Giới thiệu

Giao thức truy cập tệp cho phép máy khách và hệ thống lưu trữ truyền dữ liệu bằng cú pháp chung và các quy tắc được xác định. Tệp PowerStore hỗ trợ nhiều giao thức bao gồm SMB, NFS, FTP và SFTP. 

Trong blog trước, chúng tôi đã thảo luận về một giao thức thường dùng để chia sẻ tệp có tên là Server Message Block (SMB). Trong blog này, chúng tôi sẽ xem xét một giao thức thường dùng khác để chia sẻ tệp có tên là Network File System (NFS). NFS thường được sử dụng cho các trường hợp sử dụng như chia sẻ của phòng ban, cơ sở dữ liệu, kho dữ liệu VMware NFS, v.v.

Phiên bản NFS

PowerStore hỗ trợ NFSv3 đến NFSv4.1. NFSv3 là giao thức không trạng thái bao gồm bảo mật cơ bản, yêu cầu cơ chế khóa bên ngoài và bit chế độ dựa trên UNIX để cấp quyền. NFSv4 là giao thức có trạng thái cho phép tăng cường bảo mật, khóa tích hợp, ACL để cấp quyền và thêm các cải tiến khác.

Ngoài ra, Secure NFS cũng được hỗ trợ. Theo truyền thống, NFS không phải là giao thức an toàn nhất, vì nó tin tưởng máy khách xác thực người dùng và xây dựng thông tin xác thực người dùng và gửi những thông tin này dưới dạng văn bản rõ qua mạng. Với sự ra đời của Secure NFS, Kerberos có thể được sử dụng để bảo mật việc truyền dữ liệu thông qua xác thực người dùng và ký dữ liệu thông qua mã hóa. Kerberos là một giao thức xác thực mạnh mẽ nổi tiếng, trong đó một trung tâm phân phối khóa duy nhất, hay KDC, được tin cậy thay vì từng máy khách riêng lẻ. Có ba chế độ Secure NFS khác nhau có sẵn trên PowerStore:

• Kerberos: Chỉ sử dụng Kerberos để xác thực
• Kerberos có tính toàn vẹn: Sử dụng Kerberos để xác thực và bao gồm hàm băm để đảm bảo tính toàn vẹn của dữ liệu
• Kerberos với mã hóa: Sử dụng Kerberos để xác thực, bao gồm hàm băm và mã hóa dữ liệu trong khi truyền

Cấu hình NFS

Để cấu hình NFS, trước tiên bạn phải bật NFS trên máy chủ NAS, tạo hệ thống tập tin và xuất NFS.

Bước đầu tiên để cấu hình môi trường NFS là cung cấp máy chủ NAS. Mỗi máy chủ NAS có các tùy chọn để bật NFSv3 và NFSv4 độc lập. Hình sau đây hiển thị các tùy chọn giao thức NFS trong trình hướng dẫn cung cấp máy chủ NAS.

Nếu ít nhất một giao thức NFS được bật, thì bạn sẽ được cung cấp tùy chọn bật Dịch vụ thư mục UNIX (UDS). Mục đích của UDS là cung cấp cơ chế phân giải tên thành ID và ngược lại. Điều này là cần thiết vì hệ thống tệp theo dõi người dùng và tệp bằng ID người dùng và ID nhóm (UID và GID). Các ID này có thể được phân giải thành tên người dùng và tên nhóm và các tên này được hiển thị để cải thiện khả năng sử dụng cho con người. Các tùy chọn khả dụng cho UDS là:

• Tệp cục bộ – Các tệp riêng lẻ được tải lên máy chủ NAS để cung cấp giải pháp tên và ID
  • Lý tưởng cho môi trường nhỏ hoặc biệt lập
  • Nhanh chóng và dễ dàng cấu hình
  • Không mở rộng tốt vì các tệp cần được tải lên từng máy chủ NAS nếu có bất kỳ thay đổi nào
  • Chúng có cùng cú pháp với các tệp cấu hình được tìm thấy trong thư mục /etc/ trên máy chủ UNIX
    • Một bản sao của tệp cục bộ từ máy chủ có thể được sử dụng lại cho máy chủ NAS
    • PowerStore cũng cung cấp một mẫu với cú pháp và mô tả
• NIS/LDAP – Dịch vụ cung cấp thư mục người dùng tập trung để phân giải tên và ID
  • Lý tưởng cho các môi trường lớn yêu cầu ánh xạ UID/GID nhất quán trên nhiều máy chủ NAS
  • Yêu cầu công việc trước khi triển khai ban đầu
  • Có khả năng mở rộng tốt và các bản cập nhật có thể được truyền bá dễ dàng

Ngoài UDS, Secure NFS cũng có thể được bật ở bước này. Tất cả các tùy chọn trong bước này là tùy chọn và có thể bỏ qua nếu chúng không bắt buộc trong môi trường của bạn. Hình sau đây hiển thị bước UNIX Directory Services của trình hướng dẫn cung cấp máy chủ NAS.

Khi UDS được cấu hình, bước cuối cùng trong trình hướng dẫn sẽ nhắc bạn bật DNS để phân giải địa chỉ IP và tên. Bước này cũng là tùy chọn và có thể bỏ qua nếu DNS không bắt buộc trong môi trường của bạn.

Bất kỳ thiết lập nào được thiết lập trong quá trình cung cấp ban đầu cho máy chủ NAS cũng có thể được thay đổi sau đó.

Xuất khẩu NFS

Khi máy chủ NAS hỗ trợ NFS được cấu hình, bạn có thể cung cấp hệ thống tệp cùng với xuất NFS. Xuất NFS cung cấp đường dẫn mà máy khách có thể sử dụng để gắn hệ thống tệp. Xuất NFS ban đầu có thể tùy chọn được tạo như một phần của trình hướng dẫn cung cấp hệ thống tệp. Xuất NFS bổ sung cũng có thể được tạo trên các hệ thống tệp hiện có, nếu đường dẫn tồn tại.

Trong bước xuất NFS của trình hướng dẫn cung cấp hệ thống tệp, trường bắt buộc duy nhất là tên để xuất. Bạn cũng có thể thấy tên của Máy chủ NAS, đường dẫn cục bộ, tên hệ thống tệp và đường dẫn xuất NFS ở bên phải, như thể hiện trong hình sau.

Bạn có thể sử dụng lại đường dẫn cục bộ làm tên của tệp xuất hoặc cung cấp một tên khác. Nếu tên được cung cấp khác với đường dẫn cục bộ, thì tên đó được sử dụng để tạo bí danh NFS. Bí danh NFS là một đường dẫn khác có thể được sử dụng để gắn tệp xuất khác với đường dẫn thực tế đến chia sẻ. Ví dụ: nếu tên là fs và đường dẫn cục bộ là /filesystem, cả hai đều có thể được sử dụng để gắn tệp xuất ngay cả khi đường dẫn thực tế đến tệp xuất là /filesystem. Sau khi tệp xuất được tạo, bạn cũng có thể thấy rằng cả hai đường dẫn đều hợp lệ khi chạy lệnh showmount đến giao diện máy chủ NAS, như thể hiện trong hình sau.

Bước tiếp theo trong trình hướng dẫn cho phép bạn cấu hình quyền truy cập vào xuất NFS. Các tùy chọn sau đây khả dụng:

• Bảo mật tối thiểu – Phương pháp xác thực tối thiểu được phép truy cập vào xuất NFS. Các tùy chọn Kerberos chỉ khả dụng nếu Secure NFS được bật.
  • Sys (Mặc định) – Người dùng xác thực khi đăng nhập vào máy khách, do đó máy khách chuyển ID của người dùng đến máy chủ NFS mà không cần xác thực trực tiếp
  • Kerberos – Chỉ sử dụng Kerberos để xác thực
  • Kerberos có tính toàn vẹn – Sử dụng Kerberos để xác thực và bao gồm hàm băm để đảm bảo tính toàn vẹn của dữ liệu
  • Kerberos với mã hóa – Sử dụng Kerberos để xác thực, bao gồm hàm băm và mã hóa dữ liệu trong khi truyền
• Quyền truy cập mặc định – Xác định quyền truy cập cho tất cả các máy chủ cố gắng kết nối với xuất NFS. Các tùy chọn khả dụng là:
  • Không có quyền truy cập (Mặc định)
  • Đọc/Ghi
  • Chỉ đọc
  • Đọc/Ghi, cho phép Root
  • Chỉ đọc, cho phép Root

Lưu ý:  Tùy chọn allow root tương đương với no_root_squash trên hệ thống UNIX. Điều này có nghĩa là nếu người dùng có quyền truy cập root trên máy khách, họ cũng được cấp quyền truy cập root vào xuất NFS. Allow root là bắt buộc đối với một số trường hợp sử dụng, chẳng hạn như kho dữ liệu VMware NFS.

• Danh sách ghi đè – Các máy chủ cần quyền truy cập khác với quyền truy cập mặc định có thể được cấu hình bằng cách thêm tên máy chủ, địa chỉ IP hoặc mạng con vào danh sách ghi đè bằng một trong các tùy chọn truy cập được liệt kê ở trên.
  • Phân cách bằng dấu phẩy – Nhiều mục nhập cũng có thể được thêm đồng thời theo định dạng phân cách bằng dấu phẩy. Bảng sau đây hiển thị các tùy chọn được hỗ trợ khi cấu hình quyền truy cập máy chủ NFS:

• Tệp CSV – Quyền truy cập máy chủ cũng có thể được cấu hình bằng cách tải lên tệp CSV có danh sách các máy chủ và cấp độ truy cập tương ứng của chúng.
  • PowerStore Manager cung cấp một mẫu với các ví dụ về định dạng và cú pháp cho tệp này. Mẫu này có thể được tải xuống từ hệ thống, chỉnh sửa và sau đó nhập.
  • Khi nhiều lệnh xuất NFS yêu cầu cùng một cấu hình truy cập được cấu hình, cùng một tệp có thể được nhập nhiều lần và trên nhiều cụm.
  • Khi tệp được nhập, các máy chủ mới nhập sẽ được thêm vào danh sách truy cập.

Hình sau đây hiển thị cấu hình truy cập máy chủ khi xuất NFS.

Gắn kết xuất NFS

Khi bạn đã tạo xuất NFS, bạn có thể gắn xuất NFS trên máy khách được cấu hình để truy cập. Nếu bạn cố gắng gắn xuất NFS từ máy khách không có quyền truy cập, lỗi truy cập bị từ chối sẽ được trả về. Nếu bạn cố gắng gắn đường dẫn không phải là xuất NFS hợp lệ, bạn cũng sẽ thấy lỗi truy cập bị từ chối.

Để gắn kết xuất NFS, hãy sử dụng lệnh mount  . Cú pháp là:

gắn kết <NFS_Server_Interface>:/<Đường dẫn hoặc Biệt danh> /<Điểm gắn kết>. 

Ví dụ,  mount nfs:/fs /mnt/nfs kết nối với giao diện có tên DNS là  nfs , tìm kiếm  đường dẫn hoặc bí danh /fs , sau đó gắn kết nó vào  thư mục /mnt/nfs/ trên máy khách. 

Tùy thuộc vào phiên bản hệ điều hành máy khách, tùy chọn gắn kết mặc định có thể khác nhau giữa NFSv3 và NFSv4. Nếu cả hai đều được bật trên máy chủ NAS và bạn muốn sử dụng một phiên bản cụ thể, bạn nên chỉ định phiên bản đó bằng cách sử dụng lệnh chuyển đổi -t trong lệnh gắn kết.

Để xác nhận rằng xuất NFS đã được gắn kết và xem các tùy chọn gắn kết, hãy sử dụng lệnh mount như minh họa trong hình sau.

Khi đã gắn kết, bạn chỉ cần thay đổi thư mục ( cd ) thành  /mnt/nfs để truy cập dữ liệu trên bản xuất NFS.

Phần kết luận

Làm tốt lắm! Bây giờ bạn đã quen với cách sử dụng giao thức NFS để truy cập hệ thống tệp. Điều này cho phép bạn bắt đầu cấu hình môi trường bằng NFS cho nhiều trường hợp sử dụng và ứng dụng. Hãy theo dõi blog tiếp theo trong loạt bài này, nơi chúng tôi sẽ xem xét cách chúng tôi có thể ẩn các thư mục .etc và lost+found khỏi người dùng cuối.