网络文件系统(NFS)是一种分布式文件系统协议,允许您通过网络共享远程目录。 使用 NFS ,您可以在系统上安装远程目录,并使用远程计算机上的文件,就像它们是本地文件一样。
默认情况下,NFS
协议未加密,与 Samba
不同,它不提供用户身份验证。 对服务器的访问受客户端IP地址或主机名的限制。
在本教程中,我们将讨论如何在 Ubuntu 18.04
上设置 NFSv4
服务器。 我们还将向您展示如何在客户端上安装 NFS
文件系统。
此示例假定您有一台运行 Ubuntu 18.04
的服务器和另一台运行任何其他 Linux
发行版的服务器。 服务器和客户端应该能够通过专用网络相互通信。 如果您的托管服务提供商不提供私有 IP 地址,您可以使用公共 IP 地址并配置服务器防火墙,以允许端口 2049
上的流量仅来自可信来源。
此示例中的计算机具有以下IP:
NFS Server IP: 192.168.33.10
NFS Clients IPs: From the 192.168.33.0/24 range
设置 NFS
服务器
我们将从安装和配置 NFS
服务器开始。
刷新包索引并安装 NFS
服务器包:
sudo apt update
sudo apt install nfs-kernel-server
一旦安装完成, NFS
服务将会自动启动。
默认情况下,在 Ubuntu 18.04
上禁用 NFS
版本 2。 版本 3 和 4 已启用。 您可以通过运行以下 cat
命令来验证:
sudo cat /proc/fs/nfsd/versions
输出类似如下:
-2 +3 +4 +4.1 +4.2
NFS v2
现在很老了,没有理由启用它。
NFS
服务器配置选项在 /etc/default/nfs-kernel-server
和 /etc/default/nfs-common
文件中设置。 在我们的例子中,默认设置就足够了。
配置 NFSv4
服务器时,最好使用全局 NFS
根目录,并将实际目录绑定到共享挂载点。 在此示例中,我们将使用 /srv/nfs4 director
作为 NFS
根目录。
我们将分享两个具有不同配置设置的目录 ( /var/www
和 /opt/backups
) ,以更好地解释如何配置 NFS
挂载。
/var/www/
由用户和组拥有,www-data
和 /opt/backups
由 root
拥有。
mkdir
命令创建导出文件系统:sudo mkdir -p /srv/nfs4/backups
sudo mkdir -p /srv/nfs4/www
sudo mount --bind /opt/backups /srv/nfs4/backups
sudo mount --bind /var/www /srv/nfs4/www
sudo vim /etc/fstab
/opt/backups /srv/nfs4/backups none bind 0 0
/var/www /srv/nfs4/www none bind 0 0
下一步是定义将由 NFS
服务器,共享选项和允许访问这些文件系统的客户端导出的文件系统。 为此,请打开 /etc /exports
文件:
/etc/exports
文件还包含描述如何导出目录的注释。
在我们的例子中,我们需要导出 www 和 backups 目录,并且只允许访问 192.168.33.0/24 网络上的客户端:
/srv/nfs4 192.168.33.0/24(rw,sync,no_subtree_check,crossmnt,fsid=0)
/srv/nfs4/backups 192.168.33.0/24(ro,sync,no_subtree_check) 192.168.33.3(rw,sync,no_subtree_check)
/srv/nfs4/www 192.168.33.110(rw,sync,no_subtree_check)
第一行包含fsid = 0
,它定义了NFS
根目录/srv/nfs
。 此NFS
卷上的访问权限仅授予192.168.33.0/24
子网中的客户端。 需要 crossmnt
选项来共享作为导出目录的子目录的目录。
在第二行显示如何为一个文件系统指定多个导出规则。 它导出 /srv/nfs4/backups
目录,并且只允许对整个192.168.33.0/24
范围的读访问以及对 192.168.33.3
的读写访问。 sync
选项告诉NFS在回复之前将更改写入磁盘。
最后一行应该是不言自明的。 有关所有可用选项的更多信息,请在终端中键入 man exports。
sudo exportfs -ra
每次修改 /etc/exports
文件时都需要运行上面的命令。 如果有任何错误或警告,它们将显示在终端上。
sudo exportfs -v
输出将包括其选项的所有共享。 如您所见,还有一些我们尚未在 /etc/exports 文件中定义的选项。 这些是默认选项,如果您想更改它们,您需要明确设置这些选项。
内容如下:
/srv/nfs4/backups 192.168.33.3(rw,wdelay,root_squash,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4/www 192.168.33.110(rw,wdelay,root_squash,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4 192.168.33.0/24(rw,wdelay,crossmnt,root_squash,no_subtree_check,fsid=0,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4/backups 192.168.33.0/24(ro,wdelay,root_squash,no_subtree_check,sec=sys,ro,secure,root_squash,no_all_squash)
在 Ubuntu
上,默认情况下启用 root_squash
。 这是有关NFS安全性的最重要选项之一。 它可以防止从客户端连接的 root
用户对已挂载的共享具有 root
权限。 它会将根 UID
和 GID
映射到 nobody/nogroup UID/GID
。
为了使客户端计算机上的用户能够访问, NFS
希望客户端的用户和组 ID
与服务器上的用户和组 ID
匹配。 另一种选择是使用 NFSv4 idmapping
功能将用户和组 ID
转换为名称,反之亦然。
此时,您已在 Ubuntu
服务器上设置了 NFS
服务器。 您现在可以转到下一步并配置客户端并连接到 NFS
服务器。
如果在网络上运行防火墙,则需要添加一条规则以启用 NFS 端口上的流量。
sudo ufw allow from 192.168.33.0/24 to any port nfs
sudo ufw status
To Action From
-- ------ ----
2049 ALLOW 192.168.33.0/24
22/tcp ALLOW Anywhere
22/tcp (v6) ALLOW Anywhere (v6)
既然已设置NFS
服务器并导出共享,则下一步将配置客户端并装入远程文件系统。您也可以在 macOS
和 Windows
机器上安装 NFS 共享,但我们将专注于 Linux
系统。
在客户端计算机上,我们只需要安装安装远程 NFS 文件系统所需的工具。
在 Debian
和 Ubuntu
上安装 NFS
客户端
包含用于在基于 Debian
的发行版上挂载 NFS
文件系统的程序的程序包的名称是 nfs-common
。 要安装它运行:
sudo apt update
sudo apt install nfs-common
在 CentOS
和 Fedora
上安装 NFS
客户端,在 Red Hat
及其衍生产品上安装 nfs-utils
包:
sudo yum install nfs-utils
我们将在 IP 192.168.33.110
的客户端计算机上工作,它具有对 /srv/nfs4/www
文件系统的读写访问权限,并且只读访问 /srv/nfs4/backups
文件系统。
为挂载点创建两个新目录。 您可以在任何所需位置创建此目录。
sudo mkdir -p /backups
sudo mkdir -p /srv/www
使用 mount
命令挂载导出的文件系统:
我们可以通过 mount --bind
命令来将两个目录连接起来,mount --bind
命令是将前一个目录挂载到后一个目录上,所有对后一个目录的访问其实都是对前一个目录的访问
sudo mount -t nfs -o vers=4 192.168.33.10:/backups /backups
sudo mount -t nfs -o vers=4 192.168.33.10:/www /srv/www
其中 192.168.33.10
是 NFS
服务器的 IP
。 您也可以使用主机名而不是 IP 地址,但客户端计算机需要解析它。 这通常通过将主机名映射到 /etc/hosts
文件中的IP来完成。安装 NFSv4 文件系统时,需要省略 NFS 根目录,因此需要使用/backups
而不是 /srv/nfs4/backups
。
df -h
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/VolGroup00-LogVol00 38G 1.7G 36G 5% /
devtmpfs 236M 0 236M 0% /dev
tmpfs 244M 0 244M 0% /dev/shm
tmpfs 244M 4.5M 240M 2% /run
tmpfs 244M 0 244M 0% /sys/fs/cgroup
/dev/sda2 1014M 87M 928M 9% /boot
tmpfs 49M 0 49M 0% /run/user/1000
192.168.33.10:/backups 9.7G 1.2G 8.5G 13% /backups
192.168.33.10:/www 9.7G 1.2G 8.5G 13% /srv/www
sudo vim /etc/fstab
并添加以下行:
192.168.33.10:/backups /backups nfs defaults,timeo=900,retrans=5,_netdev 0 0
192.168.33.10:/www /srv/www nfs defaults,timeo=900,retrans=5,_netdev 0 0
要在安装 NFS 文件系统时查找有关可用选项的更多信息,请在终端中键入 man nfs
。
安装远程文件系统的另一个选择是使用 autofs
工具或创建 systemd
单元。
让我们通过为每个共享创建一个新文件来测试对共享的访问。
touch
命令在 /backups
目录中创建一个测试文件:sudo touch /backups/test.txt
/backup
文件系统以只读方式导出,正如预期的那样,您将看到 Permission denied
错误消息:
touch: cannot touch /backups/test: Permission denied
sudo touch /srv/www/test.txt
touch: cannot touch '/srv/www': Permission denied
如果您记得 /var/www
目录由 www-data
用户拥有,并且此共享具有 root_squash
选项集,该选项将 root
用户映射到对远程共享没有写权限的 nobody
用户和 nogroup
组。
假设您在客户端计算机上使用了与远程服务器上相同的UID
和 GID
的 www-data
(例如,如果您在两台计算机上都安装了 nginx
),则可以测试以用户身份创建文件 www-data
使用以下命令:
sudo -u www-data touch /srv/www/test.txt
该命令将不显示输出,这意味着文件已成功创建。
要验证它列出 /srv/www
目录中的文件:
ls -la /srv/www
输出应显示新创建的文件:
drwxr-xr-x 3 www-data www-data 4096 Jun 23 22:18 .
drwxr-xr-x 3 root root 4096 Jun 23 22:29 ..
-rw-r--r-- 1 www-data www-data 0 Jun 23 21:58 index.html
-rw-r--r-- 1 www-data www-data 0 Jun 23 22:18 test.txt
卸载NFS
文件系统
如果不再需要远程NFS
共享,则可以使用 umount
命令将其卸载为任何其他已装入的文件系统。 例如,要卸载 /backup
共享,您将运行:
sudo umount /backups
如果在 /etc/fstab
文件中定义了挂载点,请确保通过在行的开头添加#来删除该行或将其注释掉。
来源参考:憧憬在 aoppp.com发布