NFS ( Network File System,网络文件系统)用于跨越文件系统,它允许网络中的计算机之间通过TCP/IP网络共享资源。
NFS 基本概述
NFS 主要功能是通过局域网络让不同的主机系统之间可以共享文件或目录。
NFS 系统和 Windows 网络共享、网络驱动器类似, 只不过windows用于局域网, NFS 用于企业集群架构中, 如果是大型网站, 会用到更复杂的分布式文件系统
小文件存储系统:(Moosefs,FastDFS)
大文件存储系统:(glusterfs,HDFS)
为什么要NFS服务进行数据存储
1. 实现数据信息共享
2. 实现数据信息一致
NFS 应用场景
企业集群环境中,若用户上传的数据上传到某台服务器中,若不使用 NFS ,则其他服务器没办法访问及使用本资源,若使用 NFS ,则只需划分一个共享空间然后挂载到每台服务器即可。
NFS 实现原理
rpc.nfsd:NFS 守护进程,控制客户端是否能够登录服务器;rpc.mount:管理 NFS 文件系统,客户端成功登录并使用文件前,会对文件使用权限进行验证;portmap:端口映射服务
本地操作方式
1.当用户进程发起本地文件访问或修改,该用户请求传递至内核,由内核驱动硬件完成操作。
远程操作方式
1.用户进程访问NFS客户端,使用不同的函数对数据进行处理。
2.请求会通过TCP/IP的方式传递给NFS服务端。
3.NFS服务端接收到请求后,会调用portmap进程进行端口映射。
4.nfsd进程用于判断NFS客户端是否拥有权限连接NFS服务端。
5.Rpc.mount用于判断客户端是否有对应的权限进行验证。
6.idmap进程实现用户映射和压缩。
7.最后NFS服务端会将对应请求的函数转换为本地能识别的命令,传递至内核,由内核驱动硬件。
NFS 工具部署
环境准备
本文环境在未特殊声明时默认为 CentOS 7.5
服务器规划
| 节点 | 角色 | 外网IP | 内网IP |
|---|---|---|---|
| Node 1 | 服务端 | 10.0.0.31 | 172.16.1.31 |
| Node 2 | 客户端 | 10.0.0.41 | 172.16.1.41 |
禁用 firewalld
[root@wavengine ~]# systemctl disable firewalld
[root@wavengine ~]# systemctl stop firewalld禁用 SELinux
[root@wavengine ~]# sed -ri '#^SELINUX=#cSELINUX=Disabled' /etc/selinux/config
[root@wavengine ~]# setenforce 0注意: 需禁用防火墙或设置相应的规则, 以免默认的防火墙策略禁止正常的NFS共享服务,本文为方便操作,直接禁用。安装 NFS 组件
[root@nfs-server ~]# yum -y install nfs-utils修改 NFS 配置
服务的默认配置文件为/etc/exports(默认配置为空)。
我们可以按照共享目录的路径 允许访问的NFS客户端(共享权限参数)格式,定义要共享的目录与相应的权限。
exports 配置文件格式
NFS共享目录 NFS客户端地址1(参数1,参数2,...) 客户端地址2(参数1,参数2,...)
NFS共享目录 NFS客户端地址(参数1,参数2,...)
执行man exports命令,然后切换到文件结尾,可以快速查看如下样例格式:
| 挂载参数 | 作用及解释 | 频率 |
|---|---|---|
rw | 读写权限 | 常用 |
ro | 只读权限 | / |
root_squash | 当客户端以root身份访问时,映射为服务器的默认匿名用户 | / |
no_root_squash | 当客户端以root身份访问时,映射为服务器的root管理员 | / |
all_squash | 无论客户端以何种身份访问,均映射为服务器的匿名用户 | / |
no_all_squash | 无论客户端以何种身份访问,均不进行映射 | / |
sync | 同时将数据写入到内存与硬盘中,保证不丢失数据 | 常用 |
async | 优先将数据保存到内存,然后再写入硬盘;这样效率更高,但可能会丢失数据 | / |
anonuid | 配置all_squash使用,指定客户端的用户UID,确保用户存在 | 常用 |
anongid | 配置all_squash使用,指定客户端的用户UID,确保用户存在 | 常用 |
配置 NFS 服务
在使用NFS服务进行文件共享之前,需要使用RPC(Remote Procedure Call远程过程调用,服务将NFS服务器的IP地址和端口号信息发送给客户端。
因此,在启动NFS服务之前,需要先重启并启用rpcbind服务程序,同时都加入开机启动。
[root@nfs-server ~]# systemctl restart rpcbind
[root@nfs-server ~]# systemctl restart nfs-server
[root@nfs-server ~]# systemctl enable rpcbind
[root@nfs-server ~]# systemctl enable nfs-serverNFS 应用案例
将服务端 /data 目录共享给 172.16.1.0/24 网段内的所有主机
需求
- 主机对目录拥有读写权限
- 将数据写入到服务端硬盘中后才会结束操作(最大限度保证数据不丢失)
- 将所有用户映射为本地的匿名用户(
nfsnobody)
NFS 服务端配置
# 添加配置文件
[root@nfs-server ~]# echo "/data 172.16.1.0/24(rw,sync,all_squash)" >> /etc/exports
# 在服务端建立共享的目录,并设置对应权限及属主
[root@nfs-server ~]# mkdir /data
[root@nfs-server ~]# chown -R nfsnobody:nfsnobody /data注意:地址与权限之间没有空格!NFS 共享目录会记录至 /var/lib/nfs/etab ,如果该目录不存在共享信息,请检查配置信息。NFS 客户端挂载
安装客户端工具,仅启动 rpcbind 服务
[root@nfs-client ~]# yum -y install nfs-utils rpcbind
[root@nfs-client ~]# systemctl restart rpcbind
[root@nfs-client ~]# systemctl enable rpcbind在客户端使用 showmount 命令查看远程服务端提供的可挂载信息
[root@nfs-client ~]# showmount -e 172.16.1.31
Export list for 172.16.1.31:
/data 172.16.1.0/24| 参数 | 作用 |
|---|---|
| -e | 显示目标服务端的共享列表 |
| -a | 显示本机挂载的文件资源的情况NFS资源的情况 |
| -v | 显示版本号 |
在客户端创建挂载目录并挂载
# 创建挂载目录
[root@nfs-client ~]# mkdir /nfsdir
# 挂载 NFS 分区(使用 -t 参数指定文件系统)
[root@nfs-client ~]# mount -t nfs 172.16.1.31:/data /nfsdir
# 或使用 . 指定文件系统
[root@nfs-client ~]# mount.nfs4 172.16.1.31:/data /nfsdir
# 检查挂载情况
[root@nfs-client ~]# df –h
Filesystem Size Used Avail Use% Mounted on
/dev/sda3 62G 845M 58G 2% /
tmpfs 244M 0 244M 0% /dev/shm
/dev/sda1 190M 26M 155M 14% /boot
172.16.1.31:/data 62G 880M 58G 2% /nfsdir格式:mount.文件系统 远程地址:目录 本地挂载目录
永久挂载 NFS 分区
[root@nfs-client ~]# echo "172.16.1.31:/data /nfsdir nfs defaults 0 0" >>/etc/fstab卸载 NFS 分区【扩展】
[root@nfs-client ~]# umount /nfsdir 注意:若卸载的时报错umount: /nfsdir: device is busy
- 切换至其他目录, 然后再进行卸载。
- 使用
umount -lf /nfsdir命令强制卸载。
应用场景下的参数优化【重点】
在企业工作场景下,通常情况NFS服务器共享的只是普通静态数据(如图片、附件、视频),不需要suid、exec等权限,挂载的这个文件系统只能作为数据存取之用,禁用一些危险权限,对于客户端来讲增加了安全性。例如:很多木马篡改站点文件都是由上传入口上传的伪装程序到存储目录然后执行。
通过mount -o指定挂载参数,禁止使用suid、exec权限,增加安全性能。
[root@nfs-client ~]# mount.nfs4 -o nosuid,noexec,nodev 172.16.1.31:/data /mnt有时也需要考虑性能相关参数【可选】
通过mount -o指定挂载参数,禁止更新目录及文件时间戳挂载
[root@nfs-client ~]# mount.nfs4 -o noatime,nodiratime 172.16.1.31:/data /mntNFS 共享存储总结
NFS 存储优点
- NFS文件系统简单易用、方便部署、数据可靠、服务稳定、满足中小企业需求。
- NFS文件系统内数据是在文件系统之上的,所有数据都是能看得见。
NFS 存储局限
- 存在单点故障, 维护麻烦
- NFS数据明文, 并不对数据做任何校验
- 客户端挂载无需账户密码, 安全性一般(内网使用)
NFS 应用建议
- 生产场景应将数据尽可能往前端推, 减少后端数据库和存储压力
- 将存储里的静态资源通过CDN缓存(
jpg\css\js) - 如果没有缓存或架构本身历史遗留问题,再 多存储也无用
- NFS是中小企业集群架构中最常见的一种(
PV千万级/日)
AutoFS 自动挂载
无论是Samba服务还是NFS服务, 都要把挂载信息写入到/etc/fstab中,这样远程共享资源就会自动随服务器开机而进行挂载。
短板:
1.虽然很方便,但挂载资源过多会造成网络带宽以及服务器硬件资源带来很大的负载
2.如果在资源挂载后长期不使用,也会造成服务器硬件资源的浪费。
3.每次使用之前执行mount手动挂载,这是个不错的选择,但每次都需要先挂载在使用,会非常的麻烦。
那么 autofs 自动挂载服务可以帮我们解决这一问题。autofs 服务程序是一种守护进程,当检测到用户试图访问一个尚未挂载的文件系统时,将自动挂载该文件系统,从而节约了网络资源和服务器的硬件资源。
1. 客户端安装 autofs
[root@nfs-client ~]# yum install autofs -y
[root@nfs-client ~]# systemctl enable autofs
[root@nfs-client ~]# systemctl start autofs2. 客户端配置 autofs
autofs有两种挂载方式:
直接:direct /- 子配置文件必须写本地绝对路径
间接: indirect /path 子配置文件写相对于/path的子目录
# 可以将文件写入/etc/auto.master.d目录下, 该目录已被主配置文件包含
[root@http-server ~]# grep "dir" /etc/auto.master
+dir:/etc/auto.master.d注意:不要将设备挂载信息都写入到autofs服务的主配置/etc/auto.master文件中,会让主配置文件臃肿不堪,不利于服务执行效率,也不利于日后修改里面的配置内容。
直接挂载方式: 本地的挂载点是绝对路径
# 配置后缀必须是 .autofs,/- 代表这是一个直接挂载定义,根据/etc/auto.nfs_direct进行挂载
[root@nfs-client ~]# vim /etc/auto.master.d/nfs.autofs
/- /etc/auto.nfs_direct
# 子配置文件中,按“挂载目录 挂载文件类型及权限 :设备名称”的格式进行填写。
[root@nfs-client ~]# vim /etc/auto.nfs_direct
/nfsdir -fstype=nfs,rw,sync,soft,nosuid,nodev 192.168.56.11:/data
# 重启autofs服务
[root@nfs-client ~]# systemctl restart autofs
间接挂载: 本地路径和服务端的路径都没有直接写绝对路径
# 名称后缀必须是autofs,访问本地对应目录自动远端nfs
[root@nfs-client ~]# vim /etc/auto.master.d/nfs.autofs
#/- /etc/auto.nfs_direct
/nfsdir /etc/auth.nfs_share
[root@nfs-client ~]# vim /etc/auth.nfs_share
* -rw,sync,soft,nosuid,nodev,'sec=krb5p' 192.168.56.11:/data/&
# 重启autofs服务
[root@nfs-client ~]# systemctl restart autofs注意:如果有kerberos验证则需要启动nfs-secure并加入开机自启动。若使用df命令无法查看具体挂载内容,则使用mount命令。
附录
参考链接
本文由 柒 创作,采用 知识共享署名4.0
国际许可协议进行许可。
转载本站文章前请注明出处,文章作者保留所有权限。
最后编辑时间: 2018-07-26 10:31 AM