新系列开启
大家好,“MY SAN”是一个新的文章系列,主要分享SAN网络相关的技术和最佳实践。开启这个新的系列一方面是受小伙伴们遇到问题的启发,另一方面是作者发现网上分享的SAN方面的文章大多都只是简单介绍一下基本的配置,zone的配置,ISL级联等,并没有太多其他内容,但在实际工作中我们还会遇到很多其他的问题。当SAN的规模扩大,使用深度增加后,我们需要设备提供的功能也不仅仅是zone的划分,级联等,还需要更多的特性满足需求,希望作者的文章能给大家予以参考。为了可以让大家更好的理解,作者尽量描述一个场景,从问题出发。
好了,下面我们进入主题,这次的主题是“实验室迷局(Brocade AD管理域)”
前段时间,作者好友去某IT大厂实验室做实验,测试某个设备的兼容性。在实验室中光纤交换机和存储设备等都是大家共享的。在进行SAN部署的时候,遇到了很奇怪的问题。实验室管理员确认分配的光纤可以正常使用,满足配置需求,而且之前经过验证,可以正常使用。但是系统就是识别不到设备。
经过排查配置,光路和配线,发现配线还是错误了。调整配线后,终于识别到了设备,但是后面测试过程中又出现了问题。测试的设备莫名离线然后又上线。最后经过各种排查,发现由于实验室的设备都是共享的,所以有其他测试团队更改配置或者重新启动设备。真是一波三折啊。
针对这样的情况下,有没有办法控制用户的权限或者说让多人可以共享设备的资源而互相隔离互不影响吗。如果是在一个大型SAN网络中,如何隔离不同的设备或者SAN资源,如何为不同的用户分配不同的资源呢?
答案是肯定的,下面就来介绍一下Brocade的一个特性,它叫做
“Administrative Domains”
什么是管理域
管理域(AD)是网络元素(交换机,端口,设备)的逻辑分组,一个管理域是为了管理目的对整个网络元素进行过滤。
说的直白一点就是让不同的人只能看到分配给他的元素,只能对自己管理的元素进行操作。从而实现不同用户的资源隔离。如果针对实验室环境来说我们可以把不同的交换机端口分配给不同的用户,这样用户只能配置自己的端口。
如上图所示,AD1和AD2分别可以看到SAN中不同的资源。
AD1中用户可以操作的资源,如下:
AD2中用户可操作的资源如下:
基于管理域的过滤,不仅资源是隔离的,配置也是隔离的,也就是说每个管理域下都有自己的zone配置。对于有大量配置信息的SAN网络来说,还可以实现对配置的分区管理。
管理域的限制
AD和VF(Virtual Fabric)功能是互斥的,不能同时开启
可以配置256个AD,(254个是用户可以定义的,2个系统保留的)
AD的命名方式为“ADn”,n为0-255
虽然可以配置254个用户定义的AD,但是不建议配置超过16个,过多的AD将影响性能和产生不可预测的情况。
管理域的特性
在交换机或网络上定义一组端口或者设备
AD之间可以共享资源
每个AD有独立的zone数据库
在一个有效的zone下,设备从一个AD移动到另一个不会造成通信中断
AD间提供错误和事件的隔离
所有物理网络资源在AD下均可获得其信息,FRU等
兼任第三方管理程序
管理域的需求
default zone必须设置为“NO ACCESS”
Virtual Fabric必须设置为“Disable”
Gigabit Ethernet (GbE) Port不能为AD的成员
Ti zone对AD有限支持
如果使用LSAN
LSAN名称必须以“_ADn”结尾
命名长度不大于57个字符
特殊的管理域
我们来看一下前面说的那个2个特殊的AD,“AD0和AD255”
简单来说,AD0就是除添加到用户AD外的资源集合,AD255就是整个网络的资源集合。
当系统未配置任何用户AD(AD1-AD254)时,所有资源属于AD0。当任意资源被定义到用户AD,该资源就被从AD0移除并添加至用户AD。通过AD0我们还可以看到还未被分配给用户AD的资源。
AD255是整个网络的资源集合,可以通过他看到全网资源和用户AD的zone数据库。ADD255用于对AD的管理,他本身没有zone数据库,而且对所有的用户AD的操作都需要通过该AD进行。
管理域的配置方法
设置默认zone模式
实施管理域必须将默认zone模式设置成“NO ACCESS”
创建一个AD
首先切换到AD255,进行AD管理操作
ad --select 255
添加用户AD
ad --createad_id-d "dev_list" -s "switch_list"
保存并应用配置
ad --apply
分配用户到AD
创建用户并将其分配到相关AD
userconfig --addusername-rrole-hhome_AD-a "AD_list"
激活AD
首先切换到AD255,进行AD管理操作
ad --select 255
激活AD
向现有AD添加成员
首先切换到AD255,进行AD管理操作
ad --select 255
向AD中添加相关成员
ad --addad_id-d "dev_list" -s "switch_list"
通过以上的方法我们就可以创建并使用管理域了。针对实验室的应用场景,我们可以为不同的测试人员分配不同的用户账户,并且为其分配所需要的交换机端口资源或者设备资源。这样该用户就可以看到他自己的测试资源,在这个范围内进行配置就不会影响到其他用户了。
只要是我们需要对资源进行隔离的场景下都可以考虑使用AD。在规划的时候,要注意考虑AD本身的限制和现有场景的特殊性。虽然用户AD可以有254个,但不建议同时使用超过16个,过多的AD会影响系统性能。
扫描下面二维码关注公众号
历史文章推荐
“一图流”系列——IBM SVC V7k 远程复制服务
“新武器”——vSphere 6.7 新特性
“rm的诅咒”——防止rm误操作
领取专属 10元无门槛券
私享最新 技术干货