Christophe Leroy

Discussion autour des bonnes pratiques de la mise en place du Zoning dans une infrastructure Fibre Channel

Blog Post created by Christophe Leroy Employee on Dec 9, 2014

Un blog sur les SAN Fibre Channel ne serait complet si nous avions pas inclus une discussion détaillée sur le "zoning" et ses bonnes pratiques.. C'est précisément le sujet du blog de cette dernière page ou nous allons définir le "zoning" et expliquer les différentes stratégies possibles.

 

Qu'est ce que le  Zoning ?

Le zoning Fibre Channel est un moyen de séparer un commutateur Fibre Channel afin d'assurer la sécurité et de minimiser l'interruption entre les périphériques. Dans la pratique, le concept n' est pas plus difficile que de simples diagrammes de Venn que vous avez probablement de dessiner au collège :

 

VennDiagram_900.gif

 

Si deux objets sont dans le même zone alors ils sont capables de communiquer entre elles, si elles ne le sont pas, ils sont incapables de le faire. Cela forme un niveau de base de sécurité qui est géré au niveau du commutateur Fibre Channel en séparant les appareils qui ne sont pas autorisés à communiquer entre eux. Comme nous l'avons vu dans les blogs précédents, un niveau de sécurité est le LUN Masking, où le volume / LUN qui est seulement  associé aux hôtes initiateurs qui sont autorisés à communiquer et qui sont gérés au niveau de la baie de stockage. Les deux méthodes sont indépendantes et sont fortement recommandés dans tous les déploiements de stockage Fibre Channel.

 

Une Fabric SAN peut fonctionner avec peu de paramétrage mais avec le développent des infrastructures au fil du temps des fonctionnalités ont été ajoutés. Le Zoning fournit une méthode efficace pour maintenir l'intégrité des données et accroître la sécurité des données en cas de défaillance d'une carte FC, d'un commutateur ou d'un contrôleur sur une baie de stockage.

 

Pourquoi le Zoning est important ?

Comme mentionné ci-dessus, il y a un certain nombre de raisons pour lesquelles le zoning doit être mis en place. La Gestion de la sécurité et la ségrégation des liens sont les raisons principales.

 

Notification des modifications d'état enregistré (RSCN)

 

Tous les appareils au sein d'un SAN doivent être informés des changements à l'environnement (par exemple, lorsque les nœuds se connectent et se déconnectent dans la fabric). Lorsqu'il y a un changement de topologie tous les serveurs hôtes doivent recevoir une notification, cela peut être la connexion ou la suppression d'un périphérique. Le processus de communication de changement de topologie de chaque appareil est réalisé par le RSCN. Chaque fois qu'un événement se produit sur le SAN, un RSCN est émis et chaque appareil doit interrompre le traitement, recevoir la notification, répondre puis continuer. Dans une mauvaise configuration de Fabric SAN, le traitement de la RSCN pourrait introduire une surcharge indésirable de traitement. Dans certains cas, cela peut provoquer un signalement d'état «occupé» et un retour à la demande de changement. Il faut alors corriger le problèmes car cela pourrait entrainer un effet en cascade et les nœuds pourraient alors avoir des difficultés avec leurs connexions.

Dans une Fabric où aucun zoning a été configuré, tout changement de topologie causerait une notification RSCN qui serait traitée par tous les appareils. Dans une Fabric ou nous avons configuré le zoning seul les dispositifs qui sont dans la même zone recevront la RSCN modifiée et cela limitera alors les impacts en cas de défaillances ou de problèmes intermittents.

 

Information SCSI

 

Pendant la découverte de l'appareil, un hôte interroge la Fabric pour connaitre les cibles qui sont disponibles. Dans une Fabric non zonés cela conduit à un temps de découverte important si chaque cible doit être interrogé. Ceci entraîne l'augmentation du trafic SAN car chaque hôte interrogera chacune des cibles disponibles sans de préoccuper de savoir si les cibles sont associés à cet hôte. La mise en place de règles de zoning  limite cet impact, seules les cibles dans la même zone que l'initiateur sont interrogées, réduisant le trafic SAN et  la découverte de l'appareil au moment du boot.

 

Securité

Le Zoning  fournit une méthode logique pour diviser et restreindre l'accès entre un certain nombre de nœuds. En introduisant le zoning, la sécurité est augmentée car les nœuds ne peuvent communiquer qu'avec ceux definis dans la même zone.

 

Stratégies de zoning

 

 

Lorsque vous mettez en place une stratégie de zoning, un certain nombre d'éléments doit être considéré, le nom du v Port (worldwide name) avec une approche matériel ou logiciel, la zone de granularité pour une gestion efficace. Chacun de ces considérations est approfondi ci-dessous :

 

Zone de granularité

 

 

Les zones sont facilement définis. Ils sont tout simplement une liste de World Wide Name (WWN) ou Port Address qui sont regroupés pour autoriser ou révoquer l'accès entre les dispositifs assemblés. Une liste de zone est appelée zoneset. Chaque zoneset peut contenir plusieurs zones, qui peuvent être séparés ou se partager les unes aux autres.

 

La granularité des zones appliqué dépend de l'objectif que nous souhaitons atteindre ; une stratégie commune consiste à faire des zones par application, par système d'exploitation ou par unité d'affaire. Une autre approche consiste à avoir une zone distincte pour chaque initiateur avec son ensemble de cible. Il y a évidemment un compromis entre les avantages que le zoning apporte et la gestion des zones.

Il est recommandé que l'administrateur SAN crée des zones pour chaque initiateur serveur. En plus de l'initiateur, l'ensemble des cibles du serveur  devraient également être regroupés dans la même zone (c' est à dire, une zone pour chaque HBA de serveur contenant tous les périphériques de disques avec qui il communique), c' est souvent désigné comme Initiateur Unique de Zones . Cette pratique est recommandé avec les baies Nimble (et la majorité des fournisseurs de stockage). Ci-dessous est un exemple de Zones d'initiateur unique à travers deux Fabric :

 

Untitled.png

Plus la granularité est petite, plus la gestion est difficile, mais cela limite l'exposition des requêtes RSCN et des découvertes globales du dispositif. Une méthode de gestion efficace des configurations de zone importante sera discuté plus tard.


Port v WWPN Zoning

Il y a deux type de zoning: WWPN zoning et Port zoning.

 

 

 

Le WWPN zoning utilise une base de données de nom des serveurs situé dans le commutateur Fibre Channel.  Les numéros de Port Names (WWN) des serveurs sont utilisés pour identifier de manière unique chaque appareil avec une procédure interne de connexion.

Quand un changement de zone est demandé, les appareils inscrits dans la base de données reçoivent une demande de changement d'état Etat (RSCN). Chaque dispositif doit répondre correctement à la RSCN pour changer les chemins de communication. Tout dispositif qui ne répond pas correctement à la RSCN, continue de transférer des données au dispositif spécifique et le changement de zone sera bloqué avec cette appareil. Comme sa définition l'indique, le WWPN zoning consiste à créer tout simplement une zone de communication interne entre les différents WWN que nous auront choisis.

 

Ci-dessous un exemple de WWPN Zone:


Zone2.png

 

Dans cet exemple, le WWPN de mon HBA Emulex du noeud 3 est connecté à chacune des quatre cible de Nimble Storage WWPN, ils sont regroupés dans la Zone WWPNZone_Node3 . Ceci est un exemple d'un initiateur unique de zone.

 

 

 

Note: Dans la plupart des environnements de Fabric SAN il y a généralement deux fabrics  en redondance et nous devons créer une deuxième zone set indépendante.

le zoning par port nécessite que chaque appareil passe à travers la table de routage du commutateur de sorte que le commutateur puisse réglementer les transferts de données. Par exemple, si deux ports ne sont pas autorisés à communiquer entre eux, la table de routage pour ces ports est désactivé, et la communication entre ces ports est bloqué. Le zoning par Port n'exige pas que le WWPN soit spécifié, seuls les ports de commutation physiques du serveur sont définis.

 

 

 

Ci-dessous un exemple de Port Zone:

 


Zone1.png



Dans l'exemple ci-dessus, nous n'avons pas définies de WWPN, seul les ports de commutation physiques qui sont autorisés à communiquer les uns aux autres sont énumérés.

 

 

 

 

 

 

 

 

Il y a des avantages et des inconvénients dans chaque méthode. Comme le WWPN zoning est défini via le WWPN, chaque fois qu'un HBA est modifié, la configuration de zoning doit être mis à jour pour refléter ce changement. En outre le redéploiement d'une HBA peut parfois permettre l'accès non autorisé aux périphériques, à moins que les zones soient mise à jour. le zoning par Port exige que les serveurs et les périphériques soient physiquement accéder via les ports auxquels ils ont été affectés. Le zoning par Port suppose également que la base de données soit sécurisé, l'accès au port du commutateur donnerait des informations sur les connexions entre le serveur et les appareils associés.

Dans des configurations de SAN important où l'on aura mis en œuvre une stratégie de zoning par Port, l'impact d'une panne d'une carte HBA et les changements dans une Fabric engendraient une gestion supplémentaire. La liaison par Port favorise une approche stable et cohérente dans l'allocation des ports de commutation des dispositifs associés sur le SAN. De toute évidence, il y a un équilibre entre flexibilité et coût de gestion du SAN, aucune méthode n' est mauvaise et les deux peuvent être mélangés si nécessaire.

 

 

Avec Nimble il y a des considérations à étudier lorsque l'on veut paramétrer le zoning :


Que ce passe t'il lorsqu'un contrôleur tombe en panne ? 

Il n' y a pas de reel impact, si un contrôleur (ou un adaptateur cible) devait tomber en panne il serait remplacé rapidement. Le système d'exploitation Nimble pourra alors attribuer le même WWPN / WWNN que le précédent. Il n'y a pas d'impact sur la configuration de zoning indépendamment du type de zoning utilisé.

 

 

Planning d' installation ? 

Jusqu'à ce que la mise en place de la configuration des baies Nimble , vous ne connaitrez pas le WWPN de la baie Nimble. Par conséquent, il peut être prudent d'utiliser le zoning par port afin que tout changement dans la zone puisse être faites de manière isolé.

Note: ceci est susceptible de changer dans les futures versions de Nimble OS nous nous attendons à l'utilisateur soit en mesure de fixer un WWPN spécifique pour la zone de port. Ce sera utile si les changements de zone sont faites à l'avance pour la mise en œuvre d'une nouvelle baie.


Zoning matériel ou logiciel

 

Le zoning matériel ou logiciel sont très souvent identifiés comme le port (materiel) et WWPN zoning (logiciel). En faites Ils sont complètement séparés. Comme mentionné ci-dessus le zoning par Port / WWPN définit ce qui est référencé lorsque des zones sont créées et appliquées.  Le zoning materiel et logiciel décrit comment la communication est établie au sein des commutateurs entre les ports lors de leur mise en production.

 

Le zoning logiciel était la première méthode de zoning mis en œuvre par les fabriquants de commutateur. En termes simples, cela fonctionne sur l'idée que " si l'initiateur ne peut pas voir ou savoir quelles sont les paramètres de la cible alors comment peut-il communiquer avec elle ". C'est tout à fait analogue à avoir un numéro de téléphone dans répertoire, si le numéro n'est pas dans la liste alors je ne peux pas communiquer puisque je ne connais pas le numéro. Cette approche est une faille si le serveur peut accéder aux périphériques en exécutant une commande via une adresse. Un tel comportement pourrait être faite par erreur ou se faire par piratage informatique. Rien n' empêche l'hôte d'accéder au périphérique une fois qu'il connaît l'adresse. Encore une fois avec l'analogie de téléphone, une fois que je connais  le numéro dans le répertoire rien ne vous empêche de le composer et d'avoir une conversation.

 

Le zoning matériel est une fonction mis directement dans les commutateurs pour empêcher les problèmes de sécurité liés au zoning logiciel. Le zoning matériel bloque l'accès à la zone de tous les périphériques qui sont en dehors de la zone. Dans l'analogie du téléphone on pourrait comparer à l'interdiction d'appels. Le zoning materiel est souvent confondu avec le zoning par port mais ce sont des concepts fondamentalement différents. Le zoning matériel est actuellement appliqué par défaut sur la majorité des technologies de commutateurs.

 

Les bonnes practiques pour le Management des Zones

La section suivante décrit des méthodes qui peuvent aider l'administrateur de stockage avec le management des Zones; la stratégie de zoning comprend chacune des meilleures pratiques suivantes :

 

 

 

Aliases

 

Les Alias fournissent simplement une gestion des zones avec une méthode efficace défini et associé au nom WWPN. L'utilisation des alias permet non seulement de réduire l'administration, mais restreint également la probabilité d'erreurs qui peut être introduit en tapant incorrect  un caractère. Les Alias permettent également de regrouper et d'associer des appareils sous un seul nom. L'utilisation d'alias peut également favoriser une norme de nommage, qui peut être définie et respectée, ce qui rend l'administration plus efficace. Comparez l'exemple ci-dessus avec le  zoning WWPN et l'exemple ci-dessous en utilisant les Alias :

 

 

Zone3.png



Les Alias utilisent une description plus importante et si cette norme est maintenue cela peut aider à la gestion au quotidien.

 

Convention de Nom

Une convention de nommage standard facilite l'administration et apporte de la clarté lors de l'exécution des tâches de gestion sur un SAN. Une convention de nommage cohérente devrait être défini pour chacun des éléments de la zone.

 

Modification des Zones

De nombreux clients prennent beaucoup de temps lorsque des zones doivent être mises à jour. C'est vraiment une décision organisationnelle importante dans les procédures de gestion du changement. Une recommandation souvent utiliser par les administrateurs est de changer en même temps sur les deux Fabric. La redondance est là pour ça. Modifiez le premier, attendez un peu, effectuez des vérifications et si tout est bon alors changez la configuration de la deuxième Fabric. Cela permet de gagner du temps et de repérer une erreur avant de faire le changement sur votre deuxième Fabric redondant. C'est une méthode simple et très efficace !

 

 

La plupart des commutateurs offrent la possibilité de stocker plusieurs configurations de zone à la fois (une seule configuration est toujours en vigueur à n' importe quel moment). Comme les configuration utilise un mécanisme de nommage on peut revenir en arrière avec une restauration rapide et facile de la dernière configuration connue si des erreurs ont été introduites.

 

Adhérer vers un standard

Il faut toujours définir des zones, des membres et des alias avec des normes documentées. Cela vous aidera à améliorer la lisibilité et la gestion des configurations de zones.

 

Configuration de sauvegarde

Les configurations peuvent être téléchargés et mise à jour via des serveurs ftp. Bien que les informations de la zone se propagent à chaque commutateur de la Fabric, il est toujours de bonne pratique de sauvegarder les configurations après chaque changement.


J'espère que ces informations vous ont été utile dan la mise en place d'une solution Nimble en Fibre Channel. N'hesistez pas à revenir vers nous si vous avez des questions ou si vous souhaitez que l'on aborde des points en particulier.

 

Outcomes