WikiDer > ISCSI - Википедия

iSCSI - Wikipedia

В вычислениях iSCSI (/ˈаɪskʌzя/ (Об этом звукеСлушать) ГЛАЗ-скуз-ее) является аббревиатурой от Интерфейс малых компьютерных систем Интернета, протокол Интернета Стандарт сети хранения на основе (IP) для связывания устройств хранения данных. Это обеспечивает доступ на уровне блоков к устройства хранения данных неся SCSI командует TCP / IP сеть. iSCSI используется для облегчения передачи данных через интрасети и управлять хранилищем на больших расстояниях. Его можно использовать для передачи данных по локальные сети (ЛВС), глобальные сети (WAN) или Интернет и может обеспечить хранение и поиск данных независимо от местоположения.

В протокол позволяет клиентам (называемым инициаторы) для отправки команд SCSI (CDB) на устройства хранения (цели) на удаленных серверах. Это сеть хранения данных (SAN), позволяющий организациям объединять хранилища в массивы хранения предоставляя клиентам (таким как базы данных и веб-серверы) иллюзию локально подключенных дисков SCSI.[1] В основном он конкурирует с Fibre Channel, но в отличие от традиционного Fibre Channel, для которого обычно требуется выделенный кабель,[а] iSCSI может работать на больших расстояниях с использованием существующей сетевой инфраструктуры.[2] Протокол iSCSI был впервые предложен IBM и Cisco в 1998 году и представлен как черновой вариант стандарта в марте 2000 года.[3]

Концепции

По сути, iSCSI позволяет двум хостам вести переговоры, а затем обмениваться SCSI команды с использованием протокол Интернета (IP) сети. Таким образом, iSCSI использует популярную высокопроизводительную шину локального хранилища и эмулирует ее в широком диапазоне сетей, создавая сеть хранения данных (SAN). В отличие от некоторых протоколов SAN, iSCSI не требует выделенных кабелей; его можно запустить поверх существующей IP-инфраструктуры. В результате iSCSI часто рассматривается как недорогая альтернатива Fibre Channel, для чего требуется выделенная инфраструктура, за исключением FCoE (Fibre Channel over Ethernet) форма. Однако производительность развертывания iSCSI SAN может быть значительно снижена, если она не работает в выделенной сети или подсети (LAN или VLAN) из-за конкуренции за фиксированную пропускную способность.

Хотя iSCSI может взаимодействовать с устройствами SCSI произвольного типа, системные администраторы почти всегда используют его, чтобы позволить серверам (например, серверам баз данных) получать доступ к дисковым томам в массивах хранения. Сети iSCSI SAN часто преследуют одну из двух задач:

Консолидация хранилища
Организации перемещают разрозненные ресурсы хранения с серверов по своей сети в центральные места, часто в центры обработки данных; это позволяет повысить эффективность распределения хранилища, поскольку само хранилище больше не привязано к конкретному серверу. В среде SAN серверу можно выделить новый дисковый том без каких-либо изменений в оборудовании или кабелях.
Аварийное восстановление
Организации зеркалируют ресурсы хранения из одного центра обработки данных в удаленный центр обработки данных, который может служить в качестве горячего / резервного в случае длительного простоя. В частности, сети хранения данных iSCSI позволяют переносить целые дисковые массивы через глобальную сеть с минимальными изменениями конфигурации, что фактически делает хранилище «маршрутизируемым» таким же образом, как и сетевой трафик.[нужна цитата]

Инициатор

An инициатор функционирует как клиент iSCSI. Инициатор обычно служит той же цели для компьютера, что и адаптер шины SCSI, за исключением того, что вместо физического подключения устройств SCSI (например, жестких дисков и устройств смены лент) инициатор iSCSI отправляет команды SCSI по IP-сети. Инициаторы делятся на два основных типа:

Программный инициатор использует код для реализации iSCSI. Обычно это происходит в резидент ядра драйвер устройства, использующий существующий сетевая карта (NIC) и Сетевой стек для эмуляции устройств SCSI для компьютера с использованием протокола iSCSI. Программные инициаторы доступны для большинства популярных операционных систем и являются наиболее распространенным методом развертывания iSCSI.

Аппаратный инициатор использует выделенное оборудование, обычно в сочетании с прошивка на этом оборудовании, чтобы реализовать iSCSI. Аппаратный инициатор снижает накладные расходы на iSCSI и TCP обработка и Прерывания Ethernet, и, следовательно, может улучшить производительность серверов, использующих iSCSI. адаптер главной шины (чаще HBA) реализует аппаратный инициатор. Типичный адаптер главной шины представляет собой комбинацию Gigabit (или 10 Gigabit) Ethernet. контроллер сетевого интерфейса, своего рода технология TCP / IP Offload Engine (TOE) и адаптер шины SCSI, как это представляется операционной системе. iSCSI HBA может включать PCI дополнительное ПЗУ позволять загрузка из iSCSI SAN.

An модуль разгрузки iSCSI, или же карта iSOE, предлагает альтернативу полноценному iSCSI HBA. ISOE «разгружает» операции инициатора iSCSI для этого конкретного сетевого интерфейса с хост-процессора, освобождая циклы ЦП для основных хост-приложений. iSCSI HBA или iSOE используются, когда дополнительное повышение производительности оправдывает дополнительные расходы на использование HBA для iSCSI,[4] вместо использования программного клиента iSCSI (инициатора). iSOE может быть реализован с дополнительными услугами, такими как Механизм разгрузки TCP (TOE) для дальнейшего уменьшения использования ЦП хост-сервера.

Цель

Спецификация iSCSI относится к ресурсу хранения, расположенному на сервере iSCSI (в более общем смысле, один из потенциально многих экземпляры узлов хранения iSCSI, работающих на этом сервере) в качестве цель.

Целевой объект iSCSI часто представляет собой выделенное сетевое устройство хранения на жестком диске, но также может быть компьютером общего назначения, поскольку, как и в случае с инициаторами, программное обеспечение для обеспечения цели iSCSI доступно для большинства основных операционных систем.

Общие сценарии развертывания для цели iSCSI включают:

Массив хранения

В центре обработки данных или корпоративной среде цель iSCSI часто находится в большом массиве хранения. Эти массивы могут быть в виде серийного оборудования с бесплатно программное обеспечениереализации iSCSI или как коммерческие продукты, такие как Квантастор, CloudByte, StorTrends, Чистое хранилище, HP StorageWorks, EqualLogic, Tegile Systems, Быстрое хранение, Reduxio, Семейство IBM Storwize, Isilon, Файловый агент NetApp, Dell EMC, Kaminario, Серия NS, CX4, VNX, VNXe, VMAX, Hitachi Data Systems HNAS или Pivot3 vSTAC.

Массив хранения обычно предоставляет различные цели iSCSI для множества клиентов.[5]

Программная цель

Почти все современные основные серверные операционные системы (например, BSD, Linux, Солярис или же Windows Server) может предоставлять целевые функции iSCSI либо как встроенную функцию, либо с дополнительным программным обеспечением. В некоторых операционных системах специального назначения реализована поддержка цели iSCSI.

Номер логической единицы

В SCSI терминология, LU означает логическая единица, который задается уникальным номер логической единицы. LUN представляет собой индивидуально адресуемое (логическое) устройство SCSI, которое является частью физического устройства SCSI (цели). В среде iSCSI LUN представляют собой пронумерованные диски.[нужна цитата] Инициатор согласовывает с целевым объектом, чтобы установить соединение с LUN; в результате получается соединение iSCSI, которое имитирует соединение с жестким диском SCSI. Инициаторы обрабатывают iSCSI LUN так же, как жесткие диски SCSI или IDE; например, вместо монтирования удаленных каталогов, как это было бы в NFS или же CIFS среды, форматирование систем iSCSI и непосредственное управление файловыми системами на iSCSI LUN.

В корпоративных развертываниях LUN обычно представляют собой подмножества больших RAID дисковые массивы, часто по одному на клиента. iSCSI не налагает никаких правил или ограничений на несколько компьютеров, совместно использующих отдельные LUN; он оставляет совместный доступ к единственной базовой файловой системе в качестве задачи для операционной системы.

Загрузка по сети

Для общего хранения данных на уже загруженном компьютере любой тип универсального сетевого интерфейса может использоваться для доступа к устройствам iSCSI.[нужна цитата]. Однако общий сетевой интерфейс потребительского уровня не может загружать бездисковый компьютер из удаленного источника данных iSCSI.[нужна цитата]. Вместо этого сервер обычно загружает свою исходную операционную систему из TFTP сервер или локальное загрузочное устройство, а затем использовать iSCSI для хранения данных после завершения загрузки с локального устройства[нужна цитата].

Отдельный DHCP-сервер может быть настроен для поддержки интерфейсов, оснащенных сетевая загрузка возможность загрузки через iSCSI. В этом случае сетевой интерфейс ищет DHCP-сервер, предлагающий PXE или же бутп загрузочный образ.[6] Это используется для запуска процесса удаленной загрузки iSCSI с использованием загружаемого сетевого интерфейса. MAC-адрес направить компьютер на правильную загрузочную цель iSCSI[нужна цитата]. Затем можно использовать программный подход для загрузки небольшой программы загрузки, которая, в свою очередь, может смонтировать удаленную цель iSCSI, как если бы это был локальный диск SCSI, а затем запустить процесс загрузки с указанной цели iSCSI.[нужна цитата]. Этого можно добиться, используя существующий Среда выполнения предварительной загрузки (PXE) загрузочное ПЗУ, которое доступно на многих проводных адаптерах Ethernet. Загрузочный код также может быть загружен с CD / DVD, гибкого диска (или образа гибкого диска) и USB-накопителя, или он может заменить существующий загрузочный код PXE на адаптерах, которые можно повторно прошить.[7] Самым популярным бесплатным программным обеспечением, предлагающим поддержку загрузки iSCSI, является iPXE.[8]

Большинство контроллеров Intel Ethernet для серверов поддерживают загрузку iSCSI.[9]

Обращение

iSCSI использует TCP (обычно TCP порты 860 и 3260) для самих протоколов с именами более высокого уровня, используемыми для адресации объектов внутри протокола. Специальные имена относятся как к инициаторам, так и к целям iSCSI. iSCSI предоставляет три формата имен:

Полное имя iSCSI (IQN)
Формат: полное имя iSCSI задокументировано в RFC 3720, с другими примерами имен в RFC 3721. Вкратце, это поля:
  • буквальный iqn (полное имя iSCSI)
  • дата (гггг-мм), когда орган, занимающийся именованием, стал владельцем домена
  • перевернутое доменное имя органа власти (например, org.alpinelinux, com.example, to.yp.cr)
  • Необязательный префикс «:» к имени целевого хранилища, указанному агентством по присвоению имен.
Из RFC:[10]
Тип.Дата.Именование Auth:Строка, определяемая example.com Агентство по присвоению имен
iqn.1992-01.com.example:хранилище: diskarrays-sn-a8675309
iqn.1992-01.com.example
iqn.1992-01.com.example:storage.tape1.sys1.xyz
iqn.1992-01.com.example:storage.disk2.sys1.xyz
Расширенный уникальный идентификатор (EUI)
Формат: eui. {EUI-64-битный адрес} (например, eui.02004567A425678D)
Администрация сетевого адреса T11 (NAA)
Формат: naa. {NAA 64- или 128-битный идентификатор} (например, naa.52004567BA64678D)

Адреса в формате IQN встречаются чаще всего. Они обозначаются датой (гггг-мм), поскольку срок действия доменных имен может истечь или они могут быть приобретены другим лицом.

Орган регистрации IEEE предоставляет EUI в соответствии со стандартом EUI-64. NAA является частью OUI, предоставляемой органом регистрации IEEE. Форматы имен NAA были добавлены в iSCSI в RFC 3980, чтобы обеспечить совместимость с соглашениями об именах, используемыми в Fibre Channel и Последовательный SCSI (SAS) технологии хранения.

Обычно участника iSCSI можно определить по трем или четырем полям:

  1. Имя хоста или IP-адрес (например, "iscsi.example.com")
  2. Номер порта (например, 3260)
  3. Имя iSCSI (например, IQN «iqn.2003-01.com.ibm:00.fcd0ab21.shark128»)
  4. Необязательный ГЛАВА Секрет (например, "секреты веселья")

iSNS

Инициаторы iSCSI могут найти соответствующие ресурсы хранения с помощью Служба имен хранилищ в Интернете (iSNS) протокол. Теоретически iSNS предоставляет сетям iSCSI SAN ту же модель управления, что и выделенные Fibre Channel SAN. На практике администраторы могут достичь многих целей развертывания iSCSI без использования iSNS.

Безопасность

Аутентификация

Инициаторы и цели iSCSI подтверждают свою идентичность друг другу с помощью ГЛАВА, который включает механизм предотвращения открытый текст пароли от появления на проводе. Сам по себе протокол CHAP уязвим для словарные атаки, спуфинг, и отражение атак. При тщательном соблюдении передовые методы использования CHAP в iSCSI уменьшают поверхность для этих атак и снижают риски.[11]

Кроме того, как и все протоколы на основе IP, IPsec может работать на сетевом уровне. Протокол согласования iSCSI разработан с учетом других схем аутентификации, хотя проблемы взаимодействия ограничивают их развертывание.

Логическая изоляция сети

Чтобы гарантировать, что только допустимые инициаторы подключаются к массивам хранения, администраторы обычно запускают iSCSI только в логически изолированных сетях обратного канала. В этой архитектуре развертывания только порты управления массивами хранения доступны для внутренней сети общего назначения, а сам протокол iSCSI запускается через выделенные сегменты сети или виртуальные локальные сети (VLAN). Это снижает проблемы аутентификации; неавторизованные пользователи не имеют физического доступа к iSCSI и, следовательно, не могут взаимодействовать с массивами хранения. Однако это также создает переходное доверие Проблема в том, что один скомпрометированный хост с диском iSCSI может использоваться для атаки на ресурсы хранения других хостов.

Физическая изоляция сети

Хотя iSCSI может быть логически изолирован от общей сети с использованием только виртуальных локальных сетей, он по-прежнему не отличается от любого другого сетевого оборудования и может использовать любой кабель или порт, если существует завершенный путь сигнала между источником и целью. Всего одна ошибка сетевого специалиста в кабельной разводке может нарушить логический барьер, а случайное соединение может быть обнаружено не сразу, поскольку оно не вызывает сетевых ошибок.

Чтобы еще больше отличить iSCSI от обычной сети и предотвратить ошибки при прокладке кабелей при смене подключений, администраторы могут реализовать самоопределяемые стандарты цветовой кодировки и маркировки, например, использовать только кабели желтого цвета для подключений iSCSI и только синие кабели для обычных сеть, а также четкую маркировку портов и коммутаторов, используемых только для iSCSI.

Хотя iSCSI может быть реализован как просто кластер портов VLAN на большом многопортовом коммутаторе, который также используется для общего использования сети, администратор может вместо этого использовать физически отдельные коммутаторы, выделенные только для виртуальных локальных сетей iSCSI, чтобы дополнительно предотвратить возможность неправильно подключенный кабель вставлен не в тот порт, перекрывая логический барьер.

Авторизация

Поскольку iSCSI направлен на консолидацию хранилища для многих серверов в единый массив хранения, для развертывания iSCSI требуются стратегии, предотвращающие доступ несвязанных инициаторов к ресурсам хранилища. В качестве патологического примера, один массив корпоративных хранилищ может содержать данные для серверов, которые по-разному регулируются Закон Сарбейнса – Оксли для корпоративного учета, HIPAA для информации о пользе для здоровья и PCI DSS для обработки кредитных карт. Во время аудита системы хранения должны продемонстрировать средства управления, чтобы гарантировать, что сервер в одном режиме не может получить доступ к ресурсам хранения сервера в другом.

Обычно массивы хранения iSCSI явно сопоставляют инициаторы с конкретными целевыми LUN; инициатор аутентифицируется не в массиве хранения, а в конкретном ресурсе хранения, который он намеревается использовать. Однако, поскольку целевые LUN ​​для команд SCSI выражены как в протоколе согласования iSCSI, так и в базовом протоколе SCSI, необходимо позаботиться о том, чтобы управление доступом обеспечивалось единообразно.

Конфиденциальность и порядочность

По большей части iSCSI работает как протокол открытого текста, который не обеспечивает криптографической защиты данных, перемещаемых во время транзакций SCSI. В результате злоумышленник, который может прослушивать трафик iSCSI Ethernet, может:[12]

  • Реконструировать и скопировать файлы и файловые системы, передаваемые по сети
  • Изменять содержимое файлов, вставляя поддельные фреймы iSCSI
  • Инициаторы получают доступ к поврежденным файловым системам, что подвергает серверы программным ошибкам в плохо протестированном коде файловой системы.

Эти проблемы возникают не только с iSCSI, но и с любым SAN протокол без криптографической защиты. Протоколы безопасности на основе IP, такие как IPsec, может обеспечить стандартизированную криптографическую защиту этого трафика.

Реализации

Операционные системы

Даты в следующей таблице обозначают первое появление собственного драйвера в каждой операционной системе. Драйверы сторонних производителей для Windows и Linux были доступны еще в 2001 году специально для подключения устройства IBM IP Storage 200i.[13]

Операционные системыДата первого выпускаВерсияФункции
i5 / OS2006-10i5 / OS V5R4M0Цель, многолучевость
VMware ESX2006-06ESX 3.0, ESX 4.0, ESXi 5.x, ESXi 6.xИнициатор, Multipath
AIX2002-10AIX 5.3 TL10, AIX 6.1 TL3Инициатор, цель
Windows2003-062000, XP Pro, 2003, Vista, 2008, 2008 R2, Windows 7, Windows 8, Windows Server 2012, Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016Инициатор, Цель,[b] Многолучевость
NetWare2003-08NetWare 5.1, 6.5 и OESИнициатор, цель
HP-UX2003-10HP 11i v1, HP 11i v2, HP 11i v3Инициатор
Солярис2002-05Solaris 10, OpenSolarisИнициатор, цель, многолучевость, iSER
Linux2005-062.6.12, 3.1Инициатор (2.6.12), Цель (3.1), Многолучевость, iSER, VAAI[c]
OpenBSD2009-104.9Инициатор
NetBSD2002-064.0, 5.0Инициатор (5,0), Цель (4,0)
FreeBSD2008-027.0Инициатор (7.0), Цель (10.0), Многолучевость, iSER, VAAI[c]
OpenVMS2002-088.3-1H1Инициатор, Multipath
macOS2008-0710.4—Нет данных[d]

Цели

Большинство целей iSCSI связаны с дисками, хотя также популярны цели iSCSI на ленте и устройства смены носителей. До сих пор физические устройства не имели собственных интерфейсов iSCSI на уровне компонентов. Вместо этого устройства с Параллельный SCSI или же Fibre Channel интерфейсы соединяются с помощью целевого программного обеспечения iSCSI, внешних мостов или контроллеров, внутренних по отношению к корпусу устройства.

В качестве альтернативы можно виртуализировать целевые диски и ленты. Вместо того, чтобы представлять реальное физическое устройство, представлено эмулируемое виртуальное устройство. Базовая реализация может резко отклоняться от представленной цели, как это делается с виртуальная ленточная библиотека (VTL) продукты. VTL используют дисковое хранилище для хранения данных, записанных на виртуальные ленты. Как и в случае с реальными физическими устройствами, виртуальные цели представлены с помощью целевого программного обеспечения iSCSI, внешних мостов или контроллеров, внутренних по отношению к корпусу устройства.

В индустрии средств безопасности некоторые производители используют iSCSI RAID в качестве цели, причем инициатором является кодировщик с поддержкой IP или камера.

Преобразователи и мосты

Существует несколько систем, которые позволяют подключать устройства Fibre Channel, SCSI и SAS к IP-сети для использования через iSCSI. Их можно использовать для перехода от старых технологий хранения, доступа к SAN с удаленных серверов и соединения SAN через IP-сети. Шлюз iSCSI соединяет IP-серверы с сетями Fibre Channel SAN. TCP-соединение завершается на шлюзе, который реализован на коммутаторе Fibre Channel или как автономное устройство.

Смотрите также

Примечания

  1. ^ Если не туннелировать, например, в Fibre Channel через Ethernet или же Fibre Channel через IP.
  2. ^ Цель доступна только в составе Единый сервер хранения данных Windows. Цель доступна в Storage Server 2008 (за исключением версии Basic).[14]Target доступен для Windows Server 2008 R2 как отдельная загрузка. Windows Server 2012, 2012 R2 и 2016 имеют встроенную цель Microsoft iSCSI версии 3.3.
  3. ^ а б Интеграция массивов API vStorage
  4. ^ В macOS нет ни инициатора, ни цели напрямую от поставщика.[нужна цитата]

Рекомендации

  1. ^ Роуз, Маргарет (май 2011 г.). "iSCSI (интерфейс малых компьютерных систем Интернета)". SearchStorage. Получено 21 января 2019.
  2. ^ "ISCSI SAN: ключевые преимущества, решения и ведущие поставщики сетей хранения данных". Сетевые решения Tredent. Архивировано из оригинал 12 августа 2014 г.. Получено 3 ноября 2012.
  3. ^ «Подтверждение концепции iSCSI в IBM Research Haifa». IBM. Получено 13 сентября 2013.
  4. ^ «Chelsio демонстрирует iSCSI нового поколения 40G на выставке SNW Spring». chelsio.com. 2013-04-03. Получено 2014-06-28.
  5. ^ Архитектура и надежность крупномасштабных интернет-служб Дэвид Оппенгеймер и Дэвид А. Паттерсон, Беркли, Интернет-вычисления IEEE, Сентябрь – октябрь 2002 г.
  6. ^ "Цепная загрузка iPXE". ipxe.org. Получено 2013-11-11.
  7. ^ "Запись iPXE в ROM". ipxe.org. Получено 2013-11-11.
  8. ^ «iPXE - загрузочная прошивка с открытым исходным кодом». ipxe.org. Получено 2013-11-11.
  9. ^ «Контроллеры Intel Ethernet». Intel.com. Получено 2012-09-18.
  10. ^ «RFC 3720 - интерфейс малых компьютерных систем Интернета (iSCSI), (раздел 3.2.6.3.1. Введите« iqn. »(Полное имя iSCSI))». Апрель 2004. с. 32. Получено 2010-07-16.
  11. ^ Сатран, Юлиан; Kalman, Meth; Сапунтзакис, Коста; Зайднер, Эфри; Чадалапака, Малликарджун (2 апреля 2004 г.). «RFC 3720».
  12. ^ «Защита iSCSI SAN». VMware. Архивировано из оригинал 3 марта 2016 г.. Получено 3 ноября 2012.
  13. ^ «Общая доступность IBM IP Storage 200i». IBM. Получено 13 сентября 2013.
  14. ^ «Сервер хранения Windows | NAS | Управление файлами». Microsoft. Получено 2012-09-18.

дальнейшее чтение

  • RFC 3720 - Internet Small Computer Systems Interface (iSCSI) (устарело)
  • RFC 3721 - Именование и обнаружение интерфейса малых компьютерных систем Интернета (iSCSI) (обновлено)
  • RFC 3722 - Строковый профиль для имен интерфейса малых компьютерных систем Интернета (iSCSI)
  • RFC 3723 - Защита протоколов блочного хранилища через IP (Область применения: использование IPsec и IKE для защиты iSCSI, iFCP, FCIP, iSNS и SLPv2.)
  • RFC 3347 - Требования к протоколу интерфейса малых компьютерных систем через Интернет (iSCSI) и соображения по проектированию
  • RFC 3783 - Рекомендации по упорядочиванию команд интерфейса малых компьютерных систем (SCSI) с iSCSI
  • RFC 3980 - Формат именования T11 Network Address Authority (NAA) для имен узлов iSCSI (устарел)
  • RFC 4018 - Поиск целей и серверов имен Internet Small Computer Systems Interface (iSCSI) с помощью протокола определения местоположения службы версии 2 (SLPv2)
  • RFC 4173 - Загрузка клиентов с использованием протокола Internet Small Computer System Interface (iSCSI)
  • RFC 4544 - Определения управляемых объектов для интерфейса малых компьютерных систем Интернета (iSCSI)
  • RFC 4850 - Декларативный открытый ключ расширения для архитектуры узла интерфейса малых компьютерных систем Интернета (iSCSI) (устарело)
  • RFC 4939 - Определения управляемых объектов для iSNS (Internet Storage Name Service)
  • RFC 5048 - Исправления и пояснения к интерфейсу малых компьютеров в Интернете (iSCSI) (устарело)
  • RFC 5047 - DA: Datamover Architecture for the Internet Small Computer System Interface (iSCSI).
  • RFC 5046 - Расширения интерфейса Internet Small Computer System (iSCSI) для удаленного прямого доступа к памяти (RDMA)
  • RFC 7143 - Протокол Internet Small Computer System Interface (iSCSI) (консолидированный)