Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
cs:navody:nfs:start [15.12.2016 15:30] danecek@cesnet.cz |
cs:navody:nfs:start [06.06.2022 15:52] (aktuální) Jiří Šrámek |
||
---|---|---|---|
Řádek 3: | Řádek 3: | ||
CESNET nabízí velké prostory (v řádech stovek TB) pro ukládání dat přístupné přes protokol NFSv4. | CESNET nabízí velké prostory (v řádech stovek TB) pro ukládání dat přístupné přes protokol NFSv4. | ||
- | Tyto úložné prostory si můžete zpřístupnit i na svém osobním stroji. Tato stránka obsahuje návod jak to udělat na strojích s operačním systémem Linux. Pro MS-Windows bohužel neexistuje klient NFSv4, který by byl zdarma, existuje pouze komerční [[http://connectivity.hummingbird.com/products/nc/nfs/index.html|NFS Maestro]]. | + | Tyto úložné prostory si můžete zpřístupnit i na svém osobním stroji. Tato stránka obsahuje návod jak to udělat na strojích s operačním systémem Linux. |
Pro zajištění bezpečnosti dat je vyžadované připojení ověřené přes systém Kerberos. To, v závislosti na použitých přepínačích příkazu ''mount'', umožňuje komunikaci i šifrovat. | Pro zajištění bezpečnosti dat je vyžadované připojení ověřené přes systém Kerberos. To, v závislosti na použitých přepínačích příkazu ''mount'', umožňuje komunikaci i šifrovat. | ||
Řádek 35: | Řádek 35: | ||
Sdílený prostor je třeba mapovat do nějakého adresáře. Doporučujeme dodržovat konvenci zavedenou v [[http://meta.cesnet.cz|MetaCentru]], tj. podadresář v /storage. Vytvořte si tedy prázdný adresář příkazem: | Sdílený prostor je třeba mapovat do nějakého adresáře. Doporučujeme dodržovat konvenci zavedenou v [[http://meta.cesnet.cz|MetaCentru]], tj. podadresář v /storage. Vytvořte si tedy prázdný adresář příkazem: | ||
- | mkdir -p /storage/cesnet-du1 | + | mkdir -p /storage/cesnet-du4 |
+ | | ||
===== Kerberos lístek umožňující připojení svazku ===== | ===== Kerberos lístek umožňující připojení svazku ===== | ||
Řádek 56: | Řádek 57: | ||
Trvalý keytab pro uživatele a servisní účty lze získat následujícím způsobem: | Trvalý keytab pro uživatele a servisní účty lze získat následujícím způsobem: | ||
- | ssh -o PubkeyAuthentication=no -o GSSAPIAuthentication=no USER@SERVER "remctl kdc1.cesnet.cz accounts nfskeytab" > krb5.keytab | + | ssh -o PubkeyAuthentication=no -o GSSAPIAuthentication=no USER@SERVER "remctl kdccesnet.ics.muni.cz accounts nfskeytab" > krb5.keytab |
- | kde USER je vaše jméno (nebo jméno servisního účtu) používané v EINFRA a SERVER zvolíte na základě toho, kam potřebujete přistupovat (např. pro plzenske pole"nfs.du1.cesnet.cz"), viz [[#adresy|adresy jednotlivých úložšť]]. | + | kde USER je vaše jméno (nebo jméno servisního účtu) používané v EINFRA a SERVER zvolíte na základě toho, kam potřebujete přistupovat (např. pro ostravské pole "ssh.du4.cesnet.cz"). |
<note important>Je nezbytné, aby ssh příkaz byl autentizován heslem a nikoli klíčem či jiným způsobem. Bez zadání hesla nebude remctl příkaz fungovat.</note> | <note important>Je nezbytné, aby ssh příkaz byl autentizován heslem a nikoli klíčem či jiným způsobem. Bez zadání hesla nebude remctl příkaz fungovat.</note> | ||
Řádek 80: | Řádek 81: | ||
Doporučujeme nainstalovat nástroje dostupné z našich repozitářů. | Doporučujeme nainstalovat nástroje dostupné z našich repozitářů. | ||
Tyto balíky již obsahují patche pro správnou funkci některých vlastností. | Tyto balíky již obsahují patche pro správnou funkci některých vlastností. | ||
+ | **Debian9 / Ubuntu18.04 (i386/amd64)** | ||
+ | <code> | ||
+ | apt update | ||
+ | apt install nfs-common libnfsidmap2 | ||
+ | </code> | ||
**Debian6 / Ubuntu12.04 (i386/amd64)** | **Debian6 / Ubuntu12.04 (i386/amd64)** | ||
Řádek 131: | Řádek 137: | ||
NEED_GSSD=yes | NEED_GSSD=yes | ||
| | ||
- | Dále je potřeba v ''/etc/default/nfs-common'' přidat řádek (pro Debian a Ubuntu verze nižší než 12.04): | + | Dále je potřeba v ''/etc/default/nfs-common'' přidat řádek (pro **Debian a Ubuntu verze nižší než 12.04**): |
RPCGSSDOPTS="-n" | RPCGSSDOPTS="-n" | ||
- | Pro Ubuntu 12.04 a novější je změna v ''/etc/init/gssd.conf'': | + | Pro **Ubuntu 12.04 - 16.04** je změna v ''/etc/init/gssd.conf'': |
Původní řádek tvaru: | Původní řádek tvaru: | ||
exec rpc.gssd | exec rpc.gssd | ||
nahraďte řádkem: | nahraďte řádkem: | ||
exec rpc.gssd -n | exec rpc.gssd -n | ||
- | | + | |
+ | /* | ||
+ | Pro **Ubuntu 18.04** a novější je změna v ''/etc/init.d/nfs-common'' | ||
+ | Původní řádek tvaru: | ||
+ | RPCGSSDOPTS= | ||
+ | nahraďte řádkem: | ||
+ | RPCGSSDOPTS="-n" | ||
+ | */ | ||
| | ||
Po těchto změnách je nutno službu restartovat, běžela-li již (''nfs-common''/''service gssd''). | Po těchto změnách je nutno službu restartovat, běžela-li již (''nfs-common''/''service gssd''). | ||
Řádek 153: | Řádek 166: | ||
== Fedora == | == Fedora == | ||
- | Nastavení nfs-utils je v souboru ''/etc/sysconfig/nfs''. Nastavíme alespoň tyto hodnoty: | + | Nastavení nfs-utils je v souboru ''/etc/nfs.conf''. Nastavíme alespoň tyto hodnoty: |
SECURE_NFS="yes" | SECURE_NFS="yes" | ||
Řádek 161: | Řádek 174: | ||
Nastavení nfs-utils je v souboru ''/etc/sysconfig/nfs''. Nastavíme alespoň tyto hodnoty: | Nastavení nfs-utils je v souboru ''/etc/sysconfig/nfs''. Nastavíme alespoň tyto hodnoty: | ||
+ | |||
+ | SECURE_NFS="yes" | ||
+ | RPCGSSDARGS="-n" | ||
+ | | ||
+ | == CentOS 8 (Stream) == | ||
+ | |||
+ | Vytvoříme soubor pro nastavení nfs-utils ''/etc/sysconfig/nfs''. Nastavíme alespoň tyto hodnoty: | ||
SECURE_NFS="yes" | SECURE_NFS="yes" | ||
Řádek 192: | Řádek 212: | ||
SECURE_NFS="yes" | SECURE_NFS="yes" | ||
+ | | ||
+ | == CentOS 8 (Stream) == | ||
+ | |||
+ | Vytvoříme soubor pro nastavení nfs-utils ''/etc/sysconfig/nfs''. Nastavíme alespoň tyto hodnoty: | ||
+ | |||
+ | SECURE_NFS="yes" | ||
| | ||
| | ||
- | ==== Kerberos l | + | ==== Kerberos lístek pro přístup k datům ==== |
- | ístek pro přístup k datům ==== | + | |
{{anchor:bacula:}} | {{anchor:bacula:}} | ||
<note tip>Uživatel ''root'' k přístupu na svazek nepotřebuje speciální lístek, stačí [[#Kerberos lístek umožňující připojení svazku|lístek pro příjení či keytab ''/etc/krb5.keytab'']] </note> | <note tip>Uživatel ''root'' k přístupu na svazek nepotřebuje speciální lístek, stačí [[#Kerberos lístek umožňující připojení svazku|lístek pro příjení či keytab ''/etc/krb5.keytab'']] </note> | ||
Řádek 249: | Řádek 274: | ||
Do souboru /etc/fstab dopsat řádek: | Do souboru /etc/fstab dopsat řádek: | ||
- | nfs.du1.cesnet.cz:/ /storage/cesnet-du1 nfs4 sec=krb5,rsize=1048576,wsize=1048576 0 0 | + | nfs.du4.cesnet.cz:/ /storage/cesnet-du4 nfs4 sec=krb5,rsize=1048576,wsize=1048576 0 0 |
| | ||
díky čemuž pak není nutné svazky ručně připojovat příkazem mount. | díky čemuž pak není nutné svazky ručně připojovat příkazem mount. | ||
Řádek 283: | Řádek 308: | ||
=== CentOS 7 === | === CentOS 7 === | ||
- | systemctl enable nfs-idmap | + | systemctl enable nfs-idmapd |
- | systemctl start nfs-idmap | + | systemctl start nfs-idmapd |
+ | |||
+ | systemctl enable nfs-secure | ||
+ | systemctl start nfs-secure | ||
+ | |||
+ | === CentOS 8 (Stream) === | ||
+ | |||
+ | systemctl enable nfs-idmapd | ||
+ | systemctl start nfs-idmapd | ||
systemctl enable nfs-secure | systemctl enable nfs-secure | ||
Řádek 367: | Řádek 400: | ||
<note tip>Při použití [[#Postup pomocí keytabu bez nutností zadávat heslo|přístupových lístků získaných z keytabu]] nebo pomocí speciálně přidělený servisních účtů je potřeba zadat mapování ve tvaru: | <note tip>Při použití [[#Postup pomocí keytabu bez nutností zadávat heslo|přístupových lístků získaných z keytabu]] nebo pomocí speciálně přidělený servisních účtů je potřeba zadat mapování ve tvaru: | ||
<code> | <code> | ||
- | nfs/USER@EINFRA = lokalniuzivatel | + | USER@EINFRA = lokalniuzivatel |
</code> | </code> | ||
případně | případně | ||
Řádek 374: | Řádek 407: | ||
</code> | </code> | ||
</note> | </note> | ||
+ | |||
+ | ===== Nastavení SELinux ===== | ||
+ | |||
+ | V souboru /etc/selinux/config je potřeba nastavit hodnotu na SELINUX=disabled | ||
+ | |||
===== Připojení svazku ===== | ===== Připojení svazku ===== | ||
Řádek 385: | Řádek 423: | ||
Připojení provedeme takto: | Připojení provedeme takto: | ||
- | mount -t nfs nfs.du1.cesnet.cz:/ /storage/cesnet-du1 -o vers=4 -o sec=krb5 -o rsize=1048576,wsize=1048576 | + | mount -t nfs nfs.du4.cesnet.cz:/ /storage/cesnet-du4 -o vers=4 -o sec=krb5 -o rsize=1048576,wsize=1048576 |
- | Místo /storage/cesnet-du1 je možno zadat jakýkoliv jiný lokální adresář, kam chceme NFS svazek připojit. Uvedeme-li místo sec=krb5 volbu sec=krb5i bude při přenosech kontrolována integrita dat, uvedeme-li sec=krb5p budou data přenášena šifrovaně. | + | Místo /storage/cesnet-du4 je možno zadat jakýkoliv jiný lokální adresář, kam chceme NFS svazek připojit. Uvedeme-li místo sec=krb5 volbu sec=krb5i bude při přenosech kontrolována integrita dat, uvedeme-li sec=krb5p budou data přenášena šifrovaně. |
{{page>[:cs:adresy:start]#[NFS]&nofooter&noheader}} | {{page>[:cs:adresy:start]#[NFS]&nofooter&noheader}} | ||
Řádek 408: | Řádek 446: | ||
===== FAQ ===== | ===== FAQ ===== | ||
{{page>[:cs:navody:faq:start#nfs]&noheader&nofooter}} | {{page>[:cs:navody:faq:start#nfs]&noheader&nofooter}} | ||
+ |