我们目前正在开放的networking中运行iscsi,并希望将我们的iscsi迁移到单独的vlan。 通过文档阅读这似乎是不可能的。 相反,it / iscsitarget似乎在iscsi目标的所有IP上宣传这项服务。 由于并非所有这些IP地址在我们的iscsi启动器上都可用。 在启动过程中又会破坏我们的xen自动启动(超时太长)。
在/etc/iet/initiators.allow中限制子网并在/etc/iet/initiators.deny中拒绝所有子网似乎没有达到预期的效果:
# /etc/iet/initiators.allow ALL 192.168.50.0/24 ALL 192.168.51.0/24 # /etc/iet/initiators.deny ALL ALL 我想你应该能够通过在启动时提供-a <IPaddress>参数来将你的IET目标绑定到特定的接口(即你的iSCSI VLAN接口)。
设置rp_filter和/或采用iptables规则(更昂贵,但是如果你的iscsi子网启用了路由,则必须这样做)应该确保主机不能通过其他接口或其他子网到达iSCSI VLAN目标地址。