目录:
(一)关于NFS防火墙的设置
(二)关于NFS权限的设置
(三)基于kerberos的NFS
创新互联建站专注于中大型企业的成都做网站、成都网站建设和网站改版、网站营销服务,追求商业策划与数据分析、创意艺术与技术开发的融合,累计客户上千家,服务满意度达97%。帮助广大客户顺利对接上互联网浪潮,准确优选出符合自己需要的互联网运用,我们将一直专注高端网站设计和互联网程序开发,在前进的路上,与客户一起成长!
(一)关于NFS防火墙的设置
NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间共享资源。在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。
NFS的优势如下:
1.节省本地存储空间,将常用的数据存放在一台NFS服务器上且可以通过网络访问,那么本地终端将可以减少自身存储空间的使用。
2.用户不需要在网络中的每个机器上都建有Home目录,Home目录可以放在NFS服务器上且可以在网络上被访问使用。
3.一些存储设备如软驱、CDROM和ZIP(一种高储存密度的磁盘驱动器与磁盘)等都可以在网络上被别的机器使用。这可以减少整个网络上可移动介质设备的数量。
假设我们在服务器上有一个目录/xx需要共享出去,我们是使用nfs服务共享出的,因为nfs服务使用的是2049端口,所以在防火墙需要将2049端口开放出去。同时nfs服务是基于rpc(远程进程调用)服务调用的,rpc服务是服务在111端口,当nfs服务重启时将会在rpc服务这里注册,所以如果rpc服务没有正常启动,那么nfs服务也没有办法正常访问,即我们需要在防火墙也开放111端口。在nfs系统中我们会遇到多个客户端挂载,为了避免多个用户同时挂载产生问题,我们需要使用一个锁来管理这种挂载问题,所以我们还需要启动mountd服务,并在防火墙开放对应端口。
(1.1)首先在vms001主机上将nfs服务、rpc-bind服务、mountd服务在防火墙开启并写入持久态中。
(1.2)我们使用systemctl list-unit-files可以查看到当前启动的所有服务,可以看到rpcbind.service服务已经启动了,并且是static状态。
(二)关于NFS权限的设置
(2.1)一般nfs服务的配置文件是在/etc/exports文件或者/etc/exports.d/*.exports文件中配置的,且文件的格式如下所示。
(2.2)我们在vms001主机上创建一个/data目录,并将/data目录共享出去。
(2.3)接着创建一个/data目录,并且将exports文件中的设置生效。
(2.4)接着在vms002客户端主机上测试vms001主机提供的nfs服务是否正常。在vms002主机上创建一个/nfsdata目录,并将/nfsdata目录挂载到vms001主机共享的data目录下。
(2.5)此时我们在vms002主机上尝试使用root身份创建一个文件aaa.txt,发现系统提示权限不够。这是由于在vms001主机上/var/lib/nfs/etab文件中定义了root_squash参数,即压缩root用户的权限,使root用户的权限同anonuid=65534一致。
(2.6)由于vms001主机上的/data目录的other权限是不可写的,所以给/data目录的o加上w的权限。
(2.7)如果我们想要以root的身份写入信息,并且不压缩root的权限,则可以在/etc/exports文件中进行设置。
(2.8)此时从vms002主机上向/nfsdata目录中写文件,发现可以正常的写入文件,并且是以root身份写入的。
(2.9)由于在/var/lib/nfs/etab文件中默认设置的参数是no_all_squash,如果需要对所有用户都启用压缩权限,则可以在/etc/exports文件中设置all_squash即可。
(2.10)设置192.168.26.102主机可读可写,且掩码为32;设置192.168.26.0网段中的主机都只有只读的权限。
(2.11)在vms002主机的/nfsdata目录下创建一个test102host.txt文件,发现可以正常的创建出对应的文件。
(2.12)经验总结,故障排错:接着我们在一台IP地址为192.168.26.200的主机上测试,进入到/nfsdata目录后,尝试创建test200host.txt文件,发现并不能创建成功。
注意:此处我们是通过修改vms002主机的IP地址为192.168.26.200实现其他主机的效果。
(2.13)在vms002主机上将IP地址重新修改为102后,此时就可以正常的创建文件了。
(三)基于kerberos的NFS
Kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术执行认证服务的。Kerberos又指麻省理工学院为这个协议开发的一套计算机网络安全系统。系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听,防止replay破坏、保护数据完整性等场合,是一种应用对称密钥体系进行密钥管理的系统。Kerberos的扩展产品也使公开密钥方法进行认证。
麻省理工研发了kerberos协议来保护ProjectAthena提供的网络服务器。这个协议以希腊神话中的人物kerberos命名,他在希腊神话中是Hades的一条凶猛的三头保卫神犬。
在我们的环境中有一个kerberos服务器,这个服务器我们称之为KDC即密钥分发中心。在我们的环境中有很多的主体,包括机器、service、user、group。现在我们有一台服务器server,还有一个客户端client,如果我们需要基于kerberos来进行保护时,此时KDC会为每一个主体分配一个ticket,很多的信息都是保存在/etc/krb5.keytab文件中的,客户端和服务器都有自己独立的keytab文件。当客户端访问服务器的时候,客户端会出示自己的ticket,此时服务器会使用自己的ticket票据对客户端的ticket合法性做验证,这就是我们整个kerberos的工作流程。在我们的kerberos环境里对时间同步的要求是非常高的,所有机器的时间必须要保持一致,所以我们通过配置NTP服务器可以实现需求。
(3.1)我们在vms001主机上使用install.sh脚本创建对应的三台KVM虚拟机,其中host.img(192.168.122.10)对应就是kerberos服务器,system1.img(192.168.122.100)对应的是nfs服务器,system2.img(192.168.122.200)对应的是普通的客户端。
(3.2)接着从vms001主机上登录到system1主机和system2主机上。
(3.3)此时host主机除了是一台kerberos服务器外,还是一台LDAP域服务器。
(3.4)首先我们在system1主机上创建普通的nfs服务器,并将防火墙相关的端口打开。
(3.5)将system2主机上的/aa目录挂载到system1主机上由nfs共享的/aa目录上,是可以正常的实现挂载的。
(3.6)接着我们使用基于kerberos服务搭建nfs服务器。我们需要在system1主机和system2主机上都要向host主机申请下载ticket。
(3.7)我们在system1主机上创建一个基于kerberos服务的目录/kerberosDir,并且编辑/etc/exports文件。
(3.8)由于SELinux是开启的状态,所以接着修改/kerberosDir的上下文信息。
(3.9)接着在/etc/sysconfig/nfs文件中设置强制使用nfs4版本。
(3.10)在system1主机上设置/kerberosDir目录的属主为ldapuser1用户,并将nfs-server服务和nfs-secure-server服务重启一下。
(3.11)接着在system2主机上的/etc/fstab 文件中进行编辑,system2主机上的/aa目录直接挂在到system1主机上共享的/aa目录即可。我们在system2主机上创建/kerberosDir目录,但是system2主机上的/kerberosDir目录在挂载到system1主机上/kerberosDir目录时,注意需要写长主机名挂载,并且加上v4.2和sec=krb5p参数。
# mkdir /kerberosDir
(3.12)此时发现基于kerberos服务的system2主机创建的/kerberosDir目录已经正常的挂载到了system1主机的/kerberosDir目录了。
—————— 本文至此结束,感谢阅读 ——————
分享标题:【我的Linux,我做主!】常用共享存储--NFS服务配置应用与实战
文章分享:http://scpingwu.com/article/jipeoj.html