下面我們主要來講解一下NFSv4的內(nèi)容.這個NFS的第四個版本,有什么特點呢?我們來具體了解一下.NFS由服務器軟件組成 — 例如,在NetApp存儲上運行的軟件——要求訪問網(wǎng)絡存儲并在主機上運行的客戶端軟件.恰當?shù)牟僮饕筮B接的兩端、即客戶端和服務器端成熟并且已正確實施.盡管 NetApp 自 Data ONTAP? 6.4 以來就已發(fā)布們的代碼庫 NFS 版本 4,但是直到今天 NFSv4 經(jīng)過許多變更,并已明顯成熟之后,才達到們相信適用于生產(chǎn)的點.

今天,客戶端的實施已趨于穩(wěn)定.NetApp在Data ONTAP 7.3 中也進行了一些重要的更改和增強,以支持 NFS v4.在本文中,將探索NFSv4的受到廣泛關注的三個重要功能:

·用于安全和 Windows兼容性的訪問控制列表 (ACL)

·Kerberos 帶來的強制安全性

·客戶端緩存委派

盡管此討論將大量應用于任何NFSv4實施,但是還將描述一些NetApp特有的詳細信息并在合適時討論最佳實踐.

訪問控制列表

ACL對于尋求更大的Windows客戶端兼容性的NetApp客戶而言,它是請求最為頻繁的功能之一.NFSv4 ACL 大大改善了NFS的安全性和與CIFS的互操作性.

ACL允許在每個用戶的基礎上授予或拒絕針對各個文件對象的訪問權限,提供更為細化的訪問權限控制和與傳統(tǒng)的UNIX模式權限位相比程度更大的可選性.NFSv4 ACL基于NT原型,但是它們不包含所有者/組信息.NFSv4 ACL由訪問權限控制條目(ACE)的數(shù)組組成,包含有關允許/拒絕訪問的信息、許可權限位、用戶名稱/組名稱和標記.

由于NetApp已向CIFS客戶端提供ACL支持,NFSv4中的額外ACL功能將創(chuàng)建一些獨特的考慮.NetApp提供三種類型的配額樹 —UNIX、NTFS和混合型 — 用于不同的客戶端.NFSv4 ACL的處理方式取決于配額樹的類型:

UNIX配額樹

·NFSV4 ACL 和模式位有效

·Windows 客戶端不能設置屬性

·UNIX 語義學占優(yōu)勢

NTFS配額樹

·NT ACL 和模式位有效,;UNIX 客戶端不能設置屬性

·NFSv4 ACL 從用 NT ACL 訪問文件的 NFS 客戶端的模式位生成

·NT 語義學占優(yōu)勢

混合型配額樹

·NFSv4 ACL、NT ACL 和模式位有效

·Windows 和 UNIX 客戶端可以設置屬性

·NFSv4 ACL 是為具有 NT ACL 的文件從模式位生成的

顯然,您應該仔細選擇您使用的配額樹類型,以獲得期望結(jié)果:

·僅限訪問NFS:UNIX配額樹

·混合訪問:混合型配額樹

·多數(shù)CIFS訪問:NTFS配額樹

·僅限訪問CIFS:NTFS配額樹

關于ACL的唯一其他最佳實踐是每個ACL.使用不超過192個ACE您可以提高每個ACL的ACE數(shù)量到當前的最大數(shù)400,但是執(zhí)行這樣的操作意味著帶來是否必需轉(zhuǎn)為Data ONTAP的更早版本或是否使用SnapMirror轉(zhuǎn)至較早版本的問題.#p#

強制安全性

除包括 ACL 之外,NFSv4 還通過以下措施提高了上個NFS版本的安全性:

·要求帶加密的具有很強的 RPC 安全性

·通過一個安全的帶內(nèi)系統(tǒng),協(xié)商在服務器和客戶端之間使用的安全性類型

·使用字符串而不是整數(shù)來表示用戶和組標識符

NFS安全性已獲得基于"一般安全性服務API (GSS-API)"的安全性附加功能支持,稱為RPCSEC_GSS [RFC2203].NFS的所有版本均可以使用 RPCSEC_GSS.但是,要實施一致的 NFS 版本 4 就必須實施 RPCSEC_GSS.RPCSEC_GSS 是分配的類似于常用的 AUTH_SYS安全性,后者是上個NFS版本中標準的身份驗證方法.

RPCSEC_GSS在以下兩個方面有別于AUTH_SYS和其他傳統(tǒng)的NFS安全機制:

·RPCSEC_GSS不只是身份驗證.它能執(zhí)行完整性校驗和與整個RPC請求和響應體的加密.因此,RPCSEC_GSS 提供遠遠不只身份驗證的安全性.

·由于RPCSEC_GSS只封裝 GSS-API 消息標記 — 它僅作為Kerberos等安全機制的特定機制標簽的傳輸 — 添加新安全機制（只要它們符合 GSS-API）不要求重新編寫NFS的重要部分.

NFSv3 和 NFSv4 可以使用 RPCSEC-GSS.但是,AUTH_SYS 是 NFSv3 的默認值.

目前 NetApp 或大多數(shù) NFSv4 客戶端在 RPCSEC_GSS下提供的唯一安全機制是 Kerberos 5.Kerberos是使用對稱密鑰加密的一種身份驗證機制.它從不以明文或加密形式在整個網(wǎng)絡中發(fā)送密碼,并且從不在用戶使用網(wǎng)絡資源之前,依靠加密票證和會話密鑰驗證他們的身份.Kerberos 系統(tǒng)采用含有用戶名和密碼的集中式數(shù)據(jù)庫的密鑰分配中心 (KDC).NetApp 支持兩種類型的 KDC:UNIX 和 Windows Active Directory.

只要您需要,您仍然可以選擇使用上個NFS版本 (AUTH_SYS) 的弱身份驗證方法.您可以通過在 exportfs 命令行或 /etc/exports 文件中指定 sec=sys 來完成.使用 AUTH_SYS 時,Data ONTAP僅支持一個證書內(nèi)的最多 16 個補充組 ID 加上 1 個主要組 ID. Kerberos 支持最多 32 個補充組 ID.

客戶端緩存委派

在 NFSv3 中,客戶端通常當作它們已打開的文件之間存在競爭（盡管通常不是這種情況）來處理.通過從客戶端到服務器的頻繁請求以查證是否打開的文件已被其他人修改,系統(tǒng)保持了較弱的一致性,這會導致不必要的網(wǎng)絡流量并在高延遲的環(huán)境中造成延誤.在客戶端鎖定文件的情況下,所有寫 I/O 必須同步,這在很多情況下將進一步影響客戶端性能.

NFSv4與NFS以前的版本不同,它允許服務器將文件上的專門活動委派給客戶端,以便實現(xiàn)更多積極的客戶端數(shù)據(jù)緩存并允許緩存鎖定狀態(tài).服務器通過委派放棄對文件更新和客戶端的鎖定狀態(tài)的控制.通過允許客戶端在本地執(zhí)行不同的操作和緩存數(shù)據(jù),減少了延遲.目前存在兩種類型的委派:讀和寫.服務器在存在文件競爭時能夠從客戶端調(diào)回委派.

一旦客戶端具有委派,它就能在已在本地緩存數(shù)據(jù)的文件上執(zhí)行操作,以避免網(wǎng)絡延遲并優(yōu)化 I/O.由委派引起的更為積極的緩存在具有以下特點的環(huán)境中能發(fā)揮較大的作用:

·頻繁打開和關閉

·頻繁的 GETATTR

·文件鎖定

·只讀共享

·高延遲

·快客戶端

·具有多個客戶端的重負荷服務器

Data ONTAP支持讀寫委派,并且您可以單獨調(diào)整NFSv4服務器以啟用或禁用委派的一種或全部兩種類型.打開委派時,Data ONTAP會自動向客戶端授予打開文件讀取的讀委派,或向客戶端授予打開文件寫入的寫委派.

系統(tǒng)提供啟用或禁用讀寫委派選項,以便您對委派影響具有一定水平的控制.理想情況下,服務器將確定是否向客戶端提供委派.在讀操作高度密集的環(huán)境中,打開讀委派會很有用.在工程設計中寫委派將構(gòu)建這樣的環(huán)境,環(huán)境中每個用戶寫入單獨的構(gòu)建文件并且性能還會由于不存在競爭而改善.但是,在同一文件具有多個寫入者的情況中,寫委派可能沒有多大用處.