VMware Global Community
BKFrancescoB
Contributor
Contributor
‎12-21-2015 01:11 AM
Jump to solution

Nuovo storage iSCSI non mission critical, nuova VLAN?

Ciao a tutti. Ho un cluster vSphere 5.5 di due nodi creato con HP StoreVirtual (storage locali replicati in Network raid 10 visti dai nodi come se fosse un target iSCSI unico). Devo aggiungere nella mia rete uno storage DELL sempre iSCSI da usare come repository, test e VMs non-mission critical.

Attualmente il traffico iSCSI del cluster è su una VLAN (port based) separata da tutto il resto. Il traffico iSCSI del nuovo storage è meglio farlo viaggiare su una VLAN diversa o lasciare che tutto il traffico iSCSI viaggi sulla stessa VLAN creata per il cluster?

Grazie mille,

Francesco

0 Kudos
1 Solution

Accepted Solutions
carinimrc
Contributor
Contributor
‎01-05-2016 07:19 AM
Jump to solution

Creare una Vlan x l'iSCSI è corretto:

Allowing your virtual machines to share virtual switches and VLANs with your iSCSI configuration potentially exposes iSCSI traffic to misuse by a virtual machine attacker. To help ensure that intruders cannot listen to iSCSI transmissions, make sure that none of your virtual machines can see the iSCSI storage network.

Protect your system by giving the iSCSI SAN a dedicated virtual switch.

If you use an independent hardware iSCSI adapter, make sure that the iSCSI adapter and ESXi physical...network adapter are not inadvertently connected outside the host. Such a connection might result from sharing a switch.

If you use dependent hardware or software iscsi adapter, which uses ESXi networking, configure iSCSI...storage through a different virtual switch than the one used by your virtual machines.

You can also configure your iSCSI SAN on its own VLAN to improve performance and security. Placing y...iSCSI configuration on a separate VLAN ensures that no devices other than the iSCSI adapter can see transmissions within the iSCSI SAN. With a dedicated VLAN, network congestion from other sources cannot interfere with iSCSI traffic.

vSphere Documentation Center

Ora, se occorra o meno creare una nuova VLAN dipende da molteplici fattori, nella stragrande maggioranza dei casi puoi fare girare tutto sulla stessa VLAN iSCSI

Bye

Marco

View solution in original post

0 Kudos
5 Replies
shanceaylown
Hot Shot
Hot Shot
‎12-26-2015 10:08 AM
Jump to solution

Perché stai facendo girare il traffico iSCSI su una VLAN in questo momento?

--- If you find this post useful, please consider awarding points for "Correct" or "Helpful" Leonardo Nicolini | VCP6-DCV | VCP5-DCV | MCP @shanceaylown | https://it.linkedin.com/in/leonardonicolini
0 Kudos
carinimrc
Contributor
Contributor
‎01-05-2016 07:19 AM
Jump to solution

Creare una Vlan x l'iSCSI è corretto:

Allowing your virtual machines to share virtual switches and VLANs with your iSCSI configuration potentially exposes iSCSI traffic to misuse by a virtual machine attacker. To help ensure that intruders cannot listen to iSCSI transmissions, make sure that none of your virtual machines can see the iSCSI storage network.

Protect your system by giving the iSCSI SAN a dedicated virtual switch.

If you use an independent hardware iSCSI adapter, make sure that the iSCSI adapter and ESXi physical...network adapter are not inadvertently connected outside the host. Such a connection might result from sharing a switch.

If you use dependent hardware or software iscsi adapter, which uses ESXi networking, configure iSCSI...storage through a different virtual switch than the one used by your virtual machines.

You can also configure your iSCSI SAN on its own VLAN to improve performance and security. Placing y...iSCSI configuration on a separate VLAN ensures that no devices other than the iSCSI adapter can see transmissions within the iSCSI SAN. With a dedicated VLAN, network congestion from other sources cannot interfere with iSCSI traffic.

vSphere Documentation Center

Ora, se occorra o meno creare una nuova VLAN dipende da molteplici fattori, nella stragrande maggioranza dei casi puoi fare girare tutto sulla stessa VLAN iSCSI

Bye

Marco

0 Kudos
shanceaylown
Hot Shot
Hot Shot
‎01-06-2016 01:09 AM
Jump to solution

Per essere chiari, l'ho chiesto perchè volevo sapere le sue ragioni, non perchè avesse detto una stupidaggine. Occorre parlare di isolamento del traffico, che puoi avere con le VLAN o con switch fisicamente dedicati. Su una rete ISCSI nella rete interna forse è meglio abbandonare le VLAN e configurare più switch fisici ridondati. In questa rete iSCSI può attaccarci più storage.

--- If you find this post useful, please consider awarding points for "Correct" or "Helpful" Leonardo Nicolini | VCP6-DCV | VCP5-DCV | MCP @shanceaylown | https://it.linkedin.com/in/leonardonicolini
0 Kudos
BKFrancescoB
Contributor
Contributor
‎02-12-2016 06:09 AM
Jump to solution

Semplicemente perché da bestpractise vmware dice di fare così se non hai reti fisicamente separate da dedicare e non avevo soldi né spazio rack da dedicare ad altri switch Smiley Happy. In questo modo con 4 switch, due per rack, ho risolto tutto.

0 Kudos
BKFrancescoB
Contributor
Contributor
‎02-12-2016 06:11 AM
Jump to solution

Detto ciò, alla fine ho creato un'altra VLAN per il traffico iSCSI relativo allo storage Dell. E la userò per tutti gli altri eventuali storage iSCSI. l'iSCSI del cluster LeftHand VSA lo lascio su VLAN separata per versatilità di modifiche configurazione future.

Grazie a tutti

Francesco B.

0 Kudos