您可以使用此 NFS 配置工作表收集为客户端设置 NFS 访问所需的信息。
您应根据决定在何处配置存储来完成此工作表的一个或两个部分:
有关各个参数的详细信息,请参见命令手册页。
用于创建 SVM 的参数
如果要创建新的 SVM,可在 vserver create 命令中提供以下值。
| 字段 | 说明 | 值 |
|---|---|---|
| -vserver | 为新 SVM 提供的名称,可以是完全限定域名 (Fully Qualified Domain Name, FQDN),也可以遵循其他命名约定,确保 SVM 名称在集群中是唯一的。 | |
| -aggregate | 集群中具有足够空间来容纳新 NFS 存储容量的聚合的名称。 | |
| -rootvolume | 为 SVM 根卷提供的唯一名称。 | |
| -rootvolume-security-style | 对 SVM 使用 UNIX 安全模式。 | unix |
| -language | 在此工作流中使用默认语言设置。 | C.UTF-8 |
| ipspace | IP 空间是指 Storage Virtual Machine (SVM) 所在的特有 IP 地址空间。 |
用于创建 NFS 服务器的参数
如果要创建新的 NFS 服务器并指定支持的 NFS 版本,可在 vserver nfs create 命令中提供以下值。
如果要启用 NFSv4 或更高版本,应使用 LDAP 以提高安全性。
| 字段 | 说明 | 值 |
|---|---|---|
| -v3, -v4.0, -v4.1, -v4.1-pnfs | 根据需要启用 NFS 版本。 | |
| -v4-id-domain | ID 映射域名。 | |
| -v4-numeric-ids | 是否支持数字型所有者 ID(启用或禁用)。 |
用于创建 LIF 的参数
如果要创建 LIF,可在 network interface create 命令中提供以下值。
如果要使用 Kerberos,应为多个 LIF 启用 Kerberos。
| 字段 | 说明 | 值 |
|---|---|---|
| -lif | 为新 LIF 提供的名称。 | |
| -role | 在此工作流中使用数据 LIF 角色。 | data |
| -data-protocol | 在此工作流中仅使用 NFS 协议。 | nfs |
| -home-node | 在对 LIF 运行 network interface revert 命令时,此 LIF 返回到的节点。 | |
| -home-port | 在对 LIF 运行 network interface revert 命令时,此 LIF 返回到的端口或接口组。 | |
| -address | 集群中要通过新 LIF 访问数据的 IPv4 或 IPv6 地址。 | |
| -netmask | LIF 的网络掩码和网关。 | |
| -subnet | IP 地址池。用于取代 -address 和 -netmask 来自动分配地址和网络掩码。 | |
| -firewall-policy | 在此工作流中使用默认数据防火墙策略。 | data |
用于 DNS 主机名解析的参数
如果要配置 DNS,可在 vserver services name-service dns create 命令中提供以下值。
| 字段 | 说明 | 值 |
|---|---|---|
| -domains | 最多 5 个 DNS 域名。 | |
| -name-servers | 每个 DNS 名称服务器最多 3 个 IP 地址。 |
用于创建本地用户的参数
如果要创建本地用户,可在 vserver services name-service unix-user create 命令中提供以下值。如果要通过统一资源标识符 (Uniform Resource Identifier, URI) 加载包含 UNIX 用户的文件来配置本地用户,则无需手动指定以下值。
| 用户名 (-user) | 用户 ID (-id) | 组 ID (-primary-gid) | 完整名称 (-full-name) | |
|---|---|---|---|---|
| 示例 | johnm | 123 | 100 | John Miller |
| 1 | ||||
| 2 | ||||
| 3 | ||||
| ... | ||||
| n |
用于创建本地组的参数
如果要创建本地组,可在 vserver services name-service unix-group create 命令中提供以下值。如果要通过 URI 加载包含 UNIX 组的文件来配置本地组,则无需手动指定以下值。
| 组名称 (-name) | 组 ID (-id) | |
|---|---|---|
| 示例 | 工程部 | 100 |
| 1 | ||
| 2 | ||
| 3 | ||
| ... | ||
| n |
用于 NIS 的参数
可在 vserver services name-service nis-domain create 命令中提供以下值。
| 字段 | 说明 | 值 |
|---|---|---|
| -domain | SVM 要用于名称查找的 NIS 域。 | |
| -active | 活动 NIS 域服务器。 | true 或 false |
| -servers | ONTAP 9.0 和 9.1:NIS 域配置使用的 NIS 服务器的一个或多个 IP 地址。 | |
| -nis-servers | ONTAP 9.2:此域配置使用的 NIS 服务器的 IP 地址和主机名列表(以英文逗号分隔)。 |
用于 LDAP 的参数
可在 vserver services name-service ldap client create 命令中提供以下值。
此外,您还需要提供一个自签名根 CA 证书 .pem 文件。
| 字段 | 说明 | 值 |
|---|---|---|
| -vserver | 要创建 LDAP 客户端配置的 SVM 的名称。 | |
| -client-config | 为新的 LDAP 客户端配置分配的名称。 | |
| -servers | ONTAP 9.0 和 9.1:一个或多个 LDAP 服务器,按 IP 地址列出,以英文逗号分隔。 | |
| -ldap-servers | ONTAP 9.2:LDAP 服务器的 IP 地址和主机名列表,以英文逗号分隔。 | |
| -query-timeout | 在此工作流中使用默认值 3 秒。 | 3 |
| -min-bind-level | 最小绑定身份验证级别。默认值为 anonymous。如果配置了签名和签章,则必须设置为 sasl。 | |
| -preferred-ad-servers | 一个或多个首选 Active Directory 服务器,按 IP 地址列出,以英文逗号分隔。 | |
| -ad-domain | Active Directory 域。 | |
| -schema | 要使用的模式模板。您可以使用默认模式或自定义模式。 | |
| -port | 在此工作流中使用默认的 LDAP 服务器端口 389。 | 389 |
| -bind-dn | 绑定用户可分辨名称。 | |
| -base-dn | 基本可分辨名称。默认值为 "" (root)。 | |
| -base-scope | 在此工作流中使用默认的基本搜索范围 subnet。 | subnet |
| -session-security | 启用 LDAP 签名或签名和签章。默认值为 none。 | |
| -use-start-tls | 启用基于 TLS 的 LDAP。默认值为 false。 |
用于 Kerberos 身份验证的参数
可在 vserver nfs kerberos realm create 命令中提供以下值。根据您使用 Microsoft Active Directory 作为密钥分发中心 (Key Distribution Center, KDC) 服务器,还是使用 MIT 或其他 UNIX KDC 服务器,其中某些值可能会有所不同。
| 字段 | 说明 | 值 |
|---|---|---|
| -vserver | 要与 KDC 通信的 SVM。 | |
| -realm | Kerberos 域。 | |
| -clock-skew | 客户端和服务器之间允许的时钟偏差。 | |
| -kdc-ip | KDC IP 地址。 | |
| -kdc-port | KDC 端口号。 | |
| -adserver-name | 仅限 Microsoft KDC:AD 服务器名称。 | |
| -adserver-ip | 仅限 Microsoft KDC:AD 服务器 IP 地址。 | |
| -adminserver-ip | 仅限 UNIX KDC:管理服务器 IP 地址。 | |
| -adminserver-port | 仅限 UNIX KDC:管理服务器端口号。 | |
| -passwordserver-ip | 仅限 UNIX KDC:密码服务器 IP 地址。 | |
| -passwordserver-port | 仅限 UNIX KDC:密码服务器端口。 | |
| -kdc-vendor | KDC 供应商。 | { Microsoft | Other } |
| -comment | 任何所需注释。 |
可在 vserver nfs kerberos interface enable 命令中提供以下值。
| 字段 | 说明 | 值 |
|---|---|---|
| -vserver | SVM要为其创建 Kerberos 配置的 SVM 的名称。 | |
| -lif | 要启用 Kerberos 的数据 LIF。可以为多个 LIF 启用 Kerberos。 | |
| -spn | 服务主体名称 (Service Principle Name, SPN) | |
| -permitted-enc-types | 基于 NFS 的 Kerberos 允许使用的加密类型;建议使用 aes-256,具体取决于客户端功能。 | |
| -admin-username | 用于直接从 KDC 检索 SPN 机密密钥的 KDC 管理员凭据。需要密码 | |
| -keytab-uri | KDC 中包含 SPN 密钥的 keytab 文件(如果没有 KDC 管理员凭据)。 | |
| -ou | 在使用域为 Microsoft KDC 启用 Kerberos 的情况下要创建 Microsoft Active Directory 服务器帐户的组织单位 (Organizational Unit, OU)。 |
用于创建导出策略和规则的参数
可在 vserver export-policy create 命令中提供以下值。
| 字段 | 说明 | 值 |
|---|---|---|
| -vserver | 要托管新卷的 SVM 的名称。 | |
| -policyname | 为新导出策略提供的名称。 |
可在 vserver export-policy rule create 命令中为每个规则提供以下值。
| 字段 | 说明 | 值 |
|---|---|---|
| -clientmatch | 指定客户端匹配项。 | |
| -ruleindex | 导出规则在规则列表中的位置。 | |
| -protocol | 在此工作流中使用 NFS。 | nfs |
| -rorule | 用于只读访问的身份验证方法。 | |
| -rwrule | 用于读写访问的身份验证方法。 | |
| -superuser | 用于超级用户访问的身份验证方法。 | |
| -anon | 匿名用户映射到的用户 ID。 |
必须为每个导出策略创建一个或多个规则。
| -ruleindex | -clientmatch | -rorule | -rwrule | -superuser | -anon |
|---|---|---|---|---|---|
| 示例 | 0.0.0.0/0,@rootaccess_netgroup | any | krb5 | sys | 65534 |
| 1 | |||||
| 2 | |||||
| 3 | |||||
| ... | |||||
| n |
用于创建卷的参数
如果要创建卷,而不是 qtree,可在 volume create 命令中提供以下值。
| 字段 | 说明 | 值 |
|---|---|---|
| -vserver | 要托管新卷的新或现有 SVM 的名称。 | |
| -volume | 为新卷提供的唯一描述性名称。 | |
| -aggregate | 集群中具有足够空间来容纳新 NFS 卷的聚合的名称。 | |
| -size | 为新卷大小提供的整数值。 | |
| -user | 设置为卷根目录所有者的用户的名称或 ID。 | |
| -group | 设置为卷根目录所有者的组的名称或 ID。 | |
| --security-style | 在此工作流中使用 UNIX 安全模式。 | unix |
| -junction-path | 根 (/) 目录下要挂载新卷的位置。 | |
| -export-policy | 如果您要使用现有导出策略,可以在创建卷时输入此策略的名称。 |
用于创建 qtree 的参数
如果要创建 qtree,而不是卷,可在 volume qtree create 命令中提供以下值。
| 字段 | 说明 | 值 |
|---|---|---|
| -vserver | 包含 qtree 的卷所在的 SVM 的名称。 | |
| -volume | 要包含新 qtree 的卷的名称。 | |
| -qtree | 为新 qtree 提供的唯一描述性名称,不超过 64 个字符。 | |
| -qtree-path | 可以采用 /vol/volume_name/qtree_name> 格式指定 qtree 路径参数,而不是单独指定卷和 qtree 参数。 | |
| -unix-permissions | 可选:qtree 的 UNIX 权限。 | |
| -export-policy | 如果您要使用现有导出策略,可以在创建 qtree 时输入此策略的名称。 |