Linux NFS說明，配置及故障分析

Linux NFS說明，配置及故障分析 一、NFS服務簡介NFS 是Network File System的縮寫，即網路檔案系統。一種使用於分散式檔案系統的協定，由Sun公司開發，於1984年向外公布。功能是通過網路讓不同的機器、不同的作業系統能夠彼此分享個別的資料，讓應用程式在用戶端通過網路訪問位於伺服器磁碟中的資料，是在類Unix系統間實現磁碟檔案分享權限設定的一種方法。NFS 的基本原則是“容許不同的用戶端及服務端通過一組RPC分享相同的檔案系統”，它是獨立於作業系統，容許不同硬體及作業系統的系統共同進行檔案的分享。NFS在檔案傳送或資訊傳送過程中依賴於RPC協議。RPC，遠端程序呼叫 (Remote Procedure Call) 是能使用戶端執行其他系統中程式的一種機制。NFS本身是沒有提供資訊傳輸的協議和功能的，但NFS卻能讓我們通過網路進行資料的分享，這是因為NFS使用了一些其它的傳輸協議。而這些傳輸協議用到這個RPC功能的。可以說NFS本身就是使用RPC的一個程式。或者說NFS也是一個RPC SERVER。所以只要用到NFS的地方都要啟動RPC服務，不論是NFS SERVER或者NFS CLIENT。這樣SERVER和CLIENT才能通過RPC來實現PROGRAM PORT的對應。可以這麼理解RPC和NFS的關係：NFS是一個檔案系統，而RPC是負責負責資訊的傳輸。 二、系統內容系統平台：Red hat 5.8NFS Server IP：10.48.11.41防火牆已關閉/iptables: Firewall is not running.SELINUX=disabled 三、安裝NFS服務NFS的安裝是非常簡單的，只需要兩個軟體包即可，而且在通常情況下，是作為系統的預設包安裝的。 nfs-utils-* ：包括基本的NFS命令與監控程式 portmap-* ：支援安全NFS RPC服務的串連1、查看系統是否已安裝NFS[root@exadatabackup dir01]# rpm -qa | grep nfsnfs-utils-lib-1.0.8-7.9.el5nfs-utils-1.0.9-60.el5[root@exadatabackup dir01]# rpm -qa | grep portmapportmap-4.0-65.2.2.1 四、NFS系統守護進程nfsd：它是基本的NFS守護進程，主要功能是管理用戶端是否能夠登入伺服器；mountd：它是RPC安裝守護進程，主要功能是管理NFS的檔案系統。當用戶端順利通過nfsd登入NFS伺服器後，在使用NFS服務所提供的檔案前，還必須通過檔案使用許可權的驗證。它會讀取NFS的設定檔/etc/exports來對比用戶端許可權。portmap：主要功能是進行連接埠映射工作。當用戶端嘗試串連並使用RPC伺服器提供的服務（如NFS服務）時，portmap會將所管理的與服務對應的連接埠提供給用戶端，從而使客戶可以通過該連接埠向伺服器請求服務。 五、NFS伺服器的配置NFS伺服器的配置相對比較簡單，只需要在相應的設定檔中進行設定，然後啟動NFS伺服器即可。NFS的常用目錄/etc/exports                NFS服務的主要設定檔/usr/sbin/exportfs          NFS服務的管理命令/usr/sbin/showmount         用戶端的查看命令/var/lib/nfs/etab           記錄NFS分享出來的目錄的完整許可權設定值/var/lib/nfs/xtab           記錄曾經登入過的用戶端資訊 NFS服務的設定檔為 /etc/exports，這個檔案是NFS的主要設定檔，不過系統並沒有預設值，所以這個檔案不一定會存在，可能要使用vim手動建立，然後在檔案裡面寫入配置內容。 /etc/exports檔案內容格式：<輸出目錄> [用戶端1 選項（存取權限,使用者映射,其他）] [用戶端2 選項（存取權限,使用者映射,其他）]a. 輸出目錄：輸出目錄是指NFS系統中需要共用給客戶機使用的目錄；b. 用戶端：用戶端是指網路中可以訪問這個NFS輸出目錄的電腦用戶端常用的指定方式：  指定ip地址的主機：192.168.0.200  指定子網中的所有主機：192.168.0.0/24 192.168.0.0/255.255.255.0  指定網域名稱的主機：david.bsmart.cn  指定域中的所有主機：*.bsmart.cn  所有主機：* c. 選項：選項用來設定輸出目錄的存取權限、使用者映射等。 NFS主要有3類選項：存取權限選項： 設定輸出目錄唯讀：ro 設定輸出目錄讀寫：rw使用者映射選項：  all_squash：    將遠端存取的所有普通使用者及所屬組都映射為匿名使用者或使用者組（nfsnobody）；  no_all_squash： 與all_squash取反（預設設定）；  root_squash：   將root使用者及所屬組都映射為匿名使用者或使用者組（預設設定）；  no_root_squash：與rootsquash取反；  anonuid=xxx：   將遠端存取的所有使用者都映射為匿名使用者，並指定該使用者為本機使用者（UID=xxx）；  anongid=xxx：   將遠端存取的所有使用者組都映射為匿名使用者組賬戶，並指定該匿名使用者組賬戶為本機使用者組賬戶（GID=xxx）；其它選項 secure：    限制用戶端只能從小於1024的tcp/ip連接埠串連nfs伺服器（預設設定）； insecure：  允許用戶端從大於1024的tcp/ip連接埠串連伺服器； sync：      將資料同步寫入記憶體緩衝區與磁碟中，效率低，但可以保證資料的一致性； async：     將資料先儲存在記憶體緩衝區中，必要時才寫入磁碟； wdelay：    檢查是否有相關的寫操作，如果有則將這些寫操作一起執行，這樣可以提高效率（預設設定）； no_wdelay： 若有寫操作則立即執行，應與sync配合使用； subtree：   若輸出目錄是一個子目錄，則nfs伺服器將檢查其父目錄的許可權(預設設定)； no_subtree：即使輸出目錄是一個子目錄，nfs伺服器也不檢查其父目錄的許可權，這樣可以提高效率； 六、NFS伺服器的啟動與停止 在對exports檔案進行了正確的配置後，就可以啟動NFS伺服器了。1、啟動NFS伺服器為了使NFS伺服器能正常工作，需要啟動portmap和nfs兩個服務，並且portmap一定要先於nfs啟動。# service portmap start# service nfs start2、查詢NFS伺服器狀態# service portmap status# service nfs status  3、停止NFS伺服器要停止NFS運行時，需要先停止nfs服務再停止portmap服務，對於系統中有其他服務(如NIS)需要使用時，不需要停止portmap服務# service nfs stop# service portmap stop4、設定NFS伺服器的自動啟動狀態對於實際的應用系統，每次啟動LINUX系統後都手工啟動nfs伺服器是不現實的，需要設定系統在指定的運行層級自動啟動portmap和nfs服務。# chkconfig --list portmap# chkconfig --list nfs設定portmap和nfs服務在系統運行層級3和5自動啟動。# chkconfig --level 35 portmap on# chkconfig --level 35 nfs on [root@exadatabackup dir01]# cat /etc/exports#/dir01 *(rw,no_root_squash)#/dir02 *(rw,no_root_squash)/dir01 *(rw)/dir02 *(rw) [root@exadatabackup dir01]# exportsfs-bash: exportsfs: command not found[root@exadatabackup dir01]# exportfs/dir01          <world>/dir02          <world> [root@exadatabackup dir01]# showmount -eExport list for exadatabackup:/dir02 */dir01 * [root@exadatabackup dir01]# showmount -esExport list for exadatabackup:/dir02 */dir01 * [root@exadatabackup dir01]# showmount -aAll mount points on exadatabackup:10.48.28.3:/dir0110.48.28.9:/dir0110.48.28.9:/dir02 用戶端使用showmount命令查詢NFS的共用狀態# showmount -e NFS_SERVER_IP[root@exadatabackup dir01]# showmount -e 10.48.11.41Export list for 10.48.11.41:/dir02 */dir01 *  NFS有很多預設的參數，開啟/var/lib/nfs/etab 查看分享出來的/home/david/ 完整許可權設定值。[root@exadatabackup dir01]# cat /var/lib/nfs/etab /dir01  *(rw,sync,wdelay,hide,nocrossmnt,secure,root_squash,no_all_squash,no_subtree_check,secure_locks,acl,mapping=identity,anonuid=65534,anongid=65534)/dir02  *(rw,sync,wdelay,hide,nocrossmnt,secure,root_squash,no_all_squash,no_subtree_check,secure_locks,acl,mapping=identity,anonuid=65534,anongid=65534)  no_root_squash 是讓root保持許可權，root_squash 是把root映射成nobody，no_all_squash 不讓所有使用者保持在掛載目錄中的許可權。所以，root建立的檔案所有者是nfsnobody。 關於許可權的分析1. 用戶端串連時候，對普通使用者的檢查  a. 如果明確設定了普通使用者被壓縮的身份，那麼此時用戶端使用者的身份轉換為指定使用者；　b. 如果NFS server上面有同名使用者，那麼此時用戶端登入賬戶的身份轉換為NFS server上面的同名使用者；　c. 如果沒有明確指定，也沒有同名使用者，那麼此時 使用者身份被壓縮成nfsnobody；2. 用戶端串連的時候，對root的檢查　a. 如果設定no_root_squash，那麼此時root使用者的身份被壓縮為NFS server上面的root；　b. 如果設定了all_squash、anonuid、anongid，此時root 身份被壓縮為指定使用者；　c. 如果沒有明確指定，此時root使用者被壓縮為nfsnobody；　d. 如果同時指定no_root_squash與all_squash 使用者將被壓縮為 nfsnobody，如果設定了anonuid、anongid將被壓縮到所指定的使用者與組； 相關命令1、exportfs如果我們在啟動了NFS之後又修改了/etc/exports，是不是還要重新啟動nfs呢？這個時候我們就可以用exportfs 命令來使改動立刻生效，該命令格式如下： # exportfs [-aruv]  -a 全部掛載或卸載 /etc/exports中的內容   -r 重新讀取/etc/exports 中的資訊 ，並同步更新/etc/exports、/var/lib/nfs/xtab  -u 卸載單一目錄（和-a一起使用為卸載所有/etc/exports檔案中的目錄）  -v 在export的時候，將詳細的資訊輸出到螢幕上。 具體例子： # exportfs -au 卸載所有共用目錄# exportfs -rv 重新共用所有目錄並輸出詳細資料 2、nfsstat查看NFS的運行狀態，對於調整NFS的運行有很大協助。 3、rpcinfo查看rpc執行資訊，可以用於檢測rpc運行情況的工具，利用rpcinfo -p 可以查看出RPC開啟的連接埠所提供的程式有哪些。 4、showmount  -a 顯示已經於用戶端串連上的目錄資訊  -e IP或者hostname 顯示此IP地址分享出來的目錄 5、netstat可以查看出nfs服務開啟的連接埠，其中nfs 開啟的是2049，portmap 開啟的是111，其餘則是rpc開啟的。最後注意兩點，雖然通過使用權限設定可以讓普通使用者訪問，但是掛載的時候預設情況下只有root可以去掛載，普通使用者可以執行sudo。NFS server 關機的時候一點要確保NFS服務關閉，沒有用戶端處於串連狀態！通過showmount -a 可以查看，如果有的話用kill killall pkill 來結束，（-9 強制結束） 故障執行個體========使用nfs掛載失敗：mount: 10.48.11.41:/home/test/distfiles failed, reason given by server: Permission denied 關閉防火牆再次mount，依舊如此。 查看伺服器端/var/log/message記錄發現Aug  2 16:15:11 exadatabackup mountd[1106]: refused mount request from 10.48.28.9 for /dir01 (/dir01): unmatched host伺服器端的/etc/hosts裡的主機名稱ip全部去掉，用戶端再次mount,就可以了，但是再換一台用戶端問題mount時同樣錯誤又出現了。 經過反覆實驗，最終該問題解決匯總：解決方式1、去掉/etc/hosts中的主機名稱ip解決方式2、查看用戶端掛載的目錄不具備讀寫權限，添加許可權即可。解決方式3、伺服器和客戶機網段不同引起，修改ip地址，使其同網段即可。用 192.168.0.0/16 替代 192.168.* 方式----------------------------------------------------------------------------------------------------------------------網上有人遇到和我同樣的問題，其猜測是因為NFS會先把IP地址轉成對應的主機名稱，然後用這個主機名稱去匹配/etc/exports檔案，而該檔案都是設定IP段的，當然就沒有許可權 mount。通過查閱資料和測試，證實了我的這個猜測。 另外才測試過程中，如果使用主機名稱或者全品質主機名稱(FQDN)來mount NFS 檔案系統，會比單純使用IP要快得多。因此，如果使用NFS服務的區域網路內添加一個DNS服務，然後採用全品質主機名稱的方式來訪問，應該效果會好得多。