Network File System(网络文件系统,通过网络让不同的机器系统之间可以彼此共享文件和目录,类似Samba服务。
在网络中服务器和客户端进行连接都是通过端口进行数据传输,而NFS服务端的端口是随机的,从而导致NFS客户端不知道端口号是多少,不能直接和服务端进行传输,其实NFS服务器是通过远程过程调用(remote procedure call RPC)协议来完成,RPC服务会统一NFS的端口,客户端和服务端连接时通过RPC来沟通NFS使用了那些端口,之后利用这些端口(小于1024)进行数据传输。
RPC不会主动向NFS服务去获取端口号,所以我们要先启动RPC,之后在启动NFS,NFS才把自己开发的端口向RPC去注册端口号
比方:你喜欢的女孩生日了,你想给她送一份礼物,但是你又不知道她喜欢什么,怕自己的爱打水漂,所以找到了她的闺蜜,问到了她喜欢的一下东西。
(1)NFS server端会随机开放一个端口,去向RPC去注册这些端口,RPC会记录下来,并开放自己的111端口,等待客户端RPC的请求
(2)NFS Client端口使用自己的RPC端口去连接Server端的RPC端口,Server端的RPC收到请求后,会将自己记录的NFS端口信息告知客户端
nfs-utils-*
rpcbind-*
/etc/exports #NFS服务的主要配置文件
/usr/sbin/exportfs #NFS服务的管理命令
/usr/sbin/showmount #客户端的查看命令
/var/lib/nfs/etab #记录NFS分享出来的目录的完整权限设定值
/var/lib/nfs/xtab #记录曾经登录过的客户端信息
主配置文件:/etc/exports
/etc/exports格式:
共享目录 + 客户端+(配置参数)
/opt/share 192.168.100.0/24(rw等等)
共享目录:指NFS共享给客户端使用的目录
客户端:网络中可以访问这个共享目录的计算机
客户端指定方式:
指定ip地址:192.168.100.100
指定子网中的所有主机:192.168.100.0
指定域名主机:www.chinaskills.cn
指定域中的所有主机:*.chinaskills.cn
所有主机:*
/etc/exports配置参数:
ro 只读访问
rw 读写访问
sync 所有数据在请求时写入共享
async NFS在写入数据前可以相应请求
secure NFS通过1024以下的安全TCP/IP端口发送
insecure NFS通过1024以上的端口发送
wdelay 如果多个用户要写入NFS目录,则归组写入(默认)
no_wdelay 如果多个用户要写入NFS目录,则立即写入,当使用async时,无需此设置。
hide 在NFS共享目录中不共享其子目录
no_hide 共享NFS目录的子目录
subtree_check 如果共享/usr/bin之类的子目录时,强制NFS检查父目录的权限(默认)
no_subtree_check 和上面相对,不检查父目录权限
all_squash 共享文件的UID和GID映射匿名用户anonymous,适合公用目录。
no_all_squash 保留共享文件的UID和GID(默认)
root_squash root用户的所有请求映射成如anonymous用户一样的权限(默认)
no_root_squas root用户具有根目录的完全管理访问权限
anonuid=xxx 指定NFS服务器/etc/passwd文件中匿名用户的UID
anongid=xxx 指定NFS服务器/etc/passwd文件中匿名用户的GID
客户端:
showmount -e NFS服务端ip地址
服务端:
exportfs
命令格式:mount + NFS服务器ip:共享目录 本地挂载目录
mount 192.168.100.100:/home/zhangsan /media/zhangsan
mount -o vers=3 192.168.100.100:/home/zhangsan /media/zhangsan
卸载:
umount 挂载点
umount /media/zhangsan
exports -au #服务端停止共享
exports -ra #重新进行共享
自动挂载:
格式:: nfs 0 0
192.168.100.100:/home/zhangsan /media/zhangsan nfs,vers=3 defaults 0 0
mount - a
exportfs命令
格式:exportfs [-aruv]
-a #全部挂载或卸载主配置文件中的内容(一般都和-u -r 一起使用)
-r #重新读取主配置文件中的信息,并同步更新/etc/exports,/var/lib/nfs/xtab
-u #卸载单一目录(和-a使用为卸载所有主配置文件中的目录)
-v #将详细信息输出到屏幕上
例子:
exportfs -au #卸载所有共享目录
exportfs -rav #重新共享所有目录并输出详细信息
rpcinfo命令
rpcinfo -p #查看nfs和rpc开放了那些端口
PS:在做了iptables的环境下不能重新启动rpc和nfs服务,最好就是重新获取信息,因为你重启的时候NFS的端口会改变,那样iptables开放的端口就失效了。
• 共享/data/share目录;
• 用于存储server01主机的web数据;
• 仅允许192.168.100.0网段访问该共享。
[root@localhost ~]# yum -y install nfs-utils rpcbind
[root@localhost ~]# mkdir /data/share -p
[root@localhost ~]# touch /data/share/a.txt
[root@localhost ~]# echo aaaa > /data/share/a.txt
[root@localhost ~]# vim /etc/exports
[root@localhost ~]# exportfs -arv
exporting 192.168.100.0/24:/data/share
[root@localhost ~]# systemctl restart nfs
使用rpcinfo -p 命令查看开放的端口
[root@localhost ~]# iptables -I INPUT -p tcp --dport 111 -j ACCEPT
[root@localhost ~]# iptables -I INPUT -p tcp --dport 2049 -j ACCEPT
[root@localhost ~]# iptables -I INPUT -p udp --dport 111 -j ACCEPT
[root@localhost ~]# iptables -I INPUT -p udp --dport 2049 -j ACCEPT
[root@localhost ~]# systemctl stop firewalld.service
[root@localhost ~]# setenforce 0
客户端测试:
因为NFS的端口一直改变,而防火墙又不能关闭,所有我们为了方便将NFS的端口给它固定住,又由于nfs服务需要开启 mountd,nfs,nlockmgr,portmapper,rquotad这5个服务,NFS重启是除了portmapper不会改变之外,其他四个都是会改变,所有我们要一起给进行端口绑定
1)首先我们要找到有那4个连续而有没有服务运行的端口
grep 50000 /etc/services | more
2)在/etc/sysconfig/nfs文件最后面添加
RQUOTAD_PORT=50001
LOCKD_TCPPORT=50002
LOCKD_UDPPORT=50002
MOUNTD_PORT=50003
STATD_PORT=50004
3)修改/etc/modprobe.d/lockd.conf,末尾添加
options lockd nlm_tcpport=30002
options lockd nlm_udpport=30002
3)重启服务
systemctl restart nfs-config
systemctl restart nfs-idmap
systemctl restart nfs-lock
systemctl restart nfs-server
4)查看端口
ss -tnlp | grep -E "50000|111|2049"
5)iptables设置
iptables -I INPUT -p tcp --dport 50001:50004 -j ACCEPT
iptabels -I INPUT -p udp --dport 50001:50004 -j ACCEPT
iptables -l INPUT -p tcp --dport 111 -j ACCEPT
iptables -I INPUT -p tcp --dport 2049 -j ACCEPT
iptables -I INPUT -p udp --dport 111 -j ACCEPT
iptables -I INPUT -p udp --dport 2049 -j ACCEPT
nfs - 启动相应RPC服务进程来服务对于NFS文件系统的请求.
* nfslock - 一个可选的服务,用于启动相应的RPC进程,允许NFS客户端在服务器上对文件加锁.
* portmap - Linux的RPC服务,它响应RPC服务的请求和与请求的RPC服务建立连接.
下面的RPC进程在后台一起工作服务于NFS服务:
* rpc.mountd - 这个进程接受来自NFS客户端的加载请求和验证请求的文件系统正在被输出.这个进程由NFS服务自动启动,不需要用户的配置.
* rpc.nfsd - 这个进程是NFS服务器.它和Linux核心一起工作来满足NFS客户端的动态需求,例如提供为每个NFS客户端的每次请求服务器线程.这个进程对应于nfs服务.
* rpc.lockd - 一个可选的进程,它允许NFS客户端在服务器上对文件加锁.这个进程对应于nfslock服务.
* rpc.statd - 这个进程实现了网络状态监控(NSM)RPC协议,通知NFS客户端什么时候一个NFS服务器非正常重启动.这个进程被nfslock服务自动启动,不需要用户的配置.
* rpc.rquotad - 这个进程对于远程用户提供用户配额信息. 这个进程被nfs服务自动启动,不需要用户的配置.