19 NFS共有ファイルシステム #
ネットワークファイルシステム(NFS)は、ローカルファイルへのアクセスと非常によく似た方法で、サーバ上のファイルにアクセスできるプロトコルです。
SUSE Linux Enterprise Serverは、NFS v4.2をインストールし、これにより、スパースファイル、ファイルの事前割り当て、サーバ側のクローンとコピー、アプリケーションデータブロック(ADB)、および必須アクセス制御(MAC)用のラベル付きNFS (クライアントとサーバの両方でMACが必要)のサポートが導入されます。
19.1 概要 #
「ネットワークファイルシステム」(NFS)は、標準化された、実証済みで幅広くサポートされているネットワークプロトコルであり、ファイルを別々のホスト間で共有することができます。
「ネットワーク情報サービス」(NIS)は、ネットワーク内で一元的なユーザ管理を行うために使用できます。NFSとNISを組み合わせることで、ネットワーク内のアクセス制御にファイルとディレクトリのパーミッションを使用できます。NFSをNISと連携して使用すると、ネットワークをユーザに対して透過的にすることができます。
デフォルト設定では、NFSはネットワークを完全に信頼しているので、信頼されたネットワークに接続されているマシンもすべて信頼します。NFSサーバが信頼するネットワークに物理的にアクセスできるコンピュータ上で管理者特権を持つユーザは、そのサーバが提供するファイルにアクセスできます。
多くの場合、このレベルのセキュリティは完全に満足のいくものであり(信頼されているネットワークが本当にプライベートである場合など)、しばしば単一のキャビネットや機械室に合わせてローカライズされており、不正なアクセスは不可能です。他のケースでは、1つのサブネット全体を1つの単位として信頼する必要性が制約となっており、よりきめの細かい信頼が求められます。これらのケースにおける必要性を満たすために、NFSはKerberosインフラストラクチャを使用して、さまざまなセキュリティレベルをサポートしています。Kerberosには、デフォルトで使用されるNFSv4が必要です。詳細については、Chapter 6, Network authentication with Kerberosを参照してください。
以下の用語は、YaSTモジュールで使用されています。
- エクスポート
NFSサーバによって「エクスポートされ」、クライアントがシステムに統合できるディレクトリ。
- NFSクライアント
NFSクライアントは、ネットワークファイルシステムプロトコルを介してNFSサーバからのNFSサービスを使用するシステムです。TCP/IPプロトコルはLinuxカーネルにすでに統合されており、追加ソフトウェアをインストールする必要はありません。
- NFSサーバ
NFSサーバは、NFSサービスをクライアントに提供します。実行中のサーバは、次のデーモンに依存します。
nfsd
(ワーカ)、idmapd
(NFSv4でのIDと名前のマッピング、特定のシナリオでのみ必要)、statd
(ファイルのロック)、およびmountd
(マウント要求)。- NFSv3
NFSv3はバージョン3の実装で、クライアント認証をサポートする「古い」ステートレスなNFSです。
- NFSv4
NFSv4は、Kerberosによるセキュアなユーザ認証をサポートする新しいバージョン 4の実装です。NFSv4で必要なポートは1つのみであるため、NFSv3よりもファイアウォール環境に適しています。
プロトコルはhttps://datatracker.ietf.org/doc/rfc7531/で指定されています。
- pNFS
パラレル NFS。NFSv4のプロトコル拡張。任意のpNFSクライアントは、NFSサーバ上のデータに直接アクセスできます。
原則として、すべてのエクスポートはIPアドレスのみを使用して実行できます。タイムアウトを回避するには、機能するDNSシステムが必要です。mountd
デーモンは逆引きを行うので、少なくともログ目的でDNSは必要です。
19.2 NFSサーバのインストール #
NFSサーバは、デフォルトインストールには含まれません。YaSTを使用してNFSサーバをインストールするには、
› の順に選択し、 を選択して、 セクションで オプションを有効にします。 をクリックして、必要なパッケージをインストールします。このパターンには、NFSサーバのYaSTモジュールは含まれていません。パターンのインストールが完了した後、次のコマンドを実行してモジュールをインストールします。
>
sudo
zypper in yast2-nfs-server
NIS同様、NFSはクライアント/サーバシステムです。ただし、ファイルシステムをネットワーク経由で提供し(エクスポート)、同時に他のホストからファイルシステムをマウントすることができます(インポート)。
NFSボリュームのエクスポート元サーバへのローカルでのマウントは、SUSE Linux Enterprise Serverではサポートされていません。
19.3 NFSサーバの設定 #
NFSサーバの設定は、YaSTを使用するか、または手動で完了できます。認証のため、NFSをKerberosと組み合わせることもできます。
19.3.1 YaSTによるファイルシステムのエクスポート #
YaSTを使用して、ネットワーク上のホストをNFSサーバにすることができます。NFSサーバとは、アクセスを許可されたすべてのホスト、またはグループのすべてのメンバーに、ディレクトリやファイルをエクスポートするサーバのことです。これにより、サーバは、ホストごとにアプリケーションをローカルインストールせずにアプリケーションを提供することもできます。
そのようなサーバをセットアップするには、次の手順に従います。
YaSTを起動し、図19.1「NFSサーバ設定ツール」を参照してください)。追加のソフトウェアをインストールするよう求められることがあります。
› の順に選択します(図 19.1: NFSサーバ設定ツール #firewalld
がシステムでアクティブな場合は、NFS用に個別に設定します(19.5項 「ファイアウォールの背後でNFSサーバとクライアントを操作する」を参照)。YaSTはまだ、firewalld
を完全にはサポートしていないため、「ファイアウォールを設定できません」というメッセージを無視して続行します。注記: NFSv2を参照してください。
を選択するかどうかを決定します。NFSv4を無効にした場合、YaSTでサポートされるのはNFSv3のみになります。NFSv2の有効化の詳細については、NFSv4を選択した場合は、追加で適切なNFSv4ドメイン名を入力します。このパラメータは、Kerberosの設定に必要な
idmapd
デーモンによって使用されるか、クライアントが数字のユーザ名を処理できない場合に使用されます。idmapd
を実行しない場合、または特に必要のない場合は、そのままlocaldomain
(デフォルト)を使用してください。idmapd
デーモンの詳細については、/etc/idmapd.conf
を参照してください。重要: NFSv4ドメイン名ドメイン名はすべてのNFSv4クライアントで同様に設定する必要があることに注意してください。サーバと同じドメイン名を共有するクライアントのみがサーバにアクセスできます。サーバとクライアントのデフォルトのドメイン名は
localdomain
です。
サーバに安全にアクセスするには、
をクリックします。この手順の前提条件として、ドメインにKerberosをインストールし、サーバとクライアントの両方でKerberosを有効にしておく必要があります。 をクリックして、次の設定ダイアログに進みます。ディレクトリをエクスポートするには、ダイアログの上半分にある
をクリックします。許可されるホストをまだ設定していない場合は、自動的に別のダイアログが表示されるので、クライアント情報およびオプションを入力します。ホストを示すワイルドカードを入力します(通常はデフォルト設定のまま使用できます)。
4種類の方法でホストを指定することができます。1台のホスト(名前またはIPアドレス) (single host)、ネットグループ(netgroups)、ワイルドカード(すべてのマシンがサーバにアクセスできることを示す
*
など) (wild cards)、およびIPネットワーク(IP networks)です。これらのオプションの詳細については、
exports
のマニュアルページを参照してください。
19.3.2 ファイルシステムの手動エクスポート #
NFSエクスポートサービスの環境設定ファイルは、/etc/exports
と/etc/sysconfig/nfs
です。Kerberized NFSを使用したNFSv4サーバ設定に必要な場合、またはクライアントが数字のユーザ名を処理できない場合は、これらのファイル以外に/etc/idmapd.conf
も必要です。
サービスを起動または再起動するには、systemctl
restart nfs-server
を実行します。これにより、NFSサーバで必要なRPCポートマッパーも再起動されます。
NFSサーバがブート時に常に起動するようにするには、sudo systemctl enable nfs-server
を実行します。
NFSv4は、SUSE Linux Enterprise Serverで利用できる最新版のNFSプロトコルです。NFSv3と同じ方法で、NFSv4でのエクスポート用にディレクトリを設定できるようになりました。
SUSE Linux Enterprise Server 11では、/etc/exports
のバインドマウントが必須でした。これは引き続きサポートされていますが、非推奨になりました。
/etc/exports
/etc/exports
ファイルには、エントリのリストが含まれています。各エントリはそれぞれ共有するディレクトリと共有方法を示します。/etc/exports
中の一般的なエントリは、次の項目から成り立っています。/SHARED/DIRECTORY HOST(OPTION_LIST)
例:
/nfs_exports/public *(rw,sync,root_squash,wdelay) /nfs_exports/department1 *.department1.example.com(rw,sync,root_squash,wdelay) /nfs_exports/team1 192.168.1.0/24(rw,sync,root_squash,wdelay) /nfs_exports/tux 192.168.1.2(rw,sync,root_squash)
この例では、HOSTの次の値が使用されています。
*
: ネットワーク上のすべてのクライアントにエクスポートします*.department1.example.com
: *.department1.example.comドメインのクライアントにのみエクスポートします192.168.1.0/24
: 192.168.1.0/24の範囲のIPアドレスを持つクライアントにのみエクスポートします192.168.1.2
: IPアドレスが192.168.1.2のマシンにのみエクスポートします
上記の例に加えて、
/etc/netgroup
で定義されたネットグループ(@my-hosts
)へのエクスポートも制限することができます。各オプションの詳細とその意味については、/etc/exports
のman
ページ(man exports
)を参照してください。NFSサーバの実行中に
/etc/exports
を変更した場合、変更を有効にするには、sudo systemctl restart nfs-server
を実行してサーバを再起動する必要があります。/etc/sysconfig/nfs
/etc/sysconfig/nfs
ファイルには、NFSv4サーバデーモンの動作を決定する小数のパラメータが含まれています。NFS4_SUPPORT
パラメータをyes
に設定することが重要です(デフォルトの設定)。NFS4_SUPPORT
は、NFSサーバがNFSv4エクスポートとクライアントをサポートするかどうかを決定します。NFSサーバの実行中に
/etc/sysconfig/nfs
を変更した場合、変更を有効にするには、sudo systemctl restart nfs-server
を実行してサーバを再起動する必要があります。ヒント: マウントオプションSUSE Linux Enterprise Server 11では、
/etc/exports
の--bind
マウントが必須でした。これは引き続きサポートされていますが、非推奨になりました。NFSv3と同じ方法で、NFSv4でのエクスポート用にディレクトリを設定できるようになりました。注記: NFSv2NFSクライアントがまだNFSv2に依存している場合は、サーバの
/etc/sysconfig/nfs
に次のように設定してNFSv2を有効にします。NFSD_OPTIONS="-V2" MOUNTD_OPTIONS="-V2"
サービスを再起動した後で、次のコマンドを実行して、バージョン2が使用可能かどうかを確認します。
>
cat /proc/fs/nfsd/versions +2 +3 +4 +4.1 +4.2/etc/idmapd.conf
idmapd
デーモンは、Kerberos認証を使用する場合、またはクライアントが数字のユーザ名を処理できない場合にのみ必要です。Linuxクライアントは、Linuxカーネル2.6.39から数字のユーザ名を処理できるようになりました。idmapd
デーモンは、NFSv4からサーバへの要求に対して名前とIDのマッピングを行い、クライアントに応答します。必要に応じて、
idmapd
をNFSv4サーバ上で実行する必要があります。クライアントの名前とIDのマッピングは、パッケージnfs-clientによって提供されるnfsidmap
によって行われます。NFSを使ってファイルシステムを共有するマシン間では、ユーザへのユーザ名とID (UID)の割り当てには同じ方法を使用してください。そのためには、NIS、LDAP、または他の同一ドメイン認証機構を利用することができます。
/etc/idmapd.conf
のDomain
パラメータを設定する必要があります。このパラメータはサーバとこのサーバにアクセスするすべてのNFSv4クライアントに対して同じである必要があります。異なるNFSv4ドメインのクライアントはサーバにアクセスできません。デフォルトのドメインlocaldomain
をそのまま使用することをお勧めします。別の名前を選択する必要がある場合は、ホストのFQDNからホスト名を除いたものにするとよいでしょう。環境設定ファイルの例を次に示します。[General] Verbosity = 0 Pipefs-Directory = /var/lib/nfs/rpc_pipefs Domain = localdomain [Mapping] Nobody-User = nobody Nobody-Group = nobody
idmapd
デーモンを起動するため、systemctl start nfs-idmapd
を実行します。デーモンの実行中に/etc/idmapd.conf
を変更した場合、変更を有効にするには、systemctl restart nfs-idmapd
を実行してデーモンを再起動する必要があります。詳細については、
idmapd
およびidmapd.conf
のマニュアルページ(man idmapd
およびman idmapd.conf
)を参照してください。
19.3.3 NFSでのKerberosの使用 #
NFSでKerberos認証を使用するには、Generic Security Services (GSS)を有効にする必要があります。最初のYaST NFSサーバのダイアログで、
を選択します。ただし、この機能を使用するには、機能するKerberosサーバが必要です。YaSTはKerberosサーバの設定は行いません。その提供機能を使用するだけです。YaST環境設定に加えて、Kerberos認証も使用するには、NFS設定を実行する前に、少なくとも次の手順を完了してください。サーバとクライアントの両方が、同じKerberosドメインにあることを確認します。つまり、クライアントとサーバが同じKDC (Key Distribution Center)サーバにアクセスし、
krb5.keytab
ファイル(マシン上のデフォルトの場所は/etc/krb5.keytab
)を共有していなければなりません。Kerberosの詳細については、Chapter 6, Network authentication with Kerberosを参照してください。クライアントで
systemctl start rpc-gssd.service
コマンドを実行して、gssdサービスを起動します。サーバで
systemctl start rpc-svcgssd.service
コマンドを実行して、svcgssdサービスを起動します。
Kerberos認証でも、サーバでidmapd
デーモンが実行されている必要があります。詳細については、/etc/idmapd.conf
を参照してください。
Kerberos化されたNFSの設定の詳細については、19.7項 「詳細情報」のリンクを参照してください。
19.4 クライアントの設定 #
ホストをNFSクライアントとして設定する場合、他のソフトウェアをインストールする必要はありません。必要なすべてのパッケージは、デフォルトでインストールされます。
19.4.1 YaSTによるファイルシステムのインポート #
認証されたユーザは、YaST NFSクライアントモジュールを使用して、NFSディレクトリをNFSサーバからローカルファイルツリーにマウントできます。以下に手順を示します。
YaST NFSクライアントモジュールを起動します。
NFSv4を使用する場合は、
タブで を選択します。また、 に、NFSv4サーバが使用する値と同じ値が入力されている必要があります。デフォルトドメインはlocaldomain
です。NFSでKerberos認証を使用するには、GSSセキュリティを有効にする必要があります。
を選択します。firewalld
がシステムでアクティブな場合は、NFS用に個別に設定します(19.5項 「ファイアウォールの背後でNFSサーバとクライアントを操作する」を参照)。YaSTはまだ、firewalld
を完全にはサポートしていないため、「ファイアウォールを設定できません」というメッセージを無視して続行します。
設定は/etc/fstab
に書かれ、指定されたファイルシステムがマウントされます。後でYaST設定クライアントを起動した時に、このファイルから既存の設定が取得されます。
ルートパーティションがネットワーク経由でNFS共有としてマウントされている(ディスクレス)システムでは、NFS共有にアクセス可能なネットワークデバイスの設定を慎重に行う必要があります。
システムの停止、システムの再起動時のデフォルトの処理順序は、ネットワーク接続を切断してから、ルートパーティションをアンマウントするという順序になります。NFSルートの場合、この順序では問題が発生します。NFS共有とのネットワーク接続が先に無効にされているため、ルートパーティションを正常にアンマウントできないためです。システムが該当するネットワークデバイスを無効にしないようにするには、[network device configuration(ネットワークデバイスの設定)]タブ(23.4.1.2.5項 「ネットワークデバイスの有効化」を参照)を開いて、 ペインの を選択します。
19.4.2 ファイルシステムの手動インポート #
NFSサーバからファイルシステムを手動でインポートするには、RPCポートマッパーが実行していることが前提条件です。RPCポートマッパーを適切に起動するのはnfs
サービスです。そのため、root
ユーザとして「systemctl start nfs
」を入力し、RPCポートマッパーを起動します。次に、mount
を使用して、ローカルパーティションと同様に、リモートファイルシステムをファイルシステムにマウントできます。
>
sudo
mount HOST:REMOTE-PATH LOCAL-PATH
たとえば、nfs.example.com
マシンからユーザディレクトリをインポートするには、次の構文を使用します。
>
sudo
mount nfs.example.com:/home /home
クライアントがNFSサーバに対して行うTCP接続の数を定義するには、nconnect
コマンドのmount
オプションを使用できます。1~16の間の任意の数を指定できます。ここで、1はマウントオプションが指定されていない場合のデフォルト値です。
nconnect
設定は、特定のNFSサーバへの最初のマウントプロセス中にのみ適用されます。同じクライアントが同じNFSサーバにmountコマンドを実行する場合、すべてのすでに確立されている接続が共有されます。新しい接続は確立されません。nconnect
設定を変更するには、特定のNFSサーバへの「すべての」クライアント接続をアンマウントする必要があります。次にnconnect
オプションの新しい値を定義できます。
現在有効なnconnect
の値は、mount
の出力または/proc/mounts
ファイルで確認できます。マウントオプションに値がない場合、そのオプションはマウント中に使用されず、デフォルト値の1が使用されます。
nconnect
によって定義されているものとは異なる接続数
最初のマウント後に接続を閉じたり、開いたりできるため、実際の接続数は、必ずしもnconnect
の値と同じである必要はありません。
19.4.2.1 自動マウントサービスの使用 #
autofsデーモンを使用して、リモートファイルシステムを自動的にマウントすることができます。/etc/auto.master
ファイルに次のエントリを追加します。
/nfsmounts /etc/auto.nfs
これで、/nfsmounts
ディレクトリがクライアント上のすべてのNFSマウントのルートディレクトリの役割を果たすようになります(auto.nfs
ファイルが正しく設定されている場合)。ここでは、auto.nfs
という名前を使用しましたが、任意の名前を選択することができます。auto.nfs
で、次のようにしてすべてのNFSマウントのエントリを追加します。
localdata -fstype=nfs server1:/data nfs4mount -fstype=nfs4 server2:/
root
ユーザとしてsystemctl start autofs
を実行して設定を有効にします。この例では、server1
の/data
ディレクトリの/nfsmounts/localdata
はNFSでマウントされ、server2
の/nfsmounts/nfs4mount
はNFSv4でマウントされます。
autofsサービスの実行中に/etc/auto.master
ファイルを編集した場合、変更を反映するには、systemctl restart
autofs
で自動マウント機能を再起動する必要があります。
19.4.2.2 /etc/fstab
の手動編集 #
/etc/fstab
内の典型的なNFSv3マウントエントリは、次のようになります。
nfs.example.com:/data /local/path nfs rw,noauto 0 0
NFSv4マウントの場合は、3番目の列でnfs
の代わりにnfs4
を使用します。
nfs.example.com:/data /local/pathv4 nfs4 rw,noauto 0 0
noauto
オプションを使用すると、起動時にファイルシステムが自動マウントされません。対応するファイルシステムを手動でマウントする場合は、マウントポイントのみを指定してmountコマンドを短くできます。
>
sudo
mount /local/path
ただし、noauto
オプションを入力しないと、起動時に、システムのinitスクリプトによって、それらのファイルシステムがマウントされます。その場合は、ネットワークが利用可能になる前にスクリプトが共有をマウントしようとするのを防ぐ、_netdev
オプションを追加することを検討してください。
19.4.3 パラレルNFS(pNFS) #
NFSは、1980年代に開発された、もっとも古いプロトコルの1つです。そのため、小さなファイルを共有したい場合は、通常、NFSで十分です。しかし、大きなファイルを送信したい場合や多数のクライアントがデータにアクセスしたい場合は、NFSサーバがボトルネックとなり、システムのパフォーマンスに重大な影響を及ぼします。これはファイルのサイズが急速に大きくなっているのに対し、Ethernetの相対速度が追い付いていないためです。
通常のNFSサーバにファイルを要求すると、サーバはファイルのメタデータを検索し、すべてのデータを収集して、ネットワークを介してクライアントに送信します。しかし、ファイルが小さくても大きくてもパフォーマンスのボトルネックが問題になります。
小さいファイルでは、メタデータの収集に時間がかかる。
大きいファイルでは、サーバからクライアントへのデータ送信に時間がかかる。
pNFS(パラレルNFS)は、ファイルシステムメタデータをデータの場所から分離することによって、この制限を克服します。このため、pNFSには2種類のサーバが必要です。
データ以外のすべてのトラフィックを扱う「メタデータ」または「制御サーバ」
データを保持する1つ以上の「ストレージサーバ」
メタデータサーバとストレージサーバによって、単一の論理NFSサーバが構成されます。クライアントが読み込みまたは書き出しを行う場合、メタデータサーバがNFSv4クライアントに対して、ファイルのチャンクにアクセスするにはどのストレージサーバを使用すればよいかを指示します。クライアントはサーバのデータに直接アクセスできます。
SUSE Linux Enterprise Serverはクライアント側でのみpNFSをサポートします。
19.4.3.1 YaSTを使用したpNFSクライアントの設定 #
手順19.2「NFSディレクトリのインポート」に従って進めます。ただし、 チェックボックスをクリックし、オプションで をクリックします。YaSTが必要な手順をすべて実行し、必要なすべてのオプションを/etc/exports
ファイルに書き込みます。
19.4.3.2 pNFSクライアントの手動設定 #
19.4.2項 「ファイルシステムの手動インポート」を参照して開始します。ほとんどの設定はNFSv4サーバによって行われます。pNFSを使用する場合に異なるのは、nfsvers
オプションおよびメタデータサーバMDS_SERVERをmount
コマンドに追加することだけです。
>
sudo
mount -t nfs4 -o nfsvers=4.2 MDS_SERVER MOUNTPOINT
デバッグを支援するために、/proc
ファイルシステムの値を変更します。
>
sudo
echo 32767 > /proc/sys/sunrpc/nfsd_debug>
sudo
echo 32767 > /proc/sys/sunrpc/nfs_debug
19.5 ファイアウォールの背後でNFSサーバとクライアントを操作する #
NFSサーバとそのクライアントとの間の通信は、リモートプロシージャコール(RPC)を介して行われます。マウントデーモンやファイルロックサービスなど、いくつかのRPCサービスは、Linux NFS実装の一部です。サーバとクライアントがファイアウォールの背後で実行される場合、これらのサービスとファイアウォールは、クライアントとサーバ間の通信をブロックしないように設定する必要があります。
NFS 4サーバはNFSバージョン3と後方互換性がありますが、ファイアウォール設定は両方のバージョンで異なります。クライアントのいずれかがNFS 3を使用して共有をマウントする場合は、NFS 4とNFS 3の両方を許可するようにファイアウォールを設定します。
19.5.1 NFS 4.x #
NFS 4では、サーバ側でのみTCPポート2049を開く必要があります。ファイアウォールでこのポートを開くには、「NFSサーバの」firewalldでnfs
サービスを有効にします。
>
sudo
firewall-cmd --permanent --add-service=nfs --zone=ACTIVE_ZONE firewall-cmd --reload
ACTIVE_ZONEを、NFSサーバで使用されるファイアウォールゾーンに置き換えます。
NFSv4の使用時には、クライアント側での追加のファイアウォール設定は必要ありません。デフォルトでは、マウントのデフォルトはサポートされているNFSの最高バージョンとなるため、クライアントがNFSv4をサポートしている場合、共有は自動的にバージョン4.2としてマウントされます。
19.5.2 NFS 3 #
NFS 3では次のサービスが必要です。
portmapper
nfsd
mountd
lockd
statd
これらのサービスは、rpcbind
によって操作され、デフォルトでは動的にポートが割り当てられます。ファイアウォールの背後でこれらのサービスにアクセスできるようにするには、まず、静的ポートで実行するように設定する必要があります。これらのポートは後でファイアウォールで開く必要があります。
portmapper
SUSE Linux Enterprise Serverでは、
portmapper
はすでに静的ポートで実行するように設定されています。ポート
111
プロトコル
TCP、UDP
実行環境
クライアント、サーバ
>
sudo
firewall-cmd --add-service=rpc-bind --permanent --zone=ACTIVE_ZONEnfsd
SUSE Linux Enterprise Serverでは、
nfsd
はすでに静的ポートで実行するように設定されています。ポート
2049
プロトコル
TCP、UDP
実行環境
サーバ
>
sudo
firewall-cmd --add-service=nfs3 --permanent --zone=ACTIVE_ZONEmountd
SUSE Linux Enterprise Serverでは、
mountd
はすでに静的ポートで実行するように設定されています。ポート
20048
プロトコル
TCP、UDP
実行環境
サーバ
>
sudo
firewall-cmd --add-service=mountd --permanent --zone=ACTIVE_ZONElockd
lockd
の静的ポートを設定するには、次の操作を実行します。サーバ上の
/etc/sysconfig/nfs
を編集し、以下を見つけて設定しますLOCKD_TCPPORT=NNNNN LOCKD_UDPPORT=NNNN
NNNNNを、任意の未使用ポートに置き換えます。両方のプロトコルに同じポートを使用します。
NFSサーバを再起動します。
>
sudo
systemctl restart nfs-server
ポート
NNNNN
プロトコル
TCP、UDP
実行環境
クライアント、サーバ
>
sudo
firewall-cmd --add-port=NNNNN/{tcp,udp} --permanent --zone=ACTIVE_ZONEstatd
statd
の静的ポートを設定するには、次の操作を実行します。サーバ上の
/etc/sysconfig/nfs
を編集し、以下を検出して設定しますSTATD_PORT=NNNNN
NNNNNを、任意の未使用ポートに置き換えます。
NFSサーバを再起動します。
>
sudo
systemctl restart nfs-server
ポート
NNNNN
プロトコル
TCP、UDP
実行環境
クライアント、サーバ
>
sudo
firewall-cmd --add-port=NNNNN/{tcp,udp} --permanent --zone=ACTIVE_ZONE
firewalld
設定のロード
firewalld
設定を変更するたびに、デーモンを再ロードして、変更を有効にする必要があります。
>
sudo
firewall-cmd --reload
ACTIVE_ZONEを、各マシンで使用されているファイアウォールゾーンに置き換えてください。ファイアウォール設定によっては、アクティブゾーンがマシンごとに異なる場合があることに注意してください。
19.6 NFSv4上でのアクセス制御リストの管理 #
Linuxには、ユーザ、グループ、およびその他(rwx
)に対する簡単な読み込み、書き込み、および実行(ugo
)の各フラグ以上の、ACL (アクセス制御リスト)の単一標準はありません。よりきめ細かな制御のオプションの1つにDraft POSIX ACLsがあります。ただし、これらのACLは、POSIXによって正式に標準化されたことはありません。もう1つは、NFSv4ネットワークファイルシステムの一部として設計されたNFSv4 ACLです。NFSv4 ACLは、Linux上のPOSIXシステムとMicrosoft Windows上のWIN32システム間に適切な互換性を提供することを目的としています。
NFSv4 ACLは、Draft POSIX ACLを正しく実装できるほど十分ではないので、NFSv4クライアントへのACLアクセスのマッピングは試みられていません(setfacl
の使用など)。
NFSv4の使用時は、Draft POSIX ACLはエミュレーションでさえ使用できず、NFSv4 ACLを直接使用する必要があります。つまり、setfacl
をNFSv3で動作させながら、NFSv4で動作させることはできません。NFSv4 ACLをNFSv4ファイルシステムで使用できるようにするため、SUSE Linux Enterprise Serverでは、次のファイルを含むnfs4-acl-tools
パッケージを提供しています。
nfs4-getfacl
nfs4-setfacl
nfs4-editacl
これらの動作は、NFSv4 ACLを検証および変更するgetfacl
およびsetfacl
とほぼ同様です。これらのコマンドは、NFSサーバ上のファイルシステムがNFSv4 ACLを完全にサポートしている場合にのみ有効です。サーバによって課される制限は、クライアントで実行されているこれらのプログラムに影響を与え、ACE (Access Control Entries)の一部の特定の組み合わせが不可能なことがあります。
エクスポート元のNFSサーバにNFSボリュームをローカルにマウントすることはサポートされていません。
その他の情報#
詳細については、Introduction to NFSv4 ACLs (https://wiki.linux-nfs.org/wiki/index.php/ACLs#Introduction_to_NFSv4_ACLs)を参照してください。
19.7 詳細情報 #
exports
、nfs
、およびmount
のマニュアルページに加えて、NFSサーバとクライアントの設定に関する情報は、/usr/share/doc/packages/nfsidmap/README
で入手できます。オンラインドキュメンテーションについては、次のWebサイトを参照してください。
ネットワークセキュリティの一般的な情報については、Chapter 23, Masquerading and firewallsを参照してください。
NFSエクスポートを自動的にマウントする必要がある場合は、21.4項 「NFS共有の自動マウント」を参照してください。
AutoYaSTを使用してNFSを設定する方法の詳細については、Section 4.21, “NFS client and server”を参照してください。
Kerberosを使用したNFSエクスポートのセキュリティ保護に関する手順については、Section 6.6, “Kerberos and NFS”を参照してください。
詳細な技術ヘルプについては、SourceForgeを参照してください。
19.8 NFSトラブルシューティングのための情報の収集 #
19.8.1 一般的なトラブルシューティング #
生成されたエラーメッセージを読み、/var/log/messages
ファイルを調べることで、NFSでの問題を理解できる場合があります。ただし、多くの場合、エラーメッセージや/var/log/messages
で提供される情報は、詳細が十分ではありません。このような場合、NFSのほとんどの問題は、問題の再現中にネットワークパケットをキャプチャすることでよく理解することができます。
問題を明確に定義します。さまざまな方法でシステムをテストし、問題がいつ発生するのかを特定して問題を調べます。問題につながる最も簡単なステップを特定します。その後、次の手順で示すように、問題を再現してみます。
ネットワークパケットをキャプチャします。Linuxでは、
tcpdump
パッケージで提供される、tcpdumpコマンドを使用できます。tcpdump
の構文の例は次のとおりです。tcpdump -s0 -i eth0 -w /tmp/nfs-demo.cap host x.x.x.x
ここで、
- s0
パケットの切り捨てを防止します
- eth0
パケットが通過するローカルインタフェースの名前に置き換える必要があります。
any
値を使用して、同時にすべてのインタフェースをキャプチャできますが、この属性の使用により、データが劣化したり、分析で混乱が生じる場合がよくあります。- w
書き込むキャプチャファイルの名前を指定します。
- x.x.x.x
NFS接続のもう一方の端のIPアドレスに置き換える必要があります。たとえば、NFSクライアント側で
tcpdump
を取得する場合は、NFSサーバのIPアドレスを指定します。その逆も同様です。
注記場合によっては、NFSクライアントまたはNFSサーバのいずれかのデータをキャプチャするだけで十分です。ただし、エンドツウエンドのネットワーク整合性が疑わしい場合は、両方の端でデータをキャプチャする必要がよくあります。
tcpdump
プロセスをシャットダウンせずに次の手順に進みます。(オプション)
nfs mount
コマンド自体の実行中に問題が発生する場合は、nfs mount
コマンドの高詳細度オプション(-vvv
)を使用して、より詳細な出力を得ることができます。(オプション)再現方法の
strace
を取得します。strace
の再現ステップでは、どのシステムコールがどの時点で行われたかを正確に記録します。この情報を使用して、tcpdump
内のどのイベントに焦点を合わせるべきかを詳細に判断することができます。たとえば、NFSマウントでコマンドmycommand --paramの実行が失敗したことが分かった場合は、次のコマンドを使用してコマンドを
strace
することができます。strace -ttf -s128 -o/tmp/nfs-strace.out mycommand --param
再現ステップで
strace
を取得できない場合は、問題が再現された時刻を記録します。/var/log/messages
ログファイルを確認して、問題を特定します。問題が再現されたら、CTRL–cを押して、端末で実行している
tcpdump
を停止します。strace
コマンドによりハングした場合は、strace
コマンドも終了します。これで、パケットトレースと
strace
データの分析経験のある管理者は、/tmp/nfs-demo.cap
と/tmp/nfs-strace.out
のデータを検査できるようになりました。
19.8.2 高度なNFSデバッグ #
次のセクションは、NFSコードを理解している熟練したNFS管理者のみを対象としていることを念頭に置いてください。したがって、19.8.1項 「一般的なトラブルシューティング」で説明されている最初の手順を実行して、問題を絞り込み、詳細を得るために必要なデバッグコード(ある場合)の領域を専門家に知らせてください。
追加のNFS関連の情報を収集するために有効にすることが可能なデバッグコードのさまざまな領域があります。ただし、デバッグメッセージは非常に難解であり、その量も非常に多いため、デバッグコードの使用はシステムのパフォーマンスに影響を及ぼす可能性があります。問題が発生しないようにするためにシステムに大きな影響を及ぼす場合もあります。ほとんどの場合、デバッグコードの出力は必要ありません。また、NFSコードに精通していないユーザにとっては通常は役に立ちません。
19.8.2.1 rpcdebug
を使用したデバッグの有効化 #
rpcdebug
ツールを使用すると、NFSクライアントとサーバのデバッグフラグを設定したり、クリアしたりできます。SUSE Linux Enterprise Serverのインストールでrpcdebug
ツールが利用できない場合は、NFSサーバのnfs-clientあるいはnfs-kernel-serverパッケージからインストールできます。
デバッグフラグを設定するには、次のコマンドを実行します。
rpcdebug -m module -s flags
デバッグフラグをクリアするには、次のコマンドを実行します。
rpcdebug -m module -c flags
ここで、moduleは次のとおりです。
- nfsd
NFSサーバコードのデバッグ
- nfs
NFSクライアントコードのデバッグ
- nlm
NFSクライアントまたはNFSサーバのいずれかでNFS Lock Managerのデバッグを行います。これはNFS v2/v3に該当します。
- rpc
NFSクライアントまたはNFSサーバのいずれかでリモートプロシージャコールモジュールのデバッグを行います。
rpcdebug
コマンドの詳細な使用法については、マニュアルページを参照してください。
man 8 rpcdebug
19.8.2.2 NFSが依存する他のコードのデバッグを有効化する #
NFSアクティビティは、NFSマウントデーモン(rpc.mountd
)などの他の関連サービスに依存する場合があります。/etc/sysconfig/nfs
内で関連サービスのオプションを設定できます。
たとえば、/etc/sysconfig/nfs
には次のパラメータが含まれています。
MOUNTD_OPTIONS=""
デバッグモードを有効にするには、-d
オプションに続いて、all
、auth
、call
、general
、またはparse
のいずれかの値を使用する必要があります。
たとえば、次のコードはすべての形式のrpc.mountd
ロギングを有効にします。
MOUNTD_OPTIONS="-d all"
すべての使用可能なオプションについては、マニュアルページを参照してください。
man 8 rpc.mountd
/etc/sysconfig/nfs
を変更した後で、サービスを再起動する必要があります。
systemctl restart nfs-server # for nfs server related changes systemctl restart nfs # for nfs client related changes