NFS-Clients verbinden

Auf dieser Seite finden Sie eine Anleitung zum Verbinden von NFS-Clients.

Hinweise

Installieren Sie NFS-Clienttools entsprechend Ihrer Linux-Distribution, um Ihren Client vorzubereiten:

RedHat

Führen Sie dazu diesen Befehl aus:

sudo yum install -y nfs-utils

SuSe

Führen Sie dazu diesen Befehl aus:

sudo yum install -y nfs-utils

Debian

Führen Sie dazu diesen Befehl aus:

sudo apt-get install nfs-common

Ubuntu

Führen Sie dazu diesen Befehl aus:

sudo apt-get install nfs-common

Zugriffssteuerung für Volumes mithilfe von Exportrichtlinien

Die Zugriffssteuerung für Volumes in NFSv3 und NFSv4.1 basiert auf der IP-Adresse des Clients. Die Exportrichtlinie des Volumes enthält Exportregeln. Jede Regel ist eine kommagetrennte Liste von IP-Adressen oder Netzwerk-CIDRs, die zugelassene Clients definieren, die das Volume bereitstellen dürfen. Eine Regel definiert auch die Art des Zugriffs, den die Clients haben, z. B. Lesen und Schreiben oder Nur Lesen. Als zusätzliche Sicherheitsmaßnahme ordnen NFS-Server den Zugriff vom Root-Nutzer (UID=0) dem Nutzer „niemand“ (UID=65535) zu. Dadurch wird „root“ zu einem Nutzer ohne Berechtigungen, wenn er auf die Dateien im Volume zugreift. Wenn Sie in der entsprechenden Exportregel Root-Zugriff auf An setzen, bleibt der Root-Nutzer Root-Nutzer. Die Reihenfolge der Exportregeln ist wichtig.

Wir empfehlen die folgenden Best Practices für Exportrichtlinien:

  • Sortieren Sie die Exportregeln vom spezifischsten zum am wenigsten spezifischen.

  • Exportieren Sie nur an die vertrauenswürdigen Clients, z. B. an bestimmte Clients oder CIDRs mit den vertrauenswürdigen Clients.

  • Beschränken Sie den Root-Zugriff auf eine kleine Gruppe vertrauenswürdiger Administratorclients.

Regel Zulässige Clients Zugriff Root-Zugriff Beschreibung
1 10.10.5.3,
10.10.5.9		 Lesen und Schreiben An Administratoren Der Root-Nutzer bleibt Root-Nutzer und kann alle Dateiberechtigungen verwalten.
2 10.10.5.0/24 Lesen und Schreiben Aus Alle anderen Clients aus dem Netzwerk 10.10.5.0/24 dürfen bereitgestellt werden,
der Root-Zugriff wird jedoch keinem Nutzer zugeordnet.
3 10.10.6.0/24 Schreibgeschützt: Aus Ein anderes Netzwerk darf Daten aus dem Volume lesen,
aber nicht darauf schreiben.

Nachdem ein Client ein Volume bereitgestellt hat, wird durch den Zugriff auf Dateiebene festgelegt, was ein Nutzer tun darf. Weitere Informationen finden Sie unter NFS-Dateizugriffssteuerung auf Dateiebene für Volumes im UNIX-Format.

Anleitung zum Bereitstellen für NFS-Clients

In der folgenden Anleitung finden Sie Informationen zum Bereitstellen von NFS-Clients mit der Google Cloud Console oder der Google Cloud CLI:

Konsole

  1. Rufen Sie in der Google Cloud -Konsole die Seite NetApp-Volumes auf.

    NetApp Volumes aufrufen

  2. Klicken Sie auf Volumes.

  3. Klicken Sie auf  Mehr anzeigen.

  4. Wählen Sie Bereitstellungsanleitung aus.

  5. Folgen Sie der Anleitung zum Bereitstellen in der Google Cloud Console.

  6. Geben Sie den Bereitstellungsbefehl an und verwenden Sie die Bereitstellungsoptionen, sofern Ihre Arbeitslast keine spezifischen Anforderungen an die Bereitstellungsoptionen hat.

    Nur NFSv3: Wenn Ihre Anwendung keine Sperren verwendet oder Sie Ihre Clients nicht so konfiguriert haben, dass die NSM-Kommunikation aktiviert wird, empfehlen wir, die Bereitstellungsoption nolock hinzuzufügen.

gcloud

Rufen Sie die Bereitstellungsanleitung für ein Volume auf:

 gcloud netapp volumes describe VOLUME_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --format="value(mountOptions.instructions)"

Ersetzen Sie die folgenden Informationen:

  • VOLUME_NAME ist der Name des Volumes.

  • PROJECT_ID: der Name des Projekts, in dem sich das Volume befindet.

  • LOCATION: Speicherort des Volumes.

Weitere Informationen zu zusätzlichen optionalen Flags finden Sie in der Google Cloud SDK-Dokumentation zu Volumes.

Zusätzliche Anleitungen für NFSv4.1

Wenn Sie NFSv4.1 aktivieren, wird für Volumes mit den Dienstebenen „Standard“, „Premium“ und „Extreme“ automatisch auch NFSv4.2 aktiviert. Mit dem Linux-Bereitstellungsbefehl wird immer die höchste verfügbare NFS-Version bereitgestellt, es sei denn, Sie geben die bereitzustellende Version an. Wenn Sie mit NFSv4.1 bereitstellen möchten, verwenden Sie den Parameter -o vers=4.1 in Ihrem Bereitstellungsbefehl.

In NFSv3 werden Nutzer und Gruppen anhand von Nutzer-IDs (UID) und Gruppen-IDs (GID) identifiziert, die über das NFSv3-Protokoll gesendet werden. Es ist wichtig, dass dieselbe UID und dieselbe GID auf allen Clients, die auf das Volume zugreifen, für denselben Nutzer und dieselbe Gruppe stehen. Bei NFSv4 ist keine explizite Zuordnung von UID und GID mehr erforderlich, da Sicherheits-IDs verwendet werden. Sicherheits-IDs sind Strings, die als <username|groupname>@<full_qualified_domain> formatiert sind. Ein Beispiel für eine Sicherheits-ID ist bob@example.com. Der Client muss die intern verwendeten UIDs und GIDs in eine Sicherheits-ID umwandeln, bevor er eine NFSv4-Anfrage an den Server sendet. Der Server muss die Sicherheits-IDs für eine eingehende Anfrage in UIDs und GIDs umwandeln und umgekehrt für die Antwort. Der Vorteil der Verwendung von Übersetzungen besteht darin, dass jeder Client und der Server unterschiedliche interne UIDs und GIDs verwenden können. Der Nachteil besteht jedoch darin, dass alle Clients und der Server eine Zuordnungsliste zwischen UIDs und GIDs sowie Nutzer- und Gruppennamen verwalten müssen. Die Zuordnungsinformationen auf Clients können aus lokalen Dateien wie /etc/passwd und /etc/groups oder einem LDAP-Verzeichnis stammen. Die Konfiguration dieser Zuordnung wird von rpc.idmapd verwaltet, das auf Ihrem Client ausgeführt werden muss.

Bei NetApp-Volumes muss der LDAP-Server Zuordnungsinformationen bereitstellen. Active Directory ist der einzige unterstützte RFC2307bis-kompatible LDAP-Server. Bei der Verwendung von Kerberos für NFSv4 werden Kerberos-Prinzipale im Format username@DOMAINNAME in der Sicherheits-ID gespeichert. Dabei wird DOMAINNAME (in Großbuchstaben) zum Bereichsnamen.

Numerische IDs

Für Nutzer, die die Namenszuordnungen nicht konfigurieren und stattdessen NFSv4 als Ersatz für NFSv3 verwenden möchten, wurde in NFSv4 die Option numeric ID eingeführt. Dabei werden UID- und GID-codierte Textstrings als Sicherheits-IDs gesendet. Das vereinfacht die Konfiguration für Nutzer.

Sie können Ihre Clienteinstellung mit dem folgenden Befehl prüfen:

     cat /sys/module/nfs/parameters/nfs4_disable_idmapping

Der Standardwert ist Y, wodurch numerische IDs aktiviert werden. NetApp Volumes unterstützt die Verwendung numerischer IDs.

rpc.idmapd auf dem NFS-Client konfigurieren

Unabhängig von der Art der verwendeten IDs oder Sicherheits-IDs müssen Sie rpc.idmapd auf Ihrem NFS-Client konfigurieren. Wenn Sie der Installationsanleitung für Client-Dienstprogramme im Abschnitt Vorbereitung gefolgt sind, sollte es bereits installiert sein, aber möglicherweise nicht ausgeführt werden. Bei einigen Distributionen wird es automatisch mit systemd gestartet, wenn Sie die ersten NFS-Volumes bereitstellen. Für rpc.idmapd ist mindestens die Domaineinstellung erforderlich. Andernfalls wird der Nutzer „root“ als „nobody“ mit UID=65535 or 4294967295 angezeigt.

So konfigurieren Sie rpc.idmapd auf Ihrem NFS-Client:

  1. Öffnen Sie auf Ihrem Client die Datei /etc/idmapd.conf und ändern Sie den Domainparameter in einen der folgenden Werte:

    • Wenn Ihr Volume nicht für LDAP aktiviert ist, domain = defaultv4iddomain.com.

    • Wenn Ihr Volume für LDAP aktiviert ist, domain = <FDQN_of_Windows_Domain>.

  2. Aktivieren Sie die Änderungen an rpc.idmapd mit dem folgenden Befehl:

     nfsidmap -c

Linux mit LDAP verbinden

Wenn Sie erweiterte NFSv3-Gruppen oder NFSv4.1 mit Sicherheits-IDs verwenden, haben Sie NetApp-Volumes so konfiguriert, dass Ihr Active Directory als LDAP-Server verwendet wird. Dabei wird ein Active Directory mit einem Speicherpool verbunden.

Damit die Nutzerinformationen zwischen NFS-Client und ‑Server konsistent sind, müssen Sie Ihren Client möglicherweise so konfigurieren, dass er Active Directory als LDAP-Namensdienst für Nutzer- und Gruppeninformationen verwendet.

Verwenden Sie die folgenden Ressourcen, um LDAP zu konfigurieren:

Wenn Sie Kerberized NFS verwenden, müssen Sie möglicherweise die in diesem Abschnitt erwähnten Bereitstellungsanleitungen verwenden, um LDAP zu konfigurieren und für Konsistenz zwischen Client und Server zu sorgen.

Nächste Schritte

Volumes mit hoher Kapazität mit mehreren Speicherendpunkten verbinden