如果有機會能夠在不限制系統(tǒng)功能或者控制靈活性的情況下增強安全性，就再好不過了。使用VMware的VSpere 4.0中特定iSCSI啟動程序驗證改動可以實現(xiàn)該條件。

***個主要修改是VMware ESX或者ESXi主機當前可以同時使用不同iSCSI主機，即使這些iSCSI主機屬于不同的管理組或者是擁有不同的驗證能力。這二個主要修改是VMware ESX 4.0增強了VI 3中的iSCSI驗證程序，主要是通過另外的四個不同安全級別、手動挑戰(zhàn)-握手驗證協(xié)議（CHAP：Challenge-Handshake Authentication Protocol）安全以及為多目標獨立配置驗證的能力實現(xiàn)。

匿名和驗證訪問

在驗證級別， ESX 3.5對iSCSI目標支持兩種不同類型的訪問方式：匿名訪問和驗證訪問。ESX 3.5驗證訪問使用挑戰(zhàn)-握手協(xié)議。訪問的實施有時候會受到限制，因為僅僅使用一個本地名字和證書密鑰集合。在有多個潛在iSCSI目標的工作環(huán)境中，這種情況有可能會有問題。在這些多目標有不同驗證程序的工作環(huán)境中，只有那些具有相同值的目標才可以使用。這也就是說，實際上ESX 3.5中的CHAP驗證要么是對全部對象適用，要么是不起作用。

然而隨著ESX 4.0的問世，VMware對iSCSI驗證模式提供了進一步的靈活性。可以在iSCSI啟動程序的根用戶級別或者目標級別配置CHAP驗證程序。在根用戶級別配置證書，當然如果需要的話，也可以從目標級別繼承。ESX 4.0也新增了手動CHAP驗證，這在主機和iSCSI存儲系統(tǒng)之間增加一個新安全級別。

例如，假設(shè)一個公司在企業(yè)內(nèi)部使用很多不同的存儲技術(shù)：這個項目用這一項技術(shù)，另外一個項目用那一項技術(shù)等；另外也假設(shè)VMware項目用到其中一項技術(shù)，但是iSCSI目標的配置卻各不相同。為使用VMware以及這兩種解決方案，必須對ESX 3.5的存儲技術(shù)做出修改才可以使用這兩項技術(shù)。

對VSphere iSCSi啟動程序驗證進行修改，在ESX 4.0中配置手動CHAP

為研究如何在ESX 4.0中配置手動CHAP，我使用StarWind軟件公司的iSCSI存儲區(qū)域網(wǎng)絡(luò)（SAN：Storage Area Network）作為iSCSI存儲系統(tǒng)。StarWind的iSCSI SAN解決方案是運行在Windows操作系統(tǒng)之上的應(yīng)用程序，配置起來非常簡單。我根據(jù)主要工作用途選擇企業(yè)版的解決方案，因為其可以輕量級供給存儲。

首先下載StarWind iSCSI SAN并安裝在Windows系統(tǒng)上。我選擇完全安裝，在安全結(jié)束后啟動管理界面開始進行存儲系統(tǒng)配置。登錄iSCSI連接之后，通過給連接增加一個設(shè)備來增加一個存儲系統(tǒng)。由于我的測試環(huán)境沒有足夠的空間并且我希望使用輕量級供給iSCSI目標，所以我選擇的是“快照和CSP設(shè)備（Snapshot and CDP device）”。同時我還確保允許多iSCSI連接，因為我在其它測試ESX主機中也要用到該設(shè)備。

對VSphere iSCSi啟動程序驗證進行修改，激活手動CHAP驗證

修改連接許可權(quán)限，把對StarWind iSCSI SAN的CHAP驗證程序添加進來，另外對ESX主機新增CHAP驗證程序。因為多ESX主機將會使用這個驗證程序，我也為其它主機增加CHAP驗證程序。

為訪問主機級別已有的iSCSI目標，可以修改ESX 4.0主機上的iSCSI軟件啟動程序，在ESX 4.0上配置表項中的存儲系統(tǒng)適配器控制面板中可以進行修改。在ESX 3.5中有一個配置表項，該表能夠只接受iSCSI目標的CHAP驗證證書。ESX 4.0把CHAP配置工作移到一個按鈕上，它不僅新增手動CHAP驗證，并且增添和CHAP可以使用的安全級別相關(guān)的規(guī)則。CHAP安全設(shè)置如下表所示：

對VSphere iSCSi啟動程序驗證進行修改，需要切記的是硬件iSCSI啟動程序不支持手動CHAP。

為了在主機和StarWind iSCSI SAN之間配置驗證程序，我首先進入CHAP域中iSCSI目標的本地用戶名和密鑰進行配置，然后進入手動CHAP域中主機的本地用戶名和密鑰進行配置。在點擊“OK”之后，系統(tǒng)提示是否重新掃描軟件iSCSI啟動程序。這樣在ESX 4.0和iSCSI目標之間就成功創(chuàng)建了雙向連接。

除了支持手動CHAP，ESX 4.0允許不同目標支持多種CHAP驗證級別和不同的CHAP證書。在不太復(fù)雜的工作環(huán)境中，可以在啟動程序級別配置這些設(shè)置，并且每一個目標都可以繼承這些設(shè)置。正如當今的經(jīng)濟領(lǐng)域一樣，當需要把簡單問題逐漸復(fù)雜化時，從目前已有的系統(tǒng)上入手開始工作。如果能夠不中斷這些資源正在提供的服務(wù)而配置系統(tǒng)的話，最終將會更加靈活，同時也可以節(jié)省成本，這正是我在本文中提到的對Spere 4做出修改后所能提供的優(yōu)點。

【編輯推薦】

1. 在物理服務(wù)器上安裝VMware ESXi
2. 如何解決VMware ESX中出現(xiàn)的常見問題？
3. 提升VMware ESX Server性能的十大技巧
4. Vmware ESX 3.5應(yīng)用部署指南
5. NF295D2預(yù)裝VMware ESX 3i軟件 浪潮加速虛擬化普及