所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

OceanStor 18500 V3&18800 V3 高端存储系统 V300R003 基础存储业务指南(文件业务) 16

本文档从基本概念、配置和管理等方面分别介绍了基础存储业务的具体配置过程。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置NFS共享

配置NFS共享

OceanStor 18500 V3/18800 V3存储系统支持NFS共享方式。通过配置NFS共享,可以为不同的客户端分配不同的访问权限。

规划NFS共享

在配置NFS共享前请先做好规划工作,以便顺利开展后续的业务配置。规划的内容包括网络、域、权限和客户端信息。

配置NFS共享前,需要规划的信息如表3-13所示。
表3-13  NFS共享规划

规划项

规划子项

规划要求

示例

网络

存储系统IP地址

存储系统使用逻辑端口(LIFa)为客户端提供共享空间。

172.16.128.10

访问客户端IP地址

访问客户端和存储系统网络可达,可以互相ping通。

192.168.0.10

维护终端IP地址

维护终端和存储系统网络可达,可以互相ping通。

192.168.128.10

NIS域或LDAP域

NIS域或LDAP域中,收集域服务器的IP地址和域信息,并保证域服务器和存储系统在同一网络中,可以互相ping通。

LDAP服务器

172.16.128.15

无域、NIS域或LDAP域

根据用户环境及要求,可以分为无域、NIS域或LDAP域。一般在较大型公司或者需要较高安全性的公司使用域环境。
说明:

配置存储系统加入域环境时,需要将存储系统的双控和域控相连。

LDAP

权限

-

设置用户访问文件系统的权限。

  • 使用NFSv3时,系统支持UGO权限,默认关闭ACL权限。UGO权限包括“执行”“读取”“写入”
    说明:

    通过执行命令admin:/>change service nfs support_v3_enabled=on v3_acl_enabled=on,并重新挂载NFS共享的文件系统,可启用支持ACL权限(V300R003C00/V300R003C10版本不支持)

  • 使用NFSv4时,系统支持UGO权限,支持ACL权限。ACL权限包括“列出目录”“读取数据”“写入数据”等。

只读

a:LIF是在物理端口、绑定端口及VLAN端口上创建的逻辑端口,每个LIF对应一个IP地址。

说明:

在有防火墙的环境中,客户端需要确保RPCBIND服务正常启动(即监听TCP/UDP协议111端口),提供RPC端口映射服务。防火墙规则需要配置允许存储主动连接并发送消息给客户端(例如,在NFSv3客户端使用NLM协议向存储请求加阻塞锁业务时,存储会随机选择1-65535中的某个端口主动和客户端建立连接,并通知客户端加锁成功)。

配置流程

介绍NFS共享的配置流程。

NFS共享的配置流程如图3-2所示。
图3-2  NFS共享配置流程

准备数据

在存储系统上进行NFS共享配置前,请先规划并收集相关数据,以便顺利开展后续的业务配置。

规划并收集的数据如表3-14所示。

表3-14  NFS共享数据准备表

准备项

说明

示例

逻辑IP地址

存储系统使用逻辑IP地址为客户端提供共享空间。

-

172.16.128.10

文件系统

设置NFS共享的文件系统。

OceanStor 18500 V3/18800 V3存储系统支持将整个文件系统或其子目录设置为NFS共享目录。

FileSystem001

LDAP域或NIS域信息

LDAP域信息包含以下信息:
  • LDAP主服务器IP地址。
  • 可选:LDAP备用服务器IP地址。
  • LDAP协议使用的端口号。
  • 加密的协议类型。
  • 基准DN。
  • 绑定DN。
NIS域信息包含以下信息:
  • 域名。
  • NIS域主服务器IP地址。
  • 可选:NIS域备用服务器IP地址。

LDAP

权限

每个客户端访问共享的权限。

客户端对NFS共享拥有的权限。

权限包括:
  • 只读。客户端对NFS共享只有读权限。
  • 读写。客户端对NFS共享拥有读写权限。

只读

说明:

您可以通过网络管理员获取相关的数据信息。

检查License文件

License文件是使用增值特性的权限凭证。在配置增值特性前,请确认License文件中包含该特性的相关信息。

操作步骤

  1. 登录DeviceManager。
  2. 选择设置 > License管理
  3. 浏览已激活License信息。
    1. 在左侧导航中,选择“已激活License”节点。
    2. 在中间信息展示区,浏览存储设备已激活的License文件信息。

后续处理

如果没有适用的License,则需要导入并激活License文件。

配置网络

介绍通过DeviceManager配置存储系统逻辑端口IP地址的方法。

操作步骤

  1. 登录DeviceManager,在导航树上选择资源分配 > 端口

    系统进入“端口”管理界面。

  2. 可选:创建绑定端口。

    绑定端口可以增加链路的带宽和冗余。端口绑定后,端口的“最大传输单元(字节)”会变更为默认值,同时在华为交换机上需要将对应的交换机端口配置为静态LACP模式。

    • 存储系统的端口绑定方式有如下限制:
      • 同一个控制器下1个绑定端口最多支持8个以太网端口绑定在一起。
      • 只支持相同速率端口类型(GE、10GE)接口模块的绑定。
      • 不支持跨控制器的绑定,不支持非以太网口的绑定。
      • SmartIO卡在使用集群模式和FC模式或在FCoE/iSCSI模式下运行FCoE业务时不允许绑定。
      • SmartIO端口的MTU值(最大传输单元)必须与主机侧的MTU值保持一致。
      • 只读用户不能绑定以太网端口。
      • 每个端口只允许加入到一个绑定端口中,不能同时加入到多个绑定端口中。
      • 绑定端口无法添加到端口组中。
    • 端口绑定后,每个主机依然通过单个端口进行数据传输,因此只有在有多台主机的情况下才可能提高总的带宽。请根据实际环境情况确定是否需要绑定端口。
    • 不同交换机厂商链路聚合模式名称不同,若使用的是其它厂商的交换机,有关交换机端口模式的配置请咨询对应厂商的技术支持。

    1. “以太网端口”中选择需要绑定的一个以太网端口,单击更多 > 绑定端口

      系统弹出“绑定端口”对话框。

    2. 输入绑定端口信息,参数说明如表3-15所示。

      表3-15  创建“绑定端口”参数

      参数名称

      参数说明

      参数设置

      绑定名称

      绑定端口的名称。

      [示例]

      bond01

      可选端口

      选择可用于绑定的端口。

      [示例]

      CTE0.A.IOM1.P0

    3. 单击“确定”

      系统弹出“危险”提示框。

    4. 勾选“我已阅读上述信息,了解执行此操作带来的后果。”,单击“确定”
  3. 创建逻辑端口。

    说明:
    建议每个控制器创建的逻辑端口不超过64个,如果每个控制器超过64个逻辑端口,在大量端口故障的情况下,会造成逻辑端口集中漂移向少量可用端口,导致业务性能下降。

    1. 选择“逻辑端口”,单击“创建”

      系统弹出“创建逻辑端口”对话框。

    2. 输入逻辑端口信息,参数说明如表3-16所示。

      表3-16  “创建逻辑端口”参数

      参数名称

      参数说明

      参数设置

      名称

      逻辑端口的名称。

      [示例]

      logip

      IP地址类型

      使用IP地址的类型:“IPv4地址”“IPv6地址”

      [示例]

      IPv4地址

      IPv4地址(IPv6地址)

      逻辑端口的IP地址。

      [示例]

      172.16.128.10

      子网掩码(前缀)

      逻辑端口的子网掩码(前缀)。

      [示例]

      255.255.255.0

      IPv4网关(IPv6网关)

      网络中网关地址。

      [示例]

      172.16.128.1

      主用端口

      逻辑端口优先使用的物理端口。

      [示例]

      CTE0.A.IOM0.P0

      IP地址漂移

      是否启用IP地址漂移。

      OceanStor 18500 V3/18800 V3支持IP地址漂移功能,当主用以太网端口失效时,逻辑IP地址会漂移到可用的以太网端口。详细信息请参见OceanStor 18500 V3&18800 V3 高端存储系统 V300R003 IP漂移部署指南
      说明:

      文件系统的共享不支持多路径模式,通过IP地址漂移以提高链路的可靠性。

      [示例]

      启用

      回切模式

      故障恢复后IP回切的方式:“自动”“手动”
      说明:
      • 如果“回切模式”选择“手动”,回切前系统需检查主用端口链路是否正常,若主用端口链路处于正常状态持续时间超过5分钟,系统才可以手动回切至主用端口。
      • 如果“回切模式”选择“自动”,回切前系统需检查主用端口链路是否正常,若主用端口链路处于正常状态持续时间超过5分钟,系统才可以自动回切至主用端口。

      [示例]

      自动

      立即激活

      是否立即激活逻辑端口。激活后,才能使用逻辑IP地址访问共享空间。

      [示例]

      启用

    3. 单击“确定”

      系统弹出“成功”提示框。

    4. 单击“确定”
  4. 可选:配置路由。

    当NFS主机和存储系统不在同一网络时需要配置路由。

    • 有域环境下,需要确保逻辑IP地址和域控服务器之间相互能ping通,如果不通,则需要添加逻辑IP地址到域控服务器的网段路由。
    • 当配置NFS共享访问时,如果NFS主机和逻辑IP地址之间网络不通,则需要添加逻辑IP地址到NFS主机的网段路由。

    1. 选择一个需要添加路由的逻辑端口,单击“路由管理”

      系统弹出“路由管理”对话框。

    2. 设置以太网端口的路由信息。

      1. “IP地址”中选择需要添加路由的逻辑端口的IP地址。
      2. 单击“增加”
        系统弹出“增加路由”对话框。

        对于双控存储系统,默认的内部心跳IP地址为“127.127.127.10”“127.127.127.11”,对于四控存储系统,默认的内部心跳IP地址为“127.127.127.10”“127.127.127.11”“127.127.127.12”“127.127.127.13”,所以不能设置为127.127.127.XXX网段的IP地址,且“网关”不能配置为“127.127.127.10”“127.127.127.11”“127.127.127.12”“127.127.127.13”,否则会造成路由失败。(存储系统各控制器之间存在内部心跳链路,用以检测控制器工作状态,无需单独连线。内部心跳IP地址出厂时已预设,用户无法自行修改)。

      3. “类型”中选择需要添加的路由类型。
        可配置的路由类型有3种:
        • 默认路由

          在没有找到更加合适路由的情况下,数据都根据默认路由进行转发。默认路由的目的地址字段、目的掩码字段(IPv4)或前缀(IPv6)被系统全部自动设置为0,用户只需要添加网关。

        • 主机路由

          主机路由表示到达一台单独主机的路由。主机路由的目的掩码(IPv4)或前缀(IPv6)分别被系统自动设置为255.255.255.255或128,用户只需要添加目的地址和网关。

        • 网段路由

          网段路由表示到达一个网段的路由。用户需要分别添加目的地址、目的掩码(IPv4)或前缀(IPv6)和网关。例如,目的地址:172.17.0.0,目的掩码:255.255.0.0,网关:172.16.0.1。

      4. 添加“目的地址”
        • “IP地址”中选择的是IPv4地址时,该参数表示与逻辑端口连接的应用服务器业务网口或存储设备逻辑端口的IPv4地址或网段。
        • “IP地址”中选择的是IPv6地址时,该参数表示与逻辑端口连接的应用服务器业务网口或存储设备逻辑端口的IPv6地址或网段。
      5. 添加“目的掩码”(IPv4)或者“前缀”(IPv6)。
        • 为IPv4地址添加“目的掩码”,该参数表示与逻辑端口连接的应用服务器业务网口或存储设备的逻辑端口IPv4地址的子网掩码。
        • 为IPv6地址添加“前缀”,该参数表示与逻辑端口连接的应用服务器业务网口或存储设备的逻辑端口的IPv6地址的前缀。
      6. “网关”中输入本端存储系统逻辑端口IP地址所在的网关。

    3. 单击“确定”,将设置好的路由信息添加到路由列表中。

      系统弹出“危险”对话框。

    4. 仔细阅读对话框中的内容,确认后选择“我已阅读上述信息,了解执行此操作带来的后果”
    5. 单击“确定”

      系统弹出“成功”对话框,提示操作成功。

      说明:

      选中一条路由,单击“移除”,可以删除此路由。

    6. 单击“关闭”

开启NFS服务

配置NFS共享之前,需要先开启NFS服务,才能在客户端进行访问。系统支持NFSv3和NFSv4两个版本。

前提条件

已经成功导入并激活NFS协议的License文件。

背景信息

系统支持NFSv3和NFSv4两个版本。

操作步骤

  1. 登录DeviceManager。
  2. 选择设置 > 存储设置 > 文件存储服务 > NFS服务
  3. 根据主机挂载NFS共享时使用的协议版本选择需要开启的NFS服务。



    • 当主机使用NFSv3挂载共享时,选择“开启NFSv3服务”
    • 当主机使用NFSv4挂载共享时,执行以下操作。
      1. 单击“高级”,选择“开启NFSv4服务”
      2. 开启NFSv4服务后,在“域名”中输入存储域的名称。
      说明:
      • NFSv4版本采用“用户名+域名”的映射机制,增强客户端访问共享资源的安全性。建议主机挂载时选择此版本。
      • 在无域或LDAP环境下,输入默认域名“localdomain”
      • 在NIS环境下,输入的信息和访问共享的Linux客户端上“/etc/idmapd.conf”文件中的domain一致(推荐这两者都为NIS域的域名)。
      • 域名长度不能超过64个字符。
      • 如果需要关闭NFS服务,取消选择“开启NFSv3/NFSv4服务”即可。

  4. 单击“保存”

    系统弹出“成功”提示框,提示操作成功。

  5. 单击“确定”

(可选)配置存储系统加入LDAP域环境

介绍如何将存储系统加入到LDAP域环境中。

配置流程

本节主要介绍存储系统加入LDAP域环境的配置流程。

配置LDAP域认证流程如图3-3所示:
图3-3  存储系统加入LDAP域环境配置流程

准备LDAP域配置数据

提前收集LDAP服务器配置数据,以便配置存储系统加入LDAP域环境。

LDAP域的参数说明

从数据结构上阐述LDAP,它是一个树型结构,能有效明确的描述一个组织结构特性的相关信息。在这个树型结构上的每个节点称之为“条目(Entry)”,每个条目有自己的唯一可区别的名称(Distinguished Name,DN)。条目的DN是由条目所在树型结构中的父节点位置(Base DN)和该条目的某个可用来区别身份的属性(称之为RDN,如uid或cn)组合而成。

LDAP目录类似于文件系统目录,例如目录“dc=redmond,dc=wa,dc=microsoft,dc=com”,类比文件系统目录,可以看作为如下路径:com\microsoft\wa\redmond。又例如在“cn=user1,ou=user,dc=example,dc=com”中,cn=user1代表一个用户名,ou=user代表一个Active Directory中的组织单位,即user1对象处在example.com域的user组织单元中。

下面是一个LDAP服务器的数据结构图:

LDAP的条目简称含义如表3-17所示。
表3-17  LDAP的条目简称含义

简称

含义

o

Organization(组织-公司)

ou

Organization Unit(组织单元-部门)

c

Country Name(国家)

dc

Domain Component(域名)

sn

Surname(别名)

cn

Common Name(常用名称)

什么是OpenLDAP

OpenLDAP是轻型目录访问协议的自由和开源的实现,在其OpenLDAP许可证下发行,并已经被包含在众多流行的Linux发行版中。

OpenLDAP主要包括以下4个部分:
  • slapd:独立LDAP守护服务。
  • slurpd:独立的LDAP更新复制守护服务。
  • 实现LDAP协议的库。
  • 工具软件和示例客户端。

OpenLDAP官方没有给出Windows操作系统支持的软件安装包,Userbooster网站提供了基于Windows操作系统的OpenLDAP开源软件安装包,支持的操作系统版本包括:Windows XP,Windows Server 2003,Windows Server 2008,Windows Vista,Windows 7,Windows 8和Windows Server 2012。下载地址http://www.userbooster.de/en/download/openldap-for-windows.aspx

Windows操作系统下获取LDAP配置数据
以下以OpenLDAP为例进行介绍。
说明:

Windows操作系统下,V300R003版本仅支持通过安装OpenLDAP获取LDAP配置数据,不支持AD域提供的LDAP服务。

  1. 打开OpenLDAP的安装目录。
  2. 找到名为“slapd.conf”系统配置文件。
  3. 使用文本编辑软件打开该配置文件,找到如下字段:
    suffix   "dc=example,dc=com"
    rootdn  "cn=Manager,dc=example,dc=com"
    
    rootpw    XXXXXXXXXXXX
    
    • “dc=example,dc=com”对应存储系统配置界面的“基准DN”
    • “cn=Manager,dc=example,dc=com”对应存储系统配置界面的“绑定DN”
    • “XXXXXXXXXXXX”对应存储系统配置界面的“绑定密码”。如果密码为密文,请联系LDAP服务器管理员获取。
  4. 找到需要访问存储系统的用户及用户组所在的配置文件,文件后缀名为“.ldif”
    说明:

    LDIF(LDAP Interchange Format)是LDAP最常用的一种文件格式,是一种用文本格式表示目录的标准方式,可以用来从目录服务器导出数据或者向目录服务器导入数据。LDIF文件存储了LDAP配置信息及目录内容,因此可以通过该文件获取相关参数信息。

  5. 使用文本编辑软件打开该配置文件,找到对应用户及用户组的DN,即对应存储系统配置界面的“用户所在目录”“组所在目录”
    #最顶部的根
    dn: dc=example,dc=com
    dc: example
    objectClass: domain
    objectClass: top
    #第一个组织单元名称user
    dn: ou=user,dc=example,dc=com
    ou: user
    objectClass: organizationalUnit
    objectClass: top
    #第二个组织单元名称groups
    dn: ou=group,dc=example,dc=com
    ou: group
    objectClass: organizationalUnit
    objectClass: top
    #第一个用户,代表组织结构图中属于组织单元user的用户user1
    dn: cn=user1,ou=user,dc=example,dc=com
    cn: user1
    objectClass: posixAccount
    objectClass: shadowAccount
    objectClass: inetOrgPerson
    sn: user1
    uid: user1
    uidNumber: 2882
    gidNumber: 888
    homeDirectory: /export/home/ldapuser
    loginShell: /bin/bash
    userPassword: {ssha}eoWxtWNl8YbqsulnwFwKMw90Cx5BSU9DRA==xxxxxx
    #第二个用户,代表组织结构图中属于组织单元user的用户user2
    dn: cn=user2,ou=user,dc=example,dc=com
    cn: user2
    objectClass: posixAccount
    objectClass: shadowAccount
    objectClass: inetOrgPerson
    sn: client
    uid: client
    uidNumber: 2883
    gidNumber: 888
    homeDirectory: /export/home/client
    loginShell: /bin/bash
    userPassword: {ssha}eoWxtWNl8YbqsulnwFwKMw90Cx5BSU9DRA==xxxxxx
    #第一个用户组,代表组织结构图中属于组织单元group的组group1,组中包含用户user1和user2
    dn: cn=group1,ou=group,dc=example,dc=com
    cn: group1
    gidNumber: 888
    memberUid: user1#属于组中的用户
    memberUid: user2#属于组中的用户
    objectClass: posixGroup
    
Linux操作系统下获取LDAP配置数据

以下以OpenLDAP为例进行介绍。

  1. 以root帐户登录LDAP服务器。
  2. 执行cd /etc/openldap命令,进入“/etc/openldap”目录。
    linux-ldap:~ # cd /etc/openldap
    linux-ldap:/etc/openldap #
  3. 执行ls命令,查看系统配置文件“slapd.conf”和需要访问存储系统的用户及用户组所在的配置文件,文件后缀名为“.ldif”
    linux-ldap:/etc/openldap #ls
    example.ldif ldap.conf schema slap.conf slap.con slapd.conf
  4. 执行cat命令,打开“slapd.conf”系统配置文件查看相关参数。
    linux-ldap:/etc/openldap #cat slapd.conf
    
    suffix   "dc=example,dc=com"
    rootdn  "cn=Manager,dc=example,dc=com"
    
    rootpw    XXXXXXXXXXXX
    
    • “dc=example,dc=com”对应存储系统配置界面的“基准DN”
    • “cn=Manager,dc=example,dc=com”对应存储系统配置界面的“绑定DN”
    • “XXXXXXXXXXXX”对应存储系统配置界面的“绑定密码”。如果密码为密文,请联系LDAP服务器管理员获取。
  5. 执行cat命令,打开“example.ldif”文件,找到对应用户及用户组的DN,即对应存储系统配置界面的“用户所在目录”“组所在目录”。具体参数解释请参见Windows操作系统的LDIF文件举例
配置LDAP域认证参数

通过完成存储系统的配置,将存储系统加入到LDAP域环境中。

前提条件

  • LDAP域环境已搭建完成。
  • 已完成NFS共享配置所需的数据准备。
说明:
  • OceanStor 18500 V3/18800 V3存储系统仅支持通过业务端口(逻辑端口)与LDAP服务器相连。
  • OceanStor 18500 V3/18800 V3存储系统只支持和一个LDAP服务器相连。
注意事项

由于客户端与LDAP域服务器之间的网络传输有一定的安全风险,建议用户使用物理隔离、端到端加密等方式保证数据传输过程中的安全。

建议LDAP服务器的IP地址配置静态IP地址,若使用动态IP地址则存在安全风险。

操作步骤

  1. 登录DeviceManager。
  2. 选择设置 > 存储设置 > 文件存储服务 > 域认证
  3. 在中间信息展示区的“LDAP域设置”区域,配置LDAP域认证,相关参数说明如表3-18所示。



    表3-18  LDAP域属性

    参数名称

    参数说明

    参数设置

    主服务器地址

    主用LDAP服务器的IP地址。

    说明:
    输入的IP地址必须保证可以连通,否则会导致用户认证类和网络类的命令超时。

    [示例]

    192.168.1.10

    备服务器地址1

    备用LDAP服务器1的IP地址。

    说明:
    输入的IP地址必须保证可以连通,否则会导致用户认证类和网络类的命令超时。

    [示例]

    192.168.1.11

    备服务器地址2

    备用LDAP服务器2的IP地址。

    说明:
    输入的IP地址必须保证可以连通,否则会导致用户认证类和网络类的命令超时。

    [示例]

    192.168.1.12

    端口号

    系统与LDAP服务器通信所使用的端口号。

    LDAP服务器的默认端口号为“389”,LDAPS服务器的默认端口号为“636”

    [取值范围]

    1~65535的整数。

    [示例]

    389

    协议

    系统与LDAP服务器通信使用的协议。

    • LDAP:系统使用标准LDAP协议与LDAP服务器通信。
    • LDAPS:系统使用LDAP over SSL(Secure Sockets Layer)与LDAP服务器通信。如果LDAP服务器支持SSL,则可以选择LDAPS。
    说明:

    在选择LDAPS协议前,需要导入LDAP域服务器的CA证书文件。如果还需要LDAP服务器认证存储系统,则需要导入证书文件和私钥文件。

    [示例]

    LDAP

    基准DN

    指定LDAP进行搜索的起始DN(Distinguished Name),即从哪个DN下开始搜索。

    [规则]

    DN由RDN(Relative Distinguished Name)组成,RDN之间以“,”分隔,RDN基本格式为健=值,其中值首字符不能为“#”,首尾字符不能为空格。例如:testDn=testDn,xxxDn=xxx

    [格式]

    xxx=yyy,使用逗号分隔

    [示例]

    dc=admin,dc=com

    绑定DN

    绑定目录的名称。
    说明:

    用户访问内容必须通过这个目录来进行查找。

    [规则]

    DN由RDN组成,RDN之间以“,”分隔,RDN基本格式为健=值,其中值首字符不能为“#”,首尾字符不能为空格。例如:testDn=testDn,xxxDn=xxx

    [格式]

    xxx=yyy,使用逗号分隔

    [示例]

    cn=ldapuser01,ou=user,dc=admin,dc=com

    绑定密码

    用户访问绑定DN这个目录需要输入的密码。

    说明:

    使用简单的密码存在安全隐患,建议使用复杂度较高的密码,例如同时包含特殊字符、大写字母、小写字母及数字。

    [示例]

    !QAZ2wsx

    确认绑定密码

    确认系统登录LDAP服务器的密码。

    [示例]

    !QAZ2wsx

    用户所在目录

    LDAP服务器配置的一个用户DN。

    [示例]

    ou=user,dc=admin,dc=com

    组所在目录

    LDAP服务器配置的一个用户组DN。

    [示例]

    ou=Groups,dc=admin,dc=com

    查询超时时间(秒)

    客户端等待服务器端返回查询结果的超时时间,默认为3秒。

    [示例]

    3

    连接超时时间(秒)

    客户端与单个服务器端建立连接的超时时间,默认为3秒。

    [示例]

    3

    空闲超时时间(秒)

    在设定的时间内,LDAP服务器与客户端无通信,则断开两者的连接。默认为30秒。

    [示例]

    30

  4. 单击“保存”,完成LDAP域认证配置。

    说明:

    单击“恢复初始配置”,可恢复LDAP域认证的配置为初始状态。

(可选)存储系统侧生成并导出证书

本节介绍如何在存储系统侧生成并导出配置域认证所需的证书文件。

背景信息

  • 存储系统侧生成的证书文件为未签名的证书,需要在签名服务器上进行签名才能生效。
  • 如果使用第三方工具导出证书请求文件,还需保存导出的私钥文件,用于后续在存储系统侧进行证书校验时与签名后的证书文件和CA证书一起导入存储系统。

操作步骤

  1. 登录DeviceManager。
  2. 选择设置 > 存储设置 > 增值服务设置 > 证书管理
  3. 选择“证书类型”“域认证证书”,然后单击“生成并导出”

    系统弹出“另存为”对话框,选择保存地址,并单击“保存”

后续处理

域认证证书导出后,还需要对其进行签名。
(可选)签名证书并导出CA证书

域认证证书导出后需要第三方签名服务器对其进行签名才能使用,同时在该签名服务器上导出CA证书。

导出域认证证书后请根据实际情况完成证书签名,并导出CA证书,以便进行后续操作。

(可选)存储系统侧导入证书和CA证书

本章介绍如何在存储系统侧导入并激活证书文件和CA证书文件,从而使域认证证书生效。

前提条件

  • 签名后的证书文件和CA证书文件已经存在。
  • 如果证书文件是通过第三方工具导出并签名的,请确保私钥文件已存在。

背景信息

如果证书文件是通过第三方工具导出并签名的,在存储系统侧导入激活证书文件和CA证书文件时,还需要导入私钥文件。

操作步骤

  1. 登录DeviceManager。
  2. 选择设置 > 存储设置 > 增值服务设置 > 证书管理
  3. 导入并激活证书。
    1. 将导出的证书通过服务器签名后,单击“导入并激活”

      系统弹出“导入证书”对话框。

    2. 将证书类型设置为“域认证证书”,并导入签名后的证书文件和CA证书文件。相关参数解释如表3-19所示。

      表3-19  添加证书参数说明

      参数名称

      参数说明

      参数设置

      证书类型

      证书的类型。

      [示例]

      域认证证书

      证书文件

      导出并签名后的证书文件。

      [示例]

      CA证书文件

      服务器的证书文件。

      [示例]

      私钥文件

      设备私钥文件。

      [示例]

    3. 单击“确定”
      弹出“警告”对话框。
    4. 仔细阅读并确认对话框中的内容,勾选“我已阅读上述信息,了解执行此操作带来的后果”,并单击“确定”
      弹出“成功”对话框。
    5. 单击“确定”
      成功导入并激活证书文件。

(可选)配置存储系统加入NIS域环境

介绍如何将存储系统加入到NIS域环境中。

准备NIS域环境数据

提前收集NIS服务器配置数据,以便配置存储系统加入NIS域环境。

为何需要使用NIS域?

在UNIX操作系统环境下提供共享时,所有提供共享服务的节点都需要维护本机的共享相关配置文件,例如主机文件/etc/hosts、密码文件/etc/passwd等。这样就使得多个节点提供共享时,需要做大量的工作去维护每个共享节点的这些配置文件。例如,如果有一个新的节点加入到网络中,每个基于UNIX的系统都需要更新它们的/etc/hosts文件,以包含这个新节点的名字;或者如果添加了一个新的用户,而且这个用户有可能需要访问所有的节点,那么每个系统都需要更改它们的/etc/passwd文件。上述操作看起来十分简单,然而当节点的数量超过10~20个时,这类更新文件的系统管理工作将变得费时而且乏味。

由SUN Microsystem公司开发的一个称为网络信息服务(NIS)的软件工具,取代了在每个单独的系统上管理主机名和用户账号的工作,它允许在一个单独的系统(NIS服务器)上管理维护这些文件,并为其他配置为NIS客户的系统提供参照。使用NIS后,当一个新的主机加入到网络中时,只需要更改NIS服务器上一个相关文件,并且将这些变更传递到网络上的其他节点,便可实现NIS域中所有主机的文件更新。

NIS域中服务器与其他主机的关系如下图所示:

NIS域的工作原理

当对NIS进行配置时,NIS将域中使用的ASCII文件转换成NIS的数据库文件(即我们所知的NIS映射表文件)。NIS中的主机通过查询并解析NIS的数据库文件,进行授权访问、更新等操作。以常见的UNIX主机密码文件/etc/passwd为例,NIS映射表被转换成以下数据库文件:

NIS域的参数说明

一个NIS域是使用相同NIS节点的一个逻辑分组。在一个物理网络中将有很多个NIS域。具有同样域名的节点属于同一个NIS域。

与NIS域相关的文件存储在NIS服务器的/var/yp的一个子目录下。这个子目录名对应于那个系统服务器的NIS域名,例如,映射在research域的表文件将被存储在目录/var/yp/research中。

系统超级用户可以通过执行/usr/bin/domainname命令以交互方式对域名进行修改。普通用户可以通过执行不带参数的domainname命令确定本地系统的默认域名。

数据准备表
为了顺畅地配置存储系统加入NIS域环境,对于在配置过程中需要使用的数据,请提前准备或者根据实际情况进行规划。数据准备项如表3-20所示。
表3-20  数据准备项

准备项

获取方式/示例

域名

服务器的域名,长度为1~63个字符,由字母、数字、“-”组成,不能以“-”开头和结尾,各级域名最多63个字符,且用“.”隔开。

请联系域服务器管理员获取。

[示例]

test.com

主服务器地址

主用NIS服务器的IP地址或域名。

请联系域服务器管理员获取。

[示例]

192.168.0.100

www.test.com

备服务器地址1(可选)

备用NIS服务器1的IP地址或域名。

请联系域服务器管理员获取。

[示例]

192.168.0.101

www.test.com

备服务器地址2(可选)

备用NIS服务器2的IP地址或域名。

请联系域服务器管理员获取。

[示例]

192.168.0.102

www.test.com

配置NIS域认证参数

当用户网络中部署了NIS服务器时,需要将系统加入到NIS域环境中,以便NFS客户端访问系统共享资源时通过NIS服务器的身份验证。

前提条件

  • NIS域环境已搭建完成。
  • 已完成NFS共享配置所需的数据准备。
说明:
  • OceanStor 18500 V3/18800 V3存储系统仅支持通过业务端口(以太网端口或逻辑端口)与NIS服务器相连,并要求每个控制器都能够和服务器进行通信。
  • OceanStor 18500 V3/18800 V3存储系统只支持和一个NIS服务器相连。

操作步骤

  1. 登录DeviceManager。
  2. 选择设置 > 存储设置 > 文件存储服务 > 域认证
  3. 选择“启用”,开启NIS域认证。

    说明:

    NIS域认证不支持加密传输,启用后可能存在安全风险。

  4. 在中间信息展示区的“NIS域设置”区域,配置NIS域认证,相关参数如表3-21所示。



    表3-21  NIS域属性

    参数名称

    参数说明

    参数设置

    域名

    服务器的域名。

    [规则]

    长度为1~63个字符,由字母、数字、“-”组成,不能以“-”开头和结尾,各级域名最多63个字符,且用“.”隔开。

    [示例]

    test.com

    主服务器地址

    主用NIS服务器的IP地址。

    说明:
    输入的IP地址必须保证可以连通,否则会导致用户认证类和网络类的命令超时。

    [示例]

    192.168.0.100

    备服务器地址1

    备用NIS服务器1的IP地址。

    说明:
    输入的IP地址必须保证可以连通,否则会导致用户认证类和网络类的命令超时。

    [示例]

    192.168.0.101

    备服务器地址2

    备用NIS服务器2的IP地址。

    说明:
    输入的IP地址必须保证可以连通,否则会导致用户认证类和网络类的命令超时。

    [示例]

    192.168.0.102

  5. 单击“保存”,完成NIS域认证配置。

    说明:

    单击“恢复初始配置”,可恢复NIS域认证的配置为初始状态。

(可选)配置NFSv4服务兼容无域的场景

本章主要介绍如何配置NFSv4服务兼容不加入域的场景。

背景

根据NFSv4标准协议,使用NFSv4服务必须在域环境下,才能保证NFSv4业务功能完全正常。但是根据实际业务使用需求,会遇到使用NFSv4服务兼容无域的场景(类似于使用NFSv3),此时,需要客户端对NFSv4服务使用的“用户名@域名”映射机制做必要的适配。完成配置之后,存储系统和客户端之间的业务往来将和NFSv3服务一样使用UID、GID传递所有者和组信息。

风险
  • 使用NFSv4服务兼容无域的场景,用户认证方法等同于使用NFSv3,达不到NFSv4协议标准理论上的安全性。
  • 每个客户端能够映射出来的用户局限于客户端的自身的用户、用户组配置文件,正常映射需要单独维护每个客户端的用户、用户组配置文件。
  • 设置除root用户和root用户组的ACL需要使用UID、GID,否则会失败。

不建议在无域环境下使用NFSv4服务。

客户端侧配置
  1. 执行echo 1 > /sys/module/nfs/parameters/nfs4_disable_idmapping。
  2. 执行cat /sys/module/nfs/parameters/nfs4_disable_idmapping,显示为‘Y’即配置成功。

    如果您在配置NFSv4服务兼容无域的场景前已经使用NFSv4服务挂载了NFS共享,那么,在完成配置NFSv4服务兼容无域的场景后,需要重新挂载NFS共享。

创建NFS共享

介绍创建NFS共享的相关操作。创建NFS共享后,使用SUSE、Red Hat、HP-UX、SUN Solaris、IBM AIX和Mac OS等操作系统的客户端用户能够通过网络访问共享的文件系统。

前提条件

  • 已完成NFS共享配置所需的数据准备。
  • 已创建逻辑端口。
  • 已开启NFS服务。

操作步骤

  1. 登录DeviceManager。
  2. 选择资源分配 > 共享 > NFS (Linux/UNIX/MAC)
  3. 单击“创建”

    系统弹出“创建NFS共享向导”对话框。

  4. 设置NFS共享路径。

    具体参数信息如表3-22所示。

    表3-22  创建NFS共享参数设置

    参数名称

    参数说明

    参数设置

    文件系统

    需要创建NFS共享的文件系统。

    [示例]

    FileSystem001

    Quota Tree

    文件系统根目录下的第一级目录。

    如需共享quota tree,单击,选择需要共享的quota tree。

    [示例]

    share

    说明:

    对应共享路径显示为“/Filesystem001/share”

    共享路径

    用于访问共享资源时使用。

    -

    描述

    对创建的NFS共享的描述。

    [取值范围]

    长度范围为0~255位。

    [示例]

    针对user 1的共享。

    字符编码

    客户端与存储系统间以配置的字符编码通信。该编码只应用于共享文件的名称和元数据,不改变文件数据的编码。编码包括:
    • UTF-8

      国际通用编码集

    • EUC-JP

      euc-j*[ ja ]编码集

    • JIS

      JIS编码集

    • S-JIS

      cp932*[ ja_jp.932 ]编码集

    [默认值]

    UTF-8

  5. 单击“下一步”

    系统进入“设置权限”界面。

  6. 可选:设置NFS共享的访问权限。
    1. “客户端列表”中,选择一个需要设置NFS共享的客户端。

      如果“客户端列表”中没有客户端,请单击“增加”进行创建。详细内容请参见“增加NFS共享客户端”

    2. 单击“下一步”
  7. 确认创建NFS共享信息。
    1. 确认需要创建的NFS共享汇总信息,并单击“完成”

      系统弹出“执行结果”对话框,提示操作成功。

    2. 单击“关闭”,完成创建NFS共享的操作。

增加NFS共享客户端

通过增加NFS共享客户端,客户端用户能够通过网络访问共享的文件系统。

前提条件

  • 已完成NFS共享配置所需的数据准备。
  • 如果需要增加“主机”类型的客户端,请提前在DNS上创建可用的主机名称。
  • 如果需要增加“网络组”类型的客户端,请提前在LDAP或NIS服务器上创建可用的网络组名称。

操作步骤

  1. 登录DeviceManager。
  2. 选择资源分配 > 共享 > NFS (Linux/UNIX/MAC)
  3. 选择一个需要增加客户端的NFS共享。
  4. 在下方的“客户端列表”区域,单击“增加”

    系统弹出“增加客户端”对话框。

  5. 设置客户端属性,相关参数如表3-23所示。



    表3-23  NFS共享客户端属性

    参数名称

    参数说明

    参数设置

    类型

    NFS共享客户端的类型。类型包括:
    • 主机

      适用于非域环境下的客户端。

    • 网络组

      适用于在LDAP域或NIS域中的客户端。

    说明:
    当同一个客户端被多个共享权限同时包含时,共享鉴权按照“主机名”>“IP”>“网段”>“通配符”>“网络组”>“*”的优先级匹配。

    [默认值]

    主机

    名称或IP地址

    NFS共享的主机客户端的名称或业务IP地址。
    说明:
    “类型”选择“主机”时,此参数有效。

    [取值范围]

    主机名称格式要求如下:
    • 主机名称长度为1~255个字符,由字母、数字、“-”、“.”和“_”组成。
    • 只能以字母或数字开头,不能以“-”或“_”结尾。
    • 不能包含连续的“.”,不能包含“_.”、“._”、“-.”或“.-”,不能为纯数字。
    IP地址格式要求如下:
    • 支持输入客户端IP地址、客户端IP地址段或使用“*”表示全部客户端IP地址。
    • 支持输入IPv4、IPv6地址或两者的混合IP地址。
    • IPv4的掩码部分取值范围为1~32,IPv6的掩码部分取值范围为1~128。

    [示例]

    192.168.0.10

    192.168.0.10;192.168.0.0/24

    说明:

    您可以同时输入多个主机名称或IP地址,以英文分号隔开。

    网络组名称

    LDAP域或NIS域中的网络组名称。
    说明:
    “类型”选择“网络组”时,此参数有效。

    [取值范围]

    网络组名称格式要求如下:
    • 长度范围是1~254个字符。
    • 只能包含字母、数字、“_”、“-”、“.”、中文字符。

    [示例]

    a123456

    权限

    客户端访问NFS共享的权限。权限包括:
    • 只读

      只允许读取共享中的文件。

    • 读写

      允许对文件进行任意操作。

    [默认值]

    只读

    写入模式(可选)

    NFS共享客户端的写入模式。模式包括:
    • 同步:写入共享的数据立即写入硬盘。
    • 异步:写入共享的数据先写入缓存,然后再写入硬盘。
    说明:

    客户端挂载模式为异步模式时,如果客户端和存储系统同时故障,可能存在丢失数据的风险。

    [默认值]

    同步

    权限限制(可选)

    设置是否保留共享目录的UID和GID。
    • all_squash:共享文件的UID(User ID)和GID(Group ID)映射给nobody用户,适合公共目录。
    • no_all_squash:保留共享文件的UID和GID。

    [默认值]

    no_all_squash

    root权限限制(可选)

    设置是否允许客户端的root权限。
    • root_squash:不允许客户端以root用户访问,客户端使用root用户访问时映射为匿名用户。
    • no_root_squash:允许客户端以root用户访问,root用户具有共享目录的完全控制访问权限。

    [默认值]

    root_squash

  6. 确认增加NFS共享客户端的操作。
    1. 单击“确定”

      系统弹出“执行结果”对话框,提示操作成功。

    2. 单击“关闭”,完成增加NFS共享客户端的操作。

访问NFS共享

介绍通过客户端访问NFS共享的相关操作步骤,客户端的操作系统类型包括SUSE、RedHat、HP-UX、SUN Solaris、IBM AIX和Mac OS等。在LDAP域环境和NIS域环境下,通过客户端访问NFS共享的操作与无域环境下的操作是一样的。

SUSE/Red Hat客户端
  1. 使用root用户登录到客户端。
  2. 运行showmount -e ipaddress命令,查看存储系统当前所有的NFS共享。

    ipaddress为存储系统提供NFS共享的逻辑IP地址,例如172.16.128.10,查看逻辑IP地址的具体方法请参见查看逻辑端口详细信息

    #showmount -e 172.16.128.10
    Export list for 172.16.128.10
    /nfstest *
    #
    

    说明:

    /nfstest为存储系统中创建的NFS共享的路径。

  3. 运行mount -t nfs -o vers=n,proto=m,rsize=o,wsize=p,hard,intr,timeo=q ipaddress:filesystem /mnt命令,挂载NFS共享的文件系统,参数如表3-24所示。

    #mount -t nfs -o vers=3,proto=tcp,rsize=1048576,wsize=1048576,hard,intr,timeo=600 172.16.128.10:/nfstest /mnt
    表3-24  SUSE/Red Hat挂载NFS共享参数

    参数名称

    参数说明

    参数设置

    o

    NFS共享挂载参数,包括“ro”“rw”等。
    • ro:采用只读方式挂接共享。
    • rw:采用读写方式挂接共享。

    缺省值为“rw”

    vers

    NFS协议版本,根据实际情况n选择3或4。

    NFSv4共享协议在单控切换时可能导致业务中断,故在高可靠性环境中推荐使用NFSv3。

    proto

    传输协议方式,根据实际情况选择tcp或udp。

    tcp

    rsize

    读时传输块大小,单位为字节。

    推荐为“1048576”,Red Hat 7推荐为“16384”

    wsize

    写时传输块大小,单位为字节。

    推荐为“1048576”

    timeo

    超时重传时间,单位为十分之一秒。

    推荐为“600”

    filesystem

    存储系统中创建的NFS共享的路径

    -

  4. 运行mount命令,验证是否已将NFS共享的文件系统挂载到本地。

    #mount
    172.16.128.10:/nfstest on /mnt type nfs (rw,vers=3,proto=tcp,rsize=1048576,wsize=1048576,hard,intr,timeo=600,addr=172.16.128.10)
    

    显示如上信息时,说明NFS共享的文件系统已成功挂载到本地。否则,请联系技术支持工程师。

HP-UX/SUN Solaris客户端
  1. 使用root用户登录到客户端。
  2. 运行showmount -e ipaddress命令,查看存储系统当前所有的NFS共享。

    ipaddress为存储系统提供NFS共享的IP地址,查看逻辑IP地址的具体方法请参见查看逻辑端口详细信息

    #showmount -e 172.16.128.10
    Export list for 172.16.128.10
    /nfstest *
    #
    
    说明:

    /nfstest为存储系统中创建的NFS共享的路径。

  3. 运行mount [-F nfs|-f nfs] -o vers=n,proto=m ipaddress:filesystem /mnt命令,挂载NFS共享的文件系统,参数如表3-25所示。

    #mount -f nfs -o vers=3,proto=tcp 172.16.128.10:/nfstest /mnt
    表3-25  HP-UX/SUN Solaris挂载NFS共享参数

    参数名称

    参数说明

    参数设置

    -F nfs或-f nfs

    默认选择,可以不写。

    HP-UX客户端选择-F nfs,Solaris客户端选择-f nfs

    vers

    NFS协议版本,根据实际情况n选择3或4。

    NFSv4共享协议在单控切换时可能导致业务中断,故在高可靠性环境中推荐使用NFSv3。

    proto

    传输协议方式,根据实际情况选择tcp或udp

    tcp

    filesystem

    存储系统中创建的NFS共享的路径

    -

  4. 运行mount命令,验证是否已将NFS共享的文件系统挂载到本地。

    #mount
    172.16.128.10:/nfstest on /mnt type nfs (rw,vers=3,proto=tcp,addr=172.16.128.10)
    

    显示如上信息时,说明NFS共享的文件系统已成功挂载到本地。否则,请联系技术支持工程师。

IBM AIX客户端
  1. 使用root用户登录到客户端。
  2. 运行showmount -e ipaddress命令,查看存储系统当前所有的NFS共享。

    ipaddress为存储系统提供NFS共享的IP地址,查看逻辑IP地址的具体方法请参见查看逻辑端口详细信息

    #showmount -e 172.16.128.10
    Export list for 172.16.128.10
    /nfstest *
    #
    
    说明:

    /nfstest为存储系统中创建的NFS共享的路径。

  3. 运行mount ipaddress:filesystem /mnt命令,挂载NFS共享的文件系统。

    说明:

    filesystem为存储系统中创建的NFS共享的路径。

    #mount 172.16.128.10:/nfstest /mnt
    mount: 1831-008 giving up on:
    172.16.128.10:/nfstest 
    Vmount: Operation not permitted.
    #
    
    说明:

    如果AIX客户端的NFS默认端口与存储系统的NFS默认端口设置不一致,运行如上命令时,系统会提示操作权限不够操作被拒绝,AIX客户端挂载NFS共享失败。此时,请运行如下命令解决此问题。

    您也可以通过smit菜单操作方式进行NFS挂载。

    #nfso -o nfs_use_reserved_ports=1
    Setting nfs_use_reserved_ports to 1
    

  4. 运行mount命令,验证是否已将NFS共享的文件系统挂载到本地。

    #mount
    172.16.128.10:/nfstest on /mnt type nfs (rw,addr=172.16.128.10)
    

    显示如上信息时,说明NFS共享的文件系统已成功挂载到本地。否则,请联系技术支持工程师。

Mac OS客户端
  1. 运行showmount -e ipaddress命令,查看存储系统当前所有的NFS共享。

    ipaddress为存储系统中提供NFS共享的IP地址,查看逻辑IP地址的具体方法请参见查看逻辑端口详细信息

    Volumes root# showmount -e 172.16.128.10
    /nfstest *
    
    说明:

    /nfstest为存储系统中创建的NFS共享的路径。

  2. 运行sudo /sbin/mount_nfs -P ipaddress:filesystem /Volumes/mount1命令,挂载NFS共享的文件系统。

    说明:

    filesystem为存储系统中创建的NFS共享的路径。

    Volumes root# sudo /sbin/mount_nfs -P 172.16.128.10:/nfstest /Volumes/mount1

  3. 运行mount命令,验证是否已将NFS共享的文件系统挂载到本地。

    Volumes root# mount
    /dev/disk0s2 on / (hfs, local, journaled)
    devfs on /dev (devfs, local)
    fdesc on /dev (fdesc, union)
    map -hosts on /net (autofs, automounted)
    map auto_home on /home (autofs, automounted)
    172.16.128.10:/nfstest on /Volumes/mount1 (nfs)
    

    显示如上信息时,说明NFS共享的文件系统已成功挂载到本地。否则,请联系技术支持工程师。

VMware客户端
说明:

当需要在NFS共享中创建虚拟机时,NFS共享的“root权限限制”必须为“no_root_squash”

  1. 登录“VMware vSphere Client”
  2. 在左侧导航树,选择需要挂载共享的主机。
  3. 依次选择配置 > 存储器 > 添加存储器

    系统弹出“添加存储器”向导。

  4. “存储器类型”中选择“网络文件系统”,单击“下一步”

    系统进入“查找网络文件系统”界面。

  5. 输入相关参数。参数如表3-26所示。

    表3-26  VMware添加NFS共享参数

    参数名称

    参数说明

    参数设置

    服务器

    存储系统逻辑端口IP地址,查看逻辑IP地址的具体方法请参见查看逻辑端口详细信息

    示例

    172.16.128.10

    文件夹

    存储系统中创建的NFS共享的路径。

    示例

    /nfstest

    数据存储名称

    NFS共享在VMware中的名称。

    示例

    data

  6. 单击“下一步”
  7. 确认信息后单击“完成”
  8. 设置完成后在“配置”页签中可以看到新添加的NFS共享文件。
后续处理

客户端在使用NFS共享时,如果修改NFS用户信息,修改后新的用户鉴权信息不能立即生效,30分钟后,才会生效。

翻译
下载文档
更新时间:2019-08-14

文档编号:EDOC1000084024

浏览量:10082

下载量:706

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页