5.3. 通过 NFS 导出存储

Acronis Cyber Infrastructure 让您可以将节点组织为可以在其中创建 NFS 共享的高度可用 NFS 簇。在 Acronis Cyber Infrastructure 术语中,NFS 共享是用于卷的访问点,因此可以为其指派 IP 地址或 DNS 名称。可以依次为相应卷指派常规属性:冗余类型、级和故障域。在每个共享中,可以创建多个 NFS 导出,这是用户数据的实际导出目录。每个导出在其他属性中都有一个路径,该路径与共享的 IP 地址相结合,唯一标识网络上的导出,并允许您使用标准命令加载它。

在技术方面,NFS 卷基于对象存储。除了提供高可用性和可扩展性之外,对象存储还消除了对可保留在 NFS 簇中文件数量和数据大小的限制。每个共享都适用于保留数以亿计的任何大小的文件。但是,此类可扩展性意味着 IO 开销浪费在文件大小更改和重写上。因此,NFS 簇会生成完美的冷和暖文件存储,但不建议用于实现热和高性能以及用于经常重写的数据(如正在运行的虚拟机)。例如,最好通过 iSCSI 将 Acronis Cyber Infrastructure 与 VMware 中的解决方案集成,以提高性能。

注解

Acronis Cyber Infrastructure 仅支持 NFS 版本 4 及更高版本,包括 pNFS。

5.3.1. 设置 NFS 簇

由于 NFS 基于对象存储,因此创建 NFS 簇类似于创建 S3 簇。请执行以下操作:

  1. 基础架构 > 网络屏幕上,确保 OSTOR 专用NFS 流量类型已添加至网络。

  2. 在左侧菜单中,依次单击存储服务 > NFS

  3. 选择一个或多个节点,然后在右侧菜单中单击创建 NFS 簇

  4. 确保在下拉列表中选择了正确的网络接口。

    如果需要,请单击齿轮图标,并在网络配置屏幕上配置节点的网络接口。

  5. 单击创建

在完成创建 NFS 簇后,可以继续创建 NFS 共享。

5.3.2. 创建 NFS 共享

要创建 NFS 共享,请执行以下操作:

  1. 存储服务 > NFS > 共享屏幕上,单击添加 NFS 共享

  2. 添加 NFS 共享面板上,指定唯一的名称和 IP 地址(必须为未使用过以及(如果身份验证已启用)可以通过域解析)。此外,此 IP 地址应位于节点接口的网络子网内。单击继续

  3. 共享大小中,指定共享的大小(以 GB 为单位)。对于访问导出的用户,此值将是文件系统大小。

  4. 选择所需的级、故障域和数据冗余类型。有关这些卷属性的更多详细信息,请参阅 Installation Guide

    您可以稍后更改冗余模式。

  5. 单击完成

在完成创建共享后,可以继续创建 NFS 导出。

5.3.3. 创建 NFS 导出

创建 NFS 导出的过程包括以下步骤:

  1. 创建将包含用户导出的根导出。

  2. 加载根导出。

  3. 在已加载的根导出中创建用户导出。

5.3.3.1. 创建根导出

要创建根 NFS 导出,请执行以下操作:

  1. 存储服务 > NFS > 共享屏幕上,在所需共享的相应行中,单击导出列中的数字。这将打开共享屏幕。

  2. 在共享屏幕上,单击添加导出、指定 root 为导出名称并指定 / 为路径,然后选择读取和写入访问模式。

    重要

    请勿将其他名称或路径用于根导出。

    ../_images/stor_image65_1_ac.png

    这将创建一个具有默认路径的目录,该目录指定共享中的导出位置。该路径根据共享名称自动生成,并(结合使用共享的 IP 地址)用于加载导出。

    重要

    请勿授予用户访问根导出的权限。

根导出将显示在导出列表中。

在创建根导出后,按照 Storage User’s Guide 中所述加载它。

警告

请勿在群集节点上加载 NFS 共享。它可能导致节点冻结。

5.3.3.2. 创建用户导出

在创建和加载根导出后,可以继续创建用户 NFS 导出。请执行以下操作:

  1. 在加载的根导出中,为用户导出创建一个子目录,例如 export1

  2. 在共享屏幕上,单击添加导出、输入一个用户导出名称、指定 /export1 为路径,然后选择访问模式。

  3. 单击完成

用户导出将显示在导出列表中。

5.3.4. 设置用户身份验证和授权

Acronis Cyber Infrastructure 允许您对用户进行身份验证以通过 Kerberos 访问特定的 NFS 共享,并授权他们通过 LDAP 访问这些共享内的特定 NFS 导出。

5.3.4.1. 使用 Kerberos 验证 NFS 共享用户的身份

要在 NFS 共享中启用用户身份验证,请执行以下操作:

  1. 将正向和反向可解析的 FQDN(完全限定域名)指派给共享的 IP 地址。

  2. 设置 > 安全性 > Kerberos 选项卡上,指定以下 Kerberos 信息:

    1. 领域中,以大写字母表示的 DNS 名称。

    2. KDC 服务中,运行领域的 KDC(密钥分发中心)服务的主机的 DNS 名称或 IP 地址。

    3. KDC 管理服务中,运行领域的 KDC 管理服务的主机的 DNS 名称或 IP 地址。

      通常,KDC 及其管理服务在同一主机上运行。

  3. 在 Kerberos 服务器上,执行以下步骤:

    1. 以管理员身份登录到 Kerberos 数据库管理程序。

    2. 使用命令 addprinc -randkey nfs/<share_FQDN>@<realm> 为共享添加主体。例如:

      # addprinc -randkey nfs/share1.example.com@example.com
      
    3. 为该主体生成一个密钥表,并将该密钥表保存至可以从中上传的目录。例如:

      # ktadd -k /tmp/krb5.keytab nfs/share1.example.com@example.com
      
  4. 存储服务 > NFS > 共享选项卡上,选择一个共享,然后单击身份验证

  5. 上传密钥表文件,然后单击保存

重要

每个共享和客户端(加载导出的用户)必须具有自己的主体和密钥表。

5.3.4.2. 使用 LDAP 授权 NFS 导出用户

通过 LDAP 配置对用户目录的访问,即可控制哪些用户可以访问哪些 NFS 导出。您将需要一个具有所需 NFS 访问参数的用户帐户目录。

要配置对 LDAP 服务器的访问,请执行以下操作:

  1. 设置 > 安全性 > LDAP 选项卡上,指定以下信息:

    • 地址,LDAP 服务器的 IP 地址;

    • 基础 DN,搜索起点的专有名称;

  2. 单击保存