1.NFS简介
1.1NFS的特点
- NFS就是Network File System的缩写即网络文件系统,它最大的功能就是可以通过TCP/IP网络,让不同的机器、不同的操作系统可以共享彼此的文件。
- NFS服务器可以让PC将网络中的NFS服务器共享的目录挂载到本地端的文件系统中,而在本地端的系统中来看,那个远程主机的目录就好像是自己的一个磁盘分区一样,在使用上相当便利
- nfs是运行在应用层的协议,其监听于2049/tcp和2049/udp套接字上
1.2NFS的缺点
- nfs只能在Linux与Unix之间共享文件,不能在Linux与Windows之间共享文件
- nfs只能基于IP进行认证
1.3NFS的好处
- 节省本地存储空间,将常用的数据存放在一台NFS服务器上且可以通过网络访问,那么本地终端将可以减少自身存储空间的使用。
- 要在网络中的每个机器上都建有Home目录,Home目录可以放在NFS服务器上且可以在网络上被访问使用。
- 一些存储设备如软驱、CDROM和Zip(一种高储存密度的磁盘驱动器与磁盘)等都可以在网络上被别的机器使用。这可以减少整个网络上可移动介质设备的数量。
2.NFS应用场景
- 多个机器共享一台CDROM或其他设备。这对于在多台机器中安装软件来说更加便宜与方便
- 在大型网络中,配置一台中心NFS服务器用来放置所有用户的home目录可能会带来便利。这些目录能被输出到网络以便用户不管在哪台工作站上登录,总能得到相同的home目录
- 不同客户端可在NFS上观看影视文件,节省本地空间
- 在客户端完成的工作数据,可以备份保存到NFS服务器上,以防数据丢失
3.工作模式
3.1NFS挂载原理
如上图示:
当我们在NFS服务器设置好一个共享目录/home/public后,其他的有权访问NFS服务器的NFS客户端就可以将这个目录挂载到自己文件系统的某个挂载点,这个挂载点可以自己定义,如上图客户端A与客户端B挂载的目录就不相同。并且挂载好后我们在本地能够看到服务端/home/public的所有数据。如果服务器端配置的客户端只读,那么客户端就只能够只读。如果配置读写,客户端就能够进行读写。挂载后,NFS客户端查看磁盘信息命令:#df –h。
既然NFS是通过网络来进行服务器端和客户端之间的数据传输,那么两者之间要传输数据就要有想对应的网络端口,NFS服务器到底使用哪个端口来进行数据传输呢?基本上NFS这个服务器的端口开在2049,但由于文件系统非常复杂。因此NFS还有其他的程序去启动额外的端口,这些额外的用来传输数据的端口是随机选择的,是小于1024的端口;既然是随机的那么客户端又是如何知道NFS服务器端到底使用的是哪个端口呢?这时就需要通过远程过程调用(Remote Procedure Call,RPC)协议来实现了!
3.2RPC
RPC(Remote Procedure Call)远程过程调用,它是一种通过网络从远程计算机程序上请求服务,而不需要了解底层网络技术的协议。其工作在TCP/UDP的111端口。建立在Socket之上的,主要是简化编程的工作在底层提供网络之间的通信。
RPC采用客户机/服务器模式。请求程序就是一个客户机,而服务提供程序就是一个服务器。首先,客户机调用进程发送一个有进程参数的调用信息到服务进程,然后等待应答信息。在服务器端,进程保持睡眠状态直到调用信息的到达为止。当一个调用信息到达,服务器获得进程参数,计算结果,发送答复信息,然后等待下一个调用信息,最后,客户端调用进程接收答复信息,获得进程结果,然后调用执行继续进行。
3.3NFS客户端和NFS服务端通讯过程
1.首先服务器端启动RPC服务,并开启111端口
2.服务器端启动NFS服务,并向RPC注册端口信息
3.客户端启动RPC(portmap服务),向服务端的RPC(portmap)服务请求服务端的NFS端口
4.服务端的RPC(portmap)服务反馈NFS端口信息给客户端。
5.客户端通过获取的NFS端口来建立和服务端的NFS连接并进行数据的传输。
4.exports文件的格式
nfs的主配置文件是/etc/exports,在此文件中,可以定义NFS系统的输出目录(即共享目录)、访问权限和允许访问的主机等参数。该文件默认为空,没有配置输出任何共享目录,这是基于安全性的考虑,如此即使系统启动了NFS服务也不会输出任何共享资源。
exports文件中每一行提供了一个共享目录的设置,其命令格式为:
<输出目录> [客户端1(选项1,选项2,…)] [客户端2(选项1,选项2,…)]
其中,除输出目录是必选参数外,其他参数均是可选项。另外,格式中的输出目录和客户端之间、客户端与客户端之间都使用空格分隔,但客户端与选项之间不能有空格。
客户端是指网络中可以访问这个NFS共享目录的计算机。客户端的指定非常灵活,可为单个主机的IP或域名,亦可为某个子网或域中的主机等。
客户端常用的指定方式:
| 客户端 | 说明 |
|---|---|
| 172.16.12.129 | 指定IP地址的主机 |
| 172.16.12.0/24(或172.16.12.*) | 指定子网中的所有主机 |
| www.wangqing.com | 指定域名的主机 |
| *.wangqing.com | 指定wangqing.com域中的所有主机 |
| *(或缺省) | 所有主机 |
选项用来设置共享目录的访问权限、用户映射等。exports文件中的选项比较多,一般可分为三类:
访问权限选项(用于控制共享目录的访问权限)
用户映射选项
默认情况下,当客户端访问NFS服务器时,若远程访问的用户是root用户,则NFS服务器会将其映射成一个本地的匿名用户(该用户为nfsnobody),并将其所属的用户组也映射成匿名用户组(该用户组也为nfsnobody),如此有助于提高系统的安全性。
其他选项
访问权限选项:
| 访问权限选项 | 说明 |
|---|---|
| ro | 设置输出目录只读 |
| rw | 设置输出目录可读写 |
用户映射选项:
| 用户映射选项 | 说明 |
|---|---|
| all_squash | 将远程访问的所有普通用户及所属组都映射为匿名用户或用户组(nfsnobody) |
| no_all_squash | 不将远程访问的所有普通用户及所属用户组都映射为匿名用户或用户组(默认设置) |
| root_squash | 将root用户及所属用户组都映射为匿名用户或用户组(默认设置) |
| no_root_squash | 不将root用户及所属用户组都映射为匿名用户或用户组 |
| anonuid=xxx | 将远程访问的所有用户都映射为匿名用户,并指定该匿名用户为本地用户帐户(UID=xxx) |
| anongid=xxx | 将远程访问的所有用户组都映射为匿名用户组,并指定该匿名用户组为本地用户组(GID=xxx) |
常用的其他选项:
| 其他选项 | 说明 |
|---|---|
| secure | 限制客户端只能从小于1024的TCP/IP端口连接NFS服务器(默认设置) |
| insecure | 允许客户端从大于1024的TCP/IP端口连接NFS服务器 |
| sync | 将数据同步写入内存缓冲区或磁盘中,效率较低,但可保证数据一致性 |
| async | 将数据先保存在内存缓冲区中,必要时才写入磁盘 |
| wdelay | 检查是否有相关的写操作,如果有则这些写操作一起执行,可提高效率(默认设置) |
| no_wdelay | 若有写操作则立即执行,应与sync配置使用 |
| subtree_check | 若输出目录是一个子目录,则NFS服务器将检查其父目录的权限(默认设置) |
| no_subtree_check | 即使输出目录是一个子目录,NFS服务亦不检查其父目录的权限,可提高效率 |
| nohide | 若将一个目录挂载到另一个目录之上,则原来的目录通常就被隐藏起来或看起来像空的一样。要禁用这种行为,需启用hide选项 |
5.nsf管理
nfs安装:
//安装
[root@wyt1 ~]# yum -y install nfs-utils
//启动
[root@wyt1 ~]# systemctl start rpcbind nfs-server
使用shoumount命令测试NFS服务器的输出目录状态:
语法:showmount [选项] [NFS服务器名称或地址]
常用的选项有:
| showmount选项 | 说明 |
|---|---|
| -a | 显示指定NFS服务器的所有客户端主机及其所连接的目录 |
| -d | 显示指定的NFS服务器中已被客户端连接的所有输出目录 |
| -e | 显示指定的NFS服务器上所有输出的共享目录 |
在客户端挂载NFS文件系统:
[root@wyt2 ~]# mount -t nfs 192.168.232.128:/nfs/shared shared
在客户端设置开机自动挂载nfs:编辑/etc/fstab文件,添加如下格式的内容
[root@wyt2 ~]# vim /etc/fstab
192.168.232.128:/nfs/shared shared nfs defaults 0 0
[root@wyt2 ~]# mount -a
客户端挂载时可以使用的特殊选项:
- rsize:其值是从服务器读取的字节数(缓冲)。默认为1024。若使用比较高的值,如8192,可以提高传输速度
- wsize:其值是写入到服务器的字节数(缓冲)。默认为1024。若使用比较高的值,如8192,可以提高传输速度
exportfs:维护exports文件导出的文件系统表的专用工具
| exportfs选项 | 说明 |
|---|---|
| -a | 输出在/etc/exports文件中所设置的所有目录 |
| -r | 重新读取/etc/exports文件中的设置,并使其立即生效,无需重启服务 |
| -u | 停止输出某一目录 |
| -v | 在输出目录时将目录显示到屏幕上 |
检查输出目录所使用的选项:
在配置文件/etc/exports中,即使在命令行中只设置了一两个选项,但在真正输出目录时,实际上还带有很多默认的选项。通过查看/var/lib/nfs/etab文件,可以看到具体使用了何选项
[root@wyt1 ~]# cat /var/lib/nfs/etab
/nfs/upload 192.168.232.0/24(rw,sync,wdelay,hide,nocrossmnt,secure,root_squash,no_all_squash,no_subtree_check,secure_locks,acl,no_pnfs,anonuid=300,anongid=300,sec=sys,secure,root_squash,no_all_squash)
/nfs/shared *(ro,sync,wdelay,hide,nocrossmnt,secure,root_squash,no_all_squash,no_subtree_check,secure_locks,acl,no_pnfs,anonuid=65534,anongid=65534,sec=sys,secure,root_squash,no_all_squash)
5.部署NFS
需求1:开放/nfs/shared目录,供所有用户查阅资料
| 主机名 | 类型 | IP地址 |
|---|---|---|
| wyt1 | 服务端 | 192.168.232.128 |
| wyt2 | 客户端 | 192.168.232.130 |
服务端:
1.在服务端安装nfs-utils
[root@wyt1 ~]# yum -y install nfs-utils
2.启动服务nfs-server和设置开机自动启动,关闭防火墙和selinux
[root@wyt1 ~]# systemctl start rpcbind //启动rpcbind服务
[root@wyt1 ~]# systemctl enable rpcbind //启动开机自动启动
[root@wyt1 ~]# systemctl start nfs-server //启动nfs服务
[root@wyt1 ~]# systemctl enable nfs-server //启动开机自动启动
[root@wyt1 ~]# systemctl disable --now firewalld //关闭防护墙开机不启动
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
[root@wyt1 ~]# vi /etc/selinux/config //关闭selinux
[root@wyt1 ~]# cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
3.创建shared目录,配置/etc/exports,重启服务
[root@wyt1 ~]# mkdir -p /nfs/shared
[root@wyt1 ~]# vim /etc/exports
[root@wyt1 ~]# cat /etc/exports
/nfs/shared *(ro)
[root@wyt1 ~]# systemctl restart nfs-server //重启服务
客户端:
1.在客服端安装nfs-utils
[root@wyt2 ~]# yum -y install nfs-utils
注意:
客户端禁止启动nfs-server服务
2.查看服务端有哪些共享目录
[root@wyt2 ~]# showmount -e 192.168.232.128
Export list for 192.168.232.128:
/nfs/shared *
3.创建挂载点,并挂载
[root@wyt2 ~]# mkdir shared
[root@wyt2 ~]# ls
anaconda-ks.cfg shared
[root@wyt2 ~]# mount -t nfs 192.168.232.128:/nfs/shared shared
[root@wyt2 ~]# df -h |tail -1
192.168.232.128:/nfs/shared 17G 1.1G 16G 6% /root/shared
验证
服务端:
[root@wyt1 ~]# cd /nfs/shared/
[root@wyt1 shared]# touch hello
[root@wyt1 shared]# ls
hello
客户端:
[root@wyt2 ~]# cd shared
[root@wyt2 shared]# ls
hello
[root@wyt2 shared]# touch abc
touch: cannot touch ‘abc’: Read-only file system //没有写的权限
需求2:开放/nfs/upload目录为192.168.232.0/24网段的数据上传目录,并将所有用户及所属的用户组都映射为nfs-upload,其UID与GID均为300
服务端:
1.创建upload目录,创建用户和组为nfs-upload,UIG和GID均为300
[root@wyt1 ~]# mkdir /nfs/upload
[root@wyt1 ~]# groupadd -g 300 nfs-upload //创建组
[root@wyt1 ~]# useradd -r -M -s /sbin/nologin -g 300 -u 300 nfs-upload //创建系统用户不允许登录
[root@wyt1 ~]# id nfs-upload
uid=300(nfs-upload) gid=300(nfs-upload) groups=300(nfs-upload)
[root@wyt1 ~]# setfacl -m u:nfs-upload:rwx /nfs/upload //设置nfs-upload对upload目录有读写执行权限
2.配置/etc/exports,并重启服务
[root@wyt1 ~]# vim /etc/exports
[root@wyt1 ~]# cat /etc/exports
/nfs/shared *(ro)
/nfs/upload 192.168.232.0/24(rw,anonuid=300,anongid=300)
[root@wyt1 ~]# systemctl restart nfs-server
客户端:
1.查看服务端有哪些共享目录
[root@wyt2 ~]# showmount -e 192.168.232.128
Export list for 192.168.232.128:
/nfs/shared *
/nfs/upload 192.168.232.0/24
2.创建挂载点并挂载
[root@wyt2 ~]# mkdir upload
[root@wyt2 ~]# mount -t nfs 192.168.232.128:/nfs/upload upload
[root@wyt2 ~]# df -h |tail -1
192.168.232.128:/nfs/upload 17G 1.1G 16G 6% /root/upload
3.验证
客户端:
[root@wyt2 ~]# cd upload/
[root@wyt2 upload]# touch hello
[root@wyt2 upload]# ll
total 0
-rw-r--r-- 1 300 300 0 Apr 30 03:10 hello
服务端:
[root@wyt1 ~]# ll /nfs
total 0
drwxr-xr-x. 2 root root 19 Apr 30 02:31 shared
drwxr-xr-x. 2 nfs-upload nfs-upload 6 Apr 30 02:42 upload
[root@wyt2 ~]# cd upload/
[root@wyt2 upload]# ll
total 0
-rw-r--r-- 1 nfs-upload nfs-upload 0 Apr 30 03:10 hello