用于收集 NFS 配置信息的工作表
可使用 NFS 配置工作表收集为客户端设置 NFS 访问权限所需的信息。
应完成工作表中的一个或两个部分,具体取决于配置存储位置的决策:
如果要为 SVM 配置 NFS 访问权限,应完成两个部分。
如果要为启用了 NFS 的 SVM 添加存储容量,应仅完成第二部分。
有关参数的详细信息,请参阅命令手册页。
配置 NFS 对 SVM 的访问权限
用于创建 SVM 的参数
使用 vserver create 命令新建 SVM 时可使用以下值。
| 字段 | 描述 | 值 |
|---|---|---|
| -vserver | 为新 SVM 提供的名称必须是标准域名(FQDN),或遵守其他可强制确保 SVM 名称在集群中唯一的约定。 | |
| -aggregate | 集群中聚合的名称,它拥有足够的空间为新 NFS 提供存储容量。 | |
| -rootvolume | 为 SVM 根卷提供的唯一名称。 | |
| -rootvolume-security-style | 对 SVM 使用 UNIX 安全模式。 | unix |
| -language | 在此工作流程中使用默认语言设置。 | C.UTF-8 |
| ipspace | IPspace 是存储虚拟机(SVM)所在的独特 IP 地址空间。 |
用于创建 NFS 服务器的参数
使用 vserver nfs create 命令新建 NFS 服务器并指定支持的 NFS 版本时可使用以下值。
如果要启用 NFSv4 或更高版本,应使用 LDAP 提高安全性。
| 字段 | 描述 | 值 |
|---|---|---|
| -v3, -v4.0, -v4.1, -v4.1-pnfs | 根据需要启用 NFS 版本。 注 启用 | |
| -v4-id-domain | 标识映射域名。 | |
| -v4-numeric-ids | 支持数字所有者标识(已启用或已禁用)。 |
用于创建 LIF 的参数
使用 network interface create 命令创建 LIF 时可使用以下值。
如果使用的是 Kerberos,应在多个 LIF 上启用 Kerberos。
| 字段 | 描述 | 值 |
|---|---|---|
| -lif | 为新 LIF 提供的名称。 | |
| -role | 在此工作流程中使用 data LIF 角色。 | data |
| -data-protocol | 在此工作流程中仅使用 NFS 协议。 | nfs |
| -home-node | 在 LIF 上运行 network interface revert 命令时 LIF 返回的节点。 | |
| -home-port | 在 LIF 上运行 network interface revert 命令时 LIF 返回的端口或接口组。 | |
| -address | 新 LIF 进行数据访问用到的集群 IPv4 或 IPv6 地址。 | |
| -netmask | LIF 的网络掩码和网关。 | |
| -subnet | IP 地址池。取代 -address 和 -netmask 以自动分配地址和网络掩码。 | |
| -firewall-policy | 在此工作流程中使用默认数据防火墙策略。 | data |
用于 DNS 主机名解析的参数
使用 vserver services name-service dns create 命令配置 DNS 时可使用以下值。
| 字段 | 描述 | 值 |
|---|---|---|
| -domains | 最多五个 DNS 域名。 | |
| -name-servers | 每个 DNS 服务器最多三个 IP 地址。 |
名称服务信息
用于创建本地用户的参数
使用 vserver services name-service unix-user create 命令创建本地用户时可使用以下值。如果要通过从统一资源标识符(URI)加载包含 UNIX 用户的文件来配置本地用户,则不需要手动指定这些值。
| 用户名 (-user) | 用户标识 (-id) | 组标识 (-primary-gid) | 全名 (-full-name) | |
|---|---|---|---|---|
| 示例 | johnm | 123 | 100 | John Miller |
| 1 | ||||
| 2 | ||||
| 3 | ||||
| ... | ||||
| n |
用于创建本地组的参数
使用 vserver services name-service unix-group create 命令创建本地组时可使用以下值。如果要通过从 URI 加载包含 UNIX 组的文件来配置本地组,则不需要手动指定这些值。
| 组名称(-name) | 组标识(-id) | |
|---|---|---|
| 示例 | 工程 | 100 |
| 1 | ||
| 2 | ||
| 3 | ||
| ... | ||
| n |
用于 NIS 的参数
使用 vserver services name-service nis-domain create 命令时可使用以下值。
| 字段 | 描述 | 值 |
|---|---|---|
| -domain | SVM 将用于查找名称的 NIS 域。 | |
| -active | 活动 NIS 域服务器。 | true 或 false |
| -nis-servers | 域配置使用的 NIS 服务器的以逗号分隔的 IP 地址和主机名列表。 |
用于 LDAP 的参数
使用 vserver services name-service ldap client create 命令时可使用以下值。
还需要一个自签名的根 CA 证书 .pem 文件。
| 字段 | 描述 | 值 |
|---|---|---|
| -vserver | 要为其创建 LDAP 客户端配置的 SVM 的名称。 | |
| -client-config | 为新的 LDAP 客户端配置分配的名称。 | |
| -ldap-servers | LDAP 服务器的以逗号分隔的 IP 地址和主机名列表。 | |
| -query-timeout | 在此工作流程中使用默认值 3 秒。 | 3 |
| -min-bind-level | 最低绑定认证级别。默认设置为 anonymous。如果配置签名和密封,则必须设置为 sasl。 | |
| -preferred-ad-servers | 一个或多个首选 Active Directory 服务器的 IP 地址以逗号分隔的列表。 | |
| -ad-domain | Active Directory 域。 | |
| -schema | 要使用的架构模板。可使用默认或自定义架构。 | |
| -port | 在此工作流程中使用默认 LDAP 服务器端口 389。 | 389 |
| -bind-dn | 绑定用户可分辨名称。 | |
| -base-dn | 基本可分辨名称。默认值为 ""(根)。 | |
| -base-scope | 在此工作流程中使用默认基本搜索范围 subnet。 | subnet |
| -session-security | 启用 LDAP 签名或签名和密封。默认设置为 none。 | |
| -use-start-tls | 启用 LDAP over TLS。默认值为 false。 |
用于 Kerberos 认证的参数
使用 vserver nfs kerberos realm create 命令时可使用以下值。其中的一些值取决于您将 Microsoft Active Directory 用作密钥分发中心(KDC)服务器还是 MIT 或其他 UNIX KDC 服务器。
| 字段 | 描述 | 值 |
|---|---|---|
| -vserver | 将与 KDC 通信的 SVM。 | |
| -realm | Kerberos 领域。 | |
| -clock-skew | 允许的客户端与服务器之间的时钟偏差。 | |
| -kdc-ip | KDC IP 地址。 | |
| -kdc-port | KDC 端口号。 | |
| -adserver-name | 仅限 Microsoft KDC:AD 服务器名称。 | |
| -adserver-ip | 仅限 Microsoft KDC:AD 服务器 IP 地址。 | |
| -adminserver-ip | 仅限 UNIX KDC:Admin 服务器 IP 地址。 | |
| -adminserver-port | 仅限 UNIX KDC:Admin 服务器端口号。 | |
| -passwordserver-ip | 仅限 UNIX KDC:密码服务器 IP 地址。 | |
| -passwordserver-port | 仅限 UNIX KDC:密码服务器端口。 | |
| -kdc-vendor | KDC 供应商。 | { Microsoft | Other } |
| -comment | 需要的任何注释。 |
使用 vserver nfs kerberos interface enable 命令时可使用以下值。
| 字段 | 描述 | 值 |
|---|---|---|
| -vserver | 要为其创建 Kerberos 配置的 SVM 的名称。 | |
| -lif | 将在其上启用 Kerberos 的数据 LIF。可在多个 LIF 上启用 Kerberos。 | |
| -spn | 服务主体名称(SPN) | |
| -permitted-enc-types | 允许的 Kerberos over NFS 加密类型;建议使用 aes-256,具体取决于客户端的功能。 | |
| -admin-username | 用于直接从 KDC 检索 SPN 机密密钥的 KDC 管理员凭证。需要密码。 | |
| -keytab-uri | 没有 KDC 管理员凭证时 SPN 密钥所在 KDC 上的 keytab 文件。 | |
| -ou | 通过对 Microsoft KDC 使用领域启用 Kerberos 时将创建的 Microsoft Active Directory 服务器帐户所属组织单位(OU)。 |
为启用了 NFS 的 SVM 添加存储容量
用于创建导出策略和规则的参数
使用 vserver export-policy create 命令时可使用以下值。
| 字段 | 描述 | 值 |
|---|---|---|
| -vserver | 将托管新卷的 SVM 的名称。 | |
| -policyname | 为新导出策略提供的名称。 |
使用 vserver export-policy rule create 命令时可为每个规则使用以下值。
| 字段 | 描述 | 值 |
|---|---|---|
| -clientmatch | 客户端匹配规范。 | |
| -ruleindex | 导出规则在规则列表中的位置。 | |
| -protocol | 在此工作流程中使用 NFS。 | nfs |
| -rorule | 只读访问的认证方法。 | |
| -rwrule | 读写访问的认证方法。 | |
| -superuser | 超级用户访问的认证方法。 | |
| -anon | 异步用户映射到的用户标识。 |
必须为每个导出策略创建一个或多个规则。
| -ruleindex | -clientmatch | -rorule | -rwrule | -superuser | -anon |
|---|---|---|---|---|---|
| 示例 | 0.0.0.0/0,@rootaccess_netgroup | any | krb5 | sys | 65534 |
| 1 | |||||
| 2 | |||||
| 3 | |||||
| ... | |||||
| n |
用于创建卷的参数
如果使用 volume create 命令创建卷而不是 Qtree,可使用以下值。
| 字段 | 描述 | 值 |
|---|---|---|
| -vserver | 将托管新卷的新的或现有 SVM 的名称。 | |
| -volume | 为新卷提供的唯一描述名称。 | |
| -aggregate | 集群中聚合的名称,它拥有足够的空间供新 NFS 卷使用。 | |
| -size | 代表新卷大小的整数。 | |
| -user | 设置为卷根所有者的用户的名称或 ID。 | |
| -group | 设置为卷根所有者的组的名称或 ID。 | |
| --security-style | 在此工作流程中使用 UNIX 安全模式。 | unix |
| -junction-path | 根(/)下装载新卷的位置。 | |
| -export-policy | 如果计划使用现有导出策略,可在创建卷时输入其名称。 |
用于创建 Qtree 的参数
如果使用 volume qtree create 命令创建 Qtree 而不是卷,可使用以下值。
| 字段 | 描述 | 值 |
|---|---|---|
| -vserver | 包含 Qtree 的卷所在的 SVM 的名称。 | |
| -volume | 将要包含新 Qtree 的卷的名称。 | |
| -qtree | 为新 Qtree 提供的唯一描述性名称,不超过 64 个字符。 | |
| -qtree-path | 可指定 /vol/volume_name/qtree_name> 格式的 Qtree 路径参数,而不必分别指定卷和 Qtree 参数。 | |
| -unix-permissions | 可选:Qtree 的 UNIX 权限。 | |
| -export-policy | 如果计划使用现有导出策略,可在创建 Qtree 时输入其名称。 |