Ісілон: NetWorker NSM для NAS - Isilon або PowerScale snapshot browsable відновлення не вдається з помилкою Permission Denied на сервері Linux NetWorker.

Повідомлення про помилку буде показано після завершення дії монтування. У випадку використання NMC для відновлення, це щось на кшталт - "Неможливо відкрити каталог '/nsr/tmp/1234.1234567' на хості 'networkerserver.dell.com'. У дозволі відмовлено». У випадку використання командного рядка 'nsrsnapadmin' для відновлення, це щось на кшталт "доступ заборонено сервером під час монтування".

Користувачеві 'root' на сервері NetWorker потрібні достатні привілеї, щоб мати можливість обійти змонтований знімок. Користувачеві 'root' на сервері NetWorker потрібні дозволи на читання та виконання в каталогах, щоб мати можливість обійти змонтований знімок і побачити вміст всередині.

У цьому конкретному випадку Isilon/PowerScale '/ifs/data' спочатку мав ці дозволи, що працювало нормально.

powerscale.dell.com# ls -led /ifs/data
drwxr-xr-x     6 root  wheel  113 Mar 28 13:10 /ifs/data
OWNER: user:root
GROUP: group:wheel
SYNTHETIC ACL
0: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
1: group:wheel allow dir_gen_read,dir_gen_execute
2: everyone allow dir_gen_read,dir_gen_execute

Згодом права доступу до цієї файлової системи були змінені, що спричинило таку поведінку — зауважте, що права доступу «read» і «execute» для «всіх» вилучено у файловій системі

powerscale.dell.com# chmod 700 /ifs/data
powerscale.dell.com# ls -led /ifs/data
drwx------     6 root  wheel  113 Mar 28 13:10 /ifs/data
OWNER: user:root
GROUP: group:wheel
SYNTHETIC ACL
0: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
1: group:wheel allow std_read_dac,std_synchronize,dir_read_attr

Логічно, що NetWorker монтує знімок NFS і розміщує шлях до нього в розділі '/nsr/tmp/123.1234567' - це можна зробити вручну (за межами NetWorker), і така ж проблема буде спостерігатися при спробі обходу змонтованої файлової системи. Ця помилка «Відмовлено в дозволі» є характерною рисою самої NFS. Ось приклад монтування одного і того ж знімка і спроби його обходу (без NetWorker).
 
Монтування та перегляд з правильними правами доступу до конфігурації NFS (користувач 'root' на NetWorker Server має доступ до читання/виконання в каталозі /ifs/data).

[root@networkerserver.dell.com tmp]# mount powerscale.dell.com:/ifs/data/.snapshot/NSMNAS-20220329075723-1648537042-0 /tmp/mount
[root@networkerserver.dell.com tmp]# ls -l /tmp/mount
total 8
drwxr-xr-x 5 root root  77 Jul  4  2021 Isilon_Support
drwxr-xr-x 2 root root  30 Dec 22  2020 recoverfolder
drwxr-xr-x 2 root root 176 Mar 23 14:27 testbackup

 
Монтування та перегляд з неправильними правами доступу до конфігурації NFS (користувачеві root на NetWorker Server заборонено доступ до читання/виконання в каталозі /ifs/data).

[root@networkerserver.dell.com tmp]# mount powerscale.dell.com:/ifs/data/.snapshot/NSMNAS-20220329075723-1648537042-0 /tmp/mount
[root@networkerserver.dell.com tmp]# ls -l /tmp/mount
ls: cannot open directory /tmp/mount: Permission denied

1. Реалізовано надання привілеїв «read» і «execute» у файловій системі для «всіх» у файловій системі під час створення знімка.

2. Надайте 'root' користувачеві сервера NetWorker необхідні дозволи, створивши спільний ресурс NFS на самому Isilon/PowerScale.

При спробі змонтувати знімок, щоб переглянути його за допомогою командного рядка ('/ifs/data' має 700 дозволів, коли було зроблено знімок, і експорт NFS не створено).

[root@networkerserver.dell.com ~]# nsrsnapadmin -s networkerserver.dell.com -M networkerserver.dell.com -c powerscale.dell.com -S 3863397257 -r
180437:nsrsnapadmin:Trying NAS credentials from 'NSR client' 'powerscale.dell.com', group 'SNAP/NASSNAPWF/BACKUP/NAS'
38008:(pid 12645):Snapshot not found
173276:nsrsnapadmin: Will retry to mount path '/net/powerscale.dell.com/ifs/data/.snapshot/NSMNAS-20220401101904-1648804743-0' 4 more times: Unable to mount '/net/powerscale.dell.com/ifs/data/.snapshot/NSMNAS-20220401101904-1648804743-0': Command 'mount -t nfs "powerscale.dell.com:/ifs/data/.snapshot/NSMNAS-20220401101904-1648804743-0" "/nsr/tmp/12645.1648806854" 2>&1' exited with code 32: mount.nfs: access denied by server while mounting powerscale.dell.com:/ifs/data/.snapshot/NSMNAS-20220401101904-1648804743-0
173276:nsrsnapadmin: Will retry to mount path '/net/powerscale.dell.com/ifs/data/.snapshot/NSMNAS-20220401101904-1648804743-0' 3 more times: Unable to mount '/net/powerscale.dell.com/ifs/data/.snapshot/NSMNAS-20220401101904-1648804743-0': Command 'mount -t nfs "powerscale.dell.com:/ifs/data/.snapshot/NSMNAS-20220401101904-1648804743-0" "/nsr/tmp/12645.1648806859" 2>&1' exited with code 32: mount.nfs: access denied by server while mounting powerscale.dell.com:/ifs/data/.snapshot/NSMNAS-20220401101904-1648804743-0
173276:nsrsnapadmin: Will retry to mount path '/net/powerscale.dell.com/ifs/data/.snapshot/NSMNAS-20220401101904-1648804743-0' 2 more times: Unable to mount '/net/powerscale.dell.com/ifs/data/.snapshot/NSMNAS-20220401101904-1648804743-0': Command 'mount -t nfs "powerscale.dell.com:/ifs/data/.snapshot/NSMNAS-20220401101904-1648804743-0" "/nsr/tmp/12645.1648806865" 2>&1' exited with code 32: mount.nfs: access denied by server while mounting powerscale.dell.com:/ifs/data/.snapshot/NSMNAS-20220401101904-1648804743-0

При спробі змонтувати знімок для перегляду за допомогою командного рядка - '/ifs/data' має 700 дозволів, коли знімок був зроблений, і експорт NFS створюється правильно на самому Isilon, щоб дозволити лише користувачеві 'root' на сервері NetWorker обійти знімок NFS.

[root@networkerserver.dell.com ~]# nsrsnapadmin -s networkerserver.dell.com -M networkerserver.dell.com -c powerscale.dell.com -S 3863397257 -r
180437:nsrsnapadmin:Trying NAS credentials from 'NSR client' 'powerscale.dell.com', group 'SNAP/NASSNAPWF/BACKUP/NAS'
38008:(pid 10873):Snapshot not found
Current working directory is /ifs/data/
snaprecover> ls -l
total 8
drwxr-xr-x root               77 Jul 04 2021 Isilon_Support
drwxr-xr-x root               30 Dec 22 2020 recoverfolder
drwxr-xr-x root              176 Mar 23 14:27 testbackup