本页面介绍了如何连接 NFS 客户端。
准备工作
根据您的 Linux 发行版类型安装 NFS 客户端工具,以准备客户端:
RedHat
运行以下命令:
sudo yum install -y nfs-utils
SuSe
运行以下命令:
sudo yum install -y nfs-utils
Debian
运行以下命令:
sudo apt-get install nfs-common
Ubuntu
运行以下命令:
sudo apt-get install nfs-common
使用导出政策控制卷访问权限
NFSv3 和 NFSv4.1 中的卷访问权限控制基于客户端的 IP 地址。卷的导出政策包含导出规则。每条规则都是一个以英文逗号分隔的 IP 或网络 CIDR 列表,用于定义已启用以挂载卷的允许的客户端。规则还定义了客户端拥有的访问权限类型,例如读写或只读。作为额外的安全措施,NFS 服务器会将根用户 (UID=0) 的访问权限重新映射到 nobody (UID=65535),这使得 root 在访问卷上的文件时成为无特权用户。如果您在相应的导出规则中将根访问权限设为开启,则根用户将保持根用户身份。导出规则的顺序很重要。
我们建议您在制定导出政策时遵循以下最佳实践:
按从最具体到最不具体的顺序排列导出规则。
仅导出到受信任的客户端,例如具有受信任客户端的特定客户端或 CIDR。
将根访问权限限制为仅供一小部分可信的管理客户端使用。
| 规则 | 允许的客户端 | 访问 | 根访问权限 | 说明 |
|---|---|---|---|---|
| 1 | 10.10.5.3、 10.10.5.9 |
读写 | 开启 | 管理客户端。根用户保持根身份,可以管理 所有文件权限。 |
| 2 | 10.10.5.0/24 | 读写 | 关闭 | 允许 10.10.5.0/24 网络中的所有其他客户端装载 ,但 root 访问权限会映射到 nobody。 |
| 3 | 10.10.6.0/24 | 只读 | 关闭 | 其他网络可以从卷中读取数据,但不能写入数据。 |
客户端装载卷后,文件级访问权限会决定用户可以执行的操作。如需了解详情,请参阅 NFS 文件级访问权限控制(适用于 UNIX 风格的卷)。
NFS 客户端的装载说明
请按照以下说明操作,使用 Google Cloud 控制台或 Google Cloud CLI 获取 NFS 客户端的装载说明:
控制台
前往 Google Cloud 控制台中的 NetApp Volumes 页面。
点击卷。
点击 展开。
选择装载说明。
按照 Google Cloud 控制台中显示的装载说明操作。
确定装载命令并使用装载选项,除非您的工作负载有特定的装载选项要求。
仅限 NFSv3:如果您的应用不使用锁,或者您未配置客户端以启用 NSM 通信,我们建议您添加
nolock装载选项。
gcloud
查找卷的装载说明:
gcloud netapp volumes describe VOLUME_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --format="value(mountOptions.instructions)"
替换以下信息:
VOLUME_NAME:卷的名称。PROJECT_ID:卷所在项目的名称。LOCATION:卷的位置。
如需详细了解其他可选标志,请参阅 Google Cloud SDK 关于卷的文档。
其他 NFSv4.1 说明
启用 NFSv4.1 后,服务级别为标准、高级和极端的卷也会自动启用 NFSv4.2。除非您指定要装载的版本,否则 Linux 装载命令始终会装载最高可用的 NFS 版本。如果您想使用 NFSv4.1 进行装载,请在装载命令中使用 -o vers=4.1 参数。
在 NFSv3 中,用户和群组由通过 NFSv3 协议发送的用户 ID (UID) 和群组 ID (GID) 进行标识。请务必确保同一 UID 和 GID 在访问卷的所有客户端上代表同一用户和群组。NFSv4 通过使用安全标识符,无需进行显式 UID 和 GID 映射。安全标识符是格式为 <username|groupname>@<full_qualified_domain> 的字符串。安全标识符的一个示例是 bob@example.com。客户端需要先将内部使用的 UID 和 GID 转换为安全标识符,然后再向服务器发送 NFSv4 请求。服务器需要将传入请求的安全标识符转换为 UID 和 GID,并将其响应的 UID 和 GID 转换为安全标识符。使用转换的优势在于,每个客户端和服务器都可以使用不同的内部 UID 和 GID。不过,缺点是所有客户端和服务器都需要维护 UID 和 GID、用户和群组名称之间的映射列表。客户端上的映射信息可以来自 /etc/passwd 和 /etc/groups 等本地文件,也可以来自 LDAP 目录。此映射的配置由 rpc.idmapd 管理,该工具必须在客户端上运行。
在 NetApp 卷上,LDAP 必须提供映射信息,并且 Active Directory 是唯一受支持的 RFC2307bis 兼容 LDAP 服务器。将 Kerberos 用于 NFSv4 时,安全标识符会以 username@DOMAINNAME 格式存储 Kerberos 正文,其中 DOMAINNAME(大写)会成为领域名称。
数字 ID
对于不想配置名称映射的用户,NFSv4 引入了一个名为 numeric ID 的选项,该选项会将 UID 和 GID 编码的文本字符串作为安全标识符发送。这简化了用户的配置流程。
您可以使用以下命令检查客户端设置:
cat /sys/module/nfs/parameters/nfs4_disable_idmapping
默认值为 Y,表示启用数字 ID。NetApp Volumes 支持使用数字 ID。
在 NFS 客户端上配置 rpc.idmapd
无论您使用哪种类型的 ID 或安全标识符,都必须在 NFS 客户端上配置 rpc.idmapd。如果您已按照准备工作部分中的客户端实用程序安装说明进行操作,则该实用程序应该已安装,但可能未运行。某些发行版会在您装载第一个 NFS 卷时使用 systemd 自动启动它。rpc.idmapd 所需的最低配置是设置网域。否则,用户根目录将显示为 nobody,并带有 UID=65535 or 4294967295。
按照以下说明在 NFS 客户端上配置 rpc.idmapd:
在客户端上,打开文件
/etc/idmapd.conf,并将网域参数更改为以下值之一:如果您的卷未启用 LDAP,请执行以下操作:
domain = defaultv4iddomain.com。如果您的音量已启用 LDAP,请执行以下操作:
domain = <FDQN_of_Windows_Domain>。
运行以下命令,激活对
rpc.idmapd所做的更改:nfsidmap -c
支持 NFSv4.2
除了已启用 NFSv4.1 的卷之外,标准、高级和极速服务等级现在还支持 NFSv4.2 协议。
装载 NFS 卷时,Linux mount 命令会自动选择可用的最高 NFS 版本。装载已启用 NFSv4.1 的卷时,系统会自动默认使用 NFSv4.2,除非明确指定 vers=4.1 装载选项。
NetApp Volumes 支持 NFS 扩展属性 xattrs 和 NFSv4.2。xattrs 的使用情况和限制(如 TR-4962 中详述)也适用。
将 Linux 连接到 LDAP
如果您使用的是 NFSv3 扩展群组或 NFSv4.1(带安全标识符),则您已将 NetApp Volumes 配置为使用附加到存储池的 Active Directory 作为 LDAP 服务器。
为了在 NFS 客户端和服务器之间保持一致的用户信息,您可能需要将客户端配置为使用 Active Directory 作为 LDAP 名称服务来获取用户和群组信息。
您可以使用以下资源来配置 LDAP:
使用 Kerberized NFS 时,您可能需要使用本部分中提到的部署指南来配置 LDAP,并确保客户端和服务器之间的一致性。