【Linux实战】tgtadm配置iSCSI服务端：从基础到高级安全设置

1. 为什么选择tgtadm来搭建你的iSCSI存储？

如果你是一个Linux系统管理员，或者是一个对搭建私有存储网络感兴趣的技术爱好者，那你肯定听说过iSCSI。简单来说，iSCSI就是一种让你能通过网络，把远程服务器的硬盘“变”成自己电脑上的一块本地硬盘的技术。想象一下，你的应用服务器需要巨大的存储空间，但你又不想在每台服务器里都塞满昂贵的硬盘。这时候，一台性能强劲的存储服务器通过iSCSI协议，把它的存储空间“分配”给这些应用服务器，问题就迎刃而解了。

在Linux世界里，配置iSCSI服务端的工具有好几个，比如功能强大但配置稍显复杂的targetcli，还有我们今天要深入聊的tgtadm。我刚开始接触iSCSI的时候，也纠结过选哪个。后来在实际项目中用了一圈下来，发现tgtadm对于想要快速上手、理解iSCSI核心概念的朋友来说，简直是“神器”。它的命令直白，逻辑清晰，你敲的每一条命令几乎都对应着一个具体的操作，非常适合学习和在中小规模环境中部署。不像有些工具，虽然提供了华丽的Web界面或复杂的对象树，但一层层点进去，反而容易让人迷糊底层到底发生了啥。

tgtadm属于scsi-target-utils这个软件包，它背后默默干活的服务叫tgtd。你可以把它理解为一个“靶子”（target），而需要连接它的客户端（称为initiator）就是“箭”。我们的工作就是用tgtadm这个命令工具，来设置这个“靶子”的大小、位置、谁可以射箭以及射箭的规则。整个过程从安装到配置出带高级安全认证的存储服务，最快可能只需要十几分钟。接下来，我就带你一步步走完这个过程，我会分享我踩过的一些坑和总结出来的最佳实践，保证你跟着做就能搭出一个既好用又安全的iSCSI存储服务器。

2. 从零开始：安装与基础服务配置

万事开头难，但iSCSI服务端的安装却简单得超乎想象。我们以常见的RHEL、CentOS、Fedora等使用yum包管理的系统为例。打开你的终端，用root用户或者sudo执行下面这条命令，安装过程就搞定了：

yum install scsi-target-utils -y

那个-y参数是为了让安装过程自动确认，省去你手动敲“y”的步骤。安装完成后，系统里就会多出两个关键的东西：一个是后台服务tgtd，另一个就是我们即将频繁使用的命令行工具tgtadm。

安装只是把工具放到了你的系统里，要让服务跑起来，还需要启动它。执行下面的命令来启动tgtd服务，并让它开机自启：

systemctl start tgtd
systemctl enable tgtd

我建议在启动服务后，立刻用systemctl status tgtd检查一下它的状态。如果看到绿色的“active (running)”字样，恭喜你，服务已经跑起来了。如果失败了，多半是端口被占用或者权限问题。iSCSI默认使用TCP的3260端口，你可以用netstat -tlnp | grep 3260看看是不是已经被其他程序占用了。

基础服务跑起来后，我们先别急着创建存储。我习惯先做一步准备工作：处理好防火墙。这是很多新手会栽跟头的地方，明明服务配置对了，客户端就是连不上，折腾半天才发现是防火墙把端口给拦了。如果你用的是firewalld，可以这样开放3260端口：

firewall-cmd --permanent --add-port=3260/tcp
firewall-cmd --reload

如果你还在用老旧的iptables，可能需要直接添加规则或者暂时关闭它（测试环境可以，生产环境务必谨慎）。做完这一步，我们的“舞台”就算搭好了，接下来