Conectar clientes NFS

Nesta página, fornecemos instruções sobre como conectar clientes NFS.

Antes de começar

Instale as ferramentas de cliente NFS com base no tipo de distribuição do Linux para preparar o cliente:

RedHat

Execute este comando:

sudo yum install -y nfs-utils

SuSe

Execute este comando:

sudo yum install -y nfs-utils

Debian

Execute este comando:

sudo apt-get install nfs-common

Ubuntu

Execute este comando:

sudo apt-get install nfs-common

Controle de acesso a volumes usando políticas de exportação

O controle de acesso a volumes no NFSv3 e no NFSv4.1 é baseado no endereço IP do cliente. A política de exportação do volume contém regras de exportação. Cada regra é uma lista separada por vírgulas de IPs ou CIDRs de rede que definem os clientes permitidos para montar o volume. Uma regra também define o tipo de acesso que os clientes têm, como Leitura e gravação ou Somente leitura. Como uma medida extra de segurança, os servidores NFS remapeiam o acesso do usuário raiz (UID=0) para ninguém (UID=65535), o que torna o usuário raiz sem privilégios ao acessar os arquivos no volume. Quando você ativa o acesso raiz como Ativado na regra de exportação respectiva, o usuário raiz permanece raiz. A ordem das regras de exportação é relevante.

Recomendamos as seguintes práticas recomendadas para políticas de exportação:

  • Ordene as regras de exportação da mais específica para a menos específica.

  • Exporte apenas para os clientes de confiança, como clientes específicos ou CIDRs com os clientes de confiança.

  • Limite o acesso root a um pequeno grupo de clientes de administração confiáveis.

Regra Clientes permitidos Acesso Acesso raiz Descrição
1 10.10.5.3,
10.10.5.9		 Leitura e gravação Ativado Clientes de administração. O usuário raiz permanece raiz e pode gerenciar
todas as permissões de arquivo.
2 10.10.5.0/24 Leitura e gravação Desativado Todos os outros clientes da rede 10.10.5.0/24 podem fazer a montagem,
mas o acesso root é mapeado para ninguém.
3 10.10.6.0/24 Somente leitura Desativado Outra rede pode ler dados do volume, mas
não pode gravar.

Depois que um cliente monta um volume, o acesso no nível do arquivo determina o que um usuário pode fazer. Para mais informações, consulte Controle de acesso no nível do arquivo NFS para volumes no estilo UNIX.

Instruções de montagem para clientes NFS

Use as instruções a seguir para receber instruções de montagem para clientes NFS usando o console Google Cloud ou a Google Cloud CLI:

Console

  1. Acesse a página NetApp Volumes no console do Google Cloud .

    Acessar o NetApp Volumes

  2. Clique em Volumes.

  3. Clique em Mostrar mais.

  4. Selecione Instruções de montagem.

  5. Siga as instruções de montagem mostradas no console Google Cloud .

  6. Identifique o comando de montagem e use as opções de montagem, a menos que a carga de trabalho tenha requisitos específicos.

    Somente NFSv3: se o aplicativo não usar bloqueios ou se você não tiver configurado os clientes para ativar a comunicação NSM, recomendamos adicionar a opção de montagem nolock.

gcloud

Pesquise as instruções de montagem de um volume:

 gcloud netapp volumes describe VOLUME_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --format="value(mountOptions.instructions)"

Substitua as seguintes informações:

  • VOLUME_NAME: o nome do volume.

  • PROJECT_ID: o nome do projeto em que o volume está.

  • LOCATION: o local do volume.

Para mais informações sobre outras flags opcionais, consulte a documentação do SDK Google Cloud sobre volumes.

Outras instruções do NFSv4.1

Quando você ativa o NFSv4.1, os volumes com níveis de serviço Standard, Premium e Extreme também ativam automaticamente o NFSv4.2. O comando de ativação do Linux sempre ativa a versão mais recente disponível do NFS, a menos que você especifique a versão a ser ativada. Se você quiser fazer a ativação com NFSv4.1, use o parâmetro -o vers=4.1 no comando de ativação.

No NFSv3, os usuários e grupos são identificados por IDs de usuário (UID) e IDs de grupo (GID) enviados pelo protocolo NFSv3. É importante garantir que o mesmo UID e GID representem o mesmo usuário e grupo em todos os clientes que acessam o volume. O NFSv4 eliminou a necessidade de mapeamento explícito de UID e GID usando identificadores de segurança. Os identificadores de segurança são strings formatadas como <username|groupname>@<full_qualified_domain>. Um exemplo de identificador de segurança é bob@example.com. O cliente precisa traduzir os UIDs e GIDs usados internamente em um identificador de segurança antes de enviar uma solicitação NFSv4 ao servidor. O servidor precisa traduzir os identificadores de segurança em UIDs e GIDs para uma solicitação recebida e vice-versa para a resposta. A vantagem de usar traduções é que cada cliente e o servidor podem usar UIDs e GIDs internos diferentes. No entanto, a desvantagem é que todos os clientes e o servidor precisam manter uma lista de mapeamento entre UIDs e GIDs, além de nomes de usuários e grupos. As informações de mapeamento nos clientes podem vir de arquivos locais, como /etc/passwd e /etc/groups, ou de um diretório LDAP. A configuração desse mapeamento é gerenciada pelo rpc.idmapd, que precisa ser executado no cliente.

Nos volumes da NetApp, o LDAP precisa fornecer informações de mapeamento, e o Active Directory é o único servidor LDAP compatível com RFC2307bis. Ao usar o Kerberos para NFSv4, o identificador de segurança armazena os principais do Kerberos no formato username@DOMAINNAME, em que DOMAINNAME (em letras maiúsculas) se torna o nome do realm.

IDs numéricos

Para usuários que não querem configurar os mapeamentos de nomes e preferem usar o NFSv4 como substituto do NFSv3, o NFSv4 introduziu uma opção chamada numeric ID, que envia strings de texto codificadas com UID e GID como identificadores de segurança. Isso simplifica o processo de configuração para os usuários.

Você pode verificar a configuração do cliente usando o seguinte comando:

     cat /sys/module/nfs/parameters/nfs4_disable_idmapping

O valor padrão é Y, que ativa os IDs numéricos. O NetApp Volumes aceita o uso de IDs numéricos.

Configurar rpc.idmapd no cliente NFS

Independente do tipo de IDs ou identificadores de segurança que você usa, é necessário configurar rpc.idmapd no cliente NFS. Se você seguiu as instruções de instalação para utilitários de cliente na seção Antes de começar, ele já deve estar instalado, mas talvez não esteja em execução. Algumas distribuições iniciam automaticamente usando systemd quando você monta os primeiros volumes NFS. A configuração mínima necessária para o rpc.idmapd é definir a configuração de domínio. Caso contrário, a raiz do usuário vai aparecer como "nobody" com UID=65535 or 4294967295.

Use as instruções a seguir para configurar rpc.idmapd no cliente NFS:

  1. No cliente, abra o arquivo /etc/idmapd.conf e mude o parâmetro de domínio para um dos seguintes:

    • Se o volume não estiver ativado para LDAP, domain = defaultv4iddomain.com.

    • Se o volume estiver ativado para LDAP, domain = <FDQN_of_Windows_Domain>.

  2. Ative as mudanças em rpc.idmapd executando o seguinte comando:

     nfsidmap -c

Suporte a NFSv4.2

Os níveis de serviço Standard, Premium e Extreme agora são compatíveis com o protocolo NFSv4.2, além do NFSv4.1, em volumes que já têm o NFSv4.1 ativado.

Ao ativar um volume do NFS, o comando de ativação do Linux seleciona automaticamente a versão mais recente disponível do NFS. A montagem automática de um volume ativado para NFSv4.1 usa o NFSv4.2 por padrão, a menos que a opção de montagem vers=4.1 seja especificada explicitamente.

O NetApp Volumes é compatível com atributos estendidos do NFS xattrs com NFSv4.2. O uso e as limitações de xattrs, conforme detalhado em TR-4962, também são aplicáveis.

Conectar o Linux ao LDAP

Se você estiver usando grupos estendidos do NFSv3 ou NFSv4.1 com identificadores de segurança, configure os NetApp Volumes para usar o Active Directory como servidor LDAP usando um Active Directory anexado a um pool de armazenamento.

Para manter informações de usuário consistentes entre o cliente e o servidor NFS, talvez seja necessário configurar o cliente para usar o Active Directory como serviço de nomes LDAP para informações de usuário e grupo.

Use os seguintes recursos para configurar o LDAP:

Ao usar o NFS Kerberized, talvez seja necessário usar os guias de implantação mencionados nesta seção para configurar o LDAP e garantir a consistência entre o cliente e o servidor.

A seguir

Conecte volumes de grande capacidade com vários endpoints de armazenamento.