Conectar clientes NFS

En esta página se explica cómo conectar clientes NFS.

Antes de empezar

Instala las herramientas de cliente NFS en función del tipo de distribución de Linux para preparar tu cliente:

RedHat

Ejecuta el siguiente comando:

sudo yum install -y nfs-utils

SuSe

Ejecuta el siguiente comando:

sudo yum install -y nfs-utils

Debian

Ejecuta el siguiente comando:

sudo apt-get install nfs-common

Ubuntu

Ejecuta el siguiente comando:

sudo apt-get install nfs-common

Control de acceso a volúmenes mediante políticas de exportación

El control de acceso a volúmenes en NFSv3 y NFSv4.1 se basa en la dirección IP del cliente. La política de exportación del volumen contiene hasta 20 reglas de exportación. Cada regla es una lista separada por comas de IPs o CIDRs de red que definen los clientes permitidos que pueden montar el volumen. Una regla también define el tipo de acceso que tienen los clientes, como Lectura y escritura o Solo lectura.

Usa las siguientes pestañas para consultar las políticas según las versiones de NFS:

NFS sin Kerberos

Todas las versiones de NFS sin Kerberos usan el tipo de seguridad AUTH_SYS. En este modo, debes gestionar estrictamente las reglas de exportación para permitir solo los clientes en los que confíes y que puedan asegurar la integridad del ID de usuario y del ID de grupo.

Como medida de seguridad, los servidores NFS asignan automáticamente las llamadas NFS con UID=0 (root) a UID=65534 (anónimo), que tiene permisos limitados en el sistema de archivos. Durante la creación del volumen, puedes habilitar la opción de acceso de superusuario para controlar este comportamiento. Si habilitas el acceso root, el ID de usuario 0 seguirá siendo 0. Como práctica recomendada, crea una regla de exportación específica que habilite el acceso de superusuario para tus hosts de administrador de confianza y deshabilita el acceso de superusuario para todos los demás clientes.

NFSv4.1 con Kerberos

NFSv4.1 con Kerberos usa políticas de exportación y autenticación adicional mediante Kerberos para acceder a los volúmenes. Puedes configurar reglas de exportación para que se apliquen a lo siguiente:

  • Solo Kerberos (krb5)

  • Firma de Kerberos (krb5i)

  • Privacidad de Kerberos (krb5p)

Prácticas recomendadas para las políticas de exportación

Te recomendamos que sigas estas prácticas recomendadas para las políticas de exportación:

  • Ordene las reglas de exportación de la más específica a la menos específica.

  • Exportar solo a los clientes de confianza, como clientes o CIDRs específicos, con los clientes de confianza.

  • Limita el acceso de superusuario a un pequeño grupo de clientes de administración de confianza.

Regla Clientes permitidos Acceso Acceso root Descripción
1 10.10.5.3,
10.10.5.9		 Lectura y escritura Activado Clientes de administración. El usuario raíz sigue siendo raíz y puede gestionar
todos los permisos de los archivos.
2 10.10.5.0/24 Lectura y escritura Desactivado Todos los demás clientes de la red 10.10.5.0/24 pueden montar,
pero el acceso de superusuario se asigna a nadie.
3 10.10.6.0/24 Solo lectura Desactivado Otra red puede leer datos del volumen, pero no escribir en él.

Una vez que un cliente monta un volumen, el acceso a nivel de archivo determina lo que puede hacer un usuario. Para obtener más información, consulta Control de acceso a nivel de archivo NFS para volúmenes de estilo UNIX.

Instrucciones de montaje para clientes NFS

Sigue estas instrucciones para obtener las instrucciones de montaje de los clientes NFS mediante la consola o la interfaz de línea de comandos de Google Cloud: Google Cloud

Consola

  1. Ve a la página Volúmenes de NetApp de la consola de Google Cloud .

    Ir a NetApp Volumes

  2. Haz clic en Volúmenes.

  3. Haz clic en Mostrar más.

  4. Selecciona Instrucciones de montaje.

  5. Sigue las instrucciones de montaje que se muestran en la Google Cloud consola.

  6. Identifica el comando de montaje y usa las opciones de montaje, a menos que tu carga de trabajo tenga requisitos específicos de opciones de montaje.

    Solo NFSv3: si tu aplicación no usa bloqueos o no has configurado tus clientes para habilitar la comunicación NSM, te recomendamos que añadas la opción de montaje nolock.

gcloud

Consulta las instrucciones de montaje de un volumen:

 gcloud netapp volumes describe VOLUME_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --format="value(mountOptions.instructions)"

Sustituye la siguiente información:

  • VOLUME_NAME: el nombre del volumen.

  • PROJECT_ID: el nombre del proyecto en el que se encuentra el volumen.

  • LOCATION: la ubicación del volumen.

Para obtener más información sobre las marcas opcionales adicionales, consulta la documentación del SDK de Google Cloud sobre volúmenes.

Instrucciones adicionales de NFSv4.1

Cuando habilitas NFSv4.1, los volúmenes con niveles de servicio Estándar, Premium y Extremo también habilitan automáticamente NFSv4.2. El comando de montaje de Linux siempre monta la versión de NFS más alta disponible, a menos que especifiques la versión que quieres montar. Si quieres montar con NFSv4.1, usa el parámetro -o vers=4.1 en tu comando de montaje.

En NFSv3, los usuarios y los grupos se identifican mediante IDs de usuario (UID) e IDs de grupo (GID) que se envían a través del protocolo NFSv3. Es importante asegurarse de que el mismo UID y GID representen al mismo usuario y grupo en todos los clientes que accedan al volumen. NFSv4 eliminó la necesidad de asignar explícitamente UID y GID mediante el uso de identificadores de seguridad. Los identificadores de seguridad son cadenas con el formato <username|groupname>@<full_qualified_domain>. Un ejemplo de identificador de seguridad es bob@example.com. El cliente debe traducir los UIDs y GIDs que se usan internamente a un identificador de seguridad antes de enviar una solicitud NFSv4 al servidor. El servidor debe traducir los identificadores de seguridad en UIDs y GIDs para una solicitud entrante y viceversa para su respuesta. La ventaja de usar traducciones es que cada cliente y el servidor pueden usar UIDs y GIDs internos diferentes. Sin embargo, la desventaja es que todos los clientes y el servidor deben mantener una lista de asignación entre UIDs y GIDs, así como nombres de usuarios y grupos. La información de asignación de los clientes puede proceder de archivos locales, como /etc/passwd y /etc/groups, o de un directorio LDAP. La configuración de esta asignación la gestiona rpc.idmapd, que debe ejecutarse en tu cliente.

En los volúmenes de NetApp, el LDAP debe proporcionar información de asignación. Active Directory es el único servidor LDAP compatible con RFC2307bis. Cuando se usa Kerberos para NFSv4, el identificador de seguridad almacena los principales de Kerberos en el formato username@DOMAINNAME, donde DOMAINNAME (en mayúsculas) se convierte en el nombre del reino.

IDs numéricos

Para los usuarios que no quieran configurar las asignaciones de nombres y prefieran usar NFSv4 como sustituto de NFSv3, NFSv4 ha introducido una opción llamada numeric ID, que envía cadenas de texto codificadas con UID y GID como identificadores de seguridad. Esto simplifica el proceso de configuración para los usuarios.

Puedes comprobar la configuración de tu cliente con el siguiente comando:

     cat /sys/module/nfs/parameters/nfs4_disable_idmapping

El valor predeterminado es Y, que habilita los IDs numéricos. NetApp Volumes admite el uso de IDs numéricos.

Configurar rpc.idmapd en el cliente NFS

Independientemente del tipo de IDs o identificadores de seguridad que utilices, es necesario configurar rpc.idmapd en tu cliente NFS. Si has seguido las instrucciones de instalación de las utilidades de cliente de la sección Antes de empezar, ya deberían estar instaladas, pero es posible que no se estén ejecutando. Algunas distribuciones lo inician automáticamente mediante systemd cuando montas los primeros volúmenes NFS. La configuración mínima necesaria para rpc.idmapd es definir el ajuste de dominio. De lo contrario, el usuario root se mostrará como nadie con UID=65534 or 4294967295.

Sigue estas instrucciones para configurar rpc.idmapd en tu cliente NFS:

  1. En tu cliente, abre el archivo /etc/idmapd.conf y cambia el parámetro de dominio por uno de los siguientes:

    • Si tu volumen no está habilitado para LDAP, domain = defaultv4iddomain.com.

    • Si tu volumen tiene habilitado LDAP, domain = <FDQN_of_Windows_Domain>.

  2. Activa los cambios en rpc.idmapd ejecutando el siguiente comando:

     nfsidmap -c

Compatibilidad con NFSv4.2

Los niveles de servicio Standard, Premium y Extreme ahora admiten el protocolo NFSv4.2 además de NFSv4.1 en volúmenes que ya tienen habilitado NFSv4.1.

Al montar un volumen NFS, el comando de montaje de Linux selecciona automáticamente la versión de NFS más alta disponible. Si se monta automáticamente un volumen con NFSv4.1, se usará NFSv4.2 de forma predeterminada, a menos que se especifique explícitamente la opción de montaje vers=4.1.

NetApp Volumes admite atributos extendidos de NFS xattrs con NFSv4.2. También se aplican el uso y las limitaciones de xattrs, tal como se detallan en TR-4962.

Conectar Linux a LDAP

Si utilizas grupos ampliados de NFSv3 o NFSv4.1 con identificadores de seguridad, has configurado volúmenes de NetApp para que usen tu Active Directory como servidor LDAP mediante un Active Directory asociado a un pool de almacenamiento.

Para mantener la coherencia de la información de los usuarios entre el cliente y el servidor NFS, es posible que tengas que configurar el cliente para que use Active Directory como servicio de nombres LDAP para la información de usuarios y grupos.

Usa los siguientes recursos para configurar LDAP:

Cuando se usa NFS con Kerberos, es posible que tengas que usar las guías de implementación mencionadas en esta sección para configurar LDAP y asegurarte de que haya coherencia entre el cliente y el servidor.

Siguientes pasos

Conecta volúmenes de gran capacidad con varios endpoints de almacenamiento.