kovaleff - Fotolia
Pourquoi et comment bien configurer des zones sur un SAN
Les administrateurs isolent trop souvent les communications d’un SAN depuis les numéros de ports sur les switches qui interconnectent les serveurs et les baies de disques. Mieux vaut configurer des zones depuis tous les équipements pour renforcer la sécurité et faciliter l’administration.
Le zoning, cette technique de configuration qui sert à isoler les communications au sein d’un SAN, permet d’aller très loin dans la sécurisation d’un espace stockage. Hélas, peu d’entreprises en profitent car, passé le seuil des paramétrages basiques, les notions paraissent si complexes qu’elles découragent nombre d’administrateurs.
En réalité, la seule difficulté tient dans la quantité d’options possibles pour définir ces zones : depuis les switches, mais aussi depuis les serveurs et depuis les baies. Cet article se propose d’en faire enfin l’inventaire pour que les administrateurs puissent concevoir dès le départ une configuration pérenne.
L’intérêt de configurer les zones au-delà d’un paramétrage basique
Précisons que bien configurer des zones ne bénéficie pas qu’à la sécurité. Cela facilite aussi grandement les tâches d’administration au quotidien : grâce aux zones, les responsables d’un SAN attribuent directement des capacités de stockage à des applications ou à des utilisateurs, ils créent automatiquement de l’étanchéité entre les groupes et ils évitent une bonne fois pour toutes qu’un processus sur un serveur cause des interférences (corruption, ralentissement...) sur le reste des systèmes.
A l’épreuve, des zones scrupuleusement configurées deviennent essentielles dès qu’un SAN interconnecte des serveurs et des ressources de stockage sur une vingtaine de ports. Faire l’impasse sur cette technique compliquera beaucoup les futures tâches d’administration car, sans zones configurées, tous les serveurs reliés au SAN voient toutes les unités de stockage que les baies de disques peuvent partager. Et il devient dès lors difficile, pour ne pas dire très chronophage, de savoir qui impacte quoi et comment en cas d’incident.
Le problème d’un zoning basique est qu’il vieillit mal. Bien entendu, les administrateurs configurent toujours des zones lorsqu’ils installent leur SAN : ils notent scrupuleusement sur un carnet quels serveurs et quelles parties de quelles baies de stockage sont physiquement reliés à quels ports sur quels switches, puis passent du temps à paramétrer sur chaque switch que tel port n’a le droit de communiquer qu’avec tel autre port.
Mais lorsque le SAN évolue, que les serveurs ne sont plus reliés aux mêmes ports, ou que des modules de stockage sont ajoutés, cette configuration manuelle sur chaque switch n’est plus valable. Et comme les administrateurs n’ont pas nécessairement le temps de tout refaire, le SAN se retrouve dès lors dépourvu d’un zoning fiable.
Les paramètres à connaître pour configurer des zones
Les WWN (World Wide Name), les WWPN (World Wide Port Name), les adresses 24 bits ou encore les LUNs (logical unit number) peuvent tous servir à créer des zones. On parle plutôt de masking lorsque les zones sont définies depuis une baie ou un serveur, et de zoning à proprement parler, éventuellement matériel ou logiciel, lorsqu’elles le sont depuis les switches. Détaillons.
Un SAN est un réseau dont la fonction est de partager aux serveurs alentour les unités logiques de stockage (identifiées par des numéros de LUNs) que l’administrateur a configurées dans les baies de disques. Un SAN se compose donc de ces baies, de serveurs équipés de cartes contrôleur HBA pour communiquer avec ces baies, puis de switches qui interconnectent les uns et les autres depuis leurs ports de connexion respectifs. Ces switches forment la « fabric ».
Chacun de ces éléments physiques dispose d’un numéro de série unique au monde, que l’on appelle le World Wide Name (WWN). Il y a même un numéro de série pour chacun des ports, appelé dans certaines documentations le World Wide Port Name (WWPN) et « Port WWN » dans d’autres. Les WWN ne servent à identifier les équipements qu’au démarrage ; pour des facilités de routage, la fabric attribue à chacun des ports sur les serveurs et sur les baies une adresse 24 bits, selon la nomenclature du protocole Fiber Channel. On parle d’adresses FCP (Fiber Channel Protocol).
A ce stade, le zoning – parfois appelé « zonage » en français - sert à découper le réseau du SAN en sous-ensembles topologiques. Plusieurs schémas existent : une zone comprenant un ensemble de serveurs reliés à un seul port sur une baie de disques servira à isoler un cluster, une zone reliant un seul serveur à plusieurs ports sur la baie est plus adaptée à une application qui jongle entre différents volumes de données, etc.
En revanche, n’entre pas dans la catégorie du zoning la technique du VSAN (à ne pas confondre avec vSAN, une solution de Software Defined Storage éditée par VMware) qui consiste à connecter les serveurs et les baies de disques à une seconde fabric au titre de redondance.
Les différentes méthodes pour configurer des zones
Dans un zoning basique, comme expliqué plus haut, l’administrateur se contente de configurer les switches pour créer des ponts étanches entre certains de leurs ports, en partant du principe qu’il sait quel port d’un switch est physiquement relié à un serveur ou à une baie.
Néanmoins, le zoning peut être plus efficacement configuré dans les switches en définissant des ponts entre les WWN. Ainsi, qu’importe qu’un équipement soit au fil du temps branché sur un autre port de la fabric, le zoning perdurera. Attention toutefois : sur un serveur, le WWN est en fait celui de sa carte contrôleur HBA, celle qui lui permet de communiquer via le protocole FCP. Si cette carte est remplacée, il faut reconfigurer les switches, car le serveur n’aura plus le même WWN.
Toujours au niveau du switch, il est possible d’affiner le zoning pour qu’il regroupe non pas un serveur et une baie de disques, mais un serveur et seulement certains ports d’une baie. Ainsi, lorsque le serveur demande à la fabric la liste des adresses 24 bits attribuées à des ports derrière lesquels se trouvent des LUNs, il ne recevra qu’une liste réduite d’adresses correspondant aux seuls ports autorisés.
On parle de « soft » zoning quand le switch se contente de sélectionner des adresses pour répondre à une demande d’inventaire et de « hard zoning » quand il dispose d’un circuit de filtre qui interdit au serveur tout accès à certaines adresses, pour le cas où le serveur chercherait tout de même à joindre une adresse alors que la fabric ne lui a pas dit qu’elle existait. Tous les switches récents font du hard zoning.
Une table de correspondance similaire peut être configurée au niveau de la baie. Sachant qu’un serveur interroge une baie pour au final accéder à des LUNs, il est possible de définir dans la baie une liste qui indique quel serveur, d’après son WWN, peut accéder à quel LUN. Ainsi, la baie de disques répond au serveur en ne lui montrant que les LUNs qu’elle l’autorise de voir. Si le zoning a été configuré de manière basique au niveau du switch, il suffit d’indiquer à la baie qu’elle doit reconnaître un serveur non pas grâce à son WWN, mais d’après le port de cette baie par lequel est arrivé la requête du serveur.
Du côté du serveur, les zones peuvent être définies à plusieurs niveaux. Au plus bas, il est possible de configurer le firmware ou le pilote de la carte contrôleur HBA – ou l’hyperviseur dans le cas d’un serveur virtualisé - avec un masque qui ne lui laisse voir que certaines adresses FCP. Un cran au-dessus, le système d’exploitation du serveur est paramétrable pour monter ou non des volumes d’après les LUNs qu’il voit. Enfin, au plus haut niveau, des applications d’administration du stockage proposent des fonctions pour attribuer ou pas à certaines applications l’accès aux volumes montés.
Au final, définir des zones tout à la fois depuis les switches, depuis les serveurs et depuis les baies de disques permet de conserver le zoning au cas où l’un ou l’autre équipement serait corrompu par un pirate.
Au final, définir des zones tout à la fois depuis les switches, depuis les serveurs et depuis les baies de disques permet de conserver le zoning au cas où l’un ou l’autre équipement serait corrompu par un pirate. L’administrateur s’offre également l’opportunité de provisionner des espaces de stockage en passant par la console d’un des équipements, selon sa spécialité.