Questa pagina fornisce istruzioni su come connettere i client NFS.
Prima di iniziare
Installa gli strumenti client NFS in base al tipo di distribuzione Linux per preparare il client:
RedHat
Esegui questo comando:
sudo yum install -y nfs-utils
SuSe
Esegui questo comando:
sudo yum install -y nfs-utils
Debian
Esegui questo comando:
sudo apt-get install nfs-common
Ubuntu
Esegui questo comando:
sudo apt-get install nfs-common
Controllo dell'accesso ai volumi utilizzando i criteri di esportazione
Controllo dell'accesso ai volumi in NFSv3 e NFSv4.1 si basa sull'indirizzo IP del client.
Il criterio di esportazione del volume contiene le regole di esportazione. Ogni regola è un elenco di indirizzi IP o CIDR di rete separati da virgole che definiscono i client autorizzati abilitati a montare il volume. Una regola definisce anche il tipo di accesso dei client, ad esempio Lettura e scrittura o Sola lettura. Come misura di sicurezza aggiuntiva, i server NFS rimappano l'accesso dall'utente root (UID=0) a nobody (UID=65535), il che rende root un utente senza privilegi durante l'accesso ai file sul volume. Quando attivi Accesso root su On nella rispettiva regola di esportazione, l'utente root rimane root. L'ordine delle regole di esportazione è rilevante.
Consigliamo le seguenti best practice per i criteri di esportazione:
Ordina le regole di esportazione dalla più specifica alla meno specifica.
Esporta solo nei client attendibili, ad esempio client o CIDR specifici con i client attendibili.
Limita l'accesso root a un piccolo gruppo di client di amministrazione attendibili.
| Regola | Client consentiti | Accesso | Accesso root | Descrizione |
|---|---|---|---|---|
| 1 | 10.10.5.3,
10.10.5.9 |
Lettura e scrittura | On | Client di amministrazione. L'utente root rimane root e può gestire tutte le autorizzazioni dei file. |
| 2 | 10.10.5.0/24 | Lettura e scrittura | Off | Tutti gli altri client della rete 10.10.5.0/24 sono autorizzati a eseguire il montaggio,
ma l'accesso root viene mappato a nessuno. |
| 3 | 10.10.6.0/24 | Sola lettura | Off | Un'altra rete è autorizzata a leggere i dati dal volume, ma
non può scrivere. |
Dopo che un client ha montato un volume, l'accesso a livello di file determina cosa è consentito fare a un utente. Per ulteriori informazioni, consulta Controllo dell'controllo dell'accesso a livello di file NFS per i volumi in stile UNIX.
Istruzioni di montaggio per i client NFS
Utilizza le seguenti istruzioni per ottenere le istruzioni di montaggio per i client NFS utilizzando la console Google Cloud o Google Cloud CLI:
Console
Vai alla pagina Volumi NetApp nella console Google Cloud .
Fai clic su Volumi.
Fai clic su Mostra altro.
Seleziona Istruzioni di montaggio.
Segui le istruzioni di montaggio riportate nella console Google Cloud .
Identifica il comando di montaggio e utilizza le opzioni di montaggio, a meno che il tuo carico di lavoro non abbia requisiti specifici per le opzioni di montaggio.
Solo NFSv3: se la tua applicazione non utilizza i blocchi o non hai configurato i client per abilitare la comunicazione NSM, ti consigliamo di aggiungere l'opzione di montaggio
nolock.
gcloud
Cerca le istruzioni di montaggio per un volume:
gcloud netapp volumes describe VOLUME_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --format="value(mountOptions.instructions)"
Sostituisci le seguenti informazioni:
VOLUME_NAME: il nome del volume.PROJECT_ID: il nome del progetto in cui si trova il volume.LOCATION: la posizione del volume.
Per ulteriori informazioni su altri flag facoltativi, consulta la documentazione dell'SDK Google Cloud sui volumi.
Istruzioni aggiuntive per NFSv4.1
Quando attivi NFSv4.1, anche i volumi con i livelli di servizio Standard, Premium ed Extreme attivano automaticamente NFSv4.2. Il comando mount di Linux monta sempre la versione NFS più recente disponibile, a meno che non specifichi la versione da montare. Se
vuoi eseguire il montaggio con NFSv4.1, utilizza il parametro -o vers=4.1 nel comando mount.
In NFSv3, gli utenti e i gruppi sono identificati dagli ID utente (UID) e dagli ID gruppo (GID)
inviati tramite il protocollo NFSv3. È importante assicurarsi che gli stessi UID e GID rappresentino lo stesso utente e gruppo su tutti i client che accedono al volume. NFSv4
ha eliminato la necessità di una mappatura esplicita di UID e GID utilizzando gli identificatori di sicurezza.
Gli identificatori di sicurezza sono stringhe formattate come <username|groupname>@<full_qualified_domain>.
Un esempio di identificatore di sicurezza è bob@example.com.
Il client deve tradurre gli UID e i GID utilizzati internamente in un identificatore di sicurezza
prima di inviare una richiesta NFSv4 al server. Il server deve tradurre gli identificatori di sicurezza in UID e GID per una richiesta in entrata e viceversa per la risposta. Il vantaggio dell'utilizzo delle traduzioni è che ogni client e il server possono utilizzare UID e GID interni diversi.
Tuttavia, lo svantaggio è che tutti i client e il server devono gestire un elenco di mappatura tra UID e GID, nonché nomi di utenti e gruppi. Le informazioni sulla mappatura sui client possono provenire da file locali come /etc/passwd e
/etc/groups o da una directory LDAP. La configurazione di questa mappatura è gestita da rpc.idmapd, che deve essere eseguito sul client.
Nei volumi NetApp, LDAP deve fornire informazioni di mappatura,
con Active Directory come unico server LDAP compatibile con RFC2307bis supportato.
Quando utilizzi Kerberos per NFSv4, l'identificatore di sicurezza memorizza le entità Kerberos nel formato username@DOMAINNAME, dove DOMAINNAME (in lettere maiuscole) diventa il nome del realm.
ID numerici
Per gli utenti che non vogliono configurare le mappature dei nomi e preferiscono utilizzare NFSv4 come sostituto di NFSv3, NFSv4 ha introdotto un'opzione chiamata numeric ID, che invia stringhe di testo codificate UID e GID come identificatori di sicurezza. In questo modo, la procedura di configurazione viene semplificata per gli utenti.
Puoi controllare l'impostazione del client utilizzando il seguente comando:
cat /sys/module/nfs/parameters/nfs4_disable_idmapping
Il valore predefinito è Y, che attiva gli ID numerici. NetApp Volumes supporta l'utilizzo di ID numerici.
Configura rpc.idmapd sul client NFS
Indipendentemente dal tipo di ID o identificatori di sicurezza che utilizzi, è necessario configurare rpc.idmapd sul client NFS. Se hai seguito le istruzioni di installazione per le utilità client nella sezione Prima di iniziare, dovrebbe essere già installato, ma potrebbe non essere in esecuzione. Alcune distribuzioni lo avviano automaticamente utilizzando systemd quando monti i primi volumi NFS. La configurazione minima richiesta per rpc.idmapd è impostare
l'impostazione del dominio. In caso contrario, l'utente root verrà visualizzato come nessuno con
UID=65535 or 4294967295.
Segui le istruzioni riportate di seguito per configurare rpc.idmapd sul client NFS:
Sul client, apri il file
/etc/idmapd.confe modifica il parametro di dominio in uno dei seguenti:Se il volume non è abilitato per LDAP,
domain = defaultv4iddomain.com.Se il volume è abilitato per LDAP,
domain = <FDQN_of_Windows_Domain>.
Attiva le modifiche a
rpc.idmapdeseguendo il seguente comando:nfsidmap -c
Connettere Linux ad LDAP
Se utilizzi gruppi estesi NFSv3 o NFSv4.1 con identificatori di sicurezza, hai configurato i NetApp Volumes in modo che utilizzino Active Directory come server LDAP utilizzando un Active Directory collegato a un pool di archiviazione.
Per mantenere coerenti le informazioni utente tra il client e il server NFS, potresti dover configurare il client in modo che utilizzi Active Directory come servizio di nomi LDAP per le informazioni utente e di gruppo.
Utilizza le seguenti risorse per configurare LDAP:
Quando utilizzi NFS Kerberized, potresti dover utilizzare le guide di implementazione riportate in questa sezione per configurare LDAP e garantire la coerenza tra il client e il server.
Passaggi successivi
Collegare volumi a capacità elevata con più endpoint di archiviazione.