Cómo conectar clientes de NFS

En esta página, se proporcionan instrucciones para conectar clientes NFS.

Antes de comenzar

Instala las herramientas del cliente de NFS según el tipo de distribución de Linux para preparar tu cliente:

Red Hat

Ejecuta el comando siguiente:

sudo yum install -y nfs-utils

SuSe

Ejecuta el comando siguiente:

sudo yum install -y nfs-utils

Debian

Ejecuta el comando siguiente:

sudo apt-get install nfs-common

Ubuntu

Ejecuta el comando siguiente:

sudo apt-get install nfs-common

Control de acceso por volumen con políticas de exportación

El control de acceso a volúmenes en NFSv3 y NFSv4.1 se basa en la dirección IP del cliente. La política de exportación del volumen contiene hasta 20 reglas de exportación. Cada regla es una lista separada por comas de IPs o CIDRs de red que definen los clientes permitidos que pueden activar el volumen. Una regla también define el tipo de acceso que tienen los clientes, como Lectura y escritura o Solo lectura.

Usa las siguientes pestañas para revisar las políticas según las versiones de NFS:

NFS sin Kerberos

Todas las versiones de NFS sin Kerberos usan el sabor de seguridad AUTH_SYS. En este modo, debes administrar estrictamente las reglas de exportación para permitir solo los clientes en los que confías y que pueden garantizar la integridad del ID de usuario y el ID de grupo.

Como medida de seguridad, los servidores NFS asignan automáticamente las llamadas NFS con UID=0 (raíz) a UID=65534 (anónimo), que tiene permisos limitados en el sistema de archivos. Durante la creación del volumen, puedes habilitar la opción de acceso raíz para controlar este comportamiento. Si habilitas el acceso raíz, el ID de usuario 0 permanece como 0. Como práctica recomendada, crea una regla de exportación dedicada que habilite el acceso raíz para los hosts de administrador de confianza y deshabilite el acceso raíz para todos los demás clientes.

NFSv4.1 con Kerberos

NFSv4.1 con Kerberos usa políticas de exportación y autenticación adicional con Kerberos para acceder a los volúmenes. Puedes configurar reglas de exportación para aplicar lo siguiente:

  • Solo Kerberos (krb5)

  • Firma de Kerberos (krb5i)

  • Privacidad de Kerberos (krb5p)

Prácticas recomendadas para las políticas de exportación

Recomendamos las siguientes prácticas recomendadas para las políticas de exportación:

  • Ordena las reglas de exportación de la más específica a la menos específica.

  • Exporta solo a los clientes de confianza, como clientes específicos o CIDR con los clientes de confianza.

  • Limita el acceso raíz a un pequeño grupo de clientes de administración de confianza.

Regla Clientes permitidos Acceso Acceso raíz Descripción
1 10.10.5.3,
10.10.5.9		 Lectura y escritura Activado Son clientes de administración. El usuario raíz sigue siendo raíz y puede administrar
todos los permisos de archivo.
2 10.10.5.0/24 Lectura y escritura Desactivado Se permite que todos los demás clientes de la red 10.10.5.0/24 realicen el montaje,
pero el acceso de administrador se asigna a nadie.
3 10.10.6.0/24 Solo lectura Desactivado Otra red puede leer datos del volumen, pero no escribir en él.

Después de que un cliente activa un volumen, el acceso a nivel de archivo determina lo que se le permite hacer a un usuario. Para obtener más información, consulta Control de acceso a nivel de archivo de NFS para volúmenes de estilo UNIX.

Instrucciones de activación para clientes de NFS

Sigue estas instrucciones para obtener instrucciones de montaje para clientes de NFS con la consola de Google Cloud o Google Cloud CLI:

Console

  1. Ve a la página Volúmenes de NetApp en la consola de Google Cloud .

    Ir a NetApp Volumes

  2. Haz clic en Volúmenes.

  3. Haz clic en Mostrar más.

  4. Selecciona Instrucciones de activación.

  5. Sigue las instrucciones de activación que se muestran en la consola de Google Cloud .

  6. Identifica el comando de activación y usa las opciones de activación, a menos que tu carga de trabajo tenga requisitos específicos de opciones de activación.

    Solo NFSv3: Si tu aplicación no usa bloqueos o no configuraste tus clientes para habilitar la comunicación de NSM, te recomendamos que agregues la opción de montaje nolock.

gcloud

Busca las instrucciones de activación de un volumen:

 gcloud netapp volumes describe VOLUME_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --format="value(mountOptions.instructions)"

Reemplaza la siguiente información:

  • VOLUME_NAME: el nombre del volumen

  • PROJECT_ID: Es el nombre del proyecto en el que se encuentra el volumen.

  • LOCATION: Es la ubicación del volumen.

Para obtener más información sobre las marcas opcionales adicionales, consulta la documentación del SDK de Google Cloud sobre volúmenes.

Instrucciones adicionales para NFSv4.1

Cuando habilitas NFSv4.1, los volúmenes con niveles de servicio Estándar, Premium y Extreme también habilitan automáticamente NFSv4.2. El comando de activación de Linux siempre activa la versión de NFS más alta disponible, a menos que especifiques la versión que deseas activar. Si deseas activar el montaje con NFSv4.1, usa el parámetro -o vers=4.1 en el comando de montaje.

En NFSv3, los usuarios y los grupos se identifican por los IDs de usuario (UID) y los IDs de grupo (GID) que se envían a través del protocolo NFSv3. Es importante asegurarse de que el mismo UID y GID representen al mismo usuario y grupo en todos los clientes que acceden al volumen. NFSv4 eliminó la necesidad de asignar UID y GID explícitos mediante identificadores de seguridad. Los identificadores de seguridad son cadenas con el formato <username|groupname>@<full_qualified_domain>. Un ejemplo de identificador de seguridad es bob@example.com. El cliente debe traducir los UID y GID que se usan de forma interna en un identificador de seguridad antes de enviar una solicitud de NFSv4 al servidor. El servidor debe traducir los identificadores de seguridad en UID y GID para una solicitud entrante, y viceversa para su respuesta. La ventaja de usar traducciones es que cada cliente y el servidor pueden usar diferentes UID y GID internos. Sin embargo, la desventaja es que todos los clientes y el servidor deben mantener una lista de asignación entre los UID y los GID, y los nombres de usuarios y grupos. La información de asignación en los clientes puede provenir de archivos locales, como /etc/passwd y /etc/groups, o de un directorio LDAP. rpc.idmapd administra la configuración de esta asignación, y debe ejecutarse en tu cliente.

En los volúmenes de NetApp, el LDAP debe proporcionar información de asignación, y Active Directory es el único servidor LDAP compatible con RFC2307bis. Cuando se usa Kerberos para NFSv4, el identificador de seguridad almacena los principales de Kerberos en el formato username@DOMAINNAME, en el que DOMAINNAME (en letras mayúsculas) se convierte en el nombre del dominio.

IDs numéricos

Para los usuarios que no desean configurar las asignaciones de nombres y, en cambio, usar NFSv4 como reemplazo de NFSv3, NFSv4 introdujo una opción llamada numeric ID, que envía cadenas de texto codificadas con UID y GID como identificadores de seguridad. Esto simplifica el proceso de configuración para los usuarios.

Puedes verificar la configuración del cliente con el siguiente comando:

     cat /sys/module/nfs/parameters/nfs4_disable_idmapping

El valor predeterminado es Y, que habilita los IDs numéricos. NetApp Volumes admite el uso de IDs numéricos.

Configura rpc.idmapd en el cliente de NFS

Independientemente del tipo de IDs o identificadores de seguridad que uses, es necesario configurar rpc.idmapd en tu cliente de NFS. Si seguiste las instrucciones de instalación de las utilidades del cliente en la sección Antes de comenzar, ya debería estar instalado, pero es posible que no se esté ejecutando. Algunas distribuciones lo inician automáticamente con systemd cuando montas los primeros volúmenes de NFS. La configuración mínima requerida para rpc.idmapd es establecer el parámetro de configuración del dominio. De lo contrario, la raíz del usuario se mostrará como nadie con UID=65534 or 4294967295.

Sigue estas instrucciones para configurar rpc.idmapd en tu cliente NFS:

  1. En tu cliente, abre el archivo /etc/idmapd.conf y cambia el parámetro de dominio a uno de los siguientes:

    • Si tu volumen no está habilitado para LDAP, domain = defaultv4iddomain.com.

    • Si tu volumen está habilitado para LDAP, domain = <FDQN_of_Windows_Domain>.

  2. Para activar los cambios en rpc.idmapd, ejecuta el siguiente comando:

     nfsidmap -c

Compatibilidad con NFSv4.2

Los niveles de servicio Estándar, Premium y Extreme ahora admiten el protocolo NFSv4.2, además de NFSv4.1, en los volúmenes que ya tienen habilitado NFSv4.1.

Cuando se activa un volumen NFS, el comando de activación de Linux selecciona automáticamente la versión de NFS disponible más alta. La activación automática de un volumen habilitado para NFSv4.1 se establece de forma predeterminada en NFSv4.2, a menos que se especifique de forma explícita la opción de activación vers=4.1.

NetApp Volumes admite atributos extendidos de NFS xattrs con NFSv4.2. También se aplican el uso y las limitaciones de xattrs, como se detalla en TR-4962.

Conecta Linux a LDAP

Si usas grupos extendidos de NFSv3 o NFSv4.1 con identificadores de seguridad, configuraste NetApp Volumes para que use tu Active Directory como servidor LDAP con un Active Directory adjunto a un grupo de almacenamiento.

Para mantener la información del usuario coherente entre el cliente y el servidor de NFS, es posible que debas configurar tu cliente para que use Active Directory como servicio de nombres LDAP para la información del usuario y del grupo.

Usa los siguientes recursos para configurar LDAP:

Cuando uses NFS con Kerberos, es posible que debas usar las guías de implementación mencionadas en esta sección para configurar LDAP y garantizar la coherencia entre el cliente y el servidor.

¿Qué sigue?

Conecta volúmenes de gran capacidad con varios extremos de almacenamiento.