Ubuntu20.04でNFSマウントを設定する方法
序章
NFS(Network File System)は、サーバーにリモートディレクトリをマウントできる分散ファイルシステムプロトコルです。 これにより、別の場所にあるストレージスペースを管理し、複数のクライアントからそのスペースに書き込むことができます。 NFSは、ネットワークを介してリモートシステムにアクセスするための比較的標準的でパフォーマンスの高い方法を提供し、共有リソースに定期的にアクセスする必要がある状況でうまく機能します。
このガイドでは、Ubuntu 20.04にNFS機能に必要なソフトウェアをインストールし、サーバーとクライアントに2つのNFSマウントを構成し、リモート共有をマウントおよびアンマウントする方法について説明します。
前提条件
このチュートリアルでは2つのサーバーを使用し、一方がファイルシステムの一部を他方と共有します。 フォローするには、次のものが必要です。
-
2台のUbuntu20.04サーバー。 これらのそれぞれには、root以外のユーザーが必要です。
sudo
特権、UFWで設定されたファイアウォール、およびプライベートネットワーク(利用可能な場合)。-
root以外のユーザーの設定について
sudo
特権とファイアウォールについては、 Ubuntu20.04を使用したサーバーの初期設定ガイドに従ってください。 -
サーバーとクライアントにDigitalOceanDropletsを使用している場合は、VPCの作成方法のドキュメントでプライベートネットワークの設定について詳しく読むことができます。
-
このチュートリアルでは、ディレクトリを共有するサーバーを host と呼び、これらのディレクトリをマウントするサーバーをclientと呼びます。 両方のIPアドレスを知っている必要があります。 可能な場合は、必ずprivateネットワークアドレスを使用してください。
このチュートリアル全体を通して、プレースホルダーによってこれらのIPアドレスを参照します host_ip
と client_ip
. 必要に応じて代用してください。
ステップ1—コンポーネントのダウンロードとインストール
まず、各サーバーに必要なコンポーネントをインストールします。
ホスト上
ホストサーバーに、 nfs-kernel-server
パッケージ。ディレクトリを共有できます。 これはあなたが実行している最初の操作なので apt
このセッションでは、インストールする前にローカルパッケージインデックスを更新します。
- sudo apt update
- sudo apt install nfs-kernel-server
これらのパッケージがインストールされたら、clientサーバーに切り替えます。
クライアントで
client サーバーに、というパッケージをインストールする必要があります nfs-common
、サーバーコンポーネントを含まずにNFS機能を提供します。 繰り返しになりますが、インストールする前にローカルパッケージインデックスを更新して、最新の情報があることを確認してください。
- sudo apt update
- sudo apt install nfs-common
両方のサーバーに必要なパッケージが用意されたので、それらの構成を開始できます。
ステップ2—ホスト上に共有ディレクトリを作成する
スーパーユーザーアクセスに関してNFSマウントを構成できる2つの主要な方法を説明するために、構成設定が異なる2つの別々のディレクトリを共有します。
スーパーユーザーは、システム上のどこでも何でもできます。 ただし、NFSマウントされたディレクトリは、それらがマウントされているシステムの一部ではないため、デフォルトでは、NFSサーバーはスーパーユーザー権限を必要とする操作の実行を拒否します。 このデフォルトの制限は、 clientのスーパーユーザーがrootとしてファイルを書き込んだり、所有権を再割り当てしたり、NFSマウントで他のスーパーユーザータスクを実行したりできないことを意味します。
ただし、 client システムには、マウントされたファイルシステムでこれらのアクションを実行する必要があるが、hostではスーパーユーザーアクセスを必要としない信頼できるユーザーがいる場合があります。 これを許可するようにNFSサーバーを構成できますが、リスクの要素が発生するため、ユーザー
例1:汎用マウントのエクスポート
最初の例では、デフォルトのNFS動作を使用して、clientマシンのroot権限を持つユーザーがhostと対話するのを困難にする汎用NFSマウントを作成します。 ]これらのclientスーパーユーザー権限を使用します。 このようなものを使用して、コンテンツ管理システムを使用してアップロードされたファイルを保存したり、ユーザーがプロジェクトファイルを簡単に共有できるスペースを作成したりできます。
まず、共有ディレクトリを作成します。
- sudo mkdir /var/nfs/general -p
で作成しているので sudo
、ディレクトリはhostのrootユーザーが所有しています。
- ls -la /var/nfs/general
Outputdrwxr-xr-x 2 root root 4096 May 14 18:36 .
NFSは、クライアントでのroot操作を次のように変換します。 nobody:nogroup
セキュリティ対策としてのクレデンシャル。 したがって、これらの資格情報に一致するようにディレクトリの所有権を変更する必要があります。
- sudo chown nobody:nogroup /var/nfs/general
これで、このディレクトリをエクスポートする準備が整いました。
例2:ホームディレクトリのエクスポート
2番目の例では、 hostに格納されているユーザーのホームディレクトリをclient サーバーで使用できるようにすると同時に、それらのclientサーバーの信頼できる管理者がアクセスできるようにすることを目的としています。ユーザーを便利に管理する必要があります。
これを行うには、エクスポートします /home
ディレクトリ。 すでに存在しているので、作成する必要はありません。 権限も変更しません。 did の場合、hostマシンにホームディレクトリがある人にはさまざまな問題が発生する可能性があります。
ステップ3—ホストサーバーでのNFSエクスポートの構成
次に、NFS構成ファイルを詳しく調べて、これらのリソースの共有を設定します。
ホストマシンで、 /etc/exports
root 権限を持つテキストエディタのファイル:
- sudo nano /etc/exports
このファイルには、各構成行の一般的な構造を示すコメントが含まれています。 構文は次のとおりです。
directory_to_share client(share_option1,...,share_optionN)
共有する予定のディレクトリごとに1行を作成する必要があります。 必ず変更してください client_ip
ここに表示されているプレースホルダーを実際のIPアドレスに追加します。
/var/nfs/general client_ip(rw,sync,no_subtree_check)
/home client_ip(rw,sync,no_root_squash,no_subtree_check)
ここでは、両方のディレクトリに同じ構成オプションを使用していますが、 no_root_squash
. これらの各オプションの意味を見てみましょう。
rw
:このオプションは、clientコンピューターにボリュームへの読み取りアクセスと書き込みアクセスの両方を提供します。sync
:このオプションは、NFSが応答する前に変更をディスクに書き込むように強制します。 これにより、応答がリモートボリュームの実際の状態を反映するため、より安定した一貫性のある環境が実現します。 ただし、ファイル操作の速度も低下します。no_subtree_check
:このオプションは、サブツリーチェックを防ぎます。これは、 host が、リクエストごとにエクスポートされたツリーでファイルが実際にまだ利用可能かどうかをチェックする必要があるプロセスです。 これにより、clientが開いているときにファイルの名前が変更されると多くの問題が発生する可能性があります。 ほとんどの場合、サブツリーチェックを無効にすることをお勧めします。no_root_squash
:デフォルトでは、NFSはrootユーザーからの要求をサーバー上の非特権ユーザーにリモートで変換します。 これは、クライアントのルートアカウントがホストのファイルシステムをルートとして使用しないようにするためのセキュリティ機能として意図されていました。no_root_squash
特定の共有に対してこの動作を無効にします。
変更が完了したら、ファイルを保存して閉じます。 次に、構成したクライアントが共有を使用できるようにするには、次のコマンドを使用してNFSサーバーを再起動します。
- sudo systemctl restart nfs-kernel-server
ただし、実際に新しい共有を使用する前に、共有へのトラフィックがファイアウォールルールによって許可されていることを確認する必要があります。
ステップ4—ホストのファイアウォールを調整する
まず、ファイアウォールのステータスをチェックして、ファイアウォールが有効になっているかどうかを確認し、有効になっている場合は、現在許可されているものを確認します。
- sudo ufw status
OutputStatus: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
私たちのシステムでは、SSHトラフィックのみが通過を許可されているため、NFSトラフィックのルールを追加する必要があります。
多くのアプリケーションで、あなたは使用することができます sudo ufw app list
名前で有効にしますが nfs
それらの1つではありません。 ただし、 ufw
また、チェックします /etc/services
サービスのポートとプロトコルについては、名前でNFSを追加できます。 ベストプラクティスでは、許可するトラフィックを引き続き許可する最も制限の厳しいルールを有効にすることをお勧めします。そのため、どこからでもトラフィックを有効にするのではなく、具体的に説明します。
次のコマンドを使用してポートを開きます 2049
ホストで、必ずクライアントのIPアドレスに置き換えてください。
- sudo ufw allow from client_ip to any port nfs
次のように入力して、変更を確認できます。
- sudo ufw status
ポートから許可されたトラフィックが表示されるはずです 2049
出力:
OutputStatus: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
2049 ALLOW 203.0.113.24
OpenSSH (v6) ALLOW Anywhere (v6)
これは、UFWがポートでのNFSトラフィックのみを許可することを確認します 2049
クライアントマシンから。
ステップ5—クライアントでのマウントポイントとマウントディレクトリの作成
host サーバーが構成され、その共有を提供するようになったので、clientを準備します。
クライアントでリモート共有を利用できるようにするには、共有するホストのディレクトリをクライアントの空のディレクトリにマウントする必要があります。 。
注:マウントポイントにファイルとディレクトリがある場合、NFS共有をマウントするとすぐに非表示になります。 重要なファイルの損失を回避するために、すでに存在するディレクトリにマウントする場合は、そのディレクトリが空であることを確認してください。
マウント用に2つのディレクトリを作成します。
- sudo mkdir -p /nfs/general
- sudo mkdir -p /nfs/home
リモート共有を配置する場所があり、ファイアウォールを開いたので、ホストサーバーのIPアドレスを使用して共有をマウントできます。
- sudo mount host_ip:/var/nfs/general /nfs/general
- sudo mount host_ip:/home /nfs/home
これらのコマンドは、ホストコンピューターからクライアントマシンに共有をマウントします。 いくつかの方法で、それらが正常にマウントされたことを再確認できます。 あなたはこれをチェックすることができます mount
また findmnt
コマンド、しかし df -h
より読みやすい出力を提供します。
- df -h
OutputFilesystem Size Used Avail Use% Mounted on
udev 474M 0 474M 0% /dev
tmpfs 99M 936K 98M 1% /run
/dev/vda1 25G 1.8G 23G 8% /
tmpfs 491M 0 491M 0% /dev/shm
tmpfs 5.0M 0 5.0M 0% /run/lock
tmpfs 491M 0 491M 0% /sys/fs/cgroup
/dev/vda15 105M 3.9M 101M 4% /boot/efi
tmpfs 99M 0 99M 0% /run/user/1000
10.132.212.247:/var/nfs/general 25G 1.8G 23G 8% /nfs/general
10.132.212.247:/home 25G 1.8G 23G 8% /nfs/home
マウントした両方の共有が下部に表示されます。 それらは同じファイルシステムからマウントされたため、同じディスク使用量を示します。 各マウントポイントで実際に使用されているスペースを確認するには、diskusageコマンドを使用します du
マウントのパス。 The -s
フラグは、すべてのファイルの使用状況を表示するのではなく、使用状況の要約を提供します。 The -h
人間が読める形式の出力を出力します。
例えば:
- du -sh /nfs/home
Output36K /nfs/home
これは、ホームディレクトリ全体のコンテンツが使用可能なスペースの36Kのみを使用していることを示しています。
ステップ6—NFSアクセスのテスト
次に、それぞれに何かを書き込んで、共有へのアクセスをテストしてみましょう。
例1:汎用シェア
まず、テストファイルをに書き込みます /var/nfs/general
シェア:
- sudo touch /nfs/general/general.test
次に、その所有権を確認します。
- ls -l /nfs/general/general.test
Output-rw-r--r-- 1 nobody nogroup 0 Aug 1 13:31 /nfs/general/general.test
NFSのデフォルトの動作を変更せずにこのボリュームをマウントし、clientマシンのrootユーザーとしてファイルを作成したため sudo
コマンド、ファイルの所有権はデフォルトで nobody:nogroup
. client スーパーユーザーは、このNFSマウントされた共有で、ファイルの所有者の変更やユーザーのグループ用の新しいディレクトリの作成など、一般的な管理アクションを実行できません。
例2:ホームディレクトリ共有
汎用共有のアクセス許可をホームディレクトリ共有と比較するには、でファイルを作成します。 /nfs/home
同じ方法:
- sudo touch /nfs/home/home.test
次に、ファイルの所有権を確認します。
- ls -l /nfs/home/home.test
Output-rw-r--r-- 1 root root 0 Aug 1 13:32 /nfs/home/home.test
作成しました home.test
rootとして sudo
コマンド、作成したのとまったく同じ方法 general.test
ファイル。 ただし、この場合、 root が所有します。これは、 no_root_squash
このマウントのオプション。 これにより、clientマシンのrootユーザーがrootとして機能し、ユーザーアカウントの管理がはるかに便利になります。 同時に、これらのユーザーにホストへのルートアクセスを許可する必要がないことを意味します。
ステップ7—起動時にリモートNFSディレクトリをマウントする
リモートNFS共有をに追加することで、起動時に自動的にマウントできます。 /etc/fstab
クライアント上のファイル。
テキストエディタでroot権限でこのファイルを開きます。
- sudo nano /etc/fstab
ファイルの下部に、各共有の行を追加します。 それらは次のようになります。
. . .
host_ip:/var/nfs/general /nfs/general nfs auto,nofail,noatime,nolock,intr,tcp,actimeo=1800 0 0
host_ip:/home /nfs/home nfs auto,nofail,noatime,nolock,intr,tcp,actimeo=1800 0 0
注:ここで指定しているオプションの詳細については、NFSのマニュアルページを参照してください。 次のコマンドを実行して、これにアクセスできます。
- man nfs
client は、起動時にリモートパーティションを自動的にマウントしますが、接続を確立して共有を使用できるようになるまでに少し時間がかかる場合があります。
ステップ8—NFSリモート共有のアンマウント
リモートディレクトリをシステムにマウントする必要がなくなった場合は、次のように、共有のディレクトリ構造から移動してアンマウントすることで、リモートディレクトリをアンマウントできます。
- cd ~
- sudo umount /nfs/home
- sudo umount /nfs/general
コマンドの名前が付けられていることに注意してください umount
いいえ unmount
ご想像のとおり。
これにより、リモート共有が削除され、ローカルストレージのみがアクセス可能になります。
- df -h
OutputFilesystem Size Used Avail Use% Mounted on
udev 474M 0 474M 0% /dev
tmpfs 99M 936K 98M 1% /run
/dev/vda1 25G 1.8G 23G 8% /
tmpfs 491M 0 491M 0% /dev/shm
tmpfs 5.0M 0 5.0M 0% /run/lock
tmpfs 491M 0 491M 0% /sys/fs/cgroup
/dev/vda15 105M 3.9M 101M 4% /boot/efi
tmpfs 99M 0 99M 0% /run/user/1000
次回の再起動時にそれらが再マウントされないようにする場合も、編集します /etc/fstab
行を削除するか、次のようにコメントアウトします。 #
行頭の文字。 を削除することで自動マウントを防ぐこともできます auto
オプション。手動でマウントすることもできます。
結論
このチュートリアルでは、NFSホストを作成し、NFSクライアントと共有する2つの異なるNFSマウントを作成することにより、いくつかの主要なNFS動作を示しました。
本番環境でNFSを実装する場合は、プロトコル自体が暗号化されていないことに注意することが重要です。 プライベートネットワークを介して共有している場合、これは問題ではない可能性があります。 それ以外の場合は、データを保護するためにVPNまたはその他の種類の暗号化トンネルが必要になります。