Linux服务-NFS

Linux服务-NFS

目录

• 1. nfs简介
  • 1.1 nfs特点
  • 1.2 使用nfs的好处
  • 1.3 nfs的体系组成
  • 1.4 nfs的应用场景
• 2. nfs工作机制
  • 2.1 RPC
  • 2.2 NIS
  • 2.3 nfs工作机制
• 3. exports文件的格式
• 4. nfs管理
• 5.实验效果

1. nfs简介

1.1 nfs特点

• NFS（Network File System）即网络文件系统，是FreeBSD支持的文件系统中的一种，它允许网络中的计算机之间通过TCP/IP网络共享资源
• 在NFS的应用中，本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件，就像访问本地文件一样
• nfs适用于Linux与Unix之间实现文件共享，不能实现Linux与Windows间的文件共享功能
• nfs是运行在应用层的协议，其监听于2049/tcp和2049/udp套接字上
• nfs服务只能基于IP进行认证，这也是它的缺点之一

1.2 使用nfs的好处

• 节省本地存储空间，将常用的数据存放在一台NFS服务器上且可以通过网络访问，那么本地终端将可以减少自身存储空间的使用
• 用户不需要在网络中的每个机器上都建有Home目录，Home目录可以放在NFS服务器上且可以在网络上被访问使用简单得说就是使自己家目录下数据在不同服务器上能够被访问
• 一些存储设备如软驱、CDROM和Zip（一种高储存密度的磁盘驱动器与磁盘）等都可以在网络上被别的机器使用。这可以减少整个网络上可移动介质设备的数量

1.3 nfs的体系组成

nfs体系至少有两个主要部分：

• 一台nfs服务器（实验环境），生产环境至少有两台或者更多台形成高可用
• 若干台客户机

nfs体系的架构图如下：

客户机通过TCP/IP网络远程访问存放在NFS服务器上的数据

在NFS服务器正式启用前，需要根据实际环境和需求，配置一些NFS参数

1.4 nfs的应用场景

nfs有很多实际应用场景，以下是一些常用的场景：

• 多个机器共享一台CDROM或其他设备。这对于在多台机器中安装软件来说更加便宜与方便
• 在大型网络中，配置一台中心NFS服务器用来放置所有用户的home目录可能会带来便利。这些目录能被输出到网络以便用户不管在哪台工作站上登录，总能得到相同的home目录
• 不同客户端可在NFS上观看影视文件，节省本地空间
• 在客户端完成的工作数据，可以备份保存到NFS服务器上用户自己的路径下

2. nfs工作机制

nfs是基于rpc来实现网络文件系统共享的。

是nfs服务通过idmapd,mountd,nfsd,portmapper.四个服务进程来实现

2.1 RPC

RPC（Remote Procedure Call Protocol），远程过程调用协议，它是一种通过网络从远程计算机程序上请求服务，而不需要了解底层网络技术的协议。

RPC协议假定某些传输协议的存在，如TCP或UDP，为通信程序之间携带信息数据。在OSI网络通信模型中，RPC跨越了传输层和应用层。

RPC采用客户机/服务器模式（c/s结构）。请求程序就是一个客户机，而服务提供程序就是一个服务机。

pc工作机制如上图所示，下面来描述一下它：

1. 客户端程序发起一个RPC系统调用基于TCP协议发送给另一台主机（服务端）
2. 服务端监听在某个套接字上，当收到客户端的系统调用请求以后，将收到的请求和其所传递的参数通过本地的系统调用执行一遍，并将结果返回给本地的服务进程
3. 服务端的服务进程收到返回的执行结果后将其封装成响应报文，再通过rpc协议返回给客户端
4. 客户端调用进程接收答复信息，获得进程结果，然后调用执行继续进行

2.2 NIS

NIS(Network Information System)，网络信息系统，是对主机帐号等系统提供集中管理的网络服务。

作用是：

用户登录任何一台NIS客户机都会从NIS服务器进行登录认证，可实现用户帐号的集中管理。

缺点

NIS协议是明文的，所以NIS一般不建议在公网中使用而通常在局域网中使用。

2.3 nfs工作机制

//NFS服务器端运行着四个进程：
    nfsd
    mountd
    idmapd
    portmapper

idmapd  //实现用户帐号的集中映射，把所有的帐号都映射为NFSNOBODY，但是在访问时却能以本地用户的身份去访问

mountd  //用于验证客户端是否在允许访问此NFS文件系统的客户端列表中，在则允许访问（发放一个令牌，持令牌去找nfsd），否则拒绝访问
        //mountd的服务端口是随机的，由rpc服务（portmapper）提供随机端口号

nfsd    //nfs的守护进程，监听在2049/tcp和2049/udp端口上
        //不负责文件存储（由NFS服务器本地内核负责调度存储），用于理解客户端发起的rpc请求，并将其转交给本地内核，而后存储在指定的文件系统上

portmapper  //NFS服务器的rpc服务，其监听于111/TCP和111/UDP套接字上，用于管理远程过程调用（RPC）

nfs工作流程图：

通过一个例子来说明NFS的简单工作流程：

需求：查看file文件的信息，此file存储在远程NFS服务端主机上（挂载在本地目录/shared/nfs中）

1. 第一步，客户端发起查看file信息的指令（ls file）给内核，内核通过NFS模块得知此文件并不是本地文件系统中的文件，而是在远程NFS主机上的一个文件
2. 第二步，客户端主机的内核通过RPC协议把查看file信息的指令（系统调用）封装成rpc请求通过TCP的111端口发送给NFS服务端主机的portmapper
3. 第三步，NFS服务端主机的portmapper（RPC服务进程）告诉客户端说NFS服务端的mountd服务在某某端口上，你去找它验证

因为mountd在提供服务时必须要向portmapper注册一个端口号，所以portmapper是知道其工作于哪个端口的

1. 第四步，客户端得知服务端的mountd进程端口号后，通过已知的服务端mountd端口号请求验证
2. mountd收到验证请求后验证发起请求的客户端是否在允许访问此NFS文件系统的客户端列表中，在则允许访问（发放一个令牌，持令牌去找nfsd），否则拒绝访问
3. 验证通过后客户端持mountd发放的令牌去找服务端的nfsd进程，请求查看某文件
4. 服务端的nfsd进程发起本地系统调用，向内核请求查看客户端要查看的文件的信息
5. 服务端的内核执行nfsd请求的系统调用，并将结果返回给nfsd服务
6. nfsd进程收到内核返回的结果后将其封装成rpc请求报文并通过tcp/ip协议返回给客户端

3. exports文件的格式

nfs的主配置文件是/etc/exports，在此文件中，可以定义NFS系统的输出目录（即共享目录）、访问权限和允许访问的主机等参数。该文件默认为空，没有配置输出任何共享目录，这是基于安全性的考虑，如此即使系统启动了NFS服务也不会输出任何共享资源。

exports文件中每一行提供了一个共享目录的设置，其命令格式为：

<输出目录> [客户端1(选项1,选项2,...)] [客户端2(选项1,选项2,...)]

其中，除输出目录(尖括号)是必选参数外，其他参数均是可选项。另外，格式中的输出目录和客户端之间、客户端与客户端之间都使用空格分隔，但客户端与选项之间不能有空格。

客户端常用的指定方式：

客户端	说明
192.114.12.14	指定IP地址的主机
192.114.12.0/24	指定子网中的所有主机
www.wangqing.com	指定域名的主机
*.wangqing.com	指定wangqing.com域中的所有主机
*(或缺省)	所有主机

选项用来设置共享目录的访问权限、用户映射等。exports文件中的选项比较多，一般可分为三类：

1. 访问权限选项（用于控制共享目录的访问权限）
2. 用户映射选项（默认情况下，当客户端访问NFS服务器时，若远程访问的用户是root用户，则NFS服务器会将其映射成一个本地的匿名用户（该用户为nfsnobody），并将其所属的用户组也映射成匿名用户组（该用户组也为nfsnobody），如此有助于提高系统的安全性。）
3. 其他选项

exports文件三类文件选项的设置项

1. 访问权限选项：

访问权限选项	说明
ro	只读（因为是目录所以默认有x权限）
rw	读写（因为是目录所以默认有x权限）

2.用户映射选项：

用户映射选项	说明
all_squash	将远程访问的所有普通用户及所属组都映射为匿名用户或用户组(nfsnobody)
no_all_squash	不将远程访问的所有普通用户及所属用户组都映射为匿名用户或用户组(默认设置)
root_squash	将root用户及所属用户组都映射为匿名用户或用户组(默认设置)
no_root_squash	不将root用户及所属用户组都映射为匿名用户或用户组
anonuid=xxx	将远程访问的所有用户都映射为匿名用户，并指定该匿名用户为本地用户帐户(UID=xxx)
anongid=xxx	将远程访问的所有用户组都映射为匿名用户组，并指定该匿名用户组为本地用户组(GID=xxx)

3.常用的其他选项：

其他选项	说明
secure	限制客户端只能从小于1024的TCP/IP端口连接NFS服务器(默认设置)
insecure	允许客户端从大于1024的TCP/IP端口连接NFS服务器
sync	将数据同步写入内存缓冲区或磁盘中，效率较低，但可保证数据一致性
async	将数据先保存在内存缓冲区中，必要时才写入磁盘
wdelay	检查是否有相关的写操作，如果有则这些写操作一起执行，可提高效率(默认设置)
no_wdelay	若有写操作则立即执行，应与sync配置使用
subtree_check	若输出目录是一个子目录，则NFS服务器将检查其父目录的权限(默认设置)
no_subtree_check	即使输出目录是一个子目录，NFS服务亦不检查其父目录的权限，可提高效率
nohide	若将一个目录挂载到另一个目录之上，则原来的目录通常就被隐藏起来或看起来像空的一样。要禁用这种行为，需启用hide选项

4. nfs管理

nfs安装：

//安装
    yum -y install nfs-utils rpcbind 

// 关闭防火墙，selinux

//启动
    systemctl start rpcbind nfs-server

[root@localhost ~]# systemctl start rpcbind
[root@localhost ~]# systemctl start nfs-server
[root@localhost ~]# mkdir /public
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# setenforce 0
[root@localhost ~]# getenforce
Permissive

[root@localhost ~]# mount -t nfs 192.168.112.14:/public /local/
[root@localhost ~]# df -Th
文件系统               类型      容量  已用  可用 已用% 挂载点
/dev/mapper/rhel-root  xfs        17G  1.2G   16G    7% /
devtmpfs               devtmpfs  980M     0  980M    0% /dev
tmpfs                  tmpfs     992M     0  992M    0% /dev/shm
tmpfs                  tmpfs     992M  9.5M  982M    1% /run
tmpfs                  tmpfs     992M     0  992M    0% /sys/fs/cgroup
/dev/sda1              xfs      1014M  130M  885M   13% /boot
tmpfs                  tmpfs     199M     0  199M    0% /run/user/0
/dev/sr0               iso9660   4.4G  4.4G     0  100% /mnt
192.168.112.14:/public nfs4       17G  1.2G   16G    7% /local

使用shoumount命令测试NFS服务器的输出目录状态：

//语法：showmount [选项] [NFS服务器名称或地址]
//常用的选项有：
    -a  //显示指定NFS服务器的所有客户端主机及其所连接的目录
    -d  //显示指定的NFS服务器中已被客户端连接的所有输出目录
    -e  //显示指定的NFS服务器上所有输出的共享目录

[root@localhost ~]# showmount -e 192.168.112.14
Export list for 192.168.112.14:
/public *

在客户端挂载NFS文件系统：

[root@localhost ~]# mount -t nfs 192.168.112.14:/public /local/
[root@localhost ~]# df -Th
文件系统               类型      容量  已用  可用 已用% 挂载点
/dev/mapper/rhel-root  xfs        17G  1.2G   16G    7% /
devtmpfs               devtmpfs  980M     0  980M    0% /dev
tmpfs                  tmpfs     992M     0  992M    0% /dev/shm
tmpfs                  tmpfs     992M  9.5M  982M    1% /run
tmpfs                  tmpfs     992M     0  992M    0% /sys/fs/cgroup
/dev/sda1              xfs      1014M  130M  885M   13% /boot
tmpfs                  tmpfs     199M     0  199M    0% /run/user/0
/dev/sr0               iso9660   4.4G  4.4G     0  100% /mnt
192.168.112.14:/public nfs4       17G  1.2G   16G    7% /local

在客户端设置开机自动挂载nfs：编辑/etc/fstab文件，添加如下格式的内容

SERVER:/PATH/TO/EXPORTED_FS /mnt_point nfs defaults,_netdev 0 0

//在/etc/fstab中加入
192.168.112.14:/public /local nfs defaults,_netdev 0 0

客户端挂载时可以使用的特殊选项：

• rsize：其值是从服务器读取的字节数（缓冲）。默认为1024。若使用比较高的值，如8192，可以提高传输速度
• wsize：其值是写入到服务器的字节数（缓冲）。默认为1024。若使用比较高的值，如8192，可以提高传输速度

exportfs        //维护exports文件导出的文件系统表的专用工具
    -a      //输出在/etc/exports文件中所设置的所有目录
    -r      //重新读取/etc/exports文件中的设置，并使其立即生效，无需重启服务
    -u      //停止输出某一目录
    -v      //在输出目录时将目录显示到屏幕上

检查输出目录所使用的选项：

在配置文件/etc/exports中，即使在命令行中只设置了一两个选项，但在真正输出目录时，实际上还带有很多默认的选项。通过查看/var/lib/nfs/etab文件，可以看到具体使用了何选项

5.实验效果

1.手动搭建一个nfs服务器

• 开放/nfs/shared目录，供所有用户查阅资料
• 开放/nfs/upload目录为192.168.112.0/24网段的数据上传目录，并将所有用户及所属的用户组都映射为nfs-upload，其UID与GID均为300

1.安装nfs-utils
yum -y install nfs-utils
2.关闭防火墙，selinx
3.启动服务
systemctl start rpcbind nfs-server
4.服务端编写/etc/exports
/nfs/shared *(ro)
/nfs/upload 192.168.112.0/24(anonuid=300,anongid=300)
5.服务端exportfs -r（新读取/etc/exports文件中的设置，并使其立即生效，无需重启服务）
6.客户端挂在
  临时挂载
   mount -t nfs 192.168.112.14:/nfs/upload /local111/
   mount -t nfs 192.168.112.14:/nfs/shared /local/
   永久挂载
   在/etc/fstab下写入配置文件
   192.168.112.14:/nfs/upload /local1111 nfs defaults,_netdev 0 0