Esta página foi traduzida pela API Cloud Translation.

Conectar clientes NFS

Esta página fornece instruções sobre como conectar clientes NFS.

Antes de começar

Instale ferramentas de cliente NFS com base no tipo de distribuição do Linux para preparar o cliente:

RedHat

Execute este comando:

sudo yum install -y nfs-utils

SuSe

Execute este comando:

sudo yum install -y nfs-utils

Debian

Execute este comando:

sudo apt-get install nfs-common

Ubuntu

Execute este comando:

sudo apt-get install nfs-common

Controle de acesso ao volume usando políticas de exportação

O controle de acesso ao volume no NFSv3 e NFSv4.1 é baseado no endereço IP do cliente. A política de exportação do volume contém regras de exportação. Cada regra é uma lista de IPs ou CIDRs de rede separados por vírgulas que definem os clientes permitidos ativados para montar o volume. Uma regra também define o tipo de acesso que os clientes têm, como Leitura e gravação ou Somente leitura. Como medida de segurança adicional, os servidores NFS remapeiam o acesso do usuário raiz (UID=0) para ninguém (UID=65535), o que faz com que o raiz seja um usuário sem privilégios ao acessar os arquivos no volume. Quando você ativa o Acesso raiz para Ativado na regra de exportação correspondente, o usuário raiz continua sendo raiz. A ordem das regras de exportação é relevante.

Recomendamos as seguintes práticas recomendadas para políticas de exportação:

Ordene as regras de exportação da mais específica para a menos específica.
Exportar apenas para os clientes confiáveis, como clientes específicos ou CIDRs com os clientes confiáveis.
Limite o acesso raiz a um pequeno grupo de clientes de administração confiáveis.

Regra	Clientes permitidos	Acesso	Acesso raiz	Descrição
1	10.10.5.3, 10.10.5.9	Leitura e gravação	Ativado	Clientes de administração. O usuário raiz continua sendo raiz e pode gerenciar todas as permissões de arquivo.
2	10.10.5.0/24	Leitura e gravação	Desativado	Todos os outros clientes da rede 10.10.5.0/24 podem ser montados, mas o acesso raiz é mapeado para ninguém.
3	10.10.6.0/24	Somente leitura	Desativado	Outra rede pode ler dados do volume, mas não pode gravar.

Depois que um cliente monta um volume, o acesso ao nível do arquivo determina o que um usuário pode fazer. Para mais informações, consulte Controle de acesso ao nível do arquivo NFS para volumes do tipo UNIX.

Instruções de montagem para clientes NFS

Use as instruções a seguir para receber instruções de montagem para clientes NFS usando o console ou a Google Cloud CLI:

Console

Acesse a página Volumes do NetApp no console do Google Cloud .

Acessar o NetApp Volumes
Clique em Volumes.
Clique em Mostrar mais.
Selecione Instruções de montagem.
Siga as instruções de montagem exibidas no console do Google Cloud .
Identifique o comando de montagem e use as opções de montagem, a menos que a carga de trabalho tenha requisitos específicos de opções de montagem.

Somente NFSv3: se o aplicativo não usar bloqueios ou se você não configurou os clientes para ativar a comunicação NSM, recomendamos adicionar a opção de montagem nolock.

gcloud

Consulte as instruções de montagem de um volume:

 gcloud netapp volumes describe VOLUME_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --format="value(mountOptions.instructions)"

Substitua as seguintes informações:

VOLUME_NAME: o nome do volume.
PROJECT_ID: o nome do projeto em que o volume está.
LOCATION: o local do volume.

Para mais informações sobre outras flags opcionais, consulte a documentação do SDK Google Cloud sobre volumes.

Outras instruções do NFSv4.1

Quando você ativa o NFSv4.1, os volumes com os níveis de serviço Standard, Premium e Extreme também ativam o NFSv4.2 automaticamente. O comando de montagem do Linux sempre monta a versão mais recente do NFS disponível, a menos que você especifique a versão a ser montada. Se você quiser montar com o NFSv4.1, use o parâmetro -o vers=4.1 no comando de montagem.

No NFSv3, os usuários e grupos são identificados por IDs de usuário (UID) e IDs de grupo (GID) enviados pelo protocolo NFSv3. É importante garantir que o mesmo UID e GID representem o mesmo usuário e grupo em todos os clientes que acessam o volume. O NFSv4 removeu a necessidade de mapeamento explícito de UID e GID usando identificadores de segurança. Os identificadores de segurança são strings formatadas como <username|groupname>@<full_qualified_domain>. Um exemplo de identificador de segurança é bob@example.com. O cliente precisa traduzir os UIDs e GIDs usados internamente em um identificador de segurança antes de enviar uma solicitação NFSv4 para o servidor. O servidor precisa converter os identificadores de segurança em UIDs e GIDs para uma solicitação recebida e vice-versa para a resposta. A vantagem do uso de traduções é que todos os clientes e o servidor podem usar UIDs e GIDs internos diferentes. No entanto, a desvantagem é que todos os clientes e o servidor precisam manter uma lista de mapeamento entre UIDs e GIDs, além de nomes de usuários e grupos. As informações de mapeamento em clientes podem vir de arquivos locais, como /etc/passwd e /etc/groups, ou de um diretório LDAP. A configuração desse mapeamento é gerenciada por rpc.idmapd, que precisa ser executado no cliente.

Nos volumes NetApp, o LDAP precisa fornecer informações de mapeamento, com o Active Directory sendo o único servidor LDAP compatível com RFC2307bis. Ao usar o Kerberos para NFSv4, o identificador de segurança armazena os principais do Kerberos no formato username@DOMAINNAME, em que DOMAINNAME (em letras maiúsculas) passa a ser o nome do realm.

IDs numéricos

Para usuários que não querem configurar os mapeamentos de nome e, em vez disso, usam o NFSv4 como substituto do NFSv3, o NFSv4 introduziu uma opção chamada numeric ID, que envia strings de texto codificadas de UID e GID como identificadores de segurança. Isso simplifica o processo de configuração para os usuários.

Você pode verificar a configuração do cliente usando o seguinte comando:

     cat /sys/module/nfs/parameters/nfs4_disable_idmapping

O valor padrão é Y, que ativa IDs numéricos. O NetApp Volumes oferece suporte ao uso de IDs numéricos.

Configurar rpc.idmapd no cliente NFS

Independentemente do tipo de ID ou identificador de segurança usado, é necessário configurar rpc.idmapd no cliente NFS. Se você seguiu as instruções de instalação dos utilitários do cliente na seção Antes de começar, eles já devem estar instalados, mas talvez não estejam em execução. Algumas distribuições começam automaticamente usando systemd quando você monta os primeiros volumes NFS. A configuração mínima necessária para rpc.idmapd é definir a configuração do domínio. Caso contrário, a raiz do usuário vai aparecer como ninguém com UID=65535 or 4294967295.

Use as instruções a seguir para configurar rpc.idmapd no seu cliente NFS:

No cliente, abra o arquivo /etc/idmapd.conf e mude o parâmetro de domínio para uma das seguintes opções:
- Se o volume não estiver ativado para LDAP, domain = defaultv4iddomain.com.
- Se o volume estiver ativado para LDAP, domain = <FDQN_of_Windows_Domain>.
Ative as mudanças em rpc.idmapd executando o seguinte comando:
```
 nfsidmap -c
```

Conectar o Linux ao LDAP

Se você estiver usando grupos estendidos do NFSv3 ou o NFSv4.1 com identificadores de segurança, configure os NetApp Volumes para usar o Active Directory como servidor LDAP usando um Active Directory anexado a um pool de armazenamento.

Para manter as informações do usuário consistentes entre o cliente e o servidor do NFS, talvez seja necessário configurar o cliente para usar o Active Directory como serviço de nome LDAP para informações de usuário e grupo.

Use os seguintes recursos para configurar o LDAP:

Ao usar o NFS Kerberizado, talvez seja necessário usar os guias de implantação mencionados nesta seção para configurar o LDAP e garantir a consistência entre o cliente e o servidor.

A seguir

Conecte volumes de grande capacidade a vários endpoints de armazenamento.