Cómo conectar clientes de NFS

En esta página, se proporcionan instrucciones para conectar clientes NFS.

Antes de comenzar

Instala las herramientas del cliente de NFS según el tipo de distribución de Linux para preparar tu cliente:

Red Hat

Ejecuta el siguiente comando:

sudo yum install -y nfs-utils

SuSe

Ejecuta el siguiente comando:

sudo yum install -y nfs-utils

Debian

Ejecuta el siguiente comando:

sudo apt-get install nfs-common

Ubuntu

Ejecuta el siguiente comando:

sudo apt-get install nfs-common

Control de acceso por volumen con políticas de exportación

El control de acceso al volumen en NFSv3 y NFSv4.1 se basa en la dirección IP del cliente. La política de exportación del volumen contiene reglas de exportación. Cada regla es una lista separada por comas de IPs o CIDRs de red que definen los clientes permitidos habilitados para montar el volumen. Una regla también define el tipo de acceso que tienen los clientes, como Lectura y escritura o Solo lectura. Como medida de seguridad adicional, los servidores de NFS reasignan el acceso del usuario raíz (UID=0) a nadie (UID=65535), lo que convierte al usuario raíz en un usuario sin privilegios cuando accede a los archivos del volumen. Cuando habilitas el acceso raíz en Activado en la regla de exportación respectiva, el usuario raíz sigue siendo raíz. El orden de las reglas de exportación es relevante.

Recomendamos las siguientes prácticas recomendadas para las políticas de exportación:

  • Ordena las reglas de exportación de la más específica a la menos específica.

  • Exporta solo a los clientes de confianza, como clientes o CIDR específicos con los clientes de confianza.

  • Limita el acceso raíz a un pequeño grupo de clientes de administración de confianza.

Regla Clientes permitidos Acceso Acceso raíz Descripción
1 10.10.5.3,
10.10.5.9		 Lectura y escritura Activado Son clientes de administración. El usuario raíz sigue siendo raíz y puede administrar
todos los permisos de archivo.
2 10.10.5.0/24 Lectura y escritura Desactivado Se permite que todos los demás clientes de la red 10.10.5.0/24 realicen el montaje,
pero el acceso de administrador se asigna a nadie.
3 10.10.6.0/24 Solo lectura Desactivado Se permite que otra red lea datos del volumen, pero no que escriba datos.

Después de que un cliente activa un volumen, el acceso a nivel de archivo determina lo que se le permite hacer a un usuario. Para obtener más información, consulta Control de acceso a nivel de archivo de NFS para volúmenes de estilo UNIX.

Instrucciones de activación para clientes de NFS

Sigue estas instrucciones para obtener instrucciones de montaje para clientes de NFS con la consola de Google Cloud o Google Cloud CLI:

Console

  1. Ve a la página NetApp Volumes en la consola Google Cloud .

    Ir a NetApp Volumes

  2. Haz clic en Volúmenes.

  3. Haz clic en Mostrar más.

  4. Selecciona Instrucciones de activación.

  5. Sigue las instrucciones de activación que se muestran en la consola de Google Cloud .

  6. Identifica el comando de activación y usa las opciones de activación, a menos que tu carga de trabajo tenga requisitos específicos de opciones de activación.

    Solo NFSv3: Si tu aplicación no usa bloqueos o no configuraste tus clientes para habilitar la comunicación de NSM, te recomendamos que agregues la opción de montaje nolock.

gcloud

Busca las instrucciones de activación de un volumen:

 gcloud netapp volumes describe VOLUME_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --format="value(mountOptions.instructions)"

Reemplaza la siguiente información:

  • VOLUME_NAME: el nombre del volumen

  • PROJECT_ID: Es el nombre del proyecto en el que se encuentra el volumen.

  • LOCATION: Es la ubicación del volumen.

Para obtener más información sobre las marcas opcionales adicionales, consulta la documentación del SDK de Google Cloud sobre volúmenes.

Instrucciones adicionales para NFSv4.1

Cuando habilitas NFSv4.1, los volúmenes con niveles de servicio Estándar, Premium y Extreme también habilitan automáticamente NFSv4.2. El comando de activación de Linux siempre activa la versión de NFS más alta disponible, a menos que especifiques la versión que se activará. Si deseas activar el montaje con NFSv4.1, usa el parámetro -o vers=4.1 en el comando de montaje.

En NFSv3, los usuarios y los grupos se identifican por los IDs de usuario (UID) y los IDs de grupo (GID) que se envían a través del protocolo NFSv3. Es importante asegurarse de que el mismo UID y GID representen al mismo usuario y grupo en todos los clientes que acceden al volumen. NFSv4 eliminó la necesidad de asignar UID y GID explícitos mediante el uso de identificadores de seguridad. Los identificadores de seguridad son cadenas con el formato <username|groupname>@<full_qualified_domain>. Un ejemplo de identificador de seguridad es bob@example.com. El cliente debe traducir los UID y GID que se usan de forma interna en un identificador de seguridad antes de enviar una solicitud de NFSv4 al servidor. El servidor debe traducir los identificadores de seguridad en UID y GID para una solicitud entrante y viceversa para su respuesta. La ventaja de usar traducciones es que cada cliente y el servidor pueden usar diferentes UID y GID internos. Sin embargo, la desventaja es que todos los clientes y el servidor deben mantener una lista de asignación entre los UID y los GID, y los nombres de usuarios y grupos. La información de asignación en los clientes puede provenir de archivos locales, como /etc/passwd y /etc/groups, o de un directorio LDAP. rpc.idmapd, que debe ejecutarse en tu cliente, administra la configuración de esta asignación.

En los volúmenes de NetApp, el LDAP debe proporcionar información de asignación, y Active Directory es el único servidor LDAP compatible con RFC2307bis. Cuando se usa Kerberos para NFSv4, el identificador de seguridad almacena los principales de Kerberos en el formato username@DOMAINNAME, en el que DOMAINNAME (en letras mayúsculas) se convierte en el nombre del dominio.

IDs numéricos

Para los usuarios que no desean configurar las asignaciones de nombres y, en cambio, usar NFSv4 como reemplazo de NFSv3, NFSv4 introdujo una opción llamada numeric ID, que envía cadenas de texto codificadas con UID y GID como identificadores de seguridad. Esto simplifica el proceso de configuración para los usuarios.

Puedes verificar la configuración del cliente con el siguiente comando:

     cat /sys/module/nfs/parameters/nfs4_disable_idmapping

El valor predeterminado es Y, que habilita los IDs numéricos. NetApp Volumes admite el uso de IDs numéricos.

Configura rpc.idmapd en el cliente de NFS

Independientemente del tipo de IDs o identificadores de seguridad que uses, es necesario configurar rpc.idmapd en tu cliente de NFS. Si seguiste las instrucciones de instalación de las utilidades del cliente en la sección Antes de comenzar, ya debería estar instalado, pero es posible que no se esté ejecutando. Algunas distribuciones lo inician automáticamente con systemd cuando montas los primeros volúmenes de NFS. La configuración mínima requerida para rpc.idmapd es establecer el parámetro de configuración del dominio. De lo contrario, la raíz del usuario se mostrará como nadie con UID=65535 or 4294967295.

Sigue estas instrucciones para configurar rpc.idmapd en tu cliente NFS:

  1. En tu cliente, abre el archivo /etc/idmapd.conf y cambia el parámetro de dominio a uno de los siguientes:

    • Si tu volumen no está habilitado para LDAP, domain = defaultv4iddomain.com.

    • Si tu volumen está habilitado para LDAP, domain = <FDQN_of_Windows_Domain>.

  2. Para activar los cambios en rpc.idmapd, ejecuta el siguiente comando:

     nfsidmap -c

Compatibilidad con NFSv4.2

Los niveles de servicio Estándar, Premium y Extreme ahora admiten el protocolo NFSv4.2, además de NFSv4.1, en los volúmenes que ya tienen habilitado NFSv4.1.

Cuando se activa un volumen NFS, el comando de activación de Linux selecciona automáticamente la versión de NFS disponible más alta. La activación automática de un volumen habilitado para NFSv4.1 se establece de forma predeterminada en NFSv4.2, a menos que se especifique explícitamente la opción de activación vers=4.1.

NetApp Volumes admite atributos extendidos de NFS xattrs con NFSv4.2. También se aplican el uso y las limitaciones de xattrs, como se detalla en TR-4962.

Conecta Linux a LDAP

Si usas grupos extendidos de NFSv3 o NFSv4.1 con identificadores de seguridad, configuraste NetApp Volumes para que use tu Active Directory como servidor LDAP con un Active Directory adjunto a un grupo de almacenamiento.

Para mantener la información del usuario coherente entre el cliente y el servidor de NFS, es posible que debas configurar tu cliente para que use Active Directory como servicio de nombres LDAP para la información del usuario y el grupo.

Usa los siguientes recursos para configurar LDAP:

Cuando uses NFS con Kerberos, es posible que debas usar las guías de implementación que se mencionan en esta sección para configurar LDAP y garantizar la coherencia entre el cliente y el servidor.

¿Qué sigue?

Conecta volúmenes de gran capacidad con varios extremos de almacenamiento.