如何在 CentOS 8 上安装和配置 NFS 服务器

网络文件系统 (NFS) 是一种分布式文件系统协议,使您可以通过网络共享远程目录。使用 NFS ,您可以在系统上挂载远程目录,并像对待本地文件一样使用远程计算机上的文件。

NFS 协议默认情况下未加密,并且与 Samba 不同,它不提供用户身份验证,但可以通过客户端的 IP 地址或主机名限制对服务器的访问。

在本教程中,您将完成在 CentOS 8 上设置 NFSv4 服务器的必要步骤。我们还将向您展示如何在客户端上安装 NFS 文件系统。

先决条件

我们假设您有一台运行 CentOS 8 的服务器,我们将在该服务器上设置 NFS 服务器和其他充当 NFS 客户端的计算机。服务器和客户端应该能够通过专用网络相互通信。如果您的托管服务提供商不提供私有 IP 地址,则可以使用公共 IP 地址并将服务器防火墙配置为 2049 仅允许来自受信任源的端口上的流量。

本示例中的机器具有以下 IP :

NFS Server IP: 192.168.33.148
NFS Clients IPs: From the 192.168.33.0/24 range

设置 NFS 服务器

本节说明如何安装必要的软件包,创建和导出 NFS 目录以及配置防火墙。

安装 NFS 服务器

nfs-utils 包为 NFS 服务器提供了 NFS 实用程序和守护程序。要安装它,请运行以下命令:

sudo dnf install nfs-utils

安装完成后,通过键入以下内容启用并启动 NFS 服务:

sudo systemctl enable --now nfs-server

默认情况下,在 CentOS 8 上启用了 NFS 版本 3 和 4.x,版本 2 被禁用。 NFSv2 现在已经很老了,没有理由启用它。要验证它,请运行以下 cat 命令:

sudo cat /proc/fs/nfsd/versions
-2 +3 +4 +4.1 +4.2

/etc/nfsmount.conf/etc/nfs.conf 文件中设置了 NFS 服务器配置选项。默认设置足以满足我们的教程要求。

创建文件系统

配置 NFSv4 服务器时,一个好的做法是使用全局 NFS 根目录并将实际目录绑定安装到共享安装点。在此示例中,我们将使用 /srv/nfs4 目录作为 NFS 根目录。

为了更好地说明如何配置 NFS 挂载,我们将共享两个具有不同配置设置的目录 (/var/www/opt/backups) 。

/var/www/ 由用户和组 apache 拥有,而 /opt/backups 的拥有者是 root

使用 mkdir 命令目录:

sudo mkdir -p /srv/nfs4/{backups,www}

挂载目录:

sudo mount --bind /opt/backups /srv/nfs4/backups
sudo mount --bind /var/www /srv/nfs4/www

要永远挂载,请在 /etc/fstab 文件中添加以下条目:

sudo nano /etc/fstab
/opt/backups /srv/nfs4/backups  none   bind   0   0
/var/www     /srv/nfs4/www      none   bind   0   0

导出文件系统

下一步是定义将由 NFS 服务器,共享选项和允许访问这些文件系统的客户端导出的文件系统。为此,请打开 /etc/exports 文件:

sudo nano /etc/exports

导出 wwwbackups 目录,仅允许 192.168.33.0/24 网络上的客户端访问:

/ etc/exports

/srv/nfs4         192.168.33.0/24(rw,sync,no_subtree_check,crossmnt,fsid=0)
/srv/nfs4/backups 192.168.33.0/24(ro,sync,no_subtree_check) 192.168.33.3(rw,sync,no_subtree_check)
/srv/nfs4/www     192.168.33.110(rw,sync,no_subtree_check)

第一行包含 fsid=0 定义 NFS 根目录的目录 /srv/nfs 。仅允许来自 192.168.33.0/24 子网的客户端对此 NFS 卷进行访问。如果共享目录是导出目录的子目录,crossmnt 选项是必需的。

第二行显示了如何为一个文件系统指定多个导出规则。它导出 /srv/nfs4/backups 目录,并且只允许对整个 192.168.33.0/24 范围进行读访问,并且对 192.168.33.3 具有读和写访问权限。该 sync 选项告诉 NFS 在回复之前将更改写入磁盘。

最后一行应该是不言自明的。有关所有可用选项的更多信息,请在终端中键入 man exports 查看。

保存文件并导出共享:

sudo exportfs -ra

每次修改 /etc/exports 文件时,都需要运行上面的命令。如果有任何错误或警告,它们将显示在终端上。

要查看当前活动的出口及其状态,请使用:

sudo exportfs -v

输出将包括所有份额及其选项。如您所见,还有一些我们尚未在 /etc/exports 文件中定义的选项。这些是默认选项,如果要更改它们,则需要显式设置这些选项。

/srv/nfs4/backups
		192.168.33.3(sync,wdelay,hide,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4/www 	192.168.33.110(sync,wdelay,hide,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4     	192.168.33.0/24(sync,wdelay,hide,crossmnt,no_subtree_check,fsid=0,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4/backups
		192.168.33.0/24(sync,wdelay,hide,no_subtree_check,sec=sys,ro,secure,root_squash,no_all_squash)

root_squash 是有关 NFS 安全性的最重要选项之一。这样可以防止从客户端连接的 root 用户对已安装的共享具有 root 特权。它将映射根 UIDGIDnobody/nogroupUID/GID

为了使客户端计算机上的用户具有访问权限, NFS 希望客户端的用户和组 ID 与服务器上的用户和组 ID 相匹配。另一种选择是使用 NFSv4 的 id 映射功能,将用户和组 ID 转换为名称,反之亦然。

至此,您已经在 CentOS 服务器上设置了 NFS 服务器。现在,您可以转到下一步并配置客户端并连接到 NFS 服务器。

防火墙配置

FirewallD 是 Centos 8 上的默认防火墙解决方案。

NFS 服务包括允许访问 NFS 服务器的预定义规则。以下命令将永久允许从 192.168.33.0/24 子网进行访问:

sudo firewall-cmd --new-zone=nfs --permanent
sudo firewall-cmd --zone=nfs --add-service=nfs --permanent
sudo firewall-cmd --zone=nfs --add-source=192.168.33.0/24 --permanent
sudo firewall-cmd --reload

设置 NFS 客户端

既然已经设置了 NFS 服务器并导出了共享,那么下一步就是配置客户端并挂载远程文件系统。

您还可以在 macOS 和 Windows 计算机上挂载 NFS 共享,但是我们将重点关注 Linux 系统。

安装 NFS 客户端

在客户端计算机上,安装挂载远程 NFS 文件系统所需的工具。

  • 在 Debian 和 Ubuntu 上安装 NFS 客户端

    软件包 nfs-common 包括用于在基于 Debian 的发行版上安装 NFS 文件系统的程序。要安装它,请运行:

    sudo apt update
    sudo apt install nfs-common
    
  • 在 CentOS 和 Fedora 上安装 NFS 客户端

    在 Red Hat 及其衍生版本上安装 nfs-utils 软件包:

    sudo yum install nfs-utils
    

挂载文件系统

我们将在具有 IP 为 192.168.33.110 的客户端计算机上工作,该计算机具有对 /srv/nfs4/www 文件系统的读写访问权和对 /srv/nfs4/backups 文件系统的只读访问权。

为安装点创建两个新目录。您可以在所需的任何位置创建这些目录。

sudo mkdir -p /backups
sudo mkdir -p /srv/www

使用以下 mount 命令挂载导出的文件系统:

sudo mount -t nfs -o vers=4 192.168.33.148:/backups /backups
sudo mount -t nfs -o vers=4 192.168.33.148:/www /srv/www

NFS 服务器的 IP 是 192.168.33.148 。您也可以使用主机名代替 IP 地址,但是客户端计算机需要解析该主机名。这通常是在 /etc/hosts 文件中将主机名映射到 IP 来完成的。

挂载 NFSv4 文件系统时,您需要省略 NFS 根目录,因此您只需使用 /backups,无需使用 /srv/nfs4/backups

使用 mount 或 df 命令验证是否成功安装了远程文件系统:

df -h

该命令将打印所有已挂载的文件系统。最后两行是已安装的共享:

...
192.168.33.148:/backups           9.7G  1.2G  8.5G  13% /backups
192.168.33.148:/www               9.7G  1.2G  8.5G  13% /srv/www

要使挂载在重启时永久存在,请打开 /etc/fstab 文件:

sudo nano /etc/fstab

并添加以下行:

192.168.33.148:/backups /backups   nfs   defaults,timeo=900,retrans=5,_netdev	0 0
192.168.33.148:/www /srv/www       nfs   defaults,timeo=900,retrans=5,_netdev	0 0

要查找有关挂载 NFS 文件系统时可用选项的更多信息,请在终端中键入 man nfs 查看。

挂载远程文件系统的另一种选择是使用该 autofs 工具或创建一个 systemd 单元。

测试 NFS 访问

让我们通过在每个共享中创建一个新文件来测试对共享的访问。

首先,尝试 /backups 使用以下 touch 命令在目录中创建测试文件:

sudo touch /backups/test.txt

/backup 文件系统导出为只读,并且如预期,你会看到一个 Permission denied 错误信息:

touch: cannot touch ‘/backups/test’: Permission denied

接下来,尝试 /srv/www 使用以下 sudo 命令将测试文件创建为根目录:

sudo touch /srv/www/test.txt

同样,您将看到 Permission denied 消息。

touch: cannot touch ‘/srv/www’: Permission denied

/var/www  目录是拥有apache 用户,而且这个比例有 root_squash 选项组,其根用户将映射 nobody 的用户和 nogroup 组不具有写权限到远程共享。

假定用户 apache 存在于客户机上具有相同的 UIDGID 作为在远程服务器上(如果,例如,你应该是的情况下安装的 apache 在两台机器上),可以测试来创建一个文件作为用户 apache 与:

sudo -u apache touch /srv/www/test.txt

该命令将不显示任何输出,表示文件已成功创建。

要验证它列出目录中的 /srv/www 文件:

ls -la /srv/www

输出应显示新创建的文件:

drwxr-xr-x 3 apache apache 4096 Jun 23 22:18 .
drwxr-xr-x 3 root     root     4096 Jun 23 22:29 ..
-rw-r--r-- 1 apache apache    0 Jun 23 21:58 index.html
-rw-r--r-- 1 apache apache    0 Jun 23 22:18 test.txt

卸载 NFS 文件系统

如果不再需要远程 NFS 共享,则可以使用 umount 命令将其卸载为任何其他已安装的文件系统。例如,要卸载 /backup 共享,请运行:

sudo umount /backups

如果在 /etc/fstab 文件中定义了挂载点,请确保删除该行或通过 # 在该行的开头添加注释掉它。

结论

在本教程中,我们向您展示了如何设置 NFS 服务器以及如何在客户端计算机上挂载远程文件系统。如果要在生产中实现 NFS 并共享敏感数据,则启用 kerberos 身份验证是一个好主意。

作为 NFS 的替代方法,您可以使用 SSHFS 通过 SSH 连接安装远程目录。 SSHFS 默认情况下是加密的,并且更易于配置和使用。