Data Domain - NFSv4 簡介

有幾個因素可能會影響您選擇 NFSv4 還是 NFSv3：
● NFS 用戶端支援
某些 NFS 用戶端可能只支援 NFSv3 或 NFSv4，或者使用一個版本時可能會效果更好。
● 操作要求
企業可以嚴格標準化以使用 NFSv4 或 NFSv3。
● 安全性
如果您需要更高的安全性，NFSv4 提供了比 NFSv3 更高的安全級別，包括 ACL 以及擴展擁有者和
組配置。
● 功能要求
如果需要位元組範圍鎖定或UTF-8檔，則應選擇NFSv4。
● NFSv3 子掛載
如果現有配置使用 NFSv3 子掛載，則 NFSv3 可能是合適的選擇。

NFSv4 與 NFSv3
的比較NFSv4 提供比 NFSv3 更優異的功能與特性。
下表比較了 NFSv3 功能與 NFSv4 功能。

目錄 NFSv4 與 NFSv3 的比較

NFSv4 連接埠
您可以分別啟用或停用 NFSv4 和 NFSv3。此外，您可以將 NFS 版本移至不同的連接埠;兩者
版本不需要佔用相同的埠。
使用 NFSv4 時，如果您變更連接埠，則不需要重新啟動檔案系統。在這種情況下，只需要重新啟動 NFS。
與 NFSv3 一樣，NFSv4 在連接埠 2049 上執行 （如果已啟用
）。NFSv4 不使用 portmapper （連接埠 111） 或掛接 （連接埠 2052）。

ID 對應概述
NFSv4 通過通用外部格式（如 joe@example.com）標識擁有者和組。這些常見的格式是
稱為標識碼或ID。
標識元存儲在 NFS 伺服器中，並使用內部表示形式，例如 ID 12345 或 ID S-123-33-667-2。的
內部和外部標識碼之間的轉換稱為ID映射。
識別碼與以下各項相關聯：
● 檔案和目錄
的所有者● 檔案和目錄
的所有者組● 存取控制清單 （ACL） 中的項目保護
系統使用 NFS 和 CIFS/SMB 協定的通用內部格式，允許在 NFS 和 CIFS/SMB 之間共用檔和目錄
。每個協定都使用自己的 ID 將內部格式轉換為自己的外部格式
映射。
 

外部格式
NFSv4 識別符的外部格式遵循 NFSv4 標準 （例如，NFSv4.0 的 RFC-7530）。此外，還支持補充格式以實現
互操作性。

標準識別碼格式

Standard external identifiers for NFSv4 have the format identifier@domain. This identifier is used for NFSv4 owners,
owner-groups, and access control entries (ACEs). The domain must match the configured NFSv4 domain that was set using the
nfs option command.
The following CLI example sets the NFSv4 domain to mycorp.com for the NFS server:
nfs option set nfs4-domain mycorp.com
See client-specific documentation you have for setting the client NFS domain. Depending on the operating system, you might
need to update a configuration file (for example, /etc/idmapd.conf) or use a client administrative tool.
NOTE: If you do not set the default value, it will follow the DNS name for the protection system.
NOTE: The file system must be restarted after changing the DNS domain for the nfs4-domain to automatically update.
ACE extended identifiers
For ACL ACE entries, protection system NFS servers also support the following standard NFSv4 ACE extended identifiers
defined by the NFSv4 RFC:
● OWNER@, The current owner of the file or directory
● GROUP@, the current owner group of the file or directory.
● The special identifiers INTERACTIVE@, NETWORK@, DIALUP@, BATCH@, ANONYMOUS@, AUTHENTICATED@,
SERVICE@.

替代格式
為了實現互操作性，保護系統上的 NFSv4 伺服器支援一些用於輸入和輸出的替代識別碼格式。
● 數字標識碼;例如 “12345”。
● Windows 相容的安全標識碼 （SID） 表示為 “S-NNN-NNN-...”
請參閱有關輸入映射和輸出映射的部分，瞭解有關這些格式的限制的詳細資訊。

內部識別符格式
DD 檔案系統會儲存檔案系統中每個物件 （檔案或目錄） 的識別碼。所有物件都有一個數字使用者
ID （UID） 和群組 ID （GID）。這些以及一組模式位元允許傳統的 UNIX/Linux 識別和訪問
控制件。
由 CIFS/SMB 通訊協定建立的物件，或由 NFSv4 通訊協定建立 （啟用 NFSv4 ACL 時建立的物件），也具有擴充式
安全描述符 （SD）。每個 SD 包含以下內容：
● 擁有者安全標識碼 （SID）
● 擁有者組 SID
● 任意 ACL （DACL）
● （可選） 系統 ACL （SACL）
每個 SID 都包含一個相對 ID （RID） 和一個不同的域，其方式與 Windows SID 類似。請參閱 NFSv4 和
CIFS 互用性，以取得有關 SID 和 SID 對應的詳細資訊。
當發生
ID 對應時保護系統 NFSv4 伺服器會在下列情況下執行對應：
● 輸入映射
NFS 伺服器從 NFSv4 用戶端接收識別碼。
● 輸出映射：
標識碼從NFS伺服器發送到NFSv4用戶端。
● 憑據映射
RPC 用戶端憑據映射到內部標識，用於訪問控制和其他操作。

輸入對應
當 NFSv4 用戶端將識別碼傳送至保護系統 NFSv4 伺服器 （例如，設定檔案的擁有者
或擁有者群組） 時，就會發生輸入對應。輸入映射不同於憑據映射。
標準格式識別碼 （例如 joe@mycorp.com 會根據設定
的轉換規則。如果啟用了 NFSv4 ACL，則會根據設定的轉換規則產生 SID。
如果用戶端未使用 Kerberos，數字識別碼 （例如「12345」） 會直接轉換為對應的 UID/GID
身份驗證。如果使用 Kerberos，將會依 NFSv4 標準的建議產生錯誤。如果 NFSv4 ACL 為
啟用後，將根據轉換規則產生 SID。
Windows SID （例如「S-NNN-NNN-...」） 會經過驗證，並直接轉換為對應的 SID。將
會根據轉換規則產生UID/GID。

輸出對應

Output mapping occurs when the NFSv4 server sends an identifier to the NFSv4 client; for example, if the server returns the
owner or owner-group of a file.
1. If configured, the output might be the numeric ID.
This can be useful for NFSv4 clients that are not configured for ID mapping (for example, some Linux clients).
2. Mapping is attempted using the configured mapping services, (for example, NIS or Active Directory).
3. The output is a numeric ID or SID string if mapping fails and the configuration is allowed.
4. Otherwise, nobody is returned.
The nfs option nfs4-idmap-out-numeric configures the mapping on output:
● If nfs option nfs4-idmap-out-numeric is set to map-first, mapping will be attempted. On error, a numeric string
is output if allowed. This is the default.
● If nfs option nfs4-idmap-out-numeric is set to always, output will always be a numeric string if allowed.
● If nfs option nfs4-idmap-out-numeric is set to never, mapping will be attempted. On error, nobody@nfs4-
domain is the output.
If the RPC connection uses GSS/Kerberos, a numeric string is never allowed and nobody@nfs4-domain is the output.
The following example configures the protection system NFS server to always attempt to output a numeric string on output. For
Kerberos the name nobody is returned:
nfs option set nfs4-idmap-out-numeric always

認證對應
NFSv4 伺服器為 NFSv4 用戶端提供憑據。
這些登入資料執行下列功能：
● 確定操作的訪問策略;例如，讀取檔的能力。
● 確定新文件和目錄的預設擁有者和擁有者組。
從用戶端傳送的登入資料可能 john_doe@mycorp.com 或系統登入資料，例如 UID=1000、GID=2000。
系統認證會指定 UID/GID 以及輔助群組 ID。
如果停用 NFSv4 ACL，則會使用 UID/GID 和輔助群組 ID 做為認證。

如果啟用了 NFSv4 ACL，則配置的映射服務將用於為
登入資料：
● 擁有者、擁有者組和輔助組的 SID 映射並添加到安全描述符 （SD） 中。
● 憑據許可權（如果有）將添加到 SD 中。
NFSv4 與 CIFS/SMB 互用性
NFSv4 和 CIFS 使用的安全描述符從 ID 映射的角度來看是相似的，儘管存在差異。
您應注意以下事項以確保最佳互操作性：
● 應為 CIFS 和 NFSv4 設定 Active Directory，並應將 NFS ID 映射器配置為使用 Active
Directory 進行 ID 映射。
● 如果您廣泛使用 CIFS ACL，通常可以通過啟用 NFSv4 ACL 來提高相容性。
○ 啟用 NFSv4 ACL 可讓您在評估 DACL 存取時，將 NFSv4 認證對應至適當的 SID。
● CIFS 伺服器從 CIFS 用戶端接收憑據，包括預設 ACL 和用戶許可權。
○ 相比之下，NFSv4 伺服器接收一組更有限的憑據，並在運行時使用其
ID映射器構造憑據。因此，文件系統可能會看到不同的憑據。

CIFS/SMB Active Directory 整合

The protection system NFSv4 server can be configured to use the Windows Active Directory configuration that is set with the
protection system CIFS server.
The system is mapped to use Active Directory if possible. This functionality is disabled by default, but you can enable it using the
following command:
nfs option set nfs4-idmap-active-directory enabled

NFSv4
的預設 DACLNFSv4 設定的預設 DACL （自主存取控制清單） 與 CIFS 提供的預設 DACL 不同。
預設 NFSv4 DACL 中僅定義 OWNER@、GROUP@ 和 EVERYONE@。您可以使用 ACL 繼承來
視情況預設自動新增 CIFS 重要的 ACE。
系統預設 SID
由 NFSv3 和不含 ACL 的 NFSv4 建立的檔案和目錄使用預設系統網域，有時稱為
預設 UNIX 網域：
● 系統域中的使用者 SID 格式為 S-1-22-1-N，其中 N 是 UID。
● 當 N 為 GID 時，系統域中的組 SID 格式為 S-1-22-2-N。
例如，UID 為 1234 的使用者擁有者 SID 為 S-1-22-1-1234。
NFSv4 ACL 和 SID
一般識別符NFSv4 ACL 中的EVERYONE@識別碼和其他特殊識別碼（例如 BATCH@）使用等效
的標識碼CIFS 小島嶼發展中國家，且相容。
OWNER@ 和 GROUP@ 識別符在 CIFS 中沒有直接對應關係;它們會顯示為目前擁有者和目前
擁有者檔案或目錄的擁有者群組。
 

NFS 轉介
轉介功能可讓 NFSv4 用戶端存取一個或多個位置的匯出 （或檔案系統）。位置可以開啟
相同的 NFS 伺服器或不同的 NFS 伺服器上，並使用相同或不同的路徑來到達匯出。
由於引薦是 NFSv4 功能，因此僅適用於 NFSv4 掛載。
可以向使用 NFSv4 或更高版本的任何伺服器進行引用，包括以下內容：
● 執行 NFS 且啟用
NFSv4 的保護系統● 支援 NFSv4 的其他伺服器，包括 Linux 伺服器、NAS 裝置和 VNX 系統。
轉介可使用 NFS 匯出點，無論是否有 DD 檔案系統中目前的底層路徑。
具有引薦的 NFS 匯出可透過 NFSv3 掛接，但 NFSv3 用戶端將不會重新導向，因為引薦是 NFSv4
功能。此特徵在橫向擴展系統中非常有用，允許在檔管理級別重定向導出。

轉介位置
NFSv4 引薦一律有一或多個位置。
這些位置包括以下內容：
● 遠端 NFS 伺服器上指向引用檔案系統的路徑。
● 一個或多個伺服器網路位址，允許用戶端訪問遠端 NFS 伺服器。
通常，當多個伺服器位址與同一位置關聯時，這些位址位於同一 NFS
上伺服器。
轉介位置名稱
您可以命名 NFS 匯出中的每個引用位置。您可以使用該名稱存取引薦以及修改或
刪除它。
引薦名稱最多可以包含以下字元集中的 80 個字元：
● a-z
● A-Z
● 0-9
● “.”
● “，”
● “_ ”
● “-”
注意：您可以包含空格，只要這些空格嵌入在名稱中即可。如果使用嵌入空間，則
必須使用雙引號將整個名稱括起來。
以“.”開頭的名稱保留供保護系統自動創建。您可以刪除這些名稱，但您
無法使用命令列介面 （CLI） 或系統管理服務 （SMS） 建立或修改。
 

轉介和擴充式系統
如果您要橫向擴展保護系統，NFSv4 引薦和位置可以更好地啟用訪問。
由於您的系統可能已包含也可能不包含全域命名空間，因此以下兩個方案描述了如何
可能使用 NFSv4 引薦：
● 您的系統不包含全域命名空間。
○ 您可以使用 NFSv4 引用來構建該全域命名空間。系統管理員可以構建這些全域命名空間，或者
您可以根據需要使用智慧系統管理員 （SM） 元素構建引用。
● 您的系統已經有一個全域命名空間。
○ 如果您的系統具有將 MTree 放置在特定節點中的全域命名空間，則可以創建 NFS 引用，以將對這些 MTree 的訪問重定向到
添加到橫向擴展系統的節點。您可以建立這些引薦或擁有這些
引薦若有必要的 SM 或檔案管理員 （FM） 資訊，則會在 NFS 內自動執行。

NFSv4 與高可用性
使用 NFSv4 時，通訊協定匯出 （例如 /data/col1/<mtree> 會鏡像在高可用性 （HA） 設定中。然而，
不會鏡像 /ddvar 等組態匯出。
對於 HA 對的每個節點，/ddvar 檔案系統都是唯一的。因此，/ddvar 匯出及其關聯的用戶端存取
清單不會鏡像到HA環境中的備用節點。
當主動節點故障轉移到備用節點時，/ddvar 中的資訊將失效。任何已授予
的用戶端權限發生故障轉移后，必須在原始活動節點上重新創建原始活動節點上的 to /ddvar。
您還必須新增任何其他
/ddvar 匯出及其在發生故障轉移後，原始活動節點到新的活動節點。
最後，您必須從用戶端取消掛接任何所需的 /ddvar 匯出，然後在容錯移轉後重新掛接。

NFSv4 全域命名空間
NFSv4 伺服器提供稱為偽 FS 的虛擬目錄樹，用於將 NFS 匯出連接到一組可搜索的路徑。
使用偽 FS 可將 NFSv4 與使用 MOUNTD 輔助通訊協定的 NFSv3 區分開來。
在大部分組態中，從 NFSv3 MOUNTD 到 NFSv4 全域命名空間的變更是透明且會自動
處理的由 NFSv4 用戶端和伺服器執行。
 

NFSv4 全域命名空間和 NFSv3 子掛接
如果使用 NFSv3 匯出子裝載，則 NFSv4 的全域命名空間特徵可能會阻止在 NFSv4 裝載上看到
子裝載。
NFSv3 主要匯出和子掛接匯出
如果 NFSv3 具有主匯出和子掛接匯出，則這些匯出可能使用相同的 NFSv3 用戶端，但具有不同級別的
存取：

表 NFSv3 主要匯出和子掛接匯出 

在上表中，以下內容適用於 NFSv3：
● 如果 client1.example.com 掛載 /data/col1/mt1，客戶端將獲得唯讀訪問許可權。
● 如果 client1.example.com 掛載 /data/col1/mt1/subdir，客戶端將獲得讀寫訪問許可權。
NFSv4 在最高層級的匯出路徑方面以相同的方式運作。若為 NFSv4，client1.example.com 瀏覽
NFSv4 PseudoFS，直到到達最高層級的匯出路徑 /data/col1/mt1，並在其中取得唯讀存取權限。
但是，由於已選擇匯出，因此子掛載匯出（Mt1-sub）不是用戶端的偽FS的一部分，並且
不提供讀寫訪問許可權。

最佳實務
如果您的系統使用 NFSv3 匯出子裝載來授予用戶端基於掛載路徑的讀寫訪問許可權，
則必須在將 NFSv4 與這些子裝載匯出一起使用之前考慮這一點。
使用 NFSv4 時，每個用戶端都有一個單獨的偽 FS。

表 NFSv3 子掛接匯出 
 

NFSv4 組態

The default protection system configuration only enables NFSv3. To use NFSv4, you must first enable the NFSv4 server.
Enabling the NFSv4 Server
Steps
1. Enter nfs enable version 4 to enable NFSv4:
# nfs enable version 4
NFS server version(s) 3:4 enabled.
2. (Optional) If you want to disable NFSv3, enter nfs disable version 3.
NOTE: Do not disable NFSv3 on systems integrated with Avamar.
# nfs disable version 3
NFS server version(s) 3 disabled.
NFS server version(s) 4 enabled.
Next steps
After the NFSv4 server is enabled, you might need to perform additional NFS configuration tasks specifically for your site. These
tasks can include:
● Setting the NFSv4 domain
● Configuring NFSv4 ID mapping
● Configuring ACL (Access Control Lists)
Setting the default server to include NFSv4
About this task
The NFS command option default-server-version controls which NFS version is enabled when you enter the nfs
enable command without specifying a version.
Steps
Enter the nfs option set default-server-version 3:4 command:
# nfs option set default-server-version 3:4
NFS option 'default-server-version' set to '3:4'.

更新現有匯出項目

You can update existing exports to change the NFS version used by your protection system.
Steps
Enter the nfs export modify all command:
# nfs export modify all clients all options version=version number
To ensure all existing clients have either version 3, 4, or both, you can modify the NFS version to the appropriate string. The
following example shows NFS modified to include versions 3 and 4:
#nfs export modify all clients all options version=3:4
For more information about the nfs export command, see the DDOS Command Reference Guide for more information.

Kerberos 和 NFSv4
NFSv4 和 NFSv3 皆使用 Kerberos 驗證機制來保護使用者認證。
Kerberos 可防止 NFS 封包中的使用者認證被偽裝，並保護這些封包在前往
保護系統。
NFS 上的 Kerberos 有不同類型：
● Kerberos 5 （sec=krb5）
使用 Kerberos 做為使用者認證。
● 具有完整性的 Kerberos 5 （sec=krb5i）
使用 Kerberos 並使用加密的校驗和檢查 NFS 有效負載的完整性。
● 具有安全性的 Kerberos 5 （sec=krb5p）
使用具有完整性的 Kerberos 5 並加密整個 NFS 有效負載。
注意：krb5i 和 krb5p 都可能導致性能
下降，因為NFS 用戶端和防護系統。
 

使用 Linux 型 KDC 配置 Kerberos
 

Prerequisites
You should ensure that all your systems can access the Key Distribution Center (KDC).
If the systems cannot reach the KDC, check the domain name system (DNS) settings.
About this task
The following steps allow you to create keytab files for the client and the protection system:
● In Steps 1-3, you create the keytab file for the protection system.
● In Steps 4-5, you create the keytab file for the client.
Steps
1. Create the nfs/<ddr_dns_name>@<realm> service principal.
kadmin.local: addprinc -randkey nfs/ddr12345.<domain-name>@<domain-name>
2. Export nfs/<ddr_dns_name>@<realm> to a keytab file.
kadmin.local: ktadd –k /tmp/ddr.keytab nfs/ddr12345.corp.com@CORP.COM
3. Copy the keytab file to the protection system at the following location:
/ddr/var/krb5.keytab
4. Create one of the following principals for the client and export that principal to the keytab file:
nfs/<client_dns_name>@<REALM>
root/<client_dns_name>@<REALM>
5. Copy the keytab file to the client at the following location:
/etc/krb5.keytab
NOTE: It is recommended that you use an NTP server to keep the time synchronized on all entities.

使用 Linux 型 KDC 配置 Kerberos
 

Configuring the protection System to Use Kerberos Authentication
Steps
1. Configure the KDC and Kerberos realm on the protection system by using the authentication command:
# authentication kerberos set realm <realm> kdc-type unix kdcs <kdc-server>
2. Import the keytab file:
# authentication kerberos keytab import
3. (Optional) Configure the NIS server by entering the following commands:
# authentication nis servers add <server>
# authentication nis domain set <domain-name>
# authentication nis enable
# filesys restart
4. (Optional) Make the nfs4-domain the same as the Kerberos realm using the nfs option command:
nfs option set nfs4-domain <kerberos-realm>
5. Add a client to an existing export by adding sec=krb5 to the nfs export add command:
nfs export add <export-name> clients * options version=4,sec=krb5

使用 Linux 型 KDC 配置 Kerberos
 

Configuring Clients
Steps
1. Configure the DNS server and verify that forward and reverse lookups are working.
2. Configure the KDC and Kerberos realm by editing the /etc/krb5.conf configuration file.
You might need to perform this step based on the client operating system you are using.
3. Configure NIS or another external name mapping service.
4. (Optional) Edit the /etc/idmapd.conf file to ensure it is the same as the Kerberos realm.
You might need to perform this step based on the client operating system you are using.
5. Verify the keytab file /etc/krb5.keytab contains an entry for the nfs/ service principal or the root/ principal.
[root@fc22 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fc22.domain-name@domain-name
6. Mount the export using the sec=krb5 option.
[root@fc22 ~]# mount ddr12345.<domain-name>:/data/col1/mtree1 /mnt/nfs4 –o
sec=krb5,vers=4

啟用 Active Directory
 

About this task
Configuring Active Directory authentication makes the protection system part of a Windows Active Directory realm. CIFS clients
and NFS clients use Kerberos authentication.
Steps
1. Join an active directory realm using the cifs set command:
# cifs set authentication active-directory <realm>
Kerberos is automatically set up on the system, and the required NFS/ service principal is automatically created on the KDC.
2. Configure NIS using the authentication nis command:
# authentication nis servers add <windows-ad-server>
# authentication nis domain set <ad-realm>
# authentication nis enable
3. Configure CIFS to use NSS for ID mapping by using cifs commands:
# cifs disable
# cifs option set idmap-type nss
# cifs enable
# filesys restart
4. Set the nfs4-domain to be the same as the Active Directory realm:
# nfs option set nfs4-domain 5. Enable Active Directory for NFSv4 id mapping by using the nfs command: # nfs option set nfs4-idmap-active-directory enabled

配置 Active Directory
 

Steps
1. Install the Active Directory Domain Services (AD DS) role on the Windows server.
2. Install the Identity Management for UNIX components.
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:adminui /all
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:nis /all
3. Verify the NIS domain is configured on the server.
C:\Windows\system32>nisadmin
The following are the settings on localhost
Push Interval : 1 days
Logging Mode : Normal
NIS Domains
NIS Domain in AD Master server NIS Domain in UNIX
---------------- ------------- ----------------
corp win-ad-server corp
4. Assign AD users and groups UNIX UID/GIDs for the NFSv4 server.
a. Go to Server Manager > Tools > Active Directory.
b. Open the Properties for an AD user or group.
c. Under the UNIX Attributes tab, fill in the NIS domain, UID, and Primary GID fields.