Menghubungkan klien NFS

Halaman ini memberikan petunjuk cara menghubungkan klien NFS.

Sebelum memulai

Instal alat klien NFS berdasarkan jenis distribusi Linux untuk menyiapkan klien:

RedHat

Jalankan perintah berikut:

sudo yum install -y nfs-utils

SuSe

Jalankan perintah berikut:

sudo yum install -y nfs-utils

Debian

Jalankan perintah berikut:

sudo apt-get install nfs-common

Ubuntu

Jalankan perintah berikut:

sudo apt-get install nfs-common

Kontrol akses volume menggunakan kebijakan ekspor

Kontrol akses volume di NFSv3 dan NFSv4.1 didasarkan pada alamat IP klien. Kebijakan ekspor volume berisi aturan ekspor. Setiap aturan adalah daftar IP atau CIDR jaringan yang dipisahkan koma yang menentukan Klien yang Diizinkan yang diaktifkan untuk memasang volume. Aturan juga menentukan jenis akses yang dimiliki klien seperti Baca & Tulis atau Hanya Baca. Sebagai tindakan pengamanan tambahan, server NFS akan memetakan ulang akses dari pengguna root (UID=0) ke nobody (UID=65535), yang akan menjadikan root sebagai pengguna tanpa hak istimewa saat mengakses file di volume. Saat Anda mengaktifkan Akses Root ke Aktif di aturan ekspor masing-masing, pengguna root akan tetap menjadi root. Urutan aturan ekspor relevan.

Kami merekomendasikan praktik terbaik berikut untuk kebijakan ekspor:

  • Urutkan aturan ekspor dari yang paling spesifik hingga yang paling tidak spesifik.

  • Hanya ekspor ke klien tepercaya, seperti klien atau CIDR tertentu dengan klien tepercaya.

  • Batasi akses root ke sekelompok kecil klien administrasi tepercaya.

Aturan Klien yang diizinkan Akses Akses root Deskripsi
1 10.10.5.3,
10.10.5.9		 Baca & Tulis Aktif Klien administrasi. Pengguna root tetap menjadi root dan dapat mengelola
semua izin file.
2 10.10.5.0/24 Baca & Tulis Nonaktif Semua klien lain dari jaringan 10.10.5.0/24 diizinkan untuk melakukan pemasangan,
tetapi akses root dipetakan ke nobody.
3 10.10.6.0/24 Hanya Baca Nonaktif Jaringan lain diizinkan untuk membaca data dari volume, tetapi
tidak ada operasi tulis.

Setelah klien memasang volume, akses tingkat file akan menentukan tindakan yang diizinkan pengguna. Untuk informasi selengkapnya, lihat Kontrol akses tingkat file NFS untuk volume bergaya UNIX.

Petunjuk pemasangan untuk klien NFS

Gunakan petunjuk berikut untuk mendapatkan petunjuk pemasangan bagi klien NFS menggunakan konsol Google Cloud atau Google Cloud CLI:

Konsol

  1. Buka halaman NetApp Volumes di konsol Google Cloud .

    Buka NetApp Volumes

  2. Klik Volume.

  3. Klik Tampilkan lainnya.

  4. Pilih Petunjuk pemasangan.

  5. Ikuti petunjuk pemasangan yang ditampilkan di konsol Google Cloud .

  6. Identifikasi perintah mount dan gunakan opsi mount kecuali jika workload Anda memiliki persyaratan opsi mount tertentu.

    Khusus NFSv3: jika aplikasi Anda tidak menggunakan kunci atau Anda tidak mengonfigurasi klien untuk mengaktifkan komunikasi NSM, sebaiknya tambahkan opsi pemasangan nolock.

gcloud

Cari petunjuk pemasangan untuk volume:

 gcloud netapp volumes describe VOLUME_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --format="value(mountOptions.instructions)"

Ganti informasi berikut:

  • VOLUME_NAME: nama volume.

  • PROJECT_ID: nama project tempat volume berada.

  • LOCATION: lokasi volume.

Untuk informasi selengkapnya tentang flag opsional tambahan, lihat dokumentasi Google Cloud SDK tentang volume.

Petunjuk NFSv4.1 tambahan

Saat Anda mengaktifkan NFSv4.1, volume dengan tingkat layanan Standar, Premium, dan Extreme juga akan otomatis mengaktifkan NFSv4.2. Perintah pemasangan Linux selalu memasang NFS versi tertinggi yang tersedia, kecuali jika Anda menentukan versi yang akan dipasang. Jika Anda ingin melakukan pemasangan dengan NFSv4.1, gunakan parameter -o vers=4.1 dalam perintah pemasangan.

Di NFSv3, pengguna dan grup diidentifikasi oleh ID pengguna (UID) dan ID grup (GID) yang dikirim melalui protokol NFSv3. Pastikan UID dan GID yang sama mewakili pengguna dan grup yang sama di semua klien yang mengakses volume. NFSv4 menghilangkan kebutuhan pemetaan UID dan GID eksplisit dengan menggunakan ID keamanan. ID keamanan adalah string yang diformat sebagai <username|groupname>@<full_qualified_domain>. Contoh ID keamanan adalah bob@example.com. Klien perlu menerjemahkan UID dan GID yang digunakan secara internal menjadi ID keamanan sebelum mengirim permintaan NFSv4 ke server. Server perlu menerjemahkan ID keamanan menjadi UID dan GID untuk permintaan masuk dan sebaliknya untuk responsnya. Keuntungan menggunakan terjemahan adalah setiap klien dan server dapat menggunakan UID dan GID internal yang berbeda. Namun, kelemahannya adalah semua klien dan server harus mempertahankan daftar pemetaan antara UID dan GID, serta nama pengguna dan grup. Informasi pemetaan di klien dapat berasal dari file lokal seperti /etc/passwd dan /etc/groups atau direktori LDAP. Konfigurasi pemetaan ini dikelola oleh rpc.idmapd, yang harus berjalan di klien Anda.

Di Volume NetApp, LDAP harus memberikan informasi pemetaan, dengan Active Directory sebagai satu-satunya server LDAP yang kompatibel dengan RFC2307bis yang didukung. Saat menggunakan Kerberos untuk NFSv4, ID keamanan menyimpan akun utama Kerberos dalam format username@DOMAINNAME, dengan DOMAINNAME (dalam huruf kapital) menjadi nama realm.

ID Numerik

Untuk pengguna yang tidak ingin mengonfigurasi pemetaan nama dan sebagai gantinya menggunakan NFSv4 sebagai pengganti NFSv3, NFSv4 telah memperkenalkan opsi yang disebut numeric ID, yang mengirimkan string teks yang dienkode UID dan GID sebagai ID keamanan. Hal ini menyederhanakan proses konfigurasi bagi pengguna.

Anda dapat memeriksa setelan klien menggunakan perintah berikut:

     cat /sys/module/nfs/parameters/nfs4_disable_idmapping

Nilai defaultnya adalah Y, yang mengaktifkan ID numerik. NetApp Volumes mendukung penggunaan ID numerik.

Mengonfigurasi rpc.idmapd di klien NFS

Terlepas dari jenis ID atau ID keamanan yang Anda gunakan, Anda harus mengonfigurasi rpc.idmapd di klien NFS. Jika Anda mengikuti petunjuk penginstalan untuk utilitas klien di bagian Sebelum memulai, utility tersebut seharusnya sudah diinstal, tetapi mungkin tidak berjalan. Beberapa distribusi memulainya secara otomatis menggunakan systemd saat Anda memasang volume NFS pertama. Konfigurasi minimum yang diperlukan untuk rpc.idmapd adalah menyiapkan setelan domain. Jika tidak, root pengguna akan ditampilkan sebagai nobody dengan UID=65535 or 4294967295.

Gunakan petunjuk berikut untuk mengonfigurasi rpc.idmapd di klien NFS Anda:

  1. Di klien, buka file /etc/idmapd.conf dan ubah parameter domain ke salah satu dari berikut ini:

    • Jika volume Anda tidak diaktifkan untuk LDAP, domain = defaultv4iddomain.com.

    • Jika volume Anda diaktifkan untuk LDAP, domain = <FDQN_of_Windows_Domain>.

  2. Aktifkan perubahan pada rpc.idmapd dengan menjalankan perintah berikut:

     nfsidmap -c

Menghubungkan Linux ke LDAP

Jika menggunakan grup yang diperluas NFSv3 atau NFSv4.1 dengan ID keamanan, Anda telah mengonfigurasi Volume NetApp untuk menggunakan Active Directory sebagai server LDAP menggunakan Active Directory yang dilampirkan ke penyimpanan pool.

Untuk mempertahankan informasi pengguna yang konsisten antara klien dan server NFS, Anda mungkin perlu mengonfigurasi klien untuk menggunakan Active Directory sebagai layanan nama LDAP untuk informasi pengguna dan grup.

Gunakan referensi berikut untuk mengonfigurasi LDAP:

Saat menggunakan NFS Kerberized, Anda mungkin perlu menggunakan panduan deployment yang disebutkan di bagian ini untuk mengonfigurasi LDAP dan memastikan konsistensi antara klien dan server.

Langkah selanjutnya

Menghubungkan volume berkapasitas besar dengan beberapa endpoint penyimpanan.