NFS: Sistem de fișiere de rețea. Configurarea și montarea NFS

NFS: un sistem de fișiere de rețea convenabil și promițător

Sistem de fișiere în rețea este o abstractizare a rețelei peste un sistem de fișiere obișnuit care permite unui client la distanță să îl acceseze prin rețea în același mod ca atunci când accesează sistemele de fișiere locale. Deși NFS nu a fost primul sistem de fișiere de rețea, a evoluat pentru a deveni cel mai capabil și popular sistem de fișiere de rețea din UNIX® astăzi. NFS permite mai multor utilizatori să partajeze un sistem de fișiere comun și centralizează datele pentru a minimiza spațiul pe disc necesar pentru stocarea acestora.

Acest articol începe cu o scurtă prezentare a istoriei NFS și apoi trece la explorarea arhitecturii NFS și a modului în care ar putea evolua în viitor.

O scurtă istorie a NFS

Primul sistem de fișiere de rețea a fost numit FAL (File Access Listener) și a fost dezvoltat în 1976 de către DEC (Digital Equipment Corporation). Era o implementare a protocolului DAP (Data Access Protocol) și făcea parte din suita de protocoale DECnet. Ca și în cazul TCP/IP, DEC a publicat specificații pentru protocoalele sale de rețea, inclusiv protocolul DAP.

NFS a fost primul sistem modern de fișiere de rețea construit pe baza protocolului IP. Prototipul său poate fi considerat un sistem de fișiere experimental dezvoltat la Sun Microsystems la începutul anilor 80. Având în vedere popularitatea acestei soluții, protocolul NFS a fost introdus ca specificație RFC și a evoluat ulterior în NFSv2. NFS sa impus rapid ca standard datorită capacității sale de a interopera cu alți clienți și servere.

Standardul a fost ulterior actualizat la NFSv3, definit în RFC 1813. Această versiune a protocolului a fost mai scalabilă decât versiunile anterioare și a acceptat fișiere de dimensiuni mai mari (mai mari de 2 GB), scriere asincronă și TCP ca protocol de transport. NFSv3 a stabilit direcția pentru dezvoltarea sistemelor de fișiere pentru rețelele WAN. În 2000, RFC 3010 (revizuit ca RFC 3530) a adus NFS în mediul întreprinderii. Sun a introdus un NFSv4 mai sigur cu suport stateful (versiunile anterioare de NFS nu acceptau stocarea stateful, adică erau clasificate ca apatride). În prezent, cea mai recentă versiune a NFS este versiunea 4.1, definită în RFC 5661, care se adaugă la protocol prin extinderea pNFS a fost adăugat suport pentru acces paralel pentru serverele distribuite.

Istoricul NFS, inclusiv RFC-uri specifice care descriu versiunile sale, este prezentat în Figura 1.

În mod surprinzător, NFS a fost în dezvoltare de aproape 30 de ani. Este un sistem de fișiere de rețea extrem de stabil și portabil, cu caracteristici remarcabile de scalabilitate, performanță și calitate a serviciilor. Pe măsură ce vitezele cresc și latența scade la schimbul de date într-o rețea, NFS continuă să fie o modalitate populară de a implementa un sistem de fișiere într-o rețea. Chiar și în cazul rețelelor locale, virtualizarea încurajează stocarea datelor în rețea pentru a oferi mobilitate suplimentară mașinilor virtuale. NFS acceptă, de asemenea, cele mai recente modele de mediu de calcul care vizează optimizarea infrastructurilor virtuale.

Arhitectura NFS

NFS folosește un model arhitectural standard client-server (așa cum se arată în Figura 2). Serverul este responsabil pentru implementarea sistemului de fișiere partajat și stocarea la care se conectează clienții. Clientul implementează o interfață cu utilizatorul într-un sistem de fișiere partajat montat în spațiul de fișiere local al clientului.

Figura 2. Implementarea modelului client-server în arhitectura NFS

În Linux®, un comutator de sistem de fișiere virtual (VFS) oferă mijloacele de a accepta mai multe sisteme de fișiere (de exemplu, un sistem de fișiere ISO 9660 pe un CD-ROM și un sistem de fișiere ext3fs pe un hard disk local) simultan pe o singură gazdă . Comutatorul virtual determină la ce unitate se face cererea și, prin urmare, ce sistem de fișiere trebuie utilizat pentru a procesa cererea. Prin urmare, NFS are aceeași compatibilitate ca și alte sisteme de fișiere utilizate în Linux. Singura diferență cu NFS este că, în loc să fie procesate local pe gazdă, cererile I/O pot fi trimise în rețea pentru execuție.

VFS determină că cererea primită este NFS și o transmite handlerului NFS situat în kernel. Hander-ul NFS procesează cererea I/O și o traduce într-o procedură NFS (OPEN, ACCESS, CREATE, READ, CLOSE, REMOVE etc.). Aceste proceduri, descrise într-o specificație RFC separată, definesc comportamentul protocolului NFS. Procedura necesară este selectată în funcție de solicitare și este executată folosind tehnologia RPC (apel de procedură la distanță). După cum sugerează și numele, RPC permite efectuarea apelurilor de procedură între diferite sisteme. Serviciul RPC concatenează o solicitare NFS cu argumentele sale și trimite rezultatul gazdei la distanță corespunzătoare, apoi monitorizează primirea și procesarea răspunsului pentru a-l returna solicitantului.

RPC include, de asemenea, un strat XDR important ( reprezentarea datelor externe- reprezentarea independentă a datelor), asigurându-se că toți utilizatorii NFS utilizează același format pentru aceleași tipuri de date. Când o platformă trimite o solicitare, tipul de date pe care îl folosește poate fi diferit de tipul de date utilizat pe gazda care procesează cererea. Tehnologia XDR se ocupă de munca de conversie a tipurilor într-o reprezentare standard (XDR), astfel încât platformele care utilizează arhitecturi diferite să poată interopera și partaja sisteme de fișiere. XDR definește formatul de biți pentru tipuri precum float și ordinea octeților pentru tipuri precum matricele cu lungime constantă și variabilă. Deși XDR este cunoscut în primul rând pentru utilizarea sa în NFS, această specificație poate fi utilă în toate cazurile în care trebuie să lucrați în același mediu cu arhitecturi diferite.

După ce XDR a tradus datele într-o reprezentare standard, cererea este transmisă prin rețea folosind un protocol de transport specific. Implementările timpurii ale NFS foloseau UDP, dar astăzi TCP este folosit pentru o mai mare fiabilitate.

Un algoritm similar este utilizat pe partea serverului NFS. Solicitarea parcurge stiva de rețea prin stratul RPC/XDR (pentru a converti tipurile de date în funcție de arhitectura serverului) și în serverul NFS, care este responsabil de procesarea cererii. Acolo, cererea este transmisă demonului NFS pentru a determina sistemul de fișiere țintă căruia îi este adresată și apoi merge din nou la VFS pentru a accesa acel sistem de fișiere pe discul local. O diagramă completă a acestui proces este prezentată în Figura 3. În acest caz, sistemul de fișiere local al serverului este un sistem de fișiere Linux standard, de exemplu, ext4fs. În esență, NFS nu este un sistem de fișiere în sensul tradițional al termenului, ci un protocol pentru accesul de la distanță la sistemele de fișiere.

Pentru rețelele cu latență lungă, NFSv4 oferă o procedură compusă specială ( procedeu compus). Această procedură vă permite să plasați mai multe apeluri RPC într-o singură cerere pentru a minimiza costul trimiterii cererilor prin rețea. Această procedură implementează, de asemenea, un mecanism de funcție de apel invers pentru primirea răspunsurilor.

Protocolul NFS

Când un client începe să folosească NFS, prima acțiune este să efectueze o operație de montare, care este să monteze sistemul de fișiere la distanță în spațiul local al sistemului de fișiere. Acest proces începe cu un apel la procedura de montare (una dintre funcțiile sistemului Linux), care este redirecționată prin VFS către componenta NFS. Apoi, un apel RPC la funcția get_port de pe serverul la distanță determină numărul portului care va fi utilizat pentru montare, iar clientul trimite o cerere de montare prin RPC. Această solicitare pe partea serverului este procesată de un demon special rpc.mountd, care este responsabil pentru protocolul de montare ( protocol de montare). Daemonul verifică dacă sistemul de fișiere solicitat de client se află în lista de sisteme disponibile pe serverul dat. Dacă sistemul solicitat există și clientul are acces la el, răspunsul RPC de montare specifică un descriptor de sistem de fișiere. Clientul reține informații despre punctele de montare locale și la distanță și este capabil să facă cereri I/O. Protocolul de montare nu este sigur din punct de vedere al securității, așa că NFSv4 utilizează în schimb apeluri interne RPC, care pot gestiona și punctele de montare.

Pentru a citi un fișier, trebuie mai întâi să îl deschideți. În schimb, nu există o procedură OPEN în RPC, clientul pur și simplu verifică dacă fișierul și directorul specificat există pe sistemul de fișiere montat. Clientul începe prin a face o solicitare GETATTR RPC către director, care returnează atributele directorului sau un indicator că directorul nu există. Apoi, pentru a verifica prezența fișierului, clientul emite o solicitare LOOKUP RPC. Dacă fișierul există, se face o solicitare GETATTR RPC asupra acestuia pentru a afla atributele fișierului. Folosind informațiile obținute din apelurile de succes LOOKUP și GETATTR, clientul creează un handle de fișier care este furnizat utilizatorului pentru cereri viitoare.

Odată ce fișierul a fost identificat pe sistemul de fișiere la distanță, clientul poate emite solicitări RPC READ. Această solicitare constă dintr-un descriptor de fișier, o stare, un offset și numărul de octeți de citit. Clientul folosește starea ( stat) pentru a determina dacă operația poate fi efectuată în momentul de față, adică. Fișierul este blocat? Decalaj ( decalaj) indică în ce poziție să începeți citirea și contorul de octeți ( numara) determină câți octeți trebuie citiți. Ca urmare a apelului READ RPC, serverul nu returnează întotdeauna atât de mulți octeți cât au fost solicitați, dar împreună cu datele returnate raportează întotdeauna câți octeți au fost trimiși către client.

Inovație în NFS

Cele mai recente două versiuni de NFS sunt de cel mai mare interes - 4 și 4.1, ca exemple din care puteți studia cele mai importante aspecte ale evoluției tehnologiei NFS.

Înainte ca NFSv4 să fie disponibil pentru a efectua sarcini de gestionare a fișierelor, cum ar fi montarea, blocarea etc. existau protocoale suplimentare speciale. În NFSv4, procesul de gestionare a fișierelor a fost simplificat la un singur protocol; În plus, începând cu această versiune, UDP nu mai este folosit ca protocol de transport. NFSv4 include suport pentru semantica de acces la fișiere UNIX și Windows®, permițând NFS să se integreze în mod natural în alte sisteme de operare.

NFSv4.1 a introdus conceptul de NFS paralel(NFS paralel - pNFS). Pentru a oferi niveluri mai mari de scalabilitate, NFSv4.1 implementează o arhitectură în care datele și metadatele ( marcare) sunt distribuite pe dispozitive într-un mod similar cu modul în care se face în sistemele de fișiere în cluster. După cum se arată în , pNFS împarte ecosistemul în trei componente: client, server și stocare. În acest caz, apar două canale: unul pentru transmiterea datelor, iar celălalt pentru transmiterea comenzilor de control. pNFS separă datele de metadatele care le descriu, oferind o arhitectură cu două canale. Când un client dorește să acceseze un fișier, serverul îi trimite metadate cu „markup”. Metadatele conțin informații despre locația fișierului pe dispozitivele de stocare. Odată ce clientul are aceste informații, poate accesa stocarea direct, fără a fi nevoit să interacționeze cu serverul, îmbunătățind scalabilitatea și performanța. Când clientul termină de lucru cu fișierul, acesta confirmă modificările aduse fișierului și „markupul” acestuia. Dacă este necesar, serverul poate solicita metadate cu marcaj de la client.

Odată cu apariția pNFS, mai multe operațiuni noi au fost adăugate la protocolul NFS pentru a sprijini un astfel de mecanism. Metoda LayoutGet este folosită pentru a prelua metadatele de pe server, metoda LayoutReturn „eliberează” metadatele „capturate” de client, iar metoda LayoutCommit încarcă „aspectul” primit de la client în stocare, astfel încât să fie disponibil pentru alți utilizatori . Serverul poate rechema metadatele de la client folosind metoda LayoutRecall. Metadatele „etichetate” sunt distribuite pe mai multe dispozitive de stocare pentru a oferi acces paralel și performanță ridicată.

Datele și metadatele sunt stocate pe dispozitive de stocare. Clienții pot efectua solicitări I/O directe pe baza markupului primit, iar serverul NFSv4.1 stochează și gestionează metadatele. Această funcționalitate în sine nu este nouă, dar pNFS a adăugat suport pentru diferite metode de accesare a dispozitivelor de stocare. Astăzi, pNFS acceptă utilizarea protocoalelor bloc (Fibre Channel), a protocoalelor obiect și a NFS în sine (nici măcar în formă pNFS).

Dezvoltarea NFS continuă, iar în septembrie 2010 au fost publicate cerințele pentru NFSv4.2. Unele dintre inovații sunt legate de migrarea continuă a tehnologiilor de stocare a datelor către virtualizare. De exemplu, în mediile virtuale cu un hypervisor, este foarte probabil să apară duplicarea datelor (mai multe sisteme de operare care citesc/scriu și memorează în cache aceleași date). Din această cauză, este de dorit ca sistemul de stocare în ansamblu să înțeleagă unde are loc duplicarea. Această abordare va ajuta la economisirea spațiului cache al clientului și a capacității generale de stocare. NFSv4.2 propune utilizarea unei „hărți de blocuri a blocurilor partajate” pentru a rezolva această problemă. Pe măsură ce sistemele moderne de stocare sunt din ce în ce mai echipate cu propria lor putere de calcul internă, este introdusă copierea pe server pentru a reduce sarcina copierii datelor într-o rețea internă, atunci când aceasta poate fi realizată eficient pe dispozitivul de stocare în sine. Alte inovații includ stocarea în cache a sub-fișierului pentru memoria flash și recomandări de reglare I/O la nivelul clientului (cum ar fi utilizarea mapadvise).

Alternative NFS

Deși NFS este cel mai popular sistem de fișiere de rețea în UNIX și Linux, există și alte sisteme de fișiere de rețea. Pe platforma Windows®, SMB este cel mai frecvent utilizat, cunoscut și ca CIFS; cu toate acestea, sistemul de operare Windows acceptă și NFS, precum și Linux acceptă SMB.

Unul dintre cele mai noi sisteme de fișiere distribuite acceptate pe Linux, Ceph, este proiectat de la zero pentru a fi un sistem de fișiere compatibil POSIX tolerant la erori. Mai multe informații despre Ceph pot fi găsite în secțiunea.

De asemenea, merită menționate sistemele de fișiere OpenAFS (versiunea Open Source a sistemului de fișiere distribuit Andrew, dezvoltată la Carnegie Mellon University și IBM Corporation), GlusterFS (un sistem de fișiere distribuit de uz general pentru organizarea stocării de date scalabile) și Luster (un sistem masiv de fișiere distribuite). sistem de fișiere de rețea paralelă pentru soluții de cluster). Toate aceste sisteme open source pot fi folosite pentru a construi stocare distribuită.

Concluzie

Dezvoltarea sistemului de fișiere NFS continuă. Similar cu sistemul de operare Linux, care poate suporta atât soluții low-end, încorporate și high-end, NFS oferă o arhitectură pentru soluții de stocare scalabile potrivite atât pentru persoane fizice, cât și pentru organizații. Dacă te uiți la călătoria pe care a parcurs-o deja NFS și la perspectivele dezvoltării sale viitoare, devine clar că acest sistem de fișiere va continua să schimbe modul în care ne gândim la modul în care sunt implementate și utilizate tehnologiile de stocare a fișierelor.

Nu toată lumea este familiarizată cu protocoalele de transfer de date. Dar mulți ar dori să-și conecteze computerele într-o singură rețea sau să folosească un server pentru a stoca fișiere. O modalitate de a face acest lucru este NFS. Cum să configurați un server NFS în Ubuntu - citiți mai departe.

Prin configurarea corectă a NFS, puteți combina computere pe diferite sisteme de operare într-o singură rețea.

Network File System este un protocol de acces la fișiere de rețea. Ca de obicei, este format din două părți. Unul este cel client, care se află pe computerul de pe care sunt vizualizate datele de la distanță. Celălalt - serverul - se află pe computerul unde sunt stocate aceste date. Este destul de convenabil să utilizați spațiu suplimentar pe disc, în special într-o rețea locală. Și dacă vorbim despre unele PC-uri corporative, atunci acest lucru este pur și simplu necesar.

Care este diferența?

Astăzi există un număr mare de protocoale și o mare varietate de software care îndeplinesc aceleași funcții. Ce face ca NFS să iasă în evidență?

• Posibilitatea de a conecta computere pe diferite sisteme de operare într-o singură rețea. Este adesea convenabil să conectați sistemul de operare Windows prin NFS la un sistem Unix, de exemplu, Ubuntu. Samba există și este folosit în aceleași scopuri, dar NFS este mai ușor, mai simplu și mai rapid decât acest program, deoarece este implementat la nivel de kernel. Prin urmare, configurarea accesului prin intermediul acestuia va fi de obicei mai ușoară.
• NFS oferă acces transparent la fișiere. Aceasta înseamnă că toate fișierele de la distanță sunt redate exact la fel ca și cele locale. Programele nu trebuie să fie actualizate pentru a reda orice fișier aflat pe server.
• NFS trimite doar porțiunea solicitată a fișierului, nu întregul fișier.

Pentru a funcționa pe deplin, Network File System trebuie să fie instalat pe cel puțin două computere: un server și un client. Desigur, un începător va trebui să lucreze cel mai mult la partea de server, deoarece aici este necesar să „partajeze” folderele (acces deschis). Totuși, toate acestea se fac destul de ușor.

Ca majoritatea protocoalelor de transfer de date, NFS nu este deloc tânăr. A fost dezvoltat în 1984 și a fost destinat sistemelor UNIX. Acesta este încă rolul principal al NFS, dar mulți au descoperit că este foarte convenabil să conectați computerele Windows la cele Linux. În plus, NFS este excelent pentru redarea conținutului multimedia într-o rețea locală de domiciliu. Samba în acest rol deseori îngheață și încetinește.

Instalarea backend-ului NFS

Vom instala partea de server a protocolului pe Ubuntu 16.04. Desigur, dacă aveți ediția Server, procesul nu este în niciun fel diferit. Doar că, în versiunea tradițională a Ubuntu, unele acțiuni pot fi efectuate folosind interfața grafică.

Instaleaza programul. Pentru a face acest lucru, puteți utiliza centrul de descărcare a aplicației sau puteți introduce pur și simplu comanda:

sudo apt install nfs-kernel-server

După aceasta, va fi util să verificați corectitudinea instalării. Nu este necesar să facem asta, dar vom verifica oricum. Introdu comanda:

Portul ar trebui să fie 2049 peste tot.

Acum verificăm dacă nucleul acceptă NFS. Pentru a face acest lucru, introduceți:

cat /proc/sisteme de fișiere | grep nfs

Valoarea rezultată ar trebui să arate astfel: nodev nfsd

Aceasta înseamnă că totul funcționează corect. Dacă nu, atunci introduceți comanda:

Folosind-o, instalăm singuri modulul kernel.

Adăugați protocolul la autorun. Nu este necesar să faci acest lucru, dar este foarte incomod să-l pornești de fiecare dată. Din nou, îl puteți adăuga folosind un element special de meniu din setări sau îl puteți adăuga singur folosind comanda:

sudo systemctl enable nfs

Deci, am instalat partea de server, tot ce rămâne este să o configuram corect și să trecem la partea client.

Setări

Configurarea NFS în Ubuntu implică partajarea anumitor foldere.

Pe lângă faptul că permiteți pur și simplu accesul, trebuie să specificați și parametrii care determină capabilitățile utilizatorului în raport cu acest folder.

• rw - citire și scriere Această opțiune permite citirea și scrierea fișierelor din folder.
• ro - doar citire - permite doar citirea folderului.
• sync (implicit) - parametrul asigură fiabilitatea transmisiei. Dacă este activat, nu veți putea transfera mai multe fișiere în același timp sau pe computere diferite. Această setare vă va împiedica să răspundeți la alte solicitări. Previne pierderea datelor, dar transferul poate fi mai lent.
• asincron este inversul parametrului anterior. Transferul este mai rapid, dar există riscul pierderii informațiilor.
• securizat - această opțiune vă permite să utilizați numai porturi sub 1024. Activată implicit.
• nesigur - permite utilizarea oricăror porturi.
• nohide - dacă montați mai multe directoare, inclusiv cele imbricate, atunci directoarele imbricate, spre deosebire de directorul părinte, vor fi afișate ca goale. Parametrul va ajuta la remedierea acestui lucru
• anonuid - specifică uid-ul pentru utilizatorii anonimi. Acesta este un ID de utilizator special.
• anongid - specifică gid-ul pentru utilizatorii anonimi. GID (Group ID) - un alt identificator de utilizator.
• no_subtree_check - funcția dezactivează controlul subtree. Faptul este că fără el, NFS verifică suplimentar dacă utilizatorii accesează numai secțiunile necesare ale directorului. Acest lucru încetinește lucrurile. Acest parametru accelerează, dar reduce securitatea.

Le vom folosi în funcție de ceea ce este necesar într-o anumită situație.

Să creăm un folder nou. Puteți folosi și unul nou. Dosarul nostru va fi /var/network.

Acum trebuie să adăugați acest folder în fișierul /etc/exports. Toate fișierele și folderele cu acces deschis la rețea sunt stocate acolo. Intrarea ar trebui să arate astfel:

/var/network168.1.1(rw,async,no_subtree_check)

192.168.1.1 este IP-ul prin care transmitem. Este obligatoriu să o indicați.

Actualizați tabelul de export:

Acum să încercăm să accesăm folderul din partea clientului.

Instalarea și configurarea părții client NFS

Ubuntu

Pe Ubuntu, conectarea unui server configurat nu este dificilă. Acest lucru se face în doar câteva comenzi.

Instalați un pachet client special:

sudo apt install nfs-common

sudo mount 192.168.1.1:/var/network/ /mnt/

Dosarul de rețea este conectat. Folosind df puteți verifica toate folderele de rețea conectate:

De asemenea, puteți verifica nivelul de acces cu o comandă specială:

Dezactivați sistemul de fișiere după cum urmează:

Comanda mount este folosită aproape peste tot. Este responsabil pentru procesul de montare, adică pregătirea spațiului pe hard disk pentru a fi utilizat de sistemul de operare. Sună complicat, dar dacă simplificăm, se dovedește că pur și simplu transferăm fișiere de rețea pe computerul nostru într-un folder nou creat. Aici se numește /mnt/.

Windows

Cu Windows, de regulă, totul este mult mai complicat. Clientul NFS poate fi rulat pe toate serverele Windows fără probleme. Dintre cele standard, este prezent pe:

• Windows 7 Ultimate/Enterprise
• Windows 8/8.1 Enterprise
• Windows 10 Enterprise

Nu îl găsesc în altă parte. Dacă aveți una dintre aceste versiuni, faceți următoarele:

1. Deschideți meniul „Programe și caracteristici”.
2. Faceți clic pe „Adăugarea de componente”.
3. Găsim NFS acolo și instalăm doar „Client pentru NFS”; nu avem nevoie de altă componentă.

După conectare, totul este montat cu aceeași comandă:

montare 192.168.1.1:/var/network/ /mnt/

Îl puteți demonta după cum urmează:

Comenzile sunt introduse în linia de comandă lansată ca administrator. După aceasta, puteți găsi cu ușurință unitatea de rețea dorită folosind Explorer.

Ce să faci dacă nu există un client NFS pe computer? Puteți încerca să descărcați software-ul prin intermediul site-ului web Microsoft sau din resurse terță parte. Este posibil ca aici să fie necesare alte comenzi sau acțiuni.

Acum aveți o înțelegere de bază despre cum să utilizați NFC și să efectuați configurarea de bază. Aceste cunoștințe sunt suficiente pentru a stabili accesul de la un computer la altul. Mai mult, un PC Windows poate acționa și ca client.

În acest capitol, ne vom uita la Network File System (NFS), o aplicație populară care oferă aplicațiilor client acces transparent la fișiere. Piatra de temelie a NFS este Sun RPC: Remote Procedure Call, pe care o vom trata mai întâi.

Programul client nu necesită instrumente speciale pentru a profita de NFS. Nucleul detectează că fișierul se află pe un server NFS și generează automat un apel RPC pentru a accesa fișierul.

Nu ne vom uita în detaliu la modul în care este implementat accesul la fișiere, ci vom analiza modul în care sunt utilizate protocoalele de Internet, în special UDP.

În cele mai multe cazuri, problemele de programare a rețelei sunt rezolvate prin scrierea unor programe de aplicație care apelează funcții furnizate de sistem pentru a efectua operațiuni specifice de rețea. De exemplu, o funcție realizează o deschidere TCP activă, alta deschidere TCP pasivă, o a treia trimite date printr-o conexiune TCP, a patra setează opțiuni specifice de protocol (activează cronometrul TCP „stay alive”) și așa mai departe. În secțiunea Interfețe de programare a aplicațiilor din Capitolul 1, am menționat că există două seturi populare de funcții de programare a rețelei (interfețe de programare a aplicațiilor, API-uri): socket-uri și TLI. API-ul folosit de client și API-ul utilizat de server pot diferi, la fel ca și sistemele de operare pe care le rulează clientul și serverul. Protocoalele de comunicare și de aplicație determină dacă un anumit client poate comunica cu serverul. Un client Unix scris în C folosind socket-uri ca interfață de programare și TCP ca protocol de comunicare poate comunica cu un server mainframe scris în COBOL folosind diferite API și TCP dacă ambele gazde sunt conectate la rețea și ambele au o implementare TCP.

De obicei, clientul trimite comenzi către server, iar serverul trimite răspunsuri către client. Toate aplicațiile pe care le-am analizat - Ping, Traceroute, demoni de rutare, clienți și servere DNS, TFTP, BOOTP, SNMP, Telnet, FTP, SMTP - sunt toate construite astfel.

RPC, apel de procedură la distanță, implementează o abordare diferită a programării rețelei. Programul client apelează pur și simplu funcții în programul server. Deci acest lucru se decide din punctul de vedere al programatorului, dar în realitate are loc următoarea secvență de acțiuni.

1. Când un client apelează o procedură la distanță, este apelată o funcție de pe gazda locală care este generată de pachetul RPC. Această funcție se numește client stub. client stub împachetează argumentele procedurii într-un mesaj de rețea și trimite mesajul către server.
2. server stub de pe serverul gazdă primește mesajul de rețea. Argumentele sunt preluate din mesajul de rețea și se efectuează un apel către procedura de server scrisă de programatorul aplicației.
3. Funcția de server returnează controlul stub-ului de server, care la rândul său preia valorile primite, le împachetează într-un mesaj de rețea și trimite mesajul înapoi către stub-ul clientului.
4. client stub returnează valori dintr-un mesaj de rețea către aplicația client.

Programarea în rețea care utilizează rutinele RPC de bibliotecă și stub utilizează API-uri (socket-uri sau TLI), dar aplicațiile utilizator (programul client și procedurile server numite de client) nu accesează niciodată API-ul. Aplicația client trebuie doar să apeleze procedura serverului, în timp ce toate detaliile de implementare sunt ascunse de pachetul RPC, client stub și server stub.

Pachetele RPC au următoarele avantaje.

• Programarea devine mai ușoară pentru că nu trebuie să rezolvi problemele de programare în rețea (și dacă o faci, este foarte puțin). Programatorii de aplicații scriu pur și simplu programul client și procedurile de server pe care clientul le apelează.
• Dacă se folosește un protocol nesigur precum UDP, toate detaliile, și anume timeout-uri și retransmisii, sunt gestionate de pachetul RPC.
• Acest lucru, la rândul său, simplifică aplicația utilizatorului.

Biblioteca RPC se ocupă de conversia necesară a argumentelor și a valorilor returnate. De exemplu, dacă argumentele constau din numere întregi și numere în virgulă mobilă, pachetul RPC va gestiona orice diferență între reprezentarea numerelor întregi și a numerelor în virgulă mobilă pe client și pe server. Acest lucru simplifică implementarea clienților și serverelor pentru a opera în medii eterogene.

Programarea RPC este tratată în detaliu în Capitolul 18. Cele mai populare două pachete RPC sunt Sun RPC și pachetul RPC din DCE (Distributed Computing Environment) al Open Software Foundation (OSF). la pachetul Sun RPC, deoarece acest pachet este utilizat în Sun RPC Versiunea 2, care este descris în RFC 1057 [Sun Microsystems 1988a].

Există două tipuri de Sun RPC. O versiune este construită folosind API-ul sockets și funcționează cu TCP și UDP. Celălalt se numește TI-RPC (independent de transport), construit folosind API-ul TLI și funcționează cu orice nivel de transport furnizat de kernel. Din punctul nostru de vedere, nu există nicio diferență între ele, deoarece în acest capitol luăm în considerare doar TCP și UDP.

NFS, sau Network File System, este un protocol de sistem de fișiere de rețea popular, care permite utilizatorilor să monteze directoare de rețea la distanță pe mașina lor și să transfere fișiere între servere. Puteți utiliza spațiul pe disc de pe o altă mașină pentru fișierele dvs. și puteți lucra cu fișiere aflate pe alte servere. În esență, aceasta este o alternativă la partajarea Windows pentru Linux, spre deosebire de Samba, este implementată la nivel de kernel și funcționează mai stabil.

Acest articol va acoperi instalarea nfs pe Ubuntu 16.04. Ne vom uita la instalarea tuturor componentelor necesare, la configurarea unui folder partajat și la conectarea folderelor de rețea.

După cum am menționat deja, NFS este un sistem de fișiere de rețea. Pentru a funcționa, aveți nevoie de un server care va găzdui folderul partajat și clienți care pot monta folderul de rețea ca un disc obișnuit în sistem. Spre deosebire de alte protocoale, NFS oferă acces transparent la fișierele de la distanță. Programele vor vedea fișierele ca într-un sistem de fișiere obișnuit și vor lucra cu ele ca și cu fișierele locale, nfs returnează doar partea solicitată a fișierului, în loc de întregul fișier, astfel încât acest sistem de fișiere va funcționa perfect pe sisteme cu Internet rapid sau pe o retea locala.

Instalarea componentelor NFS

Înainte de a putea lucra cu NFS, va trebui să instalăm mai multe programe. Pe mașina care va fi serverul, trebuie să instalați pachetul nfs-kernel-server, care va fi folosit pentru a deschide share-uri nfs în ubuntu 16.04. Pentru a face acest lucru, rulați:

sudo apt install nfs-kernel-server

Acum să verificăm dacă serverul a fost instalat corect. Serviciul NFS ascultă conexiunile atât pentru TCP, cât și pentru UDP pe portul 2049. Puteți vedea dacă aceste porturi sunt de fapt utilizate cu comanda:

rpcinfo -p | grep nfs

De asemenea, este important să verificați dacă NFS este acceptat la nivel de kernel:

cat /proc/sisteme de fișiere | grep nfs

Vedem că funcționează, dar dacă nu, trebuie să încărcați manual modulul kernel nfs:

Să adăugăm și nfs la pornire:

sudo systemctl enable nfs

Trebuie să instalați pachetul nfs-common pe computerul client pentru a putea lucra cu acest sistem de fișiere. Nu trebuie să instalați componentele serverului, doar acest pachet va fi suficient:

sudo apt install nfs-common

Configurarea unui server NFS pe Ubuntu

Putem deschide accesul NFS la orice folder, dar haideți să creăm unul nou în acest scop:

client folder_address (opțiuni)

Adresa folderului este folderul care trebuie să fie accesibil prin rețea. Client - adresa IP sau adresa de rețea din care poate fi accesat acest folder. Dar cu opțiuni este puțin mai complicat. Să ne uităm la unele dintre ele:

• rw- permite citirea și scrierea în acest folder
• ro- permite numai citire
• sincronizare- răspunde la următoarele solicitări numai atunci când datele sunt salvate pe disc (implicit)
• asincron- nu blocați conexiunile în timp ce datele sunt scrise pe disc
• sigur- utilizați numai porturi sub 1024 pentru conectare
• nesigur- utilizați orice porturi
• nohide- nu ascundeți subdirectoare când deschideți accesul la mai multe directoare
• rădăcină_dovleac- înlocuiți cererile de la root cu altele anonime
• all_squash- transformați toate cererile în anonimat
• anonuidȘi anongid- specifică uid-ul și gid-ul pentru utilizatorul anonim.

De exemplu, pentru folderul nostru, această linie ar putea arăta astfel:

/var/nfs 127.0.0.1(rw,sync,no_subtree_check)

Odată ce totul a fost configurat, tot ce a rămas a fost actualizarea tabelului de export NFS:

sudo exportfs -a

Asta e tot, deschiderea acțiunilor nfs în ubuntu 16.04 este finalizată. Acum să încercăm să configuram clientul și să încercăm să-l montem.

conexiune NFS

Nu ne vom opri asupra acestei probleme în detaliu în articolul de astăzi. Acesta este un subiect destul de amplu care merită propriul articol. Dar tot voi spune câteva cuvinte.

Pentru a monta un folder de rețea, nu aveți nevoie de niciun client Ubuntu nfs, trebuie doar să utilizați comanda mount:

sudo mount 127.0.0.1:/var/nfs/ /mnt/

Acum puteți încerca să creați un fișier în directorul conectat:

Ne vom uita, de asemenea, la sistemele de fișiere montate folosind df:

127.0.0.1:/var/nfs 30G 6.7G 22G 24% /mnt

Pentru a dezactiva acest sistem de fișiere, trebuie doar să utilizați umountul standard:

sudo umount /mnt/

concluzii

Acest articol a discutat despre configurarea nfs ubuntu 16.04, după cum puteți vedea, totul se face foarte simplu și transparent. Conectarea partajărilor NFS se face în câteva clicuri folosind comenzi standard, iar deschiderea partajărilor NFS în ubuntu 16.04 nu este mult mai complicată decât conectarea. Dacă aveți întrebări, scrieți în comentarii!

Postări asemănatoare:

Protocolul Network File Server (NFS) este un standard deschis pentru furnizarea accesului utilizatorilor de la distanță la sistemele de fișiere. Sistemele de fișiere centralizate construite pe acesta facilitează activitățile de zi cu zi, cum ar fi backup-urile sau scanările de viruși, iar partițiile consolidate ale discurilor sunt mai ușor de întreținut decât multe dintre cele mai mici, distribuite.

Pe lângă furnizarea de stocare centralizată, NFS s-a dovedit a fi foarte util pentru alte aplicații, inclusiv pentru clienții fără disc și thin, clustering de rețea și colaborarea middleware.

O mai bună înțelegere atât a protocolului în sine, cât și a detaliilor implementării acestuia va face mai ușor să faceți față problemelor practice. Acest articol este dedicat NFS și constă din două părți logice: mai întâi, descrie protocolul în sine și obiectivele stabilite în timpul dezvoltării sale, iar apoi implementarea NFS în Solaris și UNIX.

UNDE A ÎNCEPUT TOTUL...

Protocolul NFS a fost dezvoltat de Sun Microsystems și a apărut pe Internet în 1989 ca RFC 1094 sub următorul nume: Network File System Protocol Specification (NFS). Este interesant de remarcat faptul că strategia Novell la acea vreme viza îmbunătățirea în continuare a serviciilor de fișiere. Până de curând, înainte de a decola mișcarea open source, Sun a fost reticent în a împărtăși secretele soluțiilor sale de rețea, dar chiar și atunci compania a înțeles importanța interoperabilității cu alte sisteme.

RFC 1094 conținea două specificații originale. Până la data publicării sale, Sun dezvolta deja următoarea, a treia versiune a specificației, care este stabilită în RFC 1813 „NFS Version 3 Protocol Specification”. Versiunea 4 a acestui protocol este definită în RFC 3010, NFS Version 4 Protocol.

NFS este utilizat pe scară largă pe toate tipurile de gazde UNIX, pe rețelele Microsoft și Novell și pe soluții IBM, cum ar fi AS400 și OS/390. Deși necunoscut în afara regnului rețelelor, NFS este probabil cel mai răspândit sistem de fișiere de rețea independent de platformă.

UNIX A FOST GENEZA

Deși NFS este un sistem independent de platformă, strămoșul său este UNIX. Cu alte cuvinte, arhitectura ierarhică și metodele de acces la fișiere ale arhitecturii, inclusiv structura sistemului de fișiere, modalitățile de identificare a utilizatorilor și a grupurilor și tehnicile de gestionare a fișierelor, sunt toate foarte asemănătoare cu sistemul de fișiere UNIX. De exemplu, sistemul de fișiere NFS, fiind structural identic cu sistemul de fișiere UNIX, este montat direct pe acesta. Când lucrați cu NFS pe alte sisteme de operare, parametrii de identificare a utilizatorului și drepturile de acces la fișiere sunt supuse maparii.

NFS

NFS este conceput pentru a fi utilizat într-o arhitectură client-server. Clientul accesează sistemul de fișiere exportat de serverul NFS printr-un punct de montare pe client. Acest acces este de obicei transparent pentru aplicația client.

Spre deosebire de multe sisteme client-server, NFS utilizează Remote Procedure Calls (RPC) pentru a face schimb de informații. De obicei, clientul stabilește o conexiune la un port cunoscut și apoi, în conformitate cu protocolul, trimite o solicitare pentru a efectua o anumită acțiune. În cazul apelurilor de procedură la distanță, clientul creează un apel de procedură și apoi îl trimite către server pentru execuție. O descriere detaliată a NFS va fi prezentată mai jos.

De exemplu, să presupunem că un client a montat directorul usr2 pe sistemul de fișiere rădăcină local:

/root/usr2/ -> remote:/root/usr/

Dacă o aplicație client are nevoie de resurse din acest director, pur și simplu trimite o cerere către sistemul de operare pentru aceasta și numele fișierului, care acordă acces prin clientul NFS. Ca exemplu, luați în considerare comanda simplă UNIX cd, care „nu știe nimic” despre protocoalele de rețea. Echipă

Cd /root/usr2/

va plasa directorul de lucru pe un sistem de fișiere la distanță, „fără să-și dea seama” (de asemenea, utilizatorul nu are nevoie de acest lucru) că sistemul de fișiere este la distanță.

După ce a primit cererea, serverul NFS va verifica dacă utilizatorul are dreptul de a efectua acțiunea solicitată și, dacă răspunsul este pozitiv, o va efectua.

SĂ CUNOAȘM MAI BINE

Din punctul de vedere al clientului, procesul de montare locală a unui sistem de fișiere la distanță folosind NFS constă din mai mulți pași. După cum sa menționat, clientul NFS va emite un apel de procedură de la distanță pentru a-l executa pe server. Rețineți că în UNIX, clientul este un singur program (comanda mount), în timp ce serverul este implementat ca mai multe programe cu următorul set minim: un serviciu de cartografiere de porturi, un demon de montare și un server NFS.

Comanda client mount comunică mai întâi cu serviciul de traducere a portului al serverului, care ascultă cererile pe portul 111. Cele mai multe implementări ale comenzii client mount acceptă versiuni multiple de NFS, ceea ce crește probabilitatea de a găsi o versiune de protocol comun pentru client și server. Căutarea se efectuează începând cu cea mai înaltă versiune, astfel încât atunci când se găsește una comună, aceasta va deveni automat cea mai nouă versiune suportată de client și server.

(Materialul prezentat este axat pe a treia versiune a NFS, deoarece este cea mai răspândită în acest moment. A patra versiune nu este încă susținută de majoritatea implementărilor.)

Serviciul de traducere porturi al serverului răspunde solicitărilor pe baza protocolului acceptat și a portului pe care rulează demonul de montare. Programul client de montare stabilește mai întâi o conexiune la demonul de montare al serverului și apoi îi lansează comanda de montare prin RPC. Dacă această procedură are succes, atunci aplicația client se conectează la serverul NFS (port 2049) și, folosind una dintre cele 20 de proceduri la distanță care sunt definite în RFC 1813 și enumerate în Tabelul 1, obține acces la sistemul de fișiere la distanță.

Semnificația majorității comenzilor este intuitivă și nu provoacă dificultăți administratorilor de sistem. Următoarea listă, obținută folosind tcdump, ilustrează comanda de citire produsă de comanda UNIX cat pentru a citi un fișier numit test-file:

10:30:16.012010 eth0 > 192.168.1.254.

3476097947 > 192.168.1.252.2049: 144 lookup fh 32.0/ 224145 "test-file" 10:30:16.012010 eth0 > 192.168.1.254.

3476097947 > 192.168.1.252.2049: 144 de căutare fh 32.0/ 224145 „fișier de testare” 10:30:16.012729 eth0 192.168.1.254.3476.254.3472.2002.2002 307 (DF) 10:30: 16.012729 eth0 192.168 .1.254.3476097947: răspuns ok 128 lookup fh 32.0/224307 (DF) 10:30:16.013124 eth0 > 192.168.1.254. 3492875163 > 192.168.1.252.2049: 140 citiți fh 32.0/ 224307 4096 octeți @ 0 10:30:16.013124 eth0 > 192.168.1.254. 3492875163 > 192.168.1.252.2049: 140 citiți fh 32.0/ 224307 4096 octeți @ 0 10:30:16.013650 eth0 192.168.1.254: rep. 81 DF 0:16.013650 eth0 192.168.1.254.3492875163 : răspuns ok 108 citit (DF)

NFS a fost implementat în mod tradițional prin UDP. Cu toate acestea, unele versiuni ale NFS acceptă TCP (suportul TCP este definit în specificația protocolului). Principalul avantaj al TCP este un mecanism de retransmisie mai eficient în rețelele nesigure. (Cu UDP, dacă apare o eroare, mesajul RPC complet, constând din mai multe pachete UDP, este retrimis. Cu TCP, numai fragmentul rupt este retrimis.)

Prima metodă se bazează pe sistemul încorporat UNIX de permisiuni de fișiere pentru un utilizator individual sau un grup. Pentru a simplifica întreținerea, identificarea utilizatorilor și a grupului ar trebui să fie consecventă pe toți clienții și serverele NFS. Securitatea trebuie luată în considerare cu atenție: NFS poate oferi din neatenție acces la fișiere care nu au fost destinate când au fost create.

Accesul la nivel de partajare vă permite să restricționați drepturile pentru a permite numai anumite acțiuni, indiferent de proprietatea fișierului sau privilegiile UNIX. De exemplu, lucrul cu sistemul de fișiere NFS poate fi limitat la doar citire. Majoritatea implementărilor NFS vă permit să restricționați și mai mult accesul la nivel de resurse partajate la anumiți utilizatori și/sau grupuri. De exemplu, grupului de Resurse Umane i se permite să vizualizeze informații și nimic mai mult.

Accesul la nodul principal vă permite să montați un sistem de fișiere numai pe anumite noduri, ceea ce este, în general, o idee bună, deoarece sistemele de fișiere pot fi create cu ușurință pe orice nod compatibil NFS.

Accesul combinat combină pur și simplu tipurile de mai sus (de exemplu, acces la nivel partajat cu acces acordat unui anumit utilizator) sau permite utilizatorilor să acceseze NFS numai de la un anumit nod.

NFS ÎN STIL PINGUIN

Materialul legat de Linux se bazează pe Red Hat 6.2 cu versiunea de nucleu 2.4.9, care este livrat cu versiunea nfs-utils 0.1.6. Există și versiuni mai noi: la momentul scrierii, cea mai recentă actualizare a pachetului nfs-utils este 0.3.1. Poate fi descărcat de pe: .

Pachetul nfs-utils conține următoarele executabile: exportfs, lockd, mountd, nfsd, nfsstat, nhfsstone, rquotad, showmount și statd.

Din păcate, suportul NFS este uneori o sursă de confuzie pentru administratorii Linux, deoarece disponibilitatea unei anumite caracteristici depinde direct de numerele de versiune ale nucleului și ale pachetului nfs-utils. Din fericire, lucrurile se îmbunătățesc în acest domeniu, cele mai recente distribuții incluzând cele mai recente versiuni ale ambelor. Pentru versiunile anterioare, Secțiunea 2.4 din NFS-HOWTO oferă o listă completă de funcționalități de sistem disponibile pentru fiecare nucleu și combinație de pachet nfs-utils. Dezvoltatorii mențin compatibilitatea inversă a pachetului cu versiunile anterioare, acordând multă atenție asigurării securității și eliminării erorilor software.

Suportul NFS ar trebui să fie inițiat în timpul compilării nucleului. Dacă este necesar, capacitatea de a lucra cu NFS versiunea 3 ar trebui adăugată la kernel.

Pentru distribuțiile care acceptă linuxconf, este ușor să configurați serviciile NFS atât pentru clienți, cât și pentru servere. Cu toate acestea, modalitatea rapidă de a instala NFS folosind linuxconf nu oferă informații despre ce fișiere au fost create sau editate, ceea ce este foarte important pentru administrator să cunoască situația în cazul unei defecțiuni a sistemului. Arhitectura NFS pe Linux este cuplată la versiunea BSD, astfel încât fișierele și programele necesare sunt ușor de găsit pentru administratorii care rulează BSD, Sun OS 2.5 sau versiuni anterioare ale NFS.

Fișierul /etc/exports, ca și în versiunile anterioare ale BSD, definește sistemele de fișiere pe care clienții NFS au voie să le acceseze. În plus, conține o serie de caracteristici suplimentare legate de probleme de management și securitate, oferind administratorului un mijloc de reglare fină. Acesta este un fișier text format din intrări, rânduri goale sau comentate (comentariile încep cu simbolul #).

Să presupunem că vrem să oferim clienților acces numai în citire la directorul /home de pe nodul Lefty. Aceasta ar corespunde următoarei intrări din /etc/exports:

/home (ro)

Aici trebuie să spunem sistemului ce directoare vom face accesibile utilizând demonul de montare rpc.mountd:

# exportfs -r exportfs: Nu este specificat niciun nume de gazdă în /home (ro), introduceți *(ro) pentru a evita avertismentul #

Când este rulată, comanda exportfs emite un avertisment că /etc/exports nu restricționează accesul la un anumit nod și creează o intrare corespunzătoare în /var/lib/nfs/etab din /etc/exports care spune ce resurse pot fi vizualizate folosind cat :

# cat /var/lib/nfs/etab /home (ro,async,wdelay,hide,secure,root_squash, no_all_squash,subtree_check, secure_locks, mapping=identity,anonuid=-2,anongid=-2)

Alte opțiuni enumerate în etab includ valorile implicite utilizate de NFS. Detaliile vor fi descrise mai jos. Pentru a oferi acces la directorul /home, trebuie să porniți serviciile NFS corespunzătoare:

# portmap # rpc.mountd # rpc.nfsd # rpc.statd # rpc.rquotad

În orice moment după pornirea demonului de montare (rpc.mountd), puteți vizualiza fișierele individuale disponibile pentru ieșire, vizualizând conținutul fișierului /proc/fs/nfs/exports:

# cat /proc/fs/nfs/exports # Versiunea 1.0 # Path Client(Flags) # IP-uri /home 192.168.1.252(ro,root_squash,async, wdelay) # 192.168.1.252 #

Același lucru poate fi vizualizat folosind comanda showmount cu parametrul -e:

# showmount -e Exportați lista pentru stângaci: /home (toți) #

Având un pic înainte, comanda showmount poate fi folosită și pentru a determina toate sistemele de fișiere montate sau, cu alte cuvinte, pentru a afla care noduri sunt clienți NFS pentru sistemul care rulează comanda showmount. Comanda showmount -a va lista toate punctele de montare client:

# showmount -a Toate punctele de montare pe stânga: 192.168.1.252:/home #

După cum sa menționat mai sus, majoritatea implementărilor NFS acceptă diferite versiuni ale acestui protocol. Implementarea Linux vă permite să limitați lista de versiuni NFS care pot fi lansate prin specificarea comutatorului -N pentru demonul de montare. De exemplu, pentru a rula NFS versiunea 3 și numai versiunea 3, introduceți următoarea comandă:

# rpc.mountd -N 1 -N 2

Utilizatorii frecvenți pot considera incomod ca demonul NFS al Linux (rpc.nfsd) să aștepte pachetele versiunii 1 și 2, deși acest lucru are efectul dorit de a nu suporta protocolul corespunzător. Să sperăm că dezvoltatorii versiunilor viitoare vor face corecțiile necesare și vor putea obține o mai mare consistență între componentele pachetului în raport cu diferite versiuni ale protocolului.

„ÎNOT CU PINGUINI”

Accesul la Lefty configurat mai sus, un sistem de fișiere exportabil NFS bazat pe Linux, depinde de sistemul de operare client. Stilul de instalare pentru majoritatea sistemelor de operare din familia UNIX este același cu cel al sistemelor Sun OS și BSD originale sau al celui mai nou Solaris. Deoarece acest articol este despre Linux și Solaris, să ne uităm la configurația clientului Solaris 2.6 din punctul de vedere al stabilirii unei conexiuni cu versiunea Linux a NFS pe care am descris-o mai sus.

Datorită caracteristicilor moștenite de la Solaris 2.6, acesta poate fi ușor configurat pentru a acționa ca client NFS. Aceasta necesită o singură comandă:

# mount -F nfs 192.168.1.254:/home /tmp/tmp2

Presupunând că comanda de montare anterioară a avut succes, atunci comanda de montare fără parametri va scoate următoarele:

# mount / on /dev/dsk/c0t0d0s0 read/write/setuid/ largefiles on Mon Sep 3 10:17:56 2001 ... ... /tmp/tmp2 on 192.168.1.254:/home read/ write/remote on Luni, 3 septembrie 23:19:25 2001

Să analizăm ieșirea tcpdump primită pe nodul Lefty după ce utilizatorul a lansat comanda ls /tmp/tmp2 pe nodul Sunny:

# tcpdump gazdă lefty și gazdă sunny -s512 06:07:43.490583 sunny.2191983953 > lefty.mcwrite.n.nfs: 128 getattr fh Necunoscut/1 (DF) 06:07:43.490678 lefty.nnny.mcwrite > 2191983953: raspuns ok 112 getattr DIR 40755 ids 0/0 sz 0x000001000 (DF) 06:07:43.491397 sunny.2191983954 > lefty.mcwrite.n.nfs: fh 13/20:00 43,491463 stângaci. mcwrite.n.nfs > sunny.2191983954: răspuns ok 120 acces c0001 (DF) 06:07:43.492296 sunny.2191983955 > lefty.mcwrite.n.nfs: 152 readdirplus/fh 07008/167008. 00000 (DF) 06 :07:43.492417 lefty.mcwrite.n.nfs > sunny.2191983955: răspuns ok 1000 readdirplus (DF)

Vedem că nodul Sunny solicită un handle de fișier (fh) pentru ls, la care nodul Lefty răspunde cu OK și returnează structura directorului. Sunny verifică apoi permisiunea de a accesa conținutul directorului (132 access fh) și primește un răspuns de permisiune de la Lefty. Nodul Sunny citește apoi întregul conținut al directorului folosind rutina readdirplus. Apelurile de procedură de la distanță sunt descrise în RFC 1813 și sunt enumerate la începutul acestui articol.

Deși secvența de comandă pentru accesarea sistemelor de fișiere de la distanță este foarte simplă, o serie de circumstanțe pot face ca sistemul să se monteze incorect. Înainte de a monta un director, punctul de montare trebuie să existe deja, altfel trebuie creat folosind comanda mkdir. De obicei, singura cauză a erorilor din partea clientului este lipsa unui director de montare local. Cele mai multe probleme asociate cu NFS se datorează unei nepotriviri între client și server sau configurării incorecte a serverului.

Cel mai simplu mod de a depana problemele pe un server este de la nodul pe care rulează serverul. Cu toate acestea, atunci când altcineva administrează serverul pentru tine, acest lucru nu este întotdeauna posibil. O modalitate rapidă de a vă asigura că serviciile de server corespunzătoare sunt configurate corect este să utilizați comanda rpcinfo cu opțiunea -p. Din gazda Solaris Sunny, puteți determina ce procese RPC sunt înregistrate pe gazda Linux:

# rpcinfo -p 192.168.1.254 program vers proto port service 100000 2 tcp 111 rpcbind 100000 2 udp 111 rpcbind 100024 1 udp 692 status 100024 1904 100024 100024 udp mount d /100005 3 tcp 1024 mountd 100003 2 udp 2049 nfs 100003 3 udp 2049 nfs 100021 1 udp 1026 nlockmgr 100021 3 udp 1026 nlockmgr 100021 4 udp 1026 nlockmgr #

Rețineți că aici sunt furnizate și informații despre versiune, ceea ce este destul de util atunci când sistemul necesită suport pentru diferite protocoale NFS. Dacă vreun serviciu nu rulează pe server, atunci această situație trebuie corectată. Dacă montarea eșuează, următoarea comandă rpcinfo -p vă va ajuta să determinați că serviciul mountd de pe server nu rulează:

# rpcinfo -p 192.168.1.254 program vers proto port service 100000 2 tcp 111 rpcbind ... ... 100021 4 udp 1026 nlockmgr #

Comanda rpcinfo este foarte utilă pentru a afla dacă un anumit proces de la distanță este activ. Parametrul -p este cel mai important dintre comutatoare. Pentru a vedea toate caracteristicile rpcinfo, consultați pagina de manual.

Un alt instrument util este comanda nfsstat. Cu ajutorul acestuia, puteți afla dacă clienții accesează efectiv sistemul de fișiere exportat și, de asemenea, puteți afișa informații statistice în conformitate cu versiunea protocolului.

În cele din urmă, un alt instrument destul de util pentru a determina cauzele defecțiunilor sistemului este tcpdump:

# tcpdump gazdă lefty și gazdă sunny -s512 tcpdump: ascultare pe eth0 06:29:51.773646 sunny.2191984020 > lefty.mcwrite.n.nfs: 140 căutare fh Necunoscut/1"test.c" (DF): 581:7293:58. lefty.mcwrite.n.nfs > sunny.2191984020: răspuns ok 116 căutare EROARE: Nu există un astfel de fișier sau director (DF) 06:29:51.774593 sunny.2191984021 > lefty.mcwrite.n.nfs: 128 Unknown getattr (fh28) DF) 06:29:51.774670 lefty.mcwrite.n.nfs > sunny.2191984021: răspuns ok 112 getattr DIR 40755 ids 0/0 sz 0x000001000 (DF) 06.775:2891 lefty > sunny. mcwrite.n.nfs : 140 căutare fh Unknown/1"test.c" (DF) 06:29:51.775357 lefty.mcwrite.n.nfs > sunny.2191984022: răspuns ok 116 căutare EROARE: Nu există un astfel de fișier sau director (DF) 06:29: 51.776029 sunny.2191984023 > lefty.mcwrite.n.nfs: 184 create fh Unknown/1 "test.c" (DF) 06:29:51.776169 lefty.mcwrite.n.nfs > sunny.21931984 ERROR create ok: ERROR Permisiune refuzată (DF)

Lista de mai sus, produsă prin executarea instrucțiunii touch test.c, arată următoarea secvență de acțiuni: mai întâi comanda touch încearcă să acceseze un fișier numit test.c, apoi caută un director cu același nume și după încercări nereușite încearcă să creeze un fișier test.c , care, de asemenea, nu duce la succes.

Dacă sistemul de fișiere este montat, cele mai frecvente erori sunt legate de permisiunile UNIX normale. Utilizarea unui uid sau NIS+ pe Sun vă ajută să evitați setarea globală a permisiunilor pentru toate sistemele de fișiere. Unii administratori practică directoare „deschise”, unde accesul de citire este dat „întregii lumi”. Cu toate acestea, acest lucru ar trebui evitat din motive de siguranță. Pe lângă preocupările de securitate, această abordare este încă o practică proastă, deoarece utilizatorii rareori creează date cu intenția de a le face lizibile de către toată lumea.

Accesul unui utilizator privilegiat (rădăcină) la sistemele de fișiere NFS montate este tratat diferit. Pentru a evita acordarea unui utilizator privilegiat acces nelimitat, cererile de la utilizatorul privilegiat sunt tratate ca și cum ar veni de la utilizatorul nimeni. Acest mecanism puternic limitează accesul utilizatorilor privilegiați la fișiere care pot fi citite și inscriptibile la nivel global.

VERSIUNEA SOLARIS SERVER NFS

Configurarea Solaris pentru a funcționa ca server NFS este la fel de ușoară ca și cu Linux. Cu toate acestea, comenzile și locațiile fișierelor sunt ușor diferite. Când Solaris pornește, la atingerea nivelului de rulare 3, serviciile NFS sunt pornite automat și toate sistemele de fișiere sunt exportate. Pentru a porni aceste procese manual, introduceți comanda:

#/usr/lib/nfs/mountd

Pentru a porni demonul de montare și serverul NFS, introduceți:

#/usr/lib/nfs/nfsd

Începând cu versiunea 2.6, Solaris nu mai utilizează un fișier de export pentru a specifica ce sisteme de fișiere să exporte. Fișierele sunt acum exportate folosind comanda share. Să presupunem că vrem să permitem gazdelor de la distanță să monteze /export/home. Pentru a face acest lucru, introduceți următoarea comandă:

Partajați -F nfs /export/home

Masuri de securitate

SECURITATE ÎN LINUX

Unele servicii de sistem NFS bazate pe Linux au un mecanism suplimentar pentru restricționarea accesului prin liste de control sau tabele. La nivel intern, acest mecanism este implementat folosind biblioteca tcp_wrapper, care folosește două fișiere pentru a genera liste de control acces: /etc/hosts.allow și /etc/hosts/deny. O privire de ansamblu cuprinzătoare a regulilor de lucru cu tcp_wrapper depășește scopul acestui articol, dar principiul de bază este următorul: comparația se face mai întâi cu etc/hosts.allow și apoi cu /etc/hosts. nega. Dacă regula nu este găsită, atunci serviciul de sistem solicitat nu este prezentat. Pentru a ocoli această ultimă cerință și pentru a oferi un nivel foarte ridicat de securitate, puteți adăuga următoarea intrare la sfârșitul /etc/hosts.deny:

TOȚI: Toate

După aceasta, puteți utiliza /etc/hosts.allow pentru a seta unul sau altul mod de operare. De exemplu, fișierul /etc/hosts. allow, pe care l-am folosit când am scris acest articol, conținea următoarele rânduri:

Lockd:192.168.1.0/255.255.255.0 mountd:192.168.1.0/255.255.255.0 portmap:192.168.1.0/255.255.255.0 rquotad:192.255.0525.255.0525. 1 68.1.0/255.255.255.0

Acest lucru permite un anumit tip de acces la gazde înainte de a acorda acces la nivel de aplicație. Pe Linux, accesul la nivel de aplicație este controlat de fișierul /etc/exports. Constă din intrări în următorul format:

Export director (spațiu) gazdă|rețea (opțiuni)

Un „director de export” este un director pentru care demonul nfsd îi este permis să proceseze cereri. Un „nod|rețea” este nodul sau rețeaua care are acces la sistemul de fișiere exportat, iar „opțiunile” definesc restricțiile pe care demonul nfsd le impune utilizării acestei resurse partajate - acces numai în citire sau mapare a ID-ului utilizatorului. .

Următorul exemplu oferă întregului domeniu mcwrite.net acces numai în citire la /home/mcwrite.net:

/home/mcwrite.net *.mcwrite.net(ro)

Mai multe exemple pot fi găsite în pagina de manual pentru exporturi.

SECURITATE NFS ÎN SOLARIS

În Solaris, capacitatea de a oferi acces la NFS este similară cu Linux, dar în acest caz, restricțiile sunt setate folosind anumiți parametri din comanda share cu comutatorul -o. Următorul exemplu arată cum să activați montarea numai în citire a /export/mcwrite.net pe orice gazdă din domeniul mcwrite.net:

#share -F nfs -o ro=.mcwrite.net/ export/ mcwrite.net

Pagina de manual pentru detaliile share_nfs care acordă acces folosind liste de control pe Solaris.

Resurse Internet

NFS și RPC nu sunt lipsite de găuri. În general, NFS nu ar trebui să fie folosit atunci când navigați pe internet. Nu puteți face găuri în firewall-uri pentru a permite orice fel de acces prin NFS. Urmăriți îndeaproape orice patch-uri RPC și NFS emergente, iar numeroase surse de informații de securitate vă pot ajuta. Cele mai populare două surse sunt Bugtraq și CERT:

Primul poate fi vizualizat regulat în căutarea informațiilor necesare sau prin abonarea la buletine informative periodice. Al doilea oferă, poate, informații nu la fel de prompte în comparație cu altele, dar într-un volum destul de complet și fără nuanța de senzaționalism caracteristică unor site-uri dedicate securității informaționale.