麒麟操作系统如何开启iSCSI服务 银河麒麟远程存储连接

必须先安装targetcli、启动target服务、放行3260端口、构建backstore/Target/LUN结构并验证发现，否则iSCSI存储共享无法生效。

在银河麒麟操作系统中配置远程存储访问时，一个常见的问题是iSCSI服务没有启用。这会导致无论是作为存储提供方（Target端）还是连接方（Initiator端），都无法正常工作。下面就来梳理一下，如何一步步把这项服务给“点亮”。

一、安装iSCSI目标管理工具targetcli

工欲善其事，必先利其器。在银河麒麟上配置iSCSI Target，核心工具就是targetcli。它负责创建和管理后端存储、定义Target标识以及LUN映射，这套流程缺了它可不行。通常这个工具需要手动安装。

首先，使用root权限登录系统，运行安装命令：sudo yum install targetcli -y。

安装完成后，别急着往下走，先验证一下：targetcli --version。如果系统爽快地返回了版本号，说明安装成功。

万一遇到了“command not found”的提示，那很可能不是包名错了，而是软件源没配置好。这时候，检查一下软件仓库列表：sudo yum repolist，确保正确的源已经启用。

二、启动并启用target服务

这里有个关键点容易混淆：安装了targetcli这个配置工具，并不等于iSCSI Target服务本身已经在运行了。真正的服务是由target这个systemd服务提供的。只有启动它，服务端才能开始监听并响应客户端的连接请求。

启动服务的命令很简单：sudo systemctl start target。

但别忘了，我们通常希望服务器重启后服务能自动恢复，所以还需要设置开机自启：sudo systemctl enable target。

最后，务必确认一下服务状态：sudo systemctl status target | grep "active (running)"。看到“active (running)”的字样，心里才算踏实。

如果这里显示的是红色的failed或者inactive，千万别跳过！这意味着服务启动失败了，可能是依赖缺失或者端口冲突，必须先把这个问题解决掉。

三、配置防火墙放行iSCSI端口

服务跑起来了，但网络通路是否畅通呢？iSCSI协议默认使用TCP 3260端口进行通信。在银河麒麟SP3/SP2等版本中，默认的firewalld防火墙很可能把这个端口给拦住了。

放行端口需要两步：首先，永久添加规则：sudo firewall-cmd --permanent --add-port=3260/tcp。

然后，重载防火墙配置让规则立刻生效：sudo firewall-cmd --reload。

操作完成后，验证一下端口是否已经在监听：sudo ss -tlnp | grep :3260。如果能看到target进程在监听3260端口，说明网络层面准备就绪了。

注意一个小细节：如果服务器配置了多个IP地址，要确保监听地址包含客户端能够访问的那个IP，而不仅仅是127.0.0.1（本地回环地址）。

四、创建基础iSCSI Target结构

基础环境搞定，现在进入核心配置环节。我们需要在targetcli的交互式环境中，构建一个完整的iSCSI资源树。这就像搭积木，需要依次创建后端存储（backstore）、Target对象（用唯一的IQN标识）、LUN映射，并可以设置访问控制（ACL）。

启动配置界面：sudo targetcli。

在出现的 /> 提示符下，按顺序执行以下命令：

1. 创建一个5GB大小的文件作为后端存储：/backstores/fileio create kylin_disk /root/iscsi-disk.img 5G

2. 创建一个iSCSI Target，注意IQN格式要规范：/iscsi create iqn.2026-05.com.kylin:storage

3. 将刚才创建的后端存储映射为这个Target下的一个LUN：/iscsi/iqn.2026-05.com.kylin:storage/tpg1/luns create /backstores/fileio/kylin_disk

4. 所有配置完成后，执行sa veconfig保存，然后exit退出。

五、验证Target可被客户端发现

配置做完了，但效果如何呢？最终，我们需要从客户端的视角来验证服务是否真正可用。如果客户端发现不了Target，那前面的工作就等于白费。

在另一台作为客户端的银河麒麟机器上，执行发现命令（请将IP地址替换成你服务器的实际IP）：sudo iscsiadm -m discovery -t st -p 192.168.24.158。

如果一切正常，命令应该会返回类似 192.168.24.158:3260,1 iqn.2026-05.com.kylin:storage 的结果，其中就包含了我们创建的Target IQN。

如果命令没有任何输出，或者提示“connection refused”，那就得回过头去排查了。重点检查第二步的target服务状态和第三步的防火墙规则，这两步是导致连接失败最常见的原因。