iSCSI: Das flexible SCSI-Netzwerkprotokoll für moderne Speicherlösungen

Was ist iSCSI?

iSCSI (Internet Small Computer Systems Interface) ist ein Protokoll, das den Befehlssatz von SCSI über IP-Netzwerke transportiert. Es ermöglicht Computernutzern, entfernte Speichergeräte so anzusprechen, als wären sie lokal direkt angeschlossen. Im Kern nutzt iSCSI SCSI-Befehle, um Blöckspeicher (Blocks) über TCP/IP zu übertragen. Die domänenspezifische Idee dahinter ist einfach: vorhandene IP-Netzwerke können genutzt werden, um SAN-Funktionen bereitzustellen, ohne dass teure Fibre-Channel-Infrastruktur erforderlich ist. iSCSI arbeitet typischerweise über TCP/Port 3260 und verwendet initiatorsseitig Namen (IQN) sowie zielseitig definierte Ziele (Targets), um eine sichere Verbindung zu etablieren. Für Organisationen bedeutet das mehr Flexibilität, Skalierbarkeit und Kostenkontrolle beim Aufbau von Speicherinfrastrukturen.

Wie funktioniert iSCSI? Initiator, Target, LUN

Im iSCSI-Ökosystem gibt es drei zentrale Rollen: Initiator, Target und LUN. Der Initiator ist der Client, der Speicherressourcen anfordert. Das Ziel (Target) ist der Speicherserver oder das Speichersystem, das die angeforderten Daten zur Verfügung stellt. Eine LUN (Logical Unit Number) bezeichnet eine logische Speichereinheit innerhalb eines Targets, die dem Initiator als eigenständiges Speichervolumen präsentiert wird. Jeder Initiator besitzt normalerweise eine eindeutige iSCSI Qualified Name (IQN), während jedes Target ebenfalls eine IQN erhält. Die Verbindung wird oft über Portal Groups realisiert, die aus einer oder mehreren IP-Adressen und Ports bestehen. Die Kommunikation erfolgt in Form von iSCSI-PDUs (Protocol Data Units), die SCSI-Befehle, Daten und Kontrollelemente transportieren. Über diese Struktur lassen sich Speichersysteme zentralisieren und gleichzeitig über standardisierte Netzwerke erreichen.

Vorteile und Einsatzszenarien von iSCSI

iSCSI bietet gegenüber anderen SAN-Lösungen mehrere Vorteile. Hauptsächlich spart es Kosten, da bestehende IP-Netzwerke genutzt werden können, wodurch separate SAN-Infrastrukturen wie Fibre Channel oft vermieden werden. Die Skalierbarkeit setzt dort an, wo Netzwerke wachsen: Neue Initiatoren oder Targets lassen sich relativ einfach hinzufügen, ohne physische Änderungen an der Fabrics-Infrastruktur vornehmen zu müssen. Zudem ermöglicht iSCSI eine einfache Fern- oder Remote-Verwaltung, da Blockspeicher über das normale IP-Backbone bereitgestellt wird. In virtuellen Umgebungen unterstützt iSCSI die schnellesh praktische Bereitstellung von Speicher für Hypervisoren, Datenbanken, Backups und Workspace-Hosting. Für kleine bis mittlere Unternehmen bietet iSCSI oft das optimale Preis-Leistungs-Verhältnis, während größere Rechenzentren je nach Architektur auch Fibre Channel oder NVMe-over-Fabrics-Lösungen kombinieren.

Architektur und Netzwerkinfrastruktur

Die Architektur von iSCSI kennt klare Komponenten: Initiator, Target, IQN, LUN, Portals Groups und oft zusätzlich Multipath-FPB (MPIO) für Redundanz und Performance. Ein typischer Aufbau trennt Management- von Storage-Datenverkehr oder nutzt separierte VLANs, um Latenz zu minimieren und Security zu erhöhen. In vielen Rechenzentren kommt eine dedizierte Speichernetzwerk-Infrastruktur zum Einsatz, während in kleineren Umgebungen das konvergierte Netzwerkdesign mit geteilten Netzwerkkarten eine praktische Lösung darstellt. iSCSI eignet sich sowohl für lokale Rechenzentrumsverbindungen als auch für entfernte Standorte (Remote-Disaster-Recovery), solange eine zuverlässige IP-Verbindung vorhanden ist. Um Stabilität und Performance sicherzustellen, ist eine sorgfältige Platzierung von iSCSI-Komponenten ebenso wichtig wie eine genaue Planung der Adressierung.

IQN, Target und Portal Groups

Der IQN-Name dient der eindeutigen Identifikation von Initiatoren und Targets. Portal Groups definieren, über welche IP-Adressen und Ports eine Verbindung hergestellt werden kann. Mehrere Portals Gruppen erhöhen die Ausfallsicherheit (Failover) und ermöglichen Lastverteilung. In komplexen Umgebungen werden zusätzlich iSCSI-Namespaces, CHAP-Authentifizierung und Multipath-I/O eingesetzt, um Sicherheits- und Leistungsanforderungen zu erfüllen. Die korrekte Konfiguration dieser Bausteine ist essenziell für eine robuste iSCSI-Architektur.

Technische Grundlagen: iSCSI über TCP

iSCSI transportiert SCSI-Pakete in TCP-PDUs. Das Protokoll besteht aus einer Reihe von Nachrichtenklassen, darunter Login-/Logout-Phasen, Text-Austausch, SCSI-Cmd- und Data-PDUs sowie R2T (Ready-to-Transfer) Signale. Die Trennung von Control- und Data-Pfaden ermöglicht eine effiziente Handhabung von Verbindungsaufbau, Fehlerbehandlung und Flusskontrolle. Die gängigsten Implementierungen verwenden TCP, wodurch Verlässlichkeit und Fehlerkorrektur handhabbar werden. Die Leistungsfähigkeit hängt stark von der Netzwerkinfrastruktur ab: Latenz, Bandbreite, Fehlerquoten und die korrekte MTU-Einstellung beeinflussen die Gesamtsystemleistung maßgeblich.

Wichtige Parameter für Performance

Die Leistungsfähigkeit eines iSCSI-Setups wird durch mehrere Parameter beeinflusst. Wesentliche Größen sind MTU (Maximum Transmission Unit) und die Nutzung von Jumbo Frames, die die Effizienz erhöhen, indem sie die Anzahl der Header-Pakete reduzieren. Ein korrekt konfiguriertes MTU (oft 9000 in Jumbo-Frame-Netzwerken) kann signifikant zu höheren Durchsätzen beitragen. Weiterhin spielen die Queue Depth, die IOPS-Rate und die Latenz eine große Rolle. Multipath I/O (MPIO) sorgt dafür, dass mehrere Pfade zu einem Target genutzt werden, was Ausfallsicherheit und Durchsatz verbessert. Schließlich ist die richtige Segmentierung von Management- und Storage-Traffic wichtig, um Staus zu vermeiden.

MTU, Jumbo Frames und Netzwerkdesign

Jumbo Frames vermeiden fragmentierte Pakete und reduzieren CPU-Overhead. Doch die Einführung verlangt eine vollständige End-to-End-Unterstützung: Switches, Router, Netzwerkkarten und Betriebssystem müssen Jumbo Frames unterstützen und korrekt konfigurieren. In vielen Umgebungen wird das iSCSI-Netzwerk auf dedizierte VLANs gelegt, um Konflikte mit dem restlichen Datenverkehr zu minimieren. Die Wahl des MTU-Werts sollte schrittweise getestet werden, wobei Stabilität, Fehlerhäufigkeit und Durchsatz beobachtet werden.

Multipath I/O (MPIO) und Failover

MPIO ist eine Kerntechnik für Redundanz und Performance in iSCSI. Durch mehrere Pfade zum Target wird automatisch der beste Pfad genutzt oder es wird bei Ausfall eines Pfades nahtlos auf einen anderen Pfad umgeschaltet. In Linux-Umgebungen kommen Tools wie Open-iSCSI in Verbindung mit Multipath-Tools (dm-multipath) zum Einsatz; unter Windows implementiert der iSCSI Initiator Multipath-I/O direkt. Die Konfiguration von MPIO erfordert eine korrekte Zuordnung von Ports, Ziel-IDs und LUN-IDs, sowie die Aktivierung von Multipath-Regeln, um Konflikte zu vermeiden.

Sicherheit in iSCSI

Sicherheit ist ein zentrales Thema bei iSCSI. Standardmäßig erfolgt die Authentifizierung zwischen Initiator und Target über CHAP (Challenge-Handshake Authentication Protocol). CHAP schützt Passwörter nicht direkt, sondern nutzt eine Challenge/Response-Mechanik, um unberechtigten Zugriff zu verhindern. In sensiblen Umgebungen kann außerdem IPsec oder TLS-verschlüsselung eingesetzt werden, um die Blöckspeicherdaten während der Übertragung zu schützen. Da iSCSI selbst kein Verschlüsselungsprotokoll integriert, ist die Sicherung des Transportwegs eine zentrale Voraussetzung für einen sicheren Betrieb. Zusätzlich sollten Zugriffsrichtlinien, Netzwerksegmentierung und regelmäßige Audits Teil der Sicherheitsstrategie sein.

CHAP-Authentifizierung

CHAP bietet eine zuverlässige Methode zur Authentifizierung von Initiator und Target. Üblicherweise erfolgt eine gegenseitige CHAP-Authentifizierung, bei der beide Seiten eine Challenge erhalten und mit dem passenden Hash antworten. Die Konfiguration erfolgt oft in den iSCSI-Settings der Initiatoren, während Targets geeignete Secrets (Kennwörter) speichern. Durch regelmäßige Rotation von CHAP-Schlüsseln und strenge Zugriffsregeln erhöht sich die Sicherheit deutlich.

Verschlüsselung und Netzwerkschutz

Für den Schutz sensibler Daten während der Übertragung stehen Optionen wie IPsec oder TLS-basierte Verschlüsselung bereit. IPsec kann auf IP-Ebene den gesamten Verkehr zwischen Initiator und Target verschlüsseln, während TLS-verschlüsselte Verbindungen speziell bei bestimmten Implementierungen genutzt werden. Es ist wichtig zu beachten, dass Verschlüsselung Performance-Einbußen mit sich bringen kann, weshalb eine Konsifikation von Sicherheit und Leistung erforderlich ist. In produktiven Umgebungen wird oft eine isolierte Speichernetzwerk-Infrastruktur bevorzugt, um die Angriffsfläche zu reduzieren.

Praxis: Einrichtung in Linux

Linux bietet robuste Open-Source-Tools für iSCSI-Konfiguration. Die häufigsten Komponenten sind der iSCSI-Client (open-iscsi) und das Multipath-Interface-Management-Framework (dm-multipath). Die folgenden Schritte geben einen praxisnahen Überblick über die Einrichtung eines Linux-Clients, der sich an ein iSCSI-Target bindet. Je nach Distribution können Befehle leicht variieren.

Installation und Grundkonfiguration von Linux-Clients mit Open-iSCSI

Zu Beginn installiert man die iSCSI-Client-Software, aktiviert den Daemon und sorgt dafür, dass er beim Systemstart automatisch gestartet wird. Danach konfiguriert man CHAP-Daten, falls benötigt, und stellt sicher, dass die Kernel-Module geladen sind. Beispielbefehle (Debian/Ubuntu-ähnliche Systeme):

sudo apt-get update
sudo apt-get install open-iscsi
sudo systemctl enable --now iscsid
sudo systemctl enable --now iscsi

Dieser Schritt bereitet die Plattform darauf vor, iSCSI-Targets zu entdecken und Verbindungen herzustellen. Die Initiator-Name-Liste (IQN) wird typischerweise automatisch erkannt oder kann manuell angepasst werden.

Beispielkonfiguration: Discovery und Login

Nach der Installation entdeckst du Targets, die im Netzwerk bekannt sind. Die gängigen Schritte sind:

sudo iscsiadm -m discovery -t sendtargets -p 10.0.0.100
sudo iscsiadm -m node -T iqn.2020-04.example.target1 -p 10.0.0.100:3260 --login

Nach dem Login erscheinen die Blockgeräte unter /dev/disk/by-id/ oder /dev/sdX. Die Identifikation erfolgt durch die IQN und die Port-ID. Mit dem Befehl lsblk lassen sich die neuen Geräte sichtbar machen und blockweise verwenden. Für zusätzliche Sicherheit konfigurieren viele Administratoren CHAP-Tracker und Multipath-Optionen.

Verwaltung von LUNs und Blockdevices

Nachdem die Verbindung hergestellt ist, erscheinen die LUNs als SCSI-Blockgeräte. Die Verwaltung erfolgt über Standard-Block-Tools wie lsblk, blkid, fdisk oder parted. In vielen Fällen wird eine LVM-Verwaltung (Logical Volume Manager) eingesetzt, um Speichervolumen flexibel zu 할teilen. Regelmäßige Backups, Snapshots und Replikationsmechanismen sollten in der Storage-Strategie verankert sein, um Redundanz und Datenintegrität sicherzustellen.

Praxis: Einrichtung in Windows

Windows bietet den integrierten iSCSI Initiator, der eine benutzerfreundliche Oberfläche für Discovery, Logins und das Mapping von Ziel-LUNs bereitstellt. Die Einrichtung erfolgt in der grafischen Systemsteuerung bzw. den iSCSI-Einstellungen. Typische Schritte:

Windows iSCSI Initiator konfigurieren

Öffne den iSCSI Initiator, gib die IP-Adresse des Targets ein und lass Windows das Target entdecken. Nach der Discovery wählt man die gewünschten LUNs aus und verbindet sich zu ihnen. Anschließend werden die LUNs als Laufwerke in der Datenträgerverwaltung sichtbar und können formatiert oder in bestehende Dateisysteme integriert werden. In Unternehmensumgebungen werden dabei oft Gruppenrichtlinien genutzt, um die Verbindungsparameter zentral zu steuern.

Richtlinien für produktive Umgebungen

In produktiven Umgebungen ist die Verwendung von CHAP, Multipath-I/O, regelmäßiger Firmware- und Treiberupdates sowie einer klaren Netzwerksegmentierung Standard. Eine dedizierte Speichernetzwerk-Schicht, Monitoring-Tools und automatisierte Failover-Tests tragen wesentlich zur Betriebsstabilität bei. Regelmäßige Audits der iSCSI-Logs helfen, Anomalien frühzeitig zu erkennen.

Vergleich: iSCSI vs Fibre Channel

Fibre Channel (FC) war lange die dominierende SAN-Technologie in Rechenzentren. iSCSI hingegen nutzt IP-Netzwerke und kostengünstigere Komponenten. Vorteile von iSCSI sind niedrigere Einstiegskosten, einfache Integration in vorhandene Rechenzentren und eine gute Skalierbarkeit. Nachteile können höhere CPU-Lasten, potenziell größere Latenzen im Standard-IP-Netzwerk und eine intensivere Netzwerkinfrastruktur erfordern. Fibre Channel bietet in vielen Umgebungen geringere Latenz, konstantere Leistung und spezialisierte SAN-Switches. Die Wahl hängt von Anforderungen wie Budget, vorhandener Infrastruktur, Verfügbarkeit, Disaster-Recovery-Strategien und Konsolidierungszielen ab.

Fortgeschrittene Themen: iSCSI über RDMA (iSER)

iSCSI Extensions for RDMA (iSER) kombiniert iSCSI mit Remote Direct Memory Access-Technologien wie RoCE oder InfiniBand, um den CPU-Aufwand zu reduzieren und den Durchsatz zu erhöhen. iSER kann niedrigere Latenzzeiten und bessere Cache-Hits liefern, insbesondere in Hochleistungsumgebungen mit großen IOPS-Bedarf. Die Implementierung setzt passende Hardware (RDMA-fähige NICs, Switches) sowie entsprechende Treiber-Stacks voraus. Für kleine bis mittlere Umgebungen kann der Nutzen moderat sein, doch in großen Rechenzentren mit strengen Leistungszielen kann iSER eine sinnvolle Optimierung darstellen.

Zukunftsaussichten: NVMe over Fabrics und iSCSI

NVMe over Fabrics (NvMe-oF) gewinnt zunehmend an Relevanz, besonders dort, wo NVMe-SSDs mit niedriger Latenzanforderung eingesetzt werden. iSCSI bleibt dennoch eine praktikable Option für traditionelle Blockspeicher und konservative Infrastrukturen, die keine NVMe-over-Fabrics-Spezifika benötigen. In vielen Organisationen werden Mischlandschaften betrieben, in denen NVMe-oF für Hochleistungs-Workloads genutzt wird, während iSCSI für weniger latenzkritische Aufgaben und Backup-Strategien weiter im Einsatz bleibt. Die Zukunft gehört hybriden Architekturen, bei denen verschiedene Protokolle je nach Anforderung kombiniert werden.

Best Practices für eine robuste iSCSI-Umgebung

Um Stabilität, Performance und Sicherheit zu erhöhen, empfehlen sich folgende Best Practices:

Segmentierung: Trenne Speichernetzwerk von allgemeinem Datenverkehr, idealerweise über VLANs und dedizierte NICs.
MTU-Planung: Verwende Jumbo Frames, teste End-to-End-Kompatibilität und überwache Fragmentierung.
Multipath: Nutze MPIO mit korrekter Pfadkonfiguration und regelmäßigen Failover-Tests.
CHAP-Sicherheit: Setze Mutual CHAP ein, rotiere Kennwörter regelmäßig und sperre verlorene Secrets.
Monitoring: Implementiere Logging, Performance-Micks, und Warnregeln bei Latenzanstieg oder Pfadfehlern.
Backups und Replikation: Plane regelmäßige Backups und Replikationen, um RPO/RTO-Anforderungen zu erfüllen.
Firmware- und Treiber-Updates: Halte Storage-Arrays, NICs, Switches und Clients aktuell.
Dokumentation: Halte Architektur- und Konfigurationsdetails zentral fest, damit Teamwechsel oder Notfallwiederherstellungen reibungslos funktionieren.

Fazit: Warum iSCSI eine robuste Wahl bleibt

iSCSI bietet eine flexible, kosteneffiziente und skalierbare Lösung für den Aufbau von Storage Area Networks über vorhandene IP-Infrastrukturen. Mit sorgfältiger Planung, geeigneter Sicherheit, effektiver Netzwerktopologie und robusten Management-Tools lässt sich eine leistungsfähige Speicherlandschaft realisieren, die den Anforderungen moderner Rechenzentren entspricht. Obwohl neue Technologien wie NVMe-over-Fabrics an Bedeutung gewinnen, bleibt iSCSI dank seiner Zugänglichkeit, seiner breiten Unterstützung in Betriebssystemen und seiner Reife eine etablierte Wahl für Unternehmen jeder Größe. Durch angepasste Strategien rund um Leistung, Sicherheit und Verwaltung lässt sich das volle Potenzial von iSCSI optimal ausschöpfen und eine zuverlässige, flexible Speicherlösung aufbauen.