Comment configurer un montage NFS sur Ubuntu 22.04

De Get Docs
Aller à :navigation, rechercher

Introduction

NFS, ou Network File System, est un protocole de système de fichiers distribué qui vous permet de monter des répertoires distants sur votre serveur. Cela vous permet de gérer l'espace de stockage dans un emplacement différent et d'écrire dans cet espace à partir de plusieurs clients. NFS fournit un moyen relativement standard et performant d'accéder à des systèmes distants sur un réseau et fonctionne bien dans les situations où les ressources partagées doivent être consultées régulièrement.

Dans ce guide, vous expliquerez comment installer le logiciel nécessaire à la fonctionnalité NFS sur Ubuntu 22.04, configurer deux montages NFS sur un serveur et un client, et monter et démonter les partages distants.

Conditions préalables

Vous utiliserez deux serveurs dans ce didacticiel, l'un partageant une partie de son système de fichiers avec l'autre. Pour suivre, il vous faudra :

  • Deux serveurs Ubuntu 22.04. Chacun d'entre eux doit avoir un utilisateur non root avec des privilèges sudo, un pare-feu configuré avec UFW et un réseau privé, s'il est disponible.
    • Pour obtenir de l'aide sur la configuration d'un utilisateur non root avec des privilèges sudo et un pare-feu, suivez notre guide Configuration initiale du serveur avec Ubuntu 22.04.
    • Si vous utilisez DigitalOcean Droplets pour votre serveur et votre client, vous pouvez en savoir plus sur la configuration d'un réseau privé dans notre documentation sur Comment créer un VPC.

Tout au long de ce tutoriel, le serveur qui partage ses répertoires sera appelé hôte et le serveur qui monte ces répertoires comme client. Vous aurez besoin de connaître l'adresse IP des deux. Assurez-vous d'utiliser l'adresse réseau privée, si disponible.

Tout au long de ce didacticiel, ces adresses IP seront référencées par les espaces réservés host_ip et client_ip. Veuillez remplacer au besoin.

Étape 1 - Téléchargement et installation des composants

Vous commencerez par installer les composants nécessaires sur chaque serveur.

Sur l'hôte

Sur le serveur hôte, installez le package nfs-kernel-server, qui vous permettra de partager vos répertoires. Comme il s'agit de la première opération que vous effectuez avec apt dans cette session, actualisez votre index de package local avant l'installation :

sudo apt update
sudo apt install nfs-kernel-server

Une fois ces packages installés, basculez vers le serveur client.

Sur le Client

Sur le serveur client, vous devez installer un package appelé nfs-common, qui fournit la fonctionnalité NFS sans inclure aucun composant serveur. Encore une fois, actualisez l'index des packages locaux avant l'installation pour vous assurer que vous disposez d'informations à jour :

sudo apt update
sudo apt install nfs-common

Maintenant que les deux serveurs disposent des packages nécessaires, vous pouvez commencer à les configurer.

Étape 2 - Création des répertoires de partage sur l'hôte

Vous allez partager deux répertoires distincts, avec des paramètres de configuration différents, afin d'illustrer deux façons principales de configurer les montages NFS en ce qui concerne l'accès superutilisateur.

Les superutilisateurs peuvent faire n'importe quoi n'importe où sur leur système. Cependant, les répertoires montés par NFS ne font pas partie du système sur lequel ils sont montés, donc par défaut, le serveur NFS refuse d'effectuer des opérations qui nécessitent des privilèges de superutilisateur. Cette restriction par défaut signifie que les superutilisateurs sur le client ne peuvent pas écrire de fichiers en tant que racine, réaffecter la propriété ou effectuer toute autre tâche de superutilisateur sur le montage NFS.

Parfois, cependant, il y a des utilisateurs de confiance sur le système client qui doivent effectuer ces actions sur le système de fichiers monté mais qui n'ont pas besoin d'un accès superutilisateur sur l'hôte. Vous pouvez configurer le serveur NFS pour permettre cela, bien que cela présente un élément de risque, car un tel utilisateur pourrait obtenir un accès root à l'ensemble du système hôte.

Exemple 1 : Exportation d'un montage à usage général

Dans le premier exemple, vous allez créer un montage NFS à usage général qui utilise le comportement NFS par défaut pour qu'il soit difficile pour un utilisateur disposant de privilèges root sur la machine client d'interagir avec l'hôte[X208X ] en utilisant ces privilèges de superutilisateur client. Vous pouvez utiliser quelque chose comme ça pour stocker des fichiers qui ont été téléchargés à l'aide d'un système de gestion de contenu ou pour créer un espace permettant aux utilisateurs de partager facilement des fichiers de projet.

Tout d'abord, créez le répertoire de partage :

sudo mkdir /var/nfs/general -p

Puisque vous le créez avec sudo, le répertoire appartient à l'utilisateur root de l'hôte :

ls -dl /var/nfs/general
Outputdrwxr-xr-x 2 root root 4096 Apr 17 23:51 /var/nfs/general

NFS traduira toutes les opérations root sur le client en identifiants nobody:nogroup par mesure de sécurité. Par conséquent, vous devez modifier la propriété du répertoire pour qu'elle corresponde à ces informations d'identification.

sudo chown nobody:nogroup /var/nfs/general
Outputdrwxr-xr-x 2 nobody nogroup 4096 Apr 17 23:51 /var/nfs/general

Vous êtes maintenant prêt à exporter ce répertoire.

Exemple 2 : Exportation du répertoire personnel

Dans le deuxième exemple, l'objectif est de rendre les répertoires personnels des utilisateurs stockés sur l'hôte disponibles sur les serveurs client, tout en permettant aux administrateurs de confiance de ces serveurs client d'accéder ils ont besoin de gérer facilement les utilisateurs.

Pour ce faire, vous allez exporter le répertoire /home. Comme il existe déjà, vous n'avez pas besoin de le créer. Vous ne modifierez pas non plus les autorisations. Si vous avez fait, cela pourrait entraîner une série de problèmes pour toute personne ayant un répertoire personnel sur la machine hôte.

Étape 3 - Configuration des exportations NFS sur le serveur hôte

Ensuite, vous plongerez dans le fichier de configuration NFS pour configurer le partage de ces ressources.

Sur la machine hôte, ouvrez le fichier /etc/exports dans votre éditeur de texte avec les privilèges root :

sudo nano /etc/exports

Le fichier comporte des commentaires indiquant la structure générale de chaque ligne de configuration. La syntaxe est la suivante :

/etc/exports

directory_to_share    client(share_option1,...,share_optionN)

Vous devrez créer une ligne pour chacun des répertoires que vous prévoyez de partager. Assurez-vous de remplacer l'espace réservé client_ip affiché ici par votre adresse IP réelle :

/etc/exports

/var/nfs/general    client_ip(rw,sync,no_subtree_check)
/home               client_ip(rw,sync,no_root_squash,no_subtree_check)

Ici, vous utilisez les mêmes options de configuration pour les deux répertoires à l'exception de no_root_squash. Jetez un œil à la signification de chacune de ces options :

  • rw : cette option donne à l'ordinateur client un accès en lecture et en écriture au volume.
  • sync : cette option oblige NFS à écrire les modifications sur le disque avant de répondre. Il en résulte un environnement plus stable et cohérent puisque la réponse reflète l'état réel du volume distant. Cependant, cela réduit également la vitesse des opérations sur les fichiers.
  • no_subtree_check : cette option empêche la vérification de la sous-arborescence, qui est un processus dans lequel l'hôte doit vérifier si le fichier est réellement toujours disponible dans l'arborescence exportée pour chaque requête. Cela peut causer de nombreux problèmes lorsqu'un fichier est renommé alors que le client l'a ouvert. Dans presque tous les cas, il est préférable de désactiver la vérification des sous-arbres.
  • no_root_squash : par défaut, NFS traduit les requêtes d'un utilisateur root à distance en un utilisateur non privilégié sur le serveur. Il s'agissait d'une fonction de sécurité destinée à empêcher un compte root sur le client d'utiliser le système de fichiers de l'host en tant que root. no_root_squash désactive ce comportement pour certains partages.

Lorsque vous avez terminé vos modifications, enregistrez et fermez le fichier. Ensuite, pour rendre les partages disponibles pour les clients que vous avez configurés, redémarrez le serveur NFS avec la commande suivante :

sudo systemctl restart nfs-kernel-server

Cependant, avant de pouvoir utiliser les nouveaux partages, vous devez vous assurer que le trafic vers les partages est autorisé par les règles de pare-feu.

Étape 4 - Réglage du pare-feu sur l'hôte

Tout d'abord, vérifiez l'état du pare-feu pour voir s'il est activé et, si c'est le cas, pour voir ce qui est actuellement autorisé :

sudo ufw status
OutputStatus: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere
OpenSSH (v6)               ALLOW       Anywhere (v6)

Sur votre système, seul le trafic SSH est autorisé, vous devrez donc ajouter une règle pour le trafic NFS.

Avec de nombreuses applications, vous pouvez utiliser sudo ufw app list et les activer par nom, mais nfs n'en fait pas partie. Cependant, étant donné que ufw vérifie également /etc/services pour le port et le protocole d'un service, vous pouvez toujours ajouter NFS par son nom. La meilleure pratique recommande d'activer la règle la plus restrictive qui autorisera toujours le trafic que vous souhaitez autoriser, donc plutôt que d'activer le trafic de n'importe où, vous serez spécifique.

Utilisez la commande suivante pour ouvrir le port 2049 sur l'hôte, en veillant à remplacer votre adresse IP client :

sudo ufw allow from client_ip to any port nfs

Vous pouvez vérifier le changement en tapant :

sudo ufw status

Vous devriez voir le trafic autorisé depuis le port 2049 dans la sortie :

OutputStatus: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere                 
2049                       ALLOW       203.0.113.24        
OpenSSH (v6)               ALLOW       Anywhere (v6)

Cela confirme que UFW autorisera uniquement le trafic NFS sur le port 2049 à partir de votre machine client.

Étape 5 - Création de points de montage et de répertoires de montage sur le client

Maintenant que le serveur hôte est configuré et sert ses partages, vous allez préparer votre client.

Afin de rendre les partages distants disponibles sur le client, vous devez monter les répertoires sur l'hôte que vous souhaitez partager dans des répertoires vides sur le client. .

Remarque : S'il y a des fichiers et des répertoires dans votre point de montage, ils seront masqués dès que vous monterez le partage NFS. Pour éviter la perte de fichiers importants, assurez-vous que si vous montez dans un répertoire qui existe déjà, ce répertoire est vide.


Vous allez créer deux répertoires pour vos montages :

sudo mkdir -p /nfs/general
sudo mkdir -p /nfs/home

Maintenant que vous avez un emplacement pour placer les partages distants et que vous avez ouvert le pare-feu, vous pouvez monter les partages en utilisant l'adresse IP de votre serveur hôte :

sudo mount host_ip:/var/nfs/general /nfs/general
sudo mount host_ip:/home /nfs/home

Ces commandes monteront les partages de l'ordinateur hôte sur la machine client. Vous pouvez vérifier qu'ils ont été montés avec succès de plusieurs manières. Vous pouvez vérifier cela avec une commande mount ou findmnt, mais df -h fournit une sortie plus lisible :

df -h
OutputFilesystem                   Size  Used Avail Use% Mounted on
tmpfs                        198M  972K  197M   1% /run
/dev/vda1                     50G  3.5G   47G   7% /
tmpfs                        989M     0  989M   0% /dev/shm
tmpfs                        5.0M     0  5.0M   0% /run/lock
/dev/vda15                   105M  5.3M  100M   5% /boot/efi
tmpfs                        198M  4.0K  198M   1% /run/user/1000
10.124.0.3:/var/nfs/general   25G  5.9G   19G  24% /nfs/general
10.124.0.3:/home              25G  5.9G   19G  24% /nfs/home

Les deux partages que vous avez montés apparaissent en bas. Parce qu'ils ont été montés à partir du même système de fichiers, ils affichent la même utilisation du disque. Pour voir combien d'espace est réellement utilisé sous chaque point de montage, utilisez la commande d'utilisation du disque du et le chemin du montage. L'indicateur -s fournit un résumé de l'utilisation plutôt que d'afficher l'utilisation pour chaque fichier. Le -h imprime une sortie lisible par l'homme.

Par example:

du -sh /nfs/home
Output36K    /nfs/home

Cela nous montre que le contenu de l'ensemble du répertoire personnel n'utilise que 36 Ko de l'espace disponible.

Étape 6 - Test de l'accès NFS

Ensuite, testez l'accès aux partages en écrivant quelque chose sur chacun d'eux.

Exemple 1 : La part à usage général

Tout d'abord, écrivez un fichier de test sur le partage /var/nfs/general :

sudo touch /nfs/general/general.test

Ensuite, vérifiez sa propriété :

ls -l /nfs/general/general.test
Output-rw-r--r-- 1 nobody nogroup 0 Apr 18 00:02 /nfs/general/general.test

Étant donné que vous avez monté ce volume sans modifier le comportement par défaut de NFS et que vous avez créé le fichier en tant qu'utilisateur racine de la machine client via la commande sudo, la propriété du fichier est par défaut [X206X ]. Les superutilisateurs client ne pourront pas effectuer d'actions administratives typiques, comme changer le propriétaire d'un fichier ou créer un nouveau répertoire pour un groupe d'utilisateurs, sur ce partage monté sur NFS.

Exemple 2 : le partage du répertoire personnel

Pour comparer les autorisations du partage General Purpose avec le partage Home Directory, créez un fichier dans /nfs/home de la même manière :

sudo touch /nfs/home/home.test

Ensuite, regardez la propriété du fichier :

ls -l /nfs/home/home.test
Output-rw-r--r-- 1 root root 0 Apr 18 00:03 /nfs/home/home.test

Vous avez créé home.test en tant que root' à l'aide de la commande sudo, exactement de la même manière que vous avez créé le fichier general.test. Cependant, dans ce cas, il appartient à root car vous avez remplacé le comportement par défaut lorsque vous avez spécifié l'option no_root_squash sur ce montage. Cela permet à vos utilisateurs root sur la machine client d'agir en tant que root et rend l'administration des comptes d'utilisateurs beaucoup plus pratique. En même temps, cela signifie que vous n'avez pas à donner à ces utilisateurs un accès root sur l'hôte '.

Étape 7 - Montage des répertoires NFS distants au démarrage

Vous pouvez monter les partages NFS distants automatiquement au démarrage en les ajoutant au fichier /etc/fstab sur le client.

Ouvrez ce fichier avec les privilèges root dans votre éditeur de texte :

sudo nano /etc/fstab

En bas du fichier, ajoutez une ligne pour chacun de vos partages. Ils ressembleront à ceci :

/etc/fstab

. . .
host_ip:/var/nfs/general    /nfs/general   nfs auto,nofail,noatime,nolock,intr,tcp,actimeo=1800 0 0
host_ip:/home               /nfs/home      nfs auto,nofail,noatime,nolock,intr,tcp,actimeo=1800 0 0

Remarque : Vous pouvez trouver plus d'informations sur les options que vous spécifiez ici dans la page de manuel NFS. Vous pouvez y accéder en exécutant la commande suivante :

man nfs

Le client montera automatiquement les partitions distantes au démarrage, bien que cela puisse prendre quelques instants pour établir la connexion et pour que les partages soient disponibles.

Étape 8 - Démontage d'un partage distant NFS

Si vous ne souhaitez plus que le répertoire distant soit monté sur votre système, vous pouvez le démonter en sortant de la structure de répertoires du partage et en le démontant, comme ceci :

cd ~
sudo umount /nfs/home
sudo umount /nfs/general

Notez que la commande est nommée umount et non unmount comme vous pouvez vous y attendre.

Cela supprimera les partages distants, ne laissant accessible que votre stockage local :

df -h
OutputFilesystem      Size  Used Avail Use% Mounted on
tmpfs           198M  972K  197M   1% /run
/dev/vda1        50G  3.5G   47G   7% /
tmpfs           989M     0  989M   0% /dev/shm
tmpfs           5.0M     0  5.0M   0% /run/lock
/dev/vda15      105M  5.3M  100M   5% /boot/efi
tmpfs           198M  4.0K  198M   1% /run/user/1000

Si vous souhaitez également les empêcher d'être remontés au prochain redémarrage, modifiez /etc/fstab et supprimez la ligne ou commentez-la en plaçant un caractère # au début de la ligne. Vous pouvez également empêcher le montage automatique en supprimant l'option auto, ce qui vous permettra de toujours le monter manuellement.

Conclusion

Dans ce didacticiel, vous avez créé un hôte NFS et illustré certains comportements NFS clés en créant deux montages NFS différents, que vous avez partagés avec un client NFS.

Si vous cherchez à implémenter NFS en production, il est important de noter que le protocole lui-même n'est pas chiffré. Dans les cas où vous partagez sur un réseau privé, cela peut ne pas être un problème. Dans d'autres cas, un VPN ou un autre type de tunnel crypté sera nécessaire pour protéger vos données.