|
在本文中,你将完成在CentOS 8操作系统上设置NFSv4服务器的必要步骤,我们还将向你展示如何在客户端上安装NFS文件系统,及测试NFS访问。我们假设你有一台运行CentOS 8的服务器,我们将在该服务器上设置NFS服务器和其他充当NFS客户端的计算机,服务器和客户端应该能够通过专用网络相互通信,如果你的托管服务提供商不提供私有IP地址,则可以使用公共IP地址并将服务器防火墙配置为仅允许来自受信任来源的2049端口流量。本示例中的机器IP:NFS服务器IP是192.168.33.148、NFS客户端IP是从192.168.33.0/24范围。
设置NFS服务器 本节说明如何安装必要的程序包、创建和导出NFS目录以及配置防火墙。 1、安装NFS服务器 “nfs-utils”包为NFS服务器提供了NFS实用程序和守护程序,要安装它,请运行以下命令: sudo dnf install nfs-utils 安装完成后,通过键入以下内容启用并启动NFS服务: sudo systemctl enable --now nfs-server 默认情况下,在CentOS 8 NFS版本3和4.x上启用,版本2被禁用,NFSv2现在已经很老了,没有理由启用它,要验证它,请运行以下cat命令: sudo cat /proc/fs/nfsd/versions -2 +3 +4 +4.1 +4.2 NFS服务器配置选项在/etc/nfsmount.conf和/etc/nfs.conf文件中设置,默认设置足以满足我们的要求。 2、创建文件系统 配置NFSv4服务器时,一个好的做法是使用全局NFS根目录,并将实际目录绑定安装到共享安装点,在此示例中,我们将/srv/nfs4导演用作NFS根目录。 为了更好地说明如何配置NFS挂载,我们将共享两个具有不同配置设置的目录(/var/www和/opt/backups)。 /var/www/由用户和组apache拥有,/opt/backups由root拥有。 使用mkdir命令创建导出文件系统: sudo mkdir -p /srv/nfs4/{backups,www} 参考:mkdir命令_Linux mkdir命令使用详解:用来创建目录。 挂载实际目录: sudo mount --bind /opt/backups /srv/nfs4/backups sudo mount --bind /var/www /srv/nfs4/www 要使绑定安装永久存在,请将以下条目添加到/etc/fstab文件中: sudo nano /etc/fstab /opt/backups /srv/nfs4/backups none bind 0 0 /var/www /srv/nfs4/www none bind 0 0 3、导出文件系统 下一步是定义将由NFS服务器,共享选项和允许访问这些文件系统的客户端导出的文件系统,为此,请打开/etc/exports文件: sudo nano /etc/exports 导出www和backups目录,并仅允许192.168.33.0/24网络上的客户端访问,在/etc/exports文件: /srv/nfs4 192.168.33.0/24(rw,sync,no_subtree_check,crossmnt,fsid=0) /srv/nfs4/backups 192.168.33.0/24(ro,sync,no_subtree_check) 192.168.33.3(rw,sync,no_subtree_check) /srv/nfs4/www 192.168.33.110(rw,sync,no_subtree_check) 第一行包含fsid=0,它定义了NFS根目录/srv/nfs,仅允许192.168.33.0/24子网中的客户端访问此NFS卷,需要crossmnt选项才能共享作为导出目录子目录的目录。 第二行显示了如何为一个文件系统指定多个导出规则,它导出/srv/nfs4/backups目录,仅允许对整个192.168.33.0/24范围进行读访问,而对192.168.33.3则具有读和写访问权限,sync选项告诉NFS在回复之前将更改写入磁盘。 最后一行应该是不言自明的,有关所有可用选项的更多信息,请在终端中键入manexport。 保存文件并导出共享: sudo exportfs -ra 每次修改/etc/exports文件时,都需要运行上面的命令,如果有任何错误或警告,它们将显示在终端上。 要查看当前活动的出口及其状态,请使用: sudo exportfs -v 输出将包括所有份额及其选项,如你所见,/etc/exports文件中还有一些未定义的选项,这些是默认选项,如果要更改它们,则需要显式设置这些选项:
root_squash是有关NFS安全性的最重要的选项之一,这样可以防止从客户端连接的root用户对已安装的共享具有root特权,它将根UID和GID映射到noneone/nogroup UID/GID。 为了使客户端计算机上的用户能够访问,NFS希望客户端的用户和组ID与服务器上的用户和组ID相匹配,另一种选择是使用NFSv4 idmapping功能,将用户和组ID转换为名称,反之亦然。 至此,你已经在CentOS服务器上设置了NFS服务器,现在,你可以转到下一步并配置客户端并连接到NFS服务器。 4、防火墙配置 FirewallD是Centos 8上的默认防火墙解决方案。 NFS服务包括允许访问NFS服务器的预定义规则,以下命令将永久允许从192.168.33.0/24子网访问: sudo firewall-cmd --new-zone=nfs --permanent sudo firewall-cmd --zone=nfs --add-service=nfs --permanent sudo firewall-cmd --zone=nfs --add-source=192.168.33.0/24 --permanent sudo firewall-cmd --reload
设置NFS客户端 既然已经设置了NFS服务器并导出了共享,那么下一步就是配置客户端并挂载远程文件系统。 你还可以在macOS和Windows计算机上挂载NFS共享,但是我们将重点关注Linux系统。 1、安装NFS客户端 在客户端计算机上,安装挂载远程NFS文件系统所需的工具。 1]、在Debian和Ubuntu上安装NFS客户端 包含用于在基于Debian的发行版上安装NFS文件系统的程序的软件包名称为nfs-common,要安装它,请运行: sudo apt update sudo apt install nfs-common 参考:Linux中安装NFS客户端,手动/自动挂载NFS文件系统,附卸载NFS的方法。 2]、在CentOS和Fedora上安装NFS客户端 在Red Hat及其衍生版本上安装nfs-utils软件包: sudo yum install nfs-utils 2、挂载文件系统 我们将在IP地址为192.168.33.110的客户端计算机上进行工作,该计算机具有对/srv/nfs4/www文件系统的读写访问权限,以及对/srv/nfs4/backups文件系统的只读访问权限。 为安装点创建两个新目录,你可以在所需的任何位置创建这些目录: sudo mkdir -p /backups sudo mkdir -p /srv/www 使用mount命令挂载导出的文件系统: sudo mount -t nfs -o vers=4 192.168.33.148:/backups /backups sudo mount -t nfs -o vers=4 192.168.33.148:/www /srv/www 其中192.168.33.148是NFS服务器的IP,你也可以使用主机名代替IP地址,但是客户端计算机需要解析该主机名,通常,这是通过将主机名映射到/etc/hosts文件中的IP来完成的。 挂载NFSv4文件系统时,你需要省略NFS根目录,因此需要使用/backups来代替/srv/nfs4/backups。 使用mount或df命令验证是否成功安装了远程文件系统: df -h 该命令将打印所有已挂载的文件系统,最后两行是已安装的共享: ... 192.168.33.148:/backups 9.7G 1.2G 8.5G 13% /backups 192.168.33.148:/www 9.7G 1.2G 8.5G 13% /srv/www 要使挂载在重启时永久存在,请打开/etc/fstab文件: sudo nano /etc/fstab 并添加以下行: 192.168.33.148:/backups /backups nfs defaults,timeo=900,retrans=5,_netdev 0 0 192.168.33.148:/www /srv/www nfs defaults,timeo=900,retrans=5,_netdev 0 0 要查找有关挂载NFS文件系统时可用选项的更多信息,请在终端中键入man nfs。 挂载远程文件系统的另一种选择是使用autofs工具或创建systemd单元。
测试NFS访问 让我们通过在每个共享中创建一个新文件来测试对共享的访问。 首先,尝试使用touch命令在/backups目录中创建一个测试文件: sudo touch /backups/test.txt /backup文件系统被导出为只读,并且按预期,你将看到“Permission denied”错误消息: touch: cannot touch ‘/backups/test’: Permission denied 接下来,尝试使用sudo命令将测试文件创建为/srv/www目录的根目录: sudo touch /srv/www/test.txt 同样,你将看到“Permission denied”消息: touch: cannot touch ‘/srv/www’: Permission denied /var/www目录归apache用户所有,并且此共享设置了root_squash选项,该选项将root用户映射到对远程共享没有写权限的noone用户和nogroup组。 假设客户端计算机上存在与远程服务器上相同的UID和GID的用户apache(例如,如果你在两台计算机上都安装了apache,情况就是这样),可以测试以用户apache的身份创建文件: sudo -u apache touch /srv/www/test.txt 该命令将不显示任何输出,表示文件已成功创建。 要验证它是否列出了/srv/www目录中的文件: ls -la /srv/www 输出应显示新创建的文件:
卸载NFS文件系统 如果不再需要远程NFS共享,则可以使用umount命令将其卸载为任何其他已安装的文件系统,例如,要卸载/backup共享,请运行: sudo umount /backups 如果在/etc/fstab文件中定义了挂载点,请确保删除行或通过在行的开头添加#注释掉行。
结论 在本文中,我们向你展示了如何设置NFS服务器以及如何在客户端计算机上挂载远程文件系统,如果你要在生产中实施NFS并共享敏感数据,则最好启用kerberos身份验证。 作为NSF的替代方法,你可以使用SSHFS通过SSH连接安装远程目录,SSHFS默认情况下是加密的,并且更易于配置和使用。
相关主题 |
