最近2018中文字幕在日韩欧美国产成人片_国产日韩精品一区二区在线_在线观看成年美女黄网色视频_国产精品一区三区五区_国产精彩刺激乱对白_看黄色黄大色黄片免费_人人超碰自拍cao_国产高清av在线_亚洲精品电影av_日韩美女尤物视频网站

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
服務(wù)器nfs安全方案 nfs文件服務(wù)器的配置與管理實(shí)驗(yàn)總結(jié)

linux配置nfs步驟

NFS的配置過程很簡(jiǎn)單。在服務(wù)器端中編輯 /etc/exports 文件,添加如下內(nèi)容: /home/nfs-share 192.168.1.122 (rw,sync)

成都創(chuàng)新互聯(lián)公司堅(jiān)持“要么做到,要么別承諾”的工作理念,服務(wù)領(lǐng)域包括:成都做網(wǎng)站、網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù),滿足客戶于互聯(lián)網(wǎng)時(shí)代的定邊網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求,幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴!

第一項(xiàng)是要共享的目錄,后者為共享的配置參數(shù)一般為: (rw,sync,no_root_squash,no_all_squash,no_subtree_check)

然后開啟NFS和portmap服務(wù):

/etc/init.d/nfs start //用service nfs start也可以 /etc/init.d/portmap start //用service portmap stasrt也可以

在centos6.5中portmap已經(jīng)改為rpcbind 在客戶端,用mount –t nfs 192.168.123:/home/nfs-share /home/remote_file掛載服務(wù)器端的共享目錄到本地的/home/remote-file掛載點(diǎn),然后我們就可以在客戶端上應(yīng)用到遠(yuǎn)程主機(jī)上的/home/nfs-share目錄了。想要系統(tǒng)在開機(jī)時(shí)自動(dòng)掛載,修改/etc/fstab文件,把NFS服務(wù)器的共享目錄添加進(jìn)去就可以了,這個(gè)不用多說。

如何知道遠(yuǎn)程主機(jī)上的共享目錄情況呢?使用showmount命令,這個(gè)命令需要root權(quán)限。它有三個(gè)選項(xiàng)(記住這三個(gè)選項(xiàng)代表的含義: showmount –a IP 顯示指定NFS服務(wù)器的客戶端以及服務(wù)器端在客戶端的掛載點(diǎn) showmount –d IP 顯示指定NFS服務(wù)器在客戶端的掛載點(diǎn) showmount –e IP 顯示指定NFS服務(wù)器上的共享目錄列表(或者叫輸出列表) 我們輸入命令showmount –a 192.168.1.123:

圖片客戶端中出現(xiàn)的mount clntudp_create: RPC: Program not registered錯(cuò)誤是怎么回事?噢,我剛才重啟了一下服務(wù)器端,重啟后NFS服務(wù)沒有開啟。 我們開啟服務(wù)器端的NFS服務(wù),再?gòu)目蛻舳松喜榭匆幌翹FS服務(wù)器的情況:

Showmount –a顯示出NFS服務(wù)器192.168.1.123的共享目錄被客戶端192.168.122掛載到/home中;

在showmount -e IP,出現(xiàn)clnt_create: RPC: Port mapper failure - Timed out報(bào)錯(cuò)

解決方案:

被訪問的NFS服務(wù)器上的防火墻沒有添加規(guī)則,向iptables里面添加以下查看的所有端口即可(目前解決的方法,當(dāng)然你也可以關(guān)閉防火墻,不過這樣是比較不安全的,如果你的nfs作用不大,建議你另選別的應(yīng)用來替代吧!畢竟開那么多的端口,比較不安全呀?。?/p>

通過#rpcinfo -p 10.10.209.148

[root@rh01 /]# rpcinfo -p 10.10.209.148program vers proto port service100000 4 tcp 111 portmapper100000 3 tcp 111 portmapper100000 2 tcp 111 portmapper100000 4 udp 111 portmapper100000 3 udp 111 portmapper100000 2 udp 111 portmapper100024 1 udp 52943 status100024 1 tcp 37706 status100011 1 udp 875 rquotad100011 2 udp 875 rquotad100011 1 tcp 875 rquotad100011 2 tcp 875 rquotad100003 2 tcp 2049 nfs100003 3 tcp 2049 nfs100003 4 tcp 2049 nfs100227 2 tcp 2049 nfs_acl100227 3 tcp 2049 nfs_acl100003 2 udp 2049 nfs100003 3 udp 2049 nfs100003 4 udp 2049 nfs100227 2 udp 2049 nfs_acl100227 3 udp 2049 nfs_acl100021 1 udp 37438 nlockmgr100021 3 udp 37438 nlockmgr100021 4 udp 37438 nlockmgr100021 1 tcp 46331 nlockmgr100021 3 tcp 46331 nlockmgr100021 4 tcp 46331 nlockmgr100005 1 udp 57177 mountd100005 1 tcp 43147 mountd100005 2 udp 49154 mountd100005 2 tcp 54810 mountd100005 3 udp 55707 mountd100005 3 tcp 58309 mountd

[root@rh01 /]#

剛才在重啟NFS服務(wù)的時(shí)候,細(xì)心的話可以注意到,我們?cè)谳斎朊?etc/init.d/nfs start開啟nfs服務(wù)時(shí),系統(tǒng)還自作主張地開啟了NFS quotas等其它3個(gè)服務(wù)。

怎么回事?我們只輸入了一條啟動(dòng)NFS服務(wù)的命令,它怎么額外的啟動(dòng)了3個(gè)服務(wù)?后面的啟動(dòng)portmap服務(wù)又是怎么回事? 我們首先要了解一點(diǎn):NFS文件系統(tǒng)要提供服務(wù)單靠本身的NFS服務(wù)是不夠的,還需要調(diào)用其它服務(wù),這個(gè)其它服務(wù)就是RPC(remote procedure call,遠(yuǎn)程過程調(diào)用)服務(wù)和portmap服務(wù)。由于NFS服務(wù)本身不提供文件傳輸功能,我們要遠(yuǎn)程使用NFS文件系統(tǒng)就需要RPC服務(wù)的支持;而portmap服務(wù)用來為RPC服務(wù)進(jìn)行動(dòng)態(tài)端口分配和映射,所以portmap服務(wù)也是NFS服務(wù)所必須的。

我們查看一下服務(wù)的啟動(dòng)情況:

所遇錯(cuò)誤:

/etc/init.d/nfs-kernel-server: 沒有那個(gè)文件或目錄

解決方案:

沒有配置、安裝NFS

Linux 下配置NFS服務(wù)

1、安裝

2、配置

3、客戶端

所遇問題:centos6.5

portmap: 未被識(shí)別的服務(wù)

解決方案:

由于在6系列里面,portmap已經(jīng)改名了 ,6系列需要使用 service rpcbind start啟動(dòng)[root@unix-big-bang ~]# service portmap start

portmap: 未被識(shí)別的服務(wù)

[root@unix-big-bang ~]# service rpcbind status

rpcbind (pid 1312) is running...

[root@unix-big-bang ~]#

好文共賞:

linux nfs文件共享

◆一、概念

NFS是網(wǎng)絡(luò)文件系統(tǒng)(Network File System)的簡(jiǎn)稱,是分布式計(jì)算機(jī)系統(tǒng)的一個(gè)組成部分,可實(shí)現(xiàn)在異構(gòu)網(wǎng)絡(luò)上共享和裝配遠(yuǎn)程文件系統(tǒng)。

NFS由SUN公司開發(fā),目前已成為文件服務(wù)的一種標(biāo)準(zhǔn)(RFC1904,RFC1813)。其最大的功能就是可以通過網(wǎng)絡(luò),讓不同 操作系統(tǒng) 的計(jì)算機(jī)可以共享數(shù)據(jù),所以也可以看作是一個(gè)文件服務(wù)器。NFS是除了SAMBA之外Windows與Linux及Unix與Linux之間通信的方法。

理想條件下的NFS 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

1、設(shè)置Linux系統(tǒng)之間的文件共享(Linux與Windows中間文件共享采用SAMBA服務(wù));

2、NFS只是一種文件系統(tǒng),本身沒有傳輸功能,是基于RPC協(xié)議實(shí)現(xiàn)的,才能達(dá)到兩個(gè)Linux系統(tǒng)之間的文件目錄共享;

3、NFS為C/S 架構(gòu) ;

◆二、服務(wù)器配置

1、配置文件

主要配置文件為:/etc/exports

格式為: 共享目錄 可mount主機(jī)IP(參數(shù)1,參數(shù)2,……)

如:/var/nfs 172.20. . (rw,sync,no_rootl_squash)

說明:必須注意nfs/目錄的訪問權(quán)限,必須設(shè)置成777權(quán)限;父目錄/var權(quán)限無要求,普通的755即可;

2、啟動(dòng)相關(guān)服務(wù)

然后依次啟動(dòng)相關(guān)服務(wù):portmap,nfslock,nfs

service portmap start

service nfslock start

service nfs start

關(guān)閉順序相反。

3、檢查共享目錄

隨后可以采用showmount –e查看一下,看看共享的目錄情況:

[root@ns var]# showmount -e

Export list for ns.osserver:

/var/nfs 172.20. .

OK,到此為止,NFS服務(wù)器搭建完畢;

◆三、客戶端配置

1、確保portmap運(yùn)行

客戶端必須確保RPC協(xié)議相應(yīng)的portmap正常運(yùn)行,否則mount將失??;

2、掛載/var/nfs目錄(本地掛載點(diǎn)為/mnt/nfs)

mount -t nfs 172.20.65.16:/var/nfs /mnt/nfs

成功mount以后,即可同本地目錄一樣隨意操作;

◆四、其它相關(guān)命令

1、當(dāng)修改了/etc/exports文件后,可以不用重新啟動(dòng)nfs服務(wù),直接采用exports –rv 即可重新導(dǎo)出共享目錄;

該命令格式如下:

exportfs [-aruv]

-a :全部mount或者unmount /etc/exports中的內(nèi)容

-r :重新mount /etc/exports中分享出來的目錄

-u :umount 目錄

-v :在 export 的時(shí)候,將詳細(xì)的信息輸出到屏幕上。

具體例子:

[root@ns var]# showmount -e

Export list for ns.osserver:

/var/nfs 172.20. .

[root@ns var]# exportfs –au #全部卸載

[root@ns var]# showmount -e

Export list for ns.osserver:

[root@ns var]# exportfs –rv #全部重新 export 一次

exporting 172.20. . :/var/nfs

[root@ns var]#

2、showmout命令對(duì)于NFS的操作和查錯(cuò)有很大的幫助,所以我們先來看一下showmount的用法

showmout

-a :這個(gè)參數(shù)是一般在NFS SERVER上使用,是用來顯示已經(jīng)mount上本機(jī)nfs目錄的cline機(jī)器。

-e :顯示指定的NFS SERVER上export出來的目錄。

例如:

[root@localhost ~]# showmount -e 172.20.16.139

Export list for 172.20.16.139 :/root/share 172.20.16.137

[root@ns var]# showmount -a

All mount points on localhost.localdomain: :/root/share,172.20. . :/root/share,172.20.16. :/root/share,172.20.16.139:/nfsshare,172.20.16.139:/root/share172.20.16.137: 172.20.16.137:,172.20. . 172.20.16.137:,172.20.16. 172.20.16.137:/root/share172.20.16.139: 172.20.16.139:,172.20. . 172.20.16.139:,172.20.16. 172.20.16.139:,172.20.16.139172.20.16.139:DEFAULT

◆五、常見問題解答

1、提示:mount to NFS server '172.20.67.203' failed: server is down.

解決方案:可能是NFS服務(wù)器的防火墻有問題;

2、提示:mount: RPC: Timed out

解決方案:由于RPC協(xié)議沒運(yùn)行;啟動(dòng)portmap服務(wù);

也有可能是防火墻問題;Server/Client均有可能。

NFS 深入配置

1.1 NFS配置參數(shù)權(quán)限

參數(shù)名稱

參數(shù)用途

rw

read-write,表示可讀寫權(quán)限

ro

read-only,表示只讀權(quán)限

sync

請(qǐng)求或?qū)懭霐?shù)據(jù)時(shí),數(shù)據(jù)同步寫入到硬盤才完成

async

異步寫到遠(yuǎn)程緩沖區(qū)

all_squash

不管客戶端什么用戶,到服務(wù)端都會(huì)被壓縮成匿名用戶

anonuid

匿名用戶的UID

anongid

匿名用戶的GID

在配置文件內(nèi)設(shè)置共享目錄時(shí)所給予的權(quán)限:

[root@nfs01 ~]$ cat /etc/exports

/data 172.16.1.0/24(rw,sync) 10.0.0.0/24(ro)

配置好NFS服務(wù)后,/var/lib/nfs/etab文件中可以看到的配置參數(shù)以及默認(rèn)自帶的參數(shù):

[root@nfs01 ~]$ cat /var/lib/nfs/etab

/data

172.16.1.0/24(rw,sync,wdelay,hide,nocrossmnt,secure,root_squash,

no_all_squash,no_subtree_check,secure_locks,acl,no_pnfs,anonuid=65534,

anongid=65534,sec=sys,rw,secure,root_squash,no_all_squash

1.1.1 更改NFS默認(rèn)用戶

1.1.1.1 nfs01服務(wù)端NFS、以及所有客戶端:

[root@nfs01 ~] id www

uid=1111(www) gid=1111(www) 組=1111(www)

1.1.1.2 服務(wù)端NFS特殊配置

配置文件增加如下內(nèi)容:

[root@nfs01 ~]$ tail -2 /etc/exports

/data 172.16.1.0/24(rw,sync,all_squash,anonuid=1111,anongid=1111)

/data1 10.0.0.0/24(ro)

共享目錄更改用戶和用戶組:

[root@nfs01 ~] ls -ld /data

drwxr-xr-x 2 www www 70 4月 18 10:05 /data

1.1.1.3 服務(wù)端NFS重啟

[root@nfs01 ~]$ systemctl reload nfs

1.1.1.4 每個(gè)客戶端掛載

[root@web01 ~] df -h

文件系統(tǒng) 容量 已用 可用 已用% 掛載點(diǎn)

172.16.1.31:/data 19G 1.8G 18G 10% /data

新創(chuàng)建文件驗(yàn)證用戶名:

[root@web01 /data]# touch new_web01.txt

[root@web01 /data]# ls -l

總用量 0

-rw-r--r-- 1 www www 0 4月 18 11:01 new_web01.txt

-rw-r--r-- 1 www www 0 4月 17 11:59 oldboy.txt

-rw-r--r-- 1 www www 0 4月 17 12:30 oldgirl.txt

1.2 NFS服務(wù)重點(diǎn)知識(shí)梳理

??當(dāng)多個(gè)NFS客戶端訪問服務(wù)器端讀寫文件時(shí),需要具有以下幾個(gè)權(quán)限:

NFS服務(wù)器/etc/exports設(shè)置需要開放許可寫入的權(quán)限,即服務(wù)器端的共享權(quán)限

NFS服務(wù)器實(shí)際要共享的NFS目錄權(quán)限具有可寫入w的權(quán)限,即服務(wù)器端本地目錄的安全權(quán)限

每臺(tái)機(jī)器都對(duì)應(yīng)存在和NFS默認(rèn)配置UID的相同UID的用戶

下表列出了常用的重點(diǎn)NFS服務(wù)文件或命令。

NFS常用路徑

說明

/etc/exports

NFS服務(wù)主配置文件,配置NFS具體共享服務(wù)的地點(diǎn),默認(rèn)內(nèi)容為空

/var/lib/nfs/etab

NFS配置文件的完整參數(shù)設(shè)定的文件

/proc/mounts

客戶端的掛載參數(shù)

1.3 NFS客戶端掛載深入

1.3.1 mount -o 參數(shù)選項(xiàng)及系統(tǒng)默認(rèn)設(shè)置

參數(shù)

參數(shù)意義

系統(tǒng)默認(rèn)值

suid/nosuid

當(dāng)掛載的文件系統(tǒng)上有任何SUID的程序時(shí),只要使用nosuid就能夠取消設(shè)置SUID的功能

suid

rw/ro

可以指定文件系統(tǒng)是只讀(ro)或可讀寫(rw)

rw

dev/nodev

是否可以保留裝置文件的特殊功能

dev

exec/noexec

是否具有執(zhí)行文件的權(quán)限

exec

user/nouser

是否允許用戶擁有文件的掛載與卸載功能

nouser

auto/noauto

auto指的是“mount -a”時(shí)會(huì)不會(huì)被掛載的項(xiàng)目,如果不需要這個(gè)分區(qū)隨時(shí)被掛載,可以設(shè)置為noauto

auto

1.3.2 mount -o 參數(shù)詳細(xì)說明

參數(shù)選項(xiàng)

說明

async

涉及文件系統(tǒng)I/O的操作都是異步處理,即不會(huì)同步寫到磁盤,能提高性能,但會(huì)降低數(shù)據(jù)安全。

sync

有I/O操作時(shí),都會(huì)同步處理I/O,會(huì)降低性能,但數(shù)據(jù)比較安全。

atime

在每一次數(shù)據(jù)訪問時(shí),會(huì)更新訪問文件的時(shí)間戳,是默認(rèn)選項(xiàng),在高并發(fā)的情況下,可以通過添加noatime來取消默認(rèn)項(xiàng)。

ro

以只讀的方式掛載一個(gè)文件系統(tǒng)

rw

以可讀寫的方式掛載一個(gè)文件系統(tǒng)

auto

能夠被自動(dòng)掛載通過-a選項(xiàng)

noauto

不會(huì)自動(dòng)掛載文件系統(tǒng)

defaults

這是fstab里的默認(rèn)值,包括rw、suid、dev、exec、auto、nouser、async

exec

允許文件系統(tǒng)執(zhí)行二進(jìn)制文件,取消這個(gè)參數(shù),可以提升系統(tǒng)安全性。

noexec

在掛載的文件系統(tǒng)中不允許執(zhí)行任何二進(jìn)制程序,進(jìn)僅對(duì)二進(jìn)制程序有效。

noatime

訪問文件時(shí)不更新文件的時(shí)間戳,高并發(fā)情況下,一般使用該參數(shù)

nodiratime

不更新文件系統(tǒng)上的directory inode時(shí)間戳,高并發(fā)環(huán)境,推薦顯式應(yīng)用該選項(xiàng),可以提高系統(tǒng)I/O性能。

nosuid

不允許set-user-identifier or set-group-identifier位生效。

suid

允許set-user-identifier or set-group-identifier位生效。

nouser

禁止一個(gè)普通用戶掛載該文件系統(tǒng),這是默認(rèn)掛載時(shí)的默認(rèn)選項(xiàng)。

remount

嘗試重新掛載一個(gè)已經(jīng)掛載了的文件系統(tǒng),這通常被用來改變一個(gè)文件系統(tǒng)的掛載標(biāo)志,從而使得一個(gè)只讀文件系統(tǒng)變的可寫,這個(gè)動(dòng)作不會(huì)改變?cè)O(shè)備或者掛載點(diǎn)。當(dāng)系統(tǒng)故障時(shí)進(jìn)人single或rescue模式修復(fù)系統(tǒng)時(shí),會(huì)發(fā)現(xiàn)根文件系統(tǒng)經(jīng)常會(huì)變成只讀文件系統(tǒng),不允許修改,此時(shí)該命令就派上用場(chǎng)了。具體命令為:mount -o remount,rw /,表示將根文件系統(tǒng)重新掛載使得可寫。single或rescue模式修復(fù)系統(tǒng)時(shí)這個(gè)命令十分重要。

dirsync

目錄更新時(shí)同步寫人磁盤。

1.3.3 企業(yè)生產(chǎn)場(chǎng)景NFS共享存儲(chǔ)優(yōu)化

硬件:使用ssd/sas磁盤,可以買多塊,制作成raid10。

NFS服務(wù)器端配置:

/data 10.0.0.0/24(rw,sync,all_squash,anonuid=65534,anongid=65534)

NFS客戶端掛載優(yōu)化配置命令:

mount -t nfs -o nosuid,noexec,nodev,noatime,nodiratime,rsize=131072,

wsize=131072 172.16.1.31:/data /mnt ===兼顧安全性能

對(duì)NFS服務(wù)的所有服務(wù)器內(nèi)核進(jìn)行優(yōu)化,執(zhí)行命令如下:

cat /etc/sysctl.conf EOF

net.core.wmen_default = 8388608

net.core.rmen_default = 8388608

net.core.wmen_max = 16777216

net.core.rmen_max = 16777216

EOF

執(zhí)行sysctl -p 生效

大型網(wǎng)站NFS網(wǎng)絡(luò)文件系統(tǒng)的替代軟件為分布式文件系統(tǒng),如:Moosefs(mfs)、GlusterFS、FastDFS。

1.4 NFS系統(tǒng)應(yīng)用的優(yōu)缺點(diǎn)

1.4.1 優(yōu)點(diǎn)

簡(jiǎn)單,容易上手,容易掌握。

NFS文件系統(tǒng)內(nèi)數(shù)據(jù)是在文件系統(tǒng)之上的,即數(shù)據(jù)是能看得見的。

部署快速維護(hù)簡(jiǎn)單方便,且可控,滿足需求就是最好的。

可靠,從軟件層面上看,數(shù)據(jù)可靠性高,經(jīng)久耐用。

服務(wù)非常穩(wěn)定。

1.4.2 缺點(diǎn)(局限)

存在單點(diǎn)故障,如果NFS服務(wù)端宕機(jī)了,所有客戶端都不能訪問共享目錄。

在大數(shù)據(jù)高并發(fā)的場(chǎng)合,NFS效率、性能有限。

客戶端認(rèn)證是基于IP和主機(jī)名的,權(quán)限要根據(jù)ID識(shí)別,安全性一般。

NFS數(shù)據(jù)是明文的,NFS本身不對(duì)數(shù)據(jù)完整性進(jìn)行驗(yàn)證。

多臺(tái)客戶機(jī)掛載一個(gè)NFS服務(wù)器時(shí),連接管理維護(hù)麻煩。

1.4.3 解決性能問題的方法

使用CDN加速以及自己搭建文件緩存服務(wù)(squid、nginx、varnish)。

把多個(gè)目錄分配到不同的NFS服務(wù)器上。

棄用NFS(即讀寫分離)。

使用分布式文件系統(tǒng)。

如何使用NFS和NAS解決虛擬服務(wù)器存儲(chǔ)問題?

然而,這樣的靈活性有一個(gè)條件:物理機(jī)能夠看到所有虛擬磁盤鏡像。這通常會(huì)導(dǎo)致存儲(chǔ)網(wǎng)絡(luò)成為一個(gè)使用網(wǎng)絡(luò)文件系統(tǒng)(NFS)和虛擬網(wǎng)絡(luò)附屬存儲(chǔ)(NAS)集群的開放網(wǎng)絡(luò)。

在傳統(tǒng)基于塊的存儲(chǔ)中,如iSCSI和光纖通道存儲(chǔ)區(qū)域網(wǎng)絡(luò)(FC SAN),這意味著我們必須能夠分配和操作邏輯單元號(hào)(LUN),以便在遷移虛擬機(jī)時(shí)可以迅速重新分配LUN給其它物理機(jī)。這個(gè)操作不僅是在最初部署時(shí)很難執(zhí)行,隨著環(huán)境越來越大和復(fù)雜,它也會(huì)很難執(zhí)行。要為每個(gè)虛擬機(jī)分配一個(gè)LUN,然后還要能夠迅速地將它重新分配給其它物理主機(jī),這對(duì)IT人士來說已然是一個(gè)越來越嚴(yán)重的問題。

在越來越多的環(huán)境里,IT管理員都開始使用更大的LUN來承載多個(gè)虛擬機(jī)。盡管這可以減輕分配多個(gè)LUN給多個(gè)虛擬機(jī)的重?fù)?dān),但無法解決分區(qū)和LUN增長(zhǎng)的問題。

NFS解決方案

現(xiàn)在,VMware支持通過NFS啟動(dòng)部署虛擬機(jī)。通過可啟動(dòng)的NFS加載(mount)部署虛擬機(jī)是解決這個(gè)問題的一個(gè)理想方法,而且也被越來越廣泛地接受。

NFS是一個(gè)客戶端或服務(wù)器系統(tǒng),允許用戶跨網(wǎng)絡(luò)訪問文件,并能夠像操作本地文件目錄一樣操作這些遠(yuǎn)程文件。它是通過輸出(exporting)和載入(mounting)兩個(gè)過程完成的。輸出過程是指NFS服務(wù)器向遠(yuǎn)程客戶端提供文件訪問的過程;載入過程是指文件系統(tǒng)對(duì)操作系統(tǒng)和用戶變?yōu)榭捎玫倪^程。NFS主要用于Unix-to-Unix文件共享,即使你的所有虛擬機(jī)都是基于Windows的,你也可以選用NFS。盡管Windows無法引導(dǎo)NFS,但VMware將NFS建立在它的磁盤虛擬層,所以Windows無需引導(dǎo)NFS。

NFS工作站很容易創(chuàng)建和操作。每個(gè)物理服務(wù)器都能看到所有的虛擬磁盤鏡像,而且VMotion等功能也更加容易操作。與iSCSI或FC SAN中的每個(gè)VMDK創(chuàng)建一個(gè)LUN不同,你可以在一個(gè)NFS卷中共置多個(gè)VMDK(VMware Virtual Disk)文件。因?yàn)閂MDK只是文件,而不是真正的磁盤。為什么使用NFS NFS讓存儲(chǔ)和VMware管理員的工作變得容易得多,而且在很多VMware環(huán)境下都不會(huì)有任何性能損失。除了一些例外的存儲(chǔ)廠商提供虛擬化解決方案以外,LUN管理對(duì)存儲(chǔ)和VMware管理員來說都很具有挑戰(zhàn)性。而有了NFS執(zhí)行,與單個(gè)文件系統(tǒng)的交互讓VMware鏡像供應(yīng)更加容易。

訪問控制通過內(nèi)置NFS安全性被啟用后,可以向一組VMware管理員提供NFS文件系統(tǒng)。有了NFS,就不需要微操作每一個(gè)LUN了。例如,VMware鏡像在文件夾中可以根據(jù)應(yīng)用類型進(jìn)行分組,而且可以同時(shí)提供給一系列應(yīng)用使用。

此外,訪問路徑是基于傳統(tǒng)的以太網(wǎng),這不僅節(jié)省了成本,也更加易于進(jìn)行故障檢修。因?yàn)椋蠖鄶?shù)企業(yè)對(duì)于IP管理的了解要遠(yuǎn)遠(yuǎn)多于對(duì)FC管理的了解。

NFS有一個(gè)優(yōu)點(diǎn)就是訪問簡(jiǎn)易。所有ESX服務(wù)器都可以連接到載入點(diǎn)(mount point),這使得VMotion的使用更加容易。在FC部署中,每個(gè)ESX服務(wù)器都必須能夠看到所有其它ESX服務(wù)器的LUN,這很不利于配置和管理。NFS是一項(xiàng)共享技術(shù),所有共享訪問都是內(nèi)置的。

NFS的另一優(yōu)勢(shì)在于數(shù)據(jù)保護(hù)方面。盡管通過NFS提供的VMware鏡像無法使用VMware VCB,但Unix或Linux主機(jī)可以載入這些鏡像來進(jìn)行備份。利用支持NDMP的備份軟件可以備份這些鏡像。通過Linux主機(jī)的方法可以訪問VMware鏡像,而且可以通過這種方法可以載入快照和備份卷。此外,你還可以綜合利用NFS主機(jī)的復(fù)制工具保障業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù),而不用購(gòu)買VMware專門的復(fù)制工具。

說得直白一點(diǎn),NFS不是唯一的協(xié)議,它也有不太適合的時(shí)候。例如,Microsoft Cluster Service必須有成組存取(block access),而且有些情況下就需要光纖通道。iSCSI有一些很獨(dú)特的功能,其中一個(gè)是它能夠直接分配一個(gè)LUN給一個(gè)子操作系統(tǒng),而不用通過VMware磁盤虛擬層。這些獨(dú)特的功能可以快速地將特定的LUN轉(zhuǎn)移出VMware環(huán)境。

這個(gè)執(zhí)行需要的不僅僅是一個(gè)標(biāo)準(zhǔn)的文件服務(wù)器或NAS,因?yàn)槌吮4嬗脩魯?shù)據(jù)以外,它還是架構(gòu)的一個(gè)關(guān)鍵部分。

利用虛擬NAS集群解決I/O問題

通過NAS集群虛擬化可以緩解某些物理存儲(chǔ)相關(guān)問題,如I/O限制。

隨著負(fù)荷的不斷增加,傳統(tǒng)的NAS無法有效地?cái)U(kuò)展升級(jí)。部署多個(gè)物理服務(wù)器會(huì)迅速加重I/O帶寬的負(fù)擔(dān),這樣的負(fù)荷比在多數(shù)文件服務(wù)器環(huán)境中的負(fù)荷要大得多。要減輕I/O帶寬負(fù)擔(dān),就必須部署更多的NAS,而這又會(huì)導(dǎo)致NAS蔓延。

這使得我們必須在滿足額外的NAS系統(tǒng)需求以解決文件服務(wù)需求的同時(shí),還要讓這些NAS系統(tǒng)必須能處理虛擬服務(wù)器環(huán)境不斷變化的I/O需求。有了單獨(dú)的NAS head,VMotion就很難適用了,唯一的其它選擇是購(gòu)買更大的單一的NAS head。在VMware環(huán)境下,這樣的升級(jí)不是因?yàn)槿萘肯拗贫M(jìn)行的,而是為了提供更高的性能而升級(jí)。

下面,我們說說虛擬NAS集群。一個(gè)虛擬NAS集群代表著整個(gè)ESX環(huán)境的一個(gè)NAS對(duì)象,即使這個(gè)對(duì)象是多個(gè)NAS head。一個(gè)虛擬NAS集群是一系列NAS節(jié)點(diǎn),這些節(jié)點(diǎn)是作為一個(gè)整體被管理的。性能或容量的升級(jí)就成為相互獨(dú)立的事了,I/O性能升級(jí)只是連接更多的節(jié)點(diǎn)到集群,而容量升級(jí)則是連接更多的磁盤,互不影響。

此外,虛擬NAS集群還可以為環(huán)境提供冗余。如果集群的其中一個(gè)節(jié)點(diǎn)出錯(cuò),該節(jié)點(diǎn)的文件系統(tǒng)會(huì)自動(dòng)轉(zhuǎn)向集群中的其它節(jié)點(diǎn)。這個(gè)功能可以保障數(shù)據(jù)訪問不受中斷,對(duì)于虛擬服務(wù)器環(huán)境非常重要。因?yàn)?,虛擬服務(wù)器環(huán)境下的一個(gè)錯(cuò)誤可能會(huì)導(dǎo)致幾十個(gè)虛擬機(jī)受到嚴(yán)重影響,多層冗余對(duì)于這樣的環(huán)境就顯得尤為重要。

Global Files System

將虛擬服務(wù)器從一臺(tái)物理機(jī)遷移到另一臺(tái)物理機(jī)是一項(xiàng)勢(shì)在必行的工作,它可以給數(shù)據(jù)中心帶來很大的靈活性。而數(shù)據(jù)中心的靈活性也正是客戶所尋求的。相關(guān)虛擬磁盤的遷移,尤其是從一個(gè)陣列到另一陣列或一個(gè)NAS head到另一NAS head的遷移,并不是不可能的任務(wù),但是會(huì)非常耗費(fèi)時(shí)間,并且會(huì)中斷服務(wù)。

而在虛擬NAS集群環(huán)境下,這就是一件非常簡(jiǎn)單的工作,而且不會(huì)造成服務(wù)中斷。這進(jìn)一步提高了虛擬環(huán)境的靈活性。例如,如果某臺(tái)物理機(jī)中的好幾個(gè)虛擬機(jī)存在I/O帶寬需求高峰期,那么你可以將其它虛擬機(jī)磁盤鏡像移開它們所在的節(jié)點(diǎn)來應(yīng)對(duì)I/O高峰期。這個(gè)功能還可以用于虛擬NAS集群中的標(biāo)準(zhǔn)文件系統(tǒng),因?yàn)樗鼈兛梢愿鶕?jù)需求進(jìn)行重新分配。

虛擬NAS和FC

在VMware近期的白皮書中,基于FC的塊I/O仍是一個(gè)尚未成熟的I/O性能領(lǐng)導(dǎo)者。盡管有些NAS供應(yīng)商會(huì)對(duì)這些結(jié)果存在爭(zhēng)議,但這并不影響我們對(duì)這二者的利用。

首先,不到萬不得已不要使用FC?,F(xiàn)在市場(chǎng)上有兩種不同的產(chǎn)品。第一種是NAS供應(yīng)商(如Network Appliance)為他們的NAS head提供的FC和iSCSI服務(wù)。NAS head必須在NAS文件系統(tǒng)中創(chuàng)建一個(gè)封裝的FC LUN。第二種是EMC和OnStor等公司提供的網(wǎng)關(guān)(Gateway)解決方案,這些解決方案允許本地FC訪問存儲(chǔ)系統(tǒng)。在EMC的解決方案中,這當(dāng)然是一個(gè)通向Clarriion陣列的網(wǎng)關(guān)。OnStor允許你通過它們的NAS網(wǎng)關(guān)(NAS gateway)為你現(xiàn)有的存儲(chǔ)添加一個(gè)有Global Files System的虛擬NAS集群。

搭建NFS服務(wù)器

NFS 是Network File System的縮寫,即網(wǎng)絡(luò)文件系統(tǒng)。一種使用于分散式文件系統(tǒng)的協(xié)定,由Sun公司開發(fā),于1984年向外公布。功能是通過網(wǎng)絡(luò)讓不同的機(jī)器、不同的操作系統(tǒng)能夠彼此分享個(gè)別的數(shù)據(jù),讓應(yīng)用程序在客戶端通過網(wǎng)絡(luò)訪問位于服務(wù)器磁盤中的數(shù)據(jù),是在類Unix系統(tǒng)間實(shí)現(xiàn)磁盤文件共享的一種方法。

NFS在文件傳送或信息傳送過程中依賴于RPC協(xié)議。RPC,遠(yuǎn)程過程調(diào)用 (Remote Procedure Call) 是能使客戶端執(zhí)行其他系統(tǒng)中程序的一種機(jī)制。NFS本身是沒有提供信息傳輸?shù)膮f(xié)議和功能的。

NFS應(yīng)用場(chǎng)景,常用于高可用文件共享,多臺(tái)服務(wù)器共享同樣的數(shù)據(jù),可擴(kuò)展性比較差,本身高可用方案不完善,取而代之的數(shù)據(jù)量比較大的可以采用MFS、TFS、HDFS等等分布式文件系統(tǒng)。

1. 環(huán)境準(zhǔn)備兩臺(tái)Centos7.6虛擬機(jī):

服務(wù)端:192.168.199.180

客戶端:192.168.199.190

2.創(chuàng)建用戶,指定用戶訪問共享文件夾:

useradd test?? #創(chuàng)建test用戶

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?passwd ??test ?#設(shè)置test密碼為123456

6.編輯nfs主配置文件/etc/exports;并添加以下內(nèi)容:

/www ?192.168.199.190(rw,sync,root_squash,no_all_squash,anonuid=1002,anongid=1002) ????

參數(shù)詳解:

NFS安裝完畢,需要?jiǎng)?chuàng)建共享目錄,共享目錄在/etc/exports文件里面配置,可配置參數(shù)如下:

/www ?192.168.199.190(rw,sync,root_squash,no_all_squash,anonuid=1002,anongid=1002)

第一列/www 表示需要共享的目錄

IP表示允許哪個(gè)客戶端訪問

IP后括號(hào)里的設(shè)置表示對(duì)該共享文件的權(quán)限

ro????????????????????? 只讀訪問

rw????????????????????? 讀寫訪問

sync??????????????????? 所有數(shù)據(jù)在請(qǐng)求時(shí)寫入共享

hide??????????????????? 在NFS共享目錄中不共享其子目錄

no_hide???????????????? 共享NFS目錄的子目錄

all_squash????????????? 共享文件的UID和GID映射匿名用戶anonymous,適合公用目錄。

no_all_squash?????????? 保留共享文件的UID和GID(默認(rèn))

root_squash???????????? root用戶的所有請(qǐng)求映射成如anonymous用戶一樣的權(quán)限(默認(rèn))

no_root_squas?????????? root用戶具有根目錄的完全管理訪問權(quán)限

anonuid???????????????? 指定用戶UID

anongid???????????????? 指定用戶組ID

7.啟動(dòng)nfs服務(wù):systemctl start nfs

8.查看nfs及rpc端口是否啟動(dòng)成功:

9. rpcinfo -p 192.168.199.180 查看,如圖所示:

RPC命令詳解: rpcinfo 命令會(huì)向 RPC 服務(wù)器發(fā)出 RPC 調(diào)用,并將得到的結(jié)果顯示出來。rpcinfo 會(huì)列出所有在主機(jī) host 上向 rpcbind 注冊(cè)的 RPC 服務(wù)。

10. 使用showmount -e localhost 命令用于查詢NFS服務(wù)器的相關(guān)信息,顯示NFS服務(wù)器的輸出清單。

11. 創(chuàng)建共享文件夾目錄www ;并在www目錄下新建jfedu.txt并加入內(nèi)容,授予www用戶用戶組的nfsnobody.nfsnobody權(quán)限

mkdir -p /www?????????? ????????????#創(chuàng)建www共享目錄

touch? /www/jfedu.txt?????????????? #在www目錄下創(chuàng)建jfedu.txt文件

chown? -R? test:test? /www? #授權(quán)用戶用戶組test給www目錄

二、安裝客戶端:(192.168.199.190)

1. yum ?install nfs-utils ?-y

客戶端上不需要啟動(dòng)nfs服務(wù),只是為了使用showmount工具

2. 查看RPC端口是否啟動(dòng):netstat -ntpl

3.使用showmount -e 192.168.199.180命令顯示NFS服務(wù)器輸出結(jié)果:

4.遠(yuǎn)程掛載www共享目錄到客戶端的/mnt目錄下:mount -t nfs 192.168.199.180:/www /mnt

5. 進(jìn)入到/mnt掛載盤符目錄下cd /mnt? ;確認(rèn)是否有jfedu.txt文件存在及查看文件權(quán)限屬于誰:

確認(rèn)文件已存在,用戶用戶組均為test用戶所屬,其他用戶不能操作此目錄下的文件及文件夾;包括root用戶都不能操作刪除及修改文件,例如root用戶都不能刪除jfedu.txt文件:

6.如果也只需要客戶端的test用戶去對(duì)www共享文件夾有增刪改查權(quán)限的話,需要以下步驟:

a. 在客戶端創(chuàng)建相同的test用戶,并保證UID一致的情況下才能對(duì)共享目錄有權(quán)限進(jìn)行操作

b. 設(shè)置tets用戶密碼為123456

c. 查看test用戶UID參數(shù)值是多少? cat /etc/passwd

d. 那么問題來了,服務(wù)端的test用戶UID為1002,客戶端test用戶UID為1004,共享目錄在客戶端的權(quán)限也為1002,那么1004是沒有權(quán)限去訪問共享目錄的,可參考下目前狀態(tài)的錯(cuò)誤圖;首先切換到test用戶,然后進(jìn)入到/mnt目錄下進(jìn)行jfedu.txt文件刪除看是否報(bào)錯(cuò):

e. 經(jīng)過測(cè)試同樣的tets用戶,但是客戶端的用戶UID跟服務(wù)端不一致,所以是沒有權(quán)限刪除文件的,首先退出tets用戶,切換root用戶后,需要修改客戶端test用戶UID跟服務(wù)端一致即可解決問題,命令:usermod -u 1002? tets

7.修改完客戶端test用戶UID為1002后,切換到test用戶,查看是否有jfedu.txt文件存在;然后追加新內(nèi)容123456到j(luò)fedu.txt中;最后新建123.txt文件成功,代表NFS共享目錄指定用戶讀取(增刪改查)成功。

8. 在NFS服務(wù)端把NFS跟RPC服務(wù)加入開機(jī)自啟動(dòng):

systemctl enable nfs-server

systemctl enable rpcbind

9. 在客戶端將NFS遠(yuǎn)程共享目錄掛載命令加入fstab配置,不然服務(wù)器重啟掛載點(diǎn)將消失,加入以下配置到/etc/fstab配置文件

192.168.199.180:/www???? /mnt?????? nfs???? defaults ? 0 0


當(dāng)前標(biāo)題:服務(wù)器nfs安全方案 nfs文件服務(wù)器的配置與管理實(shí)驗(yàn)總結(jié)
本文鏈接:http://fisionsoft.com.cn/article/dojojii.html