二、各NFS协议版本的主要区?
V3相对V2的主要区别:
1、文件尺?
V2最大只支持32BIT的文件大?4G),而NFS V3新增加了支持64BIT文g大小的技术?
2、文件传输尺?
V3没有限定传输寸QV2最多只能设定ؓ8kQ可以?rsize and -wsize 来进行设定?
3、完整的信息q回
V3增加和完善了许多错误和成功信息的q回Q对于服务器的设|和理能带来很大好处?
4、增加了对TCP传输协议的支?
V2只提供了对UDP协议的支持,在一些高要求的网l环境中有很大限ӞV3增加了对TCP协议的支?
*5、异步写入特?
6、改q了SERVER的mount性能
7、有更好的I/O WRITES 性能?
9、更强网l运行效能,使得|络q作更ؓ有效?
10、更强的N恢复功能?
异步写入Ҏ(v3新增加)介绍Q?
NFS V3 能否使用异步写入Q这是可选择的一U特性。NFS V3客户端发发送一个异步写入请求到服务器,在给客户端答复之前服务器q不是必要数据写入到存储器中Q稳定的Q。服务器能确定何时去写入数据或者将多个写入h聚合C起ƈ加以处理Q然后写入。客L能保持一个数据的copy以防万一服务器不能完整的数据写入。当客户端希望释放这个copy的时候,它会向服务器通过q个操作q程Q以保每个操作步骤的完整。异步写入能够服务器去定最好的同步数据的策略。数据能尽可能的同步的提交何到达。与V2比较来看Q这L机制能更好的实现数据~冲和更多的qQ^衡)。而NFS V2的SERVER在将数据写入存储器之前不能再相应M的写入请求?
V4相对V3的改q:
1Q改q了INTERNET上的存取和执行效?
2Q在协议中增Z安全斚w的特?
3Q增强的跨^台特?
三、CLIENT和SERVER的具体操作和讄
在讲NFS SERVER的运作之前先来看一些与NFS SERVER有关的东西:
RPCQRemote Procedure CallQ?
NFS 本n是没有提供信息传输的协议和功能的Q但NFS却能让我们通过|络q行资料的分享,q是因ؓNFS使用了一些其它的传输协议。而这些传输协议勇士用到这个RPC功能的。可以说NFS本n是使用RPC的一个程序。或者说NFS也是一个RPC SERVER.所以只要用到NFS的地斚w要启动RPC服务Q不论是NFS SERVER或者NFS CLIENT。这样SERVER和CLIENT才能通过RPC来实现PROGRAM PORT的对应。可以这么理解RPC和NFS的关p:NFS是一个文件系l,而RPC是负责负责信息的传输?
NFS需要启动的DAEMONS
pc.nfsd:主要复杂登陆权限等?
rpc.mountdQ负责NFS的档案系l,当CLIENT端通过rpc.nfsd登陆SERVER后,对clinet存取server的文件进行一pd的管?
NFS SERVER在REDHAT LINUXq_下一共需要两个套Ӟnfs-utils和PORTMAP
nfs-utilsQ提供rpc.nfsd ?rpc.mountdq两个NFS DAEMONS的套?
portmap: NFS其实可以被看作是一个RPC SERVER PROGRAM,而要启动一个RPC SERVER PROGRAMQ都要做好PORT的对应工作,而且q样的Q务就是由PORTMAP来完成的。通俗的说PortMap是用来做PORT的mapping的?
一Q服务器端的讑֮Q以LINUXZQ?
服务器端的设定都是在/etc/exportsq个文g中进行设定的Q设定格式如下:
Ʋ分享出ȝ目录 L名称1或者IP1(参数1Q参?Q?L名称2或者IP2Q参?Q参?Q?
上面q个格式表示Q同一个目录分享给两个不同的主机,但提供给q两C机的权限和参数是不同的,所以分别设定两个主机得到的权限?
可以讑֮的参C要有以下q些Q?
rwQ可d的权限;
roQ只ȝ权限Q?
no_root_squashQ登入到NFSL的用户如果是ROOT用户Q他拥有ROOT的权限,此参数很不安全,不要使用?
root_squashQ在d NFS ?C使用分n之目?的用者如果是 root ?rQ那????使用者的???嚎s?槟谜撸ǔO?UID ? GID ???nobody ??w䆾Q?
all_squashQ不登陆NFSL的用h什么都会被重新讑֮为nobody?
anonuidQ将dNFSL的用户都讑֮成指定的user id,此ID必须存在?etc/passwd中?
anongidQ同 anonuid Q但??group ID 是了!
syncQ资料同步写入存储器中?
asyncQ资料会先暂时存攑֜内存中,不会直接写入盘?
insecure 允许从这台机器过来的非授权访问?
例如可以~辑/etc/exports为:
/tmp *(rw,no_root_squash)
/home/public 192.168.0.*(rw) *(ro)
/home/test 192.168.0.100(rw)
/home/linux *.the9.com(rw,all_squash,anonuid=40,anongid=40)
讑֮好后可以使用以下命o启动NFS:
/etc/rc.d/init.d/portmap start (在REDHAT中PORTMAP是默认启动的Q?
/etc/rc.d/init.d/nfs start
exportfs命oQ?
如果我们在启动了NFS之后又修改了/etc/exportsQ是不是q要重新启动nfs呢?q个时候我们就可以用exportfs命o来改动立刻生效Q该命o格式如下Q?
exportfs [-aruv]
-a Q全部mount或者unmount /etc/exports中的内容
-r Q重新mount /etc/exports中分享出来的目录
-u Qumount 目录
-v Q在 export ?r候,详l的信息输出到屏q上?
具体例子Q?
[root @test root]# exportfs -rv <==全部重新 export 一ơ!
exporting 192.168.0.100:/home/test
exporting 192.168.0.*:/home/public
exporting *.the9.com:/home/linux
exporting *:/home/public
exporting *:/tmp
reexporting 192.168.0.100:/home/test to kernel
exportfs -au <==全部都卸载了?
客户D늚操作Q?
1、showmout命o对于NFS的操作和查错有很大的帮助Q所以我们先来看一下showmount的用?
showmout
-a Q这个参数是一般在NFS SERVER上用,是用来显C已lmount上本机nfs目录的cline机器?
-e Q显C指定的NFS SERVER上export出来的目录?
例如Q?
showmount -e 192.168.0.30
Export list for localhost:
/tmp *
/home/linux *.linux.org
/home/public (everyone)
/home/test 192.168.0.100
2、mount nfs目录的方法:
mount -t nfs hostname(orIP):/directory /mount/point
具体例子Q?
Linux: mount -t nfs 192.168.0.1:/tmp /mnt/nfs
Solaris:mount -F nfs 192.168.0.1:/tmp /mnt/nfs
BSD: mount 192.168.0.1:/tmp /mnt/nfs
3、mount nfs的其它可选参敎ͼ
HARD mount和SOFT MOUNTQ?
HARD: NFS CLIENT会不断的试与SERVER的连接(在后収ͼ不会l出M提示信息,在LINUX下有的版本仍然会l出一些提C)Q直到MOUNT上?
SOFT:会在前台试与SERVER的连接,是默认的q接方式。当收到错误信息后终止mount试Qƈl出相关信息?
例如Qmount -F nfs -o hard 192.168.0.10:/nfs /nfs
对于到底是用hardq是soft的问题,q主要取决于你访问什么信息有兟뀂例如你是想通过NFS来运行X PROGRAM的话Q你l对不会希望׃一些意外的情况Q如|络速度一下子变的很慢Q插拔了一下网卡插头等Q而ɾpȝ输出大量的错误信息,如果此时你用的是HARD方式的话Q系l就会等待,直到能够重新与NFS SERVER建立q接传输信息。另外如果是非关键数据的话也可以使用SOFT方式Q如FTP数据{,q样在远E机器暂时连接不上或关闭时就不会挂v你的会话q程?
rsize和wsizeQ?
文g传输寸讑֮QV3没有限定传输寸QV2最多只能设定ؓ8kQ可以?rsize and -wsize 来进行设定。这两个参数的设定对于NFS的执行效能有较大的媄?
bgQ在执行mount时如果无法顺利mount上时Q系l会mount的操作{Ud后台ql尝试mountQ直到mount成功为止。(通常在设?etc/fstab文g旉应该使用bgQ以避免可能的mount不上而媄响启动速度Q?
fgQ和bg正好相反Q是默认的参?
nfsversQn:讑֮要用的NFS版本Q默认是使用2Q这个选项的设定还要取决于server端是否支持NFS VER 3
mountportQ设定mount的端?
portQ根据server端export出的端口讑֮Q例如如果server使用5555端口输出NFS,那客L需要用这个参数进行同L讑֮
timeo =n:讄时旉Q当数据传输遇到问题Ӟ会根据这个参数尝试进行重C输。默认值是7/10妙(0.7U)。如果网l连接不是很E_的话p加大q个数|q且推荐使用HARD MOUNT方式Q同时最好也加上INTR参数Q这样你可以终止Q何挂L文g讉K?
intr 允许通知中断一个NFS调用。当服务器没有应{需要放弃的时候有用处?
udpQ用udp作ؓnfs的传输协议(NFS V2只支持UDP)
tcpQ用tcp作ؓnfs的传输协?
namlen=nQ设定远E服务器所允许的最长文件名。这个值的默认?55
acregmin=nQ设定最的在文件更C前cache旉Q默认是3
acregmax=nQ设定最大的在文件更C前cache旉Q默认是60
acdirmin=nQ设定最的在目录更C前cache旉Q默认是30
acdirmax=nQ设定最大的在目录更C前cache旉Q默认是60
actimeo=nQ将acregmin、acregmax、acdirmin、acdirmax讑֮为同一个数|默认是没有启用?
retry=nQ设定当|络传输出现故障的时候,试重新q接多少旉后不再尝试。默认的数值是10000 minutes
noac:关闭cache机制?
同时使用多个参数的方法:mount -t nfs -o timeo=3,udp,hard 192.168.0.30:/tmp /nfs
h意,NFS客户机和服务器的选项q不一定完全相同,而且有的时候会有冲H。比如说服务器以只读的方式导出,客户端却以可写的方式mount,虽然可以成功mount上,但尝试写入的时候就会发生错误。一般服务器和客L配置冲突的时候,会以服务器的配置为准?
4?etc/fstab的设定方?
/etc/fstab的格式如下:
fs_spec fs_file fs_type fs_options fs_dump fs_pass
fs_spec:该字D定义希望加载的文gpȝ所在的讑֤或远E文件系l?对于nfsq个参数一般设|ؓq样Q?92.168.0.1:/NFS
fs_file:本地的挂载点
fs_typeQ对于NFS来说q个字段只要讄成nfs可以了
fs_options:挂蝲的参敎ͼ可以使用的参数可以参考上面的mount参数?
fs_dump - 该选项?dump"命o使用来检查一个文件系l应该以多快频率q行转储Q若不需要{储就讄该字Dؓ0
fs_pass - 该字D被fsck命o用来军_在启动时需要被扫描的文件系l的序Q根文gpȝ"/"对应该字D늚值应该ؓ1Q其他文件系l应该ؓ2。若该文件系l无需在启动时扫描则设|该字段? ?
5、与NFS有关的一些命令介l?
nfsstat:
查看NFS的运行状态,对于调整NFS的运行有很大帮助
rpcinfoQ?
查看rpc执行信息Q可以用于检rpcq行情况的工兗?
四、NFS调优
调优的步骤:
1、测量当前网l、服务器和每个客L的执行效率?
2、分析收集来的数据ƈd图表。查扑ևҎ情况Q例如很高的盘和CPU占用、已l高的磁盘用时?
3、调整服务器
4、重复第一到第三步直到辑ֈ你望的性能
与NFS性能有关的问题有很多Q通常可以要考虑的有以下q些选择Q?
WSIZE,RSIZE参数来优化NFS的执行效?
WSIZE、RSIZE对于NFS的效能有很大的媄响?
wsize和rsize讑֮了SERVER和CLIENT之间往来数据块的大,q两个参数的合理讑֮与很多方面有养I不仅是Y件方面也有硬件方面的因素会媄响这两个参数的设定(例如LINUX KERNEL、网卡,交换机等{)?
下面q个命o可以试NFS的执行效能,d写的效能可以分别试Q分别找到合适的参数。对于要试分散的大量的数据的读写可以通过~写脚本来进行测试。在每次试的时候最好能重复的执行一ơMOUNT和unmount?
time dd if=/dev/zero of=/mnt/home/testfile bs=16k count=16384
用于试的WSIZE,RSIZE最好是1024的倍数Q对于NFS V2来说8192是RSIZE和WSIZE的最大数|如果使用的是NFS V3则可以尝试的最大数值是32768?
如果讄的值比较大的时候,应该最好在CLIENT上进入mount上的目录中,q行一些常规操作(LS,VI{等Q,看看有没有错误信息出现。有可能出现的典型问题有LS的时候文件不能完整的列出或者是出现错误信息Q不同的操作pȝ有不同的最x|所以对于不同的操作pȝ都要q行试?
讑֮最佳的NFSD的COPY数目?
linux中的NFSD的COPY数目是在/etc/rc.d/init.d/nfsq个启动文g中设|的Q默认是8个NFSD,对于q个参数的设|一般是要根据可能的CLIENT数目来进行设定的Q和WSIZE、RSIZE一样也是要通过试来找到最q的数倹{?
UDP and TCP
可以手动q行讄Q也可以自动q行选择?
mount -t nfs -o sync,tcp,noatime,rsize=1024,wsize=1024 EXPORT_MACHINE:/EXPORTED_DIR /DIR
UDP 有着传输速度快,非连接传输的便捷Ҏ,但是UDP在传输上没有TCP来的E_Q当|络不稳定或者黑客入늚时候很Ҏ使NFS?Performance 大幅降低甚至使网l瘫痪。所以对于不同情늚|络要有针对的选择传输协议。nfs over tcp比较E_Q?nfs over udp速度较快。在机器较少|络状况较好的情况下使用UDP协议能带来较好的性能Q当机器较多Q网l情况复杂时推荐使用TCP协议QV2只支持UDP协议Q。在局域网中用UDP协议较好Q因为局域网有比较稳定的|络保证Q用UDP可以带来更好的性能Q在q域|中推荐使用TCP协议QTCP协议能让NFS在复杂的|络环境中保持最好的传输E_性。可以参考这文章:http: //www.hp.com.tw/ssn/unix/0212/unix021204.asp
版本的选择
V3作ؓ默认的选择QRED HAT 8默认使用V2,SOLARIS 8以上默认使用V3Q,可以通过vers= mount option来进行选择?
LINUX通过mount option的nfsvers=nq行选择?
五、NFS故障解决
1、NFSD没有启动h
首先要确?NFS 输出列表存在Q否?nfsd 不会启动。可?exportfs 命o来检查,如果 exportfs 命o没有l果q回或返回不正确Q则需要检?/etc/exports 文g?
2、mountd q程没有启动
mountd q程是一个远E过E调?(RPC) Q其作用是对客户端要求安装(mountQ文件系l的甌作出响应。mountdq程通过查找 /etc/xtab 文g来获知哪些文件系l可以被q程客户端用。另外,通过mountdq程Q用户可以知道目前有哪些文gpȝ已被q程文gpȝ装配Qƈ得知q程客户端的列表。查看mountd是否正常启动h可以使用命orpcinfoq行查看Q在正常情况下在输出的列表中应该象这L行:
100005 1 udp 1039 mountd
100005 1 tcp 1113 mountd
100005 2 udp 1039 mountd
100005 2 tcp 1113 mountd
100005 3 udp 1039 mountd
100005 3 tcp 1113 mountd
如果没有h的话可以查是否安装了PORTMAPlg?
rpm -qa|grep portmap
3、fs type nfs no supported by kernel
kernel不支持nfs文gpȝQ重新编译一下KERNEL可以解冟?
4、can't contact portmapper: RPC: Remote system error - Connection refused
出现q个错误信息是由于SEVER端的PORTMAP没有启动?
5、mount clntudp_create: RPC: Program not registered
NFS没有启动hQ可以用showmout -e host命o来检查NFS SERVER是否正常启动h?
6、mount: localhost:/home/test failed, reason given by server: Permission denied
q个提示是当client要mount nfs server时可能出现的提示Q意思是说本机没有权限去mount nfs server上的目录。解x法当然是M改NFS SERVER咯?
7、被防火墙阻?
q个原因很多人都忽视了,在有严格要求的网l环境中Q我们一般会关闭linux上的所有端口,当需要用哪个端口的时候才会去打开。而NFS默认是?11端口Q所以我们先要检是否打开了这个端口,另外也要查TCP_Wrappers的设定?
六、NFS安全
NFS的不安全性主要体C以下4个方?
1、新手对NFS的访问控制机刉于做到得心应?控制目标的精性难以实?
2、NFS没有真正的用户验证机?而只有对RPC/Mounth的过E验证机?
3、较早的NFS可以使未授权用户获得有效的文件句?
4、在RPCq程调用?一个SUID的程序就h用户权限.
加强NFS安全的方法:
1、合理的讑֮/etc/exports中共享出ȝ目录Q最好能使用anonuidQanongid以MOUNT到NFS SERVER的CLIENT仅仅有最的权限Q最好不要用root_squash?
2、用IPTABLE防火墙限制能够连接到NFS SERVER的机器范?
iptables -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP -s 140.0.0.0/8 --dport 111 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP -s 140.0.0.0/8 --dport 111 -j ACCEPT
3、ؓ了防止可能的DosdQ需要合理设定NFSD 的COPY数目?
4、修?etc/hosts.allow?etc/hosts.deny辑ֈ限制CLIENT的目?
/etc/hosts.allow
portmap: 192.168.0.0/255.255.255.0 : allow
portmap: 140.116.44.125 : allow
/etc/hosts.deny
portmap: ALL : deny
5、改变默认的NFS 端口
NFS默认使用的是111端口Q但同时你也可以使用port参数来改变这个端口,q样可以在一定程度上增强安全性?
6、用Kerberos V5作ؓ登陆验证pȝ
FROM: http://soft.yesky.com/os/lin/436/2248936_3.shtml
]]>