NFS-Clients verbinden

Auf dieser Seite finden Sie eine Anleitung zum Herstellen einer Verbindung zu NFS-Clients.

Hinweise

Installieren Sie die NFS-Clienttools entsprechend Ihrer Linux-Distribution, um den Client vorzubereiten:

sudo yum install -y nfs-utils

sudo yum install -y nfs-utils

sudo apt-get install nfs-common

sudo apt-get install nfs-common

Volume-Zugriff mit Exportrichtlinien steuern

Die Volume-Zugriffssteuerung in NFSv3 und NFSv4.1 basiert auf der IP-Adresse des Clients. Die Exportrichtlinie des Volumes enthält Exportregeln. Jede Regel ist eine durch Kommas getrennte Liste von IP-Adressen oder Netzwerk-CIDRs, die die zugelassenen Clients definieren, die das Volume einbinden dürfen. Eine Regel definiert auch die Art des Zugriffs, den die Clients haben, z. B. Lesen und Schreiben oder Nur Lesen. Als zusätzliche Sicherheitsmaßnahme ordnen NFS-Server den Zugriff vom Root-Nutzer (UID=0) dem Nutzer „nobody“ (UID=65535) zu. Dadurch wird der Root-Nutzer zu einem Nutzer ohne Berechtigungen, wenn er auf die Dateien auf dem Volume zugreift. Wenn Sie in der entsprechenden Exportregel Root-Zugriff auf Ein setzen, bleibt der Root-Nutzer Root. Die Reihenfolge der Exportregeln ist wichtig.

Wir empfehlen die folgenden Best Practices für Exportrichtlinien:

• Ordnen Sie die Exportregeln von der spezifischsten zur am wenigsten spezifischen Regel.

• Exportieren Sie nur auf die vertrauenswürdigen Clients, z. B. bestimmte Clients oder CIDRs mit den vertrauenswürdigen Clients.

• Beschränken Sie den Root-Zugriff auf eine kleine Gruppe vertrauenswürdiger Administrationsclients.

Nachdem ein Client ein Volume bereitgestellt hat, wird durch den Zugriff auf Dateiebene bestimmt, was ein Nutzer tun darf. Weitere Informationen finden Sie unter NFS-Zugriffssteuerung auf Dateiebene für UNIX-ähnliche Volumes.

Anleitung zum Bereitstellen für NFS-Clients

Gehen Sie nach der folgenden Anleitung vor, um mit der Google Cloud Console oder der Google Cloud CLI eine Anleitung zum Einbinden von NFS-Clients zu erhalten:

 gcloud netapp volumes describe VOLUME_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --format="value(mountOptions.instructions)"

Zusätzliche NFSv4.1-Anleitung

Wenn Sie NFSv4.1 aktivieren, wird für Volumes mit den Dienststufen „Standard“, „Premium“ und „Extreme“ automatisch auch NFSv4.2 aktiviert. Mit dem Linux-Bereitstellungsbefehl wird immer die höchste verfügbare NFS-Version bereitgestellt, sofern Sie die Version nicht angeben. Wenn Sie die Bereitstellung mit NFSv4.1 durchführen möchten, verwenden Sie den Parameter -o vers=4.1 in Ihrem Bereitstellungsbefehl.

In NFSv3 werden Nutzer und Gruppen anhand von Nutzer-IDs (UID) und Gruppen-IDs (GID) identifiziert, die über das NFSv3-Protokoll gesendet werden. Es ist wichtig, dass dieselbe UID und GID denselben Nutzer und dieselbe Gruppe auf allen Clients darstellen, die auf das Volume zugreifen. Bei NFSv4 ist keine explizite UID- und GID-Zuordnung mehr erforderlich, da Sicherheitskennungen verwendet werden. Sicherheitskennungen sind Strings, die als <username|groupname>@<full_qualified_domain> formatiert sind. Ein Beispiel für einen Sicherheitsbezeichner ist bob@example.com. Der Client muss die intern verwendeten UIDs und GIDs in einen Sicherheitsbezeichner übersetzen, bevor er eine NFSv4-Anfrage an den Server sendet. Der Server muss die Sicherheitskennungen für eine eingehende Anfrage in UIDs und GIDs übersetzen und umgekehrt für seine Antwort. Der Vorteil der Verwendung von Übersetzungen besteht darin, dass jeder Client und der Server unterschiedliche interne UIDs und GIDs verwenden können. Der Nachteil ist jedoch, dass alle Clients und der Server eine Zuordnungsliste zwischen UIDs und GIDs sowie Nutzer- und Gruppennamen verwalten müssen. Die Zuordnungsinformationen auf Clients können aus lokalen Dateien wie /etc/passwd und /etc/groups oder einem LDAP-Verzeichnis stammen. Die Konfiguration dieser Zuordnung wird von rpc.idmapd verwaltet, das auf Ihrem Client ausgeführt werden muss.

Bei NetApp-Volumes muss das LDAP Zuordnungsinformationen bereitstellen. Active Directory ist der einzige unterstützte RFC2307bis-kompatible LDAP-Server. Bei Verwendung von Kerberos für NFSv4 werden Kerberos-Principals im Format username@DOMAINNAME in der Sicherheits-ID gespeichert, wobei DOMAINNAME (in Großbuchstaben) zum Bereichsnamen wird.

Numerische IDs

Für Nutzer, die die Namenszuordnungen nicht konfigurieren und stattdessen NFSv4 als Ersatz für NFSv3 verwenden möchten, wurde in NFSv4 die Option numeric ID eingeführt, mit der UID- und GID-codierte Textstrings als Sicherheitskennungen gesendet werden. Das vereinfacht den Konfigurationsprozess für Nutzer.

Mit dem folgenden Befehl können Sie Ihre Clienteinstellung prüfen:

     cat /sys/module/nfs/parameters/nfs4_disable_idmapping
   

Der Standardwert ist Y, wodurch numerische IDs aktiviert werden. NetApp Volumes unterstützt die Verwendung numerischer IDs.

rpc.idmapd auf dem NFS-Client konfigurieren

Unabhängig davon, welche Art von IDs oder Sicherheitskennungen Sie verwenden, müssen Sie rpc.idmapd auf Ihrem NFS-Client konfigurieren. Wenn Sie der Installationsanleitung für Client-Dienstprogramme im Abschnitt Vorbereitung gefolgt sind, sollte das Dienstprogramm bereits installiert sein, wird aber möglicherweise nicht ausgeführt. Bei einigen Distributionen wird es automatisch mit systemd gestartet, wenn Sie die ersten NFS-Volumes einbinden. Die Mindestkonfiguration für rpc.idmapd besteht darin, die Domäneneinstellung einzurichten. Andernfalls wird der Nutzer-Root als „nobody“ mit UID=65535 or 4294967295 angezeigt.

So konfigurieren Sie rpc.idmapd auf Ihrem NFS-Client:

1. Öffnen Sie auf Ihrem Client die Datei /etc/idmapd.conf und ändern Sie den Parameter „domain“ in einen der folgenden Werte:

   • Wenn Ihr Volume nicht für LDAP aktiviert ist, domain = defaultv4iddomain.com.

   • Wenn für Ihr Volume LDAP aktiviert ist, domain = <FDQN_of_Windows_Domain>.

2. Aktivieren Sie die Änderungen an rpc.idmapd mit dem folgenden Befehl:

    nfsidmap -c

Unterstützung für NFSv4.2

Die Service-Levels „Standard“, „Premium“ und „Extreme“ unterstützen jetzt zusätzlich zu NFSv4.1 das NFSv4.2-Protokoll auf Volumes, für die NFSv4.1 bereits aktiviert ist.

Beim Bereitstellen eines NFS-Volumes wählt der Linux-Befehl „mount“ automatisch die höchste verfügbare NFS-Version aus. Wenn ein NFSv4.1-fähiges Volume automatisch bereitgestellt wird, wird standardmäßig NFSv4.2 verwendet, sofern die Bereitstellungsoption vers=4.1 nicht explizit angegeben wird.

NetApp Volumes unterstützt NFS-erweiterte Attribute xattrs mit NFSv4.2. Die in TR-4962 beschriebenen Nutzungsbedingungen und Einschränkungen für xattrs gelten ebenfalls.

Linux mit LDAP verbinden

Wenn Sie erweiterte NFSv3-Gruppen oder NFSv4.1 mit Sicherheits-IDs verwenden, haben Sie NetApp Volumes so konfiguriert, dass Ihr Active Directory als LDAP-Server verwendet wird. Dazu haben Sie ein Active Directory an einen Speicherpool angehängt.

Damit die Nutzerinformationen zwischen NFS-Client und ‑Server konsistent bleiben, müssen Sie möglicherweise Ihren Client so konfigurieren, dass Active Directory als LDAP-Namensdienst für Nutzer- und Gruppeninformationen verwendet wird.

Verwenden Sie die folgenden Ressourcen, um LDAP zu konfigurieren:

• Bereitstellungsleitfaden für RedHat

• Bereitstellungsanleitung für Ubuntu

• Bereitstellungsanleitung für SuSe

Wenn Sie Kerberized NFS verwenden, müssen Sie möglicherweise die in diesem Abschnitt erwähnten Bereitstellungsanleitungen verwenden, um LDAP zu konfigurieren und für Konsistenz zwischen Client und Server zu sorgen.

Nächste Schritte

Volumes mit hoher Kapazität mit mehreren Speicherendpunkten verbinden: