如何在 CentOS 8 上安装和配置 NFS 服务器

网络文件系统 (NFS) 是一种分布式文件系统协议，使您可以通过网络共享远程目录。使用 NFS ，您可以在系统上挂载远程目录，并像对待本地文件一样使用远程计算机上的文件。

NFS 协议默认情况下未加密，并且与 Samba 不同，它不提供用户身份验证，但可以通过客户端的 IP 地址或主机名限制对服务器的访问。

在本教程中，您将完成在 CentOS 8 上设置 NFSv4 服务器的必要步骤。我们还将向您展示如何在客户端上安装 NFS 文件系统。

先决条件

我们假设您有一台运行 CentOS 8 的服务器，我们将在该服务器上设置 NFS 服务器和其他充当 NFS 客户端的计算机。服务器和客户端应该能够通过专用网络相互通信。如果您的托管服务提供商不提供私有 IP 地址，则可以使用公共 IP 地址并将服务器防火墙配置为 2049 仅允许来自受信任源的端口上的流量。

本示例中的机器具有以下 IP ：

NFS Server IP: 192.168.33.148
NFS Clients IPs: From the 192.168.33.0/24 range

设置 NFS 服务器

本节说明如何安装必要的软件包，创建和导出 NFS 目录以及配置防火墙。

安装 NFS 服务器

nfs-utils 包为 NFS 服务器提供了 NFS 实用程序和守护程序。要安装它，请运行以下命令：

sudo dnf install nfs-utils

安装完成后，通过键入以下内容启用并启动 NFS 服务：

sudo systemctl enable --now nfs-server

默认情况下，在 CentOS 8 上启用了 NFS 版本 3 和 4.x，版本 2 被禁用。 NFSv2 现在已经很老了，没有理由启用它。要验证它，请运行以下 cat 命令：

sudo cat /proc/fs/nfsd/versions

-2 +3 +4 +4.1 +4.2

在 /etc/nfsmount.conf 和 /etc/nfs.conf 文件中设置了 NFS 服务器配置选项。默认设置足以满足我们的教程要求。

创建文件系统

配置 NFSv4 服务器时，一个好的做法是使用全局 NFS 根目录并将实际目录绑定安装到共享安装点。在此示例中，我们将使用 /srv/nfs4 目录作为 NFS 根目录。

为了更好地说明如何配置 NFS 挂载，我们将共享两个具有不同配置设置的目录 (/var/www 和 /opt/backups) 。

该 /var/www/ 由用户和组 apache 拥有，而 /opt/backups 的拥有者是 root 。

使用 mkdir 命令目录：

sudo mkdir -p /srv/nfs4/{backups,www}

挂载目录：

sudo mount --bind /opt/backups /srv/nfs4/backups
sudo mount --bind /var/www /srv/nfs4/www

要永远挂载，请在 /etc/fstab 文件中添加以下条目：

sudo nano /etc/fstab

/opt/backups /srv/nfs4/backups  none   bind   0   0
/var/www     /srv/nfs4/www      none   bind   0   0

导出文件系统

下一步是定义将由 NFS 服务器，共享选项和允许访问这些文件系统的客户端导出的文件系统。为此，请打开 /etc/exports 文件：

sudo nano /etc/exports

导出 www 和 backups 目录，仅允许 192.168.33.0/24 网络上的客户端访问：

/ etc/exports

/srv/nfs4         192.168.33.0/24(rw,sync,no_subtree_check,crossmnt,fsid=0)
/srv/nfs4/backups 192.168.33.0/24(ro,sync,no_subtree_check) 192.168.33.3(rw,sync,no_subtree_check)
/srv/nfs4/www     192.168.33.110(rw,sync,no_subtree_check)

第一行包含 fsid=0 定义 NFS 根目录的目录 /srv/nfs 。仅允许来自 192.168.33.0/24 子网的客户端对此 NFS 卷进行访问。如果共享目录是导出目录的子目录，crossmnt 选项是必需的。

第二行显示了如何为一个文件系统指定多个导出规则。它导出 /srv/nfs4/backups 目录，并且只允许对整个 192.168.33.0/24 范围进行读访问，并且对 192.168.33.3 具有读和写访问权限。该 sync 选项告诉 NFS 在回复之前将更改写入磁盘。

最后一行应该是不言自明的。有关所有可用选项的更多信息，请在终端中键入 man exports 查看。

保存文件并导出共享：

sudo exportfs -ra

每次修改 /etc/exports 文件时，都需要运行上面的命令。如果有任何错误或警告，它们将显示在终端上。

要查看当前活动的出口及其状态，请使用：

sudo exportfs -v

输出将包括所有份额及其选项。如您所见，还有一些我们尚未在 /etc/exports 文件中定义的选项。这些是默认选项，如果要更改它们，则需要显式设置这些选项。

/srv/nfs4/backups
		192.168.33.3(sync,wdelay,hide,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4/www 	192.168.33.110(sync,wdelay,hide,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4     	192.168.33.0/24(sync,wdelay,hide,crossmnt,no_subtree_check,fsid=0,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4/backups
		192.168.33.0/24(sync,wdelay,hide,no_subtree_check,sec=sys,ro,secure,root_squash,no_all_squash)

root_squash 是有关 NFS 安全性的最重要选项之一。这样可以防止从客户端连接的 root 用户对已安装的共享具有 root 特权。它将映射根 UID 和 GID 到 nobody/nogroup 和 UID/GID 。

为了使客户端计算机上的用户具有访问权限， NFS 希望客户端的用户和组 ID 与服务器上的用户和组 ID 相匹配。另一种选择是使用 NFSv4 的 id 映射功能，将用户和组 ID 转换为名称，反之亦然。

至此，您已经在 CentOS 服务器上设置了 NFS 服务器。现在，您可以转到下一步并配置客户端并连接到 NFS 服务器。

防火墙配置

FirewallD 是 Centos 8 上的默认防火墙解决方案。

NFS 服务包括允许访问 NFS 服务器的预定义规则。以下命令将永久允许从 192.168.33.0/24 子网进行访问：

sudo firewall-cmd --new-zone=nfs --permanent
sudo firewall-cmd --zone=nfs --add-service=nfs --permanent
sudo firewall-cmd --zone=nfs --add-source=192.168.33.0/24 --permanent
sudo firewall-cmd --reload

设置 NFS 客户端

既然已经设置了 NFS 服务器并导出了共享，那么下一步就是配置客户端并挂载远程文件系统。

您还可以在 macOS 和 Windows 计算机上挂载 NFS 共享，但是我们将重点关注 Linux 系统。

安装 NFS 客户端

在客户端计算机上，安装挂载远程 NFS 文件系统所需的工具。

• 在 Debian 和 Ubuntu 上安装 NFS 客户端

  软件包 nfs-common 包括用于在基于 Debian 的发行版上安装 NFS 文件系统的程序。要安装它，请运行：

  sudo apt update
  sudo apt install nfs-common
  

• 在 CentOS 和 Fedora 上安装 NFS 客户端

  在 Red Hat 及其衍生版本上安装 nfs-utils 软件包：

  sudo yum install nfs-utils
  

挂载文件系统

我们将在具有 IP 为 192.168.33.110 的客户端计算机上工作，该计算机具有对 /srv/nfs4/www 文件系统的读写访问权和对 /srv/nfs4/backups 文件系统的只读访问权。

为安装点创建两个新目录。您可以在所需的任何位置创建这些目录。

sudo mkdir -p /backups
sudo mkdir -p /srv/www

使用以下 mount 命令挂载导出的文件系统：

sudo mount -t nfs -o vers=4 192.168.33.148:/backups /backups
sudo mount -t nfs -o vers=4 192.168.33.148:/www /srv/www

NFS 服务器的 IP 是 192.168.33.148 。您也可以使用主机名代替 IP 地址，但是客户端计算机需要解析该主机名。这通常是在 /etc/hosts 文件中将主机名映射到 IP 来完成的。

挂载 NFSv4 文件系统时，您需要省略 NFS 根目录，因此您只需使用 /backups，无需使用 /srv/nfs4/backups 。

使用 mount 或 df 命令验证是否成功安装了远程文件系统：

df -h

该命令将打印所有已挂载的文件系统。最后两行是已安装的共享：

...
192.168.33.148:/backups           9.7G  1.2G  8.5G  13% /backups
192.168.33.148:/www               9.7G  1.2G  8.5G  13% /srv/www

要使挂载在重启时永久存在，请打开 /etc/fstab 文件：

sudo nano /etc/fstab

并添加以下行：

192.168.33.148:/backups /backups   nfs   defaults,timeo=900,retrans=5,_netdev	0 0
192.168.33.148:/www /srv/www       nfs   defaults,timeo=900,retrans=5,_netdev	0 0

要查找有关挂载 NFS 文件系统时可用选项的更多信息，请在终端中键入 man nfs 查看。

挂载远程文件系统的另一种选择是使用该 autofs 工具或创建一个 systemd 单元。

测试 NFS 访问

让我们通过在每个共享中创建一个新文件来测试对共享的访问。

首先，尝试 /backups 使用以下 touch 命令在目录中创建测试文件：

sudo touch /backups/test.txt

该 /backup 文件系统导出为只读，并且如预期，你会看到一个 Permission denied 错误信息：

touch: cannot touch ‘/backups/test’: Permission denied

接下来，尝试 /srv/www 使用以下 sudo 命令将测试文件创建为根目录：

sudo touch /srv/www/test.txt

同样，您将看到 Permission denied 消息。

touch: cannot touch ‘/srv/www’: Permission denied

该 /var/www  目录是拥有由 apache 用户，而且这个比例有 root_squash 选项组，其根用户将映射 nobody 的用户和 nogroup 组不具有写权限到远程共享。

假定用户 apache 存在于客户机上具有相同的 UID 和 GID 作为在远程服务器上(如果，例如，你应该是的情况下安装的 apache 在两台机器上)，可以测试来创建一个文件作为用户 apache 与：

sudo -u apache touch /srv/www/test.txt

该命令将不显示任何输出，表示文件已成功创建。

要验证它列出目录中的 /srv/www 文件：

ls -la /srv/www

输出应显示新创建的文件：

drwxr-xr-x 3 apache apache 4096 Jun 23 22:18 .
drwxr-xr-x 3 root     root     4096 Jun 23 22:29 ..
-rw-r--r-- 1 apache apache    0 Jun 23 21:58 index.html
-rw-r--r-- 1 apache apache    0 Jun 23 22:18 test.txt

卸载 NFS 文件系统

如果不再需要远程 NFS 共享，则可以使用 umount 命令将其卸载为任何其他已安装的文件系统。例如，要卸载 /backup 共享，请运行：

sudo umount /backups

如果在 /etc/fstab 文件中定义了挂载点，请确保删除该行或通过 # 在该行的开头添加注释掉它。

结论

在本教程中，我们向您展示了如何设置 NFS 服务器以及如何在客户端计算机上挂载远程文件系统。如果要在生产中实现 NFS 并共享敏感数据，则启用 kerberos 身份验证是一个好主意。

作为 NFS 的替代方法，您可以使用 SSHFS 通过 SSH 连接安装远程目录。 SSHFS 默认情况下是加密的，并且更易于配置和使用。