NFS 配置信息收集工作表

您可以使用此 NFS 配置工作表收集为客户端设置 NFS 访问所需的信息。

您应根据决定在何处配置存储来完成此工作表的一个或两个部分:

向启用了 NFS 的 SVM 添加存储容量

有关各个参数的详细信息,请参见命令手册页。

配置对 SVM 的 NFS 访问

用于创建 SVM 的参数

如果要创建新的 SVM,可在 vserver create 命令中提供以下值。

字段 说明
-vserver 为新 SVM 提供的名称,可以是完全限定域名 (Fully Qualified Domain Name, FQDN),也可以遵循其他命名约定,确保 SVM 名称在集群中是唯一的。  
-aggregate 集群中具有足够空间来容纳新 NFS 存储容量的聚合的名称。  
-rootvolume SVM 根卷提供的唯一名称。  
-rootvolume-security-style SVM 使用 UNIX 安全模式。 unix
-language 在此工作流中使用默认语言设置。 C.UTF-8
ipspace IP 空间是指 Storage Virtual Machine (SVM) 所在的特有 IP 地址空间。  

用于创建 NFS 服务器的参数

如果要创建新的 NFS 服务器并指定支持的 NFS 版本,可在 vserver nfs create 命令中提供以下值。

如果要启用 NFSv4 或更高版本,应使用 LDAP 以提高安全性。

字段 说明
-v3, -v4.0, -v4.1, -v4.1-pnfs 根据需要启用 NFS 版本。  
-v4-id-domain ID 映射域名。  
-v4-numeric-ids 是否支持数字型所有者 ID(启用或禁用)。  

用于创建 LIF 的参数

如果要创建 LIF,可在 network interface create 命令中提供以下值。

如果要使用 Kerberos,应为多个 LIF 启用 Kerberos。

字段 说明
-lif 为新 LIF 提供的名称。  
-role 在此工作流中使用数据 LIF 角色。 data
-data-protocol 在此工作流中仅使用 NFS 协议。 nfs
-home-node 在对 LIF 运行 network interface revert 命令时,此 LIF 返回到的节点。  
-home-port 在对 LIF 运行 network interface revert 命令时,此 LIF 返回到的端口或接口组。  
-address 集群中要通过新 LIF 访问数据的 IPv4 或 IPv6 地址。  
-netmask LIF 的网络掩码和网关。  
-subnet IP 地址池。用于取代 -address-netmask 来自动分配地址和网络掩码。  
-firewall-policy 在此工作流中使用默认数据防火墙策略。 data

用于 DNS 主机名解析的参数

如果要配置 DNS,可在 vserver services name-service dns create 命令中提供以下值。

字段 说明
-domains 最多 5 个 DNS 域名。  
-name-servers 每个 DNS 名称服务器最多 3 个 IP 地址。  

名称服务信息

用于创建本地用户的参数

如果要创建本地用户,可在 vserver services name-service unix-user create 命令中提供以下值。如果要通过统一资源标识符 (Uniform Resource Identifier, URI) 加载包含 UNIX 用户的文件来配置本地用户,则无需手动指定以下值。

  用户名 (-user) 用户 ID (-id) 组 ID (-primary-gid) 完整名称 (-full-name)
示例 johnm 123 100 John Miller
1        
2        
3        
...        
n        

用于创建本地组的参数

如果要创建本地组,可在 vserver services name-service unix-group create 命令中提供以下值。如果要通过 URI 加载包含 UNIX 组的文件来配置本地组,则无需手动指定以下值。

  组名称 (-name) 组 ID (-id)
示例 工程部 100
1    
2    
3    
...    
n    

用于 NIS 的参数

可在 vserver services name-service nis-domain create 命令中提供以下值。

注:从 ONTAP 9.2 开始,字段 -nis-servers 将取代字段 -servers。此新字段可使用 NIS 服务器的主机名或 IP 地址。
字段 说明
-domain SVM 要用于名称查找的 NIS 域。  
-active 活动 NIS 域服务器。 truefalse
-servers ONTAP 9.0 和 9.1:NIS 域配置使用的 NIS 服务器的一个或多个 IP 地址。  
-nis-servers ONTAP 9.2:此域配置使用的 NIS 服务器的 IP 地址和主机名列表(以英文逗号分隔)。  

用于 LDAP 的参数

可在 vserver services name-service ldap client create 命令中提供以下值。

此外,您还需要提供一个自签名根 CA 证书 .pem 文件。

注:从 ONTAP 9.2 开始,字段 -ldap-servers 将取代字段 -servers。此新字段可使用 LDAP 服务器的主机名或 IP 地址。
字段 说明
-vserver 要创建 LDAP 客户端配置的 SVM 的名称。  
-client-config 为新的 LDAP 客户端配置分配的名称。  
-servers ONTAP 9.0 和 9.1:一个或多个 LDAP 服务器,按 IP 地址列出,以英文逗号分隔。  
-ldap-servers ONTAP 9.2:LDAP 服务器的 IP 地址和主机名列表,以英文逗号分隔。  
-query-timeout 在此工作流中使用默认值 3 秒。 3
-min-bind-level 最小绑定身份验证级别。默认值为 anonymous。如果配置了签名和签章,则必须设置为 sasl  
-preferred-ad-servers 一个或多个首选 Active Directory 服务器,按 IP 地址列出,以英文逗号分隔。  
-ad-domain Active Directory 域。  
-schema 要使用的模式模板。您可以使用默认模式或自定义模式。  
-port 在此工作流中使用默认的 LDAP 服务器端口 389 389
-bind-dn 绑定用户可分辨名称。  
-base-dn 基本可分辨名称。默认值为 "" (root)。  
-base-scope 在此工作流中使用默认的基本搜索范围 subnet subnet
-session-security 启用 LDAP 签名或签名和签章。默认值为 none  
-use-start-tls 启用基于 TLS 的 LDAP。默认值为 false  

用于 Kerberos 身份验证的参数

可在 vserver nfs kerberos realm create 命令中提供以下值。根据您使用 Microsoft Active Directory 作为密钥分发中心 (Key Distribution Center, KDC) 服务器,还是使用 MIT 或其他 UNIX KDC 服务器,其中某些值可能会有所不同。

字段 说明
-vserver 要与 KDC 通信的 SVM  
-realm Kerberos 域。  
-clock-skew 客户端和服务器之间允许的时钟偏差。  
-kdc-ip KDC IP 地址。  
-kdc-port KDC 端口号。  
-adserver-name 仅限 Microsoft KDC:AD 服务器名称。  
-adserver-ip 仅限 Microsoft KDC:AD 服务器 IP 地址。  
-adminserver-ip 仅限 UNIX KDC:管理服务器 IP 地址。  
-adminserver-port 仅限 UNIX KDC:管理服务器端口号。  
-passwordserver-ip 仅限 UNIX KDC:密码服务器 IP 地址。  
-passwordserver-port 仅限 UNIX KDC:密码服务器端口。  
-kdc-vendor KDC 供应商。 { Microsoft | Other }
-comment 任何所需注释。  

可在 vserver nfs kerberos interface enable 命令中提供以下值。

字段 说明
-vserver SVM要为其创建 Kerberos 配置的 SVM 的名称。  
-lif 要启用 Kerberos 的数据 LIF。可以为多个 LIF 启用 Kerberos。  
-spn 服务主体名称 (Service Principle Name, SPN)  
-permitted-enc-types 基于 NFS 的 Kerberos 允许使用的加密类型;建议使用 aes-256,具体取决于客户端功能。  
-admin-username 用于直接从 KDC 检索 SPN 机密密钥的 KDC 管理员凭据。需要密码  
-keytab-uri KDC 中包含 SPN 密钥的 keytab 文件(如果没有 KDC 管理员凭据)。  
-ou 在使用域为 Microsoft KDC 启用 Kerberos 的情况下要创建 Microsoft Active Directory 服务器帐户的组织单位 (Organizational Unit, OU)。  

向启用了 NFS 的 SVM 添加存储容量

用于创建导出策略和规则的参数

可在 vserver export-policy create 命令中提供以下值。

字段 说明
-vserver 要托管新卷的 SVM 的名称。  
-policyname 为新导出策略提供的名称。  

可在 vserver export-policy rule create 命令中为每个规则提供以下值。

字段 说明
-clientmatch 指定客户端匹配项。  
-ruleindex 导出规则在规则列表中的位置。  
-protocol 在此工作流中使用 NFS。 nfs
-rorule 用于只读访问的身份验证方法。  
-rwrule 用于读写访问的身份验证方法。  
-superuser 用于超级用户访问的身份验证方法。  
-anon 匿名用户映射到的用户 ID。  

必须为每个导出策略创建一个或多个规则。

-ruleindex -clientmatch -rorule -rwrule -superuser -anon
示例 0.0.0.0/0,@rootaccess_netgroup any krb5 sys 65534
1          
2          
3          
...          
n          

用于创建卷的参数

如果要创建卷,而不是 qtree,可在 volume create 命令中提供以下值。

字段 说明
-vserver 要托管新卷的新或现有 SVM 的名称。  
-volume 为新卷提供的唯一描述性名称。  
-aggregate 集群中具有足够空间来容纳新 NFS 卷的聚合的名称。  
-size 为新卷大小提供的整数值。  
-user 设置为卷根目录所有者的用户的名称或 ID。  
-group 设置为卷根目录所有者的组的名称或 ID。  
--security-style 在此工作流中使用 UNIX 安全模式。 unix
-junction-path 根 (/) 目录下要挂载新卷的位置。  
-export-policy 如果您要使用现有导出策略,可以在创建卷时输入此策略的名称。  

用于创建 qtree 的参数

如果要创建 qtree,而不是卷,可在 volume qtree create 命令中提供以下值。

字段 说明
-vserver 包含 qtree 的卷所在的 SVM 的名称。  
-volume 要包含新 qtree 的卷的名称。  
-qtree 为新 qtree 提供的唯一描述性名称,不超过 64 个字符。  
-qtree-path 可以采用 /vol/volume_name/qtree_name> 格式指定 qtree 路径参数,而不是单独指定卷和 qtree 参数。  
-unix-permissions 可选:qtree 的 UNIX 权限。  
-export-policy 如果您要使用现有导出策略,可以在创建 qtree 时输入此策略的名称。