NFS服務(wù)簡介

什么是NFS？

• NFS就是Network File System的縮寫，它最大的功能就是可以通過網(wǎng)絡(luò)，讓不同的機器、不同的操作系統(tǒng)可以共享彼此的文件。
• ​ NFS服務(wù)器可以讓PC將網(wǎng)絡(luò)中的NFS服務(wù)器共享的目錄掛載到本地端的文件系統(tǒng)中，而在本地端的系統(tǒng)中來看，那個遠程主機的目錄就好像是自己的一個磁盤分區(qū)一樣，在使用上相當(dāng)便利；
• NFS一般用來存儲共享視頻，圖片等靜態(tài)數(shù)據(jù)。

NFS掛載原理

服務(wù)器掛載結(jié)構(gòu)圖

如上圖示：

當(dāng)我們在NFS服務(wù)器設(shè)置好一個共享目錄/home/public后，

其他的有權(quán)訪問NFS服務(wù)器的NFS客戶端就可以將這個目錄掛載到自己文件系統(tǒng)的某個掛載點

這個掛載點可以自己定義

如上圖客戶端A與客戶端B掛載的目錄就不相同。

并且掛載好后我們在本地能夠看到服務(wù)端/home/public的所有數(shù)據(jù)。

• 如果服務(wù)器端配置的客戶端只讀，那么客戶端就只能夠只讀。
• 如果配置讀寫，客戶端就能夠進行讀寫。

掛載后，NFS客戶端查看磁盤信息命令：#df –h。

既然NFS是通過網(wǎng)絡(luò)來進行服務(wù)器端和客戶端之間的數(shù)據(jù)傳輸，那么兩者之間要傳輸數(shù)據(jù)就要有想對應(yīng)的網(wǎng)絡(luò)端口，

NFS服務(wù)器到底使用哪個端口來進行數(shù)據(jù)傳輸呢？

基本上NFS這個服務(wù)器的端口開在2049,但由于文件系統(tǒng)非常復(fù)雜。

因此NFS還有其他的程序去啟動額外的端口，這些額外的用來傳輸數(shù)據(jù)的端口是隨機選擇的，是小于1024的端口；

既然是隨機的那么客戶端又是如何知道NFS服務(wù)器端到底使用的是哪個端口呢？

這時就需要通過遠程過程調(diào)用（Remote Procedure Call,RPC）協(xié)議來實現(xiàn)了！

RPC與NFS通訊原理

​ 因為NFS支持的功能相當(dāng)多，而不同的功能都會使用不同的程序來啟動，每啟動一個功能就會啟用一些端口來傳輸數(shù)據(jù)，因此NFS的功能對應(yīng)的端口并不固定，客戶端要知道NFS服務(wù)器端的相關(guān)端口才能建立連接進行數(shù)據(jù)傳輸，而RPC就是用來統(tǒng)一管理NFS端口的服務(wù)，并且統(tǒng)一對外的端口是111，RPC會記錄NFS端口的信息，如此我們就能夠通過RPC實現(xiàn)服務(wù)端和客戶端溝通端口信息。PRC最主要的功能就是指定每個NFS功能所對應(yīng)的port number,并且通知客戶端，記客戶端可以連接到正常端口上去。

那么RPC又是如何知道每個NFS功能的端口呢？

首先當(dāng)NFS啟動后，就會隨機的使用一些端口，然后NFS就會向RPC去注冊這些端口，RPC就會記錄下這些端口，并且RPC會開啟111端口，等待客戶端RPC的請求，如果客戶端有請求，那么服務(wù)器端的RPC就會將之前記錄的NFS端口信息告知客戶端。如此客戶端就會獲取NFS服務(wù)器端的端口信息，就會以實際端口進行數(shù)據(jù)的傳輸了。

注意：

在啟動NFS SERVER之前，首先要啟動RPC服務(wù)（即portmap服務(wù)，下同）

否則NFS SERVER就無法向RPC服務(wù)區(qū)注冊，

另外，如果RPC服務(wù)重新啟動，原來已經(jīng)注冊好的NFS端口數(shù)據(jù)就會全部丟失。

因此此時RPC服務(wù)管理的NFS程序也要重新啟動以重新向RPC注冊。

特別注意：

一般修改NFS配置文檔后，是不需要重啟NFS的，直接在命令執(zhí)行systemctl reload nfs或exportfs –rv即可使修改的/etc/exports生效

NFS客戶端和NFS服務(wù)器通訊過程

• 首先服務(wù)器端啟動RPC服務(wù)，并開啟111端口
• 服務(wù)器端啟動NFS服務(wù)，并向RPC注冊端口信息
• 客戶端啟動RPC（portmap服務(wù)），向服務(wù)端的RPC(portmap)服務(wù)請求服務(wù)端的NFS端口
• 服務(wù)端的RPC(portmap)服務(wù)反饋NFS端口信息給客戶端。
• 客戶端通過獲取的NFS端口來建立和服務(wù)端的NFS連接并進行數(shù)據(jù)的傳輸。

Linux下NFS服務(wù)器部署

NFS服務(wù)所需軟件及主要配置文件

安裝NFS服務(wù)，需要安裝兩個軟件，分別是：

RPC主程序：rpcbind

NFS 其實可以被視為一個 RPC 服務(wù)，因為啟動任何一個 RPC 服務(wù)之前，我們都需要做好 port 的對應(yīng) (mapping) 的工作才行，這個工作其實就是『 rpcbind 』這個服務(wù)所負(fù)責(zé)的！

也就是說， 在啟動任何一個 RPC 服務(wù)之前，我們都需要啟動 rpcbind 才行！ (在 CentOS 5.x 以前這個軟件稱為 portmap，在 CentOS 6.x 之后才稱為 rpcbind 的！)。

NFS主程序：nfs-utils

就是提供 rpc.nfsd 及 rpc.mountd 這兩個 NFS daemons 與其他相關(guān) documents 與說明文件、執(zhí)行文件等的軟件！這個就是 NFS 服務(wù)所需要的主要軟件。

NFS的相關(guān)文件

• 主要配置文件：/etc/exports
  這是 NFS 的主要配置文件了。該文件是空白的，有的系統(tǒng)可能不存在這個文件，主要手動建立。NFS的配置一般只在這個文件中配置即可。
• NFS 文件系統(tǒng)維護指令：/usr/sbin/exportfs
  這個是維護 NFS 分享資源的指令，可以利用這個指令重新分享 /etc/exports 變更的目錄資源、將 NFS Server 分享的目錄卸除或重新分享。
• 分享資源的登錄檔：/var/lib/nfs/*tab
  在 NFS 服務(wù)器的登錄文件都放置到 /var/lib/nfs/ 目錄里面，在該目錄下有兩個比較重要的登錄檔， 一個是 etab ，主要記錄了 NFS 所分享出來的目錄的完整權(quán)限設(shè)定值；另一個 xtab 則記錄曾經(jīng)鏈接到此 NFS 服務(wù)器的相關(guān)客戶端數(shù)據(jù)。
• 客戶端查詢服務(wù)器分享資源的指令：/usr/sbin/showmount
  這是另一個重要的 NFS 指令。exportfs 是用在 NFS Server 端，而 showmount 則主要用在 Client 端。showmount 可以用來察看 NFS 分享出來的目錄資源。

服務(wù)端安裝NFS服務(wù)步驟

第一步：安裝NFS和rpc

[root@localhost ~]# yum install -y  nfs-utils   
#安裝nfs服務(wù)
[root@localhost ~]# yum install -y rpcbind
#安裝rpc服務(wù)

第二步：啟動服務(wù)和設(shè)置開啟啟動

注意：先啟動rpc服務(wù)，再啟動nfs服務(wù)。

[root@localhost ~]# systemctl start rpcbind    #先啟動rpc服務(wù)
[root@localhost ~]# systemctl enable rpcbind   #設(shè)置開機啟動
[root@localhost ~]# systemctl start nfs-server nfs-secure-server      
#啟動nfs服務(wù)和nfs安全傳輸服務(wù)
[root@localhost ~]# systemctl enable nfs-server nfs-secure-server
[root@localhost /]# firewall-cmd --permanent --add-service=nfs
success   #配置防火墻放行nfs服務(wù)
[root@localhost /]# firewall-cmd  --reload 
success

第三步：配置共享文件目錄，編輯配置文件

首先創(chuàng)建共享目錄，然后在/etc/exports配置文件中編輯配置即可。

[root@localhost /]# mkdir /public
#創(chuàng)建public共享目錄
[root@localhost /]# vi /etc/exports
	/public 192.168.245.0/24(ro)
	/protected 192.168.245.0/24（rw）
[root@localhost /]# systemctl reload nfs 
#重新加載NFS服務(wù)，使配置文件生效

配置文件說明：

• 格式： 共享目錄的路徑 允許訪問的NFS客戶端（共享權(quán)限參數(shù)）
  如上，共享目錄為/public , 允許訪問的客戶端為192.168.245.0/24網(wǎng)絡(luò)用戶，權(quán)限為只讀。
  請注意，NFS客戶端地址與權(quán)限之間沒有空格。
  NFS輸出保護需要用到kerberos加密（none，sys，krb5，krb5i，krb5p），格式sec=XXX
• none：以匿名身份訪問，如果要允許寫操作，要映射到nfsnobody用戶，同時布爾值開關(guān)要打開，
  setsebool nfsd_anon_write 1
• sys：文件的訪問是基于標(biāo)準(zhǔn)的文件訪問，如果沒有指定，默認(rèn)就是sys， 信任任何發(fā)送過來用戶名
• krb5：客戶端必須提供標(biāo)識，客戶端的表示也必須是krb5，基于域環(huán)境的認(rèn)證
• krb5i：在krb5的基礎(chǔ)上做了加密的操作，對用戶的密碼做了加密，但是傳輸?shù)臄?shù)據(jù)沒有加密
• krb5p：所有的數(shù)據(jù)都加密

用于配置NFS服務(wù)程序配置文件的參數(shù)：