网络文件系统（NFS）是一种分布式文件系统协议，使我们可以通过网络共享远程目录。
使用NFS，我们可以在系统上挂载远程目录，并像使用本地文件一样使用远程计算机上的文件。

NFS协议默认情况下未加密，并且与Samba不同，它不提供用户身份验证。
客户端的IP地址或者主机名限制了对服务器的访问。

在本教程中，我们将完成在CentOS 8上设置NFSv4服务器的必要步骤。
我们还将向我们展示如何在客户端上安装NFS文件系统。

准备工作

我们假设我们有一台运行CentOS 8的服务器，我们将在该服务器上设置NFS服务器和其他充当NFS客户端的计算机。
服务器和客户端应该能够通过专用网络相互通信。
如果托管服务提供商不提供私有IP地址，则可以使用公共IP地址并将服务器防火墙配置为仅允许来自受信任来源的端口“ 2049”上的流量。

本示例中的机器具有以下IP：

NFS Server IP: 192.168.33.148
NFS Clients IPs: From the 192.168.33.0/24 range

设置NFS服务器

本节说明如何安装必要的程序包，创建和导出NFS目录以及配置防火墙。

安装NFS服务器

“ nfs-utils”包为NFS服务器提供了NFS实用程序和守护程序。
要安装它，请运行以下命令：

sudo dnf install nfs-utils

安装完成后，通过键入以下内容启用并启动NFS服务：

sudo systemctl enable --now nfs-server

默认情况下，在CentOS 8 NFS版本3和4.x上启用，版本2被禁用。
NFSv2现在已经很老了，没有理由启用它。
要验证它，请运行以下“ cat”命令：

sudo cat /proc/fs/nfsd/versions

-2 +3 +4 +4.1 +4.2

NFS服务器配置选项在“ /etc/nfsmount.conf”和“ /etc/nfs.conf”文件中设置。
默认设置足以满足我们的教程要求。

创建文件系统

配置NFSv4服务器时，好的做法是使用全局NFS根目录，并将实际目录绑定安装到共享安装点。
在此示例中，我们将使用'/srv/nfs4'控制器作为NFS根目录。

为了更好地说明如何配置NFS挂载，我们将共享两个具有不同配置设置的目录（'/var/www'和'/opt/backups'）。

'/var/www /'由用户拥有，组'apache'和'/opt/backups'由'root'拥有。

使用“ mkdir”命令创建导出文件系统：

sudo mkdir -p /srv/nfs4/{backups,www}

挂载实际目录：

sudo mount --bind /opt/backups /srv/nfs4/backupssudo mount --bind /var/www /srv/nfs4/www

要使绑定安装永久存在，请将以下条目添加到“/etc/fstab”文件中：

sudo nano /etc/fstab

/etc/fstab

/opt/backups /srv/nfs4/backups  none   bind   0   0
/var/www     /srv/nfs4/www      none   bind   0   0

导出文件系统

下一步是定义将由NFS服务器，共享选项和允许访问这些文件系统的客户端导出的文件系统。
为此，请打开“/etc/exports”文件：

sudo nano /etc/exports

导出“ www”和“ backups”目录，并仅允许“ 192.168.33.0/24”网络上的客户端访问：

/etc/exports

/srv/nfs4         192.168.33.0/24(rw,sync,no_subtree_check,crossmnt,fsid=0)
/srv/nfs4/backups 192.168.33.0/24(ro,sync,no_subtree_check) 192.168.33.3(rw,sync,no_subtree_check)
/srv/nfs4/www     192.168.33.110(rw,sync,no_subtree_check)

第一行包含'fsid = 0'，它定义了NFS根目录'/srv/nfs'。
仅允许“ 192.168.33.0/24”子网中的客户端访问此NFS卷。
需要使用“ crossmnt”选项来共享作为导出目录子目录的目录。

第二行显示了如何为一个文件系统指定多个导出规则。
它导出'/srv/nfs4/backups'目录，并且只允许对整个'192.168.33.0/24'范围进行读访问，而对'192.168.33.3'则具有读和写访问权限。
“ sync”选项告诉NFS在回复之前将更改写入磁盘。

最后一行应该是不言自明的。
有关所有可用选项的更多信息，请在终端中键入“ manexports”。

保存文件并导出共享：

sudo exportfs -ra

每次修改“/etc/exports”文件时，都需要运行上面的命令。
如果有任何错误或者警告，它们将显示在终端上。

要查看当前活动的出口及其状态，请使用：

sudo exportfs -v

输出将包括所有份额及其选项。
如我们所见，“/etc/exports”文件中还有一些我们尚未定义的选项。
这些是默认选项，如果要更改它们，则需要显式设置这些选项。

/srv/nfs4/backups
		192.168.33.3(sync,wdelay,hide,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4/www 	192.168.33.110(sync,wdelay,hide,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4     	192.168.33.0/24(sync,wdelay,hide,crossmnt,no_subtree_check,fsid=0,sec=sys,rw,secure,root_squash,no_all_squash)
/srv/nfs4/backups
		192.168.33.0/24(sync,wdelay,hide,no_subtree_check,sec=sys,ro,secure,root_squash,no_all_squash)

“ root_squash”是有关NFS安全性的最重要选项之一。
它可以防止从客户端连接的root用户在已安装的共享上具有root特权。
它将根'UID'和'GID'映射到'nobody'/'nogroup''UID'/'GID'。

为了使客户端计算机上的用户能够访问，NFS希望客户端的用户和组ID与服务器上的用户和组ID相匹配。
另一种选择是使用NFSv4 idmapping功能，该功能将用户和组ID转换为名称，反之亦然。

就是这样。
至此，我们已经在CentOS服务器上设置了NFS服务器。
现在，我们可以转到下一步并配置客户端，然后连接到NFS服务器。

防火墙配置

FirewallD是Centos 8上的默认防火墙解决方案。

NFS服务包括允许访问NFS服务器的预定义规则。

以下命令将永久允许从“ 192.168.33.0/24”子网进行访问：

sudo firewall-cmd --new-zone=nfs --permanentsudo firewall-cmd --zone=nfs --add-service=nfs --permanentsudo firewall-cmd --zone=nfs --add-source=192.168.33.0/24 --permanentsudo firewall-cmd --reload

设置NFS客户端

既然已经设置了NFS服务器并导出了共享，那么下一步就是配置客户端并挂载远程文件系统。

我们也可以在Mac OS和Windows计算机上挂载NFS共享，但是我们将重点关注Linux系统。

安装NFS客户端

在客户端计算机上，安装挂载远程NFS文件系统所需的工具。

• 在Debian和Ubuntu上安装NFS客户端包含用于在基于Debian的发行版上安装NFS文件系统的程序的软件包名称为'nfs-common'。要安装它，请运行：

sudo apt updatesudo apt install nfs-common

• 在CentOS和FedoraOn Red Hat上安装NFS客户端及其衍生版本安装“ nfs-utils”软件包：

sudo yum install nfs-utils

挂载文件系统

我们将在IP为192.168.33.110的客户端计算机上工作，该计算机具有对'/srv/nfs4/www'文件系统的读写访问权限，以及对'/srv/nfs4/backups'文件的只读访问权限系统。

为安装点创建两个新目录。
我们可以在所需的任何位置创建这些目录。

sudo mkdir -p /backupssudo mkdir -p /srv/www

使用“ mount”命令挂载导出的文件系统：

sudo mount -t nfs -o vers=4 192.168.33.148:/backups /backupssudo mount -t nfs -o vers=4 192.168.33.148:/www /srv/www

其中“ 192.168.33.148”是NFS服务器的IP。
我们也可以使用主机名代替IP地址，但是客户端计算机需要解析该主机名。
这通常是通过将主机名映射到“/etc/hosts”文件中的IP来完成的。

挂载NFSv4文件系统时，我们需要省略NFS根目录，因此需要使用'/backups'来代替'/srv/nfs4/backups'。

使用mount或者'df'命令验证远程文件系统是否已成功安装：

df -h

该命令将打印所有已挂载的文件系统。
最后两行是已安装的共享：

...
192.168.33.148:/backups           9.7G  1.2G  8.5G  13% /backups
192.168.33.148:/www               9.7G  1.2G  8.5G  13% /srv/www

要使挂载在重启时永久存在，请打开“/etc/fstab”文件：

sudo nano /etc/fstab

并添加以下几行：

/etc/fstab

192.168.33.148:/backups /backups   nfs   defaults,timeo=900,retrans=5,_netdev	0 0
192.168.33.148:/www /srv/www       nfs   defaults,timeo=900,retrans=5,_netdev	0 0

要查找有关挂载NFS文件系统时可用选项的更多信息，请在终端中键入“ man nfs”。

挂载远程文件系统的另一种选择是使用“ autofs”工具或者创建一个systemd单元。

测试NFS访问

让我们通过在每个共享中创建一个新文件来测试对共享的访问。

首先，尝试使用“ touch”命令在“/backups”目录中创建一个测试文件：

sudo touch /backups/test.txt

“/backup”文件系统以只读方式导出，并且按预期方式，我们将看到“权限被拒绝”错误消息：

touch: cannot touch ‘/backups/test’: Permission denied

接下来，尝试使用“ sudo”命令将测试文件创建为根目录到“/srv/www”目录：

sudo touch /srv/www/test.txt

同样，我们将看到“权限被拒绝”消息。

touch: cannot touch ‘/srv/www’: Permission denied

“/var/www”目录归“ apache”用户所有，并且该共享设置了“ root_squash”选项，该选项将根用户映射到没有写权限的“ nobody”用户和“ nogroup”组到远程共享。

假设客户端计算机上存在与远程服务器上相同的“ UID”和“ GID”用户“ apache”（例如，如果我们在两台计算机上都安装了apache，则为这种情况）使用用户“ apache”创建一个文件，该文件包括：

sudo -u apache touch /srv/www/test.txt

该命令将不显示任何输出，表示文件已成功创建。

要验证它是否列出了“/srv/www”目录中的文件：

ls -la /srv/www

输出应显示新创建的文件：

drwxr-xr-x 3 apache apache 4096 Jun 23 22:18 .
drwxr-xr-x 3 root     root     4096 Jun 23 22:29 ..
-rw-r--r-- 1 apache apache    0 Jun 23 21:58 index.html
-rw-r--r-- 1 apache apache    0 Jun 23 22:18 test.txt

卸载NFS文件系统

如果不再需要远程NFS共享，则可以使用umount命令将其卸载为任何其他已安装的文件系统。
例如，要卸载“/backup”共享，可以运行：

sudo umount /backups

如果安装点是在“/etc/fstab”文件中定义的，请确保删除该行或者通过在该行的开头添加“#”将其注释掉。