ไอเอสซีไอ

อิน เทอร์เฟซระบบคอมพิวเตอร์ขนาดเล็กทางอินเทอร์เน็ต ( iSCSI ; / aɪˈskʌzi / )^{iSCSI (} iSCSI -SCSI )เป็นโปรโตคอลอินเทอร์เน็ต (TCP) สำหรับเชื่อมโยงอุปกรณ์จัดเก็บข้อมูล iSCSI ให้เข้าถึงอุปกรณ์จัดเก็บระดับบล็อกโดยการส่งคำสั่งSCSITCP/IPiSCSI ช่วยอำนวยความสะดวกในการถ่ายโอนข้อมูลผ่านintranetและจัดการการจัดเก็บข้อมูลในระยะทางไกล สามารถใช้ในการส่งข้อมูลผ่านเครือข่ายบริเวณเฉพาะที่(LAN)เครือข่ายบริเวณกว้าง(WAN) หรืออินเทอร์เน็ตและทำให้สามารถจัดเก็บและเรียกค้นข้อมูลได้โดยไม่ขึ้นอยู่กับสถานที่ตั้ง

โปรโตคอลนี้อนุญาตให้ไคลเอ็นต์ (เรียกว่าตัวเริ่มต้น ) ส่งคำสั่ง SCSI ( CDB ) ไปยังอุปกรณ์จัดเก็บข้อมูล ( เป้าหมาย ) บนเซิร์ฟเวอร์ระยะไกล เป็น โปรโตคอล เครือข่ายพื้นที่จัดเก็บข้อมูล (SAN) ซึ่งช่วยให้องค์กรต่างๆ สามารถรวมการจัดเก็บข้อมูลเข้าไว้ในอาร์เรย์จัดเก็บข้อมูลในขณะที่ให้ไคลเอ็นต์ (เช่น เซิร์ฟเวอร์ฐานข้อมูลและเว็บเซิร์ฟเวอร์ ) รู้สึกเหมือนมีดิสก์ SCSI ที่เชื่อมต่อในพื้นที่^{[ 1 ]}โดยหลักแล้วเป็นการแข่งขันกับFibre Channelแต่ต่างจาก Fibre Channel แบบดั้งเดิมซึ่งมักต้องใช้สายเคเบิลเฉพาะ^{[ a ]} ​​iSCSI สามารถใช้งานได้ในระยะทางไกลโดยใช้โครงสร้างพื้นฐานเครือข่ายที่มีอยู่^{[ 2 ]} iSCSI ได้รับการบุกเบิกโดย IBM และ Cisco ในปี 1998 และถูกส่งเป็นร่างมาตรฐานในเดือนมีนาคม 2000 ^{[ 3 ]}

โดยพื้นฐานแล้ว iSCSI อนุญาตให้โฮสต์สองตัวเจรจาและแลกเปลี่ยน คำสั่ง SCSIโดยใช้ เครือข่าย โปรโตคอลอินเทอร์เน็ต (IP) ด้วยวิธีนี้ iSCSI จะใช้บัสจัดเก็บข้อมูลภายในที่มีประสิทธิภาพสูงที่เป็นที่นิยมและจำลองการทำงานบนเครือข่ายที่หลากหลาย ทำให้เกิดเครือข่ายพื้นที่จัดเก็บข้อมูล (SAN) ซึ่งแตกต่างจากโปรโตคอล SAN บางตัว iSCSI ไม่จำเป็นต้องใช้สายเคเบิลเฉพาะ สามารถใช้งานบนโครงสร้างพื้นฐาน IP ที่มีอยู่ได้ ด้วยเหตุนี้ iSCSI จึงมักถูกมองว่าเป็นทางเลือกที่มีต้นทุนต่ำกว่าFibre Channelซึ่งต้องใช้โครงสร้างพื้นฐานเฉพาะ ยกเว้นใน รูปแบบ FCoE (Fibre Channel over Ethernet) อย่างไรก็ตาม ประสิทธิภาพของการใช้งาน iSCSI SAN อาจลดลงอย่างมากหากไม่ได้ใช้งานบนเครือข่ายหรือซับเน็ตเฉพาะ (LAN หรือVLAN ) เนื่องจากมีการแข่งขันกันใช้แบนด์วิดท์ในปริมาณที่จำกัด^{[ 4 ]}

แม้ว่า iSCSI จะสามารถสื่อสารกับอุปกรณ์ SCSI ทุกประเภทได้ แต่ผู้ดูแลระบบมักใช้ iSCSI เพื่ออนุญาตให้เซิร์ฟเวอร์ (เช่น เซิร์ฟเวอร์ฐานข้อมูล) เข้าถึงไดรฟ์บนอาร์เรย์จัดเก็บข้อมูล โดยทั่วไปแล้ว iSCSI SAN มีวัตถุประสงค์อย่างใดอย่างหนึ่งจากสองข้อดังนี้:

การรวมพื้นที่จัดเก็บข้อมูล

องค์กรต่างๆ มักย้ายทรัพยากรจัดเก็บข้อมูลที่กระจัดกระจายจากเซิร์ฟเวอร์ต่างๆ ทั่วเครือข่ายไปยังตำแหน่งส่วนกลาง ซึ่งมักอยู่ในศูนย์ข้อมูล วิธีนี้ช่วยเพิ่มประสิทธิภาพในการจัดสรรพื้นที่จัดเก็บข้อมูล เนื่องจากพื้นที่จัดเก็บข้อมูลไม่ได้ผูกติดอยู่กับเซิร์ฟเวอร์ใดเซิร์ฟเวอร์หนึ่งอีกต่อไป ในสภาพแวดล้อม SAN เซิร์ฟเวอร์สามารถได้รับการจัดสรรไดรฟ์ข้อมูลใหม่โดยไม่ต้องเปลี่ยนแปลงฮาร์ดแวร์หรือสายเคเบิลใดๆ

การกู้คืนจากภัยพิบัติ

องค์กรต่างๆ มักทำสำเนาทรัพยากรจัดเก็บข้อมูลจากศูนย์ข้อมูลหนึ่งไปยังศูนย์ข้อมูลระยะไกล ซึ่งสามารถทำหน้าที่เป็นระบบสำรอง (hot/standby) ในกรณีที่ระบบล่มเป็นเวลานาน โดยเฉพาะอย่างยิ่ง ระบบจัดเก็บข้อมูลแบบ iSCSI SAN ช่วยให้สามารถย้ายอาร์เรย์ดิสก์ทั้งหมดผ่านเครือข่าย WAN ได้โดยมีการเปลี่ยนแปลงการกำหนดค่าเพียงเล็กน้อย ทำให้การจัดเก็บข้อมูล "สามารถกำหนดเส้นทางได้" ในลักษณะเดียวกับการรับส่งข้อมูลเครือข่าย

ตัวเริ่มต้น (Initiator)ทำหน้าที่เป็นไคลเอ็นต์ iSCSI โดยทั่วไปแล้ว ตัวเริ่มต้นจะทำหน้าที่เดียวกันกับอะแดปเตอร์บัส SCSI สำหรับคอมพิวเตอร์ ยกเว้นว่าแทนที่จะต่อสายอุปกรณ์ SCSI (เช่น ฮาร์ดไดรฟ์และเครื่องเปลี่ยนเทป) ตัวเริ่มต้น iSCSI จะส่งคำสั่ง SCSI ผ่านเครือข่าย IP ตัวเริ่มต้นแบ่งออกเป็นสองประเภทหลักๆ ได้แก่:

ตัวเริ่มต้นซอฟต์แวร์ใช้โค้ดในการใช้งาน iSCSI โดยทั่วไปแล้ว การทำงานนี้จะเกิดขึ้นในไดรเวอร์อุปกรณ์ที่อยู่ในเคอร์เนล ซึ่งใช้การ์ดเครือข่าย (NIC) และสแต็กเครือข่าย ที่มีอยู่ เพื่อจำลองอุปกรณ์ SCSI สำหรับคอมพิวเตอร์โดยใช้โปรโตคอล iSCSI ตัวเริ่มต้นซอฟต์แวร์มีให้ใช้งานสำหรับระบบปฏิบัติการยอดนิยมส่วนใหญ่ และเป็นวิธีการใช้งาน iSCSI ที่พบได้บ่อยที่สุด

ตัวเริ่มต้นฮาร์ดแวร์ (Hardware Initiator) ใช้ฮาร์ดแวร์เฉพาะ ซึ่งโดยทั่วไปจะใช้ร่วมกับเฟิร์มแวร์ที่ทำงานบนฮาร์ดแวร์นั้น เพื่อใช้งาน iSCSI ตัวเริ่มต้นฮาร์ดแวร์ช่วยลดภาระการประมวลผล iSCSI และ TCP รวมถึง การขัดจังหวะของอีเธอร์เน็ตดังนั้นจึงอาจช่วยปรับปรุงประสิทธิภาพของเซิร์ฟเวอร์ที่ใช้ iSCSI ได้อะแดปเตอร์บัสโฮสต์ iSCSI (หรือที่เรียกกันทั่วไปว่า HBA) เป็นตัวเริ่มต้นฮาร์ดแวร์ชนิดหนึ่ง โดยทั่วไป HBA จะประกอบด้วยตัวควบคุมอินเทอร์เฟซเครือข่าย อีเธอร์เน็ต แบบกิกะบิต (หรือ 10 กิกะบิต) เทคโนโลยีเอ็นจิ้นการถ่ายโอน TCP/IP (TOE) และอะแดปเตอร์บัส SCSI ซึ่งเป็นลักษณะที่ระบบปฏิบัติการมองเห็น HBA iSCSI อาจมีROM ตัวเลือกPCI เพื่อให้สามารถบูตจาก SAN iSCSI ได้

การ์ด iSOE หรือiSCSI offload engineเป็นทางเลือกแทน iSCSI HBA แบบเต็มรูปแบบ iSOE จะ "ถ่ายโอน" การทำงานของ iSCSI initiator สำหรับอินเทอร์เฟซเครือข่ายเฉพาะนี้จากโปรเซสเซอร์โฮสต์ ทำให้ CPU มีรอบการทำงานว่างสำหรับแอปพลิเคชันโฮสต์หลัก iSCSI HBA หรือ iSOE จะถูกใช้เมื่อการเพิ่มประสิทธิภาพเพิ่มเติมคุ้มค่ากับค่าใช้จ่ายเพิ่มเติมในการใช้ HBA สำหรับ iSCSI ^{[ 5 ]}แทนที่จะใช้ไคลเอ็นต์ iSCSI (initiator) ที่ใช้ซอฟต์แวร์ iSOE อาจถูกนำไปใช้กับบริการเพิ่มเติม เช่นTCP offload engine (TOE) เพื่อลดการใช้งาน CPU ของเซิร์ฟเวอร์โฮสต์ลงอีก

ข้อกำหนด iSCSI อ้างถึงทรัพยากรจัดเก็บข้อมูลที่อยู่บนเซิร์ฟเวอร์ iSCSI (โดยทั่วไปแล้ว คือหนึ่งในหลายๆอินสแตนซ์ของโหนดจัดเก็บข้อมูล iSCSI ที่ทำงานอยู่บนเซิร์ฟเวอร์นั้น) ว่าเป็น เป้าหมาย

โดยทั่วไปแล้ว อุปกรณ์เป้าหมาย iSCSI มักจะเป็นฮาร์ดดิสก์จัดเก็บข้อมูลที่เชื่อมต่อกับเครือข่ายโดยเฉพาะ แต่ก็อาจเป็นคอมพิวเตอร์ทั่วไปได้เช่นกัน เนื่องจากเช่นเดียวกับอุปกรณ์เริ่มต้น ซอฟต์แวร์สำหรับสร้างอุปกรณ์เป้าหมาย iSCSI นั้นมีให้ใช้งานสำหรับระบบปฏิบัติการหลักส่วนใหญ่

สถานการณ์การใช้งานทั่วไปสำหรับอุปกรณ์เป้าหมาย iSCSI ได้แก่:

ในศูนย์ข้อมูลหรือสภาพแวดล้อมระดับองค์กร อุปกรณ์เป้าหมาย iSCSI มักจะอยู่ในอาร์เรย์จัดเก็บข้อมูลขนาดใหญ่ อาร์เรย์เหล่านี้อาจอยู่ในรูปแบบของฮาร์ดแวร์ทั่วไปที่มี การใช้งาน iSCSI บนพื้นฐาน ซอฟต์แวร์โอเพนซอร์สหรืออาจเป็นผลิตภัณฑ์เชิงพาณิชย์ เช่นStorTrends , Pure Storage , HP StorageWorks , EqualLogic , Tegile Systems , Nimble storage , ตระกูล IBM Storwize , Isilon , NetApp filer , Dell EMC , Kaminario , NS-series, CX4, VNX, VNXe, VMAX, Hitachi Data Systems HNAS หรือ Pivot3 vSTAC

โดยทั่วไปแล้ว อาร์เรย์จัดเก็บข้อมูลจะจัดเตรียมเป้าหมาย iSCSI ที่แตกต่างกันสำหรับไคลเอนต์จำนวนมาก^{[ 6 ]}

ระบบปฏิบัติการเซิร์ฟเวอร์หลักสมัยใหม่เกือบทั้งหมด (เช่นBSD , Linux , SolarisหรือWindows Server ) สามารถรองรับฟังก์ชัน iSCSI target ได้ ไม่ว่าจะเป็นฟีเจอร์ในตัวหรือผ่านซอฟต์แวร์เสริม นอกจากนี้ ระบบปฏิบัติการเฉพาะทางบางระบบก็มีการรองรับ iSCSI target ด้วยเช่นกัน

ในศัพท์เฉพาะของ SCSI นั้น LU ย่อมาจากlogical unitซึ่งระบุด้วยหมายเลข logical unit ที่ไม่ซ้ำกัน LUN แทนอุปกรณ์ SCSI ที่สามารถระบุที่อยู่ได้ทีละตัว (logical) ซึ่งเป็นส่วนหนึ่งของอุปกรณ์ SCSI ทางกายภาพ (target) ในสภาพแวดล้อม iSCSI นั้น LUNs โดยพื้นฐานแล้วคือไดรฟ์ดิสก์ที่มีหมายเลขกำกับ ตัวเริ่มต้น (initiator) จะเจรจากับเป้าหมาย (target) เพื่อสร้างการเชื่อมต่อกับ LUN ผลลัพธ์ที่ได้คือการเชื่อมต่อ iSCSI ที่จำลองการเชื่อมต่อกับฮาร์ดดิสก์ SCSI ตัวเริ่มต้นจะจัดการ iSCSI LUNs ในลักษณะเดียวกับที่จัดการฮาร์ดไดรฟ์ SCSI หรือ IDE ทั่วไป ตัวอย่างเช่น แทนที่จะติดตั้งไดเร็กทอรีระยะไกลเหมือนที่ทำใน สภาพแวดล้อม NFSหรือCIFSระบบ iSCSI จะจัดรูปแบบและจัดการระบบไฟล์บน iSCSI LUNs โดยตรง

ในการใช้งานระดับองค์กร LUNs มักจะเป็นส่วนย่อยของ อาร์เรย์ดิสก์ RAID ขนาดใหญ่ ซึ่งมักจะจัดสรรให้หนึ่ง LUN ต่อเครื่องลูกข่ายหนึ่งเครื่อง iSCSI ไม่กำหนดกฎหรือข้อจำกัดใดๆ ในการใช้งาน LUN ร่วมกันของคอมพิวเตอร์หลายเครื่อง โดยปล่อยให้การเข้าถึงระบบไฟล์พื้นฐานเดียวกันเป็นหน้าที่ของระบบปฏิบัติการ

สำหรับการจัดเก็บข้อมูลทั่วไปบนคอมพิวเตอร์ที่บูตเสร็จแล้ว อินเทอร์เฟซเครือข่ายทั่วไปประเภทใดก็ได้สามารถใช้เพื่อเข้าถึงอุปกรณ์ iSCSI ได้ อย่างไรก็ตาม อินเทอร์เฟซเครือข่ายทั่วไปสำหรับผู้บริโภคไม่สามารถบูต คอมพิวเตอร์ ที่ไม่มีฮาร์ดดิสก์จากแหล่งข้อมูล iSCSI ระยะไกลได้ ดังนั้น โดยทั่วไปแล้วเซิร์ฟเวอร์จะโหลดระบบปฏิบัติการเริ่มต้นจาก เซิร์ฟเวอร์ TFTPหรืออุปกรณ์บูตในเครื่อง และจากนั้นใช้ iSCSI สำหรับจัดเก็บข้อมูลเมื่อการบูตจากอุปกรณ์ในเครื่องเสร็จสิ้นแล้ว

อาจมีการกำหนด ค่าเซิร์ฟเวอร์ DHCPแยกต่างหากเพื่อช่วยให้อินเทอร์เฟซที่มี ความสามารถ ในการบูตเครือข่ายสามารถบูตผ่าน iSCSI ได้ ในกรณีนี้ อินเทอร์เฟซเครือข่ายจะมองหาเซิร์ฟเวอร์ DHCP ที่มีอิมเมจบูตPXEหรือbootp ^{[ 7 ]}ซึ่งจะใช้ในการเริ่มต้นกระบวนการบูตระยะไกล iSCSI โดยใช้ที่อยู่ MAC ของอินเทอร์เฟซเครือข่ายที่กำลังบูต เพื่อนำทางคอมพิวเตอร์ไปยังเป้าหมายการบูต iSCSI ที่ถูกต้อง จากนั้นสามารถใช้วิธีการแบบซอฟต์แวร์เท่านั้นในการโหลดโปรแกรมบูตขนาดเล็กซึ่งสามารถเมานต์เป้าหมาย iSCSI ระยะไกลได้ราวกับว่าเป็นไดรฟ์ SCSI ในเครื่อง และจากนั้นเริ่มกระบวนการบูตจากเป้าหมาย iSCSI ดังกล่าว สามารถทำได้โดยใช้ ROM บูต Preboot Execution Environment (PXE) ที่มีอยู่ ซึ่งมีอยู่ในอะแดปเตอร์อีเธอร์เน็ตแบบมีสายจำนวนมาก รหัสบูตยังสามารถโหลดได้จาก CD/DVD, ฟลอปปี้ดิสก์ (หรืออิมเมจฟลอปปี้ดิสก์) และที่เก็บข้อมูล USB หรือสามารถแทนที่รหัสบูต PXE ที่มีอยู่บนอะแดปเตอร์ที่สามารถแฟลชใหม่ได้^{[ 8 ]}ซอฟต์แวร์ฟรีที่ได้รับความนิยมมากที่สุดที่ให้การสนับสนุนการบูต iSCSI คือiPXE ^{[ 9 ]}

ตัวควบคุมอีเธอร์เน็ตของ Intel ส่วนใหญ่สำหรับเซิร์ฟเวอร์รองรับการบูต iSCSI ^{[ 10 ]}

iSCSI ใช้ TCP (โดยทั่วไปคือพอร์ต TCP 860 และ 3260) สำหรับโปรโตคอลเอง โดยใช้ชื่อระดับสูงกว่าเพื่ออ้างถึงวัตถุภายในโปรโตคอล ชื่อพิเศษเหล่านี้ใช้เรียกทั้งตัวเริ่มต้นและเป้าหมายของ iSCSI iSCSI มีรูปแบบชื่อสามรูปแบบ:

ชื่อที่ระบุโดย iSCSI (IQN)

รูปแบบ: ชื่อที่ระบุอย่างชัดเจนของ iSCSI (iSCSI Qualified Name) ได้รับการบันทึกไว้ใน RFC 3720 โดยมีตัวอย่างชื่อเพิ่มเติมใน RFC 3721 โดยสรุปแล้ว ฟิลด์ต่างๆ มีดังนี้:

• iqn (iSCSI Qualified Name) ที่แท้จริง
• วันที่ (ปี ค.ศ.-เดือน) ที่หน่วยงานผู้มีอำนาจในการตั้งชื่อโดเมนได้เข้าเป็นเจ้าของโดเมนนั้น
• ชื่อโดเมนที่กลับด้านของหน่วยงาน (เช่น org.alpinelinux, com.example, to.yp.cr)
• ":" (ไม่บังคับ) เป็นคำนำหน้าชื่อเป้าหมายการจัดเก็บที่ระบุโดยหน่วยงานที่รับผิดชอบการตั้งชื่อ

จาก RFC: ^{[ 11 ]}

รหัสระบุเฉพาะแบบขยาย (EUI)

รูปแบบ: eui.{ที่อยู่ EUI-64 บิต} (เช่นeui.02004567A425678D)

T11 Network Address Authority (NAA)

รูปแบบ: naa.{ตัวระบุ NAA 64 หรือ 128 บิต} (เช่นnaa.52004567BA64678D)

ที่อยู่โดเมนในรูปแบบ IQN เป็นรูปแบบที่พบได้บ่อยที่สุด โดยจะมีวันหมดอายุ (ปี-เดือน) ต่อท้าย เนื่องจากชื่อโดเมนอาจหมดอายุหรือถูกซื้อโดยหน่วยงานอื่นได้

หน่วยงานรับรองของ IEEE ให้รหัส EUI ตามมาตรฐาน EUI-64 NAA เป็นส่วนหนึ่งของ OUI ซึ่งจัดทำโดยหน่วยงานรับรองของ IEEE รูปแบบชื่อ NAA ถูกเพิ่มเข้าไปใน iSCSI ใน RFC 3980 เพื่อให้เข้ากันได้กับข้อกำหนดการตั้งชื่อที่ใช้ในเทคโนโลยีการจัดเก็บข้อมูล Fibre Channel และSerial Attached SCSI (SAS)

โดยปกติแล้ว ผู้เข้าร่วม iSCSI สามารถกำหนดได้ด้วยฟิลด์สามหรือสี่ฟิลด์:

1. ชื่อโฮสต์หรือที่อยู่ IP (เช่น "iscsi.example.com")
2. หมายเลขพอร์ต (เช่น 3260)
3. ชื่อ iSCSI (เช่น IQN "iqn.2003-01.com.ibm:00.fcd0ab21.shark128")
4. ความลับของ CHAP ( ไม่บังคับ) (เช่น "ความลับนั้นสนุก")

ตัวเริ่มต้น iSCSI สามารถค้นหาทรัพยากรจัดเก็บข้อมูลที่เหมาะสมโดยใช้ โปรโตคอล Internet Storage Name Service (iSNS) ในทางทฤษฎี iSNS ให้รูปแบบการจัดการเดียวกันกับ SAN Fibre Channel สำหรับ iSCSI ในทางปฏิบัติ ผู้ดูแลระบบสามารถบรรลุเป้าหมายการใช้งาน iSCSI ได้หลายอย่างโดยไม่ต้องใช้ iSNS

ตัวเริ่มต้นและเป้าหมาย iSCSI พิสูจน์ตัวตนซึ่งกันและกันโดยใช้CHAPซึ่งรวมถึงกลไกในการป้องกันไม่ให้ รหัส ผ่านแบบข้อความธรรมดาปรากฏบนสายส่ง CHAP เองมีความเสี่ยงต่อการโจมตีแบบพจนานุกรมการปลอมแปลงและการโจมตีแบบสะท้อนหากปฏิบัติตามอย่างระมัดระวัง แนวทางปฏิบัติที่ดีที่สุดสำหรับการใช้ CHAP ภายใน iSCSI จะช่วยลดช่องโหว่สำหรับการโจมตีเหล่านี้และบรรเทาความเสี่ยง^{[ 12 ]}

นอกจากนี้ เช่นเดียวกับโปรโตคอลที่ใช้ IP ทั้งหมดIPsecสามารถทำงานได้ที่เลเยอร์เครือข่าย โปรโตคอลการเจรจา iSCSI ได้รับการออกแบบมาเพื่อรองรับรูปแบบการตรวจสอบสิทธิ์อื่นๆ แม้ว่าปัญหาด้านความเข้ากันได้จะจำกัดการใช้งานก็ตาม

เพื่อให้แน่ใจว่ามีเพียงผู้เริ่มต้นการเชื่อมต่อที่ถูกต้องเท่านั้นที่สามารถเชื่อมต่อกับอุปกรณ์จัดเก็บข้อมูลได้ ผู้ดูแลระบบมักจะใช้งาน iSCSI ผ่านเครือข่าย backchannel ที่แยกจากกันทางตรรกะเท่านั้น ในสถาปัตยกรรมการใช้งานนี้ เฉพาะพอร์ตการจัดการของอุปกรณ์จัดเก็บข้อมูลเท่านั้นที่เปิดเผยสู่เครือข่ายภายในทั่วไป และโปรโตคอล iSCSI เองจะทำงานบนส่วนเครือข่ายเฉพาะหรือVLANวิธีนี้ช่วยลดความกังวลเกี่ยวกับการตรวจสอบสิทธิ์ ผู้ใช้ที่ไม่ได้รับอนุญาตจะไม่ได้รับการจัดสรรทางกายภาพสำหรับ iSCSI ดังนั้นจึงไม่สามารถสื่อสารกับอุปกรณ์จัดเก็บข้อมูลได้ อย่างไรก็ตาม มันยังสร้าง ปัญหา ความไว้วางใจแบบส่งต่อ กล่าวคือ โฮสต์ที่ถูกบุกรุกเพียงเครื่องเดียวที่มีดิสก์ iSCSI สามารถใช้เพื่อโจมตีทรัพยากรจัดเก็บข้อมูลสำหรับโฮสต์อื่นๆ ได้

แม้ว่า iSCSI จะสามารถแยกออกจากเครือข่ายทั่วไปได้โดยใช้ VLAN เท่านั้น แต่ก็ยังไม่แตกต่างจากอุปกรณ์เครือข่ายอื่นๆ และสามารถใช้สายเคเบิลหรือพอร์ตใดก็ได้ตราบใดที่มีเส้นทางสัญญาณที่สมบูรณ์ระหว่างต้นทางและปลายทาง ความผิดพลาดในการเดินสายเพียงเล็กน้อยโดยช่างเทคนิคเครือข่ายก็อาจทำให้การแยกทางตรรกะไม่สมบูรณ์ได้ และการเชื่อมต่อผิดพลาดโดยไม่ได้ตั้งใจอาจไม่ถูกตรวจพบในทันทีเนื่องจากไม่ทำให้เกิดข้อผิดพลาดของเครือข่าย

เพื่อแยกความแตกต่างระหว่าง iSCSI กับเครือข่ายปกติ และป้องกันความผิดพลาดในการเดินสายเมื่อเปลี่ยนการเชื่อมต่อ ผู้ดูแลระบบอาจกำหนดมาตรฐานการกำหนดรหัสสีและการติดฉลากด้วยตนเอง เช่น ใช้สายสีเหลืองสำหรับการเชื่อมต่อ iSCSI เท่านั้น และใช้สายสีน้ำเงินสำหรับเครือข่ายปกติเท่านั้น รวมถึงติดฉลากพอร์ตและสวิตช์ที่ใช้สำหรับ iSCSI เท่านั้นอย่างชัดเจน

แม้ว่า iSCSI จะสามารถนำไปใช้ได้โดยการสร้างคลัสเตอร์ VLAN ของพอร์ตบนสวิตช์แบบหลายพอร์ตขนาดใหญ่ที่ใช้สำหรับการใช้งานเครือข่ายทั่วไปอยู่แล้ว แต่ผู้ดูแลระบบอาจเลือกใช้สวิตช์ที่แยกจากกันโดยสิ้นเชิงสำหรับ VLAN ของ iSCSI เท่านั้น เพื่อป้องกันความเป็นไปได้ที่สายเคเบิลที่เสียบผิดพอร์ตจะทำให้เกิดการเชื่อมต่อผิดพลาดได้

เนื่องจาก iSCSI มีเป้าหมายที่จะรวมการจัดเก็บข้อมูลสำหรับเซิร์ฟเวอร์จำนวนมากไว้ในอาร์เรย์จัดเก็บข้อมูลเดียว การใช้งาน iSCSI จึงจำเป็นต้องมีกลยุทธ์เพื่อป้องกันไม่ให้ผู้เริ่มต้นที่ไม่เกี่ยวข้องเข้าถึงทรัพยากรการจัดเก็บข้อมูล ตัวอย่างเช่น อาร์เรย์จัดเก็บข้อมูลระดับองค์กรเดียวอาจเก็บข้อมูลสำหรับเซิร์ฟเวอร์ที่อยู่ภายใต้การกำกับดูแลที่แตกต่างกัน เช่นกฎหมาย Sarbanes–Oxleyสำหรับการบัญชีของบริษัท, HIPAAสำหรับข้อมูลสวัสดิการด้านสุขภาพ และPCI DSSสำหรับการประมวลผลบัตรเครดิต ในระหว่างการตรวจสอบ ระบบจัดเก็บข้อมูลต้องแสดงให้เห็นถึงการควบคุมเพื่อให้แน่ใจว่าเซิร์ฟเวอร์ภายใต้ระบอบหนึ่งไม่สามารถเข้าถึงสินทรัพย์การจัดเก็บข้อมูลของเซิร์ฟเวอร์ภายใต้ระบอบอื่นได้

โดยทั่วไปแล้ว อุปกรณ์จัดเก็บข้อมูล iSCSI จะกำหนดตัวเริ่มต้น (initiator) ให้กับ LUN เป้าหมาย (target LUN) ที่เฉพาะเจาะจง ตัวเริ่มต้นจะตรวจสอบสิทธิ์ไม่ใช่กับอุปกรณ์จัดเก็บข้อมูล แต่กับสินทรัพย์จัดเก็บข้อมูลที่ต้องการใช้งาน อย่างไรก็ตาม เนื่องจาก LUN เป้าหมายสำหรับคำสั่ง SCSI นั้นแสดงอยู่ในทั้งโปรโตคอลการเจรจา iSCSI และโปรโตคอล SCSI พื้นฐาน จึงต้องระมัดระวังเพื่อให้แน่ใจว่าการควบคุมการเข้าถึงนั้นเป็นไปอย่างสม่ำเสมอ

โดยส่วนใหญ่ iSCSI ทำงานเป็นโปรโตคอลแบบข้อความธรรมดาที่ไม่มีการป้องกันการเข้ารหัสสำหรับข้อมูลที่เคลื่อนที่ระหว่างการทำธุรกรรม SCSI ดังนั้น ผู้โจมตีที่สามารถดักฟังการรับส่งข้อมูลอีเธอร์เน็ต iSCSI ได้จึงสามารถทำสิ่งต่อไปนี้ได้: ^{[ 13 ]}

• สร้างและคัดลอกไฟล์และระบบไฟล์ที่กำลังถ่ายโอนผ่านเครือข่าย
• แก้ไขเนื้อหาของไฟล์โดยการแทรกเฟรม iSCSI ปลอมเข้าไป
• ระบบไฟล์ที่เสียหายซึ่งถูกเข้าถึงโดยผู้เริ่มต้น ทำให้เซิร์ฟเวอร์เสี่ยงต่อช่องโหว่ของซอฟต์แวร์ในโค้ดระบบไฟล์ที่ไม่ได้ผ่านการทดสอบอย่างเพียงพอ

ปัญหาเหล่านี้ไม่ได้เกิดขึ้นเฉพาะกับ iSCSI เท่านั้น แต่เกิดขึ้นกับ โปรโตคอล SAN ใดๆ ที่ไม่มีการรักษาความปลอดภัยด้วยการเข้ารหัส โปรโตคอลความปลอดภัยแบบ IP เช่นIPsecสามารถให้การป้องกันการเข้ารหัสตามมาตรฐานแก่การรับส่งข้อมูลนี้ได้

วันที่ในตารางต่อไปนี้แสดงถึงการปรากฏตัวครั้งแรกของไดรเวอร์ดั้งเดิมในแต่ละระบบปฏิบัติการ ไดรเวอร์ของบุคคลที่สามสำหรับ Windows และ Linux มีให้บริการตั้งแต่ปี 2001 โดยเฉพาะสำหรับการเชื่อมต่ออุปกรณ์ IP Storage 200i ของ IBM ^{[ 14 ]}

โดยส่วนใหญ่แล้วอุปกรณ์ iSCSI จะเชื่อมต่อกับดิสก์ แต่อุปกรณ์ iSCSI สำหรับเทปและอุปกรณ์เปลี่ยนสื่อบันทึกข้อมูลก็ได้รับความนิยมเช่นกัน จนถึงปัจจุบัน อุปกรณ์ทางกายภาพยังไม่มีอินเทอร์เฟซ iSCSI ในตัวระดับส่วนประกอบ แต่จะใช้ซอฟต์แวร์ iSCSI, บริดจ์ภายนอก หรือคอนโทรลเลอร์ภายในตัวเครื่องในการเชื่อมต่ออุปกรณ์ที่มี อินเทอร์เฟซ Parallel SCSIหรือ Fibre Channel แทน

อีกทางเลือกหนึ่งคือการสร้างอุปกรณ์เสมือนสำหรับดิสก์และเทป แทนที่จะแสดงอุปกรณ์ทางกายภาพจริง ๆ เราจะแสดงอุปกรณ์เสมือนที่จำลองขึ้นมา การใช้งานภายในอาจแตกต่างจากอุปกรณ์เสมือนที่แสดงไว้อย่างมาก เช่นเดียวกับ ผลิตภัณฑ์ ไลบรารีเทปเสมือน (VTL) VTL ใช้พื้นที่จัดเก็บข้อมูลบนดิสก์สำหรับจัดเก็บข้อมูลที่เขียนลงในเทปเสมือน เช่นเดียวกับอุปกรณ์ทางกายภาพจริง อุปกรณ์เสมือนจะถูกแสดงโดยใช้ซอฟต์แวร์เป้าหมาย iSCSI บริดจ์ภายนอก หรือคอนโทรลเลอร์ภายในตัวเครื่อง

ในอุตสาหกรรมผลิตภัณฑ์รักษาความปลอดภัย ผู้ผลิตบางรายใช้ iSCSI RAID เป็นเป้าหมาย โดยมีตัวเริ่มต้นเป็นตัวเข้ารหัสที่รองรับ IP หรือกล้อง

มีระบบหลายระบบที่อนุญาตให้เชื่อมต่ออุปกรณ์ Fibre Channel, SCSI และ SAS เข้ากับเครือข่าย IP เพื่อใช้งานผ่าน iSCSI ระบบเหล่านี้สามารถใช้เพื่อการย้ายข้อมูลจากเทคโนโลยีจัดเก็บข้อมูลรุ่นเก่า การเข้าถึง SAN จากเซิร์ฟเวอร์ระยะไกล และการเชื่อมโยง SAN ผ่านเครือข่าย IP เกตเวย์ iSCSI ทำหน้าที่เชื่อมต่อเซิร์ฟเวอร์ IP กับ SAN Fibre Channel การเชื่อมต่อ TCP จะถูกยุติที่เกตเวย์ ซึ่งอาจติดตั้งอยู่บนสวิตช์ Fibre Channel หรือเป็นอุปกรณ์แบบสแตนด์อโลน