Configurar portas NFS em VMs de cliente

Veja nesta página como definir as portas para os daemons statd e nlockmgr nas VMs do cliente para facilitar a configuração do firewall.

O Filestore usa os daemons nlockmgr e statd para ativar o bloqueio de arquivos. As portas desses serviços precisam ser devidamente expostas nas VMs do cliente por meio das regras de firewall para que os clientes possam usar os bloqueios corretamente. Recomendamos definir as portas statd e nlockmgr para que sejam consistentes em todas as VMs do cliente, facilitando a configuração das regras de firewall de entrada.

Para mais informações sobre como determinar se você precisa configurar uma regra de firewall para a rede VPC, consulte Configurar regras de firewall.

Verificar as configurações da porta

Para verificar os valores definidos para as portas statd e nlockmgr atualmente, execute os comandos a seguir na instância de VM do cliente. Se os arquivos não existirem ou se as opções não tiverem valores, as portas não serão definidas. Nesse caso, os daemons serão atribuídos dinamicamente a portas disponíveis arbitrárias.

Debian/Ubuntu

  1. Para determinar a porta statd, execute o seguinte comando e observe o valor STATDOPTS:

    cat /etc/default/nfs-common
    
  2. Para determinar a porta nlockmgr, execute o seguinte comando e observe os valores nlm_tcpport e nlm_udpport:

    cat /etc/modprobe.d/lock.conf
    

RHEL/CentOS

  1. Para determinar a porta statd, execute o seguinte comando e observe o valor STATD_PORT:

    cat /etc/sysconfig/nfs
    
  2. Para determinar a porta nlockmgr, execute o seguinte comando e observe os valores nlm_tcpport e nlm_udpport:

    cat /etc/modprobe.d/lock.conf
    

SUSE

Execute este comando:

cat /etc/sysconfig/nfs

A porta statd está listada em STATD_PORT, e a porta nlockmgr está listada em LOCKD_TCPPORT e LOCKD_UDPPORT.

Windows

A definição de portas NFS não é obrigatória no Windows.

Definir portas

Para definir as portas statd e nlockmgr, execute os seguintes comandos na instância de VM do cliente. Nestes exemplos, usamos o editor de texto nano mas é possível usar qualquer outro. Nos exemplos, também usamos 2046 como a porta para statd e 4045 como a porta para nlockmgr porque são as opções comuns. É possível usar portas diferentes com base na configuração de rede. Neste caso, as regras de firewall de entrada precisam permitir o tráfego para as portas específicas que você usa.

Debian/Ubuntu

  • Defina a porta statd:

    1. Abra o arquivo /etc/default/nfs-common para edição:

      sudo nano /etc/default/nfs-common
      
    2. Defina a opção STATDOPTS:

      STATDOPTS="-p 2046"
      
    3. Salve o arquivo e saia.

  • Defina a porta nlockmgr:

    1. Crie o arquivo /etc/modprobe.d/lock.conf:

      sudo nano /etc/modprobe.d/lock.conf
      
    2. Defina as opções nlm_tcpport e nlm_udpport:

      options lockd nlm_tcpport=4045
      options lockd nlm_udpport=4045
      
    3. Salve o arquivo e saia.

RHEL/CentOS

  • Defina a porta statd:

    1. Abra o arquivo /etc/sysconfig/nfs para edição:

      sudo nano /etc/sysconfig/nfs
      
    2. Defina a opção STATD_PORT:

      STATD_PORT=2046
      
    3. Salve o arquivo e saia.

  • Defina a porta nlockmgr:

    1. Crie o arquivo /etc/modprobe.d/lock.conf:

      sudo nano /etc/modprobe.d/lock.conf
      
    2. Defina as opções nlm_tcpport e nlm_udpport:

      options lockd nlm_tcpport=4045
      options lockd nlm_udpport=4045
      
    3. Salve o arquivo e saia.

SUSE

Defina as portas statd e nlockmgr:

  1. Abra o arquivo /etc/sysconfig/nfs para edição:

    sudo nano /etc/sysconfig/nfs
    
  2. Defina as opções STATD_PORT, LOCKD_TCPPORT e LOCKD_UDPPORT:

    STATD_PORT=2046
    LOCKD_TCPPORT=4045
    LOCKD_UDPPORT=4045
    
  3. Salve o arquivo e saia.

Windows

A definição de portas NFS não é obrigatória no Windows.

Verificar se as portas estão abertas

Para verificar se as portas do NFS foram abertas corretamente, conclua as etapas a seguir.

  1. Instale as dependências a seguir.

    Debian/Ubuntu

    Na linha de comando, insira o seguinte comando:

    sudo apt install nfs-common tcpdump tshark
    

    RHEL/CentOS

    Na linha de comando, insira o seguinte comando:

    sudo yum install nfs-utils tcpdump wireshark
    

    SUSE

    Na linha de comando, insira o seguinte comando:

    sudo zypper install nfs-client tcpdump wireshark
    

    Windows

    Esse processo de verificação não é compatível com o Windows.

  2. Crie um arquivo de script com o nome verify-nfs-port-script.sh, copie e cole o a seguir dentro dele e salvá-lo localmente na sua máquina. Observe o local do arquivo e salve-o para a próxima etapa.

    #!/bin/bash
    
    # This script is intended to run on client machines to verify that the ports
    # are properly open to allow the reception of NLM GRANT messages from the server.
    
    set -eu
    
    function kill_descendants() {
       for pid in $(ps -o pid= --ppid "$1")
       do
       kill_descendants "$pid"
       done
       if [[ $1 -ne $$ ]]; then
       kill "$1" 2>/dev/null | true
       fi
    }
    
    function cleanup {
       set +eu
    
       # Kill all background jobs and wait for it to end, makes sure locks are released
       kill_descendants $$
    
       # Wait for jobs to die and locks to be released, so mount is not busy
       sleep 2
    
       umount -f "$MNT1"
       umount -f "$MNT2"
    
       rmdir "$MNT1" 2&> /dev/null || true
       rmdir "$MNT2" 2&> /dev/null || true
    }
    
    function print_help {
       echo "$0 [server_ip] [mount_path]"
       echo -e "\t For example, if you mount a server using:"
       echo -e "\t\t \"mount 10.0.0.1:share /mnt/mount_point\""
       echo -e "\t Run the script: "
       echo -e "\t\t \"$0 10.0.0.1 share\""
    }
    
    if [ $# -ne 2 ]; then
       print_help
       exit 1
    fi
    
    if [ $(id -u) -ne 0 ]; then
       echo "Failure! This script needs to run as root, use \"sudo $@\""
       exit 1
    fi
    
    if ! [ -x "$(command -v tshark)" ]; then
       echo "The 'tshark' command does not exist and is needed for the script. Please install it"
       exit 1
    fi
    
    if ! [ -x "$(command -v tcpdump)" ]; then
       echo "The 'tcpdump' command does not exist and is needed for the script. Please install it"
       exit 1
    fi
    
    SERVER_IP=$1
    MOUNT_PATH=$2
    
    MNT1=$(mktemp -d)
    MNT2=$(mktemp -d)
    
    trap cleanup EXIT
    
    echo "Mounting..."
    mount -o nosharecache "$SERVER_IP":"$MOUNT_PATH" "$MNT1"
    mount -o nosharecache "$SERVER_IP":"$MOUNT_PATH" "$MNT2"
    
    REC_FILE=$(mktemp /tmp/nlm_recording_XXXXXXXX.pcap)
    tcpdump -i any -s0 -w "$REC_FILE" "host $SERVER_IP" &
    TCPDUMP_PID=$!
    echo "Recording TCP dump to $REC_FILE"
    
    sleep 5 # wait for tcpdump to start running
    
    echo "Running test..."
    flock "$MNT1"/lock_file -c "echo -n \"Got first lock: \" && date && sleep 5 && echo -n \"Releasing first lock: \" && date" &
    sleep 2 # Wait for the first lock to actually be taken
    
    echo "Waiting for second lock: $(date)"
    flock "$MNT2"/lock_file -c "echo -n \"Got second lock: \" && date"
    
    sleep 2 # Wait for tcpdump to record everything
    kill $TCPDUMP_PID
    
    # For quick analysis inspect recording with tshark, if you don't have it just inspect with Wireshark
    echo "Inspecting results in $REC_FILE with TShark"
    tshark -r "$REC_FILE" -Y nlm # First, print the output
    
    tshark -r "$REC_FILE" -Y nlm 2>/dev/null | grep -q GRANTED
    EXIT_CODE=0
    if [ $? -eq 0 ]; then
       echo "The NLM GRANT message is working properly!"
       EXIT_CODE=0
    else
    echo "The NLM GRANT message is not working properly!"
    EXIT_CODE=1
    fi
    echo "For debugging, please provide the printed output of the script, and $REC_FILE"
    exit ${EXIT_CODE}
    
  3. Digite este comando:

    chmod +x SCRIPT_PATH
    

    Substitua:

    • SCRIPT_PATH: o caminho em que o arquivo de script está localizado. Ele precisa ser executado como raiz. Caso contrário, adicione sudo ao início do comando.
  4. Digite este comando:

    SCRIPT_PATH INSTANCE_IP SHARE_NAME
    

    Substitua:

    • SCRIPT_PATH: o caminho em que o arquivo de script está localizado. Ele precisa ser executado como raiz. Caso contrário, adicione sudo ao início do comando.
    • INSTANCE_IP: o endereço IP do Filestore instância
    • SHARE_NAME: o nome do compartilhamento de arquivos

    Se a porta estiver aberta, o script retornará a seguinte resposta:

    The NLM GRANT message is working properly!
    

    Se a porta não estiver aberta, o script retornará o seguinte erro:

    The NLM GRANT message is not working properly!
    

A seguir