Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

엑스포트 정책에 규칙 추가

기여자
PDF

규칙이 없으면 내보내기 정책은 클라이언트에 데이터에 대한 액세스를 제공할 수 없습니다. 새 내보내기 규칙을 만들려면 클라이언트를 식별하고 클라이언트 일치 형식을 선택하고, 액세스 및 보안 유형을 선택하고, 익명 사용자 ID 매핑을 지정하고, 규칙 인덱스 번호를 선택하고, 액세스 프로토콜을 선택해야 합니다. 그런 다음 'vserver export-policy rule create' 명령을 사용하여 내보내기 정책에 새 규칙을 추가할 수 있습니다.

필요한 것

  • 내보내기 규칙을 추가할 엑스포트 정책이 이미 있어야 합니다.

  • 데이터 SVM에서 DNS를 올바르게 구성해야 하며, DNS 서버는 NFS 클라이언트를 위한 올바른 항목을 가지고 있어야 합니다.

    이는 ONTAP가 특정 클라이언트 일치 형식에 대해 데이터 SVM의 DNS 구성을 사용하여 DNS 조회를 수행하고, 엑스포트 정책 규칙 일치의 실패로 인해 클라이언트 데이터 액세스가 차단되기 때문입니다.

  • Kerberos를 사용하여 인증하는 경우 NFS 클라이언트에서 사용되는 다음 보안 방법 중 하나를 결정해야 합니다.

    • "krb5"(Kerberos V5 프로토콜)

    • "krb5i"(체크섬을 사용한 무결성 검사가 가능한 Kerberos V5 프로토콜)

    • 'krb5p'(개인정보 보호 서비스가 있는 Kerberos V5 프로토콜)

이 작업에 대해

내보내기 정책의 기존 규칙이 클라이언트 일치 및 액세스 요구 사항을 포함하는 경우에는 새 규칙을 생성할 필요가 없습니다.

Kerberos를 사용하여 인증하는 경우 Kerberos를 통해 SVM의 모든 볼륨에 액세스할 경우 루트 볼륨에 대한 내보내기 규칙 옵션 '-rorule', '-rwrule' 및 '-superuser'를 krb5', krb5i 또는 krb5p로 설정할 수 있습니다.

단계

  1. 새 규칙의 클라이언트 및 클라이언트 일치 형식을 식별합니다.

    '-clientmatch' 옵션은 규칙이 적용되는 클라이언트를 지정합니다. 하나 또는 여러 개의 클라이언트 일치 값을 지정할 수 있습니다. 여러 값의 사양은 쉼표로 구분해야 합니다. 다음 형식 중 하나로 일치 항목을 지정할 수 있습니다.

    클라이언트 일치 형식입니다

    도메인 이름 앞에 "." 문자가 옵니다

    호스트 이름입니다

    'host1' 또는 'host1, host2,...'

    IPv4 주소입니다

    10.1.12.24 또는 + 10.1.12.24,10.1.12.25,…​+

    서브넷 마스크가 있는 IPv4 주소는 비트 수로 표시됩니다

    10.1.12.10/4, 또는 + 10.1.12.10/4,10.1.12.11/4,…​+

    네트워크 마스크가 있는 IPv4 주소입니다

    10.1.16.0/255.255.255.0 또는 + 10.1.16.0/255.255.255.0, 10.1.17.0/255.255.255.0,…​+

    점선 형식의 IPv6 주소입니다

    '::1.2.3.4' 또는 '::1.2.3.4,::1.2.3.5,...'

    서브넷 마스크가 있는 IPv6 주소는 비트 수로 표시됩니다

    "ff::00/32" 또는 "ff::00/32, ff: 01/32,..."

    넷그룹 이름 앞에 @ 문자가 오는 단일 넷그룹

    '@netgroup1' 또는 '@netgroup1,@netgroup2,...'

    클라이언트 정의 형식(예: '.example.com,@netgroup1`)을 결합할 수도 있습니다.

    IP 주소를 지정할 때 다음 사항에 유의하십시오.

    • 10.1.12.10-10.1.12.70 등의 IP 주소 범위를 입력할 수 없습니다.

      이 형식의 항목은 텍스트 문자열로 해석되며 호스트 이름으로 처리됩니다.

    • 클라이언트 액세스의 세부 관리에 대한 내보내기 규칙에서 개별 IP 주소를 지정할 때 동적으로 할당되는 IP 주소(예: DHCP) 또는 임시로 할당된 IP 주소(예: IPv6)를 지정하지 마십시오.

      그렇지 않으면 IP 주소가 변경되면 클라이언트가 액세스 권한을 잃게 됩니다.

    • 네트워크 마스크로 IPv6 주소(예: ff::12/ff::00)를 입력할 수 없습니다.

  2. 클라이언트 일치에 대한 액세스 및 보안 유형을 선택합니다.

    지정된 보안 유형으로 인증하는 클라이언트에 대해 다음 액세스 모드 중 하나 이상을 지정할 수 있습니다.

    • '-rorule'(읽기 전용 액세스)

    • '-rwrule'(읽기-쓰기 액세스)

    • '-superuser'(루트 액세스)

      참고

      내보내기 규칙에서 해당 보안 유형에 대한 읽기 전용 액세스도 허용하는 경우 클라이언트는 특정 보안 유형에 대한 읽기-쓰기 액세스만 얻을 수 있습니다. 읽기 전용 매개 변수가 읽기-쓰기 매개 변수보다 보안 형식에 대해 더 제한적인 경우 클라이언트는 읽기-쓰기 액세스를 얻지 못할 수 있습니다. 수퍼유저 액세스도 마찬가지입니다.

      규칙에 대해 여러 보안 유형의 쉼표로 구분된 목록을 지정할 수 있습니다. 보안 유형을 "모두" 또는 "사용 안 함"으로 지정하는 경우 다른 보안 유형을 지정하지 마십시오. 다음 유효한 보안 유형 중에서 선택하십시오.

      보안 유형을 다음으로 설정한 경우…​ 일치하는 클라이언트가 내보낸 데이터에 액세스할 수 있습니다…​

      모두

      항상, 들어오는 보안 유형에 관계없이.

      "없음"

      보안 유형을 가진 클라이언트만 나열되면 익명 액세스 권한이 부여됩니다. 다른 보안 유형과 함께 나열되는 경우 지정된 보안 유형의 클라이언트는 액세스 권한이 부여되고 다른 보안 유형의 클라이언트는 익명 액세스 권한이 부여됩니다.

      "안 돼.

      수신 보안 유형에 관계없이 사용 안 함.

      krb5

      Kerberos 5에 의해 인증되는 경우 인증 전용: 각 요청 및 응답의 헤더가 서명됩니다.

      krb5i

      Kerberos 5i에 의해 인증되는 경우. 인증 및 무결성: 각 요청 및 응답의 헤더와 본문이 서명됩니다.

      크르b5p

      Kerberos 5p에 의해 인증되는 경우 인증, 무결성 및 개인 정보 보호: 각 요청 및 응답의 헤더와 본문이 서명되고 NFS 데이터 페이로드가 암호화됩니다.

      NTLM

      CIFS NTLM에 의해 인증되는 경우

      '스'입니다

      NFS AUTH_SYS에 의해 인증되는 경우

      권장 보안 유형은 '시스', 또는 Kerberos를 사용하는 경우 krb5, krb5i, krb5p입니다.

    NFSv3에서 Kerberos를 사용하는 경우, 내보내기 정책 규칙은 krb5 이외에 '-rorule' 및 '-rwrule' 액세스를 허용해야 합니다. 이는 내보내기에 대한 NLM(Network Lock Manager) 액세스를 허용해야 하기 때문입니다.

  3. 익명 사용자 ID 매핑을 지정합니다.

    '-anon' 옵션은 사용자 ID가 0인 클라이언트 요청에 매핑된 UNIX 사용자 ID 또는 사용자 이름을 지정합니다. 이 사용자 이름은 일반적으로 사용자 이름 루트와 연결됩니다. 기본값은 65534입니다. NFS 클라이언트는 일반적으로 사용자 ID 65534를 사용자 이름 nobody(또는 root squooting)와 연결합니다. ONTAP에서 이 사용자 ID는 사용자 pcuser와 연결됩니다. 사용자 ID가 0인 클라이언트에서 액세스를 비활성화하려면 값을 65535로 지정합니다.

  4. 규칙 인덱스 순서를 선택합니다.

    ruleindex 옵션은 규칙의 인덱스 번호를 지정합니다. 규칙은 인덱스 번호 목록의 순서에 따라 평가되며, 인덱스 번호가 낮은 규칙은 먼저 평가됩니다. 예를 들어 인덱스 번호가 1인 규칙은 인덱스 번호가 2인 규칙 전에 평가됩니다.

    추가하는 경우…​ 그러면…​

    엑스포트 정책에 대한 첫 번째 규칙

    1을 입력합니다.

    엑스포트 정책에 대한 추가 규칙

    1. 정책에 기존 규칙을 표시합니다. + 'vserver export-policy rule show-instance-policyname_your_policy_'

    2. 평가해야 하는 순서에 따라 새 규칙의 인덱스 번호를 선택합니다.

  5. 해당 NFS 액세스 값 {'NFS'|'NFS3'|'nfs4'}을 선택합니다.

    NFS는 어떤 버전이든 일치하며 NFS3, nfs4는 특정 버전만을 일치시킵니다.

  6. 내보내기 규칙을 만들어 기존 엑스포트 정책에 추가합니다.

    'vserver export-policy rule create-vserver_vserver_name_-policyname_policy_name_-ruleindex_integer_-protocol{nNFS|NFS3|nfs4}-clientmatch {text|"text,text,…​"}-rorule_security_type_-superuser_security_type_ananID

  7. 내보내기 정책의 규칙을 표시하여 새 규칙이 있는지 확인합니다.

    'vserver export-policy rule show-policyname_policy_name_'

    명령은 해당 정책에 적용되는 규칙 목록을 포함하여 해당 엑스포트 정책에 대한 요약을 표시합니다. ONTAP는 각 규칙에 규칙 인덱스 번호를 할당합니다. 규칙 인덱스 번호를 알고 나면 이 번호를 사용하여 지정된 엑스포트 규칙에 대한 자세한 정보를 표시할 수 있습니다.

  8. 내보내기 정책에 적용된 규칙이 올바르게 구성되었는지 확인합니다.

    'vserver export-policy rule show -policyname_policy_name_-vserver_vserver_name_-ruleindex_integer_'

다음 명령은 RS1이라는 엑스포트 정책에서 VS1이라는 SVM에 엑스포트 규칙이 생성되었는지 확인합니다. 규칙에 인덱스 번호가 1입니다. 이 규칙은 eng.company.com 도메인에 있는 모든 클라이언트와 netgroup@netgroup1과 일치합니다. 이 규칙은 모든 NFS 액세스를 설정합니다. AUTH_SYS로 인증된 사용자에 대한 읽기 전용 및 읽기-쓰기 액세스를 활성화합니다. UNIX 사용자 ID가 0인 클라이언트는 Kerberos로 인증되지 않는 한 익명화됩니다.

vs1::> vserver export-policy rule create -vserver vs1 -policyname exp1 -ruleindex 1 -protocol nfs
-clientmatch .eng.company.com,@netgoup1 -rorule sys -rwrule sys -anon 65534 -superuser krb5

vs1::> vserver export-policy rule show -policyname nfs_policy
Virtual      Policy         Rule    Access    Client           RO
Server       Name           Index   Protocol  Match            Rule
------------ -------------- ------  --------  ---------------- ------
vs1          exp1           1       nfs       eng.company.com, sys
                                              @netgroup1

vs1::> vserver export-policy rule show -policyname exp1 -vserver vs1 -ruleindex 1

                                    Vserver: vs1
                                Policy Name: exp1
                                 Rule Index: 1
                            Access Protocol: nfs
Client Match Hostname, IP Address, Netgroup, or Domain: eng.company.com,@netgroup1
                             RO Access Rule: sys
                             RW Access Rule: sys
User ID To Which Anonymous Users Are Mapped: 65534
                   Superuser Security Types: krb5
               Honor SetUID Bits in SETATTR: true
                  Allow Creation of Devices: true

다음 명령은 expol2라는 엑스포트 정책에서 VS2라는 SVM에 엑스포트 규칙이 생성되었는지 확인합니다. 규칙의 인덱스 번호는 21입니다. 이 규칙은 클라이언트를 netgroup dev_netgroup_main의 구성원과 일치시킵니다. 이 규칙은 모든 NFS 액세스를 설정합니다. AUTH_SYS로 인증되고 읽기-쓰기 및 루트 액세스에 Kerberos 인증이 필요한 사용자에 대해 읽기 전용 액세스를 활성화합니다. UNIX 사용자 ID가 0인 클라이언트는 Kerberos로 인증되지 않는 한 루트 액세스가 거부됩니다.

vs2::> vserver export-policy rule create -vserver vs2 -policyname expol2 -ruleindex 21 -protocol nfs
-clientmatch @dev_netgroup_main -rorule sys -rwrule krb5 -anon 65535 -superuser krb5

vs2::> vserver export-policy rule show -policyname nfs_policy
Virtual  Policy       Rule    Access    Client              RO
Server   Name         Index   Protocol  Match               Rule
-------- ------------ ------  --------  ------------------  ------
vs2      expol2       21       nfs      @dev_netgroup_main  sys

vs2::> vserver export-policy rule show -policyname expol2 -vserver vs1 -ruleindex 21

                                    Vserver: vs2
                                Policy Name: expol2
                                 Rule Index: 21
                            Access Protocol: nfs
Client Match Hostname, IP Address, Netgroup, or Domain:
                                             @dev_netgroup_main
                             RO Access Rule: sys
                             RW Access Rule: krb5
User ID To Which Anonymous Users Are Mapped: 65535
                   Superuser Security Types: krb5
               Honor SetUID Bits in SETATTR: true
                  Allow Creation of Devices: true