文章目录
- 一、基本了解
- 二、NFS工作机制
- 2.1 示例
- 三、NFS配置文件
- 3.1 指定客户端
- 3.2 指定权限
- 3.2.1 访问权限
- 3.2.2 用户映射选项
- 3.2.3 其他选项
- 四、测试案例
- 4.1 安装nfs服务
- 4.2 客户端查看nfs共享策略
- 4.3 客户端挂载nfs共享目录
- 4.3.1 手动挂载
- 4.3.2 自动挂载
- 4.3.3 exportfs重新读取共享策略
- 4.4 测试效果
一、基本了解
什么是NFS?
- NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。
- 在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。
- nfs适用于Linux与Unix之间实现文件共享,不能实现Linux与Windows间的文件共享功能。
- nfs是运行在应用层的协议,其监听于2049/tcp和2049/udp套接字上。
- nfs服务只能基于IP进行认证。
nfs的体系组成:
- 一台nfs服务器和若干台客户机组成。
- 客户机通过TCP/IP网络远程访问存放在NFS服务器上的数据。在NFS服务器正式启用前,需要根据实际环境和需求,配置一些NFS参数。
二、NFS工作机制
- nfs是基于rpc来实现网络文件系统共享的。
RPC的概念:
- RPC(Remote Procedure Call Protocol),远程过程调用协议,是一种通过网络从远程计算机程序上请求服务,而不需要了解底层网络技术的协议。
- RPC协议假定某些传输协议的存在,如TCP或UDP,为通信程序之间携带信息数据。在OSI网络通信模型中,RPC跨越了传输层和应用层。
- RPC采用客户机/服务器模式。请求程序就是一个客户机,而服务提供程序就是一个服务器。
请求流程:
- 客户端程序发起一个RPC系统调用,基于TCP协议发送给服务端。
- 服务端监听在某个套接字上,当收到客户端的系统调用请求以后,将收到的请求和其所传递的参数通过本地的系统调用执行一遍,并将结果返回给本地的服务进程。
- 服务端的服务进程收到返回的执行结果后,将其封装成响应报文,再通过rpc协议返回给客户端。
- 客户端调用进程接收答复信息,获得进程结果,然后调用执行继续进行。
2.1 示例
NFS服务器端四个进程:
- idmapd:实现用户帐号的集中映射,把所有的帐号都映射为NFSNOBODY,但是在访问时却能以本地用户的身份去访问。
- mountd:用于验证客户端是否在允许访问此NFS文件系统的客户端列表中,在则允许访问(发放一个令牌,持令牌去找nfsd),否则拒绝访问。mountd服务端口是随机的,由rpc服务 portmapper)提供随机端口号。
- nfsd:nfs的守护进程,监听在2049/tcp和2049/udp端口上。不负责文件存储(由NFS服务器本地内核负责调度存储),用于理解客户端发起的rpc请求,并将其转交给本地内核,而后存储在指定位置。
- portmapper:NFS服务器的rpc服务,其监听于111/TCP和111/UDP套接字上,用于管理远程过程调用(RPC)。
工作流程:
- 客户端发起查看file信息的指令(ls file)给内核,内核通过NFS模块得知此文件并不是本地文件系统中的文件,而是在远程NFS主机上的一个文件。
- 客户端主机的内核通过RPC协议把查看file信息的指令(系统调用)封装成rpc请求,通过TCP的111端口发送给NFS服务端主机的portmapper进程。
- NFS服务端主机的portmapper(RPC服务进程)告诉客户端mountd进程端口。因为mountd在提供服务时必须要向portmapper注册一个端口号,所以portmapper知道mountd工作在哪个端口。
- 客户端从portmapper得知服务端mountd端口号后,开始请求验证。
- mountd收到客户端的验证请求后,验证客户端是否在允许访问此NFS文件系统的客户端列表中,若在列表中,则允许访问(发放一个令牌,持令牌去找nfsd);否则拒绝访问。
- 验证通过后客户端持mountd发放的令牌去找服务端的nfsd进程,请求查看某文件。
- 服务端的nfsd进程发起本地系统调用,向内核请求查看客户端要查看的文件的信息。
- 服务端的内核执行nfsd请求的系统调用,并将结果返回给nfsd服务。
- nfsd进程收到内核返回的结果后,将其封装成rpc回执报文并通过tcp/ip协议返回给客户端。
三、NFS配置文件
基本了解:
- nfs的主配置文件是/etc/exports,在此文件中,可以定义NFS系统的输出目录(即共享目录)、访问权限和允许访问的主机等参数。该文件默认为空,没有配置输出任何共享目录,这是基于安全性的考虑,如此即使系统启动了NFS服务也不会输出任何共享资源。
配置文件设置格式:
- exports文件中每一行提供了一个共享目录的设置,其命令格式为:<输出目录>[客户端1(选项1,选项2,…)] [客户端2(选项1,选项2,…)]
- 除输出目录是必选参数外,其他参数均是可选项。
- 格式中的输出目录和客户端之间、客户端与客户端之间都使用空格分隔,但客户端与选项之间不能有空格。
3.1 指定客户端
- 客户端是指网络中可以访问这个NFS共享目录的计算机。
- 客户端的指定非常灵活,可为单个主机的IP或域名,亦可为某个子网或域中的主机等。
| 客户端 | 说明 |
|---|---|
| 172.16.12.129 | 指定IP地址的主机 |
| 172.16.12.0/24(或172.16.12.*) | 指定子网中的所有主机 |
| www.qingjun.com | 指定域名的主机 |
| *.qingjun.com | 指定qingjun.com域中的所有主机 |
| *(或缺省) | 所有主机 |
3.2 指定权限
访问权限选项:
- 选项用来设置共享目录的访问权限、用户映射等。
- exports文件中的选项比较多,一般可分为三类:
- 访问权限选项,用于控制共享目录的访迫权限。
- 用户映射选项:默认情况下,当客户端访问NFS服务器时,若远程访问的用户是root用户,则NFS服务器会将其映射成一个本地的匿名用户 (该用户为nfsnobody),并将其所属的用户组也映射成匿名用户组(该用户组也为nfsnobody),如此有助于提高系统的安全性。
- 其他选项。
3.2.1 访问权限
| 访问权限选项 | 说明 |
|---|---|
| ro | 设置输出目录只读 |
| rw | 设置输出目录可读写 |
3.2.2 用户映射选项
| 用户映射选项 | 说明 |
|---|---|
| all_squash | 将远程访问的所有普通用户及所属组都映射为匿名用户或用户组(nfsnobody) |
| no_all_squash | 不将远程访问的所有普通用户及所属用户组都映射为匿名用户或用户组(默认设置) |
| root_squash | 将root用户及所属用户组都映射为匿名用户或用户组(默认设置) |
| no_root_squash | 不将root用户及所属用户组都映射为匿名用户或用户组 |
| anonuid=xxx | 将远程访问的所有用户都映射为匿名用户,并指定该匿名用户为本地用户帐户(UID=xxx) |
| anongid=xxx | 将远程访问的所有用户组都映射为匿名用户组,并指定该匿名用户组为本地用户组(GID=xxx) |
3.2.3 其他选项
| 其他选项 | 说明 |
|---|---|
| secure | 限制客户端只能从小于1024的TCP/IP端口连接NFS服务器(默认设置) |
| insecure | 允许客户端从大于1024的TCP/IP端口连接NFS服务器 |
| sync | 将数据同步写入内存缓冲区或磁盘中,效率较低,但可保证数据一致性 |
| async | 将数据先保存在内存缓冲区中,必要时才写入磁盘 |
| wdelay | 检查是否有相关的写操作,如果有则这些写操作一起执行,可提高效率(默认设置) |
| no_wdelay | 若有写操作则立即执行,应与sync配置使用 |
| subtree_check | 若输出目录是一个子目录,则NFS服务器将检查其父目录的权限(默认设置) |
| no_subtree_check | 即使输出目录是一个子目录,NFS服务亦不检查其父目录的权限,可提高效率 |
| nohide | 若将一个目录挂载到另一个目录之上,则原来的目录通常就被隐藏起来或看起来像空的一样。要禁用这种行为,需启用hide选项 |
四、测试案例
4.1 安装nfs服务
1.服务端和客户端都要安装nfs服务。
2.服务端设置共享策略。
4.2 客户端查看nfs共享策略
- 客户端测试nfs服务器共享策略。使用shoumount命令测试。
| 参数 | 释义 |
|---|---|
| -a | 显示指定NFS服务器的所有客户端主机及其所连接的目录 |
| -d | 显示指定的NFS服务器中已被客户端连接的所有输出目录 |
| -e | 显示指定的NFS服务器上所有输出的共享目录 |
4.3 客户端挂载nfs共享目录
4.3.1 手动挂载
1.客户端上执行挂载命令,将nfs服务起192.168.130.160上的/opt目录挂载到本地的/opt目录。
[root@client ~]# mount -t nfs 192.168.130.160:/opt /opt
2.此时可以在客户端的/opt目录下查看到nfs服务器上/opt下的qingjun文件。
4.3.2 自动挂载
1.在/etc/fstab文件中定义挂载策略,_netdev表示当nfs服务器没有启动时可以忽略该项挂载策略,防止客户端一直处于挂载中。
192.168.130.160:/opt /opt nfs defaults,_netdev 0 0
2.挂载,查看效果。
4.3.3 exportfs重新读取共享策略
- exportfs:维护exports文件导出的文件系统表的专用工具。
| 参数 | 释义 |
|---|---|
| -a | 输出在/etc/exports文件中所设置的所有目录。 |
| -r | 重新读取/etc/exports文件中的设置,并使其立即生效,无需重启服务。 |
| -u | 停止输出某一目录。 |
| -v | 在输出目录时将目录显示到屏幕上。 |
4.4 测试效果
1.服务端创建共享策略,指定192.168.130.161服务器可读可写,并重新读取。
2.客户端挂载共享目录。
mount -t nfs 192.168.130.160:/nfs /opt
3.在nfs服务器的共享目录下创建文件222,属主属组为root,此时在客户端无法编辑222文件。
4.服务端修改222文件属主属组为nfsnobody之后,客户端就可以编辑此文件了。
