Passer au contenu

Le protocole iSCSI

Le nouveau protocole adapte IP aux exigences de SCSI. Il comporte des mécanismes d’authentification forte et de nommage pour le futur système de stockage sur Internet.

Depuis l’apparition des serveurs de fichiers dédiés (NAS), l’idée fait son chemin : comment utiliser le réseau IP et les infrastructures de transport qui le soutiennent (Ethernet, ATM, relais de trame, etc. ) pour interconnecter des sous-systèmes de stockage ou de sauvegarde (baies de disques durs ou bibliothèques de bandes). Pour y parvenir, il fallait réaliser un mariage contre nature entre TCP/IP et SCSI. Les recherches, lancées dans les laboratoires d’IBM en Israel il y a un peu plus de trois ans, se sont orientées vers un protocole intermédiaire, iSCSI, ou SCSI sur IP.Dans son principe, iSCSI est comparable au protocole de téléchargement de fichiers FTP. Comme lui, il indique au système de fichiers de la ressource destinataire quelles tâches à accomplir pour consulter ou modifier une information donnée. De ce point de vue, iSCSI n’est rien de plus qu’une interface applicative, un traducteur qui transforme les flots de commandes et de blocs de données SCSI en paquets IP, et inversement. Plus précisément, et selon le livre blanc de préstandardisation publié par l’IETF (Internet Engineering Task Force), iSCSI est une adaptation aux réseaux IP de la procédure de commandes à distance du SCSI, Remote SCSI. Une procédure déjà largement utilisée pour l’interconnexion de contrôleurs SCSI par des liens Fibre Channel.

Combler les lacunes de TCP

Ne se substituant réellement ni à SCSI ni à une quelconque partie du couple de protocoles TCP/IP, iSCSI apparaît comme un compromis. Son propos est plutôt de réutiliser, en les adaptant, les mécanismes de transmission et de contrôle de l’intégrité des données de TCP. Pour simuler la continuité de connexion logique (comme le fait Fibre Channel) ou physique (continuité électrique du bus) propre à SCSI, iSCSI lance plusieurs connexions TCP simultanées, qui seront considérées comme un seul canal de transmission et identifiées comme appartenant à une même session iSCSI. Dans la mesure du possible, les instructions et les données SCSI sont regroupées pour être transmises simultanément, éliminant ainsi la surcharge d’activité que provoquerait la multiplication des connexions TCP.Reste à gérer le caractère aléatoire de la transmission des messages sur TCP/IP, car SCSI ne supporte pas le désordre. Le protocole iSCSI contourne l’obstacle en affectant, à l’ouverture d’une session, un compteur à chaque composant (donnée ou instruction) du flot SCSI. Averti de l’ordre dans lequel les commandes et les segments de blocs de données ont été envoyés, le contrôleur iSCSI de destination (un pilote logiciel ou une carte adaptatrice spécifique) utilisera alors sa propre mémoire tampon pour stocker les portions d’informations reçues dans le désordre avant de les reconstituer dans leur disposition d’origine.Au passage, il a fallu modifier le comportement de TCP et lui retirer sa fonction de remise en ordre des paquets (lire DM&R n?’456) pour la confier à iSCSI. Ce dernier comble une autre lacune de TCP : son incapacité à déterminer la taille totale du bloc de données dont il vient de recevoir une fraction. Cette information est désormais contenue dans l’en-tête du paquet iSCSI, au même titre que l’adresse (sur 8 bits) du contrôleur SCSI de destination et de l’unité logique visée, ainsi qu’un marqueur de synchronisation qui facilite, en cas de perte de paquets IP, l’identification de la fraction de données SCSI manquante.

Adapter SCSI aux réseaux ouverts

S’ils règlent la transmission des données proprement dite, les mécanismes décrits ci-dessus ne prennent en compte ni la sécurité ni le nommage des ressources de stockage. C’est une autre proposition, iSCSI Security Layer, qui se charge d’assurer la sécurité des transactions. Intégrée au mécanisme d’authentification non sécurisé et de négociation des paramètres de session que contient déjà le protocole iSCSI, cette couche ajoutée du protocole devrait permettre la création de réseaux privés virtuels dédiés au stockage (VPSAN – Virtual Private Storage Area Networks), avec le chiffrement des données par un algorithme 128 bits (Triple DES, ArcFour ou Blowfish) ou 256 bits (Twofish-cbc), l’authentification sécurisée des membres d’un réseau iSCSI (par des certificats X. 509) et le marquage des paquets par un code destiné à garantir de bout en bout l’intégrité des données.Quant au nommage, il reste sans doute la problématique la moins avancée à ce jour. Pour l’essentiel, l’identification des contrôleurs iSCSI repose en effet sur la combinaison de leur adresse IP et du port TCP d’écoute, l’équivalent du port 21 pour FTP. Mais cette méthode ne fonctionne que dans un nombre limité de cas, lorsque le plan d’adressage est fixe, qu’il n’y a pas de routeur ni de coupe-feu, etc. Les recherches, menées à la fois par l’IETF et par le W3C, s’orientent vers deux systèmes de nommage distincts. Tandis que le service de noms de domaine associé à IP (DNS) continuera à identifier le n?”ud iSCSI (adresse IP et numéro du port TCP), un sous-système de nommage spécifique se chargera d’identifier le périphérique SCSI visé et lui associera un numéro de contrôleur (pour les configurations ayant plusieurs contrôleurs SCSI).Le système de nommage qui devrait naître de ces recherches ressemblera pour beaucoup à une adresse de page web (URL). Composée d’un nom de classe de ressource fourni par le constructeur, d’un nom de domaine fourni par le client, d’un identifiant de groupe iSCSI, du numéro de série du périphérique SCSI et, pour finir, du numéro de série de l’unité logique visée, ce nom pourra être résumé par un alias. Ce qui le rendra aussi facile à mémoriser pour un utilisateur que l’est aujourd’hui la lettre qui symbolise, sur son poste de travail, une ressource de stockage du LAN.



















































































 Une offre tout juste naissante 
 Constructeur     Produit      Description      Disponibilité/prix 
 IBM      TotalStorage IP Storage 200i     Sous-système de stockage en réseau compatible Windows NT, 2000 et Linux. Gère de 108 Go à 1,7 To de stockage Raid.     Prévu pour fin juin à partir de 23 627 € ht (155 000 F). 
              
 Cisco     Routeur SN 5420     Routeur Ethernet/IP compatible iSCSI et Fibre Channel.     Disponible à partir de 31 896 € ht (209 000 F). 
             
 Adaptec     Adaptateur AEA-7110C     Contrôleur iSCSI. Doté d’une interface Gigabit Ethernet sur fibre et d’une fonction de calcul TCP.     Disponible pour les OEM, prix non communiqué. 
             
 Emulex     Adaptateurs G9000     Gamme de contrôleurs iSCSI dotés d’une interface Gigabit Ethernet sur fibre et d’une fonction de calcul TCP.     Disponibilité et prix non communiqués. 
 



Routeurs, adaptateurs et sous-systèmes de stockage s’adaptent au nouveau protocole. Bien qu’annoncés et, pour certains, théoriquement disponibles, les premiers produits ne seront sans doute pas commercialisés avant l’hiver prochain.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Paul Philipon-Dollet