Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

收集NFS組態資訊的工作表

貢獻者
PDF

NFS組態工作表可讓您收集必要資訊、以便為用戶端設定NFS存取。

您應該根據您對儲存資源配置的決策、完成工作表的一或兩個區段:

如果您要設定SVM的NFS存取、請完成這兩個部分。

  • 設定SVM的NFS存取

  • 將儲存容量新增至啟用NFS的SVM

如果您要將儲存容量新增至啟用NFS的SVM、則只應完成下列步驟:

  • 將儲存容量新增至啟用NFS的SVM

如需參數的詳細資訊、請參閱命令手冊頁。

設定SVM的NFS存取

*用於建立SVM*的參數

您可以將這些值提供給 vserver create 命令、如果您要建立新的 SVM 。

欄位

說明

您的價值

-vserver

您為新SVM提供的名稱、可以是完整網域名稱(FQDN)、也可以遵循另一種在叢集內強制執行唯一SVM名稱的慣例。

-aggregate

叢集中有足夠空間可容納新NFS儲存容量的集合體名稱。

-rootvolume

您為SVM根磁碟區提供的唯一名稱。

-rootvolume-security-style

使用SVM的UNIX安全樣式。

unix

-language

使用此工作流程中的預設語言設定。

C.UTF-8

ipspace

IPspaces是(儲存虛擬機器(SVM))所在的不同IP位址空間。

建立NFS伺服器的參數

您可以將這些值提供給 vserver nfs create 命令:建立新的 NFS 伺服器並指定支援的 NFS 版本。

如果您要啟用NFSv4或更新版本、則應使用LDAP來改善安全性。

欄位

說明

您的價值

-v3-v4.0-v4.1-v4.1-pnfs

視需要啟用NFS版本。

註 ONTAP 9.8 及更新版本也支援 V4.2 v4.1 已啟用。

-v4-id-domain

ID對應網域名稱。

-v4-numeric-ids

支援數字擁有者ID(啟用或停用)。

  • 為 NFS 連線啟用 TLS 加密的參數 *

您可以將這些值提供給 vserver nfs tls interface enable 命令。

註 9.15.1 提供 ONTAP over TLS 的公開預覽功能。ONTAP 9.15.1 的正式作業工作負載不支援 NFS over TLS 作為預覽產品。

欄位

說明

您的價值

-vserver

存在邏輯介面的虛擬伺服器。

-lif

您要在傳輸過程中使用 NFS over TLS 啟用加密的邏輯介面名稱。

-certificate-name

在儲存 VM 中設定的 X.509 憑證名稱。

*用於建立LIF*的參數

您可以將這些值提供給 network interface create 建立生命時的命令。

如果您使用Kerberos、則應在多個LIF上啟用Kerberos。

欄位

說明

您的價值

-lif

您為新LIF提供的名稱。

-role

在此工作流程中使用資料LIF角色。

data

-data-protocol

在此工作流程中僅使用NFS傳輸協定。

nfs

-home-node

LIF 在返回時返回的節點 network interface revert 命令會在LIF上執行。

-home-port

LIF 在返回時傳回的連接埠或介面群組 network interface revert 命令會在LIF上執行。

-address

叢集上的IPV4或IPv6位址、用於新LIF的資料存取。

-netmask

LIF的網路遮罩和閘道。

-subnet

IP位址集區。改用 -address-netmask 自動指派位址和網路遮罩。

-firewall-policy

在此工作流程中使用預設的資料防火牆原則。

data

  • DNS主機名稱解析參數*

您可以將這些值提供給 vserver services name-service dns create 設定 DNS 時的命令。

欄位

說明

您的價值

-domains

最多五個DNS網域名稱。

-name-servers

每個DNS名稱伺服器最多三個IP位址。

名稱服務資訊

建立本機使用者的參數

如果您是使用建立本機使用者、請提供這些值 vserver services name-service unix-user create 命令。如果您是透過從統一資源識別元(URI)載入含有UNIX使用者的檔案來設定本機使用者、則不需要手動指定這些值。

使用者名稱 (-user)

使用者ID (-id)

群組ID (-primary-gid)

全名 (-full-name)

範例

johnm

123.

100

John Miller

1.

2.

3.

…​

n

建立本機群組的參數

如果您是使用建立本機群組、請提供這些值 vserver services name-service unix-group create 命令。如果您是從URI載入含有UNIX群組的檔案來設定本機群組、則不需要手動指定這些值。

群組名稱 (-name

群組ID (-id

範例

工程

100

1.

2.

3.

…​

n

  • NIS的參數*

您可以將這些值提供給 vserver services name-service nis-domain create 命令。

註

從 ONTAP 9.2 開始 -nis-servers 取代欄位 -servers。此新欄位可取得 NIS 伺服器的主機名稱或 IP 位址。

欄位

說明

您的價值

-domain

SVM將用於名稱查詢的NIS網域。

-active

作用中的NIS網域伺服器。

truefalse

-servers

部分9.0、9.1:NIS網域組態所使用之NIS伺服器的一個或多個IP位址。ONTAP

-nis-servers

解答9.2:網域組態所使用之NIS伺服器的IP位址和主機名稱清單、以逗號分隔。ONTAP

  • LDAP*的參數

您可以將這些值提供給 vserver services name-service ldap client create 命令。

您也需要自我簽署的根 CA 憑證 .pem 檔案:

註

從 ONTAP 9.2 開始 -ldap-servers 取代欄位 -servers。此新欄位可以使用LDAP伺服器的主機名稱或IP位址。
欄位 說明 您的價值

-vserver

您要為其建立LDAP用戶端組態的SVM名稱。

-client-config

您指派給新LDAP用戶端組態的名稱。

-servers

部分9.0、9.1:一個或多個LDAP伺服器、依IP位址在以逗號分隔的清單中。ONTAP

-ldap-servers

《示例9.2:LDAP伺服器的IP位址和主機名稱清單》(以英文分隔)ONTAP 。

-query-timeout

使用預設值 3 此工作流程的秒數。

3

-min-bind-level

最小連結驗證層級。預設值為 anonymous。必須設定為 sasl 如果已設定簽署和密封。

-preferred-ad-servers

在以逗號分隔的清單中、依IP位址列出一或多個慣用的Active Directory伺服器。

-ad-domain

Active Directory網域。

-schema

要使用的架構範本。您可以使用預設或自訂架構。

-port

使用預設的 LDAP 伺服器連接埠 389 適用於此工作流程。

389

-bind-dn

「連結」使用者辨別名稱。

-base-dn

基礎辨別名稱。預設值為 "" (根目錄)。

-base-scope

使用預設的基礎搜尋範圍 subnet 適用於此工作流程。

subnet

-session-security

啟用LDAP簽署或簽署及密封。預設值為 none

-use-start-tls

啟用LDAP over TLS。預設值為 false

  • Kerberos驗證的參數*

您可以將這些值提供給 vserver nfs kerberos realm create 命令。部分值會因您使用Microsoft Active Directory做為金鑰發佈中心(Kdc)伺服器、MIT或其他UNIX Kdc伺服器而有所不同。

欄位

說明

您的價值

-vserver

與Kdc通訊的SVM。

-realm

Kerberos領域。

-clock-skew

用戶端與伺服器之間允許的時鐘偏移。

-kdc-ip

Kdc IP位址。

-kdc-port

Kdc連接埠號碼。

-adserver-name

僅限Microsoft Kdc:AD伺服器名稱。

-adserver-ip

僅限Microsoft Kdc:AD伺服器IP位址。

-adminserver-ip

僅UNIX Kdc:管理伺服器IP位址。

-adminserver-port

僅UNIX Kdc:管理伺服器連接埠號碼。

-passwordserver-ip

僅UNIX Kdc:密碼伺服器IP位址。

-passwordserver-port

僅UNIX Kdc:密碼伺服器連接埠。

-kdc-vendor

Kdc廠商:

Microsoft

Other }

-comment

任何想要的意見。

您可以將這些值提供給 vserver nfs kerberos interface enable 命令。

欄位

說明

您的價值

-vserver

您要為其建立Kerberos組態的SVM名稱。

-lif

您要啟用Kerberos的資料LIF。您可以在多個LIF上啟用Kerberos。

-spn

服務原則名稱(SPN-)

-permitted-enc-types

Kerberos over NFS 允許的加密類型; aes-256 建議使用、視用戶端功能而定。

-admin-username

用於直接從Kdc擷取SPN機密金鑰的Kdc系統管理員認證。需要密碼

-keytab-uri

如果您沒有Kdc系統管理員認證、則會從包含SPN-Key的Kdc取得Keytab檔案。

-ou

當您使用領域為Microsoft Kdc啟用Kerberos時、會在組織單位(OU)下建立Microsoft Active Directory伺服器帳戶。

將儲存容量新增至啟用NFS的SVM

用於建立匯出原則與規則的參數

您可以將這些值提供給 vserver export-policy create 命令。

欄位

說明

您的價值

-vserver

將裝載新磁碟區的SVM名稱。

-policyname

您為新的匯出原則提供的名稱。

您可以為每個規則提供這些值 vserver export-policy rule create 命令。

欄位

說明

您的價值

-clientmatch

用戶端符合規格。

-ruleindex

匯出規則在規則清單中的位置。

-protocol

在此工作流程中使用NFS。

nfs

-rorule

唯讀存取的驗證方法。

-rwrule

讀寫存取的驗證方法。

-superuser

超級使用者存取的驗證方法。

-anon

匿名使用者對應的使用者ID。

您必須為每個匯出原則建立一或多個規則。

-ruleindex

-clientmatch

-rorule

-rwrule

-superuser

-anon

範例

0.00.0.0/0、@rootaccess_netgroup

任何

KRB5

系統

65534

1.

2.

3.

…​

n

建立Volume的參數

您可以將這些值提供給 volume create 如果您要建立的是 Volume 而非 qtree 、則為命令。

欄位

說明

您的價值

-vserver

將裝載新磁碟區的新SVM或現有SVM名稱。

-volume

您為新磁碟區提供的唯一描述性名稱。

-aggregate

叢集中有足夠空間可容納新NFS磁碟區的集合體名稱。

-size

您為新磁碟區大小所提供的整數。

-user

設定為磁碟區根目錄擁有者的使用者名稱或ID。

-group

設定為磁碟區根目錄擁有者的群組名稱或ID。

--security-style

使用UNIX安全樣式來執行此工作流程。

unix

-junction-path

要掛載新磁碟區的根目錄(/)下的位置。

-export-policy

如果您打算使用現有的匯出原則、則可以在建立Volume時輸入其名稱。

用於建立qtree的參數

您可以將這些值提供給 volume qtree create 如果您要建立 qtree 而非 Volume 、請執行命令。

欄位

說明

您的價值

-vserver

包含qtree之磁碟區所在的SVM名稱。

-volume

將包含新qtree的磁碟區名稱。

-qtree

您為新qtree提供的唯一描述性名稱、64個字元或更少。

-qtree-path

格式中的 qtree path 引數 /vol/volume_name/qtree_name\> 可以指定、而非將 Volume 和 qtree 指定為個別的引數。

-unix-permissions

選用:qtree的UNIX權限。

-export-policy

如果您打算使用現有的匯出原則、可以在建立qtree時輸入其名稱。