NFS
nfs 简介
nfs特点
- NFS(Network File System)网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源
- 在NFS的应用中的,本地的客户端应用可以透明的读写位于远端NFS服务器上的文件,就像访问本地文件一样 nfs 适用于Linux 与 Unix之间实现文件共享,不能实现Linux与windows 间的文件共享功能 nfs 是运行在应用层的协议,期监听在2049/TCP 和 2049/UDP 套接字上 nfs服务只能基于IP进行认证,这也是它的缺点之一
使用nfs的好处
- 节省本地的存储空间,将常用的数据存放在一台NFS服务器上且可以通过网络访问,那么本地终端将可以减少自身存储空间的使用
- 用户不需要在网络中的每个机器上都建立有Home目录,Home目录可以放在NFS服务器上且可以在网络上被访问使用
- 一些存储设备如软驱、CDROM和Zip(一种高存储密度的磁盘驱动与磁盘)等都可以在网络上被别的机器使用,可以减少整个网络上可移动介质设备的数量
nfs的体系组成
nfs体系至少有两个主要部分
- 一台nfs服务器
- 若干台客户机
- 客户机通过TCP/IP网络远程访问存放在NFS服务器上的数据
- 在NFS服务器正式启用前,需要根据实际环境和需求来配置NFS参数
nfs的应用场景
-
不同的客户端可以在NFS上观看影视文件,节省本地空间,一台NFS服务器上可以存放所有用户的home目录,带来便利这些目录被输出到网络以便用户不管在哪台工作站上登录,总是能得到相同的home目录
-
在客户端完成的工作数据,可以备份保存到NFS服务器上用户自己的路径下
nfs 工作机制
-
nfs 是基于rpc来实现网络文件系统的共享的RPC
-
RPC,远程过程调用协议,它是一种通过网络从远程计算机程序上请求服务,而不需要了解底层网络技术的协议
-
RPC协议假定某些传输协议的存在,如TCP或UDP,为通信程序之间携带信息数据,在OSI网络模型中,RPC跨越了传输层和应用层
-
RPC采用客户机/服务器模式。请求程序就是一个客户机,而服务提供程序就是一个服务器
rpc 工作机制如上图所示,下面来描述
- 客户端程序发起一个RPC系统调用基于TCP协议发送给另外一台主机(服务端)
- 服务端监听在某个套接字上,当收到客户端的系统调用请求后,将收到的请求和其所传递的参数通过本地的系统调用执行一遍,并将结果返回给本地的服务进程
- 服务端的服务进程收到返回的执行结果将其封装成响应报文,在通过rpc协议返回给客户端
- 客户端调用进程接收答复信息,获得进程结果,然后调用执行继续进行
NFS 服务器端运行着四个进程:
-
nfsd
-
mountd
-
idmapd
-
portmapper
-
idmapd 实现用户账号的集中映射,把所有的账号都映射为NFSNOBODY,但是在访问时却能以本地用户的身份去访问
-
mountd 用于验证客户端是否在允许访问此NFS文件系统的客户端列表中(发放一个令牌,持令牌去找nfsd),否则拒绝
-
mountd 的服务端口是随机的由rpc 服务(portmapper)提供随机端口号 nfsd
nfs的守护进程,监听在2049/TCP和2049/UDP端口上,不负责文件的存储(由NFS服务器本地内核负责调度存储),用于理解客户端发起的rpc 请求,并将其转交给本地内核,然后存储在指定的文件系统上 -
portmapper NFS服务器的rpc 服务,其监听与111/TCP和111/UDP套接字上,用于管理远程过程调用(RPC)
nfs 的主配置文件: /etc/exports
nfs 主配置文件中的常用选项
| 选项 | 作用 |
|---|---|
| secure | 这个选项是缺省项,它使用了1024以下的TCP/IP端口实现NFS的连接,指定insecure可以禁用这个选项 |
| rw | 允许NFS客户机进行读/写访问,缺省项只是读的 |
| async | 此选项可以改进性能,但如果没有完全关闭NFS守护进程就重启NFS服务器,这也可能造成数据丢失 |
| no_wdelay | 此选项关闭写延时,如果设置了async,那么NFS就会忽略此选项 |
| nohide | 若将一个目录挂载到另一个目录之上,则原来的目录通常就被隐藏起来,或看起来像空的一样,要禁用这种行为,需启用hide |
| no_subtree_check | 此选项关闭子树检查,子树检查会执行一些不想忽略的安全性检查,缺省选项是启用子树检查 |
| no_auth_nlm | 此选项可作为insecure_locks指定,它告诉NFS守护进程不要对加锁请求进行认证。若关心安全性问题,就要避免使用此选项,缺省选项是auth_nlm或secure_kocks |
| mp(mountpoint=path) | 通过显示的声明此选项,NFS要求挂载所导出的目录fsid=num,此选项通常在NFS故障恢复时使用 |
用户映射:
- 通过NFS中的用户映射,可以将伪或实际用户和组的标识赋给一个正在对NFS卷进行操作的用户。这个NFS用户具有映射所允许的用户和组的许可权限
- 对NFS卷使用一个通用的用户/组可以提供一定的安全性灵活性,而不会带来很多管理负荷
- 在使用NFS挂载的文件系统上的文件时,用户的访问通常都会受到限制,这就是说用户都是以匿名用户的身份来对文件进行访问的,这些用户缺省情况下对这些文件只有读权限
- 这种行为对于root
用户来说尤为重要。然而,实际上的确存在这种情况:希望用户以root用户或所定义的其他用户的身份访问远程文件系统上的文件 - NFS 允许指定访问远程文件的用户–通过用户标识号(UID)和 组标识号(GID),可以禁用正常的squash行为
用户映射的选项
| 选项 | 作用 |
|---|---|
| root_squash | 此选项不允许root用户访问挂载上来的NFS卷 |
| no_root_squash | 此选项允许root用户访问挂载上来的NFS卷 |
| all_squash | 此选项对于公共访问的NFS卷来说非常有用,它会限制所有的UID和GID,只使用匿名用户。缺省设置是no_all_squash |
| anonuid和anongid | 这两个选项将匿名UID和GID修改成特定用户和组账号 |
客户端挂载时可以使用的特殊选项:
| 选项 | 作用 |
|---|---|
| rsize | 其值是从服务器读取的字节数(缓冲)默认为1024。若使用比较高的值,如8192,可以提高传输速度 |
| wsize | 其值是写入到服务器的字节数(缓冲)默认为1024若使用比较高的值,如8192,可以提高传输速度 |
exportfs 维护exports文件导出的文件系统表的专用工具
export -ar 重新导出所有的文件系统
export -au 关闭导出的所有文件系统
export -u FS 关闭指定的导出的文件系统
NFS 的详细配置
环境介绍
| 服务器 | IP |
|---|---|
| nfs-server | 192.168.169.10 |
| nfs-client | 192.168.169.20 |
服务端的配置
- 关闭防火墙、关闭selinux,并设置开机不启动
[root@nfs-server ~]# systemctl stop firewalld
[root@nfs-server ~]# systemctl disable firewalld
[root@nfs-server ~]# setenforce 0
[root@nfs-server ~]# sed -ri 's/(^SELINUX=).*/\1disbaled/g' /etc/selinux/config
2.配置yum 源
[root@nfs-server yum.repos.d]# curl -o CentOS7-Base-163.repo http://mirrors.163.com/.help/CentOS7-Base-163.repo
[root@nfs-server yum.repos.d]# sed -i 's/\$releasever/7/g' /etc/yum.repos.d/CentOS7-Base-163.repo
[root@nfs-server yum.repos.d]# sed -i 's/^enabled=.*/enabled=1/g' /etc/yum.repos.d/CentOS7-Base-163.repo
[root@nfs-server yum.repos.d]# yum -y install epel-release
3.安装NFS-server
- 安装nfs服务主程序
[root@nfs-server ~]# yum -y install nfs-utils rpcbind
- 启动nfs-server 服务,查看rpc注册信息
[root@nfs-server ~]# systemctl start rpcbind
[root@nfs-server ~]# systemctl start nfs-server
[root@nfs-server ~]# systemctl enable rpcbind
[root@nfs-server ~]# systemctl enable nfs-server
[root@nfs-server ~]# rpcinfo -p localhost
program vers proto port service
100000 4 tcp 111 portmapper
100000 3 tcp 111 portmapper
100000 2 tcp 111 portmapper
100000 4 udp 111 portmapper
100000 3 udp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 53070 status
100024 1 tcp 44752 status
100005 1 udp 20048 mountd
100005 1 tcp 20048 mountd
100005 2 udp 20048 mountd
100005 2 tcp 20048 mountd
100005 3 udp 20048 mountd
100005 3 tcp 20048 mountd
100003 3 tcp 2049 nfs
100003 4 tcp 2049 nfs
100227 3 tcp 2049 nfs_acl
100003 3 udp 2049 nfs
......此处省略
- 查看系统中运行的NFS相关进程
[root@nfs-server ~]# ps -aux |egrep "rpc|nfs"
rpc 17023 0.0 0.0 64956 1416 ? Ss 18:47 0:00 /sbin/rpcbind -w
rpcuser 17048 0.0 0.0 42376 1752 ? Ss 18:47 0:00 /usr/sbin/rpc.statd
root 17049 0.0 0.0 0 0 ? S< 18:47 0:00 [rpciod]
root 17061 0.0 0.0 42564 944 ? Ss 18:47 0:00 /usr/sbin/rpc.mountd
root 17062 0.0 0.0 43816 544 ? Ss 18:47 0:00 /usr/sbin/rpc.idmapd
root 17072 0.0 0.0 0 0 ? S< 18:47 0:00 [nfsd4_callbacks]
root 17078 0.0 0.0 0 0 ? S 18:47 0:00 [nfsd]
root 17079 0.0 0.0 0 0 ? S 18:47 0:00 [nfsd]
root 17080 0.0 0.0 0 0 ? S 18:47 0:00 [nfsd]
root 17081 0.0 0.0 0 0 ? S 18:47 0:00 [nfsd]
root 17082 0.0 0.0 0 0 ? S 18:47 0:00 [nfsd]
root 17083 0.0 0.0 0 0 ? S 18:47 0:00 [nfsd]
root 17084 0.0 0.0 0 0 ? S 18:47 0:00 [nfsd]
root 17085 0.0 0.0 0 0 ? S 18:47 0:00 [nfsd]
root 17133 0.0 0.0 112660 968 pts/0 R+ 18:52 0:00 grep -E --color=auto rpc|nfs
- nfs 服务端配置共享目录,编辑nfs 主配置文件,共享目录/opt/chens到192.168.169.20
[root@nfs-server ~]# vim /etc/exports
/opt/chens 192.168.169.20(rw,async,all_squash)
- 创建需要共享的目录chens
[root@nfs-server ~]# mkdir /opt/chens
- 重启nfs-server服务,查看文件是否存在
[root@nfs-server ~]# systemctl restart nfs-server
[root@nfs-server ~]# cat /var/lib/nfs/etab
/opt/chens 192.168.169.20(rw,async,wdelay,hide,nocrossmnt,secure,root_squash,all_squash,no_subtree_check,secure_locks,acl,no_pnfs,anonuid=65534,anongid=65534,sec=sys,secure,root_squash,all_squash)
- nfs统一给客户端为65534用户权限,查看65534属于哪个用户,修改/opt/chens目录的属主和属组为nfsnobody
[root@nfs-server ~]# grep '65534' /etc/passwd
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
[root@nfs-server ~]# chown -R nfsnobody.nfsnobody /opt/chens/
[root@nfs-server ~]# ls /opt/chens/ -dl
drwxr-xr-x. 2 nfsnobody nfsnobody 6 Sep 8 19:02 /opt/chens/
- 重启nfs-server 服务生效
[root@nfs-server ~]# systemctl restart nfs-server
[root@nfs-server ~]# ss -anllt
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 128 *:111 *:*
LISTEN 0 128 *:20048 *:*
LISTEN 0 128 *:44752 *:*
LISTEN 0 128 *:22 *:*
LISTEN 0 100 127.0.0.1:25 *:*
LISTEN 0 64 *:33917 *:*
LISTEN 0 64 *:2049 *:*
LISTEN 0 128 :::111 :::*
LISTEN 0 64 :::33392 :::*
LISTEN 0 128 :::20048 :::*
LISTEN 0 128 :::52752 :::*
LISTEN 0 128 :::22 :::*
LISTEN 0 100 ::1:25 :::*
LISTEN 0 64 :::2049 :::*
客户端的配置
按照服务端前面的配置搭建yum 源、关闭防火墙、关闭selinux
此处省略步骤…
- 安装相关的服务,仅启动rpcbind服务即可
[root@nfs-client ~]# yum -y install nfs-utils rpcbind
[root@nfs-client ~]# systemctl start rpcbind
[root@nfs-client ~]# systemctl enable rpcbind
- 客户端查看远程服务器提供可挂载信息
[root@nfs-client ~]# showmount -e 192.168.169.10
Export list for 192.168.169.10:
/opt/chens 192.168.169.20
- 客户端挂载共享data
[root@nfs-client ~]# mount -t nfs 192.168.169.10:/opt/chens /mnt
[root@nfs-client ~]# df
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/mapper/centos-root 8374272 1749196 6625076 21% /
devtmpfs 1013260 0 1013260 0% /dev
tmpfs 1024304 0 1024304 0% /dev/shm
tmpfs 1024304 8760 1015544 1% /run
tmpfs 1024304 0 1024304 0% /sys/fs/cgroup
/dev/sda1 6281216 127440 6153776 3% /boot
tmpfs 204864 0 204864 0% /run/user/0
192.168.169.10:/opt/chens 9422848 1811968 7610880 20% /mnt
- 验证是否可以共享资源,在服务端共享的目录下创建目录或者文件,在客户端挂载的目录下查看是否存在
在服务端创建目录,文件
[root@nfs-server chens]# mkdir test{1..3} ; touch chen{1..3}
[root@nfs-server chens]# ls
chen1 chen2 chen3 test1 test2 test3
在客户端验证结果,是否存在这些目录、文件
[root@nfs-client ~]# cd /mnt/
[root@nfs-client mnt]# ls
chen1 chen2 chen3 test1 test2 test3
结果存在,nfs-server 搭建完成!