改了VSphere iSCSi启动验证，想让系统更安全点儿

（来源：根据VSphere管理经验及常见安全实践综合整理）

改了VSphere里面的iSCSI启动验证,这个想法本身非常好，说明您对系统的安全性有了一定的关注，不再满足于最基本的连通性，而是希望增加一道门槛，防止不该访问这个存储的设备偷偷连上来读写数据，这就像给家里装了一把更复杂的锁，而不是仅仅把门虚掩着，iSCSI启动验证，就是存储服务器（目标端）和你的ESXi主机（启动器）在正式传输数据之前，要先对一下“暗号”，暗号对上了，才允许连接，这个“暗号”通常有两种形式：一种叫CHAP，另一种叫双向CHAP，您做的这个改动，很可能就是启用了其中一种或者两种。

（来源：iSCSI协议标准及VSphere配置指南）

先说CHAP,这是最常用的一种，它的工作方式很像一些网站登录时的二次验证，想象一下，您的ESXi主机要去连接存储，存储服务器会主动问一句：“你是谁？”然后发过来一段随机的、无规律的字符串，就像一次性的验证码，ESXi主机必须结合自己预设的一个密码（我们称之为CHAP密码），对这个“验证码”进行一种特殊的计算，生成一个摘要，然后把自己的名字（CHAP用户名）和这个计算后的摘要一起发回给存储服务器，存储服务器自己也知道这个密码，它用同样的密码和同样的算法也算一遍摘要，如果两个摘要一模一样，就证明ESXi主机是知道正确密码的“自己人”，验证就通过了，这个过程里，密码本身始终没有在网络上直接传输，传输的只是计算后的结果，这就比直接发送明文密码要安全得多。

（来源：关于双向CHAP的增强安全解释）

而双向CHAP,则是在CHAP的基础上又加了一层保险，刚才那个过程是存储服务器验证ESXi主机，是单向的，但万一连接请求是从一个假冒的存储服务器发过来的呢？它可能会试图窃取ESXi主机发送的数据，双向CHAP就是为了防范这种情况，它在单向CHAP验证通过之后，会再来一次反向的验证：这次由ESXi主机作为提问方，去验证对方到底是不是真正的、合法的存储服务器，ESXi主机也会生成一个随机“验证码”，要求存储服务器用它们那边预设的密码进行计算并回复，只有双方都成功通过了对方的验证，连接才会最终建立，这就好比两个人见面，不仅要你出示证件给我看，我也要出示证件给你看，互相确认身份，极大地降低了任何一方被冒充的风险，如果您追求“更安全点儿”，在条件允许的情况下，启用双向CHAP无疑是更稳妥的选择。

（来源：系统配置变更后的常见影响分析）

正所谓“有利必有弊”，增加了安全措施，几乎必然会带来一些复杂性的提升和潜在的风险点，您改了设置之后，最需要警惕的就是配置错误导致的连接中断，如果ESXi主机上的CHAP密码和存储设备上配置的密码不一致，哪怕只是一个字母的大小写差别或者一个数字的错误，验证就会失败，其直接表现就是ESXi主机再也看不到它原本能访问的那个存储空间（数据存储）了，这会导致依赖于这个存储的所有虚拟机立刻无法运行，因为它们找不到自己的虚拟硬盘文件了，这是一个非常严重的问题，相当于您把锁换好了，结果发现自己手里的新钥匙也打不开了，把自己关在了门外。

（来源：故障排查与日常运维建议）

在进行这类涉及底层存储的敏感配置变更时,有一套非常关键的操作规程必须遵守，绝对不能在生产环境（也就是正在运行业务系统的环境）直接进行测试，理想情况下，应该在一个与生产环境网络隔离的测试环境中，先用一两台不重要的主机和测试存储进行完整的配置演练，确保整个流程、密码设置都万无一失，并且验证修改后虚拟机能否正常启动和运行，操作必须选择在业务低峰期或者计划内的维护窗口进行，并提前通知所有可能受影响的用户，也是最重要的，一定要有清晰、可执行的回退方案，在点击“确定”应用新CHAP设置之前，就要详细记录下所有旧的配置参数（比如原来是否启用验证、用的什么用户名等），并确保自己能在短时间内快速将这些参数恢复原样，这样一旦新配置出现问题，可以立即回退，将业务中断时间缩到最短。

（来源：关于密钥管理的安全最佳实践）

还有一个容易被忽视但同样重要的细节：密码（密钥）本身的管理，您设置的CHAP密码，不能太简单，123456”或者“password”这种是绝对不行的，很容易被暴力破解，它应该像您的重要账户密码一样，是足够长、包含大小写字母、数字和特殊符号的复杂密码，这个密码不能随处记录，比如写在随便一个txt文本文件里或者贴在显示器边框上，应该使用专业的密码管理工具进行加密保存，并且确保只有少数必要的管理人员有权访问，定期更换这些密码也是一个好习惯，但这又会带来一轮新的配置变更操作，需要同样谨慎地规划。

您改动iSCSI启动验证的初衷是百分百正确的,这是构建一个健壮、可信的虚拟化基础架构的重要步骤，但安全性和可用性之间永远存在一种微妙的平衡，追求更高的安全等级，意味着要接受更复杂的管理流程和潜在的配置风险，关键在于，要通过规范的变更管理、充分的测试和周全的回退计划，来驾驭这种复杂性，确保安全加固的动作不会意外地变成一次服务中断事件，当您成功地配置并稳定运行了CHAP验证后，您的存储网络就确实比以前“更安全点儿”了，可以更有效地抵御未经授权的网络访问尝试。