Linux运维 第三阶段 (七) NFS

Linux运维 第三阶段 (七) NFS配置

1,服务器端软件:安装nfs-utils和portmap(rpcbind)
nfs-utils: 提供rpc.nfsd 及 rpc.mountd这两个NFS DAEMONS的套件
portmap: NFS其实可以被看作是一个RPC SERVER PROGRAM,而要启动一个RPC SERVER
PROGRAM,都要做好PORT的对应工作,而且这样的任务就是由PORTMAP来完成的。通俗的说PortMap就是用来做PORT的mapping
的。
NFS需要启动的DAEMONS:参考NFS daemons

  • pc.nfsd:主要复杂登陆权限检测等 必须
  • portmap:处理RPC程序客户端和服务器端的端口对应 必须
  • rpc.mountd:负责NFS的档案系统,当CLIENT端通过rpc.nfsd登陆SERVER后,对clinet存取server的文件进行一系列的管理 必须
  • lockd:处理通过RPC包的锁定请求
  • statd:为nfs锁定服务提供crash恢复功能
  • rquotad:处理当用户通过nfsmount到远程服务器时的配额
  • 守护进程启动顺序:rpc.portmap, rpc.mountd, rpc.nfsd, rpc.statd, rpc.lockd (新版本会自动跟着nfsd启动起来), rpc.rquotad

NF服务器端命令

  • yum  install  nfs-utils  portmap
  • chkconfig rpcbind on #chkconfig:更新和查询各运行级别的系统服务
  • chkconfig nfs on
  • service rpcbind start
  • service nfs start

2,服务器端配置文件/etc/exports:指定要共享的目录及权限  man exports

 
NFS客户端用户映射:客户端登陆用户为root或者其他用户,然后根据服务器端nfs server配置,相应客户端连接映射到nfs服务器端的用户为root或者指定用户(通过anonuid或者anongid来设定)、nfsnobody等。最后这个映射用户和共享目录的权限共同影响该客户端连接是否有读写权限。
手动设定客户端、服务器端用户映射,参数:map_static=/etc/nfs.map
/etc/nfs.map文件映射内容如下:
# remote local
gid 500 1000
uid 500 2003
参考:NFS 学习笔记中关于nfs客户连接用户身份的描述,没有验证过下述的描述:

  • 客户端连接时候,对普通用户的检查,NO.1如果明确设定了普通用户被压缩的身份,那么此时客户端用户的身份转换为指定用户,NO.2如果NFS
    server上面有同名用户,那么此时客户端登录账户的身份转换为NFS
    server上面的同名用户,NO.3如果没有明确指定,也没有同名用户,那么此时 用户身份被压缩成nfsnobody
  • 客户端连接的时候,对root的检查,NO.1如果设置no_root_squash,那么此时root用户的身份被压缩为NFS
    server上面的root,NO.2如果设置了all_squash、anonuid、anongid,此时root
    身份被压缩为指定用户,NO.3如果没有明确指定,此时root用户被压缩为nfsnobody,NO.4如果同时指定no_root_squash与
    all_squash 用户将被压缩为 nfsnobody,如果设置了anonuid、anongid将被压缩到所指定的用户与组

3,防火墙设置修改
默认情况下,CentOS6服务器版安装完成后,防火墙iptables配置中只放开了22端口。
在nfs配置文件/etc/sysconfig/nfs中指定nfs服务相关端口,并修改防火墙放开相应端口

修改iptables配置文件/etc/sysconfig/iptables,放开111(portmap服务端口),2049(nfs服务端口)
(Red Hat 7)

firewall-cmd --permanent --add-port=111/tcp

firewall-cmd --permanent --add-port=2049/tcp

firewall-cmd  --reload

4,/etc/hosts.allow配置修改
/etc/hosts.allow,/etc/hosts.deny 描述哪些主机允许使用本地的INET服务。
默认这里好像可以不需要修改,不过最好设置成只允许需要的客户端机器连接,然后其他机器的连接都deny
#服务进程名:主机列表:当规则匹配时可选的命令操作
server_name:hosts-list[:command]
在/etc/hosts.allow中添加允许客户端访问的规则
ALL:127.0.0.1         #允许本机访问本机所有服务进程
ALL:192.168.0.135     #允许192.168.0.135客户端机器访问本机所有服务进程
smbd:192.168.0.0/255.255.255.0    #允许网段的IP访问smbd服务
sshd:192.168.100.0/255.255.255.0        #允许192.168.100.网段的IP访问服务器上的sshd进程
sshd:60.28.160.244                                  #允许外网的60.28.160.244访问这个服务器上的sshd进程
在/etc/hosts.deny中 被禁制登陆的尝试连接信息也可以设置成记录下来并发到用户邮箱
sshd:ALL    #禁止所有

5,修改共享出去的目录权限为760,并修改目录所有组为nfsnobody
参考:问题7

6,客户端挂载:执行下面的指令就可以把NFS服务器(IP地址为192.168.1.45)共享出来的/home挂装到本地的/mnt/nfs/home目录下。
showmount -e [nfs-serverip]: 查看nfs服务器共享出来的资源
mount  192.168.1.45:/home /mnt/nfs/home
7,NFS性能测试:

  • 根据命令time dd if=/dev/zero of=/mnt/home bs=16k count=16384 来设置合理的WSIZE,RSIZE值
  • 根据nfs客户端数,在/etc/sysconfig/nfs配置文件中设置合适的nfs服务器端进程数RPCNFSDCOUNT,默认为8

exportfs命令:如果我们在启动了NFS之后又修改了/etc/exports,是不是还要重新启动nfs呢?这个时候我们就可以用exportfs命令来使改动立刻生效,该命令格式如下:
exportfs [-aruv] -a :全部mount或者unmount /etc/exports中的内容 -r :重新mount
/etc/exports中分享出来的目录 -u :umount 目录 -v :在 export 的時候,将详细的信息输出到屏幕上。
showmount命令:显示NFS服务器的挂载信息。
showmount -e [nfs-server]:显示指定的NFS SERVER上export出来的目录,不指定后面IP时查看的是本机作为NFS Server时,对外共享的目录。。
rpcinfo -p命令:显示RPC信息  -p参数:用rpc协议来探测主机host上使用的rpcbind,并显示所有已注册的RPC程序。
nfsstat命令:查看NFS的运行状态,对于调整NFS的运行有很大帮助

过程中出现的问题解决:
1, 通过yum或者rpm安装完portmap后,发现执行命令service portmap start时报如下错误:portmap: unrecognized service。
CentOS6(Linux Kernel 2.6.32)中,portmap已经被rpcbind代替了,仔细查看安装信息就会发现,执行命令yum install portmap时安装的就是rpcbind。安装完成后也可以通过命令:yum whatprovides portmap来查看详细信息。

2, 客户端挂载时,报错误mount clntudp_create: RPC: Port mapper failure - RPC: Unable to receive。

  • 1,通过命令rpcinfo -p来查看portmap服务时候正常启动以及相应的端口(默认111)
  • 2,检查/etc/sysconfig/iptables防火墙设置,允许tcp,udp的111端口访问,然后service iptables restart
  • 3,检查/etc/hosts.deny,/etc/hosts.allow看客户端连接是否被阻止了

3, 客户端执行命令showmount -e nfs-server时,报错误:mount clntudp_create: RPC: Program not registered。
nfs、rpcbind服务没有启动,使用chkconfig把nfs、rpcbind加到系统服务中并用service来启动
或者在/etc/hosts.allow中添加允许客户端访问的规则 ALL:192.168.0.135

4, 客户端执行命令showmount -e nfs-server时,报错误:rpc mount export: RPC: Unable to receive; errno = No route to host
配置文件:/etc/sysconfig/nfs
找到nfs服务相关端口设置的地方,并移除注释后,在iptables防火墙设置中指定允许相应端口的Udp,tcp流通过。
#MOUNTD_PORT=892
#STATD_PORT=662
#LOCKD_TCPPORT=32803
#LOCKD_UDPPORT=32769
iptables -A INPUT -p TCP --dport 662 -m state --state NEW -j ACCEPT
iptables -A INPUT -p UDP --dport 661 -m state --state NEW -j ACCEPT
5, showmount -e nfs-server成功,正式挂载时报错:mount: mount to NFS server
‘192.168.1.5‘ failed: System Error: No route to
host.这是由于nfs服务的默认端口2049被防火墙阻塞了,和上面类似修改iptables允许2049端口通过

6, showmount -e nfs-server成功,正式挂载时报错:mount: mount to NFS server ‘192.168.1.5‘ failed: timed out (retrying).
编辑/etc/sysconfig/iptables时,相关端口的tcp端口允许通过,而udp不允许。其他可能的原因参考:mount command fails with NFS server failed
error.
Disable name lookup requests from NFS server to a DNS server. 
or  NFS version used by the NFS client is other than version 3.

7,exports配置文件中目录权限属性设置为rw(默认为root_squash),但是在客户端mount目录执行touch命令时报错误:touch: cannot touch `a‘: Permission denied。解决:

  • 服务器端共享目录权限查看ll -d /home
  • 修改服务器端共享目录权限chmod 760 /home(文件所有者root有全权限、文件所有组用户有读写权限、其他用户无权限,然后把目录的组设置为nfsnobody)
  • 修改服务器端共享目录权限组拥有者为nfsnobody(cat /etc/passwd | grep nob)
  • chgrp nfsnobody /home
  • 成功在客户端创建新的文件!
时间: 2024-10-19 17:29:05

Linux运维 第三阶段 (七) NFS的相关文章

Linux运维 第三阶段 (二十) tomcat

一.相关概念(1.编程语言:2.servlet.jsp:3.tomcat): tomcat(app-server server) 为提高tomcat工作性能,前端要引入很多组件(如cache server(varnish)同样对它生效) 1.编程语言: php相关框架.网站程序设计涉及到的基本内容: php: 开发语言,脚本语言,动态语言: 安装的php是个运行环境: 用php开发语言开发网站程序,这个程序在运行环境中解释执行,若每条指令都解释执行.每个用户请求的动态内容都解释执行这将非常慢:在

Linux运维 第三阶段 (十七) memcached

一.相关概念: memcached.org(live journal站点贡献的),很多流行站点都在用,如wikipedia.twitter.youtube.mixi等,memcached是非常流行的缓存服务,众多的应用程序开发基本都支持memcached缓存(C有C库,C++有C++库,php有php库,开发时都可直接调用memcached功能,若某个应用程序开发时不用memcached,它就不能往memcached中缓存数据,缓存数据与否取决于app自身,由app决定缓不缓存用不用它) mem

Linux运维 第三阶段 (十九) varnish(1)

Linux运维 第三阶段 (十九) varnish 一.相关概念: http/1.0-->http/1.1(重大改进:对缓存功能实现了更精细化的设计) RFC(request file comment,每一种协议都有请求注解文档,讲协议规范) http页面由众多的web object组成,有些是静态,有些是通过程序执行后生成的:为加速web的访问,browser中引入了缓存机制,能将访问的静态内容或可缓存的动态内容缓存到本地,而后client再次到原始server上请求之前相同的内容时,如果原始

Linux运维 第三阶段 (六) 搭建LAMP环境

Linux运维 第三阶段(六) 搭建LAMP环境 环境:RHEL6 X386或X86_64,其中64位在此文中已用()标明注意事项. 一.准备工作 1.安装编译工具gcc.gcc-c++ 注意解决依赖关系,推荐使用yum安装,若不能联网可使用安装光盘做为yum源-- # yum -y install gcc # yum -y install gcc-c++ 2.关闭系统RPM安装包的Apache.MySQL的服务 关闭启动的服务httpd.mysqld #service httpd stop #

Linux运维 第三阶段 (十二)tcp wrapper

Linux运维第三阶段(十二)tcp wrapper tcp wrapper tcp wrapper(工作在TCP层的访问控制工具,通常只对TCP协议的应用做控制,它本身只是个库文件libwrap.so(由glibc提供)) 当来自客户端的请求访问本机服务时,请求先到达本机网卡,再到内核TCP/IP协议栈,路由发现是访问本机的,转至用户空间服务所监听的套接字上,服务响应送至内核TCP/IP协议栈,再通过路由经网卡返回至客户端:有了tcp wrapper后,在这过程当中附加了一层访问控制机制,由t

Linux运维 第三阶段 (十三)nss&pam

Linux运维第三阶段(十三)nss&pam 一.nss(network service switch网络服务转换) authentication(认证,决定用户的用户名和密码是否能通过检验) authorization(授权,决定用户是否能访问某服务) audition(审计) username-->UID groupname-->GID http-->80port FQDN-->IP(hosts文件,DNS,mysql,NIS(networkinformation se

Linux运维 第三阶段 (十一)iptables

Linux运维第三阶段(十一)iptables iptables linux防火墙:netfilter(框架framework):iptables(生成防火墙规则并将其附加在netfilter上,真正实现数据报文过滤.NAT.mangle等规则生成的工具):真正起作用的是规则,规则放在netfilter上才能生效 网络防火墙的功能根据TCP/IP首部实现的 IP报文(见文末附图): fragment ID(段标识) MF(more fragment) DF(don't fragment,单个报文

Linux运维 第三阶段 (三) vsftpd服务

Linux运维 第三阶段 (二) vsftpd服务 1.FTP(filetransfer protocol),以TCP数据包的模式进行服务器与客户端之间的文件传输: 数据连接:TCP20,用于上传下载数据:TCP21,用于发送FTP命令信息: 数据连接的建立类型:主动模式(服务端从20端口主动向客户端发起连接):被动模式(服务端在指定范围内某个端口被动等待客户端连接): FTP的用户类型:匿名用户(anonymous或ftp):本地用户(账号密码等信息保存在/etc/passwd./etc/sh

Linux运维 第三阶段 (十六) nginx(2)

一.相关概念: 代理(你到我这请求我没有,我可以帮你去请求) 正向代理(forward proxy内网用户的client想上互联网,通过代理到互联网去取数据,数据返回到代理上,代理构建响应返回至client(代理内网用户访问互联网上服务器的数据):可将正向代理服务器理解为秘书(对内声称只要想上网我什么都能做,但实际是互联网上的某个服务器提供的内容)) 反向代理(reverse proxy我们的服务器不允许直接访问,在前端放一代理,所有的互联网上的客户端想要访问,得将请求提交至前面的代理上,而代理