假设有一台服务器正在运行先决条件CentOS 8。 在此服务器上安装用作NFS服务器和NFS客户端的其他计算机。 服务器和客户端必须能够通过专用网络相互通信。 如果托管服务提供商不提供专用IP地址,则可以使用公共IP地址,并将服务器防火墙配置为仅允许来自受信任源端口2049的通信。
本示例中的计算机具有以下IP :
NFS server IP :192.168.33.148 NFS客户端IPS : from the 192.168.33.0/24 range
设置NFS服务器本节介绍如何安装所需的软件包、创建和导出NFS目录以及配置防火墙。
安装NFS服务器nfs-utils软件包时,NFS服务器将提供NFS实用程序和守护程序。 要安装,请运行以下命令:
sudo dnf install nfs-utils
安装完成后,输入以下命令以启用并启动NFS服务:
sudosystemctlenable-- now NFS-server
默认情况下,CentOS 8 NFS版本3和4.x启用,版本2禁用。 NFSv2已经很旧了,没有理由启用。 要验证,请运行以下cat命令:
sudo cat /proc/fs/nfsd/versions
-2 3 4 4.1 4.2
在/etc/nfsmount.conf和/etc/nfs.conf文件中设置NFS服务器配置选项。 默认设置足以满足教程的要求。
在创建文件系统配置NFSv4服务器时,建议使用全局NFS根目录将实际目录装载到共享装载点。 此示例使用/srv/nfs4控制器作为NFS根目录。
为了更好地说明如何配置NFS装载,请共享两个具有不同配置设置的目录/var/www和/opt/backups。
/var/www/归用户所有,组apache和/opt/backups归root所有。
使用mkdir命令创建导出文件系统:
sudo mkdir -p /srv/nfs4/{backups,www}
实际目录安装:
sudo mount---bind/opt/backups/SRV/NFS4/backupssudomount---bind/var/www/SRV/NFS4/www
要永久启用挂接,请在/etc/fstab文件中添加以下条目:
sudo nano /etc/fstab
/etc/fstab
/opt/backups/SRV/NFS4/backupsnonebind0/var/www/SRV/NFS4/wwwnonebind 0
导出文件系统以下过程定义了NFS服务器、共享选项以及允许访问这些文件系统的客户端导出的文件系统。 为此,请打开/etc/exports文件。
sudo nano /etc/exports
导出www和backups目录,仅允许客户端在192.168.33.0/24网络上访问。
/etc/exports
/SRV/NFS4192.168.33.0/24(rw,sync,no_subtree_check,crossmnt,fsid=0)/SRV/NFS4/backups 192.192
第一行包含定义NFS根/srv/nfs的fsid=0。 仅允许192.168.33.0/24子网上的客户端访问此NFS卷。 要将目录共享为导出目录的子目录,必须共享crossmnt选项。
第二行显示了如何将多个导出规则分配给文件系统。 导出/srv/nfs4/backups目录,仅允许对整个192.168.33.0/24范围的读取访问,以及对192.168.33.3的读取和写入访问sync选项指示在回复NFS之前将更改写入磁盘。
最后一行应该是不言自明的。 有关所有可用选项的详细信息,请在终端上输入man exports。
保存文件并导出共享:
sudo exportfs -ra
每次修改/etc/exports文件时,都必须运行上述命令。 如果有错误或警告,它们将显示在终端上。
要查看当前活动的出口及其状态,请使用:
sudo exportfs -v
输出包含所有股票及其选项。 如您所见,/etc/exports文件中有多个未定义的选项。 这些是默认选项,如果要更改,必须显式设置。
/srv/nfs4/backups192.168。
33.3(sync,wdelay,hide,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)/srv/nfs4/www 192.168.33.110(sync,wdelay,hide,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)/srv/nfs4 192.168.33.0/24(sync,wdelay,hide,crossmnt,no_subtree_check,fsid=0,sec=sys,rw,secure,root_squash,no_all_squash)/srv/nfs4/backups192.168.33.0/24(sync,wdelay,hide,no_subtree_check,sec=sys,ro,secure,root_squash,no_all_squash)
root_squash是有关NFS安全性的最重要选择之一。这样可以防止从客户端连接的root用户对已安装的共享具有root特权。它将根UID和GID映射到nobody / nogroup UID / GID。
为使客户端计算机上的用户具有访问权限,NFS希望客户端的用户和组ID与服务器上的用户和组ID相匹配。另一种选择是使用NFSv4 idmapping功能,将用户和组ID转换为名称,反之亦然。
至此,您已经在CentOS服务器上设置了NFS服务器。现在,您可以转到下一步并配置客户端并连接到NFS服务器。
防火墙配置FirewallD是Centos 8上的默认防火墙解决方案。
NFS服务包括用于允许访问NFS服务器的预定义规则。以下命令将永久允许从192.168.33.0/24子网进行访问:
sudo firewall-cmd --new-zone=nfs --permanentsudo firewall-cmd --zone=nfs --add-service=nfs --permanentsudo firewall-cmd --zone=nfs --add-source=192.168.33.0/24 --permanentsudo firewall-cmd --reload设置NFS客户端
现在已设置NFS服务器并导出共享,下一步配置客户端并挂载远程文件系统。
您也可以在Mac OS和Windows计算机上安装NFS共享,但我们将重点关注Linux系统。
安装NFS客户端在客户端计算机上,安装挂载远程NFS文件系统所需的工具。
在Debian和Ubuntu上安装NFS客户端
包括在基于Debian的发行版上安装NFS文件系统的程序的软件包名称为nfs-common。要安装它,请运行:
sudo apt updatesudo apt install nfs-common
在CentOS和Fedora上安装NFS客户端 [225在Red Hat及其衍生产品上安装nfs-utils软件包:
sudo yum install nfs-utils安装文件系统
我们将在具有IP 192.168.33.110的客户端计算机上工作,该计算机具有对/srv/nfs4/www文件系统的读写访问权和对/srv/nfs4/backups文件系统的只读访问权。
为安装点创建两个新目录。您可以在所需的任何位置创建这些目录。
sudo mkdir -p /backupssudo mkdir -p /srv/www
使用 mount 命令安装导出的文件系统:
sudo mount -t nfs -o vers=4 192.168.33.148:/backups /backupssudo mount -t nfs -o vers=4 192.168.33.148:/www /srv/www
其中192.168.33.148是NFS服务器的IP。您也可以使用主机名代替IP地址,但是客户端计算机需要解析该主机名。通常,这是通过将主机名映射到 /etc/hosts 文件中的IP来完成的。
挂载NFSv4文件系统时,您需要省略NFS根目录,因此需要使用/backups来代替/srv/nfs4/backups。
使用mount或 df 命令验证是否成功安装了远程文件系统:
df -h
该命令将打印所有已安装的文件系统。最后两行是挂载的份额:
...192.168.33.148:/backups 9.7G 1.2G 8.5G 13% /backups192.168.33.148:/www 9.7G 1.2G 8.5G 13% /srv/www
要使安装在重新启动时永久存在,请打开/etc/fstab文件:
sudo nano /etc/fstab
并添加以下几行:
/etc/fstab
192.168.33.148:/backups /backups nfs defaults,timeo=900,retrans=5,_netdev0 0192.168.33.148:/www /srv/www nfs defaults,timeo=900,retrans=5,_netdev0 0
要查找有关挂载NFS文件系统时可用选项的更多信息,请在终端中键入man nfs。
挂载远程文件系统的另一个选项是使用autofs工具或创建systemd单元。
测试NFS访问权限让我们通过在每个共享中创建一个新文件来测试对共享的访问权限。
首先,尝试使用 touch 命令在/backups目录中创建测试文件:
sudo touch /backups/test.txt
/backup文件系统被导出为只读,并且按预期,您将看到Permission denied错误消息:
touch: cannot touch ‘/backups/test’: Permission denied
接下来,尝试使用 sudo 命令以root身份创建到/srv/www目录的测试文件:
sudo touch /srv/www/test.txt
同样,您会看到Permission denied消息。
touch: cannot touch ‘/srv/www’: Permission denied
/var/www 目录由apache用户拥有,并且此共享具有root_squash选项集,该选项将根用户映射到nobody用户和nogroup组,没有对远程共享的写入权限。
假设用户apache与远程服务器上的用户apache和GID存在于客户端计算机上(例如,如果您安装了apache ,情况就是这样)在两台计算机上),您可以测试以apache用户的身份创建文件:
sudo -u apache touch /srv/www/test.txt
该命令将不显示任何输出,表示文件已成功创建。
要验证它是否列出/srv/www目录中的文件,请执行以下操作:
ls -la /srv/www
输出应显示新创建的文件:
drwxr-xr-x 3 apache apache 4096 Jun 23 22:18 .drwxr-xr-x 3 root root 4096 Jun 23 22:29 ..-rw-r--r-- 1 apache apache 0 Jun 23 21:58 index.html-rw-r--r-- 1 apache apache 0 Jun 23 22:18 test.txt卸载NFS文件系统
如果您不再需要远程NFS共享,则可以使用umount命令将其卸载为任何其他已安装的文件系统。例如,要卸载/backup共享,您可以运行:
sudo umount /backups
如果在/etc/fstab文件中定义了挂载点,请确保删除该行或通过在该行的开头添加#将其注释掉。
结论在本教程中,我们向您展示了如何设置NFS服务器以及如何在客户端计算机上挂载远程文件系统。如果您要在生产中实施NFS并共享敏感数据,则最好启用kerberos身份验证。
作为NFS的替代方法,您可以使用 SSHFS 通过SSH连接安装远程目录。 SSHFS默认情况下是加密的,并且更易于配置和使用。