1.nfs共享目录
1.1 NFS网络文件系统
NFS(网络文件系统)服务可以将远程Linux系统上的文件共享资源挂载到本地主机的目录上,从而使得本地主机(Linux客户端)基于TCP/IP协议,像使用本地主机上的资源那样读写远程Linux系统上的共享文件。
1.2 NFS的工作模式和工作机制
- 基于C/S的架构体系工作
- 基于RPC来实现网络文件共享
1.2.1 RPC
RPC是远程过程调用协议,本地主机通过网络对远程服务器请求服务,当本地主机请求的数据是动态数据时,服务器根据本地主机的请求查找数据的过程是远程调用,而请求静态数据时则不是。
rpc工作机制如上图所示,下面来描述一下它:
- 客户端程序发起一个RPC系统调用基于TCP协议发送给另一台主机(服务端)
- 服务端监听在某个套接字上,当收到客户端的系统调用请求以后,将收到的请求和其所传递的参数通过本地的系统调用执行一遍,并将结果返回给本地的服务进程
- 服务端的服务进程收到返回的执行结果后将其封装成响应报文,再通过rpc协议返回给客户端
- 客户端调用进程接收答复信息,获得进程结果,然后调用执行继续进行
1.2.2 nfs工作机制
//NFS服务器端运行着四个进程
nfsd
mountd
idmapd
portmapper
nfsd //nfs的守护进程,监听的端口是tcp/udp(2049),不负责文件存储(由NFS服务器本地内核负责调度存储),由客户端发起的rpc请求,并将其转交给本地内核,而后存储在指定的文件系统上
mountd //用于验证客户端是否在允许访问此NFS文件系统的客户端列表中,在则允许访问(发放一个令牌,持令牌去找nfsd),否则拒绝访问,mountd的服务端口是随机的,由rpc服务(portmapper)提供随机端口号
idmapd //实现账号的集中映射,把所有本地主机在共享目录中创建的文件的所有账号都映射为NFSNOBODY,但是在访问时却能以本地用户的身份去访问
portmapper //NFS服务器的rpc服务,其监听的端口是tcp/udp(111),这是rpc服务的端口号,用于管理远程过程调用
1.2.3 nfs的工作流程
- 当客户端想要查看某一文件时,会将查看信息的指令发送给内核,内核通过nfs模块得知此文件不是本地文件,而是在远程nfs主机上
- 客户端主机的内核通过RPC协议把查看文件信息的指令(系统调用)封装成rpc请求,通过rpc的tcp111端口发送给NFS服务器主机的portmapper
- NFS服务器主机的portmapper(RPC服务进程)告诉本地客户机说NFS服务端的mountd服务在某一个端口上,(mountd的端口随机生成),去找mountd验证
- 当本地客户机得知服务端的mountd进程端口号后,通过已知的服务器mountd端口请求验证
- 当服务器的mountd收到验证请求后,验证请求的客户机是否在允许访问此NFS文件系统的客户端列表中,在则允许访问(发放一个令牌,持令牌去找nfsd),否则拒绝访问
- 验证通过后客户端持mountd发放的令牌去找服务端的nfsd进程,请求查看某文件
- 服务端的nfsd进程发起本地系统调用,向内核请求查看客户端要查看的文件的信息
- 服务端的内核执行nfsd请求的系统调用,并将结果返回给nfsd服务
- nfsd进程收到内核返回的结果后将其封装成rpc请求报文并通过tcp/ip协议返回给客户端
1.3 NFS的优缺点
1.3.1 优点
- 将一些常用的数据放在NFS服务上,进行资源共享,从而节省的本地主机的存储资源
- 部署方便、快捷,易维护
1.3.2 缺点
- 不能用于用户认证,只能基于ip认证
- NFS适用于Linux与Linux之间实现文件共享,不能实现Linux与Windows间的文件共享功能
1.4 NFS的应用场景
nfs有很多实际应用成就:
- 多个机器共享一台CDROM或其他设备。这对于在多台机器中安装软件来说更加便宜与方便
- 在大型网络中,配置一台中心NFS服务器用来放置所有用户的home目录可能会带来便利。这些目录能被输出到网络以便用户不管在哪台工作站上登录,总能得到相同的home目录
- 不同客户端可在NFS上观看影视文件,节省本地空间
- 在客户端完成的工作数据,可以备份保存到NFS服务器上用户自己的路径下
1.5 NIS
网络信息系统,是对主机帐号等系统提供集中管理的网络服务。
用户登录任何一台NIS客户机都会从NIS服务器进行登录认证,可实现用户帐号的集中管理。
NIS协议是明文的,所以NIS一般不建议在公网中使用而通常在局域网中使用。
1.6 exports文件的格式
NFS服务的配置文件是/etc/exports,在这个文件中,可以定义NFS系统的共享目录,允许访问的主机以及权限等参数
该配置文件是空白的!按以下格式配置:
共享资源1的位置及名称 tab键 对方主机ip地址(权限)
共享资源2的位置及名称 tab键 对方主机ip地址(权限)
共享资源3的位置及名称 tab键 对方主机ip地址(权限)
…
客户端常用的指定方式:
| 客户端 | 说明 |
|---|---|
| 172.16.12.129 | 指定IP地址的主机 |
| 172.16.12.0/24(或172.16.12.*) | 指定子网中的所有主机 |
| server.domain.com | 指定域名的主机 |
| *.domain.com | 指定doamin.com域中的所有主机 |
| *(或缺省) | 所有主机 |
在设置共享目录的权限的选项比较多,一般分三类:
- 访问权限选项(用来控制共享目录的访问权限)
- 用户映射选项
默认情况下,当客户端访问NFS服务器时,若远程访问的用户是root用户,则NFS服务器会将其映射成一个本地的匿名用户(该用户为nfsnobody),并将其所属的用户组也映射成匿名用户组(该用户组也为nfsnobody),如此有助于提高系统的安全性。 - 其他选项
访问权限选项
| 访问权限选项 | 说明 |
|---|---|
| ro | 设置输出目录只读 |
| rw | 设置输出目录可读写 |
用户映射选项
| 用户映射选项 | 说明 |
|---|---|
| all_squash | 将远程访问的所有普通用户及所属组都映射为匿名用户或用户组(nfsnobody) |
| no_all_squash | 不将远程访问的所有普通用户及所属用户组都映射为匿名用户或用户组(默认设置) |
| root_squash | 将root用户及所属用户组都映射为匿名用户或用户组(默认设置) |
| no_root_squash | 不将root用户及所属用户组都映射为匿名用户或用户组 |
| anonuid=xxx | 将远程访问的所有用户都映射为匿名用户,并指定该匿名用户为本地用户帐户(UID=xxx) |
| anongid=xxx | 将远程访问的所有用户组都映射为匿名用户组,并指定该匿名用户组为本地用户组(GID=xxx) |
常用的其他选项
| 其他选项 | 说明 |
|---|---|
| secure | 限制客户端只能从小于1024的TCP/IP端口连接NFS服务器(默认设置) |
| insecure | 允许客户端从大于1024的TCP/IP端口连接NFS服务器 |
| sync | 将数据同步写入内存缓冲区或磁盘中,效率较低,但可保证数据一致性 |
| async | 将数据先保存在内存缓冲区中,必要时才写入磁盘 |
| wdelay | 检查是否有相关的写操作,如果有则这些写操作一起执行,可提高效率(默认设置) |
| no_wdelay | 若有写操作则立即执行,应与sync配置使用 |
| subtree_check | 若输出目录是一个子目录,则NFS服务器将检查其父目录的权限(默认设置) |
| no_subtree_check | 即使输出目录是一个子目录,NFS服务亦不检查其父目录的权限,可提高效率 |
| nohide | 若将一个目录挂载到另一个目录之上,则原来的目录通常就被隐藏起来或看起来像空的一样。要禁用这种行为,需启用hide选项 |
客户端挂载时可以使用的特殊选项:
- rsize:其值是从服务器读取的字节数(缓冲)。默认为1024。若使用比较高的值,如8192,可以提高传输速度
- wsize:其值是写入到服务器的字节数(缓冲)。默认为1024。若使用比较高的值,如8192,可以提高传输速度
1.7 nfs管理
nfs安装
//安装
yum -y install nfs-utils
//启动
systemctl start rpcbind nfs-server
使用showmount命令测试NFS服务器的共享目录
(在客户机上测试)
//语法:showmount 选项 nfs服务器的ip地址或名称
//常用选项:
-e //显示指定的NFS服务器上所有的共享目录
[root@client ~]# showmount -e 192.168.194.163
Export list for 192.168.194.163:
/nfs/shared 192.168.194.162
exportfs
//维护exports文件导出的文件系统表的专用工具
选项:
-r //重新读取/etc/exports文件中的设置,并且立即生效,无需重启服务
[root@server ~]# exportfs -r
-v //将/etc/exports文件中的共享目录以及默认的所有权限输出到屏幕
[root@server ~]# exportfs -v
/nfs/shared 192.168.194.162(rw,sync,wdelay,hide,no_subtree_check,anonuid=300,anongid=300,sec=sys,secure,root_squash,no_all_squash)
-a //输出在/etc/exports文件所设置的所有共享目录
检查共享目录所使用的选项
在配置文件/etc/exports中,设置文件共享目录的权限可能只有两三种,但在真正输出共享目录时,实际上还带有很多默认的选项。通过查看/var/lib/nfs/etab文件,可以看到具体使用了何选项
[root@server ~]# cat /var/lib/nfs/etab
/nfs/shared 192.168.194.162(rw,sync,wdelay,hide,nocrossmnt,secure,root_squash,no_all_squash,no_subtree_check,secure_locks,acl,no_pnfs,anonuid=300,anongid=300,sec=sys,secure,root_squash,no_all_squash)
2.NFS配置实例
- NFS服务器管理
- 实验环境:客户端主机+NFS服务器
- 步骤一:检查网络的连通性(略)
- 步骤二:安装NFS服务器
//服务器
[root@server ~]# yum -y install nfs-utils (若是没有rpcbind服务,则也要安装,这里虚拟机默认已经安装)
......
......
Installed:
nfs-utils.x86_64 1:1.3.0-0.48.el7
Complete!
//客户端
[root@client ~]# yum -y install rpcbind //虚拟机默认是安装的,谨记:客户端只需要安装rpcbind,不需要安装nfs服务
- 步骤三:配置NFS服务器配置文件
a.创建共享资源
[root@server ~]# mkdir /nfs/shared -p
b.给共享资源设置权限
[root@server ~]# chmod -R 777 /nfs
c.配置NFS服务器的配置文件(/etc/exports)
//共享/nfs/upload目录将192.168.194.0/24的客户机的数据上传目录,并将所有用户及所属的用户组都映射为nfs-upload,其UID与GID均为300
[root@server ~]# vim /etc/exports
[root@server ~]# cat /etc/exports
/nfs/shared 192.168.194.162(rw,anonuid=300,anongid=300)
d. 创建用户
[root@server ~]# groupadd -g 300 nfs-upload
[root@server ~]# useradd -u 300 -g 300 nfs-upload
- 步骤四:重启服务
[root@client ~]# systemctl restart nfs-server
[root@server ~]# systemctl restart nfs-server
6.配置防火墙
在不关闭防火墙的情况下,配置防火墙的guize
[root@server ~]# firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=192.168.194.16/32 service name=nfs accept'
success
[root@server ~]# firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=192.168.194.162/32 service name=rpc-bind accept'
success
[root@server ~]# firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=192.168.194.162/32 service name=mountd accept'
success
[root@server ~]# firewall-cmd --reload
success
[root@client ~]# firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=192.168.194.0/24 service name=rpc-bind accept'
success
[root@client ~]# firewall-cmd --reload
success
- 在客户端上创建挂载点,并进行挂载测试
[root@client ~]# mkdir /zml
[root@client ~]# mount -t nfs 192.168.194.163:/nfs/shared /zml
[root@client ~]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/rhel-root 17G 1.1G 16G 7% /
devtmpfs 982M 0 982M 0% /dev
tmpfs 993M 0 993M 0% /dev/shm
tmpfs 993M 8.6M 984M 1% /run
tmpfs 993M 0 993M 0% /sys/fs/cgroup
/dev/sda1 1014M 125M 890M 13% /boot
/dev/sr0 3.8G 3.8G 0 100% /mnt
tmpfs 199M 0 199M 0% /run/user/0
192.168.194.163:/nfs/shared 17G 1.1G 16G 7% /zml
[root@client ~]# cd /zml
[root@client zml]# touch a
[root@client zml]# ll
total 0
-rw-r--r--. 1 300 300 0 Jan 8 15:27 a
[root@server ~]# cd /nfs/shared/
[root@server shared]# ll
total 0
-rw-r--r--. 1 nfs-upload nfs-upload 0 Jan 8 15:27 a
- 配置永久挂载(/etc/fstab)
[root@client ~]# vim /etc/fstab
[root@client ~]# cat /etc/fstab |grep /zml
192.168.194.163:/nfs/shared /zml nfs defaults,_netdev 0 0
[root@client ~]# umount /zml
[root@client ~]# mount -a
[root@client ~]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/rhel-root 17G 1.1G 16G 7% /
devtmpfs 982M 0 982M 0% /dev
tmpfs 993M 0 993M 0% /dev/shm
tmpfs 993M 8.6M 984M 1% /run
tmpfs 993M 0 993M 0% /sys/fs/cgroup
/dev/sda1 1014M 125M 890M 13% /boot
/dev/sr0 3.8G 3.8G 0 100% /mnt
tmpfs 199M 0 199M 0% /run/user/0
192.168.194.163:/nfs/shared 17G 1.1G 16G 7% /zml
1500
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
