导出规则的工作原理
导出规则是导出策略的功能性元素。导出规则根据您配置的具体参数来匹配客户端访问请求和卷,以确定如何处理客户端访问请求。
导出策略中必须至少包含一个导出规则,才能允许访问客户端。如果导出策略包含多条规则,则按照这些规则在导出策略中的显示顺序对它们进行处理。规则索引号决定规则的顺序。如果一个规则与某个客户的匹配,则使用该规则的权限,并且不再处理其他规则。如果未匹配到任何规则,则会拒绝对该客户端的访问。
您可以使用以下标准来配置导出规则,以确定客户端访问权限:
发送请求的客户端使用的文件访问协议,如 NFSv4 或 SMB。
客户端标识,例如,主机名或 IP 地址。
客户端用于进行认证的安全类型,例如,Kerberos v5、NTLM 或 AUTH_SYS。
如果一个规则指定多个条件,则客户端必须与所有条件匹配,才可采用该规则。
示例
导出策略中包含一个导出规则和以下参数:
- -protocol nfs3
- -clientmatch 10.1.16.0/255.255.255.0
- -rorule any
- -rwrule any
客户端访问请求使用 NFSv3 协议发送,而客户端的 IP 地址为 10.1.17.37。
即使客户端访问协议匹配,客户端的 IP 地址所在子网也不是导出规则中指定的子网。因此,客户端匹配失败,并且不为该客户端应用此规则。
示例
导出策略中包含一个导出规则和以下参数:
- -protocol nfs
- -clientmatch 10.1.16.0/255.255.255.0
- -rorule any
- -rwrule any
客户端访问请求使用 NFSv4 协议发送,而客户端的 IP 地址为 10.1.16.54。
客户端访问协议匹配,并且客户端的 IP 地址在指定的子网中。因此,客户端匹配成功,并且为该客户端应用此规则。无论客户端是哪种安全类型,也会获得读写访问权限。
示例
导出策略中包含一个导出规则和以下参数:
- -protocol nfs3
- -clientmatch 10.1.16.0/255.255.255.0
- -rorule any
- -rwrule krb5,ntlm
客户端 1 的 IP 地址为 10.1.16.207,使用 NFSv3 协议发送访问请求,并使用 Kerberos v5 认证过。
客户端 2 的 IP 地址为 10.1.16.211,使用 NFSv3 协议发送访问请求,并使用 AUTH_SYS 认证过。
客户端访问协议和 IP 地址与两个客户端都匹配。无论客户端使用何种安全类型进行认证,只读参数都会对所有客户端允许只读访问权限。因此,这两个客户端都会获得只读访问权限。但是,仅客户端 1 获得了读写访问权限,原因是客户端 1 使用经核准的安全类型 Kerberos v5 进行认证。客户端 2 无法获取读写访问权限。