NFS: Hệ thống tệp mạng. Cài đặt máy chủ NFS và máy khách NFS. importfs: quản lý các thư mục đã xuất

Giải pháp thuận tiện để truy cập hệ thống tệp phân tán

Một hệ thống tập tin là một điều cần thiết. Chúng tôi làm việc trên các máy tính có khả năng truy cập vào máy in, máy ảnh, cơ sở dữ liệu, cảm biến từ xa, kính thiên văn, trình biên dịch và điện thoại di động. Những thiết bị này có rất ít điểm chung - đặc biệt, nhiều thiết bị trong số chúng đã trở thành hiện thực sau khi Internet trở nên phổ biến (ví dụ: máy ảnh điện tử và thiết bị di động hoạt động như máy tính nhỏ). Tuy nhiên, tất cả họ đều cần một hệ thống tệp để lưu trữ và truy cập thông tin một cách an toàn.

Nói chung, chúng ta không quan tâm đến cách dữ liệu, ứng dụng sử dụng dữ liệu và giao diện hiển thị dữ liệu đó được lưu trữ trong máy tính. Hầu hết người dùng muốn xem (và đúng như vậy) hệ thống tệp như một bức tường ngăn cách chúng với kim loại trần lưu trữ các bit và byte. Do đó, ngăn xếp giao thức kết nối các hệ thống tệp có xu hướng vẫn là hộp đen đối với hầu hết người dùng và thực tế là cả các lập trình viên. Tuy nhiên, cuối cùng, việc tổ chức tương tác mạng của tất cả các thiết bị này lại cho phép trao đổi dữ liệu giữa các hệ thống tệp.

Hệ thống tập tin mạng và các nghi thức thiêng liêng khác

Theo nhiều cách, trao đổi dữ liệu không gì khác hơn là sao chép thông tin qua khoảng cách xa. Các giao thức mạng không phải là phương tiện duy nhất có thể thực hiện được việc trao đổi dữ liệu phổ quát. Suy cho cùng, mọi hệ thống máy tính đều phải chuyển đổi các datagram thành thứ gì đó mà hệ điều hành ở đầu bên kia có thể hiểu được. TCP là một giao thức truyền tải rất hiệu quả, nhưng nó không được tối ưu hóa để truy cập tệp nhanh hoặc để điều khiển phần mềm ứng dụng từ xa.

Máy tính phân tán và mạng

Các giao thức mạng truyền thống có rất ít khả năng tổ chức các tính toán được phân bổ giữa các máy tính và đặc biệt là giữa các mạng. Chỉ những lập trình viên liều lĩnh mới dựa vào các giao thức truyền dữ liệu và cáp quang để kích hoạt tính toán song song. Thông thường, chúng tôi dựa vào mô hình nối tiếp, trong đó, khi kết nối được thiết lập, các giao thức lớp liên kết bắt đầu hoạt động, thực hiện quy trình xin chào khá phức tạp giữa các card mạng. Hệ thống tệp phân tán và tính toán song song không còn phụ thuộc vào IP hoặc Ethernet. Hiện tại, chúng ta có thể đơn giản bỏ qua chúng khi nói về hiệu suất. Tuy nhiên, vấn đề bảo vệ lại là một vấn đề khác.

Một phần của câu đố là cách truy cập các tập tin trên hệ thống máy tính. Ngày nay, đối với một hệ thống truy cập các tệp, việc các tệp cần thiết có sẵn trên một máy tính hay chúng nằm trên một số máy tính vì một lý do nào đó là điều không quan trọng. Hiện tại, ngữ nghĩa hệ thống tệp và cấu trúc dữ liệu hệ thống tệp là hai chủ đề rất khác nhau. Ngữ nghĩa của hệ thống tệp Gói 9 hoặc hệ thống tệp phân tán kiểu AFS (Hệ thống tệp Andrew) ẩn cách tổ chức tệp hoặc cách hệ thống tệp được ánh xạ tới phần cứng và mạng. NFS không nhất thiết phải ẩn cách các tệp và thư mục được lưu trữ trên các hệ thống tệp từ xa, nhưng nó cũng không tiết lộ cách lưu trữ các hệ thống tệp, thư mục và tệp thực tế bằng phần cứng.

NFS: Giải quyết vấn đề UNIX

Tuy nhiên, việc truy cập một hệ thống tệp phân tán chỉ cần một vài lệnh để cho phép người dùng gắn một thư mục nằm trên một máy tính khác trên mạng. Sun Microsystems đã gặp phải vấn đề này vài năm trước khi họ bắt đầu phân phối một thứ gọi là Cuộc gọi thủ tục từ xa(RPC) và NFS.

Vấn đề chính mà Sun đang cố gắng giải quyết là cách kết nối nhiều máy tính UNIX để tạo ra một môi trường làm việc phân tán duy nhất mà không cần phải viết lại ngữ nghĩa của hệ thống tệp UNIX và thêm quá nhiều cấu trúc dữ liệu dành riêng cho các hệ thống tệp phân tán - tính toàn vẹn của mỗi hệ thống phải được bảo toàn, đồng thời cho phép người dùng làm việc với danh mục trên một máy tính khác mà không gây ra sự chậm trễ hoặc hạn chế không mong muốn trong quy trình làm việc của họ.

Tất nhiên, NFS không chỉ cung cấp quyền truy cập vào các tệp văn bản. Bạn cũng có thể phân phối các ứng dụng "đang chạy" qua NFS. Các quy trình bảo mật được sử dụng để bảo vệ mạng khỏi sự can thiệp độc hại của các tệp thực thi. Nhưng chính xác thì điều này xảy ra như thế nào?

NFS là RPC

NFS được định nghĩa theo truyền thống là một ứng dụng RPC yêu cầu TCP cho máy chủ NFS và TCP hoặc giao thức thân thiện với mạng khác cho máy khách NFS. Lực lượng đặc nhiệm kỹ thuật Internet (IETF) đã xuất bản Yêu cầu nhận xét (RFC) cho RPC trong RFC 1832. Một tiêu chuẩn quan trọng khác đối với chức năng triển khai NFS mô tả các định dạng dữ liệu được NFS sử dụng; nó được xuất bản trong RFC 1831 dưới dạng tài liệu "Trình bày dữ liệu bên ngoài" (XDR).

Các RFC khác xử lý các thuật toán bảo mật và mã hóa được sử dụng để trao đổi thông tin xác thực trong các phiên NFS, nhưng trước tiên chúng tôi sẽ đề cập đến các cơ chế cơ bản. Một trong những giao thức mà chúng tôi quan tâm là Giao thức gắn kết, được mô tả trong Phụ lục 1 của RFC 1813.

RFC này mô tả những giao thức nào cho phép NFS hoạt động, nhưng nó không mô tả cách thức hoạt động của NFS trong Hiện nay. Bạn đã học được một điều quan trọng, cụ thể là các giao thức NFS được ghi lại dưới dạng tiêu chuẩn IETF. Sau khi phiên bản mới nhất của NFS bị đình trệ ở mức 3, các giao thức RPC đã không phát triển vượt ra ngoài giai đoạn thông tin RFC và phần lớn được coi là nằm trong lợi ích của nhóm làm việc kỹ thuật khổng lồ (được cho là) ​​của Sun Microsystems và các phiên bản độc quyền của UNIX. Từ năm 1985, Sun đã phát hành một số phiên bản NFS, phiên bản này có trước hầu hết các hệ thống tệp hiện đại vài năm. Sun Microsystems đã chuyển quyền kiểm soát NFS cho IETF vào năm 1998 và hầu hết công việc trên NSF phiên bản 4 (NFSv4) được thực hiện dưới sự bảo trợ của IETF.

Nghĩa là, khi bạn làm việc với RPC và NFS ngày nay, bạn đang làm việc với một phiên bản phản ánh lợi ích của các công ty và nhóm bên ngoài Sun. Tuy nhiên, nhiều kỹ sư của Sun vẫn quan tâm sâu sắc đến việc phát triển NFS.

NFS phiên bản 3

NFS hiện thân là phiên bản 3 (NFSv3) không giữ lại trạng thái của nó (không có trạng thái), nhưng NFSv4 thì có. Biểu hiện cơ bản này hầu như không làm ai ngạc nhiên ngày nay, mặc dù thế giới TCP/IP mà NFS được xây dựng trên đó phần lớn là không trạng thái - một thực tế giúp các công ty phần mềm bảo mật và phân tích lưu lượng cảm thấy khá tốt.

Giao thức NFSv3 phải dựa vào một số giao thức bổ sung để gắn kết các thư mục trên các máy tính từ xa một cách trong suốt, để không phụ thuộc vào cơ chế hệ thống tệp được sử dụng trên chúng. NFS không phải lúc nào cũng thành công trong việc này. Một ví dụ điển hình là giao thức Mount gọi ID tệp ban đầu, trong khi giao thức Network Lock Manager đảm nhiệm việc khóa tệp. Cả hai hoạt động đều cần trạng thái hiện tại mà NFSv3 không cung cấp. Do đó, có những tương tác phức tạp giữa các lớp giao thức không phản ánh các cơ chế luồng dữ liệu tương tự. Ngoài ra, khi bạn thêm một thực tế là việc tạo tệp và thư mục trong Microsoft® Windows® được thực hiện hoàn toàn khác so với trong UNIX, tình hình càng trở nên phức tạp hơn.

Giao thức NFSv3 được yêu cầu sử dụng các cổng để cung cấp một số giao thức hỗ trợ của nó; điều này tạo ra một bức tranh khá phức tạp về các cổng, cấp độ giao thức và các vấn đề bảo mật đi kèm với tất cả. Ngày nay, mô hình hoạt động này đã bị loại bỏ và tất cả các hoạt động trước đây được thực hiện bằng cách triển khai giao thức phụ trợ thông qua các cổng riêng lẻ đều được quản lý bởi giao thức NFSv4 thông qua một cổng phổ biến duy nhất.

Giao thức NFSv3 cũng sẵn sàng hoạt động với các hệ thống tệp nhận biết Unicode, một lợi thế vẫn còn mang tính lý thuyết cho đến cuối những năm 1990. Nó rất phù hợp với ngữ nghĩa của hệ thống tệp UNIX và là lý do tạo ra các triển khai hệ thống tệp cạnh tranh như AFS và Samba. Không có gì đáng ngạc nhiên khi khả năng hỗ trợ của Windows rất kém, nhưng các máy chủ tệp Samba đã cung cấp tính năng chia sẻ tệp cho các hệ thống UNIX và Windows.

NFS phiên bản 4

Giao thức NFSv4, như chúng tôi đã lưu ý, là một giao thức có trạng thái. Một số thay đổi căn bản đã làm cho hành vi này có thể thực hiện được. Chúng tôi đã đề cập rằng các giao thức phụ trợ phải được gọi vì các quy trình cấp người dùng đã bị loại bỏ. Thay vào đó, tất cả các thao tác mở tệp và khá nhiều lệnh gọi RPC đã được triển khai dưới dạng các thao tác hệ thống tệp cấp hạt nhân.

Tất cả các phiên bản NFS đã xác định từng đơn vị công việc theo hoạt động của máy khách và máy chủ RPC. Mỗi yêu cầu NFSv3 yêu cầu một số lượng khá đáng kể các lệnh gọi RPC và các lệnh gọi cổng mở để tạo ra kết quả. Phiên bản 4 đã đơn giản hóa điều này bằng cách giới thiệu khái niệm về cái gọi là hỗn hợp(phức hợp) hoạt động, bao gồm một số lượng lớn các hoạt động trên các đối tượng hệ thống tệp. Tất nhiên, tác động trực tiếp là có ít cuộc gọi RPC hơn đáng kể và ít dữ liệu cần truyền qua mạng hơn, mặc dù về cơ bản mỗi cuộc gọi RPC mang nhiều dữ liệu hơn, thực hiện nhiều công việc hơn đáng kể. Người ta ước tính rằng các cuộc gọi RPC trong NFSv3 yêu cầu số lượng tương tác máy khách-máy chủ gấp năm lần so với các quy trình RPC phức hợp.

RPC thực sự không còn có tầm quan trọng đó nữa và về cơ bản đóng vai trò như một trình bao bọc cho một số hoạt động được gói gọn trong ngăn xếp NFSv4. Thay đổi này cũng làm cho ngăn xếp giao thức ít phụ thuộc hơn nhiều vào ngữ nghĩa của hệ thống tệp được sử dụng. Nhưng điều này không có nghĩa là các hoạt động hệ thống tệp của các hệ điều hành khác bị bỏ qua: ví dụ: việc chia sẻ tài nguyên Windows yêu cầu tính bền vững trạng thái giữa các lệnh gọi để mở một tài nguyên. Tính bền vững trạng thái không chỉ giúp phân tích lưu lượng dễ dàng hơn mà khi được triển khai ở cấp độ ngữ nghĩa của hệ thống tệp, nó giúp kiểm soát các hoạt động của hệ thống tệp dễ dàng hơn nhiều. Lệnh gọi mở tài nguyên trạng thái cho phép máy khách lưu vào bộ nhớ đệm dữ liệu và trạng thái của tệp - điều này lẽ ra sẽ xảy ra trên máy chủ. Trong thực tế (nơi các máy khách Windows có mặt ở khắp mọi nơi), việc làm cho máy chủ NFS hoạt động minh bạch và thống nhất với các tài nguyên được chia sẻ của Windows rất đáng để bạn dành thời gian thiết lập cấu hình NFS.

Sử dụng NFS

Việc cài đặt NFS nhìn chung cũng tương tự như cài đặt Samba. Về phía máy chủ, bạn xác định hệ thống tập tin hoặc thư mục để xuất hoặc chia sẻ; phía khách hàng gắn kết các thư mục này. Khi máy khách từ xa gắn thư mục NFS, thư mục đó sẽ có thể truy cập được giống như bất kỳ thư mục nào khác trên hệ thống tệp cục bộ. Thiết lập NFS trên máy chủ là một quá trình đơn giản. Tối thiểu, bạn nên tạo hoặc chỉnh sửa tệp /etc/exports và khởi động trình nền NFS. Để định cấu hình dịch vụ NFS an toàn hơn, bạn cũng nên chỉnh sửa các tệp /etc/hosts.allow và /etc/hosts.deny. Máy khách NFS chỉ yêu cầu lệnh mount. Thông tin và tùy chọn bổ sung được mô tả trong tài liệu trực tuyến Linux® (trang hướng dẫn).

máy chủ NFS

Các mục trong tệp /etc/exports có định dạng rõ ràng. Để chia sẻ hệ thống tệp, hãy chỉnh sửa tệp /etc/exports và mô tả hệ thống tệp (có tham số) theo định dạng chung sau:

Thông số chung

Có một số tùy chọn chung có sẵn để định cấu hình triển khai NFS của bạn. Bao gồm các:

• chắc chắn: Tùy chọn này (mặc định) sử dụng cổng TCP/IP có sẵn nhỏ hơn 1024 cho kết nối NFS. Việc chỉ định không an toàn sẽ vô hiệu hóa điều này.
• ồ: Cài đặt này cho phép máy khách NFS truy cập đọc/ghi. Quyền truy cập mặc định là chỉ đọc.
• không đồng bộ: Tùy chọn này có thể cải thiện hiệu suất nhưng cũng có thể gây mất dữ liệu nếu bạn khởi động lại máy chủ NFS mà không dừng trình nền NFS trước. Cài đặt mặc định là đồng bộ hóa.
• không_wdelay: Tùy chọn này vô hiệu hóa độ trễ ghi. Nếu chế độ không đồng bộ được đặt, NFS sẽ bỏ qua cài đặt này.
• không ẩn: Nếu bạn gắn một thư mục lên trên một thư mục khác, thư mục cũ thường bị ẩn hoặc trống. Để ngăn chặn hành vi này, hãy bật tham số ẩn.
• no_subtree_check: Tùy chọn này vô hiệu hóa tính năng giám sát thư mục con được thực hiện đối với một số kiểm tra bảo mật mà bạn có thể không muốn bỏ qua. Cài đặt mặc định là cho phép kiểm soát thư mục con.
• không_auth_nlm: Tham số này, khi được đặt thành insecure_locks, sẽ hướng dẫn trình nền NFS không thực hiện xác thực trong các yêu cầu khóa. Cài đặt mặc định là auth_nlm hoặc safe_locks.
• mp (điểm gắn kết=đường dẫn): Khi tùy chọn này được khai báo rõ ràng, NSF yêu cầu gắn kết thư mục đã xuất.
• fsid=num: Tùy chọn này thường được sử dụng khi thiết lập hệ thống khôi phục sau lỗi NFS. Nếu bạn muốn triển khai khôi phục sự cố cho NFS, vui lòng tham khảo tài liệu NFS.

Ánh xạ người dùng

Thông qua ánh xạ người dùng NFS, bạn có thể xác định người dùng giả hoặc người dùng thực và nhóm với người dùng đang chạy ổ đĩa NFS. Người dùng NFS có các quyền của người dùng hoặc nhóm mà ánh xạ cho phép. Việc sử dụng một người dùng và nhóm duy nhất (chung) cho các khối NFS sẽ mang lại mức độ bảo mật và tính linh hoạt mà không cần nỗ lực quản trị đáng kể.

Khi sử dụng các tệp trên hệ thống tệp gắn trên NFS, quyền truy cập của người dùng thường bị hạn chế. Điều này có nghĩa là người dùng truy cập các tệp với tư cách là người dùng ẩn danh có quyền truy cập chỉ đọc vào các tệp đó. Hành vi này đặc biệt quan trọng đối với người dùng root. Tuy nhiên, có những trường hợp bạn muốn người dùng truy cập các tệp trên hệ thống từ xa bằng quyền root hoặc một số người dùng cụ thể khác. NFS cho phép bạn chỉ định một người dùng (theo số nhận dạng người dùng (UID) và số nhận dạng nhóm (GID)) để truy cập các tệp từ xa và bạn có thể ngăn chặn hành vi "ngăn chặn" mặc định thông thường.

Các tùy chọn hiển thị của người dùng bao gồm:

• root_squash: Tùy chọn này ngăn người dùng root truy cập vào ổ đĩa NFS được gắn.
• no_root_squash: Tùy chọn này cho phép người dùng root truy cập vào ổ đĩa NFS được gắn.
• all_squash: Tùy chọn này, hữu ích cho các khối NFS công khai, loại bỏ tất cả UID và GID và chỉ sử dụng tài khoản người dùng ẩn danh. Cài đặt mặc định là no_all_squash.
• anonuid và anongid: Các cài đặt này thay đổi UID và GID của người dùng ẩn danh thành tài khoản được chỉ định.

Liệt kê 1 cho thấy các ví dụ về các mục nhập /etc/exports.

Liệt kê 1. Ví dụ về các mục /etc/exports

Mục đầu tiên xuất thư mục /opt/files cho tất cả các máy chủ trên mạng 192.168.0. Mục sau xuất /opt/files cho một máy chủ: 192.168.0.120. Mục thứ ba chỉ định máy chủ 192.168.0.125 và cấp quyền truy cập đọc/ghi vào các tệp có quyền người dùng có người dùng id=210 và nhóm id=100 . Mục cuối cùng được sử dụng cho thư mục chung và cho phép truy cập chỉ đọc và chỉ dưới tài khoản người dùng ẩn danh.

Máy khách NFS

Cảnh báo

Khi bạn sử dụng NFS để gắn hệ thống tệp từ xa, nó cũng sẽ là một phần của mọi hoạt động sao lưu hệ thống dùng chung mà bạn thực hiện trên máy khách. Hành vi này có thể gây ra những kết quả có hại nếu bạn không loại trừ các thư mục được gắn khi tạo bản sao lưu.

Để sử dụng NFS làm máy khách, rpc.statd và portmap phải chạy trên máy khách. Bạn có thể chạy ps -ef để kiểm tra sự hiện diện của hai daemon này. Nếu chúng hoạt động (nếu cần), bạn có thể gắn thư mục đã xuất của máy chủ bằng lệnh chung sau:

Nói chung, bạn nên chạy bằng root khi gắn hệ thống tập tin. Trên máy tính từ xa, bạn có thể sử dụng lệnh sau (giả sử máy chủ NFS có địa chỉ IP là 192.168.0.100):

Bản phân phối hệ thống của bạn có thể yêu cầu bạn chỉ định loại hệ thống tệp khi gắn nó. Nếu vậy, hãy sử dụng lệnh:

Thư mục từ xa sẽ được gắn kết mà không gặp vấn đề gì nếu bạn đã cấu hình máy chủ đúng cách. Bây giờ hãy chạy lệnh cd để thay đổi thư mục /mnt, sau đó chạy lệnh ls để xem các tệp. Để gắn kết này vĩnh viễn, bạn phải chỉnh sửa tệp /etc/fstab và tạo một mục tương tự như sau:

Ghi chú:Để biết thêm thông tin về các mục /etc/fstab, hãy xem trợ giúp trực tuyến của fstab.

Chỉ trích NFS

Sự phê bình dẫn đến sự cải thiện

Những lời chỉ trích liên quan đến tính bảo mật của NFS là nguyên nhân dẫn đến nhiều cải tiến trong NSFv4. Những người tạo ra phiên bản mới đã thực hiện các biện pháp thực tế để tăng cường tính bảo mật cho các tương tác giữa máy khách và máy chủ. Trên thực tế, họ đã quyết định triển khai một mô hình hệ thống an ninh hoàn toàn mới.

Để hiểu mô hình hệ thống bảo mật, bạn nên làm quen với giao diện lập trình ứng dụng Dịch vụ bảo mật chung (GSS-API) phiên bản 2, bản sửa đổi 1. GSS-API được mô tả đầy đủ trong RFC 2743, thật không may, đây lại là một trong những tài liệu RFC khó hiểu nhất.

Từ kinh nghiệm của chúng tôi với NFSv4, chúng tôi biết rằng việc tạo một hệ thống tệp mạng độc lập với hệ điều hành không phải là điều dễ dàng. Nhưng việc làm cho tất cả các lĩnh vực của hệ thống bảo mật trở nên độc lập với hệ điều hành và các giao thức mạng thậm chí còn khó khăn hơn. Chúng ta cần cả hai, vì NFS phải có khả năng xử lý một số lượng khá lớn các hoạt động của người dùng và làm như vậy mà không cần xử lý các chi tiết cụ thể về giao tiếp giao thức mạng.

Các kết nối giữa máy khách và máy chủ NFS được bảo vệ bằng hệ thống bảo mật được gọi là (khá hời hợt) mạnh RPC. NFSv4 sử dụng tiêu chuẩn Cuộc gọi thủ tục từ xa điện toán mạng mở (ONCRPC) được xác định trong RFC 1831. Hệ thống bảo mật phải được tăng cường, do đó, thay vì xác thực đơn giản (được gọi là AUTH_SYS) là một phần bắt buộc của giao thức NFSv4, một loại hệ thống bảo mật dựa trên GSS-API được gọi là RPCSEC_GSS. Các cơ chế bảo mật quan trọng nhất có sẵn trong NFSv4 bao gồm Kerberos phiên bản 5 và LIPKEY.

Trong khi Kerberos có những hạn chế khi sử dụng qua Internet, LIPKEY có lợi thế lớn là hoạt động giống như Lớp cổng bảo mật (SSL), nó nhắc người dùng nhập tên người dùng và mật khẩu của họ đồng thời tránh sự phụ thuộc của TCP vào SSL, một sự phụ thuộc mà NFSv4 không chia sẻ. Bạn có thể định cấu hình NFS để triển khai các biến thể bảo mật nếu không cần RPCSEC_GSS. Các phiên bản trước của NFS không có khả năng này và do đó không thể cung cấp khả năng bảo mật mạnh mẽ, tính toàn vẹn dữ liệu, yêu cầu xác thực hoặc loại mã hóa.

Giao thức NFSv3 đã nhận được nhiều lời chỉ trích về bảo mật. Nếu máy chủ NFSv3 chạy trên TCP thì hoàn toàn có thể chạy mạng NFSv3 qua Internet. Thật không may, nó cũng yêu cầu mở nhiều cổng, dẫn đến một số lỗ hổng bảo mật được công bố rộng rãi. Bằng cách đặt cổng 2049 bắt buộc đối với NFS, người ta có thể sử dụng NFSv4 với tường lửa mà không cần phải chú ý quá nhiều đến cổng mà các giao thức khác, chẳng hạn như giao thức Mount, đang nghe. Do đó, việc loại bỏ giao thức Mount có một số tác động tích cực:

• Yêu cầu cơ chế xác thực mạnh mẽ: NFSv4 bắt buộc phải có cơ chế xác thực mạnh mẽ. Các biến thể của Kerberos khá phổ biến. Cơ chế khóa công khai cơ sở hạ tầng thấp hơn (LIPKEY) cũng phải được hỗ trợ. NFSv3 chưa bao giờ hỗ trợ bất cứ điều gì ngoài mã hóa UNIX tiêu chuẩn để xác thực truy cập - điều này tạo ra các vấn đề bảo mật lớn trong các mạng lớn.
• Lược đồ danh sách kiểm soát truy cập (ACL) kiểu Microsoft Windows NT bắt buộc: Mặc dù NFSv3 cho phép mã hóa mạnh để xác thực nhưng nó không sử dụng sơ đồ truy cập ACL kiểu Windows NT. ACL kiểu Giao diện Hệ điều hành Di động (POSIX) đôi khi được triển khai nhưng chưa bao giờ được chấp nhận rộng rãi. NFSv4 bắt buộc phải có các lược đồ ACL kiểu Windows NT.
• Cơ chế hợp đồng và phong cách xác thực: NFSv4 đã giới thiệu khả năng đàm phán các cơ chế và kiểu xác thực. Trong NSFv3, không thể làm gì hơn ngoài việc xác định thủ công kiểu mã hóa nào sẽ sử dụng. Sau đó, quản trị viên hệ thống sẽ thương lượng các giao thức mã hóa và bảo mật.

NFS có còn vô địch không?

NFSv4 thay thế NFSv3 trên hầu hết các hệ thống UNIX và Linux. Là một hệ thống tệp mạng, NSFv4 có ít đối thủ cạnh tranh. Một đối thủ cạnh tranh khả thi sẽ là Common Internet File System (CIFS)/Server Message Block (SMB), vì nó có mặt trong tất cả các phiên bản của Windows và (hiện tại) Linux. AFS chưa bao giờ có nhiều ảnh hưởng thương mại; nó nhấn mạnh các yếu tố của hệ thống tệp phân tán tạo điều kiện thuận lợi cho việc di chuyển và sao chép dữ liệu.

Các phiên bản NFS sẵn sàng cho Linux được phát hành sau khi kernel đạt phiên bản 2.2, nhưng một trong những lỗi phổ biến hơn của các phiên bản kernel Linux là Linux áp dụng NFSv3 khá muộn. Trên thực tế, phải rất lâu nữa Linux mới hỗ trợ đầy đủ NSFv3. Với sự ra đời của NSFv4, khuyết điểm này nhanh chóng được loại bỏ và hỗ trợ đầy đủ cho NSFv4 không chỉ được triển khai trong Solaris, AIX và FreeBSD.

NFS hiện được coi là một công nghệ trưởng thành, có ưu điểm là an toàn và tiện lợi - hầu hết người dùng đều thấy thuận tiện khi sử dụng một lần đăng nhập an toàn duy nhất để truy cập mạng và sử dụng các khả năng của nó, ngay cả khi các tệp và ứng dụng được đặt trên các hệ thống khác nhau . Mặc dù điều này có vẻ bất lợi so với các hệ thống tệp phân tán vốn ẩn cấu trúc hệ thống với người dùng, nhưng hãy nhớ rằng nhiều ứng dụng sử dụng các tệp nằm trên các hệ điều hành khác nhau và do đó trên các máy tính khác nhau. NFS giúp bạn dễ dàng làm việc với các hệ điều hành khác nhau mà không phải lo lắng quá nhiều về ngữ nghĩa và đặc tính hiệu suất của hệ thống tệp.

Để phân phối tệp trong mạng cục bộ, có thể phân biệt các công nghệ sau (các hệ thống dựa trên Linux được xem xét):

• Hệ thống tệp mạng (NFS) - giao thức truy cập mạng cho hệ thống tệp;
• Các tập tin được truyền qua giao thức Shell (FISH) là một giao thức mạng sử dụng hoặc RSHđể truyền tập tin giữa các máy tính;
• Secure SHell FileSystem (SSHFS) - ứng dụng khách hệ thống tệp để gắn thiết bị đĩa trên hệ thống từ xa, được sử dụng để tương tác với hệ thống từ xa SFTP;
• Samba là gói phần mềm cho phép bạn truy cập ổ đĩa mạng và máy in trên nhiều hệ điều hành khác nhau thông qua giao thức SMB/CIFS;

Trong ghi chú này chúng ta sẽ nói về NFS.

NFS (Hệ thống tệp mạng) hữu ích khi bạn cần phân phối tệp/thư mục cho mọi người trên mạng. Truy cập tính minh bạch với NFS cho phép khách hàng gắn hệ thống tệp từ xa dưới dạng thư mục cục bộ và hệ thống tệp có thể thuộc nhiều loại khác nhau. Điều này có nghĩa là bất kỳ ứng dụng khách nào có thể hoạt động với tệp cục bộ cũng có thể dễ dàng hoạt động với tệp được kết nối qua NFS, mà không có bất kỳ sửa đổi nào đối với chính chương trình.

Đến lợi ích NFS có thể được quy:

Hiện đang có sẵn NFS v4.1, đã giới thiệu một tính năng mới pNFS cho phép bạn song song hóa việc thực hiện chia sẻ tập tin. Ngoài ra còn có phần mở rộng cho NFS 2 và 3 - WebNFS, cho phép tích hợp dễ dàng hơn vào trình duyệt web và khả năng hoạt động thông qua tường lửa.

Kế hoạch làm việc NFS giao thức.

Cài đặt và cấu hình máy chủ NFS trên Linux

Hãy kiểm tra xem hệ thống có hỗ trợ NFS không

Cat /proc/filesystems | grep nfs

Dưới Arch Linux máy chủ và máy khách nằm trong cùng một gói

Yaourt -S nfs-utils

Để cài đặt máy chủ ( nfs-kernel-server) và khách hàng ( nfs-chung) dưới Ubuntu gói cần thiết

Sudo apt-get cài đặt nfs-kernel-server nfs-common portmap

Hơn nữa trong lưu ý này, IP sẽ được sử dụng cho máy chủ 192.168.1.100 . Để luôn gán cùng một IP cho máy chủ, cần phải chỉ định trong máy chủ DHCP (thường là bộ định tuyến) việc phân phối một IP cụ thể đến một địa chỉ MAC cụ thể. Hoặc nâng cao máy chủ DNS cục bộ của bạn. Ví dụ hoặc.

Địa chỉ MAC có thể được tìm thấy bằng cách sử dụng ifconfig (field ether V. Arch Linux).

NFSv4 giả định rằng có một thư mục gốc, bên trong đã chứa các tệp để phân phối. Ví dụ, /srv/nfs- nguồn gốc, /srv/nfs/âm thanh- thư mục để phân phối âm nhạc. Nếu bạn không làm theo hướng dẫn mới này trong phiên bản 4 , thì bạn có thể gặp lỗi khi kết nối bằng máy khách:

Mount.nfs: quyền truy cập bị máy chủ từ chối trong khi cài đặt 192.168.1.100:/home/proft/torrents

Nếu bạn vẫn muốn sử dụng phương pháp trên máy chủ mà không có thư mục gốc cho NFS, thì khi gắn bởi máy khách, bạn phải chỉ định rõ ràng phiên bản 3

# cho lệnh mount mount -o "vers=3" 192.168.1.100:/home/proft/torrents /home/proft/nfs/torrents # for fstab 192.168.1.100:/home/proft/torrents /home/proft/nfs / torrent nfs soft,nfsvers=3 0 0

tôi sẽ sử dụng NFSv4 với thư mục gốc trong /srv/nfs/ và gắn các thư mục con bằng cách sử dụng mount --bind .

Giả sử chúng ta muốn

• thư mục phân phối ~/torrent Với rw truy cập cho mọi người trong mạng cục bộ;
• thư mục phân phối ~/ảnh Với ro quyền truy cập cho máy chủ có IP 192.168.1.101 ;

Đầu tiên, hãy tạo một thư mục gốc và các thư mục con cần thiết.

Sudo mkdir -p /srv/nfs/(torrents,photos)

Gắn kết các thư mục hiện có torrent, hình ảnh V. /srv/nfs.

# sudo vim /etc/fstab /home/proft/torrents /srv/nfs/torrents không liên kết 0 0 /home/proft/photos /srv/nfs/photos không liên kết 0 0

Hãy chỉnh sửa /etc/xuất khẩu, mô tả tất cả các thư mục được chia sẻ

# sudo vim /etc/exports # định dạng tệp: thư mục allow-hosts(options) /srv/nfs/torrents 192.168.1.1/24(rw,async) /srv/nfs/photos 192.168.1.101(ro,async)

Lưu ý rằng không có khoảng cách giữa máy chủ được phép Và (tùy chọn). Sự hiện diện của một không gian đưa ra một cách giải thích khác về các quy tắc.

Tùy chọn có sẵn:

• ro (rw) - cho phép truy cập chỉ đọc (đọc/ghi);
• subtree_check (no_subtree_check) - trong một số trường hợp, không cần xuất toàn bộ phần mà chỉ một phần của phần đó. Trong trường hợp này, máy chủ NFS phải thực hiện kiểm tra bổ sung đối với các yêu cầu của máy khách để đảm bảo rằng chúng chỉ đang cố gắng truy cập các tệp nằm trong thư mục con thích hợp. Điều khiển cây con này ( kiểm tra cây con) phần nào làm chậm quá trình tương tác với khách hàng, tuy nhiên nếu bạn từ chối có thể gây ra vấn đề về bảo mật hệ thống. Bạn có thể hủy bỏ quyền kiểm soát cây con bằng cách sử dụng tùy chọn no_subtree_check. Lựa chọn cây con_check, bao gồm quyền kiểm soát như vậy, được giả định theo mặc định. Việc kiểm tra cây con có thể được bỏ qua nếu thư mục được xuất giống với phân vùng đĩa;
• đồng bộ hóa (async) - chỉ định rằng máy chủ chỉ phản hồi các yêu cầu sau khi những thay đổi được thực hiện bởi các yêu cầu đó đã được ghi vào đĩa. Lựa chọn không đồng bộ yêu cầu máy chủ không đợi thông tin được ghi vào đĩa, điều này cải thiện hiệu suất nhưng làm giảm độ tin cậy, bởi vì trong trường hợp có lỗi kết nối hoặc lỗi thiết bị, có thể xảy ra mất dữ liệu;
• noaccess - từ chối quyền truy cập vào thư mục được chỉ định. Nó có thể hữu ích nếu trước đây bạn đặt quyền truy cập cho tất cả người dùng mạng vào một thư mục nhất định và bây giờ bạn muốn hạn chế quyền truy cập vào thư mục con chỉ cho một số người dùng;
• no_root_squash – người dùng mặc định nguồn gốc trên máy khách sẽ không có quyền tương tự đối với thư mục trên máy chủ. Tùy chọn này loại bỏ hạn chế này;
• không ẩn- NFS không tự động hiển thị các tài nguyên không cục bộ (ví dụ: được gắn bằng mount --bind), tùy chọn này cho phép hiển thị các tài nguyên đó;
• không an toàn - sử dụng các cổng không có đặc quyền (> 1024);

Khởi động máy chủ NFS

# trong Archlinux sudo systemctl start rpc-idmapd.service rpc-mountd.service # trong ubuntu sudo /etc/init.d/nfs-kernel-server start

Trong tương lai, khi thay đổi tệp cấu hình, chỉ cần đọc lại bằng lệnh:

Xuất Sudo -rav

Lệnh rpcinfo -p | grep nfs cho phép bạn kiểm tra xem máy chủ có khởi động thành công hay không.

Máy khách cho Linux

Cài đặt

# trong Archlinux yaourt -S nfs-utils # trong ubuntu sudo apt-get install portmap nfs-common

Hãy tạo thư mục để gắn tài nguyên mạng torrent Và những bức ảnh

Mkdir -p ~/nfs/(torrent,ảnh)

Để gắn thủ công, chúng tôi sẽ làm

Sudo mount -t nfs -o rw,soft 192.168.1.100:/srv/nfs/torrents /home/proft/nfs/torrents sudo mount -t nfs -o rw,soft 192.168.1.100:/srv/nfs/photos /home /proft/nfs/ảnh

Lựa chọn mềm mại chỉ định âm thầm hủy bỏ các nỗ lực kết nối chia sẻ sau một khoảng thời gian nhất định (thời gian được chỉ định bởi tùy chọn truyền lại). Thêm chi tiết trong người đàn ông nfs.

Phương pháp này không thuận tiện lắm vì mỗi lần khởi động lại, bạn sẽ phải thực hiện các lệnh này. Hãy thực hiện cài đặt tự động.

Để gắn kết tự động, hãy chỉnh sửa tập tin /etc/fstab

# sudo vim /etc/fstab 192.168.1.100:/srv/nfs/torrents /home/proft/net/torrents nfs rw,soft 0 0 192.168.1.100:/srv/nfs/photos /home/proft/net/photos nfs ro,mềm 0 0

Nhưng phương pháp này cũng có nhược điểm, chẳng hạn như nếu máy chủ không khả dụng, quá trình tải của máy khách có thể bị treo do cố gắng kết nối với máy chủ NFS. Để khắc phục điều này, hãy xem bên dưới về AutoFS.

AutoFS - tự động kết nối tài nguyên mạng

Có thể gắn kết một tài nguyên từ xa bằng cách sử dụng AutoFS khi truy cập lần đầu và tự động ngắt kết nối khi không có hoạt động.

AutoFS sử dụng các mẫu nằm trong /etc/autofs. Mẫu chính được gọi là auto.master, nó có thể trỏ đến một hoặc nhiều mẫu khác cho các loại phương tiện cụ thể.

Cài đặt

# trong Archlinux yaourt -S autofs # trong ubuntu sudo apt-get install autofs

Có một số cách để chỉ định các phương thức automount. Tôi sử dụng cái này: trong /home/proft/nfs Một thư mục được tạo tự động với tên của máy chủ NFS, trong đó các thư mục có thể truy cập trên máy chủ sẽ được tạo tự động.

# sudo vim /etc/autofs/auto.master /home/proft/nfs /etc/autofs/auto.nfs --timeout=60

Tham số bổ sung hết giờđặt số giây sau đó thiết bị sẽ được ngắt kết nối. Tham số bóng ma chỉ định rằng các tài nguyên được định cấu hình sẽ luôn được hiển thị và không chỉ khi chúng có sẵn (tùy chọn này được bật theo mặc định trong Tự động 5)

Chúng tôi sẽ mô tả ở /etc/autofs/auto.nfs Máy chủ NFS và thư mục gốc.

# sudo vim /etc/autofs/auto.nfs nfsserver 192.168.1.100:/srv/nfs

Bây giờ trong cuộc gọi đầu tiên /home/proft/nfs/torrents Tài nguyên NFS sẽ được tự động gắn kết.

Hãy khởi động lại dịch vụ autofs:

# trong Archlinux sudo systemctl khởi động lại autofs # trong Ubuntu sudo /etc/init.d/autofs khởi động lại

Bạn cũng có thể chỉ định thời gian chờ đợi để tài nguyên NFS có sẵn. Để làm điều này bạn cần thay đổi các giá trị MOUNT_WAIT.

# trong Archlinux # sudo vim /etc/conf.d/autofs MOUNT_WAIT=5 # trong ubuntu sudo /etc/default/autofs MOUNT_WAIT=5

Buộc sử dụng NFS v3

Trong vài trường hợp NFSv4 có thể hoạt động chậm. Để khắc phục điều này, bạn có thể buộc nó sử dụng phiên bản thứ ba.

Trong chương này, chúng ta sẽ xem xét Hệ thống Tệp Mạng (NFS), một ứng dụng phổ biến cung cấp cho các ứng dụng khách quyền truy cập minh bạch vào các tệp. Nền tảng của NFS là Sun RPC: Cuộc gọi thủ tục từ xa mà chúng tôi sẽ đề cập trước tiên.

Chương trình máy khách không yêu cầu các công cụ đặc biệt để tận dụng NFS. Hạt nhân phát hiện rằng tệp nằm trên máy chủ NFS và tự động tạo lệnh gọi RPC để truy cập tệp.

Chúng ta sẽ không xem xét chi tiết cách triển khai truy cập tệp mà sẽ xem xét cách sử dụng các giao thức Internet, đặc biệt là UDP.

Trong hầu hết các trường hợp, các vấn đề về lập trình mạng được giải quyết bằng cách viết các chương trình ứng dụng gọi các chức năng do hệ thống cung cấp để thực hiện các hoạt động mạng cụ thể. Ví dụ: một chức năng thực hiện mở TCP hoạt động, chức năng khác thực hiện mở TCP thụ động, chức năng thứ ba gửi dữ liệu qua kết nối TCP, chức năng thứ tư đặt các tùy chọn giao thức cụ thể (cho phép bộ hẹn giờ TCP "sống sót"), v.v. Trong phần Giao diện lập trình ứng dụng của Chương 1, chúng tôi đã đề cập rằng có hai bộ chức năng lập trình mạng phổ biến (giao diện lập trình ứng dụng, API): socket và TLI. API được máy khách sử dụng và API được máy chủ sử dụng có thể khác nhau, cũng như hệ điều hành mà máy khách và máy chủ chạy. Chính các giao thức ứng dụng và giao tiếp sẽ xác định xem một máy khách cụ thể có thể giao tiếp với máy chủ hay không. Máy khách Unix được viết bằng C sử dụng ổ cắm làm giao diện lập trình và TCP làm giao thức truyền thông có thể giao tiếp với máy chủ máy tính lớn được viết bằng COBOL bằng các API và TCP khác nhau nếu cả hai máy chủ đều được kết nối với mạng và cả hai đều có triển khai TCP /IP.

Thông thường, máy khách sẽ gửi lệnh đến máy chủ và máy chủ sẽ gửi phản hồi cho máy khách. Tất cả các ứng dụng chúng tôi đã xem xét - Ping, Traceroute, daemon định tuyến, máy khách và máy chủ DNS, TFTP, BOOTP, SNMP, Telnet, FTP, SMTP - đều được xây dựng theo cách này.

RPC, cuộc gọi thủ tục từ xa, thực hiện một cách tiếp cận khác đối với lập trình mạng. Chương trình máy khách chỉ đơn giản gọi các hàm trong chương trình máy chủ. Vì vậy, điều này được quyết định theo quan điểm của người lập trình, nhưng trên thực tế, chuỗi hành động sau đây diễn ra.

1. Khi một máy khách gọi một thủ tục từ xa, một chức năng trên máy chủ cục bộ được tạo ra bởi gói RPC sẽ được gọi. Chức năng này được gọi là client stub. Sơ khai máy khách đóng gói các đối số của thủ tục vào một thông báo mạng và gửi thông báo đến máy chủ.
2. sơ khai máy chủ trên máy chủ lưu trữ nhận được tin nhắn mạng. Các đối số được lấy từ thông báo mạng và một lệnh gọi được thực hiện tới thủ tục máy chủ do người lập trình ứng dụng viết.
3. Hàm máy chủ trả lại quyền điều khiển cho cuống máy chủ, sau đó lấy các giá trị nhận được, đóng gói chúng thành một tin nhắn mạng và gửi tin nhắn trở lại cuống máy khách.
4. client stub trả về các giá trị từ thông báo mạng tới ứng dụng client.

Lập trình mạng bằng cách sử dụng các quy trình sơ khai và thư viện RPC sử dụng API (socket hoặc TLI), nhưng các ứng dụng người dùng (chương trình máy khách và các thủ tục máy chủ được máy khách gọi) không bao giờ truy cập API. Ứng dụng khách chỉ cần gọi thủ tục máy chủ, trong khi tất cả các chi tiết triển khai đều bị ẩn bởi gói RPC, sơ khai máy khách và sơ khai máy chủ.

Các gói RPC có những ưu điểm sau.

• Việc lập trình trở nên dễ dàng hơn vì bạn không phải giải các bài toán lập trình mạng (và nếu có thì rất ít). Các lập trình viên ứng dụng chỉ cần viết chương trình máy khách và các thủ tục máy chủ mà máy khách gọi.
• Nếu sử dụng giao thức không đáng tin cậy như UDP, tất cả các chi tiết, cụ thể là thời gian chờ và truyền lại, sẽ được xử lý bởi gói RPC. Điều này lần lượt đơn giản hóa ứng dụng của người dùng.
• Thư viện RPC xử lý việc chuyển đổi các đối số và giá trị trả về cần thiết. Ví dụ: nếu các đối số bao gồm số nguyên và số dấu phẩy động, gói RPC sẽ xử lý mọi khác biệt giữa cách biểu diễn số nguyên và số dấu phẩy động trên máy khách và máy chủ. Điều này giúp đơn giản hóa việc triển khai máy khách và máy chủ để hoạt động trong môi trường không đồng nhất.

Lập trình RPC được trình bày chi tiết trong Chương 18. Hai gói RPC phổ biến nhất là Sun RPC và gói RPC trong Môi trường điện toán phân tán (OSF) của Open Software Foundation (DCE). Chúng ta sẽ xem quy trình được gọi như thế nào, thông báo trả về trông như thế nào và điều này liên quan như thế nào. vào gói Sun RPC, vì gói này được sử dụng trong Sun RPC Phiên bản 2, được mô tả trong RFC 1057 [Sun Microsystems 1988a].

Có hai loại Sun RPC. Một phiên bản được xây dựng bằng API socket và hoạt động với TCP và UDP. Cái còn lại được gọi là TI-RPC (độc lập về vận chuyển), được xây dựng bằng API TLI và hoạt động với mọi lớp vận chuyển do kernel cung cấp. Theo quan điểm của chúng tôi, không có sự khác biệt giữa chúng vì trong chương này chúng tôi chỉ xem xét TCP và UDP.

Hình 29.1 cho thấy định dạng của một thông báo gọi thủ tục RPC sử dụng UDP.

Vậy tiếp theo là gì? Làm thế nào để xem phim và nghe các file nhạc đã được tải về? Có thực sự cần thiết phải ghi chúng vào đĩa và chuyển chúng sang máy tính có GUI không? Hay tôi sẽ phải sao chép chúng qua SFTP chậm? KHÔNG! NFS đến giải cứu! Không, đây không phải là một dòng game đua xe mà là Network File System.
Hệ thống tệp mạng (NFS) là một hệ thống tệp mạng cho phép người dùng truy cập các tệp và thư mục nằm trên máy tính từ xa như thể những tệp và thư mục đó là cục bộ. Ưu điểm chính của hệ thống như vậy là các máy trạm riêng lẻ có thể sử dụng ít dung lượng đĩa riêng hơn vì dữ liệu dùng chung được lưu trữ trên một máy riêng biệt và có sẵn cho các máy khác trên mạng. NFS là một ứng dụng máy khách-máy chủ. Nghĩa là, máy khách NFS phải được cài đặt trên hệ thống của người dùng và máy chủ NFS phải được cài đặt trên các máy tính cung cấp dung lượng ổ đĩa của họ.

Cài đặt và cấu hình máy chủ NFS (192.168.1.2)

1. Cài đặt. Sau khi kết nối qua SSH với máy chủ hoặc đơn giản là trong bảng điều khiển của nó, hãy nhập:

Sudo apt-get cài đặt nfs-kernel-server nfs-common portmap

Điều này sẽ cài đặt máy chủ NFS cũng như gói portmap cần thiết.

2. Thiết lập. Để định cấu hình danh sách các thư mục mà chúng tôi muốn mở và danh sách những người chúng tôi muốn mở chúng, chúng tôi sẽ chỉnh sửa tệp /etc/xuất khẩu :

Sudo nano /etc/exports /data 192.168.1.1/24(rw,no_root_squash,async)

Trong ví dụ trên, chúng tôi đã mở một thư mục trên máy chủ /dữ liệu và các thư mục con của nó để tất cả các máy tính có IP sử dụng chung: 192.168.1.1 - 192.168.1.255 với quyền đọc và ghi.

Một vi dụ khac:

/home/serg/ 192.168.1.34(ro,async)

Ví dụ này làm cho thư mục chính của người dùng serg có sẵn ở chế độ chỉ đọc đối với máy tính có IP 192.168.1.34. Tất cả các máy tính khác trên mạng sẽ không có quyền truy cập vào thư mục này.

Tùy chọn có sẵn:

• ro - quyền chỉ đọc. Bạn không cần phải chỉ định nó vì nó được cài đặt theo mặc định;
• rw - cấp cho khách hàng quyền viết;
• no_root_squash - theo mặc định, người dùng root trên máy khách sẽ không có quyền truy cập vào các thư mục đang mở trên máy chủ. Với tùy chọn này, chúng tôi loại bỏ giới hạn này. Vì lý do an toàn, tốt hơn hết là không nên làm điều này;
• noaccess - từ chối quyền truy cập vào thư mục được chỉ định. Nó có thể hữu ích nếu trước đây bạn đặt quyền truy cập cho tất cả người dùng mạng vào một thư mục nhất định và bây giờ bạn muốn hạn chế quyền truy cập vào thư mục con chỉ cho một số người dùng.

Bây giờ bạn cần khởi động lại nfs-kernel-server:

Sudo /etc/init.d/nfs-kernel-server khởi động lại

Nếu sau này bạn muốn thay đổi bất cứ điều gì trong tập tin /etc/xuất khẩu , sau đó để các thay đổi có hiệu lực, chỉ cần chạy lệnh sau:

Xuất Sudo -a

Tất cả. Máy chủ NFS đã được cài đặt và cấu hình. Bạn có thể chuyển sang máy khách NFS.

Cài đặt và cấu hình máy khách NFS

1. Cài đặt. Chúng tôi thực hiện các thao tác sau trong thiết bị đầu cuối của máy tính sẽ kết nối:

Sudo apt-get cài đặt portmap nfs-common

2. Thiết lập. Đầu tiên, hãy tạo một thư mục trong đó thư mục từ xa sẽ được gắn kết:

Dữ liệu Cd ~ mkdir

Bạn có thể gắn kết theo hai cách - thủ công mỗi lần hoặc bằng cách ghi các tùy chọn gắn kết vào một tệp /etc/fstab.

Cách 1: Lắp thủ công
Tạo một tệp văn bản trên màn hình nền hoặc trong một số thư mục khác:

Nano ~/Desktop/nfs-server-connect

Chúng tôi viết trong đó:

#! /bin/bash sudo mount -t nfs -o ro,soft,intr 192.168.1.2:/data ~/data

Hãy làm cho nó có thể thực thi được:

Chmod +x ~/Desktop/nfs-server-connect

Bây giờ, khi cần kết nối với máy chủ, tôi chạy tập lệnh này trong terminal để có thể nhập mật khẩu cho sudo.

Cách 2: Thêm vào /etc/fstab
Mở /etc/fstab:

Sudo nano /etc/fstab

Và thêm một dòng vào cuối tập tin:

192.168.1.2:/data ~/data nfs rw,hard,intr 0 0

Chú ý! Thay vì 192.168.1.2:/data, hãy nhập IP hoặc tên máy chủ và đường dẫn đến thư mục dùng chung. Tùy chọn gắn kết có thể được thay đổi.

Lựa chọn cứng nó liên kết chặt chẽ thư mục trên máy khách với máy chủ và nếu máy chủ bị hỏng, máy tính của bạn cũng có thể bị treo. Lựa chọn mềm mại, như tên gọi của nó, không mang tính phân loại như vậy.

Sau khi lưu tệp, bạn có thể gắn thư mục từ xa.

Khi nói về mạng máy tính, bạn thường có thể nghe nhắc đến NFS. Chữ viết tắt này có nghĩa là gì?

Nó là một giao thức hệ thống tệp phân tán được Sun Microsystems phát triển ban đầu vào năm 1984, cho phép người dùng trên máy khách truy cập các tệp qua mạng, tương tự như truy cập bộ nhớ cục bộ. NFS, giống như nhiều giao thức khác, dựa trên hệ thống Cuộc gọi thủ tục từ xa tính toán mạng mở (ONC RPC).

Nói cách khác, NFS là gì? Nó là một tiêu chuẩn mở, được xác định bởi Yêu cầu Nhận xét (RFC), cho phép mọi người triển khai giao thức.

Phiên bản và biến thể

Nhà phát minh chỉ sử dụng phiên bản đầu tiên cho mục đích thử nghiệm của riêng mình. Khi nhóm phát triển bổ sung những thay đổi quan trọng vào NFS ban đầu và phát hành nó ngoài quyền tác giả của Sun, họ đã chỉ định phiên bản mới là v2 để họ có thể kiểm tra khả năng tương tác giữa các bản phân phối và tạo bản dự phòng.

NFS v2

Phiên bản 2 ban đầu chỉ hoạt động trên Giao thức gói dữ liệu người dùng (UDP). Các nhà phát triển của nó muốn giữ phía máy chủ mà không thực hiện chặn bên ngoài giao thức chính.

Giao diện hệ thống tệp ảo cho phép triển khai mô-đun được phản ánh trong một giao thức đơn giản. Đến tháng 2 năm 1986, các giải pháp đã được chứng minh cho các hệ điều hành như System V phiên bản 2, DOS và VAX/VMS sử dụng Eunice. NFS v2 chỉ cho phép đọc 2 GB đầu tiên của tệp do giới hạn 32 bit.

NFS v3

Đề xuất phát triển NFS phiên bản 3 đầu tiên tại Sun Microsystems đã được công bố ngay sau khi phát hành bản phân phối thứ hai. Động lực chính là cố gắng giảm thiểu vấn đề về hiệu suất của quá trình ghi đồng bộ. Đến tháng 7 năm 1992, những cải tiến thực tế đã giải quyết được nhiều thiếu sót của NFS phiên bản 2, chỉ còn lại hỗ trợ tệp không đủ (kích thước tệp 64-bit và độ lệch tệp).

• hỗ trợ kích thước tệp 64-bit và độ lệch để xử lý dữ liệu lớn hơn 2 gigabyte (GB);
• hỗ trợ ghi không đồng bộ trên máy chủ để cải thiện hiệu suất;
• thuộc tính tệp bổ sung trong nhiều câu trả lời để tránh phải tìm nạp lại chúng;
• Hoạt động READDIRPLUS để lấy dữ liệu và thuộc tính cùng với tên tệp khi quét một thư mục;
• nhiều cải tiến khác.

Trong quá trình giới thiệu phiên bản 3, sự hỗ trợ cho TCP như một giao thức lớp vận chuyển bắt đầu tăng lên. Việc sử dụng TCP làm phương tiện truyền dữ liệu, được thực hiện bằng NFS qua mạng WAN, bắt đầu cho phép truyền các kích thước tệp lớn để xem và ghi. Nhờ đó, các nhà phát triển đã có thể vượt qua giới hạn 8 KB do Giao thức gói dữ liệu người dùng (UDP) áp đặt.

NFS v4 là gì?

Phiên bản 4, chịu ảnh hưởng của Hệ thống tệp Endres (AFS) và Khối tin nhắn máy chủ (SMB, còn được gọi là CIFS), bao gồm các cải tiến về hiệu suất, cung cấp khả năng bảo mật tốt hơn và giới thiệu giao thức tuân thủ.

Phiên bản 4 là bản phân phối đầu tiên được phát triển bởi Lực lượng đặc nhiệm kỹ thuật Internet (IETF) sau khi Sun Microsystems thuê ngoài phát triển giao thức.

NFS phiên bản 4.1 nhằm mục đích cung cấp hỗ trợ giao thức để tận dụng việc triển khai máy chủ theo cụm, bao gồm khả năng cung cấp quyền truy cập song song có thể mở rộng vào các tệp được phân phối trên nhiều máy chủ (phần mở rộng pNFS).

Giao thức hệ thống tệp mới nhất, NFS 4.2 (RFC 7862), được phát hành chính thức vào tháng 11 năm 2016.

Các tiện ích mở rộng khác

Với sự phát triển của tiêu chuẩn, các công cụ tương ứng để làm việc với nó đã xuất hiện. Ví dụ: WebNFS, một tiện ích mở rộng cho phiên bản 2 và 3, cho phép Giao thức truy cập hệ thống tệp mạng dễ dàng tích hợp hơn vào trình duyệt web và cho phép hoạt động trên tường lửa.

Nhiều giao thức của bên thứ ba cũng đã được liên kết với NFS. Nổi tiếng nhất trong số đó là:

• Trình quản lý khóa mạng (NLM) có hỗ trợ giao thức byte (được thêm để hỗ trợ API khóa tệp UNIX System V);
• Hạn ngạch từ xa (RQUOTAD), cho phép người dùng NFS xem hạn ngạch lưu trữ trên máy chủ NFS;
• NFS qua RDMA là phiên bản chuyển thể của NFS sử dụng truy cập bộ nhớ trực tiếp từ xa (RDMA) làm phương tiện truyền dẫn;
• NFS-Ganesha là máy chủ NFS chạy trong không gian người dùng và hỗ trợ CephFS FSAL (Lớp trừu tượng hệ thống tệp) bằng libcephfs.

Nền tảng

Network File System thường được sử dụng với các hệ điều hành Unix (như Solaris, AIX, HP-UX), MacOS của Apple và các hệ điều hành tương tự Unix (như Linux và FreeBSD).

Nó cũng có sẵn cho các nền tảng như Acorn RISC OS, OpenVMS, MS-DOS, Microsoft Windows, Novell NetWare và IBM AS/400.

Các giao thức truy cập tệp từ xa thay thế bao gồm Khối tin nhắn máy chủ (SMB, còn được gọi là CIFS), Giao thức truyền tải Apple (AFP), Giao thức lõi NetWare (NCP) và Hệ thống tệp máy chủ OS/400 (QFileSvr.400).

Điều này là do các yêu cầu của NFS, vốn chủ yếu nhằm vào các “shell” giống Unix.

Tuy nhiên, giao thức SMB và NetWare (NCP) được sử dụng thường xuyên hơn NFS trên các hệ thống chạy Microsoft Windows. AFP phổ biến nhất trên nền tảng Apple Macintosh và QFileSvr.400 phổ biến nhất trên OS/400.

Triển khai điển hình

Giả sử một kịch bản kiểu Unix điển hình trong đó một máy tính (máy khách) cần truy cập vào dữ liệu được lưu trữ trên máy tính khác (máy chủ NFS):

• Máy chủ triển khai các quy trình của Hệ thống tệp mạng, chạy theo mặc định dưới dạng nfsd, để cung cấp công khai dữ liệu của nó cho khách hàng. Quản trị viên máy chủ xác định cách xuất tên thư mục và cài đặt, thường sử dụng tệp cấu hình /etc/exports và lệnh importfs.
• Việc quản lý bảo mật máy chủ đảm bảo rằng nó có thể nhận dạng và phê duyệt một máy khách đã được xác thực. Cấu hình mạng của nó đảm bảo rằng các khách hàng đủ điều kiện có thể đàm phán với nó thông qua bất kỳ hệ thống tường lửa nào.
• Máy khách yêu cầu quyền truy cập vào dữ liệu đã xuất, thường bằng cách đưa ra lệnh. Nó truy vấn máy chủ (rpcbind) đang sử dụng cổng NFS và sau đó kết nối với nó.
• Nếu mọi thứ diễn ra không có lỗi, người dùng trên máy khách sẽ có thể xem và tương tác với các hệ thống tệp đã cài đặt trên máy chủ trong giới hạn cho phép.

Cũng cần lưu ý rằng việc tự động hóa quy trình Hệ thống tệp mạng cũng có thể diễn ra - có thể sử dụng etc/fstab và/hoặc các công cụ tương tự khác.

Sự phát triển cho đến nay

Đến thế kỷ 21, các giao thức cạnh tranh DFS và AFS đã không đạt được bất kỳ thành công thương mại lớn nào so với Hệ thống tệp mạng. IBM, trước đây đã mua lại tất cả các quyền thương mại đối với các công nghệ trên, đã tặng hầu hết mã nguồn AFS cho cộng đồng phần mềm miễn phí vào năm 2000. Dự án Open AFS vẫn tồn tại cho đến ngày nay. Đầu năm 2005, IBM công bố ngừng bán AFS và DFS.

Ngược lại, vào tháng 1 năm 2010, Panasas đã đề xuất NFS v 4.1 dựa trên công nghệ cải thiện khả năng truy cập dữ liệu song song. Giao thức Network File System v 4.1 xác định phương pháp tách siêu dữ liệu hệ thống tệp khỏi vị trí của các tệp cụ thể. Vì vậy, nó vượt xa việc phân tách tên/dữ liệu đơn giản.

NFS của phiên bản này trong thực tế là gì? Tính năng trên giúp phân biệt nó với giao thức truyền thống, chứa tên của các tệp và dữ liệu của chúng trong một kết nối đến máy chủ. Với Network File System v 4.1, một số tệp có thể được chia sẻ trên các máy chủ nhiều nút nhưng sự tham gia của khách hàng vào việc chia sẻ siêu dữ liệu và dữ liệu bị hạn chế.

Khi triển khai phân phối giao thức thứ tư, máy chủ NFS là một tập hợp các tài nguyên hoặc thành phần máy chủ; chúng được cho là được kiểm soát bởi máy chủ siêu dữ liệu.

Máy khách vẫn liên hệ với một máy chủ siêu dữ liệu duy nhất để duyệt qua hoặc tương tác với không gian tên. Khi di chuyển các tệp đến và đi từ máy chủ, nó có thể tương tác trực tiếp với tập hợp dữ liệu do nhóm NFS sở hữu.