> CentOS > CentOS服务器 > 环境配置 >

CentOS6.3配置NFS服务

一、NFS服务简介

  NFS 是Network File System的缩写,即网络文件系统。一种使用于分散式文件系统的协定,由Sun公司开发,于1984年向外公布。功能是通过网络让不同的机器、不同的操作系统能够彼此分享个别的数据,让应用程序在客户端通过网络访问位于服务器磁盘中的数据,是在类Unix系统间实现磁盘文件共享的一种方法。

  NFS 的基本原则是“容许不同的客户端及服务端通过一组RPC分享相同的文件系统”,它是独立于操作系统,容许不同硬件及操作系统的系统共同进行文件的分享。

  NFS在文件传送或信息传送过程中依赖于RPC协议。RPC,远程过程调用 (Remote Procedure Call) 是能使客户端执行其他系统中程序的一种机制。NFS本身是没有提供信息传输的协议和功能的,但NFS却能让我们通过网络进行资料的分享,这是因为NFS使用了一些其它的传输协议。而这些传输协议用到这个RPC功能的。可以说NFS本身就是使用RPC的一个程序。或者说NFS也是一个RPC SERVER。所以只要用到NFS的地方都要启动RPC服务,不论是NFS SERVER或者NFS CLIENT。这样SERVER和CLIENT才能通过RPC来实现PROGRAM PORT的对应。可以这么理解RPC和NFS的关系:NFS是一个文件系统,而RPC是负责负责信息的传输。

二、系统环境

1、系统平台:CentOS release 6.3 (Final)

NFS Server IP:192.168.40.125

2、SELINUX设置为disabled

(1)[root@server~]# setenforce 0,不需要重启系统。

(2)vim /etc/selinux/config将SELINUX=enforcing 改成SELINUX=disabled,需要重启系统。

3、关闭防火墙service iptables stop

(1)服务端若防火墙开启在客户端执行[root@client ~]# showmount -e 192.168.40.125时出现
clnt_create: RPC: Port mapper failure - Unable to receive: errno 113 (No route to host)

(2)或在服务器端执行iptables -F和iptables -X

(3)也可以不关闭防火墙,在服务器端使用[root@server~]#rpcinfo -p 192.168.40.125 | grep nfs

[root@server~]#rpcinfo -p 192.168.40.125 | grep portmapper,查找到相应的端口号,修改/etc/sysconfig/iptables 文件,添加相应端口:

[root@server~]#vim /etc/sysconfig/nfs

 

# TCP port rpc.lockd should listen on.
LOCKD_TCPPORT=[port-number]
# UDP port rpc.lockd should listen on.
LOCKD_UDPPORT=[port-number]
# Port rpc.mountd should listen on.
MOUNTD_PORT=[port-number]
# Port rquotad should listen on.
RQUOTAD_PORT=[port-number]
# Port rpc.statd should listen on.
STATD_PORT=[port-number]
# Outgoing port statd should used. The default is port is random
STATD_OUTGOING_PORT=[port-number]

 

打开默认文件中的监听端口号:

LOCKD_TCPPORT=32803
LOCKD_UDPPORT=32769
MOUNTD_PORT=892
RQUOTAD_PORT=875
STATD_PORT=662
STATD_OUTGOING_PORT=2020
-A INPUT -m state --state NEW -m udp -p udp --dport 111 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 111 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 32803 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 32769 -j ACCEPT
-A INPUT  -m state --state NEW -m tcp -p tcp --dport 892 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 892 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 875 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 875 -j ACCEPT
-A INPUT  -m state --state NEW -m tcp -p tcp --dport 662 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 662 -j ACCEPT
详细讲解请参看:http://computernetworkingnotes.com/network-administration/how-to-configure-nfs-server-in-rhel-6.html
然后执行[root@server~]#service iptables restart

[root@server~]#service rpcbind restart

[root@server~]#service nfs restart

三、安装NFS服务

 

(1)遇到第一个问题 portmap 名称错误(portmap服务改为rpcbind)

[root@server ~]# rpm -qa | grep portmap

没有查到,所以就安装yum install portmap 

 


 
  1. ===============================================================================================================================================================================================    
  2.  Package                                      Arch                                        Version                                              Repository                                 Size    
  3. ===============================================================================================================================================================================================    
  4. Updating:    
  5.  rpcbind                                      x86_64                                      0.2.0-11.el6         
安装的包是rpcbind而且service portmap start 会出现portmap: unrecognized service 。

 

主要是因为CentOS6.2 6.2变更了portmap服务为rpcbind,在使用nfs时这点与centos5不同。
[root@server ~]# service rpcbind start

rpcbind服务正常启动。

(2)查询系统是否安装了nfs

[root@server ~]# rpm -qa | grep nfs 

 

 
  1. nfs-utils-lib-1.1.5-4.el6.x86_64  
  2. nfs-utils-1.2.3-26.el6.x86_64  
  3. nfs4-acl-tools-0.3.3-6.el6.x86_64  
ok,这台机器已经安装了nfs

 

(3)配置nfs服务器端

1、[root@server ~]#vim /etc/exports

添加内容:

/root/file 192.168.40.0/24(rw,no_root_squash,no_all_squash,sync)

格式:

 

<输出目录> [客户端1 选项(访问权限,用户映射,其他)] [客户端2 选项(访问权限,用户映射,其他)]

 

保存,将NFS Server 的/root/file共享给192.168.40.0/24网段,权限读写。

重启rpcbind 和nfs 服务

[root@server ~]#service rpcbind restart 
[root@server ~]#service nfs restart

[root@server ~]#showmount -e,服务器端使用showmount命令查询NFS的共享状态

[root@server ~]#showmount -a,显示已经与客户端连接上的目录信息

2、服务器的问题:

服务器使用showmount -e命令时:

clnt_create: RPC: Program not registered
或者

 

客户端showmount -e 192.168.40.125时:

 

  1. mount.nfs: requested NFS version or transport protocol is not supported    
或者

 

客户端showmount -e 192.168.40.125时:

 
  1. mount.nfs: rpc.statd is not running but is required for remote locking.    
  2. mount.nfs: Either use '-o nolock' to keep locks local, or start statd.    
  3. mount.nfs: an incorrect mount option was specified    

 

上述三个问题原因在于服务启动的顺序不对,应该先启动或重启rpcbind服务,然后在启动或重启nfs服务。

客户端使用showmount -e 192.168.40.125时:

 

  1. clnt_create: RPC: Port mapper failure - Unable to receive: errno 113 (No route to host)  
原因在于服务器端的防火墙没有开放端口号,可以把服务器的防火墙关闭service iptables stop(参看前面)。
(4)客户端

 

nfs客户端不需要任何配置,不需要关闭防火墙,只需要能ping通NFS服务器即可。

第一步:连接nfs服务器

[root@client ~]# showmount -e 192.168.40.125

 

  1. Export list for 192.168.40.125:  
  2. /root/file 192.168.40.0/24  
说明客户端的机器能连接nfs服务器192.168.40.125

第二步:执行挂载命令

格式:

 

# mount NFS服务器IP:共享目录 本地挂载点目录

 

[root@client ~]#mount -t nfs 192.168.40.125:/root/file /mnt

使用完毕后可以执行解除挂载的方法:

[root@client ~]#umount -t nfs 192.168.40.125:/root/file /mnt

或者[root@client ~]#umount  /mnt

客户端的问题主要来源于服务器,请参考服务器的问题修改。

(不需要了解详细细节的读者到此就可以使用NFS了。)

四、NFS系统守护进程

 

  • nfsd:它是基本的NFS守护进程,主要功能是管理客户端是否能够登录服务器;
  • mountd:它是RPC安装守护进程,主要功能是管理NFS的文件系统。当客户端顺利通过nfsd登录NFS服务器后,在使用NFS服务所提供的文件前,还必须通过文件使用权限的验证。它会读取NFS的配置文件/etc/exports来对比客户端权限。
  • portmap:主要功能是进行端口映射工作。当客户端尝试连接并使用RPC服务器提供的服务(如NFS服务)时,portmap会将所管理的与服务对应的端口提供给客户端,从而使客户可以通过该端口向服务器请求服务。

 

五、NFS服务器的配置文件

NFS服务器的配置相对比较简单,只需要在相应的配置文件中进行设置,然后启动NFS服务器即可。

NFS的常用目录

/etc/exports                           NFS服务的主要配置文件
/usr/sbin/exportfs                   NFS服务的管理命令
/usr/sbin/showmount              客户端的查看命令
/var/lib/nfs/etab                      记录NFS分享出来的目录的完整权限设定值
/var/lib/nfs/xtab                      记录曾经登录过的客户端信息

NFS服务的配置文件为 /etc/exports,这个文件是NFS的主要配置文件,不过系统并没有默认值,所以这个文件不一定会存在,可能要使用vim手动建立,然后在文件里面写入配置内容。

/etc/exports文件内容格式:

<输出目录> [客户端1 选项(访问权限,用户映射,其他)] [客户端2 选项(访问权限,用户映射,其他)]

a. 输出目录:

输出目录是指NFS系统中需要共享给客户机使用的目录;

b. 客户端:

客户端是指网络中可以访问这个NFS输出目录的计算机

客户端常用的指定方式

  • 指定ip地址的主机:192.168.0.200
  • 指定子网中的所有主机:192.168.0.0/24 192.168.0.0/255.255.255.0
  • 指定域名的主机:david.bsmart.cn
  • 指定域中的所有主机:*.bsmart.cn
  • 所有主机:*

c. 选项:

选项用来设置输出目录的访问权限、用户映射等。

NFS主要有3类选项:

访问权限选项

  • 设置输出目录只读:ro
  • 设置输出目录读写:rw

用户映射选项

  • all_squash:将远程访问的所有普通用户及所属组都映射为匿名用户或用户组(nfsnobody);
  • no_all_squash:与all_squash取反(默认设置);
  • root_squash:将root用户及所属组都映射为匿名用户或用户组(默认设置);
  • no_root_squash:与rootsquash取反;
  • anonuid=xxx:将远程访问的所有用户都映射为匿名用户,并指定该用户为本地用户(UID=xxx);
  • anongid=xxx:将远程访问的所有用户组都映射为匿名用户组账户,并指定该匿名用户组账户为本地用户组账户(GID=xxx);

其它选项

  • secure:限制客户端只能从小于1024的tcp/ip端口连接nfs服务器(默认设置);
  • insecure:允许客户端从大于1024的tcp/ip端口连接服务器;
  • sync:将数据同步写入内存缓冲区与磁盘中,效率低,但可以保证数据的一致性;
  • async:将数据先保存在内存缓冲区中,必要时才写入磁盘;
  • wdelay:检查是否有相关的写操作,如果有则将这些写操作一起执行,这样可以提高效率(默认设置);
  • no_wdelay:若有写操作则立即执行,应与sync配合使用;
  • subtree:若输出目录是一个子目录,则nfs服务器将检查其父目录的权限(默认设置);
  • no_subtree:即使输出目录是一个子目录,nfs服务器也不检查其父目录的权限,这样可以提高效率。

六、NFS服务器的自启动

每次启动LINUX系统后都手工启动nfs服务器是不现实的,需要设置系统在指定的运行级别自动启动portmap和nfs服务。

设置rpcbind和nfs服务在系统运行级别3、4和5自动启动。

(不需要chkconfig --addrpcbind,系统已有该服务)

[root@server ~]#chkconfig --level 345 rpcbind on

[root@server ~]#chkconfig --level 345 nfs on

查看rpcbind和nfs服务

[root@server ~]#chkconfig --list rpcbind

 

 
  1. rpcbind         0:关闭    1:关闭    2:启用    3:启用    4:启用    5:启用    6:关闭  

 

[root@server ~]#chkconfig --list nfs

 
  1. nfs             0:关闭    1:关闭    2:关闭    3:启用    4:启用    5:启用    6:关闭  

 

七、客户端启动自动挂载nfs文件系统

[root@client ~]#wim /etc/fstab

 

格式:

<server>:</remote/export> </local/directory> nfs < options> 0 0

添加:

 

 
  1. 192.168.40.125:/root/file   /mnt      nfs    defaults    0 0  
保存,重启

 

在服务器开启的情况下使用[root@client ~]#mount查看挂载点,并进入/mnt文件夹查看文件

 

八、NFS的共享权限和访问控制

 

       若服务器配置时只有读权限出现在客户端创建文件时提示Permission denied,这是NFS 服务器端共享的目录本身的写权限没有开放给其他用户,在服务器端打开该权限,[root@server ~]#chmod 777 -R /root/file。

        NFS有很多默认的参数,打开/var/lib/nfs/etab 查看分享出来的/root/file完整权限设定值。

 

 
  1. /root/file 192.168.40.0/24(rw,sync,wdelay,hide,nocrossmnt,secure,no_root_squash,no_all_squash,no_subtree_check,secure_locks,acl,anonuid=65534,anongid=65534)  

 

 

no_root_squash 是让root保持权限,root_squash 是把root映射成nobody,no_all_squash 不让所有用户保持在挂载目录中的权限。

 

我们使用普通用户挂载、写入文件测试。

[root@client ~]#su yang

[yang@client ~]#cd /mnt

[yang@client ~]#touch hello.txt

[yang@client ~]#ls -al
可以看到hello.txt所属的用户和组都是nobody,普通用户写入文件时就是自己的名字,这也就保证了服务器的安全性。

关于权限的分析

  1. 客户端连接时候,对普通用户的检查

    a. 如果明确设定了普通用户被压缩的身份,那么此时客户端用户的身份转换为指定用户;

    b. 如果NFS server上面有同名用户,那么此时客户端登录账户的身份转换为NFS server上面的同名用户;

    c. 如果没有明确指定,也没有同名用户,那么此时 用户身份被压缩成nfsnobody;

  2. 客户端连接的时候,对root的检查

    a. 如果设置no_root_squash,那么此时root用户的身份被压缩为NFS server上面的root;

    b. 如果设置了all_squash、anonuid、anongid,此时root 身份被压缩为指定用户;

    c. 如果没有明确指定,此时root用户被压缩为nfsnobody;

    d. 如果同时指定no_root_squash与all_squash 用户将被压缩为 nfsnobody,如果设置了anonuid、anongid将被压缩到所指定的用户与组;

九、相关命令

1、exportfs

如果我们在启动了NFS之后又修改了/etc/exports,是不是还要重新启动nfs呢?这个时候我们就可以用exportfs 命令来使改动立刻生效,该命令格式如下:

  # exportfs [-aruv]

  -a 全部挂载或卸载 /etc/exports中的内容 
  -r 重新读取/etc/exports 中的信息 ,并同步更新/etc/exports、/var/lib/nfs/xtab
  -u 卸载单一目录(和-a一起使用为卸载所有/etc/exports文件中的目录)
  -v 在export的时候,将详细的信息输出到屏幕上。

具体例子: 
  # exportfs -au 卸载所有共享目录
  # exportfs -rv 重新共享所有目录并输出详细信息

2、nfsstat

查看NFS的运行状态,对于调整NFS的运行有很大帮助。

3、rpcinfo

查看rpc执行信息,可以用于检测rpc运行情况的工具,利用rpcinfo -p 可以查看出RPC开启的端口所提供的程序有哪些。

4、showmount

  -a 显示已经于客户端连接上的目录信息
  -e IP或者hostname 显示此IP地址分享出来的目录

5、netstat

可以查看出nfs服务开启的端口,其中nfs 开启的是2049,portmap 开启的是111,其余则是rpc开启的。

最后注意两点,虽然通过权限设置可以让普通用户访问,但是挂载的时候默认情况下只有root可以去挂载,普通用户可以执行sudo。

NFS server 关机的时候一点要确保NFS服务关闭,没有客户端处于连接状态!通过showmount -a 可以查看,如果有的话用kill killall pkill 来结束,(-9 强制结束)

十、总结

(1)NFS用于网络共享存储,配置简单,使用容易,可以在linux中得到应用。

(2)关于NFS文件权限的控制还需要更进一步的分析。

(3)若有更好的见解,请留言讨论,在此感谢。




(责任编辑:IT)