nfs.txt

基于LINUX操作系统下的各种详细配置（如FTP

 intr 允许通知中断一个NFS调用。当服务器没有应答需要放弃的时候有用处。 
 udp：使用udp作为nfs的传输协议（NFS V2只支持UDP) 
 tcp：使用tcp作为nfs的传输协议 
 namlen=n：设定远程服务器所允许的最长文件名。这个值的默认是255 
 acregmin=n：设定最小的在文件更新之前cache时间，默认是3 
 acregmax=n：设定最大的在文件更新之前cache时间，默认是60 
 acdirmin=n：设定最小的在目录更新之前cache时间，默认是30 
 acdirmax=n：设定最大的在目录更新之前cache时间，默认是60 
 actimeo=n：将acregmin、acregmax、acdirmin、acdirmax设定为同一个数值，默认是没有启用。 
 retry=n：设定当网络传输出现故障的时候，尝试重新连接多少时间后不再尝试。默认的数值是10000 minutes 
 noac:关闭cache机制。 
 同时使用多个参数的方法：mount -t nfs -o timeo=3,udp,hard 192.168.0.30:/tmp /nfs 
 请注意，NFS客户机和服务器的选项并不一定完全相同，而且有的时候会有冲突。比如说服务器以只读的方式导出，客户端却以可写的方式mount,虽然可以成功mount上，但尝试写入的时候就会发生错误。一般服务器和客户端配置冲突的时候，会以服务器的配置为准。 
 
 
 4、/etc/fstab的设定方法 
 /etc/fstab的格式如下： 
 fs_spec　　　fs_file　　fs_type　　　fs_options　　fs_dump　fs_pass　 
 fs_spec:该字段定义希望加载的文件系统所在的设备或远程文件系统,对于nfs这个参数一般设置为这样：192.168.0.1:/NFS 
 fs_file:本地的挂载点 
 fs_type：对于NFS来说这个字段只要设置成nfs就可以了 
 fs_options:挂载的参数，可以使用的参数可以参考上面的mount参数。 
 fs_dump　-　该选项被"dump"命令使用来检查一个文件系统应该以多快频率进行转储，若不需要转储就设置该字段为0 
 fs_pass　-　该字段被fsck命令用来决定在启动时需要被扫描的文件系统的顺序，根文件系统"/"对应该字段的值应该为1，其他文件系统应该为2。若该文件系统无需在启动时扫描则设置该字段为0 。 
 
 5、与NFS有关的一些命令介绍 
 nfsstat: 
 查看NFS的运行状态，对于调整NFS的运行有很大帮助 
 rpcinfo： 
 查看rpc执行信息，可以用于检测rpc运行情况的工具。 
 
 
 
 四、NFS调优 
 调优的步骤： 
 1、测量当前网络、服务器和每个客户端的执行效率。 
 2、分析收集来的数据并画出图表。查找出特殊情况，例如很高的磁盘和CPU占用、已经高的磁盘使用时间 
 3、调整服务器 
 4、重复第一到第三步直到达到你渴望的性能 
 
 
 与NFS性能有关的问题有很多，通常可以要考虑的有以下这些选择： 
 
 WSIZE,RSIZE参数来优化NFS的执行效能 
 WSIZE、RSIZE对于NFS的效能有很大的影响。 
 wsize和rsize设定了SERVER和CLIENT之间往来数据块的大小，这两个参数的合理设定与很多方面有关，不仅是软件方面也有硬件方面的因素会影响这两个参数的设定（例如LINUX KERNEL、网卡，交换机等等）。 
 下面这个命令可以测试NFS的执行效能，读和写的效能可以分别测试，分别找到合适的参数。对于要测试分散的大量的数据的读写可以通过编写脚本来进行测试。在每次测试的时候最好能重复的执行一次MOUNT和unmount。 
 time dd if=/dev/zero of=/mnt/home/testfile bs=16k count=16384 
 用于测试的WSIZE,RSIZE最好是1024的倍数，对于NFS V2来说8192是RSIZE和WSIZE的最大数值，如果使用的是NFS V3则可以尝试的最大数值是32768。 
  如果设置的值比较大的时候，应该最好在CLIENT上进入mount上的目录中，进行一些常规操作（LS,VI等等），看看有没有错误信息出现。有可能出现的典型问题有LS的时候文件不能完整的列出或者是出现错误信息，不同的操作系统有不同的最佳数值，所以对于不同的操作系统都要进行测试。 
 
 设定最佳的NFSD的COPY数目。 
 linux中的NFSD的COPY数目是在/etc/rc.d/init.d/nfs这个启动文件中设置的，默认是8个NFSD,对于这个参数的设置一般是要根据可能的CLIENT数目来进行设定的，和WSIZE、RSIZE一样也是要通过测试来找到最近的数值。 
 
 UDP and TCP 
 可以手动进行设置，也可以自动进行选择。 
 mount -t nfs -o sync,tcp,noatime,rsize=1024,wsize=1024 EXPORT_MACHINE:/EXPORTED_DIR /DIR 
 UDP 有着传输速度快，非连接传输的便捷特性，但是UDP在传输上没有TCP来的稳定，当网络不稳定或者黑客入侵的时候很容易使NFS的  Performance 大幅降低甚至使网络瘫痪。所以对于不同情况的网络要有针对的选择传输协议。nfs over tcp比较稳定， nfs over udp速度较快。在机器较少网络状况较好的情况下使用UDP协议能带来较好的性能，当机器较多，网络情况复杂时推荐使用TCP协议（V2只支持UDP协议）。在局域网中使用UDP协议较好，因为局域网有比较稳定的网络保证，使用UDP可以带来更好的性能，在广域网中推荐使用TCP协议，TCP协议能让NFS在复杂的网络环境中保持最好的传输稳定性。可以参考这篇文章：http: //www.hp.com.tw/ssn/unix/0212/unix021204.asp 
 
 版本的选择 
 V3作为默认的选择（RED HAT 8默认使用V2,SOLARIS 8以上默认使用V3），可以通过vers= mount option来进行选择。 
 LINUX通过mount option的nfsvers=n进行选择。 
 
 五、NFS故障解决 
 1、NFSD没有启动起来 
 首先要确认 NFS 输出列表存在，否则 nfsd 不会启动。可用 exportfs 命令来检查，如果 exportfs 命令没有结果返回或返回不正确，则需要检查 /etc/exports 文件。 
 2、mountd 进程没有启动 
 mountd  进程是一个远程过程调用 (RPC) ，其作用是对客户端要求安装（mount）文件系统的申请作出响应。mountd进程通过查找 /etc/xtab 文件来获知哪些文件系统可以被远程客户端使用。另外，通过mountd进程，用户可以知道目前有哪些文件系统已被远程文件系统装配，并得知远程客户端的列表。查看mountd是否正常启动起来可以使用命令rpcinfo进行查看，在正常情况下在输出的列表中应该象这样的行： 
 100005 1 udp 1039 mountd 
 100005 1 tcp 1113 mountd 
 100005 2 udp 1039 mountd 
 100005 2 tcp 1113 mountd 
 100005 3 udp 1039 mountd 
 100005 3 tcp 1113 mountd 
 如果没有起来的话可以检查是否安装了PORTMAP组件。 
 rpm -qa|grep portmap 
 3、fs type nfs no supported by kernel 
 kernel不支持nfs文件系统，重新编译一下KERNEL就可以解决。 
 4、can't contact portmapper: RPC: Remote system error - Connection refused 
 出现这个错误信息是由于SEVER端的PORTMAP没有启动。 
 5、mount clntudp_create: RPC: Program not registered 
 NFS没有启动起来，可以用showmout -e host命令来检查NFS SERVER是否正常启动起来。 
 6、mount: localhost:/home/test failed, reason given by server: Permission denied 
 这个提示是当client要mount nfs server时可能出现的提示，意思是说本机没有权限去mount nfs server上的目录。解决方法当然是去修改NFS SERVER咯。 
 7、被防火墙阻挡 
 这个原因很多人都忽视了，在有严格要求的网络环境中，我们一般会关闭linux上的所有端口，当需要使用哪个端口的时候才会去打开。而NFS默认是使用111端口，所以我们先要检测是否打开了这个端口，另外也要检查TCP_Wrappers的设定。 
 
 
 六、NFS安全 
 NFS的不安全性主要体现于以下4个方面: 
 
 1、新手对NFS的访问控制机制难于做到得心应手,控制目标的精确性难以实现 
 2、NFS没有真正的用户验证机制,而只有对RPC/Mount请求的过程验证机制 
 3、较早的NFS可以使未授权用户获得有效的文件句柄 
 4、在RPC远程调用中,一个SUID的程序就具有超级用户权限. 
 
 加强NFS安全的方法： 
 1、合理的设定/etc/exports中共享出去的目录，最好能使用anonuid，anongid以使MOUNT到NFS SERVER的CLIENT仅仅有最小的权限，最好不要使用root_squash。 
 2、使用IPTABLE防火墙限制能够连接到NFS SERVER的机器范围 
 iptables -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 111 -j ACCEPT 
 iptables -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 111 -j ACCEPT 
 iptables -A INPUT -i eth0 -p TCP -s 140.0.0.0/8 --dport 111 -j ACCEPT 
 iptables -A INPUT -i eth0 -p UDP -s 140.0.0.0/8 --dport 111 -j ACCEPT 
 3、为了防止可能的Dos攻击，需要合理设定NFSD 的COPY数目。 
 4、修改/etc/hosts.allow和/etc/hosts.deny达到限制CLIENT的目的 
 /etc/hosts.allow 
 portmap: 192.168.0.0/255.255.255.0 : allow 
 portmap: 140.116.44.125 : allow 
 
 /etc/hosts.deny 
 portmap: ALL : deny 
 5、改变默认的NFS 端口 
 NFS默认使用的是111端口，但同时你也可以使用port参数来改变这个端口，这样就可以在一定程度上增强安全性。 
 6、使用Kerberos V5作为登陆验证系统