Ligue clientes NFS

Esta página fornece instruções sobre como ligar clientes NFS.

Antes de começar

Instale as ferramentas de cliente NFS com base no tipo de distribuição Linux para preparar o cliente:

RedHat

Execute o seguinte comando:

sudo yum install -y nfs-utils

SuSe

Execute o seguinte comando:

sudo yum install -y nfs-utils

Debian

Execute o seguinte comando:

sudo apt-get install nfs-common

Ubuntu

Execute o seguinte comando:

sudo apt-get install nfs-common

Controlo de acesso ao volume através de políticas de exportação

O controlo de acesso ao volume no NFSv3 e NFSv4.1 baseia-se no endereço IP do cliente. A política de exportação do volume contém até 20 regras de exportação. Cada regra é uma lista separada por vírgulas de IPs ou CIDRs de rede que definem os clientes permitidos ativados para montar o volume. Uma regra também define o tipo de acesso que os clientes têm, como Leitura e escrita ou Só de leitura.

Use os seguintes separadores para rever as políticas com base nas versões do NFS:

NFS sem Kerberos

Todas as versões NFS sem Kerberos usam o tipo de segurança AUTH_SYS. Neste modo, tem de gerir rigorosamente as regras de exportação para permitir apenas clientes nos quais confia e que podem garantir a integridade do ID do utilizador e do ID do grupo.

Como medida de segurança, os servidores NFS mapeiam automaticamente as chamadas NFS com UID=0 (root) para UID=65534 (anónimo), que tem autorizações limitadas no sistema de ficheiros. Durante a criação do volume, pode ativar a opção de acesso de raiz para controlar este comportamento. Se ativar o acesso de raiz, o ID do utilizador 0 permanece 0. Como prática recomendada, crie uma regra de exportação dedicada que permita o acesso de raiz para os anfitriões de administrador fidedignos e desative o acesso de raiz para todos os outros clientes.

NFSv4.1 com Kerberos

O NFSv4.1 com Kerberos usa políticas de exportação e autenticação adicional através do Kerberos para aceder a volumes. Pode configurar regras de exportação para aplicar o seguinte:

  • Apenas Kerberos (krb5)

  • Assinatura Kerberos (krb5i)

  • Privacidade do Kerberos (krb5p)

Práticas recomendadas para políticas de exportação

Recomendamos as seguintes práticas recomendadas para políticas de exportação:

  • Ordene as regras de exportação da mais específica para a menos específica.

  • Exporte apenas para os clientes fidedignos, como clientes específicos ou CIDRs com os clientes fidedignos.

  • Limite o acesso de raiz a um pequeno grupo de clientes de administração fidedignos.

Regra Clientes permitidos Acesso Acesso root Descrição
1 10.10.5.3,
10.10.5.9		 Leitura e escrita Ativado Clientes de administração. O utilizador de raiz permanece como raiz e pode gerir
todas as autorizações de ficheiros.
2 10.10.5.0/24 Leitura e escrita Desativado Todos os outros clientes da rede 10.10.5.0/24 têm autorização para montar,
mas o acesso de raiz é mapeado para ninguém.
3 10.10.6.0/24 Só de leitura Desativado Outra rede tem autorização para ler dados do volume, mas
não pode escrever.

Depois de um cliente montar um volume, o acesso ao nível do ficheiro determina o que um utilizador tem autorização para fazer. Para mais informações, consulte o controlo de acesso ao nível do ficheiro NFS para volumes de estilo UNIX.

Instruções de montagem para clientes NFS

Siga estas instruções para obter instruções de montagem para clientes NFS através da Google Cloud consola ou da Google Cloud CLI:

Consola

  1. Aceda à página NetApp Volumes na Google Cloud consola.

    Aceda a NetApp Volumes

  2. Clique em Volumes.

  3. Clique em Mostrar mais.

  4. Selecione Instruções de montagem.

  5. Siga as instruções de montagem apresentadas na Google Cloud consola.

  6. Identifique o comando de montagem e use as opções de montagem, a menos que a sua carga de trabalho tenha requisitos específicos de opções de montagem.

    Apenas NFSv3: se a sua aplicação não usar bloqueios ou não tiver configurado os clientes para ativar a comunicação NSM, recomendamos que adicione a opção de montagem nolock.

gcloud

Procure as instruções de montagem de um volume:

 gcloud netapp volumes describe VOLUME_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --format="value(mountOptions.instructions)"

Substitua as seguintes informações:

  • VOLUME_NAME: o nome do volume.

  • PROJECT_ID: o nome do projeto em que o volume se encontra.

  • LOCATION: a localização do volume.

Para mais informações sobre flags opcionais adicionais, consulte a documentação do Google Cloud SDK sobre volumes.

Instruções adicionais para o NFSv4.1

Quando ativa o NFSv4.1, os volumes com níveis de serviço Standard, Premium e Extreme também ativam automaticamente o NFSv4.2. O comando de montagem do Linux monta sempre a versão NFS mais elevada disponível, a menos que especifique a versão a montar. Se quiser montar com o NFSv4.1, use o parâmetro -o vers=4.1 no comando de montagem.

No NFSv3, os utilizadores e os grupos são identificados por IDs de utilizadores (UID) e IDs de grupos (GID) enviados através do protocolo NFSv3. É importante certificar-se de que o mesmo UID e GID representam o mesmo utilizador e grupo em todos os clientes que acedem ao volume. O NFSv4 eliminou a necessidade de mapeamento explícito de UID e GID através da utilização de identificadores de segurança. Os identificadores de segurança são strings formatadas como <username|groupname>@<full_qualified_domain>. Um exemplo de um identificador de segurança é bob@example.com. O cliente tem de traduzir os UIDs e os GIDs usados internamente num identificador de segurança antes de enviar um pedido NFSv4 para o servidor. O servidor tem de traduzir os identificadores de segurança em UIDs e GIDs para um pedido recebido e vice-versa para a respetiva resposta. A vantagem de usar traduções é que cada cliente e o servidor podem usar UIDs e GIDs internos diferentes. No entanto, a desvantagem é que todos os clientes e o servidor têm de manter uma lista de mapeamento entre UIDs e GIDs, bem como nomes de utilizadores e grupos. As informações de mapeamento nos clientes podem ser provenientes de ficheiros locais, como /etc/passwd e /etc/groups, ou de um diretório LDAP. A configuração deste mapeamento é gerida pelo rpc.idmapd, que tem de ser executado no seu cliente.

Nos volumes NetApp, o LDAP tem de fornecer informações de mapeamento, sendo o Active Directory o único servidor LDAP compatível com RFC2307bis. Quando usa o Kerberos para NFSv4, o identificador de segurança armazena os principais do Kerberos no formato username@DOMAINNAME, em que DOMAINNAME (em letras maiúsculas) se torna o nome do domínio.

IDs numéricos

Para os utilizadores que não querem configurar os mapeamentos de nomes e, em vez disso, usar o NFSv4 como substituição do NFSv3, o NFSv4 introduziu uma opção denominada numeric ID, que envia strings de texto codificadas de UID e GID como identificadores de segurança. Isto simplifica o processo de configuração para os utilizadores.

Pode verificar a definição do cliente através do seguinte comando:

     cat /sys/module/nfs/parameters/nfs4_disable_idmapping

O valor predefinido é Y, que ativa os IDs numéricos. Os volumes NetApp suportam a utilização de IDs numéricos.

Configure o rpc.idmapd no cliente NFS

Independentemente do tipo de IDs ou identificadores de segurança que usar, é necessário configurar rpc.idmapd no seu cliente NFS. Se seguiu as instruções de instalação para utilitários de cliente na secção Antes de começar , já deve estar instalado, mas pode não estar em execução. Algumas distribuições iniciam-no automaticamente através do systemd quando monta os primeiros volumes NFS. A configuração mínima necessária para o rpc.idmapd é configurar a definição de domínio. Caso contrário, a raiz do utilizador é apresentada como ninguém com UID=65534 or 4294967295.

Siga as instruções abaixo para configurar o rpc.idmapd no seu cliente NFS:

  1. No cliente, abra o ficheiro /etc/idmapd.conf e altere o parâmetro de domínio para um dos seguintes:

    • Se o volume não estiver ativado para LDAP, domain = defaultv4iddomain.com.

    • Se o volume estiver ativado para LDAP, domain = <FDQN_of_Windows_Domain>.

  2. Execute o seguinte comando para ativar as alterações ao rpc.idmapd:

     nfsidmap -c

Suporte de NFSv4.2

Os níveis de serviço Standard, Premium e Extreme suportam agora o protocolo NFSv4.2, além do NFSv4.1, em volumes que já têm o NFSv4.1 ativado.

Quando monta um volume NFS, o comando de montagem do Linux seleciona automaticamente a versão NFS mais elevada disponível. A montagem de um volume com NFSv4.1 ativado é feita automaticamente com o NFSv4.2, a menos que a opção de montagem vers=4.1 seja especificada explicitamente.

Os volumes NetApp suportam atributos alargados NFS xattrs com NFSv4.2. A utilização e as limitações da xattrs, conforme detalhado na TR-4962, também se aplicam.

Ligue o Linux ao LDAP

Se estiver a usar grupos alargados NFSv3 ou NFSv4.1 com identificadores de segurança, configurou volumes NetApp para usar o seu Active Directory como servidor LDAP através de um Active Directory anexado a um conjunto de armazenamento.

Para manter informações de utilizador consistentes entre o cliente e o servidor NFS, pode ter de configurar o cliente para usar o Active Directory como serviço de nomes LDAP para informações de utilizadores e grupos.

Use os seguintes recursos para configurar o LDAP:

Quando usar o NFS Kerberized, pode ter de usar os guias de implementação mencionados nesta secção para configurar o LDAP e garantir a consistência entre o cliente e o servidor.

O que se segue?

Associe volumes de grande capacidade com vários pontos finais de armazenamento.