NFS服务简介与配置

时间:2021-07-19 14:19:06

NFS简介

NFS特点

  • NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源
  • 在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样
  • nfs适用于Linux与Unix之间实现文件共享,不能实现Linux与Windows间的文件共享功能
  • nfs是运行在应用层的协议,其监听于2049/tcp和2049/udp套接字上
  • nfs服务只能基于IP进行认证,这也是它的缺点之一

NFS的优点及应用场景

  • 节省本地存储空间,将常用的数据存放在一台NFS服务器上且可以通过网络访问,那么本地终端将可以减少自身存储空间的使用。
    • 如在客户端完成的工作数据,可以备份保存到NFS服务器上用户自己的路径下
  • 用户不需要在网络中的每个机器上都建有Home目录,Home目录可以放在NFS服务器上且可以在网络上被访问使用。
    • 如在大型网络中,配置一台中心NFS服务器用来放置所有用户的home目录可能会带来便利。这些目录能被输出到网络以便用户不管在哪台工作站上登录,总能得到相同的home目录。
  • 一些存储设备如软驱、CDROM和Zip(一种高储存密度的磁盘驱动器与磁盘)等都可以在网络上被别的机器使用。这可以减少整个网络上可移动介质设备的数量。
    • 如多个机器共享一台CDROM或其他设备。

NFS工作机制

NFS是基于RPC和NIS来实现网络文件系统共享的。

RPC

RPC(Remote Procedure Call Protocol),远程过程调用协议,它是一种通过网络从远程计算机程序上请求服务,而不需要了解底层网络技术的协议。

RPC协议假定某些传输协议的存在,如TCP或UDP,为通信程序之间携带信息数据。在OSI网络通信模型中,RPC跨越了传输层和应用层。

RPC采用客户机/服务器模式。请求程序就是一个客户机,而服务提供程序就是一个服务器。

RPC的工作流程可以概括为以下流程

  1. 客户端程序发起一个RPC系统调用基于TCP协议发送给另一台主机(服务端)
  2. 服务端监听在某个套接字上,当收到客户端的系统调用请求以后,将收到的请求和其所传递的参数通过本地的系统调用执行一遍,并将结果返回给本地的服务进程
  3. 服务端的服务进程收到返回的执行结果后将其封装成响应报文,再通过rpc协议返回给客户端
  4. 客户端调用进程接收答复信息,获得进程结果,然后调用执行继续进行

NIS

NIS(Network Information System),网络信息系统,是对主机帐号等系统提供集中管理的网络服务。

用户登录任何一台NIS客户机都会从NIS服务器进行登录认证,可实现用户帐号的集中管理。

NIS协议是明文的,所以NIS一般不建议在公网中使用而通常在局域网中使用。

NFS工作机制

NFS服务端运行着四个进程

  • nfsd
    • nfs的守护进程,监听在2049/tcp和2049/udp端口上
    • 不负责文件存储(由NFS服务器本地内核负责调度存储),用于理解客户端发起的rpc请求,并将其转交给本地内核,而后存储在指定的文件系统上
  • mountd
    • 用于验证客户端是否在允许访问此NFS文件系统的客户端列表中,在则允许访问(发放一个令牌,持令牌去找nfsd),否则拒绝访问
    • mountd的服务端口是随机的,由rpc服务(portmapper)提供随机端口号
  • idmapd
    • 实现用户帐号的集中映射,把所有的帐号都映射为NFSNOBODY,但是在访问时却能以本地用户的身份去访问
  • portmapper
    • NFS服务器的rpc服务,其监听于111/TCP和111/UDP套接字上,用于管理远程过程调用(RPC)

下面简述一个NFS的工作例子流程

  1. 客户端发起查看file信息的指令(ls file)给内核,内核通过NFS模块得知此文件并不是本地文件系统中的文件,而是在远程NFS主机上的一个文件
  2. 客户端主机的内核通过RPC协议把查看file信息的指令(系统调用)封装成rpc请求通过TCP的111端口发送给NFS服务端主机的portmapper
  3. NFS服务端主机的portmapper(RPC服务进程)告诉客户端说NFS服务端的mountd服务在某某端口上,你去找它验证
  4. 客户端得知服务端的mountd进程端口号后,通过已知的服务端mountd端口号请求验证
  5. mountd收到验证请求后验证发起请求的客户端是否在允许访问此NFS文件系统的客户端列表中,在则允许访问(发放一个令牌,持令牌去找nfsd),否则拒绝访问
  6. 验证通过后客户端持mountd发放的令牌去找服务端的nfsd进程,请求查看某文件
  7. 服务端的nfsd进程发起本地系统调用,向内核请求查看客户端要查看的文件的信息
  8. 服务端的内核执行nfsd请求的系统调用,并将结果返回给nfsd服务
  9. nfsd进程收到内核返回的结果后将其封装成rpc请求报文并通过tcp/ip协议返回给客户端

NFS配置文件

nfs的主配置文件是/etc/exports,在此文件中,可以定义NFS系统的输出目录(即共享目录)、访问权限和允许访问的主机等参数。该文件默认为空,没有配置输出任何共享目录,这是基于安全性的考虑,如此即使系统启动了NFS服务也不会输出任何共享资源。

exports文件中每一行提供了一个共享目录的设置,其命令格式为:

<输出目录> [客户端1(选项1,选项2,...)] [客户端2(选项1,选项2,...)]

其中,除输出目录是必选参数外,其他参数均是可选项。另外,格式中的输出目录和客户端之间、客户端与客户端之间都使用空格分隔,但客户端与选项之间不能有空格。

客户端是指网络中可以访问这个NFS共享目录的计算机。客户端的指定非常灵活,可为单个主机的IP或域名,亦可为某个子网或域中的主机等。

客户端常用的指定方式:

客户端 说明
172.16.12.129 指定IP地址的主机
172.16.12.0/24(或172.16.12.*) 指定子网中的所有主机
www.wangqing.com 指定域名的主机
*.wangqing.com 指定wangqing.com域中的所有主机
*(或缺省) 所有主机

选项用来设置共享目录的访问权限、用户映射等。exports文件中的选项比较多,一般可分为三类:

  • 访问权限选项(用于控制共享目录的访问权限)
  • 用户映射选项
    • 默认情况下,当客户端访问NFS服务器时,若远程访问的用户是root用户,则NFS服务器会将其映射成一个本地的匿名用户(该用户为nfsnobody),并将其所属的用户组也映射成匿名用户组(该用户组也为nfsnobody),如此有助于提高系统的安全性。
  • 其他选项

访问权限选项:

访问权限选项 说明
ro 设置输出目录只读
rw 设置输出目录可读写

用户映射选项:

用户映射选项 说明
all_squash 将远程访问的所有普通用户及所属组都映射为匿名用户或用户组(nfsnobody)
no_all_squash 不将远程访问的所有普通用户及所属用户组都映射为匿名用户或用户组(默认设置)
root_squash 将root用户及所属用户组都映射为匿名用户或用户组(默认设置)
no_root_squash 不将root用户及所属用户组都映射为匿名用户或用户组
anonuid=xxx 将远程访问的所有用户都映射为匿名用户,并指定该匿名用户为本地用户帐户(UID=xxx)
anongid=xxx 将远程访问的所有用户组都映射为匿名用户组,并指定该匿名用户组为本地用户组(GID=xxx)

常用的其他选项:

其他选项 说明
secure 限制客户端只能从小于1024的TCP/IP端口连接NFS服务器(默认设置)
insecure 允许客户端从大于1024的TCP/IP端口连接NFS服务器
sync 将数据同步写入内存缓冲区或磁盘中,效率较低,但可保证数据一致性
async 将数据先保存在内存缓冲区中,必要时才写入磁盘
wdelay 检查是否有相关的写操作,如果有则这些写操作一起执行,可提高效率(默认设置)
no_wdelay 若有写操作则立即执行,应与sync配置使用
subtree_check 若输出目录是一个子目录,则NFS服务器将检查其父目录的权限(默认设置)
no_subtree_check 即使输出目录是一个子目录,NFS服务亦不检查其父目录的权限,可提高效率
nohide 若将一个目录挂载到另一个目录之上,则原来的目录通常就被隐藏起来或看起来像空的一样。要禁用这种行为,需启用hide选项

NFS配置

先在服务端安装nfs环境并启动

[root@lynkser ~]# yum install nfs-utils -y
[root@lynkser ~]# systemctl enable nfs-server.service rpc-rquotad.service
Created symlink from /etc/systemd/system/multi-user.target.wants/nfs-server.service to /usr/lib/systemd/system/nfs-server.service.
Created symlink from /etc/systemd/system/multi-user.target.wants/rpc-rquotad.service to /usr/lib/systemd/system/rpc-rquotad.service.
Created symlink from /etc/systemd/system/nfs-server.service.wants/rpc-rquotad.service to /usr/lib/systemd/system/rpc-rquotad.service.
[root@lynkser ~]# systemctl start nfs-server.service rpc-rquotad.service

配置nfs服务端

#编辑/etc/exports
[root@lynkser ~]# vim /etc/exports #假如我们需要实现以下两个功能:
#-开放/nfs/shared目录,供所有用户查阅资料
#-开放/nfs/upload目录为172.16.12.0/24网段的数据上传目录,并将所有用户及所属的用户组都映射为nfs-upload,其UID与GID均为300
/nfs/share *(ro)
/nfs/upload 192.168.26.0/24(rw,anonuid=300,anongid=300) #新建一个用户叫nfs-upload,uid为300
#新建一个组叫nfs-upload,gid为300
[root@lynkser ~]# groupadd -g 300 nfs-upload
[root@lynkser ~]# useradd nfs-upload -u 300 -g 300 #新建那几个要共享的文件夹并改变权限
[root@lynkser ~]# mkdir /nfs/share -p
[root@lynkser ~]# mkdir /nfs/upload -p
[root@lynkser ~]# chmod 777 /nfs
[root@lynkser ~]# chmod 777 /nfs/share
[root@lynkser ~]# chmod 777 /nfs/upload #重启一下服务
[root@lynkser ~]# systemctl restart nfs-server.service #为了保证安全,开启防火墙,添加防火墙富规则
[root@lynkser ~]# systemctl start firewalld
[root@lynkser ~]# systemctl enable firewalld
[root@lynkser ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=0.0.0.0/0 service name=nfs accept ' --permanent
success
[root@lynkser ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=0.0.0.0/0 service name=rpc-bind accept ' --permanent
success
[root@lynkser ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=0.0.0.0/0 service name=mountd accept ' --permanent
success
[root@lynkser ~]# firewall-cmd --reload
success

测试NFS服务器的输出目录状态

[root@lynkser ~]# showmount -e localhost
Export list for localhost:
/nfs/share *
/nfs/upload 192.168.26.0/24

在客户端挂载nfs

#开启防火墙并添加防火墙富规则
[root@lynk ~]# systemctl start firewalld
[root@lynk ~]# systemctl enable firewalld
[root@lynk ~]# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.26.0/24" service name="rpc-bind" accept' --permanent
success
[root@lynk ~]# firewall-cmd --reload #进行挂载
[root@lynk ~]# mount -t nfs 192.168.26.129:/nfs/share /share
[root@lynk ~]# mount -t nfs 192.168.26.129:/nfs/upload /upload
[root@lynk ~]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda3 18G 1.4G 17G 8% /
devtmpfs 479M 0 479M 0% /dev
tmpfs 489M 0 489M 0% /dev/shm
tmpfs 489M 6.7M 482M 2% /run
tmpfs 489M 0 489M 0% /sys/fs/cgroup
/dev/sda1 297M 108M 190M 37% /boot
tmpfs 98M 0 98M 0% /run/user/0
/dev/sr0 3.8G 3.8G 0 100% /cdrom
192.168.26.129:/nfs/share 18G 1.4G 17G 8% /share
192.168.26.129:/nfs/upload 18G 1.4G 17G 8% /upload #添加到fstab
[root@lynk ~]# vim /etc/fstab
192.168.26.129:/nfs/share /share nfs defaults,_netdev 0 0
192.168.26.129:/nfs/upload /upload nfs defaults,_netdev 0 0

NFS服务简介与配置的更多相关文章

  1. NFS服务搭建与配置

    启动NFS SERVER之前,首先要启动RPC服务(CentOS5.8下为portmap服务,CentOS6.6下为rpcbind服务,下同),否则NFS SERVER就无法向RPC服务注册了.另外, ...

  2. NFS服务简介

    NFS服务简介 NFS是Network File System的缩写,即网络文件系统.NFS是由Sun开发并发展起来的一项用于在不同机器,不同操作系统之间通过网络互相分享各自的文件.NFS serve ...

  3. NFS相关、NFS服务端安装配置、exportfs命令、nfs客户端的问题

    1.NFS (network file system,基于RPC协议) 2.NFS服务端安装配置安装服务端:yum install nfs-utils rpcbind -y安装客户端:yum inst ...

  4. NFS介绍 NFS服务端安装配置 NFS配置选项

    NFS 介绍 • NFS是Network File System的缩写 • NFS最早由Sun公司开发,分2,,4三个版本,2和3由Sun起草开发,.0开始Netapp公司参与并主导开发,最新为4.1 ...

  5. CentOS7下NFS服务安装及配置固定端口

    CentOS7下NFS服务安装及配置 系统环境:CentOS Linux release 7.4.1708 (Core) 3.10.0-693.el7.x86_64 软件版本:nfs-utils-1. ...

  6. Linux centosVMware NFS介绍、NFS服务端安装配置、NFS配置选项

    一.NFS介绍 NFS是Network File System的缩写 NFS最早由Sun公司开发,分2,3,4三个版本,2和3由Sun起草开发,4.0开始Netapp公司参与并主导开发,最新为4.1版 ...

  7. NFS服务安装及配置

    服务器环境:CentOS6.9  Linux 2.6.32-696.el6.x86_64 安装NFS服务 nfs客户端和服务端都只需要安装nfs-utils包即可,并且yum安装时会连带安装rpcbi ...

  8. cobbler自动装机服务简介与配置

    cobbler简介 Cobbler是一个Linux服务器安装的服务,可以通过网络启动(PXE)的方式来快速安装.重装物理服务器和虚拟机,同时还可以管理DHCP,DNS等. Cobbler可以使用命令行 ...

  9. CentOS7下NFS服务安装及配置

    系统环境:CentOS Linux release 7.4.1708 (Core) 3.10.0-693.el7.x86_64 软件版本:nfs-utils-1.3.0-0.48.el7_4.x86_ ...

随机推荐

  1. Android 6&period;0 权限知识学习笔记

    最近在项目上因为6.0运行时权限吃了亏,发现之前对运行时权限的理解不足,决定回炉重造,重新学习一下Android Permission. 进入正题: Android权限 在Android系统中,权限分 ...

  2. MySQL数据库有外键约束时使用truncate命令的办法

    MySQL数据库操作中,Delete与Truncate两个命令都可以删除一个数据表中的全部数据,使用办法分别是: DELETE FROM t_question TRUNCATE TABLE t_que ...

  3. poj 1654 Area (多边形求面积)

    链接:http://poj.org/problem?id=1654 Area Time Limit: 1000MS   Memory Limit: 10000K Total Submissions:  ...

  4. 驱动开发 - WDK 调试及 SVN 环境搭建

    由于从公司辞职了,所以以前在公司里搭建的驱动开发环境也就 Game Over 了, 同样由于那环境是很久以前搭建的,自己也有很多记不清楚的地方了, 而且其中还是有很多需要注意的地方的,所以在这里顺便做 ...

  5. Java并发编程--Fork&sol;Join框架使用

    上篇博客我们介绍了通过CyclicBarrier使线程同步,可是上述方法存在一个问题,那就是假设一个大任务跑了2个线程去完毕.假设线程2耗时比线程1多2倍.线程1完毕后必须等待线程2完毕.等待的过程线 ...

  6. window&period;opener和window&period;open的使用

    window.opener和window.open的使用 window.opener是指调用window.open方法的窗口.window.opener 返回的是创建当前窗口的那个窗口的引用,比如点击 ...

  7. AngularJS &plus; ui-router &plus; RequireJS异步加载注册controller/directive/filter/service

    一般情况下我们会将项目所用到的controller/directive/filter/sercive预先加载完再初始化AngularJS模块,但是当项目比较复杂的情况下,应该是打开对应的界面才加载对应 ...

  8. python3用pillow生成验证码,tornado中输出图片

    原文链接http://blog.csdn.net/cdnight/article/details/49636893

  9. 基于 ZKEACMS 的云建站 &sol; 自助建站解决方案

    基于ZKEACMS的云建站 / 自助建站解决方案,一站式托管,解决企业建站需求,功能强大,高度自定义.用户只需在界面上输入一些基本信息,选择相应的主题 / 网站模板,然后就可以快速创建一个独一无二的网 ...

  10. Node&period;js monly图片批量下载爬虫1&period;00

    此爬虫又用到了iconv转码,代码如下: //====================================================== // mmonly图片批量下载爬虫1.00 ...