NFS
來自維基百科:NFS 網絡文件系統(Network File System)是由 Sun 公司 1984 年發布的分布式文件系統協議。它允許客戶端上的用戶像訪問本地文件一樣地訪問網絡上的文件。
- 默認情況下,NFS不提供加密功能. 在處理敏感數據時,請使用 #TLS 加密 或 Kerberos(使用
sec=krb5p提供基於 Kerberos 的加密),也可以使用類似 WireGuard 的加密 VPN 協議傳輸NFS流量. - 與 Samba 不同, NFS默認不提供任何驗證用戶的方法,客戶端訪問限制是通過 IP 地址和/或計算機名實現的。如果需要更強的加密方式,也可以使用 Kerberos。
- NFS期望用戶和/或用戶組的 ID 在客戶端與服務端上是相同的(使用 Kerberos 的情況下除外)。使用啟用 NFSv4 ID 映射,或使用
anonuid/anongid並在/etc/exports中啟用all_squash,手動改變 UID/GID 來解決這一問題. - NFS 不支持 POSIX ACL。NFS 伺服器還是會強制應用 ACL 規則,但客戶端無法觀察或是對其進行修改。
強烈建議使用時間同步守護進程以保持客戶端/伺服器之間的時間同步,如果各個節點上沒有精確同步的時鐘,NFS 可能產生非預期的延遲。
全局設置選項在 /etc/nfs.conf 中被列出.只進行簡單配置的用戶無需編輯此文件.
NFS 伺服器需要按照 /etc/exports 或 /etc/exports.d/*.exports 文件中定義的「導出」文件夾列表進行共享(詳細介紹參見 exports(5))。默認情況下,這些目錄都會按路徑原樣導出,例如:
/etc/exports
/data/music 192.168.1.0/24(rw)
以上配置將把 /data/music 暴露到 MyServer:/data/music 路徑下,可通過 NFSv3 或 NFSv4 進行掛載。
共享對象是相對於所謂的「NFS 根目錄」的.出於安全考慮,建議定義一個單獨的目錄為 NFS 根,這可以將用戶限制在該掛載點中。綁定的掛載點(bind mounts)將文件系統上他處的目錄與被分享的掛載點連接起來。之前 NFSv4 強制要求使用 NFS 根目錄,現在成了可選項(從內核 2.6.33 和 nfs-utils 1.2.2 版本開始實現了虛擬根目錄)。
查看下面的例子。在本例中:
- NFS 根目錄是
/srv/nfs - 將要共享的目錄是
/srv/nfs/music,該目錄以綁定掛載方式指向了它實際的位置/mnt/music。
# mkdir -p /srv/nfs/music /mnt/music # mount --bind /mnt/music /srv/nfs/music
為了讓伺服器重啟後共享仍舊有效,增加綁定到 fstab 文件:
/etc/fstab
/mnt/music /srv/nfs/music none bind 0 0
增加允許被掛載的目錄和使其只能被屬於特定 CIDR 所指定的 IP 範圍或擁有特定主機名的客戶端所訪問的限制至 /etc/exports 文件,例如:
/etc/exports
/srv/nfs 192.168.1.0/24(rw,fsid=root) /srv/nfs/music 192.168.1.0/24(rw,sync) /srv/nfs/home 192.168.1.0/24(rw,sync) /srv/nfs/public 192.168.1.0/24(ro,all_squash,insecure) desktop(rw,sync,all_squash,anonuid=99,anongid=99) # 將訪客映射到特定用戶組 - 在本例中是nobody
在使用 NFSv4 時,fsid=root 或 fsid=0 選項指定了導出目錄「根」的位置;如果使用這些選項指定了導出目錄,那其它文件夾都必須位於該文件夾下。/etc/nfs.conf 文件中的 rootdir 選項在這種情況下不起效。如果沒有指定 fsid=0,那默認行為與 NFSv3 一致。
在上面的實例中,/srv/nfs 被指定為根,且可以通過 NFSv4 按 MyServer:/music 目錄掛載 /srv/nfs/music 文件夾 - 注意,根目錄前綴被省略了。
- 對 NFSv3 而言(不適用於 NFSv4),
crossmnt選項使客戶端可以訪問所有掛載在文件系統上並標記有crossmnt的文件系統並且客戶端不需要單獨逐個掛載子共享. 請注意,你可能不希望在子共享同時被共享到另一端地址時使用該選項. - 除了
crossmnt之外,你也可以在子共享上使用nohide選項,這樣的話,子共享就會在根共享被掛載時自動掛載。與crossmnt不同的是,nohide仍然會遵守子共享的地址範圍。注意,該選項僅適用於 NFSv3,NFSv4 永遠表現為該選項已啟用。 -
insecure選項使客戶端可以用高於 1023 的埠進行連接。(大概是只有 root 用戶可以使用較低編號的埠,因此阻斷其它埠可以作為簡單的訪問控制方法。在實際使用中,使用insecure選項與否並不能帶來任何安全方面的提升或是下降。) - 使用一個通配符(
*)以允許來自所有接口的訪問.
如果服務運行時修改了 /etc/exports 文件, 你需要重新導出使其生效:
# exportfs -arv
想要查看已經加載的共享的詳細信息,請使用:
# exportfs -v
有關所有可用選項的詳細介紹,請參閱exports(5).
fsid=1選項.v4 版本協議的用戶可能需要至少屏蔽掉 rpcbind.service 和 rpcbind.socket,以防止不需要的服務自啟,詳細信息請參考 [1]。另外,也可以禁用 nfs-server.service 以防止其由於某些原因而被拉起。
默認情況下,啟動 nfs-server.service 會忽略 /etc/exports 文件的內容,而是在所有網絡接口上監聽連接。可以通過定義監聽的IP和/或主機名來改變這一行為。
/etc/nfs.conf
[nfsd] host=192.168.1.123 # 或者也可以使用主機名 # host=myhostname
在修改完後,重啟 nfs-server.service 以應用設置。
如果要訪問防火牆後的 NFSv4 伺服器,就需要開放 2049 埠的 TCP 上行連接。(NFSv4 使用靜態網絡埠;它不使用任何像 mountd 或是 portmapper 這樣的輔助服務。)
如果要訪問 NFSv3 伺服器,就還需要額外為 portmapper(rpcbind)開放 111 埠的 TCP/UDP 連接,還需要為 MOUNT(rpc.mountd)開放埠。默認情況下,rpc.mountd 會動態選擇埠,所以如果你要訪問防火牆後的服務,就需要通過編輯 /etc/nfs.conf 配置來選擇一個固定埠。可以使用 rpcinfo -p 查看 NFSv3 伺服器使用的具體埠信息:
$ rpcinfo -p
100003 3 tcp 2049 nfs 100003 4 tcp 2049 nfs 100227 3 tcp 2049 nfs_acl ...
打算將 NFS4 與 Kerberos 一起使用的用戶需要啟動並啟用 nfs-client.target.
對於NFSv3,請使用以下命令顯示伺服器分享的文件系統:
$ showmount -e servername
對於NFSv4,請掛載NFS根目錄,並查看可用的掛載:
# mount servername:/ /mountpoint/on/client
然後掛載分享.掛載時省略伺服器的NFS分享根目錄:
# mount -t nfs -o vers=4 servername:/music /mountpoint/on/client
如果掛載失敗,請嘗試包括伺服器的分享根目錄(對於Debian/RHEL/SLES是必需的,某些發行版需要使用-t nfs4而不是-t nfs):
# mount -t nfs -o vers=4 servername:/srv/nfs/music /mountpoint/on/client
servername 必須被替換為有效的主機名(而不僅僅是IP位址)。否則,掛載遠程共享將掛起。對於伺服器保持開啟,且無論客戶端何時啟動皆可用的 NFS 共享而言,fstab 非常有用。編輯 /etc/fstab,然後根據需要添加一行新配置。同樣,服務端的 NFS 導出根路徑已被預設。
/etc/fstab
servername:/music /mountpoint/on/client nfs defaults,timeo=900,retrans=5,_netdev 0 0
以下為一些可參考的掛載選項:
- rsize 和 wsize:
rsize指單次請求從伺服器讀取的字節數,wsize指單次請求向伺服器寫入的字節數。默認情況下,如果未指定值,客戶端和服務端會協商使用它們都支持的最大值(參考 nfs(5))。修改值後,建議進行性能測試(參考#性能調優)。
- soft 或 hard:決定在 NFS 請求超時後的恢復行為。如果沒有指定(或者指定了
hard選項),NFS 會無限重試請求。如果指定了soft選項,那麼 NFS 客戶端會在重試 retrans 指定的次數後失敗,導致 NFS 客戶端向發起應用返回錯誤。
soft(軟)超時在某些情況下會導致數據靜默損壞。因此,建議僅在客戶端響應度優先于于數據完整性的情況下使用 soft 選項。使用基於 TCP 傳輸的 NFS 或增加 retrans 選項數值有助於降低使用 soft 導致的故障風險。- timeo:
timeo表示在遇到 RPC 超時後重發前的等待時間,單位為十分之一秒。對基於 TCP 的 NFS 而言默認值為 600(即 60 秒)。在首次超時後,超時值都將加倍,最大不超過 60 秒或是出現重大超時。在連接到慢速伺服器或是使用高負載網絡時,增加超時值有助於提高連接穩定性。
- retrans:NFS 客戶端在執行下一步恢復操作前的請求重試次數。如果未指定
retrans值,那 NFS 客戶端會為請求重試 3 次。在 retrans 次重試後,NFS 客戶端會生成一條「server not responding」消息,然後進行下一步恢復嘗試(取決於是否使用了硬掛載選項)。
- _netdev:
_netdev選項告知系統在網絡就緒後再嘗試掛載該共享 - systemd 會自動為 NFS 使用該項。
fs_passno)設為非零值可能會導致預期外行為,例如當 systemd 自動掛載等待永不會發生的檢查時掛起另一種方法是使用 x-systemd.automount 選項,它會在訪問時掛載文件系統:
/etc/fstab
servername:/home /mountpoint/on/client nfs _netdev,noauto,x-systemd.automount,x-systemd.mount-timeout=10,timeo=14,x-systemd.idle-timeout=1min 0 0
為了讓 systemd 意識到 fstab 的更改,需要重新加載 systemd 並重啟 remote-fs.target [2]。
-
noauto選項使得在訪問 NFS 共享前不會進行掛載;使用auto會立刻進行掛載。
如果遇到了網絡未拉起/不可用導致的掛載失敗,可以啟用NetworkManager-wait-online.service。它會確保在激活前network.target已準備好所有連結可用。 -
users選項允許普通用戶進行掛載,但請注意,它同時啟用了如noexec等隱藏掛載選項。 -
x-systemd.idle-timeout=1min會在 1 分鐘內未使用 NFS 共享的情況下自動將其卸載。該選項對於隨時會斷網的筆記本環境來說比較有用。 - 如果由於 NFS 導致關機/重啟時間過長,可以啟用
NetworkManager-wait-online.service來確保 NetworkManager 在 NFS 卷卸載前不會關閉。 - 不要添加
x-systemd.requires=network-online.target掛載選項,該選項可能會導致 systemd 出現啟動順序循環 [3]。systemd 會根據_netdev選項自動將network-online.target添加為單元依賴。 -
nocto選項可能會提高只讀掛載的性能,但應只用在伺服器上數據不經常出現變更的情況下。
在/etc/systemd/system目錄下創建一個新.mount 文件,例如mnt-home.mount.有關詳細信息,請參見systemd.mount(5).
/mnt/home 時才能使用單元名稱 mnt-home.mount,否則可能會發生以下錯誤:systemd[1]: mnt-myshare.mount: Where= setting does not match unit name. Refusing.。如果掛載點包含非 ASCII 字符,請使用 systemd-escape。What= 分享的路徑
Where= 分享應當被掛載的路徑
Options= 掛載分享的選項
{{注意|
- 網絡安裝單元會自動獲取對
remote-fs-pre.target,network.target和network-online.target的After依賴,並獲得對remote-fs.target的Before依賴,除非設置了nofail掛載選項。在後一種情況下,還會添加一個Wants單元。 -
添加
noauto到Options可以防止啟動時自動掛載(除非被其它單元觸發)。 - 如果你要為共享伺服器使用域名而不是 IP 地址,則需要添加
nss-lookup.target到After下。這可能會避免測試中沒有問題,但啟動時掛載出錯的情況出現。
/etc/systemd/system/mnt-home.mount
[Unit] Description=Mount home at boot [Mount] What=172.16.24.192:/home Where=/mnt/home Options=vers=4 Type=nfs TimeoutSec=30 [Install] WantedBy=multi-user.target
要使用 mnt-home.mount,啟動該單元,然後將其啟用以在系統啟動時進行掛載。
要想自動掛載一個分享,你可以使用下面的自動掛載單元:
/etc/systemd/system/mnt-home.automount
[Unit] Description=Automount home [Automount] Where=/mnt/home [Install] WantedBy=multi-user.target
禁用/停止 mnt-home.mount 單元,然後啟用/啟動 mnt-home.automount 以在路徑可用時自動掛載共享。
Using autofs is useful when multiple machines want to connect via NFS; they could both be clients as well as servers. The reason this method is preferable over the earlier one is that if the server is switched off, the client will not throw errors about being unable to find NFS shares. See autofs#NFS network mounts for details.
- NFSv4 ID 映射無法解決默認
sec=sys掛載選項導致的所有問題。更多信息請參考 NFS#靜態映射 和 [4] - 在客戶端和服務端上均需要啟用 NFSv4 ID 映射
- 另一個選擇是確保用戶 ID 和組 ID(UID 和 GID)在客戶端和伺服器上一致。
-
不需要啟用/啟動
nfs-idmapd.service,因為它已被新的 ID 映射器替換:
# dmesg | grep id_resolver
[ 3238.356001] NFS: Registering the id_resolver key type [ 3238.356009] Key type id_resolver registered
- Do not confuse the
nfsidmap(only for nfs clients) withnfs-idmapd.servicewhich is used by the NFS server and forks the processrpc.idmapd. - Both rpc.idmapd and nfsidmap share also some configurations from idmapd.conf(5).
- 更多信息請參考 idmapd(8) 和 nfsidmap(8)。
NFSv4 協議將客戶端的 UID 和 GID 值表示為 user@domain 形式的字符串.將UID和字符串互相轉換的過程稱為 ID 映射。
- By default, the domain part of the string is the system's DNS domain name. It can also be specified in /etc/idmapd.conf if the system is multi-homed, or if the system's DNS domain name does not match the name of the system's Kerberos realm.
- When the domain is not specified in /etc/idmapd.conf the local DNS server will be queried for the _nfsv4idmapdomain text record. If the record exists that will be used as the domain. When the record does not exist, the domain part of the DNS domain will used.
Display the system's effective NFSv4 domain name on stdout.
# nfsidmap -d
domain.tld
Edit to match up the Domain on the server and/or client:
/etc/idmapd.conf
[General] Domain = guestdomain.tld
- 這個映射僅用於客戶端本地映射 uid。如果您創建一個屬於某個在伺服器上不被識別的 uid(例如 1005)的文件。該文件會以 uid 1005 的形式存儲在伺服器上,但在傳輸過程中不會再顯示正確的 uid。
- 在與伺服器交互(例如列出文件)之後,您可以查看密鑰環中的所有條目。
# nfsidmap -l
7 .id_resolver keys found: uid:nobody user:1 uid:bin@domain.tld uid:foo@domain.tld gid:foo@domain.tld uid:remote_user@domain.tld uid:root@domain.tld
- 您可以使用命令
nfsidmap -c清除密鑰環,但在默認設置中,條目會在 10 分鐘後過期,因此並不需要手動清除。
這些步驟只在伺服器和客戶端具有不同的用戶/組名稱時才需要進行。
更改只會在客戶端的配置文件中進行。
/etc/idmapd.conf
[Translation] # The default is nsswitch and other methods exist. method = static,nsswitch [Static] foo@domain.tld = local_foo remote_user@domain.tld = user
Only in the client configuration. Local user/group name to be used when a mapping cannot be completed:
/etc/idmapd.conf
[Mapping] Nobody-User = nobody Nobody-Group = nobody
When using NFS on a network with a significant number of clients one may increase the default NFS threads from 8 to 16 or even a higher, depending on the server/network requirements:
/etc/nfs.conf
[nfsd] threads=16
It may be necessary to tune the rsize and wsize mount options to meet the requirements of the network configuration.
In recent linux kernels (>2.6.18) the size of I/O operations allowed by the NFS server (default max block size) varies depending on RAM size, with a maximum of 1M (1048576 bytes), the max block size of the server will be used even if nfs clients requires bigger rsize and wsize. See https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/5/html/5.8_technical_notes/known_issues-kernel
It is possible to change the default max block size allowed by the server by writing to the /proc/fs/nfsd/max_block_size before starting nfsd. For example, the following command restores the previous default iosize of 32k:
# echo 32768 > /proc/fs/nfsd/max_block_size
max_block_size may decrease NFS performance on modern hardware.To make the change permanent, create a systemd-tmpfile:
/etc/tmpfiles.d/nfsd-block-size.conf
w /proc/fs/nfsd/max_block_size - - - - 32768
To mount with the increased rsize and wsize mount options:
# mount -t nfs -o rsize=32768,wsize=32768,vers=4 servername:/srv/nfs/music /mountpoint/on/client
Furthermore, despite the violation of NFS protocol, setting async instead of sync or sync,no_wdelay may potentially achieve a significant performance gain especially on spinning disks. Configure exports with this option and then execute exportfs -arv to apply.
/etc/exports
/srv/nfs 192.168.1.0/24(rw,async,crossmnt,fsid=0) /srv/nfs/music 192.168.1.0/24(rw,async)
async comes with a risk of possible data loss or corruption if the server crashes or restarts uncleanly.This trick is useful for NFS-shares on a wireless network and/or on a network that may be unreliable. If the NFS host becomes unreachable, the NFS share will be unmounted to hopefully prevent system hangs when using the hard mount option [5].
Make sure that the NFS mount points are correctly indicated in fstab:
/etc/fstab
lithium:/mnt/data /mnt/data nfs noauto 0 0 lithium:/var/cache/pacman /var/cache/pacman nfs noauto 0 0
Create the auto_share script that will be used by cron or systemd/Timers to use ICMP ping to check if the NFS host is reachable:
/usr/local/bin/auto_share
#!/bin/bash
function net_umount {
umount -l -f $1 &>/dev/null
}
function net_mount {
mountpoint -q $1 || mount $1
}
NET_MOUNTS=$(sed -e '/^.*#/d' -e '/^.*:/!d' -e 's/\t/ /g' /etc/fstab | tr -s " ")$'\n'b
printf %s "$NET_MOUNTS" | while IFS= read -r line
do
SERVER=$(echo $line | cut -f1 -d":")
MOUNT_POINT=$(echo $line | cut -f2 -d" ")
# Check if server already tested
if [[ "${server_ok[@]}" =~ "${SERVER}" ]]; then
# The server is up, make sure the share are mounted
net_mount $MOUNT_POINT
elif [[ "${server_notok[@]}" =~ "${SERVER}" ]]; then
# The server could not be reached, unmount the share
net_umount $MOUNT_POINT
else
# Check if the server is reachable
ping -c 1 "${SERVER}" &>/dev/null
if [ $? -ne 0 ]; then
server_notok[${#server_notok[@]}]=$SERVER
# The server could not be reached, unmount the share
net_umount $MOUNT_POINT
else
server_ok[${#server_ok[@]}]=$SERVER
# The server is up, make sure the share are mounted
net_mount $MOUNT_POINT
fi
fi
done
# Check if the server is reachable
ping -c 1 "${SERVER}" &>/dev/null
with:
# Check if the server is reachable
timeout 1 bash -c ": < /dev/tcp/${SERVER}/2049"
in the auto_share script above.Make sure the script is executable.
Next check configure the script to run every X, in the examples below this is every minute.
# crontab -e
* * * * * /usr/local/bin/auto_share
/etc/systemd/system/auto_share.timer
[Unit] Description=Automount NFS shares every minute [Timer] OnCalendar=*-*-* *:*:00 [Install] WantedBy=timers.target
/etc/systemd/system/auto_share.service
[Unit] Description=Automount NFS shares After=network.target [Service] Type=oneshot ExecStart=/usr/local/bin/auto_share [Install] WantedBy=multi-user.target
Finally, enable and start auto_share.timer.
NetworkManager can also be configured to run a script on network status change.
The easiest method for mount shares on network status change is to symlink the auto_share script:
# ln -s /usr/local/bin/auto_share /etc/NetworkManager/dispatcher.d/30-nfs.sh
However, in that particular case unmounting will happen only after the network connection has already been disabled, which is unclean and may result in effects like freezing of KDE Plasma applets.
The following script safely unmounts the NFS shares before the relevant network connection is disabled by listening for the down, pre-down and vpn-pre-down events, make sure the script is executable:
/etc/NetworkManager/dispatcher.d/30-nfs.sh
#!/bin/sh
# Find the connection UUID with "nmcli con show" in terminal.
# All NetworkManager connection types are supported: wireless, VPN, wired...
WANTED_CON_UUID="CHANGE-ME-NOW-9c7eff15-010a-4b1c-a786-9b4efa218ba9"
if [ "$CONNECTION_UUID" = "$WANTED_CON_UUID" ]; then
# Script parameter $1: network interface name, not used
# Script parameter $2: dispatched event
case "$2" in
"up")
mount -a -t nfs4,nfs
;;
"down"|"pre-down"|"vpn-pre-down")
umount -l -a -t nfs4,nfs -f >/dev/null
;;
esac
fi
noauto option, remove this mount option or use auto to allow the dispatcher to manage these mounts.在/etc/NetworkManager/dispatcher.d/pre-down中創建一個符號連結以捕獲pre-down事件:
# ln -s /etc/NetworkManager/dispatcher.d/30-nfs.sh /etc/NetworkManager/dispatcher.d/pre-down.d/30-nfs.sh
NFS traffic can be encrypted using TLS as of Linux 6.5 using the xprtsec=tls mount option. To begin, install the ktls-utilsAUR package on the client and server, and follow the below configuration steps for each.
Create a private key and obtain a certificate containing your server's DNS name (see Transport Layer Security for more detail). These files do not need to be added to the system's trust store.
Edit /etc/tlshd.conf to use these files, using your own values for x509.certificate and x509.private_key
/etc/tlshd.conf
[authenticate.server] x509.certificate= /etc/nfsd-certificate.pem x509.private_key= /etc/nfsd-private-key.pem
Now start and enable tlshd.service.
Add the server's TLS certificate generated in the previous step to the system's trust store (see Transport Layer Security for more detail).
Start and enable tlshd.service.
Now you should be able to mount the server using the server's DNS name:
# mount -o xprtsec=tls servername.domain:/ /mountpoint/on/client
Checking journalctl on the client should show that the TLS handshake was successful:
$ journalctl -b -u tlshd.service
Sep 28 11:14:46 client tlshd[227]: Built from ktls-utils 0.10 on Sep 26 2023 14:24:03 Sep 28 11:15:37 client tlshd[571]: Handshake with servername.domain (192.168.122.100) was successful
參考單獨的 NFS/Troubleshooting 頁面。
- See also Avahi, a Zeroconf implementation which allows automatic discovery of NFS shares.
- HOWTO: Diskless network boot NFS root
- Microsoft Services for Unix NFS Client info
- NFS on Snow Leopard
- http://chschneider.eu/linux/server/nfs.shtml
- How to do Linux NFS Performance Tuning and Optimization
- Linux: Tune NFS Performance
- Configuring an NFSv4-only Server