分散ストレージのセキュリティ上の欠陥 - ストレージの種類

分散ストレージのセキュリティ上の欠陥 - ストレージの種類

最も重要なストレージメトリックは何ですか?ストレージの専門家を含む多くの人は、IOPS や帯域幅などのストレージ パフォーマンス指標を思い浮かべます。しかし、ストレージに関して最も重要なのはデータのセキュリティだと思います。非常に高速なストレージで突然データが失われたらどうなるでしょうか?データの損失はどんなシステムにとっても大惨事です。したがって、どのような種類のストレージが使用されるかに関係なく、データのセキュリティと信頼性が最も重要です。従来のストレージでは、比較的高い信頼性が保証されている専用のハードウェアが使用されるため、誰もがまずパフォーマンス指標に注目します。ただし、X86 ベースの SRVSAN の信頼性は楽観的ではありません。

2014 年後半には、X86 ベースの分散ブロック ストレージの構築を開始しました。厳しいテストを経て、同年末に商用化されました。これは業界初の商用ソフトウェア定義分散ストレージであり、さまざまなメディアが報道に躍り出た。ほぼ 2 年間商用利用されており、安定したストレージ操作と優れたパフォーマンスを実現しています。そして、容量は当初の2P生容量から4.5Pに拡張されました。しかし最近、SRVSAN に内在するデータ セキュリティ リスクが無視され、主流のメーカーがこの問題を認識していないため、私はますます心配になっています。この隠れた危険が数年後に顕在化すれば、大規模なシステム障害が発生することになる。

ほとんどの読者はストレージについてあまり知りません。基礎から始めて、疑問を提起し、解決策を皆さんと議論するシリーズ記事を書きたいと思います。計算してみると、大まかに 7 つの章に分かれます。

1. ストレージタイプ

2. ファイルシステム

3. ディスクタイプ

4. レイドとインスタンス

5. SRVSANアーキテクチャ

6. SRVSANのセキュリティリスク

七。解決

一般的に、ストレージは、ローカル DAS およびネットワークベースの NAS ストレージ、SAN ストレージ、オブジェクト ストレージの 4 つのタイプに分類されます。オブジェクト ストレージは、SAN ストレージと NAS ストレージを組み合わせたもので、SAN ストレージと NAS ストレージの両方の利点を活用します。

図1

アプリケーションがストレージ内で必要なファイル情報を取得する方法を理解しましょう。図 1 に示すように、使い慣れた Windows を例として使用します。

1. アプリケーションは、「このディレクトリの readme.txt ファイルから最初の 1K のデータを読み取る」というコマンドを発行します。

2. メモリを介してディレクトリ層と通信し、相対ディレクトリを実際のディレクトリに変換し、「C:\test\readme.txt ファイルの最初の 1K のデータを読み取る」

3. FAT32 などのファイル システムを通じて、ファイル アロケーション テーブルとディレクトリ エントリを照会し、ファイル ストレージの LBA アドレスの場所、アクセス許可、およびその他の情報を取得します。ファイルシステムはまず、キャッシュ内にデータがあるかどうかを確認します。データがある場合は、そのデータを直接返します。そうでない場合、ファイル システムは、メモリ通信を通じて「LBA1000 から始まり、長さ 1024 の情報を読み取る」コマンドを次のリンクに渡します。

4. ボリューム (LUN) 管理層は、LBA アドレスをストレージの物理アドレスに変換し、SCSI プロトコルなどのプロトコルをカプセル化して、次のリンクに渡します。

5. ディスク コントローラは、コマンドに従ってディスクから対応する情報を取得します。

ディスク セクター サイズが 4K の場合、1 回の I/O で読み取られる実際のデータは 4K です。ヘッドによって読み取られた 4K のデータがサーバーに到達すると、ファイル システムは最初の 1K のデータをインターセプトし、アプリケーションに渡します。アプリケーションが次回同じ要求を開始すると、ファイル システムはそれをサーバーのメモリから直接読み取ることができます。

DAS、NAS、SAN のいずれの場合でも、データ アクセス プロセスは同様です。 DAS はコンピューティング機能とストレージ機能を 1 つのサーバーに統合します。誰もが日常的に使用するコンピュータは、図 1 に示すように DAS システムです。

図2

コンピューティングとストレージが分離されている場合、ストレージは独自のファイルシステムを持つ独立したデバイスになり、それ自体でデータを管理できます。これが NAS です (図 2 を参照)。コンピューティングとストレージは通常、CIFS または NFS プロトコルを使用してイーサネットで接続されます。サーバーはファイル システムを共有できます。つまり、サーバーが上海語を話すか杭州語を話すかに関係なく、ネットワークを介して NAS に到達するファイル システムは北京語に翻訳されます。したがって、NAS ストレージは異なるホスト間で共有できます。サーバーはリクエストを行うだけでよく、多くの計算を実行する必要はありません。多くの作業がストレージに引き継がれます。節約された CPU リソースは、サーバーが実行したい他の作業に使用できます。つまり、NAS はコンピューティング集約型のタスクに適しています。

図3

コンピューティングとストレージは分離されています。ストレージは独立したデバイスになります。ストレージはコマンドのみを受け入れ、複雑な計算は実行しなくなりました。ファイルの読み取りと書き込みの 2 つの処理のみを実行します。これは、図 3 に示すように、SAN と呼ばれます。ファイルシステムがないため、「ベアストレージ」とも呼ばれます。一部のアプリケーションでは、データベースなどのベアデバイスが必要です。ストレージは単純で明確なコマンドのみを受け入れ、その他の複雑な処理はサーバーによって実行されます。 FC ネットワークと組み合わせると、このタイプのストレージ データを非常に高速に読み書きできます。ただし、各サーバーには管理用の独自のファイルシステムがあります。収納にこだわりはありません。データが来る限り、保存します。それが何なのか知る必要はありません。英語でもフランス語でも忠実に記録します。しかし、英語を理解できる人だけが英語のデータを理解でき、フランス語を理解できる人だけがフランス語のデータを理解できます。そのため、一般的にサーバーと SAN ストレージ領域は単一であり、SAN の共有は不十分です。もちろん、クラスター ファイル システムがインストールされている一部のホストは同じストレージ領域を共有できます。

上記の分析から、ストレージの速度はネットワークとコマンドの複雑さによって決まることがわかります。

メモリ通信速度 > バス通信 > ネットワーク通信。ネットワーク通信には、FC ネットワークとイーサネット ネットワークも含まれます。 FC ネットワークは現在 8Gb/s を実現できますが、光ファイバー メディアを介したイーサネット ネットワークではすでに 10Gb/s が普及しており、40Gb/s のネットワーク カードも使用されています。つまり、従来のイーサネット ネットワークはもはやストレージのボトルネックではなくなりました。 FCSAN に加えて、IPSAN も SAN ストレージの重要なメンバーです。

ストレージ操作には、おなじみの読み取り/書き込み操作に加えて、作成、オープン、プロパティの取得、プロパティの設定、検索などが含まれます。頭脳を備えた SAN ストレージでは、読み取り/書き込み以外のすべてのコマンドをローカル メモリ内で非常に高速に完了できます。しかし、NAS ストレージには頭脳がありません。コマンドがストレージに渡されるたびに、IP でカプセル化され、イーサネット ネットワーク経由で NAS サーバーに送信する必要があります。速度はメモリ通信に比べてかなり遅くなります。

DAS の特徴は最速の速度ですが、単独でしか使用できません。 NAS の特徴は、速度は遅いが共有性に優れていることです。 SAN の特徴は、速度は速いが共有が貧弱であることです。一般的に、オブジェクト ストレージは、SAN のディスクへの高速直接アクセスと NAS の分散共有機能を組み合わせたものです。 NAS ストレージの基本単位はファイル、SAN ストレージの基本単位はデータ ブロック、オブジェクト ストレージの基本単位はオブジェクトです。オブジェクトは、ファイル データと属性情報のセットの組み合わせと考えることができます。この属性情報により、ファイルベースの RAID パラメータ、データ分散、およびサービス品質を定義できます。採用されているモードは、「制御情報」と「データ保存」を分離することです。クライアントは、読み取りと書き込みの基準としてオブジェクト ID + オフセットを使用します。クライアントはまず「制御情報」からデータストレージの実アドレスを取得し、次に「データストレージ」から直接アクセスします。オブジェクトストレージはインターネット上で広く利用されており、誰もが使っているネットワークディスクは典型的なオブジェクトストレージです。オブジェクト ストレージはスケーラビリティに優れており、線形に拡張できます。また、インターフェースのカプセル化を通じて NAS ストレージ サービスと SAN ストレージ サービスも提供できます。 VMware の vSAN は本質的にはオブジェクト ストレージです。分散オブジェクト ストレージは SRVSAN の一種であり、セキュリティ上のリスクもあります。この隠れた危険は X86 サーバーによって引き起こされるからです。

<<:  AWS IoT Device Defender について

>>:  SaaSとデータ復旧に関する誤解

推薦する

新時代のブランドマーケティング戦略!

はじめに:需要がある限り、関連ビジネスが次々と生まれます。今日の消費時代は、消費シーンが活況を呈して...

電子商取引サイトの内部構造 SEO最適化スキルの共有

サイト内構造の最適化は SEO 作業の基本です。適切なサイト構造レイアウトは、ユーザーが関連するペー...

JVMはオブジェクトが死んだと判断し、GCリサイクルを検証します。

[[377367]]この記事はWeChatの公開アカウント「bugstack」から転載したもので、著...

百度の最近のアルゴリズム調整:スパム対策と業界ブランドの認証

みなさんこんにちは。私は徐子宇です。過去1か月ほどの間に、Baiduはアルゴリズムを大幅に調整し、い...

cloudcone: 安価な VPS、特に中国聯通ネットワーク ユーザーに最適、1Tbps の高防御が月額わずか 2.5 ドル

cloudcone からの新しいプロモーションラウンドが始まりました。5 つの安価な VPS が年間...

なぜ Taobao にはランキングリストがないのでしょうか?

現在、インターネットの継続的な発展に伴い、電子商取引業界は急速に発展しています。市場にはさまざまなユ...

クラウド コンピューティングの選択のパラドックスを打破するにはどうすればよいでしょうか?

人々は仕事と生活において選択肢を求めています。しかし、心理学者の研究によると、複数の選択肢の中から選...

SEOをすぐに始められるように、個人的な実践経験を共有します

SEO Suzhouブログはオープンしてしばらく経ちますが、SEOを学びたい友人にたくさん会ってきま...

24 の節気のドメイン名を 1 つにまとめました: 3 つの接尾辞と 72 のピンイン名

春は耕作、秋は収穫、農業はずっと中国の発展における主要産業です。農業は古代から多くの注目を集めており...

オンライン教育:インターネット金融に続く次の「お金の道」

GoogleはC2C教育製品の発売を計画しており、「Taobao Classmates」が正式に発売...

ウェブサイト構築前のSEO対策について

現在、ウェブサイトの構築と SEO の最適化は別々に行われています。通常、SEO の最適化はウェブサ...

企業視点での検索マーケティング戦略共有

検索マーケティング (SEM) には、SEO と検索入札 PPC が含まれます。これらは、中国企業が...

企業サイトが消費者を追従してSEOを行う方法の分析例

長い間、多くの最適化担当者は SEO を正確に定義しておらず、SEO は検索エンジンだけのものだと考...

オンライン採用で無視されないように「自分の強みを生かし、弱みを避ける」方法

オンライン求人業界の発展動向は、総合包摂の段階に入りました。いわゆる包摂段階とは、一線都市が二線都市...