文件共享系统之NFS

文件共享服务之NFS

一、基础知识

        NFS：Network File System

    是在linux和unix系统上除了ftp外常用的文件共享服务的一种。

    借助于RPC实现文件传输功能。

    经过二三十年的发展，已经非常成熟了，广泛用于linux、unix，甚至windows和MAC都在极力支持NFS功用

NFS与http和ftp的区别：

①NFS发起的是一个函数的执行调用请求

    ftp和http发出的是一个资源调用请求

② NFS是映射挂载实现功能的

     ftp和http是通过应用程序的客户端和服务器端交互实现功能的

RPC: Remote Procedure Call protocol包括远程过程调用、函数调用（远程主机上的函数）

一部分功能由本地程序完成

另一部分功能由远程主机上的函数完成

过程与函数的区别：过程没有返回值，函数有返回值

         

重大尴尬：

    在远程主机上存储创建的文件属主和属组到底是谁？

    如果本地操作用户有账号，远程主机没有，怎么算呢？

    root用户都是0，那对远程主机的控制权限就无限大了，远程主机不安全。

    基于这种情况，sun公司就研发了NIS系统。

NIS: Network Information System 网络信息系统

    作用：身份认证——集中于某服务器完成身份认证

    用户登录时，在login界面程序上输入的帐号通过网络发送给另外一个主机，由另外这台用于集中存储用户帐号信息的服务器检查帐号是否存在，如果存在，则通知用户输入密码，密码也打包发送给远程主机，核对密码也正确后，于是用户就可以登录了。

    NIS也是明文的，因此一般只在局域网使用，而且NIS服务器成为整个系统的单点故障所在。现在NIS已经很少应用了。

    现在用户集中存储一般是用ldap，并可以与cobblers结合。cobblers传输认证可以不传输敏感信息但完成用户帐号密码信息认证。这种认证方式是比较安全的

NFS: 仅支持基于IP的认证，而不能基于帐号和密码的认证

     而且因为是一个远程调用服务，不是一个请求响应服务，所以自身没办法实现基于帐号的认证，即使是基于ip，也不能实现帐号密码认证

     因此，远程主机一般还须启动一个守护进程moutd，用mountd控制哪些用户可以凭帐号和密码访问。只有经过mountd认证后，才会被发给一个令牌通行证，才能凭令牌访问远程主机的文件系统。

nfs服务器需要同时启动三个服务进程：nfsd, mountd, idmapd

nfsd：

管理共享文件系统的进程，监听在 2049/tcp, 2049/udp。

mountd：

访问帐号的控制进程，不是总所周知的程序，仅仅是nfs的辅助服务，而且是基于RPC运行的，因此其监听端口是由本地的公共进程服务RPC代为监听的，其监听端口是由RPC代为随机选择一个未用的，是个半随机端口模式。mountd的监听端口号需要先向RPC询问后得知。

idmapd：

将远程登录的帐号映射为本地的nobody，本地的nobody在远程主机上映射为响应的属主和属组。原理是通过UID号来对应的，与名字无关，即只要UID号是同一个，即将远程操作用户映射为本地这个UID号用户。

RPC服务：portmapper

rpcinfo: report RPC information

查看命令：# rpcinfo -p [host]

host：可以是本地主机，也可以是远程某个主机。默认是本地主机

探测某个主机上portmapper服务是否正常工作，监听在哪个端口上，而且有哪些服务注册使用RPC服务

[root@aunt-s ~]# rpcinfo -p 172.16.20.150    （远程主机）

  program vers proto   port  service

   100000    4   tcp    111  portmapper

   100000    3   tcp    111  portmapper

   100000    2   tcp    111  portmapper

   100000    4   udp    111  portmapper

   100000    3   udp    111  portmapper

   100000    2   udp    111  portmapper

   100024    1   udp  58704  status

   100024    1   tcp  43182  status

[root@aunt-s ~]# rpcinfo -p localhost （本地主机）

  program vers proto   port  service

   100000    4   tcp    111  portmapper

   100000    3   tcp    111  portmapper

   100000    2   tcp    111  portmapper

   100000    4   udp    111  portmapper

   100000    3   udp    111  portmapper

   100000    2   udp    111  portmapper

   100024    1   udp  59481  status

   100024    1   tcp  40707  status

涉及的程序包：

启动服务的程序包为nfs-utils，教室centos6默认是安装上的，最小化安装没有安装这个程序组；

这一个rpm包提供多种功能程序

服务器端是在内核中的，不需要再安装，只需启动模块就性。

[root@aunt-s ~]# rpm -q nfs-utils

nfs-utils-1.2.3-54.el6.x86_64

[root@aunt-s ~]# rpm -ql nfs-utils

/etc/nfsmount.conf

/etc/rc.d/init.d/nfs

/etc/rc.d/init.d/nfslock

/etc/rc.d/init.d/rpcgssd

/etc/rc.d/init.d/rpcidmapd

/etc/rc.d/init.d/rpcsvcgssd

/etc/request-key.d/id_resolver.conf

/etc/sysconfig/nfs

/sbin/mount.nfs 挂载nfs4以前版本的命令

/sbin/mount.nfs4 挂载nfs4版本的命令

/sbin/nfs_cache_getent

/sbin/rpc.statd

/sbin/umount.nfs  卸载nfs4以前版本的命令

/sbin/umount.nfs4 卸载nfs4版本的命令

/usr/sbin/exportfs

/usr/sbin/mountstats

/usr/sbin/nfsidmap

/usr/sbin/nfsiostat

/usr/sbin/nfsstat

/usr/sbin/rpc.gssd

/usr/sbin/rpc.idmapd  服务器端关键的要启动的三个服务

/usr/sbin/rpc.mountd

/usr/sbin/rpc.nfsd

/usr/sbin/rpc.svcgssd

/usr/sbin/rpcdebug

/usr/sbin/showmount

/usr/sbin/sm-notify

/usr/sbin/start-statd

二、 服务器端需要操作的过程：

1、查看有没有安装程序包

[root@kingdom ~]# rpm -q nfs-utils

nfs-utils-1.2.3-54.el6.x86_64

如果是xxx is not installed，则需要安装一下

2、查看安装生成的文件

[root@kingdom ~]# rpm -ql nfs-utils

3、配置服务并启动

[root@kingdom ~]# chkconfig | grep nfs

nfs             0:off 1:off 2:off 3:off 4:off 5:off 6:off

nfslock         0:off 1:off 2:off 3:on 4:on 5:on 6:off

[root@kingdom ~]# chkconfig nfs on

[root@kingdom ~]# chkconfig | grep nfs

nfs             0:off 1:off 2:on 3:on 4:on 5:on 6:off

nfslock         0:off 1:off 2:off 3:on 4:on 5:on 6:off

[root@kingdom ~]# service nfs start

Starting NFS services:           [  OK  ]

Starting NFS quotas:             [  OK  ]  这个是允许客户端使用磁盘块大小的控制程序

Starting NFS mountd:             [  OK  ]

Starting NFS daemon:             [  OK  ]

Starting RPC idmapd:             [  OK  ]

4、查看启用的端口

[root@kingdom ~]# rpcinfo -p

5、查看man手册熟悉/etc/exports文件的配置使用，并设置好

/etc/exports文件基本配置格式：

文件系统 客户端(选项)<空格>客户端(选项)

 客户端：IP、FQDN或DOMAIN、NETWORK

IP：长格式、短格式都可以，如172.16.20.110/16、172.16.20.100/255.255.0.0

可使用通配符：* （任意长度的任意字符）、？（任意单个字符）

        选项：多个选项之间用逗号隔开，常用的有：

    ⑴secure： 

这个选项是缺省选项，它使用了 1024 以下的 TCP/IP 端口实现 NFS 的连接。指定 insecure 可以禁用这个选项。

    ⑵rw： 

这个选项允许 NFS 客户机进行读/写访问。缺省选项是只读的。

    ⑶async： 

这个选项是缺省选项，可以改进性能，但是如果没有完全关闭 NFS 守护进程就重新启动了 NFS 服务器，这也可能会造成数据丢失。

    ⑷no_wdelay： 

这个选项关闭写延时。如果设置了 async，那么 NFS 就会忽略这个选项。

    ⑸nohide： 

如果将一个目录挂载到另外一个目录之上，那么原来的目录通常就被隐藏起来或看起来像空的一样。要禁用这种行为，需启用 hide 选项。

    ⑹no_subtree_check： 

这个选项关闭子树检查，子树检查会执行一些不想忽略的安全性检查。缺省选项是启用子树检查。

    ⑺no_auth_nlm： 

这个选项也可以作为 insecure_locks 指定，它告诉 NFS 守护进程不要对加锁请求进行认证。如果关心安全性问题，就要避免使用这个选项。缺省选项是 auth_nlm 或 secure_locks。

    ⑻mp (mountpoint=path)： 

通过显式地声明这个选项，NFS 要求挂载所导出的目录。

    ⑼fsid=num： 

这个选项通常都在 NFS 故障恢复的情况中使用。如果希望实现 NFS 的故障恢复，请参考 NFS 文档。

    ⑽root_squash： 

这个选项不允许 root 用户访问挂载上来的 NFS 卷。

    ⑾no_root_squash： 

这个选项允许 root 用户访问挂载上来的 NFS 卷。

    ⑿all_squash： 

这个选项对于公共访问的 NFS 卷来说非常有用，它会限制所有的 UID 和 GID，只使用匿名用户。缺省设置是 no_all_squash。

    ⒀anonuid 和 anongid： 

这两个选项将匿名 UID 和 GID 修改成特定用户和组帐号。

EXAMPLE

 # sample /etc/exports file

 /               master(rw) trusty(rw,no_root_squash)

 /projects       proj*.local.domain(rw)

 /usr            *.local.domain(ro) @trusted(rw)

 /home/joe       pc001(rw,all_squash,anonuid=150,anongid=100)

 /pub            *(ro,insecure,all_squash)

 /srv/www        -sync,rw server @trusted @external(ro)

 /foo            2001:db8:9:e54::/64(rw) 192.0.2.0/24(rw)

 /build          buildhost[0-9].local.domain(rw)

6、配置好共享的内容，并安全导出

专用工具：# exportfs

export -ar: 重新导出所有的文件系统，已连接的不会被打断；添加或修改后也用这个选项重新安全导出

export -au: 关闭导出的所有文件系统

export -u FS: 关闭指定的导出的文件系统

7、查看导出成功与否

[root@kingdom nfs]# showmount -e 172.16.20.150

Export list for 172.16.20.150:

/share/nfs 172.16.250.148,172.16.20.110

三、客户端使用过程：

1、查看NFS服务器端共享的文件系统：

# showmount -e NFSSERVER_IP

例如： # showmount -e 172.16.20.150

（如果没有这个程序，需要先安装showmount）

[root@aunt-s vusers_conf]# showmount -e 172.16.20.150

Export list for 172.16.20.150:

/share/nfs 172.16.250.148,172.16.20.110

2、挂载NFS文件系统：

2.1 先查看本地主机是否启动两个守护进程：

rpcbind

rpc.statd

[root@aunt-s mnt]# ss -tnlp | grep rpc

LISTEN     0      128                       *:54418                    *:*      users:(("rpc.statd",1390,9))

LISTEN     0      128                      :::43571                   :::*      users:(("rpc.statd",1390,11))

LISTEN     0      128                      :::111                     :::*      users:(("rpcbind",1339,11))

LISTEN     0      128                       *:111                      *:*      users:(("rpcbind",1339,8))

2.2 挂载

mount -t nfs SERVER:/path/to/sharedfs  /path/to/mount_point

例如： # mount -t nfs 172.16.20.150：/share/nfs   /mnt

将远程主机172.16.20.150上的/share/nfs挂载到本地的/mnt目录下使用，然后可以直接查看使用了，就如新加了一个分区一样。

3、开机自动挂载nfs设置: 

/etc/fstab

SERVER:/PATH/TO/EXPORTED_FS   /mount_point nfs defaults,_netdev 0 0

挂载选项设置：

⑴defaults

⑵_netdev：当远程共享主机不在线时，允许我们开机时系统等待一个时长后就不再试图挂载后继续启动，如果没有这个选项，系统将一直等待直到挂载成功。

⑶rsize 的值是从服务器读取的字节数。

⑷wsize 是写入到服务器的字节数。默认都是1024， 如果使用比较高的值，如8192,可以提高传输速度，但断电时丢失的数据也可能越大

⑸timeo：超时时长，单位为十分之一秒，当PRC时间超时时，主机会先等待这个timeo设定的时长，然后再发送重新传送请求。每重试一次，timeo都加倍，直到达到设置的最大超时时间或者60秒。对于速度慢或者繁忙的nfs主机，增加这个值能改善挂载使用的体验。

⑹intr：允许在对挂载的远程nfs文件操作超时时发送打断信号，如关闭等