PowerVault ME5：網路安全掃描器對 iSCSI 效能、SAN 穩定性和資料存取的影響

兩個控制器均進入無回應狀態。

從 ME5 事件記錄：

A1643	2025-04-22 15:02:09	658		Warning	The system health is degraded and cannot support firmware upgrade. (number of pre-firmware upgrade tests failed: 1, pre-firmware upgrade failed tests: 0x0000000000000002 )
A1642	2025-04-22 15:01:57	658		Warning	The system health is degraded and cannot support firmware upgrade. (number of pre-firmware upgrade tests failed: 1, pre-firmware upgrade failed tests: 0x0000000000000002 )
A1641	2025-04-22 15:01:45	658		Warning	The system health is degraded and cannot support firmware upgrade. (number of pre-firmware upgrade tests failed: 1, pre-firmware upgrade failed tests: 0x0000000000000002 )
A1640	2025-04-22 14:55:26	81		Informational	Kill was released (that is, the partner controller was allowed to boot up), automatic.
A1639	2025-04-22 14:53:26	71		Informational	Failover completed. (failed or shutdown controller: B)
A1638	2025-04-22 14:53:26	77		Informational	Write-back cache was initialized for controller B. Write-back data was found.
A1637	2025-04-22 14:53:26	71		Informational	Failover was initiated. (failed or shutdown controller: B)
A1636	2025-04-22 14:53:25	194		Informational	Auto-write-through trigger event: partner processor down.
A1635	2025-04-22 14:53:25	188		Informational	Write-back cache was disabled.
A1634	2025-04-22 14:53:25	84		Warning	Killed partner controller. (reason: Heartbeat lost)

此問題的主要原因是 iSCSI 網路上未經授權或主動進行網路掃描。關鍵的促成因素包括：

• 缺乏網路隔離： iSCSI 流量未與一般企業網路流量正確隔離，使其容易受到掃描。
• 突發流量處理： iSCSI 對高數據包速率很敏感，安全掃描生成的請求過多，導致資源耗盡。
• OID 表格飽和度：存儲系統的物件標識碼 （OID） 表因連接嘗試大量而變滿，從而導致核心故障。（Oid 表已滿錯誤。）
• 核心間通訊中斷 （核心記錄無回應）。

為防止再次發生，請實施以下最佳做法：

1. 隔離 iSCSI 網路

   • 確保 iSCSI 流量在專用的隔離網路（單獨的 VLAN 或物理網路）上運行。
   • 僅限授權的啟動器才能存取。

2. 避免掃描 iSCSI 連接埠

   • 安全性掃描應排除 iSCSI 網路，以防止中斷。
   • 如果掃描為必填，請僅在事先協調的維護時段執行掃描。

3. 實施適當的存取控制

   • 對 iSCSI 啟動器使用 CHAP 驗證。
   • 設定防火牆規則以阻止未經授權存取 iSCSI 連接埠 （一般為 TCP 3260）。

4. 監控異常流量

   • 部署網路監視以檢測可能指示正在掃描或攻擊的異常流量模式。

安全 iSCSI 部署的最佳實務：

• 邏輯分段：iSCSI 使用專用 VLAN 或實體網路，以將暴露風險降至最低。
• 管理連接埠分隔：僅向一般網路公開存儲管理介面，保持 iSCSI 埠隔離。
• 定期韌體更新：確保儲存控制器和 NIC 執行最新韌體，以有效率地處理流量。

通過遵循這些措施，組織可以保持其iSCSI存儲基礎結構的高可用性和安全性，同時避免由於外部掃描而導致的性能下降。

最佳實務建議：

在隔離的 VLAN 或實體網路上實作 iSCSI，可確保提供更優異的效能，並保護儲存基礎結構免於意外中斷。防止掃描工具針對此網段，以避免日誌泛洪和核心崩潰。適當的分段、安全性原則和掃描排除項目對於健全的儲存環境至關重要。