Ligue clientes NFS

Esta página contém instruções sobre como ligar clientes NFS.

Antes de começar

Instale as ferramentas do cliente NFS com base no tipo de distribuição Linux para preparar o cliente:

RedHat

Execute o seguinte comando:

sudo yum install -y nfs-utils

SuSe

Execute o seguinte comando:

sudo yum install -y nfs-utils

Debian

Execute o seguinte comando:

sudo apt-get install nfs-common

Ubuntu

Execute o seguinte comando:

sudo apt-get install nfs-common

Controlo de acesso ao volume através de políticas de exportação

O controlo de acesso ao volume no NFSv3 e no NFSv4.1 baseia-se no endereço IP do cliente. A política de exportação do volume contém regras de exportação. Cada regra é uma lista separada por vírgulas de IPs ou CIDRs de rede que definem clientes permitidos com autorização para montar o volume. Uma regra também define o tipo de acesso que os clientes têm, como Leitura e escrita ou Só de leitura. Como medida de segurança adicional, os servidores NFS remapeiam o acesso do utilizador root (UID=0) para ninguém (UID=65535), o que torna o root um utilizador sem privilégios ao aceder aos ficheiros no volume. Quando ativa o acesso de raiz como Ativado na respetiva regra de exportação, o utilizador raiz permanece como raiz. A ordem das regras de exportação é relevante.

Recomendamos as seguintes práticas recomendadas para políticas de exportação:

  • Ordene as regras de exportação da mais específica para a menos específica.

  • Exporte apenas para os clientes fidedignos, como clientes específicos ou CIDRs com os clientes fidedignos.

  • Limite o acesso de raiz a um pequeno grupo de clientes de administração fidedignos.

Regra Clientes permitidos Acesso Acesso root Descrição
1 10.10.5.3,
10.10.5.9		 Leitura e escrita Ativado Clientes de administração. O utilizador de raiz permanece como raiz e pode gerir
todas as autorizações de ficheiros.
2 10.10.5.0/24 Leitura e escrita Desativado Todos os outros clientes da rede 10.10.5.0/24 têm autorização para montar,
mas o acesso de administrador é mapeado para ninguém.
3 10.10.6.0/24 Só de leitura Desativado Outra rede tem autorização para ler dados do volume, mas
não pode escrever.

Depois de um cliente montar um volume, o acesso ao nível do ficheiro determina o que um utilizador tem autorização para fazer. Para mais informações, consulte o controlo de acesso ao nível do ficheiro NFS para volumes de estilo UNIX.

Instruções de montagem para clientes NFS

Siga estas instruções para obter instruções de montagem para clientes NFS através da Google Cloud consola ou da Google Cloud CLI:

Consola

  1. Aceda à página Volumes do NetApp na Google Cloud consola.

    Aceda a NetApp Volumes

  2. Clique em Volumes.

  3. Clique em Mostrar mais.

  4. Selecione Instruções de montagem.

  5. Siga as instruções de montagem apresentadas na Google Cloud consola.

  6. Identifique o comando de montagem e use as opções de montagem, a menos que a sua carga de trabalho tenha requisitos específicos de opções de montagem.

    Apenas NFSv3: se a sua aplicação não usar bloqueios ou não tiver configurado os clientes para ativar a comunicação NSM, recomendamos que adicione a opção de montagem nolock.

gcloud

Procure as instruções de montagem de um volume:

 gcloud netapp volumes describe VOLUME_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --format="value(mountOptions.instructions)"

Substitua as seguintes informações:

  • VOLUME_NAME: o nome do volume.

  • PROJECT_ID: o nome do projeto no qual o volume se encontra.

  • LOCATION: a localização do volume.

Para mais informações sobre flags opcionais adicionais, consulte a documentação do Google Cloud SDK sobre volumes.

Instruções adicionais para o NFSv4.1

Quando ativa o NFSv4.1, os volumes com níveis de serviço Standard, Premium e Extreme também ativam automaticamente o NFSv4.2. O comando de montagem do Linux monta sempre a versão NFS mais elevada disponível, a menos que especifique a versão a montar. Se quiser montar com o NFSv4.1, use o parâmetro -o vers=4.1 no comando de montagem.

No NFSv3, os utilizadores e os grupos são identificados por IDs de utilizadores (UID) e IDs de grupos (GID) enviados através do protocolo NFSv3. É importante certificar-se de que o mesmo UID e GID representam o mesmo utilizador e grupo em todos os clientes que acedem ao volume. O NFSv4 eliminou a necessidade de mapeamento explícito de UID e GID através da utilização de identificadores de segurança. Os identificadores de segurança são strings formatadas como <username|groupname>@<full_qualified_domain>. Um exemplo de um identificador de segurança é bob@example.com. O cliente tem de traduzir os UIDs e os GIDs usados internamente num identificador de segurança antes de enviar um pedido NFSv4 para o servidor. O servidor tem de traduzir os identificadores de segurança em UIDs e GIDs para um pedido recebido e vice-versa para a respetiva resposta. A vantagem de usar traduções é que todos os clientes e o servidor podem usar UIDs e GIDs internos diferentes. No entanto, a desvantagem é que todos os clientes e o servidor têm de manter uma lista de mapeamento entre UIDs e GIDs, bem como nomes de utilizadores e grupos. As informações de mapeamento nos clientes podem ser provenientes de ficheiros locais, como /etc/passwd e /etc/groups, ou de um diretório LDAP. A configuração deste mapeamento é gerida pelo rpc.idmapd, que tem de ser executado no seu cliente.

Nos volumes NetApp, o LDAP tem de fornecer informações de mapeamento, sendo o Active Directory o único servidor LDAP compatível com RFC2307bis. Quando usa o Kerberos para NFSv4, o identificador de segurança armazena os principais do Kerberos no formato username@DOMAINNAME, em que DOMAINNAME (em letras maiúsculas) se torna o nome do domínio.

IDs numéricos

Para os utilizadores que não querem configurar os mapeamentos de nomes e, em alternativa, usar o NFSv4 como substituição do NFSv3, o NFSv4 introduziu uma opção denominada numeric ID, que envia strings de texto codificadas de UID e GID como identificadores de segurança. Isto simplifica o processo de configuração para os utilizadores.

Pode verificar a definição do cliente através do seguinte comando:

     cat /sys/module/nfs/parameters/nfs4_disable_idmapping

O valor predefinido é Y, que ativa os IDs numéricos. Os volumes NetApp suportam a utilização de IDs numéricos.

Configure o rpc.idmapd no cliente NFS

Independentemente do tipo de IDs ou identificadores de segurança que usar, é necessário configurar rpc.idmapd no seu cliente NFS. Se seguiu as instruções de instalação para utilitários de cliente na secção Antes de começar , já deve estar instalado, mas pode não estar em execução. Algumas distribuições iniciam-no automaticamente através do systemd quando monta os primeiros volumes NFS. A configuração mínima necessária para o rpc.idmapd é configurar a definição de domínio. Caso contrário, a raiz do utilizador é apresentada como ninguém com UID=65535 or 4294967295.

Siga as instruções abaixo para configurar o rpc.idmapd no seu cliente NFS:

  1. No cliente, abra o ficheiro /etc/idmapd.conf e altere o parâmetro de domínio para um dos seguintes:

    • Se o volume não estiver ativado para o LDAP, domain = defaultv4iddomain.com.

    • Se o volume estiver ativado para LDAP, domain = <FDQN_of_Windows_Domain>.

  2. Execute o seguinte comando para ativar as alterações ao rpc.idmapd:

     nfsidmap -c

Suporte de NFSv4.2

Os níveis de serviço Standard, Premium e Extreme suportam agora o protocolo NFSv4.2, além do NFSv4.1, em volumes que já têm o NFSv4.1 ativado.

Ao montar um volume NFS, o comando de montagem do Linux seleciona automaticamente a versão NFS mais elevada disponível. A montagem de um volume com NFSv4.1 ativado é feita automaticamente com o NFSv4.2, a menos que a opção de montagem vers=4.1 seja especificada explicitamente.

Os volumes NetApp suportam atributos alargados NFS xattrs com NFSv4.2. A utilização e as limitações da xattrs, conforme detalhado na TR-4962, também se aplicam.

Ligue o Linux ao LDAP

Se estiver a usar grupos alargados NFSv3 ou NFSv4.1 com identificadores de segurança, configurou volumes NetApp para usar o seu Active Directory como servidor LDAP através de um Active Directory anexado a um conjunto de armazenamento.

Para manter informações de utilizador consistentes entre o cliente e o servidor NFS, pode ter de configurar o cliente para usar o Active Directory como serviço de nomes LDAP para informações de utilizadores e grupos.

Use os seguintes recursos para configurar o LDAP:

Quando usar o NFS Kerberized, pode ter de usar os guias de implementação mencionados nesta secção para configurar o LDAP e garantir a consistência entre o cliente e o servidor.

O que se segue?

Associe volumes de grande capacidade com vários pontos finais de armazenamento.