Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

用于收集 NFS 配置信息的工作表

贡献者
PDF

通过 NFS 配置工作表,您可以收集为客户端设置 NFS 访问所需的信息。

您应根据决定在何处配置存储来完成工作表的一个或两个部分:

如果要配置对 SVM 的 NFS 访问,应完成这两个部分。

  • 配置对 SVM 的 NFS 访问

  • 向启用了 NFS 的 SVM 添加存储容量

如果要向启用了NFS的SVM添加存储容量、则应仅完成以下操作:

  • 向启用了 NFS 的 SVM 添加存储容量

有关参数的详细信息,请参见命令手册页。

配置对 SVM 的 NFS 访问

  • 用于创建 SVM* 的参数

您可以在中提供这些值 vserver create 命令。

字段

Description

您的价值

-vserver

您为新 SVM 提供的名称,可以是完全限定域名( FQDN ),也可以遵循在集群中强制实施唯一 SVM 名称的其他约定。

-aggregate

集群中具有足够空间来容纳新 NFS 存储容量的聚合的名称。

-rootvolume

为 SVM 根卷提供的唯一名称。

-rootvolume-security-style

对 SVM 使用 UNIX 安全模式。

unix

-language

在此工作流中使用默认语言设置。

C.UTF-8

ipspace

IP 空间是 Storage Virtual Machine ( SVM )所在的不同 IP 地址空间。

  • 用于创建 NFS 服务器的参数 *

您可以在中提供这些值 vserver nfs create 命令。

如果要启用 NFSv4 或更高版本,则应使用 LDAP 来提高安全性。

字段

Description

您的价值

-v3-v4.0-v4.1-v4.1-pnfs

根据需要启用 NFS 版本。

备注 ONTAP 9.8及更高版本也支持v4.2 v4.1 已启用。

-v4-id-domain

ID 映射域名。

-v4-numeric-ids

支持数字所有者 ID (已启用或已禁用)。

为NFS连接启用TLS加密的参数

您可以在中提供这些值 vserver nfs tls interface enable 命令:

备注 基于TLS的NFS在ONTAP 9.151中提供公开预览版。作为预览选项、ONTAP 9.15.1中的生产工作负载不支持基于TLS的NFS。

字段

Description

您的价值

-vserver

逻辑接口所在的Vserver。

-lif

要在传输过程中使用基于TLS的NFS启用加密的逻辑接口的名称。

-certificate-name

在Storage VM中配置的X.509证书的名称。

  • 用于创建 LIF* 的参数

您可以在中提供这些值 network interface create 命令。

如果您使用的是 Kerberos ,则应在多个 LIF 上启用 Kerberos 。

字段

Description

您的价值

-lif

为新 LIF 提供的名称。

-role

在此工作流中使用数据 LIF 角色。

data

-data-protocol

在此工作流中仅使用 NFS 协议。

nfs

-home-node

LIF返回到的节点 network interface revert 命令将在LIF上运行。

-home-port

LIF返回到的端口或接口组 network interface revert 命令将在LIF上运行。

-address

集群上要由新 LIF 用于数据访问的 IPv4 或 IPv6 地址。

-netmask

LIF 的网络掩码和网关。

-subnet

IP 地址池。已使用、而不是 -address-netmask 自动分配地址和网络掩码。

-firewall-policy

在此工作流中使用默认数据防火墙策略。

data

  • 用于 DNS 主机名解析的参数 *

您可以在中提供这些值 vserver services name-service dns create 命令。

字段

Description

您的价值

-domains

最多五个 DNS 域名。

-name-servers

每个 DNS 名称服务器最多三个 IP 地址。

名称服务信息

  • 用于创建本地用户的参数 *

如果要创建本地用户、请使用提供以下值 vserver services name-service unix-user create 命令:如果要通过从统一资源标识符( Uniform Resource Identifier , URI )加载包含 UNIX 用户的文件来配置本地用户,则无需手动指定这些值。

用户名 (-user)

用户 ID (-id)

组 ID (-primary-gid)

全名 (-full-name)

示例

johnm

123.

100

John Miller

1.

2.

3.

…​

不包括

  • 用于创建本地组的参数 *

如果要创建本地组、请使用提供以下值 vserver services name-service unix-group create 命令:如果要通过从 URI 加载包含 UNIX 组的文件来配置本地组,则无需手动指定这些值。

组名称 (-name

组 ID (-id

示例

工程

100

1.

2.

3.

…​

不包括

  • 用于 NIS* 的参数

您可以在中提供这些值 vserver services name-service nis-domain create 命令:

备注

从ONTAP 9.2开始、此字段为 -nis-servers 替换字段 -servers。此新字段可以使用NIS服务器的主机名或IP地址。

字段

Description

您的价值

-domain

SVM 将用于名称查找的 NIS 域。

-active

活动的 NIS 域服务器。

truefalse

-servers

ONTAP 9.0 和 9.1 : NIS 域配置使用的一个或多个 NIS 服务器 IP 地址。

-nis-servers

ONTAP 9.2 :域配置所使用的 NIS 服务器的 IP 地址和主机名列表,以英文逗号分隔。

LDAP 的 * 参数 *

您可以在中提供这些值 vserver services name-service ldap client create 命令:

您还需要自签名根CA证书 .pem 文件

备注

从ONTAP 9.2开始、此字段为 -ldap-servers 替换字段 -servers。此新字段可以使用 LDAP 服务器的主机名或 IP 地址。
字段 Description 您的价值

-vserver

要为其创建 LDAP 客户端配置的 SVM 的名称。

-client-config

为新 LDAP 客户端配置分配的名称。

-servers

ONTAP 9.0 和 9.1 :一个或多个 LDAP 服务器,按 IP 地址列出,以逗号分隔。

-ldap-servers

ONTAP 9.2 : LDAP 服务器的 IP 地址和主机名列表,以英文逗号分隔。

-query-timeout

使用默认值 3 秒。

3

-min-bind-level

最小绑定身份验证级别。默认值为 anonymous。必须设置为 sasl 如果配置了签名和签章。

-preferred-ad-servers

一个或多个首选 Active Directory 服务器,按 IP 地址列出,以逗号分隔。

-ad-domain

Active Directory 域。

-schema

要使用的模式模板。您可以使用默认模式或自定义模式。

-port

使用默认LDAP服务器端口 389

389

-bind-dn

绑定用户可分辨名称。

-base-dn

基本可分辨名称。默认值为 "" (root)。

-base-scope

使用默认的基本搜索范围 subnet

subnet

-session-security

启用 LDAP 签名或签名和签章。默认值为 none

-use-start-tls

启用基于 TLS 的 LDAP 。默认值为 false

  • 用于 Kerberos 身份验证的参数 *

您可以在中提供这些值 vserver nfs kerberos realm create 命令:根据您使用 Microsoft Active Directory 作为密钥分发中心( Key Distribution Center , KDC )服务器,还是使用 MIT 或其他 UNIX KDC 服务器,某些值会有所不同。

字段

Description

您的价值

-vserver

要与 KDC 通信的 SVM 。

-realm

Kerberos 域。

-clock-skew

客户端和服务器之间允许的时钟偏差。

-kdc-ip

KDC IP 地址。

-kdc-port

KDC 端口号。

-adserver-name

仅限 Microsoft KDC : AD 服务器名称。

-adserver-ip

仅限 Microsoft KDC : AD 服务器 IP 地址。

-adminserver-ip

仅限 UNIX KDC :管理服务器 IP 地址。

-adminserver-port

仅限 UNIX KDC :管理服务器端口号。

-passwordserver-ip

仅限 UNIX KDC :密码服务器 IP 地址。

-passwordserver-port

仅限 UNIX KDC :密码服务器端口。

-kdc-vendor

KDC 供应商。

Microsoft 我们可以为您提供 Other

-comment

任何所需注释。

您可以在中提供这些值 vserver nfs kerberos interface enable 命令:

字段

Description

您的价值

-vserver

要为其创建 Kerberos 配置的 SVM 的名称。

-lif

要启用 Kerberos 的数据 LIF 。您可以在多个 LIF 上启用 Kerberos 。

-spn

服务主体名称( SPN )

-permitted-enc-types

基于NFS的Kerberos允许的加密类型; aes-256 建议使用、具体取决于客户端功能。

-admin-username

用于直接从 KDC 检索 SPN 机密密钥的 KDC 管理员凭据。密码为必填项

-keytab-uri

如果您没有 KDC 管理员凭据,则为 KDC 中包含 SPN 密钥的 keytab 文件。

-ou

使用域为 Microsoft KDC 启用 Kerberos 时,要在其中创建 Microsoft Active Directory 服务器帐户的组织单位( OU )。

向启用了 NFS 的 SVM 添加存储容量

  • 用于创建导出策略和规则的参数 *

您可以在中提供这些值 vserver export-policy create 命令:

字段

Description

您的价值

-vserver

要托管新卷的 SVM 的名称。

-policyname

为新导出策略提供的名称。

您可以使用为每个规则提供以下值 vserver export-policy rule create 命令:

字段

Description

您的价值

-clientmatch

客户端匹配规范。

-ruleindex

导出规则在规则列表中的位置。

-protocol

在此工作流中使用 NFS 。

nfs

-rorule

只读访问的身份验证方法。

-rwrule

读写访问的身份验证方法。

-superuser

用于超级用户访问的身份验证方法。

-anon

匿名用户映射到的用户 ID 。

您必须为每个导出策略创建一个或多个规则。

-ruleindex

-clientmatch

-rorule

-rwrule

-superuser

-anon

示例

0.0.0.0/0 ,@rootaccess_netgroup

任意

krb5.

系统

6554

1.

2.

3.

…​

不包括

用于创建卷的 * 参数 *

您可以在中提供这些值 volume create 命令。

字段

Description

您的价值

-vserver

要托管新卷的新 SVM 或现有 SVM 的名称。

-volume

为新卷提供的唯一描述性名称。

-aggregate

集群中具有足够空间来容纳新 NFS 卷的聚合的名称。

-size

为新卷的大小提供的整数。

-user

设置为卷根所有者的用户的名称或 ID 。

-group

设置为卷根所有者的组的名称或 ID 。

--security-style

对此工作流使用 UNIX 安全模式。

unix

-junction-path

根( / )下要挂载新卷的位置。

-export-policy

如果您计划使用现有导出策略,则可以在创建卷时输入其名称。

用于创建 qtree* 的 * 参数

您可以在中提供这些值 volume qtree create 命令。

字段

Description

您的价值

-vserver

包含 qtree 的卷所在 SVM 的名称。

-volume

要包含新 qtree 的卷的名称。

-qtree

为新 qtree 提供的唯一描述性名称,不超过 64 个字符。

-qtree-path

格式的qtree路径参数 /vol/volume_name/qtree_name\> 可以指定、而不是将卷和qtree指定为单独的参数。

-unix-permissions

可选: qtree 的 UNIX 权限。

-export-policy

如果您计划使用现有导出策略,则可以在创建 qtree 时输入其名称。