Cette page a été traduite par l'API Cloud Translation.

Connecter des clients NFS

Cette page explique comment connecter des clients NFS.

Avant de commencer

Installez les outils client NFS en fonction de votre type de distribution Linux pour préparer votre client:

RedHat

Exécutez la commande suivante :

sudo yum install -y nfs-utils

SuSe

Exécutez la commande suivante :

sudo yum install -y nfs-utils

Debian

Exécutez la commande suivante :

sudo apt-get install nfs-common

Ubuntu

Exécutez la commande suivante :

sudo apt-get install nfs-common

Contrôle des accès aux volumes à l'aide de règles d'exportation

Le contrôle des accès aux volumes dans NFSv3 et NFSv4.1 est basé sur l'adresse IP du client. La stratégie d'exportation du volume contient des règles d'exportation. Chaque règle est une liste d'adresses IP ou de réseaux CIDR séparés par une virgule qui définit les clients autorisés à monter le volume. Une règle définit également le type d'accès dont disposent les clients, par exemple Lecture et écriture ou Lecture seule. Par mesure de sécurité supplémentaire, les serveurs NFS remappent l'accès de l'utilisateur racine (UID=0) sur "nobody" (UID=65535), ce qui fait de l'utilisateur racine un utilisateur non privilégié lorsqu'il accède aux fichiers du volume. Lorsque vous activez l'accès root sur Activé dans la règle d'exportation correspondante, l'utilisateur root reste root. L'ordre des règles d'exportation est important.

Nous vous recommandons de respecter les bonnes pratiques suivantes concernant les règles d'exportation:

Triez les règles d'exportation de la plus spécifique à la moins spécifique.
Exportez uniquement vers les clients approuvés, tels que des clients spécifiques ou des plages CIDR avec les clients approuvés.
Limitez l'accès root à un petit groupe de clients d'administration approuvés.

Règle	Clients autorisés	Accès	Accès root	Description
1	10.10.5.3, 10.10.5.9	Lecture & écriture	Activé	Clients d'administration. L'utilisateur racine reste racine et peut gérer toutes les autorisations de fichier.
2	10.10.5.0/24	Lecture & écriture	Désactivé	Tous les autres clients du réseau 10.10.5.0/24 sont autorisés à effectuer un montage, mais l'accès racine est mappé sur "nobody".
3	10.10.6.0/24	En lecture seule	Désactivé	Un autre réseau est autorisé à lire les données du volume, mais aucune écriture n'est autorisée.

Une fois qu'un client a installé un volume, l'accès au niveau des fichiers détermine ce qu'un utilisateur est autorisé à faire. Pour en savoir plus, consultez la section Contrôle des accès au niveau des fichiers NFS pour les volumes de type UNIX.

Instructions d'installation pour les clients NFS

Suivez les instructions ci-dessous pour obtenir des instructions d'installation pour les clients NFS à l'aide de la console Google Cloud ou de la Google Cloud CLI:

Console

Accédez à la page Volumes NetApp dans la console Google Cloud .

Accéder à NetApp Volumes
Cliquez sur Volumes.
Cliquez sur Afficher plus.
Sélectionnez Instructions d'installation.
Suivez les instructions d'installation affichées dans la console Google Cloud .
Identifiez la commande d'installation et utilisez les options d'installation, sauf si votre charge de travail a des exigences d'options d'installation spécifiques.

NFSv3 uniquement: si votre application n'utilise pas de verrous ou que vous n'avez pas configuré vos clients pour activer la communication NSM, nous vous recommandons d'ajouter l'option de montage nolock.

gcloud

Recherchez les instructions d'installation d'un volume:

 gcloud netapp volumes describe VOLUME_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --format="value(mountOptions.instructions)"

Remplacez les informations suivantes:

VOLUME_NAME : nom du volume.
PROJECT_ID: nom du projet dans lequel se trouve le volume.
LOCATION: emplacement du volume.

Pour en savoir plus sur les autres options facultatives, consultez la documentation du SDK Google Cloud sur les volumes.

Instructions supplémentaires pour NFSv4.1

Lorsque vous activez NFSv4.1, les volumes avec les niveaux de service Standard, Premium et Extreme activent également automatiquement NFSv4.2. La commande d'installation Linux installe toujours la version NFS la plus élevée disponible, sauf si vous spécifiez la version à installer. Si vous souhaitez installer avec NFSv4.1, utilisez le paramètre -o vers=4.1 dans votre commande d'installation.

Dans NFSv3, les utilisateurs et les groupes sont identifiés par des ID utilisateur (UID) et des ID de groupe (GID) envoyés via le protocole NFSv3. Il est important de s'assurer que le même UID et le même GID représentent le même utilisateur et le même groupe sur tous les clients accédant au volume. NFSv4 a supprimé le besoin de mappage explicite des UID et des GID en utilisant des identifiants de sécurité. Les identifiants de sécurité sont des chaînes au format <username|groupname>@<full_qualified_domain>. bob@example.com est un exemple d'identifiant de sécurité. Le client doit traduire les UID et les GID utilisés en interne en identifiant de sécurité avant d'envoyer une requête NFSv4 au serveur. Le serveur doit traduire les identifiants de sécurité en UID et GID pour une requête entrante, et inversement pour sa réponse. L'avantage d'utiliser des traductions est que chaque client et le serveur peuvent utiliser différents UID et GID internes. Cependant, l'inconvénient est que tous les clients et le serveur doivent gérer une liste de mappage entre les UID et les GID, ainsi que les noms d'utilisateur et de groupe. Les informations de mappage sur les clients peuvent provenir de fichiers locaux tels que /etc/passwd et /etc/groups, ou d'un répertoire LDAP. La configuration de ce mappage est gérée par rpc.idmapd, qui doit s'exécuter sur votre client.

Sur les volumes NetApp, le LDAP doit fournir des informations de mappage, et Active Directory est le seul serveur LDAP compatible avec la RFC2307bis. Lorsque vous utilisez Kerberos pour NFSv4, l'identifiant de sécurité stocke les principaux Kerberos au format username@DOMAINNAME, où DOMAINNAME (en majuscules) devient le nom du domaine.

ID numériques

Pour les utilisateurs qui ne souhaitent pas configurer les mappages de noms et utiliser NFSv4 à la place de NFSv3, NFSv4 a introduit une option appelée numeric ID, qui envoie des chaînes de texte encodées en UID et GID en tant qu'identifiants de sécurité. Cela simplifie le processus de configuration pour les utilisateurs.

Vous pouvez vérifier le paramètre de votre client à l'aide de la commande suivante:

     cat /sys/module/nfs/parameters/nfs4_disable_idmapping

La valeur par défaut est Y, ce qui active les ID numériques. NetApp Volumes accepte l'utilisation d'ID numériques.

Configurer rpc.idmapd sur le client NFS

Quel que soit le type d'ID ou d'identifiants de sécurité que vous utilisez, vous devez configurer rpc.idmapd sur votre client NFS. Si vous avez suivi les instructions d'installation des utilitaires client dans la section Avant de commencer, ils devraient déjà être installés, mais ils ne s'exécutent peut-être pas. Certaines distributions le démarrent automatiquement à l'aide de systemd lorsque vous installez les premiers volumes NFS. La configuration minimale requise pour rpc.idmapd consiste à configurer le paramètre de domaine. Sinon, l'utilisateur racine s'affichera comme "nobody" avec UID=65535 or 4294967295.

Suivez les instructions suivantes pour configurer rpc.idmapd sur votre client NFS:

Sur votre client, ouvrez le fichier /etc/idmapd.conf et remplacez le paramètre de domaine par l'un des éléments suivants:
- Si votre volume n'est pas activé pour LDAP, domain = defaultv4iddomain.com.
- Si votre volume est activé pour LDAP, domain = <FDQN_of_Windows_Domain>.
Activez les modifications apportées à rpc.idmapd en exécutant la commande suivante:
```
 nfsidmap -c
```

Connecter Linux à LDAP

Si vous utilisez des groupes étendus NFSv3 ou NFSv4.1 avec des identifiants de sécurité, vous avez configuré NetApp Volumes pour qu'il utilise votre Active Directory comme serveur LDAP à l'aide d'un Active Directory associé à un pool de stockage.

Pour maintenir des informations utilisateur cohérentes entre le client NFS et le serveur, vous devrez peut-être configurer votre client pour qu'il utilise Active Directory comme service de noms LDAP pour les informations sur les utilisateurs et les groupes.

Utilisez les ressources suivantes pour configurer LDAP:

Lorsque vous utilisez NFS Kerberized, vous devrez peut-être utiliser les guides de déploiement mentionnés dans cette section pour configurer LDAP et assurer la cohérence entre le client et le serveur.

Étape suivante

Associez des volumes de grande capacité à plusieurs points de terminaison de stockage.