWS Storage Gateway
Connexion aux appareils VTLConnexion de vos volumes ou de vos appareils VTL à un client LinuxPersonnalisation des paramètres iSCSIConfiguration de l'authentification CHAP

La documentation de passerelle de fichiers Amazon S3 a été déplacée vers Qu’est-ce qu’une passerelle de fichiers Amazon S3 ?

La documentation de passerelle de fichiers Amazon FSx a été déplacée vers Qu’est-ce qu’une passerelle de fichiers Amazon FSx ?

La documentation de passerelle de volume a été déplacée vers Qu’est-ce qu’une passerelle de volume ?

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connexion aux initiateurs iSCSI

Lorsque vous gérez votre passerelle, vous utilisez des volumes ou des périphériques de la bibliothèque de bandes virtuelles (VTL) qui sont exposés en tant que cibles iSCSI (Internet Small Computer System Interface). Pour les passerelles de volumes, les cibles iSCSI sont des volumes. Pour les passerelles de bande, les cibles sont des appareils VTL. Dans le cadre de ce travail, vous effectuez des tâches telles que la connexion à ces cibles, la personnalisation des paramètres iSCSI, la connexion d'un client Red Hat Linux et la configuration du protocole CHAP (Challenge-Handshake Authentication Protocol).

La norme iSCSI est une norme de réseau de stockage basée sur le protocole Internet (IP) qui permet d'établir et de gérer les connexions entre les appareils de stockage basés sur l’IP et les clients. La liste suivante définit certains termes qui sont utilisés pour décrire la connexion iSCSI et les composants concernés.

Initiateur iSCSI

Le composant client d'un réseau iSCSI. L'initiateur envoie des requêtes à la cible iSCSI. Les initiateurs peuvent être implémentés dans le logiciel ou le matériel. Storage Gateway prend uniquement en charge les initiateurs logiciels.

Cible iSCSI

Le composant serveur du réseau iSCSI qui reçoit et répond aux demandes des initiateurs. Chaque volume est exposé comme cible iSCSI. Connectez un seul initiateur iSCSI à chaque cible iSCSI.

Initiateur iSCSI Microsoft

Le programme logiciel sur les ordinateurs Microsoft Windows qui vous permet de connecter un ordinateur client (c'est-à-dire, l'ordinateur qui exécute l'application dont vous souhaitez écrire les données sur la passerelle) à un tableau externe basé sur iSCSI (c'est-à-dire, la passerelle). La connexion est effectuée à l'aide de la carte réseau Ethernet de l'ordinateur hôte. L'initiateur Microsoft iSCSI a été validé avec Storage Gateway sous Windows 8.1, Windows 10, Windows Server 2012 R2, Windows Server 2016 et Windows Server 2019. L'initiateur est intégré à ces systèmes d'exploitation.

Initiateur iSCSI Red Hat

Le package RPM (Resource Package Manager) iscsi-initiator-utils vous fournit un initiateur iSCSI mis en œuvre dans le logiciel pour Red Hat Linux. Le package comprend un server daemon pour le protocole iSCSI.

Chaque type de passerelle peut se connecter aux appareils iSCSI et vous pouvez personnaliser ces connexions, tel que décrit ci-après.

Connexion de vos appareils VTL à un client Windows

Une passerelle de bande expose plusieurs lecteurs de bandes et un changeur de média, nommés collectivement appareils VTL, en tant que cibles iSCSI. Pour de plus amples informations, veuillez consulter Prérequis.

Note

Vous connectez une seule application à chaque cible iSCSI.

Le diagramme suivant met en évidence la cible iSCSI dans le cadre de l'architecture Storage Gateway. Pour plus d'informations sur l'architecture Storage Gateway, consultez Fonctionnement de la passerelle de bande (architecture).

Lecteurs de bande et changeurs de média Storage Gateway en tant que cibles iSCSI connectées à des applications de sauvegarde.
Pour connecter votre client Windows aux appareils VTL

  1. Dans le menu Démarrer de votre ordinateur client Windows, saisissez iscsicpl.exe dans la zone Rechercher les programmes et les fichiers, trouvez le programme d'initiateur iSCSI, puis exécutez-le.

    Note

    Vous devez avoir des droits d'administrateur sur l'ordinateur client pour pouvoir exécuter l'initiateur iSCSI.

  2. Si vous y êtes invité, choisissez Oui pour démarrer le service de l'initiateur Microsoft iSCSI.

    Invite de démarrage du service Microsoft iSCSI.

  3. Dans la boîte de dialogue iSCSI Initiator Properties (Propriétés de l'initiateur iSCSI), choisissez l'onglet Discovery (Découverte), puis sélectionnez Discover Portal (Découvrir le portail).

    Boîte de dialogue des propriétés de l'initiateur iSCSI affichant l'onglet de découverte et le bouton du portail de découverte.

  4. Dans la boîte de dialogue Détecter un portail cible, saisissez l'adresse IP de votre passerelle de bande pour Adresse IP ou nom DNS, puis choisissez OK. Pour obtenir l'adresse IP de votre passerelle, consultez l'onglet Passerelle de la console Storage Gateway. Si vous avez déployé votre passerelle sur une instance Amazon EC2, l'adresse IP publique ou DNS se trouve dans l'onglet Description de la console Amazon EC2.

    boîte de dialogue détecter le portail cible affichant les champs adresse IP ou nom DNS et port.
    Avertissement

    Pour les passerelles qui sont déployées sur une instance Amazon EC2, l'accès à la passerelle via une connexion Internet publique n'est pas pris en charge. L'adresse IP Elastic de l'instance Amazon EC2 ne peut pas être utilisée en tant qu'adresse cible.

  5. Choisissez l'onglet Cibles, puis sélectionnez Actualiser. Les dix lecteurs de bandes et le changeur de média apparaissent dans la zone Cibles découvertes. L'état des cibles est Inactif.

    La capture d'écran suivante présente les cibles découvertes.

    onglet des propriétés de l'initiateur iSCSI indiquant les cibles découvertes.

  6. Sélectionnez le premier appareil, puis choisissez Connecter. Vous connectez les appareils un à la fois.

  7. Dans la boîte de dialogue Se connecter à la cible, choisissez OK.

  8. Répétez les étapes 6 et 7 pour chacun des appareils afin de tous les connecter, puis choisissez OK dans la boîte de dialogue Propriétés de l'initiateur iSCSI.

Sur un client Windows, le fournisseur de pilotes pour le lecteur de bandes doit être Microsoft. Utilisez la procédure suivante pour vérifier le fournisseur de pilotes et mettez à jour le pilote et le fournisseur si nécessaire.

Pour vérifier le fournisseur de pilotes et (si besoin) mettre à jour le pilote et le fournisseur sur un client Windows

  1. Sur le client Windows, démarrez le gestionnaire d'appareils.

  2. Développez Lecteurs de bande, choisissez le menu contextuel (clic droit) d'un lecteur de bandes, puis sélectionnez Propriétés.

    Écran du gestionnaire de périphériques Windows avec menu contextuel du lecteur de bande affichant l'option propriétés.

  3. Dans l'onglet Pilote de la boîte de dialogue Propriétés de l'appareil, vérifiez que le Fournisseur de pilote est Microsoft.

    boîte de dialogue des propriétés du lecteur de bande Windows avec fournisseur de pilote et mettre à jour le pilote mis en évidence.

  4. Si le Fournisseur de pilote n'est pas Microsoft, définissez la valeur comme suit :

    1. Choisissez Mettre à jour le pilote.

    2. Dans la boîte de dialogue Mettre à jour le pilote, choisissez Parcourir mon ordinateur pour rechercher le logiciel du pilote.

      boîte de dialogue Windows mettre à jour le logiciel de pilote avec parcourir mon ordinateur pour rechercher le logiciel du pilote en surbrillance.

    3. Dans la boîte de dialogue Mettre à jour le logiciel de pilote, sélectionnez Me laisser choisir parmi une liste de pilotes d'appareils sur mon ordinateur.

      boîte de dialogue de mise à jour du logiciel pilote Windows Update avec l'option me laisser choisir parmi une liste mise en évidence.

    4. Sélectionnez Lecteur de bandes LTO, puis choisissez Suivant.

      boîte de dialogue Windows mettre à jour le logiciel de pilote affichant la liste des pilotes matériels compatibles.

    5. Choisissez Fermer pour fermer la fenêtre Mettre à jour le logiciel de pilote et vérifiez que la valeur du Fournisseur de pilote est maintenant définie sur Microsoft.

  5. Répétez les étapes 4.1 à 4.5 pour mettre à jour tous les lecteurs de bandes.

Connexion de vos volumes ou de vos appareils VTL à un client Linux

Rubriques

    Lorsque vous utilisez Red Hat Enterprise Linux (RHEL), vous utilisez le package RPM iscsi-initiator-utils pour vous connecter aux cibles iSCSI de votre passerelle (volumes ou appareils VTL).

    Pour connecter un client Linux aux cibles iSCSI

    1. Installez le package RPM iscsi-initiator-utils, s'il n'est pas déjà installé sur le client.

      Vous pouvez utiliser la commande suivante pour installer le package.

      sudo yum install iscsi-initiator-utils

    2. Veillez à ce que le daemon iSCSI soit en cours d'exécution.

      1. Vérifiez que le daemon iSCSI est en cours d'exécution à l'aide de l'une des commandes suivantes.

        For RHEL 5 or 6, utilisez la commande suivante.

        sudo /etc/init.d/iscsi status

        Pour RHEL 7, utilisez la commande suivante.

        sudo service iscsid status

      2. Si la commande de l'état ne renvoie pas l'état en cours d'exécution, démarrez le daemon à l'aide de l'une des commandes suivantes.

        For RHEL 5 or 6, utilisez la commande suivante.

        sudo /etc/init.d/iscsi start

        Pour RHEL 7, utilisez la commande suivante. Pour RHEL 7, vous n'avez généralement pas besoin de lancer explicitement le service iscsid.

        sudo service iscsid start

    3. Pour découvrir le volume ou les cibles d'appareils VTL définis pour une passerelle, utilisez la commande de découverte suivante.

      sudo /sbin/iscsiadm --mode discovery --type sendtargets --portal [GATEWAY_IP]:3260

      Remplacez l'adresse IP de la passerelle pour la variable [GATEWAY_IP] dans la commande précédente. Vous trouverez l'IP de la passerelle dans les propriétés Informations cibles iSCSI d'un volume sur la console Storage Gateway.

      Le résultat de la commande de découverte ressemble à l'exemple de sortie suivant.

      Pour les passerelles de volumes : [GATEWAY_IP]:3260, 1 iqn.1997-05.com.amazon:myvolume

      Pour les passerelles de bande : iqn.1997-05.com.amazon:[GATEWAY_IP]-tapedrive-01

      Votre nom qualifié iSCSI (IQN) sera différent de celui qui est affiché précédemment, car les valeurs de nom qualifié sont propres à une organisation. Le nom de la cible est celui que vous avez spécifié lorsque vous avez créé le volume. Ce nom se trouve également dans le volet des propriétés Informations cibles iSCSI lorsque vous sélectionnez un volume sur la console Storage Gateway.

    4. Pour vous connecter à une cible, utilisez la commande suivante.

      Notez que vous devez spécifier la bonne [GATEWAY_IP] et le nom qualifié approprié dans la commande de connexion.

      Avertissement

      Pour les passerelles qui sont déployées sur une instance Amazon EC2, l'accès à la passerelle via une connexion Internet publique n'est pas pris en charge. L'adresse IP Elastic de l'instance Amazon EC2 ne peut pas être utilisée en tant qu'adresse cible. 

      sudo /sbin/iscsiadm --mode node --targetname iqn.1997-05.com.amazon:[ISCSI_TARGET_NAME] --portal [GATEWAY_IP]:3260,1 --login

    5. Pour vérifier que le volume est attaché à l'ordinateur client (l'initiateur), utilisez la commande suivante.

      ls -l /dev/disk/by-path

      Le résultat de la commande ressemble à l'exemple de sortie suivant.

      lrwxrwxrwx. 1 root root 9 Apr 16 19:31 ip-[GATEWAY_IP]:3260-iscsi-iqn.1997-05.com.amazon:myvolume-lun-0 -> ../../sda

      Une fois que vous avez configuré votre initiateur, nous vous recommandons vivement de personnaliser vos paramètres iSCSI comme indiqué dans Personnalisation de vos paramètres iSCSI Linux.

    Personnalisation des paramètres iSCSI

    Une fois que vous avez configuré l'initiateur, nous vous recommandons vivement de personnaliser vos paramètres iSCSI pour empêcher l'initiateur de se déconnecter des cibles.

    En augmentant les valeurs de délai iSCSI comme illustré dans les étapes suivantes, vous permettez à votre application de mieux traiter les opérations d'écriture qui prennent beaucoup de temps et d'autres questions temporaires telles que les interruptions de réseau.

    Note

    Avant d'apporter des modifications au registre, vous devez créer une copie de sauvegarde du registre. Pour plus d'informations sur la création d'une copie de sauvegarde et sur les autres bonnes pratiques à suivre lors de l'utilisation du registre, consultez la section Meilleures pratiques du registre dans la Microsoft TechNet Library.

    Personnalisation des paramètres iSCSI Windows

    Pour la configuration d'une passerelle de bande, la connexion à vos appareils VTL à l'aide d'un initiateur iSCSI Microsoft est un processus en deux étapes :

    1. Connectez les appareils de votre passerelle de bande à votre client Windows.

    2. Si vous utilisez une application de sauvegarde, configurez-la de façon à utiliser ces appareils.

    La configuration de l'exemple de mise en route fournit des instructions relatives à ces deux étapes. Il utilise l'application de NetBackup sauvegarde Symantec. Pour plus d’informations, consultez Connexion de vos appareils VTL et Configuration des périphériques NetBackup de stockage.

    Pour personnaliser vos paramètres iSCSI Windows

    1. Augmentez la durée maximale pendant laquelle les requêtes sont mises en attente.

      1. Démarrez l'éditeur de registre (Regedit.exe).

      2. Accédez à la clé GUID pour la classe d'appareil qui contient les paramètres du contrôleur iSCSI, comme indiqué ci-après.

        Avertissement

        Assurez-vous que vous travaillez dans la CurrentControlSetsous-clé et non dans un autre ensemble de contrôles, tel que ControlSet001 ou ControlSet002.

        HKEY_Local_Machine\SYSTEM\CurrentControlSet\Control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}

      3. Recherchez la sous-clé de l'initiateur iSCSI Microsoft, représentée ci-après comme [<Numéro d'instance].

        La clé est représentée par un nombre à quatre chiffres, par exemple 0000. 

        HKEY_Local_Machine\SYSTEM\CurrentControlSet\Control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}\[<Instance Number]

        En fonction de ce qui est installé sur votre ordinateur, l'initiateur iSCSI Microsoft ne peut pas être la sous-clé 0000. Vous pouvez vérifier que vous avez sélectionné la bonne sous-clé en vous assurant que la chaîne DriverDesc a la valeur Microsoft iSCSI Initiator, comme illustré dans l'exemple suivant.

        éditeur de registre Windows affichant la chaîne driverdesc avec la valeur de l'initiateur Microsoft Iscsi.

      4. Pour afficher les paramètres iSCSI, choisissez la sous-clé Paramètres.

      5. Ouvrez le menu contextuel (clic droit) pour la valeur MaxRequestHoldTimeDWORD (32 bits), choisissez Modifier, puis remplacez la valeur par. 600

        MaxRequestHoldTimeindique pendant combien de secondes l'initiateur Microsoft iSCSI doit maintenir et réessayer les commandes en attente, avant de notifier un événement à la couche supérieure. Device Removal Cette valeur représente un temps d'attente de 600 secondes, comme indiqué dans l'exemple suivant.

        éditeur de registre Windows affichant max request hold time dword avec une valeur de six cents.

    2. Vous pouvez augmenter la quantité maximale de données pouvant être envoyées dans les paquets iSCSI en modifiant les paramètres suivants :

      • FirstBurstLengthcontrôle la quantité maximale de données qui peuvent être transmises dans le cadre d'une demande d'écriture non sollicitée. Définissez cette valeur sur 262144 ou sur la valeur par défaut du système d'exploitation Windows, en choisissant la valeur la plus élevée.

      • MaxBurstLengthest similaire à FirstBurstLength, mais il définit la quantité maximale de données pouvant être transmises dans des séquences d'écriture sollicitées. Définissez cette valeur sur 1048576 ou sur la valeur par défaut du système d'exploitation Windows, en choisissant la valeur la plus élevée.

      • MaxRecvDataSegmentLengthcontrôle la taille maximale des segments de données associés à une unité de données à protocole unique (PDU). Définissez cette valeur sur 262144 ou sur la valeur par défaut du système d'exploitation Windows, en choisissant la valeur la plus élevée.

      éditeur de registre Windows avec valeurs dword de longueur de paquet iSCSI mises en évidence.
      Note

      Différents logiciels de sauvegarde peuvent être optimisés pour fonctionner au mieux à l'aide de différents paramètres iSCSI. Pour vérifier les valeurs de ces paramètres qui offrent les meilleures performances, consultez la documentation de votre logiciel de sauvegarde.

    3. Augmentez la valeur de délai d'attente du disque, comme illustré ci-après:

      1. Démarrez l'éditeur de registre (Regedit.exe), si vous ne l'avez pas déjà fait.

      2. Accédez à la sous-clé Disk dans la sous-clé Services du CurrentControlSet, comme indiqué ci-dessous.

        HKEY_Local_Machine\SYSTEM\CurrentControlSet\Services\Disk

      3. Ouvrez le menu contextuel (clic droit) pour la valeur TimeOutValueDWORD (32 bits), choisissez Modifier, puis remplacez la valeur par. 600

        TimeOutValueindique pendant combien de secondes l'initiateur iSCSI attendra une réponse de la cible avant de tenter de restaurer une session en interrompant puis en rétablissant la connexion. Cette valeur représente un délai d'attente de 600 secondes, comme indiqué dans l'exemple suivant.

        éditeur de registre Windows affichant time out value dword avec une valeur de six cents.

    4. Pour veiller à ce que les nouvelles valeurs de configuration prennent effet, redémarrez votre système.

      Avant de redémarrer, vous devez vous assurer que les résultats de toutes les opérations d'écriture pour les volumes ont été nettoyés. Pour ce faire, prenez n'importe quel disque de volume de stockage mappé hors ligne avant de redémarrer.

    Personnalisation de vos paramètres iSCSI Linux

    Une fois que vous avez configuré l'initiateur pour la passerelle, nous vous recommandons vivement de personnaliser vos paramètres iSCSI pour empêcher l'initiateur de se déconnecter des cibles. En augmentant les valeurs de délai iSCSI comme illustré ci-après, vous permettez à votre application de mieux traiter les opérations d'écriture qui prennent beaucoup de temps et d'autres questions temporaires telles que les interruptions de réseau.

    Note

    Les commandes peuvent être légèrement différentes pour d'autres types de Linux. Les exemples suivants sont basés sur Red Hat Linux.

    Pour personnaliser vos paramètres iSCSI Linux

    1. Augmentez la durée maximale pendant laquelle les requêtes sont mises en attente.

      1. Ouvrez le fichier /etc/iscsi/iscsid.conf et recherchez les lignes suivantes.

        node.session.timeo.replacement_timeout = [replacement_timeout_value] 
node.conn[0].timeo.noop_out_interval = [noop_out_interval_value] 
node.conn[0].timeo.noop_out_timeout = [noop_out_timeout_value]

      2. Définissez la valeur [replacement_timeout_value] sur 600.

        Définissez la valeur [noop_out_interval_value] sur 60.

        Définissez la valeur [noop_out_timeout_value] sur 600.

        Ces trois valeurs sont exprimées en secondes.

        Note

        Les paramètres iscsid.conf doivent être définis avant la découverte de la passerelle. Si vous avez déjà découvert votre passerelle ou si vous vous êtes connecté à la cible, ou les deux, vous pouvez supprimer l'entrée de la base de données de découverte à l'aide de la commande suivante. Vous pouvez ensuite redécouvrir ou vous connecter à nouveau pour récupérer la nouvelle configuration.

        iscsiadm -m discoverydb -t sendtargets -p [GATEWAY_IP]:3260 -o delete

    2. Augmentez les valeurs maximales pour la quantité de données pouvant être transmises dans chaque réponse.

      1. Ouvrez le fichier /etc/iscsi/iscsid.conf et recherchez les lignes suivantes.

        node.session.iscsi.FirstBurstLength = [replacement_first_burst_length_value] 
node.session.iscsi.MaxBurstLength = [replacement_max_burst_length_value]
node.conn[0].iscsi.MaxRecvDataSegmentLength = [replacement_segment_length_value]

      2. Nous recommandons les valeurs suivantes pour obtenir de meilleures performances. Votre logiciel de sauvegarde peut être optimisé pour utiliser différentes valeurs. Consultez donc la documentation de ce dernier pour obtenir les meilleurs résultats.

        Définissez la valeur [replacement_first_burst_length_value] sur 262144 ou sur la valeur par défaut du système d'exploitation Linux, selon la valeur la plus élevée.

        Définissez la valeur [replacement_max_burst_length_value] sur 1048576 ou sur la valeur par défaut du système d'exploitation Linux, selon la valeur la plus élevée.

        Définissez la valeur [replacement_segment_length_value] sur 262144 ou sur la valeur par défaut du système d'exploitation Linux, selon la valeur la plus élevée.

        Note

        Différents logiciels de sauvegarde peuvent être optimisés pour fonctionner au mieux à l'aide de différents paramètres iSCSI. Pour vérifier les valeurs de ces paramètres qui offrent les meilleures performances, consultez la documentation de votre logiciel de sauvegarde.

    3. Redémarrez le système pour veiller à ce que les nouvelles valeurs de configuration prennent effet.

      Avant de redémarrer, vous devez vous assurer que les résultats de toutes les opérations d'écriture pour les bandes ont été nettoyées. Pour ce faire, démontez les bandes avant de redémarrer.

    Personnalisation des paramètres de délai d'expiration du disque Linux pour les passerelles de volume

    Si vous utilisez une passerelle de volume, vous pouvez personnaliser les paramètres de délai d'expiration du disque Linux suivants en plus des paramètres iSCSI décrits dans la section précédente.

    Pour personnaliser vos paramètres de délai d'expiration du disque Linux

    1. Augmentez la valeur de délai d'attente du disque dans le fichier de règles.

      1. Si vous utilisez l'initiateur RHEL 5, ouvrez le fichier /etc/udev/rules.d/50-udev.rules et recherchez la ligne suivante.

        ACTION=="add", SUBSYSTEM=="scsi" , SYSFS{type}=="0|7|14", \ 
RUN+="/bin/sh -c 'echo [timeout] > /sys$$DEVPATH/timeout'"

        Ce fichier de règles n'existe pas dans les initiateurs RHEL 6 ou 7. Vous devez donc le créer à l'aide de la règle suivante.

        ACTION=="add", SUBSYSTEMS=="scsi" , ATTRS{model}=="Storage Gateway", 
RUN+="/bin/sh -c 'echo [timeout] > /sys$$DEVPATH/timeout'"

        Pour modifier la valeur de délai d'attente dans RHEL 6, utilisez la commande suivante, puis ajoutez les lignes de code indiquées précédemment. 

        sudo vim /etc/udev/rules.d/50-udev.rules

        Pour modifier la valeur de délai d'attente dans RHEL 7, utilisez la commande suivante, puis ajoutez les lignes de code indiquées précédemment. 

        sudo su -c "echo 600 > /sys/block/[device name]/device/timeout"

      2. Définissez la valeur [timeout] sur 600.

        Cette valeur représente un délai de 600 secondes.

    2. Redémarrez le système pour veiller à ce que les nouvelles valeurs de configuration prennent effet.

      Avant de redémarrer, assurez-vous que les résultats de toutes les opérations d'écriture pour les volumes ont été nettoyés. Pour cela, démontez les volumes de stockage avant de redémarrer.

    3. Vous pouvez tester la configuration en utilisant la commande suivante. 

      udevadm test [PATH_TO_ISCSI_DEVICE]

      Cette commande affiche les règles udev qui sont appliquées à l'appareil iSCSI.

    Configuration de l'authentification CHAP pour vos cibles iSCSI

    Storage Gateway prend en charge l'authentification entre votre passerelle et les initiateurs iSCSI grâce au protocole CHAP (Challenge-Handshake Authentication Protocol). Le protocole CHAP fournit une protection contre les attaques de lecture en vérifiant régulièrement l'identité d'un initiateur iSCSI authentifié pour accéder à un volume et à un appareil VTL cible.

    Note

    La configuration CHAP est facultative, mais vivement recommandée.

    Pour configurer le protocole CHAP, vous devez le configurer à la fois sur la console Storage Gateway et dans le logiciel initiateur iSCSI que vous utilisez pour vous connecter à la cible. Storage Gateway utilise le protocole CHAP mutuel, c'est-à-dire lorsque l'initiateur authentifie la cible et que la cible authentifie l'initiateur.

    Pour paramétrer l'authentification CHAP mutuelle pour vos cibles

    1. Configurez CHAP sur la console , comme indiqué dans Pour configurer CHAP pour une cible d'appareil VTL sur la console Storage Gateway.

    2. Dans votre logiciel initiateur client, finalisez la configuration de CHAP :

    Pour configurer CHAP pour une cible d'appareil VTL sur la console Storage Gateway

    Au cours de cette procédure, vous spécifiez deux clés secrètes qui sont utilisées pour lire et écrire sur une bande virtuelle. Ces mêmes clés sont utilisées dans la procédure pour configurer l'initiateur du client.

    1. Dans le volet de navigation, choisissez Passerelles.

    2. Sélectionnez votre passerelle, puis choisissez l'onglet Périphériques VTL afin d'afficher tous vos périphériques VTL.

    3. Choisissez l'appareil pour lequel vous souhaitez configurer CHAP.

    4. Fournissez les informations demandées dans la boîte de dialogue Configurer l'authentification CHAP.

      1. Pour Nom de l'initiateur, saisissez le nom de votre initiateur iSCSI. Ce nom est un nom qualifié Amazon iSCSI (IQN) qui est ajouté à iqn.1997-05.com.amazon:, suivi du nom de la cible. Voici un exemple.

        iqn.1997-05.com.amazon:your-tape-device-name

        Vous trouverez le nom de l'initiateur en utilisant votre logiciel d'initiateur iSCSI. Par exemple, pour les clients Windows, le nom est la valeur de l'onglet Configuration de l'initiateur iSCSI. Pour de plus amples informations, veuillez consulter Pour configurer l'authentification CHAP mutuelle sur un client Windows.

        Note

        Pour modifier le nom d'un initiateur, vous devez d'abord désactiver CHAP, modifier le nom de l'initiateur dans votre logiciel d'initiateur iSCSI, puis activer le protocole CHAP avec le nouveau nom.

      2. Pour Secret utilisé pour authentifier l'initiateur, saisissez le secret demandé.

        Ce secret doit comporter 12 caractères au minimum et 16 caractères au maximum. Cette valeur est la clé secrète que l'initiateur (autrement dit, le client Windows) doit connaître pour participer à CHAP avec la cible.

      3. Pour Secret utilisé pour authentifier la cible (authentification CHAP mutuelle), saisissez le secret demandé.

        Ce secret doit comporter 12 caractères au minimum et 16 caractères au maximum. Cette valeur est la clé secrète que la cible doit connaître pour participer à CHAP avec l'initiateur.

        Note

        Le secret utilisé pour authentifier la cible doit être différent de celui utilisé pour authentifier l'initiateur.

      4. Choisissez Enregistrer.

    5. Sur l'onglet Périphériques VTL, vérifiez que le champ de l'authentification CHAP iSCSI est défini sur vrai.

    Pour configurer l'authentification CHAP mutuelle sur un client Windows

    Au cours de cette procédure, vous configurez CHAP dans l'initiateur iSCSI Microsoft à l'aide des mêmes clés que celles utilisées pour configurer CHAP pour le volume de la console.

    1. Si l'initiateur iSCSI n'a pas encore été démarré, dans le menu Démarrer de l'ordinateur client Windows, choisissez Exécuter, saisissez iscsicpl.exe, puis choisissez OK pour exécuter le programme.

    2. Configurez l'authentification CHAP mutuelle pour l'initiateur (autrement dit, le client Windows) :

      1. Cliquez sur l'onglet Configuration.

        Note

        La valeur Nom de l'initiateur est unique pour l'initiateur et votre société. Le nom indiqué précédemment est la valeur que vous avez utilisée dans la boîte de dialogue Configurer l'authentification CHAP de la console Storage Gateway.

        Le nom affiché dans l'exemple d'image est uniquement utilisé à des fins d'illustration.

      2. Choisissez CHAP.

      3. Dans la boîte de dialogue Secret Chap mutuel initiateur iSCSI, saisissez la valeur secrète de l'authentification CHAP mutuelle.

        boîte de dialogue secret CHAP mutuel initiateur iSCSI affichant les caractères masqués saisis.

        Dans cette boîte de dialogue, vous entrez le secret que l'initiateur (le client Windows) utilise pour authentifier la cible (le volume de stockage). Ce secret permet à la cible de lire et d'écrire sur l'initiateur. Ce secret est le même que celui saisi dans la zone Secret utilisé pour authentifier la cible (authentification CHAP mutuelle) de la boîte de dialogue Configurer l'authentification CHAP. Pour de plus amples informations, veuillez consulter Configuration de l'authentification CHAP pour vos cibles iSCSI.

      4. Si la clé que vous avez saisie comporte moins de 12 caractères ou plus de 16 caractères, une boîte de dialogue d'erreur Secret CHAP de l'initiateur s'affiche.

        Choisissez OK, puis saisissez la clé à nouveau.

        boîte de dialogue secret CHAP de l’initiateur avec message d'avertissement indiquant que le secret est inférieur à 96 bits.

    3. Configurez la cible avec le secret de l'initiateur pour finaliser la configuration CHAP mutuelle.

      1. Choisissez l'onglet Cibles.

        propriétés de l'initiateur iSCSI montrant l’onglet cibles avec la liste de cibles découvertes.

      2. Si la cible que vous souhaitez configurer pour CHAP est actuellement connectée, déconnectez-la en la sélectionnant, puis en choisissant Se déconnecter.

      3. Sélectionnez la cible que vous souhaitez configurer pour CHAP, puis choisissez Se connecter.

        onglet cibles avec la cible sélectionnée et le bouton de connexion mis en évidence.

      4. Dans la boîte de dialogue Se connecter à la cible, choisissez Avancé.

        boîte de dialogue de connexion à la cible avec le bouton avancé mis en évidence.

      5. Dans la boîte de dialogue Paramètres avancés, configurez CHAP.

        1. Sélectionnez Activer la connexion CHAP.

        2. Saisissez le secret obligatoire pour authentifier l'initiateur. Ce secret est le même que celui saisi dans la zone Secret utilisé pour authentifier l'initiateur de la boîte de dialogue Configurer l'authentification CHAP. Pour de plus amples informations, veuillez consulter Configuration de l'authentification CHAP pour vos cibles iSCSI.

        3. Sélectionnez Effectuer une authentification mutuelle.

        4. Pour appliquer ces modifications, choisissez OK.

      6. Dans la boîte de dialogue Se connecter à la cible, choisissez OK.

    4. Si vous avez fourni la clé secrète correcte, la cible affiche l'état Connecté.

      onglet cibles des propriétés de l'initiateur iSCSI avec une cible mise en évidence affichant le statut connectée.
    Pour configurer l'authentification CHAP mutuelle sur un client Red Hat Linux

    Au cours de cette procédure, vous configurez CHAP dans l'initiateur iSCSI Linux à l'aide des mêmes clés que celles utilisées pour configurer CHAP pour le volume de la console Storage Gateway.

    1. Veillez à ce que le daemon iSCSI soit en cours d'exécution et connectez-vous à une cible au préalable. Si vous n'avez pas terminé ces deux tâches, consultez Connexion à un client Linux.

    2. Déconnectez-vous et supprimez toute configuration existante pour la cible pour laquelle vous êtes sur le point de configurer CHAP.

      1. Pour trouver le nom de la cible et vérifier qu'il s'agit bien d'une configuration définie, répertoriez les configurations enregistrées à l'aide de la commande suivante.

        sudo /sbin/iscsiadm --mode node

      2. Déconnectez-vous de la cible.

        La commande suivante déconnecte de la cible nommée myvolume qui est définie dans le nom qualifié iSCSI Amazon (IQN). Changez le nom de la cible et le nom qualifié comme requis dans votre cas de figure.

        sudo /sbin/iscsiadm --mode node --logout GATEWAY_IP:3260,1 iqn.1997-05.com.amazon:myvolume

      3. Supprimez la configuration pour la cible.

        La commande suivante supprime la configuration de la cible myvolume.

        sudo /sbin/iscsiadm --mode node --op delete --targetname iqn.1997-05.com.amazon:myvolume

    3. Modifiez le fichier de configuration iSCSI pour activer le protocole CHAP.

      1. Obtenez le nom de l'initiateur (autrement dit, le client que vous utilisez).

        La commande suivante obtient le nom de l'initiateur dans le fichier /etc/iscsi/initiatorname.iscsi.

        sudo cat /etc/iscsi/initiatorname.iscsi

        La sortie de cette commande ressemble à ceci :

        InitiatorName=iqn.1994-05.com.redhat:8e89b27b5b8

      2. Ouvrez le fichier /etc/iscsi/iscsid.conf.

      3. Supprimez les lignes suivantes dans le fichier et spécifiez les valeurs correctes pour nom d'utilisateur, mot de passe, username_in et password_in.

        node.session.auth.authmethod = CHAP
node.session.auth.username = username
node.session.auth.password = password
node.session.auth.username_in = username_in
node.session.auth.password_in = password_in

        Pour des conseils sur les valeurs à spécifier, consultez le tableau suivant.

        Paramètre de configuration Valeur
        nom d’utilisateur

        Le nom de l'initiateur que vous avez trouvé lors d'une étape précédente de cette procédure. La valeur commence par iqn. Par exemple, iqn.1994-05.com.redhat:8e89b27b5b8 est une valeur nom d'utilisateur valide.
        mot de passe La clé secrète utilisée pour authentifier l'initiateur (le client que vous utilisez) quand il communique avec le volume.
        username_in

        L'IQN du volume cible. La valeur commence par iqn et se termine par le nom de la cible. Par exemple, iqn.1997-05.com.amazon:myvolume est une valeur username_in valide.
        password_in

        La clé secrète utilisée pour authentifier la cible (le volume) quand il communique avec l'initiateur.

      4. Enregistrez les modifications dans le fichier de configuration, puis fermez le fichier.

    4. Découvrez la cible et connectez-vous à celle-ci. Pour ce faire, suivez les étapes décrites dans Connexion à un client Linux.