5.3. Storage über NFS exportieren

Mit Acronis Cyber Infrastructure können Sie Knoten in einem hochverfügbaren NFS-Cluster organisieren, in welchem Sie dann NFS-Freigaben erstellen können. Für Acronis Cyber Infrastructure ist eine NFS-Freigabe ein Zugriffspunkt für ein Volume, sodass der Freigabe eine IP-Adresse oder einen DNS-Namen zuweisen können. Dem Volume wiederum können die üblichen Eigenschaften zugewiesen werden: Redundanztyp, Storage-Ebene und Fehlerdomäne. Sie können in jeder Freigabe mehrere NFS-Exporte erstellen, bei denen es sich um exportierte Verzeichnisse für Benutzerdaten handelt. Jeder Export hat (neben anderen Eigenschaften) einen Pfad, der – in Kombination mit der IP-Adresse der Freigabe – den Export im Netzwerk eindeutig identifiziert und es Ihnen ermöglicht, den Export mithilfe der üblichen Befehle zu mounten.

Auf der technischen Seite basieren NFS-Volumes auf einem Objekt-Storage. Der Objekt-Storage sorgt nicht nur für Hochverfügbarkeit und Skalierbarkeit, sondern beseitigt auch Limitierungen in Bezug auf die Dateianzahl und die Datenmenge, die Sie im NFS-Cluster aufbewahren können. Jede Freigabe eignet sich perfekt, um Milliarden von Dateien jeder Größe zu speichern. Eine solche Skalierbarkeit bedingt jedoch einen gewissen I/O-Overhead, der bei Dateigrößenänderungen und erneuten Schreiboperationen (Rewrites) anfällt. Aus diesem Grund ist ein NFS-Cluster perfekt geeignet für Cold Data und Warm Data. Für Hot Data oder als High-Performance-Storage für häufig neu geschriebene Daten (wie VM-Ausführungen) wird er aber nicht empfohlen. Um Acronis Cyber Infrastructure beispielweise in Lösungen von VMware zu integrieren, verwenden Sie daher am besten iSCSI, weil Sie damit eine bessere Performance als mit NFS erzielen.

Bemerkung

Acronis Cyber Infrastructure unterstützt nur NFS Version 4 und höher (einschließlich pNFS).

5.3.1. Einen NFS-Cluster einrichten

Da ein NFS-Cluster auf einem Objekt-Storage basiert, wird er ähnlich wie ein S3-Clusters erstellt. Gehen Sie folgendermaßen vor:

  1. Überprüfen Sie in der Anzeige INFRASTRUKTUR –> Netzwerke, dass die Traffic-Typen OSTOR privat und NFS Ihren Netzwerken hinzugefügt wurden.

  2. Klicken Sie im linken Menü auf STORAGE-SERVICES –> NFS.

  3. Wählen Sie einen oder mehrere Knoten aus und klicken Sie im rechten Menü auf NFS-Cluster erstellen.

  4. Stellen Sie sicher, dass die richtige Netzwerkschnittstelle im Listenfeld ausgewählt ist.

    Klicken Sie bei Bedarf auf das Zahnradsymbol und konfigurieren Sie dann in der Anzeige Netzwerkkonfiguration die Netzwerkschnittstellen des Knotens.

  5. Klicken Sie auf ERSTELLEN.

Nachdem Sie den NFS-Cluster erstellt haben, können Sie damit fortfahren, NFS-Freigaben zu erstellen.

5.3.2. NFS-Freigaben erstellen

Gehen Sie folgendermaßen vor, um eine NFS-Freigabe zu erstellen:

  1. Klicken Sie in der Anzeige STORAGE-SERVICES –> NFS –> FREIGABEN auf NFS-FREIGABE HINZUFÜGEN.

  2. Spezifizieren Sie im Fensterbereich NFS-Freigabe hinzufügen einen einmaligen Namen und eine IP-Adresse, die unbenutzt bleiben müssen und – bei aktivierter Authentifizierung – per DNS auflösbar sein müssen. Außerdem sollte sich diese IP-Adresse im Netzwerk-Subnetz der Schnittstelle des Knotens befinden. Klicken Sie auf FERTIGSTELLEN.

  3. Spezifizieren Sie bei Freigabegröße die Größe der Freigabe in Gigabyte. Für Benutzer, die auf Exporte zugreifen, äußert sich dieser Wert als die Größe des Dateisystems.

  4. Wählen Sie die gewünschte Storage-Ebene, Fehlerdomäne und den Datenredundanztyp aus. Weitere Informationen zu diesen Volume-Eigenschaften finden Sie in der Installationsanleitung.

    Sie können den Redundanzmodus auch später noch ändern.

  5. Klicken Sie auf FERTIG.

Nach Erstellung der Freigabe können Sie damit fortfahren, NFS-Exporte zu erstellen.

5.3.3. NFS-Exporte erstellen

Der Prozess zur Erstellung von NFS-Exporten umfasst folgende Schritte:

  1. Einen Root-Export erstellen, der die Benutzerexporte enthalten wird.
  2. Den Root-Export mounten.
  3. Im gemounteten Root-Export Benutzerexporte erstellen.

5.3.3.1. Den Root-Export erstellen

Gehen Sie folgendermaßen vor, um einen Root-NFS-Export zu erstellen:

  1. Klicken Sie in der Anzeige STORAGE-SERVICES –> NFS –> FREIGABEN auf die Nummer in der Spalte Exporte in der Zeile der gewünschten Freigabe. Daraufhin wird die Freigabe-Anzeige geöffnet.

  2. Klicken Sie in der Freigabe-Anzeige auf EXPORT HINZUFÜGEN, spezifizieren Sie root als den Exportnamen und / als Pfad wählen Sie Lesen und schreiben als Zugriffsmodus.

    Wichtig

    Verwenden Sie keine anderen Namen oder Pfade für den Root-Export.

    ../_images/stor_image65_1_ac.png

    Dadurch wird ein Verzeichnis mit einem Standardpfad erstellt, der den Export-Speicherort innerhalb der Freigabe bestimmt. Dieser Pfad wird automatisch auf der Grundlage des Freigabenamens generiert und (zusammen mit der IP-Adresse der Freigabe) zum Einbinden des Exports verwendet.

    Wichtig

    Geben Sie den Benutzern keinen Zugriff auf den Root-Export.

Der Root-Export wird in der Exportliste angezeigt.

Mounten Sie den Root-Export nach dessen Erstellung (wie in der Storage-Benutzeranleitung beschrieben).

Warnung

Sie sollten keine NFS-Freigaben auf Cluster-Knoten mounten. Dies könnte dazu führen, dass der Knoten einfriert.

5.3.3.2. Benutzerexporte erstellen

Nachdem Sie den Root-Export erstellt und gemountet haben, können Sie mit der Erstellung von NFS-Benutzerexporten fortfahren. Gehen Sie dafür folgendermaßen vor:

  1. Erstellen Sie in dem gemounteten Root-Export ein Unterverzeichnis für einen Benutzerexport, z.B. export1.
  2. Klicken Sie in der Freigabe-Anzeige auf EXPORT HINZUFÜGEN, geben Sie einen Namen für den Benutzerexport ein, spezifizieren Sie /export1 als Pfad und wählen Sie den Zugriffsmodus.
  3. Klicken Sie auf Fertig.

Der Benutzerexport wird in der Exportliste angezeigt.

5.3.4. Benutzerauthentifizierung und -autorisierung einrichten

Mit Acronis Cyber Infrastructure können Sie Benutzer per Kerberos für Zugriffe auf bestimmte NFS-Freigaben authentifizieren und diese dazu autorisieren, per LDAP auf bestimmte NFS-Exporte innerhalb dieser Freigaben zugreifen zu dürfen.

5.3.4.1. NFS-Freigabe-Benutzer per Kerberos authentifizieren

Gehen Sie folgendermaßen vor, um die Benutzerauthentifizierung für eine NFS-Freigabe zu aktivieren:

  1. Weisen Sie der IP-Adresse der Freigabe einen vorwärts und rückwärts auflösbaren FQDN (voll qualifizierten Domänennamen) zu.

  2. Spezifizieren Sie auf der Registerkarte EINSTELLUNGEN –> Sicherheit –> KERBEROS folgende Kerberos-Informationen:

    1. Bei Bereich – Ihren DNS-Namen (in Großbuchstaben).

    2. Bei KDC-Dienst – den DNS-Namen oder die IP-Adresse des Hosts, auf dem der KDC-Dienst (Key Distribution Center Service, Schlüsselverteilungscenterdienst) des Bereichs (Realm) läuft.

    3. Bei KDC-Administrationsdienst – den DNS-Namen oder die IP-Adresse des Hosts, auf dem der KDC-Administrationsdienst des Bereichs (Realm) ausgeführt wird.

      Normalerweise laufen das KDC und sein Administrationsdienst auf demselben Host.

  3. Führen Sie folgende Schritte auf dem Kerberos-Server aus:

    1. Melden Sie sich als Administrator am Kerberos-Datenbankadministrationsprogramm an.

    2. Fügen Sie mit dem Befehl addprinc -randkey nfs/<share_FQDN>@<realm> einen Prinzipal für die Freigabe hinzu. Beispiel:

      # addprinc -randkey nfs/share1.example.com@example.com

    3. Generieren Sie eine Schlüsseltabelle (keytab) für den Prinzipal und speichern Sie diese in einem Verzeichnis, von dem aus Sie Dateien hochladen können. Beispiel:

      # ktadd -k /tmp/krb5.keytab nfs/share1.example.com@example.com

  4. Wählen Sie in der Registerkarte STORAGE-SERVICES –> NFS –> FREIGABE eine Freigabe aus und klicken Sie dann auf Authentifizierung.

  5. Laden Sie die Schlüsseltabelle (keytab-Datei) hoch und klicken Sie auf SPEICHERN.

Wichtig

Jede Freigabe und jeder Client (ein Benutzer, der den Export mountet) muss über einen eigenen Prinzipal und eine eigene Schlüsseltabelle verfügen.

5.3.4.2. NFS-Exportbenutzer per LDAP autorisieren

Wenn Sie den Zugriff auf ein Benutzerverzeichnis per LDAP konfigurieren, können Sie steuern, welche Benutzer auf welche NFS-Exporte zugreifen dürfen. Sie benötigen ein Verzeichnis von Benutzerkonten mit den gewünschten NFS-Zugriffsparametern.

Gehen Sie folgendermaßen vor, um den Zugriff auf einen LDAP-Server zu konfigurieren

  1. Spezifizieren Sie auf der Registerkarte EINSTELLUNGEN –> Sicherheit –> LDAP folgende Informationen:
    • Adresse – die IP-Adresse des LDAP-Servers;
    • Basis-DN – den definierte Namen (Distinguished Name), der als Startpunkt für die Suche dient;
  2. Klicken Sie auf Speichern.
31.07.2020
Drucken