跳到主要内容

使用 NFS 管理文件访问权限

存储虚拟机(SVM) 上启用 NFS 并进行配置后,您可能希望执行多项任务,以管理使用 NFS 进行的文件访问。

  • 启用或禁用 NFSv3
    可通过修改 -v3 选项启用或禁用 NFSv3。这样使用 NFSv3 协议的客户端才能获得文件访问权限。默认情况下,NFSv3 处于启用状态。
  • 启用或禁用 NFSv4.0
    可通过修改 -v4.0 选项启用或禁用 NFSv4.0。这样使用 NFSv4.0 协议的客户端才能获得文件访问权限。默认情况下,NFSv4.0 为禁用状态。
  • 启用或禁用 NFSv4.1
    可通过修改 -v4.1 选项启用或禁用 NFSv4.1。这样使用 NFSv4.1 协议的客户端才能获得文件访问权限。默认情况下,NFSv4.1 为禁用状态。
  • 启用或禁用 pNFS
    pNFS 可提高性能,方法是允许 NFS 客户端直接在存储设备上并行执行读/写操作,从而超过可能造成瓶颈的 NFS 服务器。要启用或禁用 pNFS(并行 NFS),可修改 -v4.1-pnfs 选项。默认情况下,pNFS 处于启用状态。
  • 控制基于 TCP 和 UDP 的 NFS 访问
    可通过分别修改 -tcp-udp 参数启用或禁用 NFS 基于 TCP 和 UDP 对存储虚拟机(SVM)的访问。这样就可以控制 NFS 客户端在环境中是否可通过 TCP 或 UDP 访问数据。
  • 控制来自非预留端口的 NFS 请求
    可通过启用 -mount-rootonly 选项拒绝来自非预留端口的 NFS 装载请求。要拒绝来自非预留端口的所有 NFS 请求,可启用 -nfs-rootonly 选项。
  • 处理未知 UNIX 用户对 NTFS 卷或 Qtree 的 NFS 访问
    如果 ONTAP 无法识别尝试连接到具有 NTFS 安全模式的卷或 Qtree 的 UNIX 用户,就不能将该用户显式映射到 Windows 用户。如需更严格的安全性,可配置 ONTAP 拒绝此类用户的访问;或将他们映射到默认 Windows 用户,以确保所有用户的最低访问级别。
  • 客户端使用非预留端口装载 NFS 导出的注意事项
    支持客户端使用非预留端口装载 NFS 导出的存储系统上必须禁用 -mount-rootonly 选项,即使用户以根身份登录。此类客户端包括 Hummingbird 客户端和 Solaris NFS/IPv6 客户端。
  • 通过验证域对 netgroup 执行较严格的访问权限检查
    默认情况下,ONTAP 在为 netgroup 评估客户端访问权限时将执行额外的验证。这项额外检查可确保客户端的域与存储虚拟机(SVM)的域配置匹配。否则,ONTAP 将拒绝客户端访问。
  • 修改 NFSv3 服务使用的端口
    存储系统中的 NFS 服务器使用装载守护程序和 Network Lock Manager 等服务通过特定默认网络端口与 NFS 客户端通信。在大多数 NFS 环境中,默认端口可正常使用,不需要修改,但如果要在 NFSv3 环境中使用其他 NFS 网络端口,是可以做到的。
  • 用于管理 NFS 服务器的命令
    可通过特定 ONTAP 命令管理 NFS 服务器。
  • 诊断名称服务问题
    如果由于名称服务问题使客户端访问失败,可使用 vserver services name-service getxxbyyy 命令系列手动执行各种名称服务查找,检查查找结果和详细信息,这样有助于故障诊断。
  • 验证名称服务连接
    从 ONTAP 9.4 开始,您可检查 DNS 和 LDAP 名称服务器,以验证它们是否与 ONTAP 连接。管理员权限级别提供这些命令。
  • 用于管理名称服务切换条目的命令
    可通过创建、显示、修改和删除名称服务切换条目来对其进行管理。
  • 用于管理名称服务高速缓存的命令
    可过修改存活时间(TTL)值管理名称服务高速缓存。TTL 值决定名称服务信息在高速缓存中保存多久。
  • 用于管理名称映射的命令
    可通过特定 ONTAP 命令管理名称映射。
  • 用于管理本地 UNIX 用户的命令
    可通过特定 ONTAP 命令管理本地 UNIX 用户。
  • 用于管理本地 UNIX 组的命令
    可通过特定 ONTAP 命令管理本地 UNIX 组。
  • 本地 UNIX 用户、组和组成员的限制
    ONTAP 引入了集群中的 UNIX 用户和组的数量上限,以及管理这些限制的命令。这些限制可防止管理员在集群中创建过多本地 UNIX 用户和组,有助于避免性能问题。
  • 用于管理本地 netgroup 的命令
    管理本地 netgroup 包括:从 URI 加载它们,验证它们在各节点中的状态、显示它们,以及删除它们。
  • 管理 NIS 域配置的命令
    可通过特定 ONTAP 命令管理 NIS 域配置。
  • 用于管理 LDAP 客户端配置的命令
    可通过特定 ONTAP 命令管理 LDAP 客户端配置。
  • 管理 LDAP 配置的命令
    可通过特定 ONTAP 命令管理 LDAP 配置。
  • 用于管理 LDAP 客户端架构模板的命令
    可通过特定 ONTAP 命令管理 LDAP 客户端架构模板。
  • 用于管理 NFS Kerberos 接口配置的命令
    可通过特定 ONTAP 命令管理 NFS Kerberos 接口配置。
  • 管理 NFS Kerberos 领域配置的命令
    可通过特定 ONTAP 命令管理 NFS Kerberos 领域配置。
  • 用于管理导出策略的命令
    可通过特定 ONTAP 命令管理导出策略。
  • 用于管理导出规则的命令
    可通过特定 ONTAP 命令管理导出规则。
  • 配置 NFS 凭证高速缓存
    ONTAP 使用凭证高速缓存来存储 NFS 导出访问的用户认证所需信息,以加快访问速度和提高性能。可配置信息在凭证高速缓存中的存储时间,以便根据环境自定义。
  • 管理导出策略高速缓存
    ONTAP 使用多个导出策略高速缓存来存储导出策略的相关信息,从而实现更加快捷地访问。可出于故障诊断的目的执行某些任务,以管理导出策略高速缓存。
  • 管理文件锁定
    可显示关于 SVM 的当前锁定信息,作为确定客户端无法访问卷或文件的原因的第一步。如果需要中断文件锁,可以使用此信息。
  • FPolicy 首次读取和首次写入筛选器如何与 NFS 配合使用
    如果启用了 FPolicy,以使用外部 FPolicy 服务器监控读/写操作事件,在读/写请求流量较高时,NFS 客户端会体验到较长的响应时间。在 FPolicy 中使用首次读取和首次写入筛选器,对于 NFS 客户端而言,可减少 FPolicy 通知的数量,并提高性能。
  • 修改 NFSv4.1 服务器实施标识
    NFSv4.1 协议包括一个服务器实施标识,其中记录服务器域、名称和日期。可修改服务器实施标识的默认值。例如,在收集使用统计信息或诊断互操作性方面的问题时,更改默认值很有用。有关更多信息,请参阅 RFC 5661。
  • 管理 NFSv4 ACL
    您可启用、禁用、设置、修改和查看 NFSv4 访问控制列表(ACL)。
  • 管理 NFSv4 文件委派
    可启用和禁用 NFSv4 文件委派和检索 NFSv4 文件委派统计信息。
  • 配置 NFSv4 文件和记录锁定
    可指定锁定租期和宽限期,从而配置 NFSv4 文件和记录锁定。
  • NFSv4 转送的工作原理
    如果启用 NFSv4 转送,ONTAP 提供对 NFSv4 客户端的SVM 内部转送。SVM 内部转送是指,收到 NFSv4 请求的集群节点将 NFSv4 客户端指向存储虚拟机(SVM) 上的另一逻辑接口(LIF)。
  • 启用或禁用 NFSv4 转送
    可通过启用选项 -v4-fsid-change-v4.0-referrals -v4.1-referrals存储虚拟机(SVM)上启用 NFSv4 转送。启用 NFSV4 转送可加快支持此功能的 NFSv4 客户端的数据访问速度。
  • 显示 NFS 统计信息
    可以显示存储系统中存储虚拟机(SVM)的 NFS 统计信息,以监控性能并诊断问题。
  • 显示 DNS 统计信息
    可以显示存储系统中存储虚拟机(SVM) 的 DNS 统计信息,以监控性能并诊断问题。
  • 显示 NIS 统计信息
    可以显示存储系统中存储虚拟机(SVM)的 NIS 统计信息,以监控性能并诊断问题。
  • 支持 VMware vStorage over NFS
    ONTAP 在 NFS 环境中支持某些用于阵列集成的 VMware vStorage API(VAAI)功能。
  • 启用或禁用 VMware vStorage over NFS
    可使用 vserver nfs modify 命令在存储虚拟机(SVM) 上启用或禁用对 VMware vStorage over NFS 的支持。
  • 启用或禁用配额支持
    ONTAP 支持远程配额协议版本 1(rquota v1)。rquota 协议支持 NFS 客户端从远程机器上获得用户的配额信息。可以使用 vserver nfs modify 命令在存储虚拟机(SVM) 上启用 rquota。
  • 通过修改 TCP 传输大小提高 NFSv3 和 NFSv4 性能
    可通过修改 TCP 最大传输大小提高通过高延迟网络连接到存储系统的 NFSv3 和 NFSv4 客户端的性能。
  • 修改 NFSv3 和 NFSv4 TCP 最大传输大小
    可修改 -tcp-max-xfer-size 选项,以便为所有使用 NFSv3 和 NFSv4.x 协议的 TCP 连接配置最大传输大小。
  • 配置允许 NFS 用户拥有的组标识数量
    默认情况下,使用 Kerberos(RPCSEC_GSS)认证处理 NFS 用户凭证时,ONTAP 最多支持 32 个组标识。使用 AUTH_SYS 认证时,按照 RFC 5531 中的定义,默认最大组标识数量为 16。如果用户的组数量超过了默认组数量,可将最大值增加到 1,024。
  • 控制根用户对 NTFS 安全模式数据的访问权限
    可配置 ONTAP,允许 NFS 客户端访问 NTFS 安全模式的数据,也允许 NTFS 客户端访问 NFS 安全模式的数据。对 NFS 数据存储使用 NTFS 安全模式时,必须确定如何处理根用户的访问权限,并相应对存储虚拟机(SVM)进行配置。