Cómo conectar clientes de NFS

En esta página, se proporcionan instrucciones para conectar clientes NFS.

Antes de comenzar

Instala herramientas de cliente de NFS según el tipo de distribución de Linux para preparar tu cliente:

RedHat

Ejecuta el siguiente comando:

sudo yum install -y nfs-utils

SuSe

Ejecuta el siguiente comando:

sudo yum install -y nfs-utils

Debian

Ejecuta el siguiente comando:

sudo apt-get install nfs-common

Ubuntu

Ejecuta el siguiente comando:

sudo apt-get install nfs-common

Control de acceso de volumen con políticas de exportación

El control de acceso a los volúmenes en NFSv3 y NFSv4.1 se basa en la dirección IP del cliente. La política de exportación del volumen contiene reglas de exportación. Cada regla es una lista de IP o CIDR de red separadas por comas que definen los clientes permitidos habilitados para activar el volumen. Una regla también define el tipo de acceso que tienen los clientes, como Leer y escribir o Solo lectura. Como medida de seguridad adicional, los servidores NFS reasignan el acceso del usuario raíz (UID=0) a nadie (UID=65535), lo que hace que raíz sea un usuario sin privilegios mientras accede a los archivos del volumen. Cuando habilitas Acceso raíz en Activado en la regla de exportación correspondiente, el usuario raíz sigue siendo raíz. El orden de las reglas de exportación es relevante.

Recomendamos las siguientes prácticas recomendadas para las políticas de exportación:

  • Ordena las reglas de exportación de la más específica a la menos específica.

  • Exporta solo a los clientes de confianza, como clientes específicos o CIDR con los clientes de confianza.

  • Limita el acceso raíz a un pequeño grupo de clientes de administración de confianza.

Regla Clientes permitidos Acceso Acceso raíz Descripción
1 10.10.5.3,
10.10.5.9		 Lectura y escritura Activado Clientes de administración El usuario raíz sigue siendo raíz y puede administrar
todos los permisos de archivo.
2 10.10.5.0/24 Lectura y escritura Desactivado Todos los demás clientes de la red 10.10.5.0/24 pueden activar
, pero el acceso de raíz no se asigna a nadie.
3 10.10.6.0/24 Solo lectura Desactivado Otra red puede leer datos del volumen, pero
no escribe.

Después de que un cliente activa un volumen, el acceso a nivel de archivo determina lo que puede hacer un usuario. Para obtener más información, consulta Control de acceso a nivel de archivo de NFS para volúmenes de estilo UNIX.

Instrucciones de activación para clientes de NFS

Usa las siguientes instrucciones para obtener instrucciones de activación para clientes de NFS con la consola de Google Cloud o Google Cloud CLI:

Console

  1. Ve a la página NetApp Volumes en la consola de Google Cloud .

    Ve a NetApp Volumes

  2. Haz clic en Volúmenes.

  3. Haz clic en Mostrar más.

  4. Selecciona Instrucciones de activación.

  5. Sigue las instrucciones de activación que se muestran en la consola de Google Cloud .

  6. Identifica el comando de activación y usa las opciones de activación, a menos que tu carga de trabajo tenga requisitos específicos de opciones de activación.

    Solo NFSv3: Si tu aplicación no usa bloqueos o no configuraste tus clientes para habilitar la comunicación de NSM, te recomendamos que agregues la opción de activación nolock.

gcloud

Busca las instrucciones de activación de un volumen:

 gcloud netapp volumes describe VOLUME_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --format="value(mountOptions.instructions)"

Reemplaza la siguiente información:

  • VOLUME_NAME: el nombre del volumen

  • PROJECT_ID: Es el nombre del proyecto en el que se encuentra el volumen.

  • LOCATION: Es la ubicación del volumen.

Para obtener más información sobre las marcas opcionales adicionales, consulta la documentación del SDK de Google Cloud sobre los volúmenes.

Instrucciones adicionales de NFSv4.1

Cuando habilitas NFSv4.1, los volúmenes con los niveles de servicio Estándar, Premium y Extreme también habilitan NFSv4.2 de forma automática. El comando de activación de Linux siempre activa la versión más alta de NFS disponible, a menos que especifiques la versión que deseas activar. Si quieres activar la activación con NFSv4.1, usa el parámetro -o vers=4.1 en el comando de activación.

En NFSv3, los usuarios y los grupos se identifican mediante IDs de usuario (UID) y IDs de grupo (GID) que se envían a través del protocolo NFSv3. Es importante asegurarse de que el mismo UID y GID representen al mismo usuario y grupo en todos los clientes que acceden al volumen. NFSv4 eliminó la necesidad de realizar un mapeo explícito de UID y GID mediante identificadores de seguridad. Los identificadores de seguridad son cadenas con el formato <username|groupname>@<full_qualified_domain>. Un ejemplo de un identificador de seguridad es bob@example.com. El cliente debe traducir los UID y GID que se usan de forma interna en un identificador de seguridad antes de enviar una solicitud de NFSv4 al servidor. El servidor debe traducir los identificadores de seguridad en UID y GID para una solicitud entrante y viceversa para su respuesta. La ventaja de usar traducciones es que cada cliente y el servidor pueden usar diferentes UID y GID internos. Sin embargo, la desventaja es que todos los clientes y el servidor deben mantener una lista de asignación entre los UID y los GID, y los nombres de usuario y de grupo. La información de asignación en los clientes puede provenir de archivos locales, como /etc/passwd y /etc/groups, o de un directorio LDAP. rpc.idmapd administra la configuración de esta asignación, que debe ejecutarse en tu cliente.

En los volúmenes de NetApp, el LDAP debe proporcionar información de asignación, y Active Directory es el único servidor LDAP compatible con RFC2307bis. Cuando se usa Kerberos para NFSv4, el identificador de seguridad almacena los principales de Kerberos en el formato username@DOMAINNAME, en el que DOMAINNAME (en mayúsculas) se convierte en el nombre del dominio.

IDs numéricos

Para los usuarios que no quieren configurar las asignaciones de nombres y, en su lugar, usan NFSv4 como reemplazo de NFSv3, NFSv4 introdujo una opción llamada numeric ID, que envía cadenas de texto codificadas de UID y GID como identificadores de seguridad. Esto simplifica el proceso de configuración para los usuarios.

Puedes verificar la configuración de tu cliente con el siguiente comando:

     cat /sys/module/nfs/parameters/nfs4_disable_idmapping

El valor predeterminado es Y, que habilita los IDs numéricos. NetApp Volumes admite el uso de IDs numéricos.

Configura rpc.idmapd en el cliente de NFS

Independientemente del tipo de IDs o identificadores de seguridad que uses, es necesario configurar rpc.idmapd en tu cliente de NFS. Si seguiste las instrucciones de instalación de las utilidades cliente en la sección Antes de comenzar, ya debería estar instalado, pero es posible que no se esté ejecutando. Algunas distribuciones lo inician automáticamente con systemd cuando activas los primeros volúmenes NFS. La configuración mínima requerida para rpc.idmapd es configurar el parámetro de configuración del dominio. De lo contrario, el usuario raíz se mostrará como nadie con UID=65535 or 4294967295.

Usa las siguientes instrucciones para configurar rpc.idmapd en tu cliente NFS:

  1. En tu cliente, abre el archivo /etc/idmapd.conf y cambia el parámetro de dominio a uno de los siguientes:

    • Si tu volumen no está habilitado para LDAP, domain = defaultv4iddomain.com.

    • Si tu volumen está habilitado para LDAP, domain = <FDQN_of_Windows_Domain>.

  2. Ejecuta el siguiente comando para activar los cambios en rpc.idmapd:

     nfsidmap -c

Cómo conectar Linux a LDAP

Si usas grupos extendidos de NFSv3 o NFSv4.1 con identificadores de seguridad, configuraste NetApp Volumes para usar tu Active Directory como servidor LDAP con un Active Directory conectado a un grupo de almacenamiento.

Para mantener la información del usuario coherente entre el cliente y el servidor de NFS, es posible que debas configurar el cliente para que use Active Directory como servicio de nombres LDAP para la información del usuario y el grupo.

Usa los siguientes recursos para configurar LDAP:

Cuando uses NFS con Kerberización, es posible que debas usar las guías de implementación que se mencionan en esta sección para configurar LDAP y garantizar la coherencia entre el cliente y el servidor.

¿Qué sigue?

Conecta volúmenes de gran capacidad con varios extremos de almacenamiento.