Bonjour,

A l'heure actuelle, notre serveur de fichiers tourne sous FreeBSD, sur des
partitions dont les ACL sont activés. Les fichiers sont servis par Samba.
D'un point de vue sécurité, la config est la suivante : - la configuration
'sécurité' du côté samba est quasiment inexistante (tout est quasiment ouvert)
- au niveau filesystem, les ACL permettent par contre une sécurité très
complexe qu'on utilise avec bonheur.

Maintenant, je ne sais pas très bien ce que sont les NAS et les SAN (un peu
quand même), mais je m'interroge sur la façon de les utiliser afin d'obtenir
le même résultat qu'aujourd'hui, à condition que ce soit au moins possible ?
En effet, ce que je ne comprends pas, c'est comment se compose la chaîne de
connexion : le NAS sert un espace disque, un frontal sert les partages... (?)
mais le _daemon_ qui sert les partages, que ce soit un samba ou un fileserver
microsoft, est-il intégré dans le NAS ? Si oui, j'ai l'impression que des ACL
aussi fins que ceux de FreeBSD n'existent pas encore. Si non, est-ce que ça
veut dire qu'on peut utiliser le NAS comme un périphérique en mode bloc, qu'on
peut monter comme n'importe quel HD, et sur lequel on peut ensuite appliquer
des ACL ? (ça, ça sous-entend qu'on peut le monter avec l'option ACL...)

Mêmes questions pour le SAN, dont j'ai cru comprendre, d'un poitn de vue
interfacage avec les serveurs de données, qu'il se rapprochait de la vision
'mode bloc' ?

--
Nicolas Ecarnot

[Il me semble que cette question serait plus à sa place sur le groupe
"fr.comp.stockage", vers lequel je positionne le suivi]

Le mars 2006 à 14:08:37 GMT, Nicolas Ecarnot a écrit :
>
> Maintenant, je ne sais pas très bien ce que sont les NAS et les SAN (un peu
> quand même), mais je m'interroge sur la façon de les utiliser afin d'obtenir
> le même résultat qu'aujourd'hui, à condition que ce soit au moins possible ?
> En effet, ce que je ne comprends pas, c'est comment se compose la chaîne de
> connexion : le NAS sert un espace disque, un frontal sert les partages... (?)
> mais le _daemon_ qui sert les partages, que ce soit un samba ou un fileserver
> microsoft, est-il intégré dans le NAS ? Si oui, j'ai l'impression que des ACL
> aussi fins que ceux de FreeBSD n'existent pas encore. Si non, est-ce que ça
> veut dire qu'on peut utiliser le NAS comme un périphérique en mode bloc, qu'on
> peut monter comme n'importe quel HD, et sur lequel on peut ensuite appliquer
> des ACL ? (ça, ça sous-entend qu'on peut le monter avec l'option ACL...)
>
Un NAS c'est exactement ce que vous faites avec votre serveur FreeBSD, cela
fournit un (ou plusieurs) espaces en NFS et/ou CIFS (SMB) à des clients sur
un réseau.

D'ailleurs, certains NAS du commerce sont des machines qui fonctionnent
sous FreeBSD (je n'ai plus de noms en tête, mais Google en a certainement).

Les ACL des NAS sont en général celles de Windows qui sont, somme toute,
assez évoluées.
Un certain nombre de NAS supportent les ACL POSIX mais ce n'est souvent
pas la cible principale des fabricants.

Donc oui, le NAS contient un démon ou quelque chose d'équivalent (tous ne
fonctionnent pas sous Unix) qui « parle » CIFS et qui supporte très souvent
des ACLs évoluées.
Dans l'écrasante majorité des cas, on ne peut pas accéder aux disques d'un
NAS directement (en mode bloc).

Le NAS est connecté au réseau Ethernet des machines clientes par un ou
plusieurs liens (généralement Gigabit).

Les NAS du commerce ont principalement leur valeur ajoutée axée sur la
simplicité de configuration (en très gros).

>
> Mêmes questions pour le SAN, dont j'ai cru comprendre, d'un poitn de vue
> interfacage avec les serveurs de données, qu'il se rapprochait de la vision
> 'mode bloc' ?
>
Un SAN, c'est un réseau dédié et spécifique (dans 99% des cas Fibre
Channel) qui permet d'accéder à des périphériques de stockage en « mode
bloc ».
C'est-à-dire qu'on ne manipule pas des fichiers (comme on le fait sur un
NAS) mais des blocs, exactement comme pour les périphériques de stockage
internes d'une machine (disques, lecteurs de bandes ou de CD/DVD).

La différence majeure est que là les périphériques sont hors de la machine.
La différence avec des périphériques SCSI (ou USB) externes est que le
moyen d'interconnexion est plus évolué et performant qu'un câble SCSI
(c'est vraiment un réseau, on peut par exemple utiliser des switches pour
créer des architectures complexes, la vitesse courante du Fibre Channel est
2 Gigabit/s, avec des machines récentes à 4 Gbps).

La connexion entre la machine et le SAN est faite dans la plupart des cas
par un adaptateur Fibre Channel (une carte PCI dans la machine), et une
fibre optique ou un câble en cuivre vers l'unité de disques (ou un lecteur
de bande, un switch, etc.).

Un serveur connecté à un SAN accède donc à, par exemple, des disques qui
sont dans une unité de disques par l'intermédiaire de son adaptateur Fibre
Channel, et le serveur « voit » des disques (SCSI) sur lesquels il peut
mettre, par exemple, un système de fichiers quelconque (y compris un
système de fichiers avec des ACLs évoluées et qu'on peut ensuite exporter
en CIFS avec Samba).


On peut aussi faire du SAN « cheap » avec de l'Ethernet en utilisant iSCSI
(ou l'obscur HyperSCSI), mais les performances et les fonctionnalités sont
souvent inférieures à Fibre Channel.


Loïc.

Bonjour,

Le 09-03-2006, Nicolas Ecarnot <nicolas.ecarnot@allussinan.org> a écrit:
> Maintenant, je ne sais pas très bien ce que sont les NAS et les SAN (un peu
> quand même), mais je m'interroge sur la façon de les utiliser afin d'obtenir
> le même résultat qu'aujourd'hui, à condition que ce soit au moins possible ?
> En effet, ce que je ne comprends pas, c'est comment se compose la chaîne de
> connexion : le NAS sert un espace disque, un frontal sert les partages... (?)
> mais le _daemon_ qui sert les partages, que ce soit un samba ou un fileserver
> microsoft, est-il intégré dans le NAS ? Si oui, j'ai l'impression que des ACL
> aussi fins que ceux de FreeBSD n'existent pas encore. Si non, est-ce que ça
> veut dire qu'on peut utiliser le NAS comme un périphérique en mode bloc, qu'on
> peut monter comme n'importe quel HD, et sur lequel on peut ensuite appliquer
> des ACL ? (ça, ça sous-entend qu'on peut le monter avec l'option ACL...)

Je pense que vos interrogations viennent avant tout des approximations
dans vos connaissance sur les NAS et SAN.

Pour faire simple, NAS et SAN mettent tout deux a disposition un espace
de stockage. La difference entre les deux est que le SAN offre un acces
niveau block la ou le NAS offre un acces niveau fichier (par exemple
NFS, AFS ou encore CIFS...). Ni plus, ni moins.

Donc votre serveur FreeBSD fait deja office de NAS...

Maintenant, je suppose a la vue de votre question que vous vous
interrogez sur les possibilites de filtrage des "Appliances" NAS ou
SAN...

Le SAN offrant un acces block, la seule fonction qu'il peut et doit
assurer est l'acces des machines autorisees aux differentes zones de
donnees, par des regles locales ou en s'appuyant sur des services
dedies. Le NAS permettant de son cote un acces niveau fichier, c'est a
lui d'assurer la securite complete des donnees, tant du point de vue de
l'utilisateur que de la machine, via des regles simples de gestion
locales ou s'appuyant sur des services externe (LDAP, NIS, Kerberos...)

Les SAN peuvent etre sur des reseaux dedies (FC) ou IP standard (via
iSCSI, iFCP...), mais d'une maniere generale comme c'est au client de
gerer les verrous, chaque espace (ou "LUN virtuel") n'est accessible en
r/w que par une machine en meme temps (sauf a avoir un systeme de
fichier reparti type gfs, hpfs...).

Les NAS sont les plus adaptes si les donnees doivent etre accessiblent
depuis plusieurs machines en lecture/ecriture,..

Les possibilites de filtrage dependent de chaque constructeurs et de
chaque systeme present. Peut-etre que si tu donnais quelques
descriptions de ce que tu veux faire...

Croco