本文介绍了如何在Ubuntu 20.04上设置NFSv4服务器。我们还将向您展示如何在客户端计算机上挂载NFS文件系统。
NFS或网络文件系统是一种分布式文件系统协议,使您可以通过网络共享目录。使用NFS,您可以在系统上挂载远程目录,并像使用本地文件一样使用远程计算机上的文件。
默认情况下,NFS协议未加密,并且不提供用户身份验证。对服务器的访问受客户端IP地址或主机名的限制。
先决条件
我们将使用两台计算机,其中一台运行Ubuntu 20.04(将充当NFS服务器),另一台运行将在其上安装共享的任何其他Linux发行版。服务器和客户端应该能够通过专用网络相互通信。您可以使用公共IP地址并将服务器防火墙配置为2049
仅允许来自受信任源的端口上的流量。
本示例中的机器具有以下IP:
NFS Server IP: 192.168.33.10NFS Clients IPs: From the 192.168.33.0/24 range
设置NFS服务器
第一步是设置NFS服务器。我们将安装必要的软件包,创建和导出NFS目录,并配置防火墙。
安装NFS服务器
NFS服务器软件包提供运行NFS内核服务器所需的用户空间支持。要安装该软件包,请运行:
sudo apt updatesudo apt install nfs-kernel-server
安装完成后,NFS服务将自动启动。
在Ubuntu 20.04上,NFS版本2被禁用。版本3和版本4已启用。您可以通过运行以下cat
命令来验证 :
sudo cat /proc/fs/nfsd/versions
-2 +3 +4 +4.1 +4.2
NFSv2现在已经很老了,没有理由启用它。
NFS服务器配置在/etc/default/nfs-kernel-server
和/etc/default/nfs-common
文件中定义。默认设置足以应付大多数情况。
创建文件系统
NFSv4服务器使用全局根目录,并且导出的目录是相对于此目录的。您可以使用绑定安装将共享安装点链接到要导出的目录。
在此示例中,我们将/srv/nfs4
目录设置为NFS根目录。为了更好地说明如何配置NFS挂载,我们将共享两个具有不同配置设置的目录(/var/www
和/opt/backups
)。在/var/www/
被用户所拥有的www-data
,并且/opt/backups
它的拥有者root
。
首先创建根目录和共享安装点:
sudo mkdir -p /srv/nfs4/backupssudo mkdir -p /srv/nfs4/www
将目录绑定安装到共享安装点:
sudo mount --bind /opt/backups /srv/nfs4/backupssudo mount --bind /var/www /srv/nfs4/www
要使绑定安装在重新启动后永久存在,请打开/etc/fstab
文件:
sudo nano /etc/fstab
并添加以下几行:
/etc/ fstab
/opt/backups /srv/nfs4/backups none bind 0 0/var/www /srv/nfs4/www none bind 0 0
导出文件系统
下一步是将要导出的文件系统以及允许访问这些共享的客户端添加到/etc/exports
文件中。
导出文件系统的每一行具有以下格式:
export host(options)
哪里export
是导出目录,host
是可以访问导出的主机名或IP地址/范围,并且options
是主机选项。
打开/etc/exports
文件并添加以下行:
sudo nano /etc/exports
/srv/nfs4 192.168.33.0/24(rw,sync,no_subtree_check,crossmnt,fsid=0)/srv/nfs4/backups 192.168.33.0/24(ro,sync,no_subtree_check) 192.168.33.3(rw,sync,no_subtree_check)/srv/nfs4/www 192.168.33.20(rw,sync,no_subtree_check)
第一行包含该fsid=0
选项,该选项定义了NFS根目录(/srv/nfs4
)。仅允许192.168.33.0/24
子网中的客户端访问此NFS卷。该crossmnt
选项是必需的,以共享目录,是一个导出目录的子目录。
第二行显示了如何为一个文件系统指定多个导出规则。允许对整个192.168.33.0/24
范围进行读访问,并且仅对192.168.33.3
IP地址进行读和写访问。该sync
选项告诉NFS在回复之前将更改写入磁盘。
最后一行是不言自明的。有关所有可用选项的更多信息,请man exports
在终端中输入。
保存文件并导出共享:
sudo exportfs -ar
每次修改/etc/exports
文件时,都需要运行上面的命令。如果有任何错误或警告,它们将显示在终端上。
要查看当前活动的出口及其状态,请使用:
sudo exportfs -v
输出将包括所有份额及其选项。如您所见,还有一些我们尚未在/etc/exports
文件中定义的选项。这些是默认选项,如果要更改它们,则需要显式设置这些选项。
/srv/nfs4/backups192.168.33.3(rw,wdelay,root_squash,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)/srv/nfs4/www 192.168.33.20(rw,wdelay,root_squash,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)/srv/nfs4 192.168.33.0/24(rw,wdelay,crossmnt,root_squash,no_subtree_check,fsid=0,sec=sys,rw,secure,root_squash,no_all_squash)/srv/nfs4/backups192.168.33.0/24(ro,wdelay,root_squash,no_subtree_check,sec=sys,ro,secure,root_squash,no_all_squash)
在Ubuntu上,root_squash
默认情况下处于启用状态。这是有关NFS安全性的最重要的选择之一。它防止客户端连接的根用户从具有由映射根所安装的股根特权UID
和GID
至nobody
/ nogroup
UID
/ GID
。
为了使客户端计算机上的用户能够访问,NFS希望客户端的用户和组ID与服务器上的用户和组ID匹配。另一种选择是使用NFSv4 idmapping功能,该功能将用户和组ID转换为名称,反之亦然。
就是这样。至此,您已经在Ubuntu服务器上设置了NFS服务器。现在,您可以转到下一步并配置客户端,然后连接到NFS服务器。
防火墙配置
如果要在受防火墙保护的远程Ubuntu服务器上安装Jenkins,则 需要在NFS端口上启用流量:
sudo ufw allow from 192.168.33.0/24 to any port nfs
验证更改:
sudo ufw status
输出应显示2049
允许端口上的流量:
To Action From-- ------ ----2049 ALLOW 192.168.33.0/24 22/tcp ALLOW Anywhere 22/tcp (v6) ALLOW Anywhere (v6)
设置NFS客户端
现在已经设置了NFS服务器并导出了共享,下一步是配置客户端并挂载远程文件系统。
我们将专注于Linux系统,但您也可以 在macOS和Windows计算机上挂载NFS共享。
安装NFS客户端
在客户端计算机上,我们仅需要安装挂载远程NFS文件系统所需的工具。
在Debian和Ubuntu上安装NFS客户端
包含用于在基于Debian的发行版上安装NFS文件系统的程序的软件包的名称为
nfs-common
。要安装它,请运行:sudo apt update
sudo apt install nfs-common
在CentOS和Fedora上安装NFS客户端
在Red Hat及其衍生产品上,安装
nfs-utils
软件包:sudo yum install nfs-utils
挂载文件系统
我们将在具有IP的客户端计算机上工作,该计算机具有192.168.33.20
对/srv/nfs4/www
文件系统的读写访问权和对文件系统的只读访问权/srv/nfs4/backups
。
为安装点创建两个新目录:
sudo mkdir -p /backups
sudo mkdir -p /srv/www
您可以在所需的任何位置创建目录。
使用以下mount
命令挂载导出的文件系统:
sudo mount -t nfs -o vers=4 192.168.33.10:/backups /backups
sudo mount -t nfs -o vers=4 192.168.33.10:/www /srv/www
192.168.33.10
NFS服务器的IP在哪里。您也可以使用主机名代替IP地址,但是客户端计算机需要解析该主机名。通常,这是通过将主机名映射到/etc/hosts
文件中的IP来完成的。
挂载NFSv4文件系统时,请忽略NFS根目录。使用/backups
,而不是/srv/nfs4/backups
。
使用mount或df
命令验证是否成功安装了远程文件系统:
df -h
该命令将打印所有已挂载的文件系统。最后两行是已安装的共享:
Filesystem Size Used Avail Use% Mounted onudev 951M 0 951M 0% /devtmpfs 199M 676K 199M 1% /run/dev/sda3 124G 2.8G 115G 3% /tmpfs 994M 0 994M 0% /dev/shmtmpfs 5.0M 0 5.0M 0% /run/locktmpfs 994M 0 994M 0% /sys/fs/cgroup/dev/sda1 456M 197M 226M 47% /boottmpfs 199M 0 199M 0% /run/user/1000192.168.33.10:/backups 124G 2.8G 115G 3% /backups192.168.33.10:/www 124G 2.8G 115G 3% /srv/www
要使挂载在重启时永久存在,请打开/etc/fstab
文件并添加以下行:
sudo nano /etc/fstab
192.168.33.10:/backups /backups nfs defaults,timeo=900,retrans=5,_netdev0 0192.168.33.10:/www /srv/www nfs defaults,timeo=900,retrans=5,_netdev0 0
有关安装NFS文件系统时可用选项的信息,请man nfs
在终端中键入。
挂载远程文件系统的另一种选择是使用该autofs
工具或创建一个systemd单元。
测试NFS访问
让我们通过 在每个共享上创建一个新文件来测试对共享的访问。
首先,尝试/backups
使用以下touch
命令在目录中创建测试文件:
sudo touch /backups/test.txt
该/backup
文件系统导出为只读和期望,你会看到一个Permission denied
错误信息:
touch: cannot touch ‘/backups/test’: Permission denied
接下来,尝试/srv/www
使用以下sudo
命令将测试文件创建为根目录:
sudo touch /srv/www/test.txt
同样,您将看到Permission denied
消息。
touch: cannot touch ‘/srv/www’: Permission denied
如果你还记得,该/var/www
目录是拥有 由www-data
用户,而且这个比例有root_squash
选择一套root用户的映射nobody
用户和nogroup
组不具有写权限到远程共享。
假设你有一个www-data
客户机上使用具有相同UID
和GID
作为远程服务器(如果,例如,你应该是这样的安装nginx的 在两台机器上),你可以尝试创建一个文件作为用户www-data
:
sudo -u www-data touch /srv/www/test.txt
该命令将不显示任何输出,表示文件已成功创建。
要验证它列出目录中的文件,请执行以下操作/srv/www
:
ls -la /srv/www
输出应显示新创建的文件:
drwxr-xr-x 3 www-data www-data 4096 Apr 10 22:18 .drwxr-xr-x 3 root root 4096 Apr 10 22:29 ..-rw-r--r-- 1 www-data www-data 0 Apr 10 21:58 index.html-rw-r--r-- 1 www-data www-data 0 Apr 10 22:18 test.txt
卸载NFS文件系统
如果不再需要远程NFS共享,则可以使用以下umount
命令将其卸载为任何其他已安装的文件系统。
例如,要卸载/backup
共享,可以运行:
sudo umount /backups
如果在/etc/fstab
文件中定义了挂载点,请确保删除该行或通过#
在该行的开头添加注释掉它。
结论
我们已经向您展示了如何设置NFS服务器以及如何在客户端计算机上挂载远程文件系统。如果要在生产中实现NFS并共享敏感数据,则启用kerberos身份验证是一个好主意。
作为NFS的替代方法,可以使用SSHFS 通过SSH连接安装远程目录。SSHFS默认情况下是加密的,并且更易于配置和使用。
评论前必须登录!
注册