简介
今天,信息科技专业人士面临的一个重要任务是降低部署和扩展要害性企业应用所需要的成本。这些成本主要包含应用本身的软件注册、规划设置和维护等费用。但是,应用后端基础设施也是成本的一个重要组成部分,这些基础设施包括输入/输出(I/O)通道硬件、实际的物理存储和存储服务(包括用于确保业务连续性的服务)。
存储网络的利用率的不断提高有助于降低开发和维护企业级应用所需要的成本。建设一个能够实现物理存储和存储服务的共享基础设施让企业可以提高这些现有基础设施的利用率。所降低的这些成本主要归功于存储利用率因为存储和服务器在存储网络中的整合而获得的提高。
但是,这个优化机会同时也带来了一系列挑战和相关的成本。随着存储网络环境的不断发展,对于存储网络环境的全面治理服务的需求也变得更加明显。尽管很多存储网络环境通常是利用某个磁盘子系统公司提供的设备和服务构建的,但是这种趋势正在发生变化。由于很多企业想在谈判中占得优势,不希望被某个供给商所限制,所以它们开始纷纷邀请多个供给商来为它们的业务展开竞争。因此,由多个厂商的设备构成的存储网络正在逐步增加,并且进一步提高了治理任务的复杂性。即使在同一个子系统供给商的解决方案中也可能存在四或五个不同的原始设备制造商(OEM)厂商的设备。
针对这种治理多样化的存储网络环境的挑战,出现了很多用于满足这种需求的新型应用和服务。有些解决方案是由子系统供给商或者存储交换机供给商提供的,而有些则是由第三方公司提供的。存储和存储网络治理解决方案已经变得与它们所要治理的供给商设备一样多。尽管每种治理软件解决方案可以提供自己的功能集和优势,但是大部分解决方案可归纳为三到四个主要的类别。本文将概要介绍这些类别,并将列举这些应用类别所提供的服务类型的实例。
尽管思科并不打算用自己的产品与这些全面的治理应用套件竞争,但是Cisco MDS 9000系列产品的很多功能和服务可以为这些应用提供有力的支持。一般而言,Cisco MDS 9000系列产品为存储网络治理提供的功能和服务主要是为了两个最终目标。第一个目标是提供一组可以帮助客户实施、治理和部署Cisco MDS 9000系列产品的智能化服务。在某些情况下,所提供的工具和服务足以治理客户所部署的基于Cisco MDS 9000的网络,具体方式取决于部署的规模。而Cisco MDS 9000系列产品所提供的功能的第二个目标则是为较高级别的应用提供用于访问存储网络数据的接口,这些应用可以汇总这些信息,并将它们与应用环境的其他方面关联起来。本文将介绍这些服务,以及它们在实现上述目标方面的应用。
治理解决方案架构
对于存储和存储网络的治理而言,需要考虑很多关于所提供的服务及其应用范围的因素。为了更好地理解不同服务的应用场合,图1所显示的这个模型有助于对这些功能进行分类。图1中所显示的模型是一组针对整个存储环境、全面的服务集合,但Cisco MDS 9000系列并不一定适用于其中的所有门类。为了便于说明,本文仍然将围绕该模型全面地介绍Cisco MDS 9000系列的各种不同的治理功能。
图1 治理解决方案架构
组件治理
组件治理包括一系列用于配置和治理某个系统或者交换阵列中一组组件的工具。因为这些系统或者交换阵列通常包含多个供给商提供的组件,所以每个供给商一般都需要提供它们自己的组件治理器。
一个组件治理器一次只能对一个组件执行任务。组件治理器所执行的功能通常会随着配置的不同而不同。尤其需要指出的是,这些功能包括对设备进行初始配置,设置和监控阈值,以及治理设备系统镜像或者固件。
本文将介绍Cisco MDS 9000系列组件治理器及其功能。
交换阵列治理
交换阵列治理包括一系列旨在以一种更加面向系统的方式对待系统及其组件的工具。因为一个交换阵列可能包含来自于多个供给商的大量组件,很多这样的交换阵列治理工具都已经发展为可以治理“综合性交换阵列”。综合性交换阵列没有定义任何标准的应用编程接口(API)或者信息接口,它代表了大量复杂的设备与不同的接口和API。
交换阵列治理应用通常可以提供三种常见的服务,即交换阵列发现、交换阵列监控和报告,以及交换阵列配置。交换阵列发现是指应用能够利用交换阵列中的特定组件所支持的任何API或者接口,发现这些组件,包括它们的资产信息、配置和统计信息。通常,交换阵列治理器将根据所发现的组件配置,绘制出网络拓扑。交换阵列监控和报告服务是指利用从交换阵列组件中搜集到的任何信息,提供一个关于交换阵列的运行状况、配置和库存信息、相关关联的系统级视图。这个视图可以通过一组报告或者一个实时的快照视图提供。交换阵列配置服务通常表现为两种形式。在提供交换阵列配置服务时,交换阵列治理器只需根据需要,调用各个组件治理器来配置交换阵列的实际组件。交换阵列配置的另外一种更加智能化的形式是交换阵列治理器可以利用所提供的组件API,根据用户输入的信息或者自动判定,自动地配置多个组件。在任何一种情况下,交换阵列治理器都可以将所要做的配置改动与已知的最佳实践或者已有策略相比较,以提供一个额外的控制层。
资源治理
资源治理包含一系列旨在治理某个系统或者交换阵列中、用于用户或者组件自身的资源的工具。这些资源可能包括交换阵列带宽、连接路径、磁盘、每秒IO次数(IOPS)、CPU和内存。这些资源可能是物理资源,但是在存储虚拟化的情况下也可能是一种虚拟资源。资源治理系统的两种最常见的活动是趋势和容量规划。
用户可以治理资源的分配、供给、监控和报告。其中每个方面都可以通过现有的策略进行手动或者自动的治理。例如,某项策略可能会决定某个特定的数据库在什么时候需要添加存储容量。同一项策略可能会调用某个自动执行的流程,从某个特定的磁盘中分配附加的容量,并将这些容量供给该应用使用。
资源治理系统负责控制用户和系统治理员对这些资源的使用权限。新用户及其资源控制或者使用范围也由资源治理系统治理。
数据治理
数据治理包括一系列旨在确保系统中数据可用性(无论数据使用什么格式)的工具。数据治理通常需要保障数据的完整性、可用性和访问性能。
数据治理服务通常包括廉价磁盘冗余阵列(RAID)配置、数据复制操作、备份/恢复需求和数据移植任务等组成部分。RAID配置可以通过磁盘镜像确保数据的可用性,或者通过磁盘分段技术确保数据的性能。数据复制操作是指为了保障业务的连续性,在城区或者更大的范围内建立数据的实时复本。备份/恢复需求是指数据备份所需要的频率和方法,以及之后的数据恢复步骤。最后,数据移植任务是指根据用户或者应用的需求,将原始数据或者复本转移到不同的地点。
应用治理
应用治理包括一系列旨在从启动开始治理整个系统(包括组件、交换阵列、资源和数据),即应用的工具。一个包括组件、交换阵列、资源和数据的基础设施将被建立起来,以支持应用的部署。应用治理可以将系统的所有这些组件与应用联系到一起,并有助于将所有这些部署的组件投入运行。
了解应用组织、访问和使用它的数据访问以及数据的周边环境非常有助于制定存储配置、连接、组织和治理方面的决策。应用治理工具可以为系统治理员提供这样的可见度。
上面提到的这些治理组件构成了整个存储和SAN治理系统。尽管根据上面的定义,每个Cisco MDS 9000系列治理功能或者服务都可以方便地归类,但是思科还可以为上面提到的各个门类的子集提供工具。市场中有很多闻名的供给商已经开发了很多涵盖了一个或多个上面提到的门类、功能强大的治理套件。目前有很多企业部署了这样的治理套件,或者在某些情况下,通过创建它们自己的工具,提供整个治理系统的一个组件。因此,思科的目的是提供一个用于部署和治理Cisco MDS 9000系列交换网络的工具套件。但是,同样重要的是,思科需要在Cisco MDS 9000系列产品上提供开放式的接口和全面的API,让存储和SAN治理供给商可以进一步利用它们现有的工具,治理基于Cisco MDS 9000的存储网络。
本文将介绍思科为Cisco MDS 9000系列产品提供的工具和API。
Cisco MDS 9000系列治理工具包
思科在推出Cisco MDS 9000系列多协议存储交换机的同时,也推出了一组全面的治理工具和功能,它们可以为Cisco MDS 9000系列解决方案的配置和长期治理提供有力的支持。思科所提供的这组工具套件可以分为组件、交换阵列和资源治理工具。
在具体地介绍Cisco MDS 9000系列产品的治理功能集之前,本文将概括地介绍该产品系列及其治理接口。
Cisco MDS 9000系列是一个多协议存储交换机系列,旨在为今天的存储网络提供更高的可扩展性和弹性。该产品系列包括三款控制器级交换机(分别具有6、9、13个插槽)和一个具有2个插槽的交换阵列交换机。Cisco MDS 9000系列产品的多协议性使其可以同时支持光纤通道、iSCSI(以太网)和基于ip的光纤通道(FCIP)(以太网)。所有这些平台都配有多个治理或者协议接口,以便让不同的治理工具可以方便地访问这些平台。此外,这些接口还有助于交换机发现它们自己所处的环境。
Cisco MDS 9000系列治理接口和协议
Cisco MDS 90000系列交换机可以提供三种主要的治理接口,通过它们可以使用多种治理协议。
第一个主要的治理接口是Supervisor模块上的段外(OOB)10/100Mbps以太网连接。这个OOB以太网连接可以接入某个治理网络,通过IP/以太网访问交换机。每个Supervisor模块拥有它自己的10/100Mbps连接;但是,一个冗余Supervisor系统中的两个以太网连接能够以主/从模式运行。主Supervisor模块包含主OOB以太网模块。当发生故障时,从Supervisor模块会取代主Supervisor模块,而主OOB以太网连接的IP地址和介质访问控制(MAC)地址也会被移交给从OOB以太网连接,从而令治理工作站不需要重新学习交换机的地址。这种接口如图2所示。
第二个主要的治理接口是Supervisor模块上的一个串行RJ-45控制台连接。这种控制台连接可以提供对Cisco MDS 9000系列命令行接口(CLI)的访问。用户可以从CLI启用很多治理和诊断功能。这个连接和来自于其他交换机的控制台连接通常会被连接到一个终端服务器,以便访问。这种接口如图2所示。
第三个主要的治理接口是通过一个指向Supervisor模块本身的、基于光纤通道的段内连接。这个段内连接的特点在于它可以通过光纤通道或者光纤通道中嵌入的IP,支持多种治理协议。在光纤通道上支持IP段内治理的能力来自于Cisco MDS 9000系列对于基于光纤通道的RFC2625-IP的支持,这使得用户可以通过光纤通道协议,在光纤通道之间传输IP数据。因为有些主机总线适配器(HBA)可以支持IP驱动器,所以这种功能可以建立一个完全段内治理的网络。但是,段内接口能被交换机用于发现它自己的环境,包括直接连接和交换阵列内的组件。本文稍后将介绍这种发现能力。
图2 Cisco MDS 9000系列Supervisor模块上的治理接口
段内连接和OOB连接使用了多种治理协议,为治理应用搜集或者提供信息。下面将逐一介绍Cisco MDS 9000系列产品所支持的各项协议。
Telnet/SSH/FTP/SFTP/TFTP
这些常见的网络协议主要被用于访问Cisco MDS 9000系列交换机的CLI。Telnet提供了一种通过TCP/IP,从远程连接到CLI的方法,而安全套接字层(SSH)为同样的用途提供了一种安全的加密方法。TFTP则提供了一种通过UDP/IP,无修改地与Cisco MDS 9000系列交换文件的方法,这种协议通常用于其他的思科产品。文件传输协议(FTP)和安全文件传输协议(SFTP)提供了基于TCP的文件传输方式,其中SFTP可以为传输文件提供一种安全的加密方法。
SNMP V1、V2和V3
简单网络治理协议(SNMP)为传输控制信息和从各个组件获取统计信息和配置信息提供了一种标准的方法。SNMP定义了一个基于UDP/IP的协议,用于传输这种数据。SNMP治理信息库(MIB)是指一些模式或者API,它们所提供的树型结构图可以表明与组件交换的特定数据。对于Cisco MDS 9000系列交换机而言,它们支持超过50种不同的MIB,每种对应一种非凡的信息门类(例如分区MIB、接口MIB和iSCSI MIB)。
SNMP V1和V2为MIB信息提供了一种相对较不安全的传输方法。根据在请求或者发送数据时必须使用的共享密码或者“群体字符串”,可获得对SNMP信息的访问权限。群体字符串能为某个特定的设备设置只读或者读写权限。因为这个密码是共享的,所以可以方便地提供给其他的用户,从而迅速地为更多用户提供访问权限。
SNMP V3通过提供隔离的视图和对数据访问权限的身份认证,增强了V1和V2的安全性。此外,SNMPv3所传输的数据可以通过加密进一步提高安全性。希望通过SNMPv3访问某个组件的用户首先将被指派一个SNMPv3角色。这种角色是一个具有对不同SNMP MIB(经过身份认证)的某个等级的访问权限的群组,权限包括单纯地查看或者修改MIB值的能力,或者只能访问MIB所提供信息的一个子集(经过授权)。因为SNMPv3提供了一种能更加安全地访问和治理MIB数据的方法,所以在缺省情况下,SNMPv3是Cisco MDS 9000系列产品中读写SNMP访问的唯一方法。此外,SNMPv1和SNMPv2只能用于从MIB读取数据。用户可以通过CLI,在交换机中更改这种缺省行为。
HTTP
超文本传输协议(HTTP)在Cisco MDS 9000系列解决方案中的应用非常有限。尽管Cisco MDS 9000系列交换机上有一个Web接口,但是它只是用于为某个嵌入到交换机中、基于java的组件和交换阵列治理应用提供下载权限,从而让该应用可以在用户的工作站上本地运行。Cisco MDS 9000系列交换机不能直接通过HTTP提供任何治理功能。
ANSI T11 FC-GS-3
FC-GS-3是一个由美国国家标准协会(ANSI)T11工作组定义的光纤通道治理工具。它所提供的通用服务可以被任何利用光纤通道进行传输的上层协议所使用。其中最主要的应用是,光纤通道协议(FCP)这一最常见的上层协议利用FC-GS-3,将SCSI协议嵌入到光纤通道中。通用服务是指一组能够用一种请求或者主动提供方式,在光纤通道设备之间传输状态和配置信息的服务。目前,FC-GS-3可以提供名称服务、别名服务、治理服务、时间服务和密钥服务。
其中最主要的是治理服务和名称服务,它们可以为所连接的设备(例如Cisco MDS 9000系列交换机)提供治理信息。在Cisco MDS 9000系列交换机中,从这两种来源获得的信息可被映射为一个Cisco MDS 9000系列交换机所能看到的交换阵列拓扑。此外,来自于这些来源的信息能提供一个关于设备制造商、型号和其他库存相关信息的视图。当然,这些信息只能从支持FC-GS-3 ANSI标准的设备处获得。尽管不是所有设备都能支持这种标准,但是这个数字正在不断增加,而且大多数新推出的设备(包括交换阵列交换机和HBA)都可以支持这种标准。
名称服务为光纤通道所连接的设备提供了一个分布式的目录工具,让设备可以在交换阵列中进行注册,并登记自身的信息。名称服务中的信息可以由其他设备查询,以判定交换阵列的配置。这是FC-GS-3提供的各种通用服务中的最常用服务。
治理服务可以提供对已经发现的配置信息(包括库存相关条目和分区配置)的访问权限。尤其需要指出的是,这些信息的来源是治理服务中的交换阵列配置服务器和交换阵列分区服务器。交换阵列配置服务器可以提供对交换阵列配置信息的访问,这些信息随后可以用于创建一个交换阵列及其属性的拓扑视图。交换阵列配置服务器中存放的信息实际上保存在交换阵列中每个支持FC-GS-3的节点中的一个分布式数据库内。交换阵列分区服务器中保存了关于每个交换阵列交换机的分区配置的信息。此外,分区配置也可以通过交换阵列分区服务器进行更改。因此,交换阵列分区服务器代表了一种通用的接口,可用于读取或者控制某个涵盖了多个供给商的交换阵列交换机的交换阵列的分区配置。
在撰写本文时,主要的光纤通道交换机供给商都可以支持FC-GS-3的治理服务。这些供给商包括Brocade、McData、Qlogic和Inrange。除Brocade以外的所有供给商目前都可以支持交换阵列分区服务器。
Cisco MDS 9000系列支持所有FC-GS-3通用服务。此外,从名称服务器和交换阵列配置服务器搜集到的信息将通过SNMP MIB,提供给那些希望获取和使用这些信息的治理应用。Cisco MDS 9000系列交换机内置的Cisco Fabric Manager也可以利用这些MIB映射拓扑。本文稍后将介绍更多关于Cisco Fabric Manager工具的情况。
思科发现协议(CDP)
CDP是一个第二层协议,实际上嵌入在每个思科平台中,包括Cisco MDS 9000系列。CDP可以在一个第二层网络中定期地广播和发现设备的身份信息和属性。目前,光纤通道不支持CDP,但是Cisco MDS 9000系列可以通过Supervisor模块上的OOB以太网连接,支持CDP。
利用CDP,设备能发现其他在第二层网络中直接与它们相邻的、支持CDP的设备。所发现的信息类型包括设备名称、产品型号、治理IP地址、功能和其他属性。每个支持CDP的设备都可以将所发现的信息置于缓存中,并通过一个SNMP MIB提供这些信息,供治理应用获取和使用。
基于CLI的Cisco MDS 9000系列组件治理工具
Cisco MDS 9000系列交换机带有一系列组件治理工具和设备,可以用于配置和治理交换机,并能够诊断出现的问题。这些工具能从CLI配置或者调用。它们还出现在Cisco Fabric Manager的GUI中,本文稍后将具体介绍Cisco Fabric Manager。下面几节将具体地介绍基于CLI的组件治理工具和它们用于配置或者诊断故障的方法。
Cisco MDS 9000系列命令行接口(CLI)
Cisco MDS 9000系列的CLI是一种功能强大的接口,可以在配置和监控系统方面提供范围广泛的功能。利用类似于Cisco IOS软件的指令结构,Cisco MDS 9000系列提供了一个基于文本、由上下文决定的、层次化的CLI,它让多个用户可以同时访问系统。
Cisco MDS 9000系列中的每个工具都可以从CLI进行配置。此外,在任何提示符后面或者层次中,只需按下“?”键,就可以调出帮助菜单,以便让用户查看命令及其参数的说明。功能强大的“show command”工具可以显示交换机中每个功能的具体统计信息。
一个基于角色的准入系统负责提供对CLI的访问权限。每个用户都会被归入一个具有特定访问权限的角色或者群组。这种访问权限规定各角色可以使用哪些命令,或者更加准确地说,CLI命令剖析树上的哪些节点。因此,治理员可以创建一个名为“no_debug”的角色,让属于这个角色的用户能执行除了所有调试命令的任何命令。这个准入系统的精确度可以达到剖析树的两层。因此,治理员甚至可以创建一个名为“no_debug_fspf”的角色,答应属于这个角色的用户执行所有系统命令,其中包括除了光纤通道最短路径优先(FSPF)调试命令以外的调试命令。利用CLI命令可以在本地交换机中定义和指派角色。角色的指派甚至可以集中于某个RADIUS服务器中,以便于治理。思科提供了两个缺省的角色,用户能自行定义最多64个角色。用户甚至可以利用包含时间标记和用户身份信息的RADIUS或者系统日志工具,审核和记录CLI活动。
SNMP和RMON工具
Cisco MDS 9000系列交换机支持一组范围广泛的SNMP工具(包括陷阱)。如前所述,Cisco MDS 9000系列交换机可以利用SNMP v1、v2和v3加强安全性。每台交换机都可以选择启用或者禁止SNMP服务。此外,每台交换机都可以配备一个处理SNMPv1和v2的方法。在缺省情况下,SNMPv1和v2请求将被视为只读,而SNMPv3请求则可用于读写。用户能在必要的情况下更改这种缺省的行为。
Cisco MDS 9000系列交换机支持多种MIB(超过50种),它们主要分为以下几类:
通过使用SNMPv3,用户也可以向SNMP功能指派角色。尽管SNMPv3的角色并不能与基于CLI的角色一一对应,但是在必要的情况下,用户可以创建和定制SNMPv3角色,以达到CLI角色所提出的准入要求。因此,每个系统都将被指派一个基于CLI的角色和一个独立的SNMPv3角色。
Cisco MDS 9000系列交换机可以为光纤通道提供远程监控(RMON)支持。RMON通过在SNMP治理基站和监控代理之间提供连接,为监控网络协议的基本操作提供了一种标准的方法。RMON还为设置阈值和根据网络行为的变化发送通知提供了一种功能强大的警报和事件通知机制。Cisco MDS 9000系列交换机根据光纤通道的要求对RMON进行了改造,使其可以提供与以太网类似的服务。
RMON和RMON版本2(RMON2)提供了很多的功能群组,尤其是Cisco MDS 9000系列交换机中部署的警报组和事件组。警报组可以为设置警报提供服务。用户能针对设备中的一个或者多个参数设置警报。例如,用户可以针对交换机的CPU利用率或者交换交换阵列的利用率设置一个RMON警报。一旦选择监控某个参数,它的采样类型(delta值或者绝对值)、警报类型(上升警报、下降警报等)和轮询周期将被设定。
MON警报功能让用户无须不断地轮询所有参数,以检验是否存在某个警报条件。事件组让我们可以配置事件,即根据某个警报条件而需要采取的行动。所支持的事件类型包括日志、SNMP陷阱和日志-陷阱。因此,假如某个特定的警报条件被触发,一个消息就会被记录在本地的事件日志中,而且/或者一个SNMP陷阱将会被发送到经过注册的接收器,其中将说明警报的细节信息。下面是整个流程的大致构成:
因为RMON功能能够以一种相对比较自动的方式监控大量的状态和信息,因而具有非常重要的作用。
调试功能集
今天的很多交换阵列交换机产品都缺少一项非常重要的功能,即在存储网络中进行深入、具体的故障诊断。对于目前的大多数产品而言,用户只能查看不同的计数器,但是无法对控制协议及其相关的活动进行主动的监控。
Cisco MDS 9000系列交换机为对存储网络进行主动诊断而提供了一个范围广泛的功能集。用户可以通过CLI,为每台交换机功能设置不同的调试模式,并查看针对控制协议、实时更新的活动报告。它还可以根据用户的需求,提供不同等级的具体信息。每个日志条目都具有时间标记,按照时间顺序排列,并附有一个界面友好的事件说明。因为调试功能集是从CLI启用的,所以它的访问权限受CLI角色机制的限制。对于调制命令的访问权限可以在各个角色的基础上单独提供。
下面的图3显示了一个由用户调用的调制流程的实例。在这个流程中,用户调试的是FSPF协议。利用“?”选项,用户可以马上看到调试FSPF所能使用的选项。从输出结果可以看出,除了实际的调试输出以外,系统还为用户输入的每个命令创建了一个日志条目。调试输出显示了在该交换机和相邻交换机之间发生的、带有时间标记的FSPF活动的个数。
图3 调试进程的输出示例
RADIUS和系统日志支持
RAIDUS和系统日志是所有网络部署中的两个非常重要的工具。Cisco MDS 9000系列交换机可以全面地支持RADIUS和系统日志。
RADIUS是一种用于在头端RADIUS服务器和客户端设备之间交换属性和信任关系的协议。这些属性关系到三种服务等级,分别是认证、授权和记帐。认证指的是对访问某个特定设备的应用进行身份认证。在Cisco MDS 9000系列交换机中,RADIUS可集中治理交换机的所有用户帐号。因此,当某个用户需要登陆到交换机时,交换机将会通过从中心RADIUS服务器获取的信息验证用户的身份。
授权指的是用户在通过认证之后所获得的权限的范围。在Cisco MDS 9000系列交换机中,RADIUS服务器中会存储对用户分配的角色和用户可以访问的设备的列表。在客户通过认证之后,交换机可以根据RADIUS服务器提供的信息,判定用户在交换机网络中所能获得的权限的范围。记帐是指记录用户输入的所有命令、用户的身份,以及用户输入命令的时间的能力。这些命令记录将被发送到RADIUS服务器,存放在某个主日志中。治理员可以通过分析该日志,跟踪用户的活动,创建报告或者更改报告。RADIUS服务器和RADIUS客户端之间的所有信息交换都可以通过一个共享密钥加密,以增强安全性。Cisco MDS 9000系列交换机全面支持RADIUS认证、授权和记帐(AAA)。
系统日志是另外一个诊断Cisco MDS 9000系列中任务故障的重要工具。利用系统日志,按时间顺序排列的系统消息日志可以存储在本地,或者发送到某个中心系统日志服务器。系统日志消息还可以发送到控制台,供用户马上查看。这些消息的细节可能会有所不同,具体取决于用户所输入的配置。系统日志消息可以分为7个安全等级——从调试到要害事件。用户还能够针对交换机中的特定服务,限制哪些安全等级需要报告。例如,对于FSFP服务,用户可能希望只报告调试事件,但是对于分区服务,用户可能需要记录所有安全等级事件。
Cisco MDS 9000系列交换机的一项独特功能是将RADIUS记帐记录发送到系统日志服务的能力。这种功能的好处在于能够汇总所有消息,以便分析和关联。例如,假如某个用户需要登陆到某台交换机,更改一个FSPF参数,系统日志和RADIUS将会获得一些非常有用的信息,从而明确地记录事件的整个过程。下面就是这些信息的具体内容,它们将会被加入报告,对于Cisco MDS 9000系列而言,这些信息将在同一个系统日志输出结果中报告:
RADIUS:
系统日志
从上面的例子可以看出,通过将RADIUS和系统日志相结合,治理员可以具体地记录用户的活动(RADIUS)和交换机对于用户输入的命令的响应(系统日志)。此外,通过为FSPF提供调试模式并将其发送到系统日志服务,治理员现在可以非常具体地记录交换机对于用户输入的命令的反应。
用户空间文件系统
另外一个有助于加强Cisco MDS 9000系列交换机的治理的重要功能是 “工作区”文件系统,用户可以利用它来存储输出、脚本或者系统镜像。该文件系统设置使用限制,可以根据系统为每个用户指定的角色控制访问权限。例如,某个用户可能希望获得“show or debug”命令的输出的复本。用户直接将命令的输出导入到该共享文件系统的一个文件中。用户可以利用TFTP、FTP或者SFTP,将文件从那里转移到交换机之外。尽管用户只能使用某个特定的根目录,但是他们可以创建子目录,以便更好地组织他们的文件。所有标准的文件系统治理命令(例如移动、复制、重命名和删除)都可以使用。这个文件系统能帮助用户搜集统计信息和协议数据,以便于治理和诊断存储网络。
支持脚本的配置
Cisco MDS 9000系列提供了一个功能强大的CLI,其中包含很多命令,每个都具有很多选项。但是在大多数部署中,用户输入的、用于配置交换机的命令在多台交换机中都一样,或者只是稍有不同。为了避免在每台交换机中反复输入相同的配置信息,Cisco MDS 9000系列支持用脚本输入配置细节。用户可以从CLI调用一个定制的脚本,该脚本将把配置细节输入交换机。
脚本工具有两种用途。第一种最重要的用途是降低在多台交换机上反复输入相同配置细节的需求。对于配置中相同的部分,用户可以执行一个脚本,它能自动地输入相应的配置细节,例如SNMP联络信息、RADIUS配置和系统日志配置。在完成这些步骤之后,用户只需要通过CLI或者Cisco Fabric Manager工具输入配置中特有的部分。
但是在自动配置时代,用户可以获得一个功能更加强大的解决方案。自动配置系统能利用交换机对脚本的支持,根据用户输入的参数或者某种预先确定的图谱,自动地生成脚本,设置整台交换机。利用脚本工具,用户可以设计一个自动配置系统,根据主机的连接需求,为需要配置的交换机生成拓扑、名称、配置和所有相关的配置文件。所生成的配置文件随后可以利用脚本工具,自动地加载到相应的交换机中。这样的脚本工具有助于消除用户在配置设备时经常出现的错误。
基于CLI的Cisco MDS 9000系列交换阵列治理工具
Cisco MDS 9000系列交换机配有一系列面向交换阵列的治理工具,它们可用于发现和监控所连接的整个交换阵列。这些工具可以让用户的视野不仅只限于某一台交换机,而是拓展到其他交换机、所连接节点和交换阵列拓扑。这些工具从交换机CLI中调用,也出现在Cisco Fabric Manager的图形化用户界面(GUI)中。本文稍后将具体介绍CFM。下面几节将概括介绍这些基于CLI的交换阵列治理工具,以及它们用于监控存储网络的方法。
Cisco MDS 9000系列内置的组件治理工具
FC Ping和FC Traceroute
IP网络中最常用的两个工具是两个非常简单的程序,即Ping和Traceroute。对于不熟悉这些工具的读者来说,Ping工具可以通过一个IP路由网络,向某个目的地生成一系列“回声”分组。当这些“回声”分组到达目的地时,它们会被重新路由,发回源地址。利用Ping工具,用户可以检验自己与某个IP路由网络上的目的地之间的连通性和延时。Traceroute的工作方式与Ping类似;但是Traceroute还可以帮助用户判明某个数据帧在逐跳抵达其目的地的过程中经过的非凡路径。
在Cisco MDS 9000系列交换机中,这些工具被移植到了光纤通道。FC Ping和FC Traceroute是IP网络中的Ping和Traceroute在光纤通道中的对应工具。FC Ping让用户可以“ping”某个光纤通道N_端口或者终端设备。通过指定FC_ID或者光纤通道地址,用户发送一系列数据帧到目标N_端口。一旦这些数据帧抵达对外的F_端口,它们就会返回源地址,并且会加上一个时间标记。FC Ping可以帮助用户检验自己到某个终端N_端口的连通性和延时。
FC Traceroute与IP网络中的Traceroute略有不同,区别在于输出和返回路径都会被记录下来,因为它们可能会不一样。FC Traceroute命令的运行结果是两个路径描述符,它们可以说明数据帧逐跳经过的路径,其中包括数据帧在每个方向上进行每一跳的时间。
FC Ping和FC Traceroute是两种功能强大的工具,对于检验大型交换阵列中的连通性和分区准入非常有用。
SCSI对象发现
光纤通道名称服务是一种分布式的服务,涵盖了所有连接设备。当新的设备加入交换阵列时,它们会利用名称服务登记自己的信息,而这些信息随后将被分发到交换阵列中的所有交换机。这些信息可判定连接到交换阵列的节点的身份和拓扑。尽管名称服务可以提供这些信息,但是它只处于光纤通道级别。因为对于光纤通道连接的设备(例如SCSI对象),名称服务不能提供任何额外的信息。
但是,Cisco MDS 9000系列交换机添加了一种独特的功能,以便让用户更加深入地了解所连接的SCSI对象。SCSI对象发现功能让交换机可以迅速地登陆到所连接的SCSI对象,并执行一系列SCSI查询命令,以发现其他的信息。所查询的其他信息包括逻辑设备号(LUN)细节,例如LUN编号、LUN ID和LUN的大小。这些信息将会被汇总,通过不同的方式提供给用户。所采集的信息可以直接通过CLI命令提供,也可以通过Cisco Fabric Manager或者内置的SNMP MIB提供,这使得上层治理应用可以方便地获取这些信息。利用SCSI目标发现功能,用户能更加深入地了解交换阵列及其连接的SCSI设备。
完整的FC-GS-3支持
如前所述,FC-GS-3是一个由ANSI T11工作组定义的光纤通道段内治理工具。它提供所谓的通用服务,尤其是供光纤通道协议(FCP)使用。通用服务是指一组能够用一种请求或者主动提供方式,在光纤通道设备之间传输状态和配置信息的服务。目前,FC-GS-3可以提供名称服务、别名服务、治理服务、时间服务和密钥服务。
Cisco MDS 9000系列交换机全面支持FC-GS-3的所有通用服务。支持所有服务的能力帮助用户发现和了解其他支持FC-GS-3标准的附加设备,例如其他交换阵列交换机或者HBA。它还可以让其他支持和使用FC-GS-3的治理软件包发现和理解Cisco MDS 9000系列交换机。
Cisco MDS 9000系列所带来的另外一个好处是让不支持FC-GS-3的系统也可以通过SNMP MIB获得所搜集的信息。Cisco MDS 9000系列交换机内置了对于一系列定制SNMP MIB的支持,它们可以提供所有通过FC-GS-3发现的细节信息(例如注册的交换阵列设备的列表和所连接的交换阵列交换机的属性)。此外,来自于这些来源的信息可以提供一个关于设备制造商、型号和其他库存相关信息的视图。当然,这些信息只能从支持FC-GS-3 ANSI标准的设备处获得。尽管不是所有设备都能支持这种标准,但是这个数字正在不断增加,而且大多数新推出的设备(包括交换阵列交换机和HBA)都可以支持这种标准。
因此,无论是使用第三方应用,还是自行编写应用来治理存储网络,通过这些与FC-GS-3有关的MIB搜集到的具体设备和拓扑信息,用户能准确地创建和审核一个交换阵列的拓扑及其成员。
光纤通道SPAN
当存储网络中出现一个无法通过更改配置而解决的故障时,用户通常需要在协议级别进行分析。尽管Cisco MDS 9000系列交换机中的调试命令有助于查看终端节点和交换机之间的控制流量。用户仍经常需要更加深入地分析来自或者发往某个特定终端节点(例如某个主机或者磁盘)的所有流量。在这种情况下,用户通常需要利用多种分析工具捕捉协议的踪迹,以便进行进一步的分析。在使用协议分析工具时,用户必须插入与所分析的设备相配的分析工具,并且需要设备进行I/O中断。假如分析点位于两台交换机之间的交换机间连接(ISL)上,情况就会更加复杂。在这种情况下,可能会有更多的设备需要中断工作,具体取决于受到影响的ISL连接的下游还有哪些设备。
思科将它的Cisco Catalyst系列以太网交换机中的一种非常受欢迎的功能移植到了光纤通道领域,即SPAN。简而言之,交换端口分析工具(SPAN)功能让用户可以获得所有流量的一个复本,并将其发送到交换机的另外一个端口。这个复制操作不会导致任何所连接的设备的中断,并且是通过硬件实现的,消除了任何不必要的CPU负载。因此,利用SPAN功能,用户能将某个光纤通道分析工具(例如一个Finisar分析工具)连接到交换机的一个未被使用的端口,并利用一种无须中断的方式,将流量复本从某个正在分析的端口发送到分析工具。
SPAN功能还具高度可定制性。一个用户最多可在交换机中创建16个独立的SPAN进程。每个进程可以拥有多达4个不同的源端口和1个目的地端口。此外,用户能够根据只接收、只发送或者双向的流量,过滤SPAN源地址。用户甚至可以从某个特定的虚拟SAN(VSAN)对流量进行SPAN操作。1
利用SPAN功能,用户可以在不中断正常服务的情况下,对特定的设备进行具体的诊断。此外,用户可能需要从某个特定的应用主机获取一定的流量样本,进行主动的监控和分析。这个流程能通过SPAN功能方便地实现。将来,思科将提供远程SPAN功能,它会进一步增强未来的功能。利用远程SPAN,用户将能把来自于某个源端口或者VSAN的信息流发送到另外一个连接交换机上的一个端口。
Cisco Fabric Manager(CFM)
Cisco Fabric Manager是Cisco MDS 9000系列的最强大的工具之一。该工具实际上包含两个工具,即面向交换机的组件治理器和交换阵列治理器。Cisco Fabric Manager所包含的两个工具都内置于交换机中。这些工具采用了独特的设计,可以利用Sun Microsystems的Java Web Start环境运行。利用Web Start,用户能在消除普通Java程序所导致的延时的情况下,使用Java的所有功能。要使用Cisco Fabric Manager,用户只需要用一个Web浏览器访问任何一台Cisco MDS 9000系列交换机的治理IP地址。用户所看到的网页上提供了关于如何下载Web Start环境的简单说明,在开始时只需要执行一个步骤。在安装了Web Start以后,用户只需从前面的网页中调用Cisco Fabric Manager,该应用就可以自动地下载到本地主机、载入缓存并启动。要重复使用,用户只需要点击安装在本地主机上的Cisco Fabric Manager的图标。
1. 虚拟SAN是Cisco MDS 9000系列交换机的一种功能,它让用户可通过一种标签和端口汇聚步骤,在物理基础设施上创建和覆盖虚拟连接交换阵列。如需了解更多相关信息,请参阅Cisco MDS 9000系列产品的文档。
CEM组件治理
内置的组件治理器是Cisco Fabric Manager的一个重要的组成部分。组件治理器的设计目的是让用户可以利用基于GUI的工具设置一台Cisco MDS 9000系列交换机。交换机的所有配置功能都通过组件治理器的GUI提供,功能包括角色定义和RMON警报、事件配置等。组件治理器工具主要包含三个组件,即物理视图、概述视图,以及统计信息和配置窗口。物理视图用一些图标表示实际交换机,以及实际的交换模块和端口的状态。概述视图显示了一个实时更新的图标,列出了交换机的所有端口,并概括介绍了它们的统计信息和配置。统计信息和配置是通过弹出窗口显示的,用于配置和监控交换机的特定细节信息。图4显示了组件治理器的三个组件的实例。
组件治理器还具有能够帮助用户跟踪统计信息和事件的功能。其中的一个工具是 “保存”按钮,它让用户可以迅速地将某个统计信息窗口的输出保存到某个本地的文本文件。此外,绘图工具让用户可以创建一个基于任何统计信息窗口输出的图形,它将会在预先指定的轮询周期自动更新。该图形也可以保存到本地主机。
图4 Cisco Fabric Manager的三个组件治理视图
尽管具有强大的功能,但是组件治理器仍然是一种非常便于使用的工具。它所针对的对象是那些不熟悉Cisco MDS 9000系列CLI或者更偏爱GUI界面的用户。该组件治理器能帮助用户部署新的交换机,或者迅速地对现有的交换机进行改动。对于由五到十台交换机构成的小型存储网络,有些用户可能更愿意将CFM作为他们唯一的配置和治理工具。对于规模较大的交换阵列,用户可能更希望使用第三方工具,它们在报告和第三方设备配置方面能集成更多的功能。
Cisco Fabric Manager套件利用SNMP来与Cisco MDS 9000系列交换机通信。尽管用户能够使用SNMP v1、v2或者v3,但是SNMP v3可以提供更高的安全性,并能加强对角色的支持。通过将SNMPv3作为传输协议,用户将受到他们被指派的SNMPv3角色的限制,只能使用特定的CFM功能。因此,通过为用户创建SNMPv3和CLI角色,无论用户使用CLI或者CFM,都会使用相同的功能。
CFM交换阵列治理
Cisco Fabric Manager套件的另外一个非常重要的组成部分是交换阵列治理本身。作为一个附加的Web Start应用,交换阵列治理器可以帮助用户将交换阵列作为一个整体或者一个由设备构成的网络来进行治理。交换阵列治理器应用建立在交换阵列的一种拓扑上。一旦交换阵列治理器被调用,一个拓扑发现流程就会启动。利用一个子Cisco MDS 9000系列交换机查询到的信息,包括姓名服务注册和FC-GS-3交换阵列配置服务器信息,交换阵列治理器可以重新创建一个交换阵列拓扑,并通过定制的图形向用户展示。由于这些信息的源地址,任何第三方设备(例如其他支持FC-GS和FC-GS-3标准的交换阵列交换机)都将被发现,并作为拓扑的一部分被映射。供给商的组织特有标识符(OUI)值也将被转换,以获取任何第三方设备的制造商名称(例如QLogic、EMC或者JNI)。附加功能之一是根据从Cisco MDS 9000系列交换机获得的信息,映射SCSI级对象信息的能力。Cisco MDS 9000系列交换机能够登陆到它所发现的、与之连接的对象,并执行SCSI查询命令,确定LUN的配置。这些信息随后会被交换阵列治理器获得,加入到所显示的设备信息中。
交换阵列治理器主要包含三个组成部分,分别是拓扑窗口、库存窗口和工具窗口。拓扑窗口用一种便于用户定制和浏览的方式显示所发现的拓扑。库存窗口显示所有组件的树型结构,包括物理组件(例如交换阵列交换机)和虚拟组件(例如分区或者VSAN)。这些库存信息可以被工具用于执行配置任务。最后,工具窗口可以显示一系列面向交换阵列的工具,它们可用于配置、监控或者诊断一个由Cisco MDS 9000系列交换机组成的交换阵列。图5显示了这三个窗口。
图5 Cisco Fabric Manager的交换阵列治理视图
交换阵列治理器中提供的工具都是涵盖整个交换阵列的工具,它们能够治理和诊断多个设备。交换阵列治理器工具列表中包括一个交换阵列配置检查工具、一个VSAN配置工具、一个分区配置工具、一个交换阵列路径验证功能、一个用于端口捆绑的PortChannel配置工具和一个分区融合分析工具。此外,交换阵列治理器让用户能够同时更改多台交换机的配置。例如,假如某个用户需要更改所有交换阵列交换机的R_A_TOV值,用户只需选择所有交换阵列,进行一次修改。交换阵列治理器随后可以将这项修改发布到所有被选中的交换阵列。用户还可以从交换阵列治理器拓扑图调用组件治理器和/或一个指向交换机的Telnet进程。
交换阵列治理器是Cisco Fabric Manager套件中的组件治理器的非常有用的补充工具。CFM套件可以帮助用户治理一个包含多台Cisco MDS 9000系列交换机的交换阵列。对于由5到10台交换机构成的小型交换阵列,这些工具就足以进行交换阵列治理。对于较大的交换阵列,这些工具还可以提供一个非常迅速的接口,让用户可以尽快地更改基于Cisco MDS 9000系列的交换阵列。
Cisco Fabric Analyzer
协议分析工具是诊断任何一种网络协议故障的最终工具。这些设备能够捕捉各种网络流量,并将所捕捉的数据帧全面地解码到协议级。利用分析工具,用户能通过一部分存储网络交易样本,进行具体的分析,并逐帧地映射这些交易,在其中加入非常准确的时间信息。这些信息让用户可以非常精确地发现问题,进而缩短解决问题所需要的时间。但是,协议分析工具的缺点在于它们的价格非常昂贵,而且它们必须安装在网络中分析点所在的设备上。
思科将存储网络中的协议分析提升到了一个新的等级。利用Cisco Fabric Analyzer,用户可以从一台交换机捕捉光纤通道控制流量,不需要中断任何连接,也不需要位于分析点所在的主机,就可以对这些流量进行解析。
Cisco Fabric Analyzer主要包含三个组成部分。第一个组件是一个内置在Cisco MDS 9000系列交换机中的代理,它们可以有选择地启用,用以捕捉用户指定的控制流量。第二个组件是一个基于文本的界面,用于分析工具的控制和解码输出。第三个组件是一个基于GUI的客户端包,它可安装在用户的工作站上,为被解码的数据提供一个功能更加丰富的接口。图6显示了思科交换阵列分析系统的三个组成部分,以及它们所支持的两种配置,即基于CLI的工具和基于GUI的客户端软件。
Cisco Fabric Analyzer的基于文本的界面是一个基于CLI的工具,用于控制分析工具和输出解码结果。利用基于CLI的界面,用户能通过一种安全的方法(例如安全套接字层(SSH)),从远程访问Cisco MDS 9000系列交换机,并通过基于文本的CLI,捕捉并解码光纤通道控制流量。这种功能为进行远程的具体诊断提供了方便的手段。此外,因为这个工具是基于CLI的,所以它也会受到交换机中定义的、基于角色的策略的控制,这些策略可以根据需要,限制对该工具的访问权限。
图6 Cisco Fabric Analyzer的基于CLI的配置和GUI客户端配置
基于GUI的接口部署建立在一个思科提供的软件包的基础之上,该软件包可以安装在用户的工作站上。通过GUI,用户能通过一个界面更加友好、可定制的界面,访问被捕捉和被解码的光纤通道流量。GUI界面让用户可方便地分类、过滤、挑选和保存指向他们的本地工作站的路径。图7显示了Cisco Fabric AnalyzerGUI的一个屏幕截图。尽管这种客户端软件包的设计目的是让用户从远程访问被捕捉和被解码的光纤通道控制流量,但是它本身并不需要在远程工作站建立光纤通道连接。Cisco Fabric Analyzer软件包的最强大的功能是,它让用户能够通过以太网,从远程捕捉和解码光纤通道流量。Cisco Fabric Analyzer支持在光纤通道协议分析方面的一种革命性功能,即综合地捕捉光纤通道流量,用TCP/IP打包,将其向外发送到某个通过以太网连接的远程客户端,再在那里解除封装,对获得的光纤通道数据帧进行全面的解码。这种功能在诊断远程地点的问题方面提供了极高的灵活性。用户不再需要携带沉重的端口分析工具到分析点,将分析工具插入网络捕捉流量。现在所有这些功能都能在不中断正常服务的情况下,从远程进行。Cisco Fabric Analyzer补足了Cisco MDS 9000系列交换机的三种故障诊断功能。基于CLI的调试功能、光纤通道SPAN和Cisco Fabric Analyzer可以为系统治理员提供一个功能强大、灵活的工具集,帮助他们准确、有效地诊断存储网络的故障。
图7 Cisco Fabric Analyzer屏幕截图
CiscoWorks Resource Management Essentials
CiscoWorks Resource Management Essentials(RME)是CiscoWorks治理应用群中的一个应用,可以为一个CPN提供全面的资源治理功能。随着Cisco MDS 9000系列交换机的推出,CiscoWorks RME被进一步扩展,为Cisco MDS 9000系列存储网络提供资源治理服务。
CiscoWorks RME包含一组资源治理服务。下面概括介绍了CiscoWorks RME为Cisco MDS 9000系列交换机提供的服务。
通过CiscoWorks RME对于Cisco MDS 9000系列交换机的支持,客户现在可以拥有一个能够治理多套基础设施(包括存储网络、LAN、MAN和WAN)的硬件、软件和配置的系统。图8显示了CiscoWorks RME应用的一个屏幕截图。
图8 CiscoWorks Resource Manager Essentials屏幕截图
第三方集成
提供一个强大的治理解决方案的要害并不仅仅是提供一组用于治理产品的工具,还需要开放产品中的原始性能和配置信息的接口,以供第三方使用。很多企业已经采用了标准的存储和存储网络治理平台。因此,为了集成到客户的环境中,思科开放了对那些可以从Cisco MDS 9000系列交换机获得的、范围广泛的大量信息的访问权限,以便供第三方应用使用。
目前最常用的网络治理协议是SNMP。SNMP为在治理工作站和它们所治理的设备之间发送命令和返回数据提供了一种简便、全面的方法。SNMP使用的MIB可以提供对某个联网设备中的性能和配置信息的精确访问。Cisco MDS 9000系列交换机中加入了很多与存储网络有关的新型MIB,它们可以为第三方应用或者内部开发的应用提供对于设备和交换阵列中心数据的访问权限。除了这些新型MIB以外,这些平台还加入了很多符合IETF标准的MIB和思科专有MIB。此外,思科还在Cisco MDS 9000系列中部署了SNMP v3,以便为MIB的数据和命令提供安全的连接。
Cisco MDS 9000系列交换机还支持标准的段内配置工具,例如光纤通道名称服务和FC-GS-3交换阵列配置服务器。任何使用FC-GS-3通用服务提供的段内信息的第三方交换阵列治理应用都可以发现Cisco MDS 9000系列交换机。Cisco MDS 9000系列交换机也能发现交换阵列中其他支持FC-GS-3的设备。此外,Cisco MDS 9000系列交换机还可以发现所连接的SCSI对象和它们的可视LUN设计。
思科通过为这些段内信息提供OOB访问渠道,进一步加强了信息访问功能。利用SNMP,第三方应用可以通过MIB获取面向交换阵列的信息,例如名称服务器的内容,或者SCSI对象的位置及其相关LUN。思科编写和加入了很多新的MIB,它们让外部应用可以获取以前只能在光纤通道上段内提供的信息。
思科将继续与它的很多合作伙伴合作,将对Cisco MDS 9000系列交换机的支持进一步集成到流行的治理产品中。
结论
Cisco MDS 9000系列交换机包含一个强大的功能和服务集,可以为存储网络的治理提供有力的支持。从组件、交换阵列到资源的治理,Cisco MDS 9000系列提供了一组工具,它们可独立地治理一个交换阵列,或者为第三方工具提供接口,让它们可以获得对交换阵列配置和统计信息的访问权限,以实现无缝的治理。在提供对统计信息的访问权限的同时,Cisco MDS 9000系列所内置的工具还可为交换阵列提供一组全面的诊断工具集,而今天的大多数交换机产品都不具备这种功能。
通过Cisco MDS 9000系列交换机,思科为存储网络的治理提供了一种开放的方法。开放策略让用户可以选择怎样治理他们的存储网络环境。无论用户是只依靠Cisco MDS 9000系列交换机提供的工具,还是将交换机集成到他们现有的治理软件套件中,或者综合使用这两种方法,Cisco MDS 9000系列交换机都是完全开放的。思科将根据客户的需求,继续开发和扩展它的治理服务和接口,同时保持它的开放性,支持所有存储网络治理产品。
新闻热点
疑难解答