一、NFS 简介

NFS，英文全称 Network File System，主要功能：通过网络，让不同的机器、不同的操作系统可以共享文件。类似windows的共享文件夹

​ NFS服务器共享本机目录，客户端机器挂载该目录后，就可以像自己本机的目录一样使用，相当便利；操作远程目录就像操作本地目录；

官网：https://nfs.sourceforge.net/
文档：https://nfs.sourceforge.net/nfs-howto/index.html
使用场景：NFS适用于在中小型项目中，作为文件服务器使用；在大型项目中，建议使用真正的分布式存储，如：Ceph; NFS还是有单节点问题；替换FTP服务器还是没问题的；比上不足比下有余

二、NFS服务器搭建（CentOS）

假设有如下三台服务器
192.168.1.100 ：作为NFS服务端
192.168.1.101 ：作为NFS客户端1
192.168.1.102 ：作为NFS客户端2

1. 服务端搭建(192.168.1.100 服务器)

1.1. 安装 nfs,rpc 服务

yum install -y rpcbind
yum install -y nfs-utils

1.2. 创建共享目录

• test1共享目录

#目录根据自身情况自行选择，这里仅做演示
mkdir /home/nfs/disk-test1
chmod 777 /home/nfs/disk-test1

777含义：1-可执行权限、2-可写权限、4-可读权限；7=4+2+1，表示所有权限；
第一个7代表当前用户权限，第二个代表同组用户权限，第三个代表其他用户权限；
权限可以根据实际情况设置

• test2共享目录

mkdir /home/nfs/disk-test2
chmod 777 /home/nfs/disk-test2

1.3. 修改nfs配置文件

#如果没有,则自行创建即可
vim /etc/exports

在文件中添加

#也可用192.168.1.* ，用于访问控制，只有在该IP段的机器才可以访问，* 不做ip控制
#ip地址与(之间不能有空格，否则会出现只读异常
/home/nfs/disk-test1 192.168.1.0/24(rw,sync,no_subtree_check,no_root_squash)
/home/nfs/disk-test2 *(rw,sync,no_subtree_check,no_root_squash)

参数	作用
ro	只读(read only)
rw	读写(read write)
root_squash	当NFS客户端以root管理员访问时，映射为NFS服务器的匿名用户(nobody)
no_root_squash	当NFS客户端以root管理员访问时，映射为NFS服务器的root管理员
all_squash	无论NFS客户端使用什么账户访问，均映射为NFS服务器的匿名用户
sync	NFS先写入缓存(内存)，再同步到稳定存储(硬盘)，sync表示写入硬盘成功后，才告诉客户端写入成功，保证不丢失数据，效率偏低
async	写入缓存后就通知客户端写入成功，不关心硬盘是否成功；这样效率更高，但可能会丢失数据
secure	NFS客户端必须使用NFS保留端口（通常是1024以下的端口），默认选项
insecure	允许NFS客户端不使用NFS保留端口（通常是1024以上的端口）
anonuid	指定匿名用户的uid，默认指向nobody
anongid	指定匿名用户的gid, 即组id,默认指向nobody组

客户机和NFS服务器之间人员映射规则：linux系统有严格的人员权限控制，那么客户机用什么角色访问NFS服务器呢？这就有一套映射规则

• root用户的映射由配置决定（root_squash）；
• 非root用户，先映射为有相同UID的，如果没有，则映射为匿名用户nobody，即：两台机器上，UID相同的互为映射，不同的映射为nobody;

1.4. 开启服务

• 启动服务

#启动rpc服务
systemctl start rpcbind 
#启动nfs服务
systemctl start nfs-server # nfs服务名称和版本相关，有的版本是 nfs

查看是否成功运行

showmount -e 
#执行结果如下代表成功
Export list for localhost:
/home/nfs/disk-test1 192.168.1.0/24
/home/nfs/disk-test2 *

• 开机启动

systemctl enable rpcbind
systemctl enable nfs-server

• 关闭防火墙

#由于nfs使用端口不固定，因此需要关闭防火墙,如果防火墙未开启，可忽略此步
systemctl stop firewalld    #关闭防火墙
systemctl disable firewalld #关闭开机启动
systemctl status firewalld  #查看防火墙状态

启动服务后，如果再次修改了/etc/exports，可重启服务systemctl restart nfs-server或者执行 exportfs -rv，使配置生效

2. 客户端挂载

客户端安装

yum install -y nfs-utils

客户端查看连通性并创建本地用于挂载的目录

showmount -e 192.168.1.100
#执行结果
Export list for 192.168.1.100:
/home/nfs/disk-test1 192.168.1.0/24
/home/nfs/disk-test2 *

创建本地目录用于挂载(建议使用相同目录结构，这里只是演示)

mkdir /nfs1

2.1 使用mount命令挂载

#挂载
mount  -t nfs  192.168.1.100:/home/nfs/disk-test1 /nfs1 
#卸载
umount /nfs1

但这种方式有个问题，重启后会失效，需要重新执行挂载命令，在生产环境，不建议使用该方式；

2.2 fstab挂载(推荐)

vim /etc/fstab
#在该文件中挂载，使系统每次启动时都能自动挂载
#在文件中添加挂载内容
192.168.1.100:/home/nfs/disk-test1 /nfs1       nfs    defaults 0 0
#保存退出 各列含义可自行百度，网上都有介绍
mount -a   #使文件/etc/fstab生效

3. 检查

• 在客户端查看挂载情况

df -Th

• 向客户端挂载目录存入文件，到服务端查看情况

三、固定端口部署（非必须）

在一些复杂场景下，有时是不能关闭防火墙的，这就需要把nfs部署为固定端口，并添加防火墙规则
场景举例：

1. nfs服务器上部署有docker容器，docker的网络映射依赖防火墙，如果不开启防火墙，容器会启动失败；
2. 在做等保测评时，要求服务器必须开启防火墙
3. 生产环境不建议关闭防火墙；

1. 查看服务端nfs端口使用情况

rpcinfo -p #查看当前服务以及端口

nfs服务需要开启 mountd,nfs,nlockmgr,portmapper,rquotad这5个服务，nfs 和 portmapper两个服务是固定端口，nfs为2049，portmapper为111。其他的3个服务是随机端口

2.配置NFS固定端口

2.1. 在/etc/sysconfig/nfs中添加以下设置，端口可自行选择

RQUOTAD_PORT=30001
LOCKD_TCPPORT=30002
LOCKD_UDPPORT=30002
MOUNTD_PORT=30003
STATD_PORT=30004

2.2. 重启rpc、nfs的配置与服务

systemctl restart rpcbind
systemctl restart nfs-server 

2.3. 在/etc/modprobe.d/lockd.conf中添加以下设置

options lockd nlm_tcpport=30002
options lockd nlm_udpport=30002

2.4. 重新加载NFS配置和服务

systemctl restart nfs-config
systemctl restart nfs-idmap
systemctl restart nfs-lock
systemctl restart nfs-server

2.5. 查看端口情况

rpcinfo -p

2.6. 添加防火墙规则

firewall-cmd --add-port=30002/tcp --add-port=30002/udp --permanent
firewall-cmd --add-port=111/tcp --add-port=2049/tcp --permanent
……
#依次把所有用到的端口和协议都添加完成，这里不在赘述，添加完成后，重新加载

firewall-cmd --reload