Questa pagina fornisce istruzioni su come connettere i client NFS.
Prima di iniziare
Installa gli strumenti client NFS in base al tipo di distribuzione Linux per preparare il client:
Red Hat
Esegui questo comando:
sudo yum install -y nfs-utils
SuSe
Esegui questo comando:
sudo yum install -y nfs-utils
Debian
Esegui questo comando:
sudo apt-get install nfs-common
Ubuntu
Esegui questo comando:
sudo apt-get install nfs-common
Controllo dell'accesso al volume mediante criteri di esportazione
Controllo dell'accesso ai volumi in NFSv3 e NFSv4.1 si basa sull'indirizzo IP del client.
I criteri di esportazione del volume contengono regole di esportazione. Ogni regola è un elenco separato da virgole di indirizzi IP o CIDR di rete che definiscono i client consentiti abilitati a montare il volume. Una regola definisce anche il tipo di accesso dei client, ad esempio
Lettura e scrittura o Sola lettura. Come ulteriore misura di sicurezza, i server NFS
rimappano l'accesso dall'utente root (UID=0) a nessuno (UID=65535), il che
rende root un utente senza privilegi durante l'accesso ai file sul volume. Quando
attivi l'accesso root su On nella rispettiva regola di esportazione, l'utente root rimane root. L'ordine delle regole di esportazione è importante.
Consigliamo le seguenti best practice per le norme di esportazione:
Ordina le regole di esportazione dalla più specifica alla meno specifica.
Esporta solo nei client attendibili, ad esempio client o CIDR specifici con i client attendibili.
Limita l'accesso root a un piccolo gruppo di client di amministrazione attendibili.
| Regola | Client consentiti | Accesso | Accesso root | Descrizione |
|---|---|---|---|---|
| 1 | 10.10.5.3,
10.10.5.9 |
Lettura e scrittura | On | Client di amministrazione. L'utente root rimane root e può gestire
tutte le autorizzazioni dei file. |
| 2 | 10.10.5.0/24 | Lettura e scrittura | Off | Tutti gli altri client della rete 10.10.5.0/24 sono autorizzati a eseguire il montaggio,
ma l'accesso root viene mappato a nessuno. |
| 3 | 10.10.6.0/24 | Sola lettura | Off | Un'altra rete è autorizzata a leggere i dati dal volume, ma
non a scrivere. |
Dopo che un client monta un volume, l'accesso a livello di file determina cosa può fare un utente. Per ulteriori informazioni, vedi Controllo dell'controllo dell'accesso a livello di file NFS per volumi in stile UNIX.
Istruzioni di montaggio per i client NFS
Utilizza le seguenti istruzioni per ottenere le istruzioni di montaggio per i client NFS utilizzando la console Google Cloud o Google Cloud CLI:
Console
Vai alla pagina NetApp Volumes nella console Google Cloud .
Fai clic su Volumi.
Fai clic su Mostra altro.
Seleziona Istruzioni di montaggio.
Segui le istruzioni di montaggio mostrate nella console Google Cloud .
Identifica il comando di montaggio e utilizza le opzioni di montaggio, a meno che il tuo workload non abbia requisiti specifici per le opzioni di montaggio.
Solo NFSv3: se la tua applicazione non utilizza blocchi o non hai configurato i client per attivare la comunicazione NSM, ti consigliamo di aggiungere l'opzione di montaggio
nolock.
gcloud
Per cercare le istruzioni di montaggio per un volume:
gcloud netapp volumes describe VOLUME_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --format="value(mountOptions.instructions)"
Sostituisci le seguenti informazioni:
VOLUME_NAME: il nome del volume.PROJECT_ID: il nome del progetto in cui si trova il volume.LOCATION: la posizione del volume.
Per ulteriori informazioni sui flag facoltativi aggiuntivi, consulta la documentazione di Google Cloud SDK sui volumi.
Istruzioni aggiuntive per NFSv4.1
Quando abiliti NFSv4.1, i volumi con livelli di servizio Standard, Premium ed Extreme abilitano automaticamente anche NFSv4.2. Il comando di montaggio Linux monta sempre
la versione NFS più recente disponibile, a meno che tu non specifichi la versione da montare. Se
vuoi eseguire il montaggio con NFSv4.1, utilizza il parametro -o vers=4.1 nel comando
di montaggio.
In NFSv3, utenti e gruppi vengono identificati da ID utente (UID) e ID gruppo (GID)
inviati tramite il protocollo NFSv3. È importante assicurarsi che lo stesso UID e GID rappresentino lo stesso utente e lo stesso gruppo su tutti i client che accedono al volume. NFSv4
ha eliminato la necessità di una mappatura esplicita di UID e GID utilizzando gli identificatori di sicurezza.
Gli identificatori di sicurezza sono stringhe formattate come <username|groupname>@<full_qualified_domain>.
Un esempio di identificatore di sicurezza è bob@example.com.
Il client deve tradurre gli UID e i GID utilizzati internamente in un identificatore di sicurezza prima di inviare una richiesta NFSv4 al server. Il server deve
tradurre gli identificatori di sicurezza in UID e GID per una richiesta in entrata
e viceversa per la risposta. Il vantaggio di utilizzare le traduzioni
è che ogni client e il server possono utilizzare UID e GID interni diversi.
Tuttavia, lo svantaggio è che tutti i client e il server devono mantenere un
elenco di mapping tra UID e GID e nomi di utenti e gruppi. Le informazioni
di mappatura sui client possono provenire da file locali come /etc/passwd e
/etc/groups o da una directory LDAP. La configurazione di questo mapping è gestita
da rpc.idmapd, che deve essere eseguito sul client.
Su NetApp Volumes, LDAP deve fornire informazioni di mapping,
mentre Active Directory è l'unico server LDAP compatibile con RFC2307bis supportato.
Quando si utilizza Kerberos per NFSv4, l'identificatore di sicurezza memorizza le entità Kerberos nel formato username@DOMAINNAME, dove DOMAINNAME (in lettere maiuscole) diventa il nome del realm.
ID numerici
Per gli utenti che non vogliono configurare i mapping dei nomi e utilizzare NFSv4
in sostituzione di NFSv3, NFSv4 ha introdotto un'opzione chiamata numeric ID,
che invia stringhe di testo codificate UID e GID come identificatori di sicurezza. In questo modo
il processo di configurazione per gli utenti viene semplificato.
Puoi controllare l'impostazione del client utilizzando il seguente comando:
cat /sys/module/nfs/parameters/nfs4_disable_idmapping
Il valore predefinito è Y, che attiva gli ID numerici. NetApp Volumes supporta l'utilizzo di ID numerici.
Configura rpc.idmapd sul client NFS
Indipendentemente dal tipo di ID o identificatori di sicurezza che utilizzi, è necessario
configurare rpc.idmapd sul client NFS. Se hai seguito le istruzioni di installazione
per le utilità client nella sezione Prima di iniziare,
dovrebbe essere già installato, ma potrebbe non essere in esecuzione. Alcune
distribuzioni lo avviano automaticamente utilizzando systemd quando monti i primi
volumi NFS. La configurazione minima richiesta per rpc.idmapd consiste nell'impostazione
del dominio. In caso contrario, la radice dell'utente verrà visualizzata come nessuno con
UID=65535 or 4294967295.
Segui queste istruzioni per configurare rpc.idmapd sul client NFS:
Sul client, apri il file
/etc/idmapd.confe modifica il parametro del dominio in uno dei seguenti:Se il tuo volume non è abilitato per LDAP,
domain = defaultv4iddomain.com.Se il tuo volume è abilitato per LDAP,
domain = <FDQN_of_Windows_Domain>.
Attiva le modifiche a
rpc.idmapdeseguendo questo comando:nfsidmap -c
Supporto NFSv4.2
I livelli di servizio Standard, Premium ed Extreme ora supportano il protocollo NFSv4.2 oltre a NFSv4.1 sui volumi su cui è già abilitato NFSv4.1.
Quando monti un volume NFS, il comando di montaggio Linux seleziona automaticamente la
versione NFS più recente disponibile. Il montaggio automatico di un volume abilitato per NFSv4.1
utilizza NFSv4.2 per impostazione predefinita, a meno che non venga specificata esplicitamente l'opzione di montaggio vers=4.1.
NetApp Volumes supporta gli attributi estesi NFS xattrs con
NFSv4.2. Sono applicabili anche l'utilizzo e le limitazioni di xattrs, come descritto in
TR-4962.
Connettere Linux a LDAP
Se utilizzi gruppi estesi NFSv3 o NFSv4.1 con identificatori di sicurezza, hai configurato iNetApp Volumesp per utilizzare Active Directory come server LDAP utilizzando un Active Directory collegato a un pool di archiviazione.
Per mantenere informazioni utente coerenti tra il client e il server NFS, potrebbe essere necessario configurare il client in modo che utilizzi Active Directory come servizio di nomi LDAP per le informazioni su utenti e gruppi.
Utilizza le seguenti risorse per configurare LDAP:
Quando utilizzi NFS con Kerberos, potresti dover utilizzare le guide al deployment menzionate in questa sezione per configurare LDAP e garantire la coerenza tra il client e il server.
Passaggi successivi
Collega volumi di grande capacità con più endpoint di archiviazione.