Ubuntu22.04でNFSマウントを設定する方法

序章

NFS（Network File System）は、サーバーにリモートディレクトリをマウントできる分散ファイルシステムプロトコルです。 これにより、別の場所にあるストレージスペースを管理し、複数のクライアントからそのスペースに書き込むことができます。 NFSは、ネットワークを介してリモートシステムにアクセスするための比較的標準的でパフォーマンスの高い方法を提供し、共有リソースに定期的にアクセスする必要がある状況でうまく機能します。

このガイドでは、Ubuntu 22.04にNFS機能に必要なソフトウェアをインストールし、サーバーとクライアントに2つのNFSマウントを構成し、リモート共有をマウントおよびアンマウントする方法について説明します。

前提条件

このチュートリアルでは2つのサーバーを使用し、一方がファイルシステムの一部を他方と共有します。 フォローするには、次のものが必要です。

• 2台のUbuntu22.04サーバー。 これらのそれぞれには、sudo特権を持つ非rootユーザー、UFWでセットアップされたファイアウォール、およびプライベートネットワーク（利用可能な場合）が必要です。

  • sudo権限とファイアウォールを備えたroot以外のユーザーのセットアップについては、 Ubuntu22.04の初期サーバーセットアップガイドに従ってください。

  • サーバーとクライアントにDigitalOceanDropletsを使用している場合は、VPCの作成方法のドキュメントでプライベートネットワークの設定について詳しく読むことができます。

このチュートリアル全体を通して、ディレクトリを共有するサーバーは host と呼ばれ、これらのディレクトリをマウントするサーバーはclientと呼ばれます。 両方のIPアドレスを知っている必要があります。 可能な場合は、必ずprivateネットワークアドレスを使用してください。

このチュートリアル全体を通して、これらのIPアドレスはプレースホルダーhost_ipおよびclient_ipによって参照されます。 必要に応じて代用してください。

ステップ1—コンポーネントのダウンロードとインストール

まず、各サーバーに必要なコンポーネントをインストールします。

ホスト上

host サーバーに、nfs-kernel-serverパッケージをインストールします。これにより、ディレクトリを共有できるようになります。 これは、このセッションでaptを使用して実行する最初の操作であるため、インストールする前にローカルパッケージインデックスを更新してください。

sudo apt update
sudo apt install nfs-kernel-server

これらのパッケージがインストールされたら、clientサーバーに切り替えます。

クライアントで

クライアントサーバーに、nfs-commonというパッケージをインストールする必要があります。このパッケージは、サーバーコンポーネントを含まずにNFS機能を提供します。 繰り返しになりますが、インストールする前にローカルパッケージインデックスを更新して、最新の情報があることを確認してください。

sudo apt update
sudo apt install nfs-common

両方のサーバーに必要なパッケージが用意されたので、それらの構成を開始できます。

ステップ2—ホスト上に共有ディレクトリを作成する

スーパーユーザーアクセスに関してNFSマウントを構成できる2つの主要な方法を説明するために、構成設定が異なる2つの別々のディレクトリを共有します。

スーパーユーザーは、システム上のどこでも何でもできます。 ただし、NFSマウントされたディレクトリは、それらがマウントされているシステムの一部ではないため、デフォルトでは、NFSサーバーはスーパーユーザー権限を必要とする操作の実行を拒否します。 このデフォルトの制限は、 clientのスーパーユーザーがrootとしてファイルを書き込んだり、所有権を再割り当てしたり、NFSマウントで他のスーパーユーザータスクを実行したりできないことを意味します。

ただし、 client システムには、マウントされたファイルシステムでこれらのアクションを実行する必要があるが、hostではスーパーユーザーアクセスを必要としない信頼できるユーザーがいる場合があります。 これを許可するようにNFSサーバーを構成できますが、リスクの要素が発生するため、ユーザーはホストシステム全体へのルートアクセスを取得できます。

例1：汎用マウントのエクスポート

最初の例では、デフォルトのNFS動作を使用して、clientマシンのroot権限を持つユーザーがhostと対話するのを困難にする汎用NFSマウントを作成します。 ]これらのclientスーパーユーザー権限を使用します。 このようなものを使用して、コンテンツ管理システムを使用してアップロードされたファイルを保存したり、ユーザーがプロジェクトファイルを簡単に共有できるスペースを作成したりできます。

まず、共有ディレクトリを作成します。

sudo mkdir /var/nfs/general -p

sudoで作成しているため、ディレクトリはhostのrootユーザーが所有しています。

ls -dl /var/nfs/general

Output
drwxr-xr-x 2 root root 4096 Apr 17 23:51 /var/nfs/general

NFSは、セキュリティ対策として、clientでのroot操作をnobody:nogroupクレデンシャルに変換します。 したがって、これらの資格情報と一致するようにディレクトリの所有権を変更する必要があります。

sudo chown nobody:nogroup /var/nfs/general

Output
drwxr-xr-x 2 nobody nogroup 4096 Apr 17 23:51 /var/nfs/general

これで、このディレクトリをエクスポートする準備が整いました。

例2：ホームディレクトリのエクスポート

2番目の例では、ホストに格納されているユーザーのホームディレクトリをクライアントサーバーで使用できるようにすると同時に、それらのクライアントサーバーの信頼できる管理者がアクセスできるようにすることを目的としています。ユーザーを便利に管理する必要があります。

これを行うには、/homeディレクトリをエクスポートします。 すでに存在しているので、作成する必要はありません。 権限も変更しません。 did の場合、hostマシンにホームディレクトリを持っている人にはさまざまな問題が発生する可能性があります。

ステップ3—ホストサーバーでのNFSエクスポートの構成

次に、NFS構成ファイルを調べて、これらのリソースの共有を設定します。

host マシンで、root権限を使用してテキストエディタで/etc/exportsファイルを開きます。

sudo nano /etc/exports

このファイルには、各構成行の一般的な構造を示すコメントが含まれています。 構文は次のとおりです。

directory_to_share    client(share_option1,...,share_optionN)

共有する予定のディレクトリごとに1行を作成する必要があります。 ここに表示されているclient_ipプレースホルダーを実際のIPアドレスに変更してください。

/var/nfs/general    client_ip(rw,sync,no_subtree_check)
/home               client_ip(rw,sync,no_root_squash,no_subtree_check)

ここでは、no_root_squashを除いて、両方のディレクトリに同じ構成オプションを使用しています。 これらの各オプションの意味を見てください。

• rw：このオプションは、clientコンピューターにボリュームへの読み取りアクセスと書き込みアクセスの両方を提供します。
• sync：このオプションは、NFSが応答する前に変更をディスクに書き込むように強制します。 これにより、応答がリモートボリュームの実際の状態を反映するため、より安定した一貫性のある環境が実現します。 ただし、ファイル操作の速度も低下します。
• no_subtree_check：このオプションは、サブツリーチェックを防ぎます。これは、 host が、リクエストごとにエクスポートされたツリーでファイルが実際にまだ利用可能かどうかをチェックする必要があるプロセスです。 これにより、clientが開いているときにファイルの名前が変更されると多くの問題が発生する可能性があります。 ほとんどの場合、サブツリーチェックを無効にすることをお勧めします。
• no_root_squash：デフォルトでは、NFSはrootユーザーからの要求をサーバー上の非特権ユーザーにリモートで変換します。 これは、クライアントのルートアカウントがホストのファイルシステムをルートとして使用しないようにするためのセキュリティ機能として意図されていました。 no_root_squashは、特定の共有に対してこの動作を無効にします。

変更が完了したら、ファイルを保存して閉じます。 次に、構成したクライアントが共有を使用できるようにするには、次のコマンドを使用してNFSサーバーを再起動します。

sudo systemctl restart nfs-kernel-server

ただし、実際に新しい共有を使用する前に、共有へのトラフィックがファイアウォールルールによって許可されていることを確認する必要があります。

ステップ4—ホストのファイアウォールを調整する

まず、ファイアウォールのステータスをチェックして、ファイアウォールが有効になっているかどうかを確認し、有効になっている場合は、現在許可されているものを確認します。

sudo ufw status

Output
Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere
OpenSSH (v6)               ALLOW       Anywhere (v6)

システムでは、SSHトラフィックのみが通過を許可されているため、NFSトラフィックのルールを追加する必要があります。

多くのアプリケーションでは、sudo ufw app listを使用して名前で有効にすることができますが、nfsはその1つではありません。 ただし、ufwは/etc/servicesでもサービスのポートとプロトコルをチェックするため、名前でNFSを追加できます。 ベストプラクティスでは、許可するトラフィックを引き続き許可する最も制限の厳しいルールを有効にすることをお勧めします。そのため、どこからでもトラフィックを有効にするのではなく、具体的にする必要があります。

次のコマンドを使用して、ホストのポート2049を開きます。必ず、クライアントのIPアドレスに置き換えてください。

sudo ufw allow from client_ip to any port nfs

次のように入力して、変更を確認できます。

sudo ufw status

出力にポート2049から許可されたトラフィックが表示されます。

Output
Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere                 
2049                       ALLOW       203.0.113.24        
OpenSSH (v6)               ALLOW       Anywhere (v6)

これは、UFWがクライアントマシンからのポート2049でのNFSトラフィックのみを許可することを確認します。

ステップ5—クライアントでのマウントポイントとマウントディレクトリの作成

host サーバーが構成され、その共有を提供するようになったので、clientを準備します。

クライアントでリモート共有を利用できるようにするには、共有するホストのディレクトリをクライアントの空のディレクトリにマウントする必要があります。 。

マウント用に2つのディレクトリを作成します。

sudo mkdir -p /nfs/general
sudo mkdir -p /nfs/home

リモート共有を配置する場所があり、ファイアウォールを開いたので、ホストサーバーのIPアドレスを使用して共有をマウントできます。

sudo mount host_ip:/var/nfs/general /nfs/general
sudo mount host_ip:/home /nfs/home

これらのコマンドは、ホストコンピューターからクライアントマシンに共有をマウントします。 いくつかの方法で、それらが正常にマウントされたことを再確認できます。 これはmountまたはfindmntコマンドで確認できますが、df -hの方が読みやすい出力になります。

df -h

Output
Filesystem                   Size  Used Avail Use% Mounted on
tmpfs                        198M  972K  197M   1% /run
/dev/vda1                     50G  3.5G   47G   7% /
tmpfs                        989M     0  989M   0% /dev/shm
tmpfs                        5.0M     0  5.0M   0% /run/lock
/dev/vda15                   105M  5.3M  100M   5% /boot/efi
tmpfs                        198M  4.0K  198M   1% /run/user/1000
10.124.0.3:/var/nfs/general   25G  5.9G   19G  24% /nfs/general
10.124.0.3:/home              25G  5.9G   19G  24% /nfs/home

マウントした両方の共有が下部に表示されます。 それらは同じファイルシステムからマウントされたため、同じディスク使用量を示します。 各マウントポイントで実際に使用されているスペースを確認するには、ディスク使用量コマンドduとマウントのパスを使用します。 -sフラグは、すべてのファイルの使用状況を表示するのではなく、使用状況の概要を提供します。 -hは、人間が読める形式の出力を出力します。

例えば：

du -sh /nfs/home

Output
36K    /nfs/home

これは、ホームディレクトリ全体のコンテンツが使用可能なスペースの36Kのみを使用していることを示しています。

ステップ6—NFSアクセスのテスト

次に、共有のそれぞれに何かを書き込んで、共有へのアクセスをテストします。

例1：汎用シェア

まず、テストファイルを/var/nfs/general共有に書き込みます。

sudo touch /nfs/general/general.test

次に、その所有権を確認します。

ls -l /nfs/general/general.test

Output
-rw-r--r-- 1 nobody nogroup 0 Apr 18 00:02 /nfs/general/general.test

NFSのデフォルトの動作を変更せずにこのボリュームをマウントし、sudoコマンドを使用してclientマシンのroot ユーザーとしてファイルを作成したため、ファイルの所有権はデフォルトでnobody:nogroup。 client スーパーユーザーは、このNFSマウントされた共有で、ファイルの所有者の変更やユーザーのグループ用の新しいディレクトリの作成など、一般的な管理アクションを実行できません。

例2：ホームディレクトリ共有

汎用共有のアクセス許可をホームディレクトリ共有と比較するには、同じ方法で/nfs/homeにファイルを作成します。

sudo touch /nfs/home/home.test

次に、ファイルの所有権を確認します。

ls -l /nfs/home/home.test

Output
-rw-r--r-- 1 root root 0 Apr 18 00:03 /nfs/home/home.test

sudoコマンドを使用して、general.testファイルを作成したのとまったく同じ方法で、home.testをrootとして作成しました。 ただし、この場合、このマウントでno_root_squashオプションを指定したときにデフォルトの動作を無効にしたため、rootが所有しています。 これにより、clientマシン上のrootユーザーがrootとして機能し、ユーザーアカウントの管理がはるかに便利になります。 同時に、これらのユーザーにホストへのルートアクセスを許可する必要がないことを意味します。

ステップ7—起動時にリモートNFSディレクトリをマウントする

リモートNFS共有は、クライアントの/etc/fstabファイルに追加することで、起動時に自動的にマウントできます。

テキストエディタでroot権限でこのファイルを開きます。

sudo nano /etc/fstab

ファイルの下部に、共有ごとに1行追加します。 それらは次のようになります。

. . .
host_ip:/var/nfs/general    /nfs/general   nfs auto,nofail,noatime,nolock,intr,tcp,actimeo=1800 0 0
host_ip:/home               /nfs/home      nfs auto,nofail,noatime,nolock,intr,tcp,actimeo=1800 0 0

man nfs

client は、起動時にリモートパーティションを自動的にマウントしますが、接続を確立して共有を使用できるようになるまでに少し時間がかかる場合があります。

ステップ8—NFSリモート共有のアンマウント

リモートディレクトリをシステムにマウントする必要がなくなった場合は、次のように、共有のディレクトリ構造から移動してアンマウントすることで、リモートディレクトリをアンマウントできます。

cd ~
sudo umount /nfs/home
sudo umount /nfs/general

コマンドの名前はunmountではなくumountであることに注意してください。

これにより、リモート共有が削除され、ローカルストレージのみがアクセス可能になります。

df -h

Output
Filesystem      Size  Used Avail Use% Mounted on
tmpfs           198M  972K  197M   1% /run
/dev/vda1        50G  3.5G   47G   7% /
tmpfs           989M     0  989M   0% /dev/shm
tmpfs           5.0M     0  5.0M   0% /run/lock
/dev/vda15      105M  5.3M  100M   5% /boot/efi
tmpfs           198M  4.0K  198M   1% /run/user/1000

また、次回の再起動時に再マウントされないようにする場合は、/etc/fstabを編集し、行を削除するか、行の先頭に#文字を配置してコメントアウトします。 autoオプションを削除して自動マウントを防ぐこともできます。これにより、手動でマウントすることができます。

結論

このチュートリアルでは、NFSホストを作成し、NFSクライアントと共有する2つの異なるNFSマウントを作成することにより、いくつかの主要なNFS動作を示しました。

本番環境でNFSを実装する場合は、プロトコル自体が暗号化されていないことに注意することが重要です。 プライベートネットワークを介して共有している場合、これは問題ではない可能性があります。 それ以外の場合は、データを保護するためにVPNまたはその他の種類の暗号化トンネルが必要になります。