Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

导出规则的工作原理

贡献者

导出规则是导出策略的功能要素。导出规则会根据您配置的特定参数将客户端对卷的访问请求进行匹配,以确定如何处理客户端访问请求。

导出策略必须至少包含一个导出规则,才能访问客户端。如果导出策略包含多个规则,则这些规则将按照它们在导出策略中的显示顺序进行处理。规则顺序由规则索引编号决定。如果某个规则与客户端匹配,则会使用该规则的权限,而不再处理其他规则。如果没有匹配的规则,客户端将被拒绝访问。

您可以使用以下条件配置导出规则以确定客户端访问权限:

  • 发送请求的客户端使用的文件访问协议,例如 NFSv4 或 SMB 。

  • 客户端标识符,例如主机名或 IP 地址。

    的最大大小 -clientmatch 字段为4096个字符。

  • 客户端用于进行身份验证的安全类型,例如 Kerberos v5 , NTLM 或 AUTH_SYS 。

如果某个规则指定了多个条件,则客户端必须与所有条件匹配,才能应用此规则。

备注

从 ONTAP 9.3 开始,您可以将导出策略配置检查作为后台作业来启用,以便在错误规则列表中记录任何违规。。 vserver export-policy config-checker 命令会调用检查程序并显示结果、您可以使用这些结果来验证配置并从策略中删除错误的规则。

命令仅验证主机名,网络组和匿名用户的导出配置。

示例

导出策略包含具有以下参数的导出规则:

  • -protocol nfs3

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule any

  • -rwrule any

客户端访问请求使用 NFSv3 协议发送,并且客户端的 IP 地址为 10.1.17.37 。

即使客户端访问协议匹配,客户端的 IP 地址也与导出规则中指定的 IP 地址位于不同的子网中。因此,客户端匹配失败,此规则不适用于此客户端。

示例

导出策略包含具有以下参数的导出规则:

  • -protocol nfs

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule any

  • -rwrule any

客户端访问请求使用NFSv4协议发送、客户端的IP地址为10.1.16.54。

客户端访问协议匹配,并且客户端的 IP 地址位于指定子网中。因此,客户端匹配成功,此规则将适用场景此客户端。无论安全类型如何,客户端都可以获得读写访问权限。

示例

导出策略包含具有以下参数的导出规则:

  • -protocol nfs3

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule any

  • -rwrule krb5,ntlm

客户端 1 的 IP 地址为 10.1.16.207 ,使用 NFSv3 协议发送访问请求,并使用 Kerberos v5 进行身份验证。

客户端 2 的 IP 地址为 10.1.16.211 ,使用 NFSv3 协议发送访问请求,并使用 AUTH_SYS 进行身份验证。

这两个客户端的客户端访问协议和 IP 地址匹配。只读参数允许对所有客户端进行只读访问,而不管客户端使用哪种安全类型进行身份验证。因此,这两个客户端都将获得只读访问权限。但是,只有客户端 1 获得读写访问权限,因为它使用经过批准的安全类型 Kerberos v5 进行身份验证。客户端 2 不会获得读写访问权限。