...

EMC® VNX® Series 8.1 VNX NFSの構成

by user

on
Category: Documents
250

views

Report

Comments

Transcript

EMC® VNX® Series 8.1 VNX NFSの構成
EMC® VNX® Series
バージョン 8.1
VNX NFS の構成
P/N 300-014-336 REV. 02
Copyright © 1998-2014 EMC Corporation . All rights reserved.(不許複製・禁無断転載)
7 月, 2014 発行
EMC Corporation は、この資料に記載される情報が、発行日時点で正確であるとみなしています。この情報は予告なく変更される
ことがあります。
この資料に記載される情報は、「現状有姿」の条件で提供されています。EMC Corporation は、この資料に記載される情報に関す
る、どのような内容についても表明保証条項を設けず、特に、商品性や特定の目的に対する適応性に対する黙示の保証はいたし
ません。
EMC²、EMC、および EMC ロゴは、米国およびその他の国における EMC Corporation の登録商標または商標です。他のすべての
名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。
ご使用の製品に関する規制等についての最新情報は、EMC オンライン サポート(https://support.emc.com)を参照してください。
EMC ジャパン株式会社
〒 151-0053 東京都渋谷区代々木 2-1-1新宿マインズタワー
http://japan.emc.com
お問い合わせは
http://japan.emc.com/contact
2
EMC VNX Series 8.1 VNX NFS の構成
目次
7
序文
第1章
9
概要
システム要件................................................................................................ 10
制限..............................................................................................................10
注意事項.......................................................................................................12
ユーザー インターフェイスの選択...................................................................13
関連情報.......................................................................................................13
第2章
15
概念
概要..............................................................................................................16
NFS に対する VDM の複数ドメイン ソリューション........................................... 16
VDM 用 Secure NFS....................................................................................... 18
プランニング時の考慮事項............................................................................ 18
システムのアクセス制御...................................................................18
ユーザー認証...................................................................................19
モード ビットを使用したユーザー アクセス制御.................................. 20
ACL を使用したユーザー アクセス制御..............................................21
国際標準対応.................................................................................. 21
NFSv4 ドメイン名.............................................................................. 22
NFSv4 ファイル デリゲーション.......................................................... 22
ファイル・ロック................................................................................. 23
クライアント コンテキスト................................................................... 24
NFSv4 クライアントのみへのアクセスの制限..................................... 24
第3章
27
構成
はじめの一歩................................................................................................ 28
NFSv4 の有効化...............................................................................28
NFSv4 ドメインの構成....................................................................... 28
ユーザー ファイル システムの作成................................................... 30
ネーム サービスへのアクセスの構成................................................ 30
Unicode の確認または有効化.......................................................... 31
マウント ポイントの作成................................................................................. 32
マウント ポイントの一覧表示.............................................................33
ファイル システムのマウント...........................................................................33
基本的な NFS アクセス用のファイルシステムのマウント.................... 33
NFSv4 アクセス用のファイルシステムのマウント................................34
ファイル システムのアンマウント....................................................... 35
ファイルシステムのエクスポート..................................................................... 35
基本的な NFS アクセス用のファイルシステムのエクスポート..............36
アクセス レベル................................................................................ 37
setuid および setgid ビットのアクセスの防止.................................... 38
マルチ レベルのファイルシステム..................................................... 40
VLAN によるアクセス制限................................................................. 41
NFSv4 アクセスの指定......................................................................41
ユーザー認証方法の指定................................................................ 42
MAC OS での GUI による NFS 共有のマウント.................................................44
EMC VNX Series 8.1 VNX NFS の構成
3
目次
MAC OS での手動による NFS 共有のマウント.................................................44
Windows Kerberos KDC を使用した Secure NFS の構成..................................45
逆引き参照の動的な更新の有効化.................................................. 46
CIFS の構成......................................................................................46
Secure NFS サービス インスタンスの設定..........................................49
NFS のユーザーおよびグループのマッピング サービスの設定...........51
ACE の並べ替え(マルチプロトコル環境のみ)................................... 53
UNIX または Linux の Kerberos KDC を使用した Secure NFS の構成............... 53
Data Mover 名の設定....................................................................... 54
Kerberos 領域の構成....................................................................... 55
Secure NFS サービス インスタンスの設定..........................................56
NFS Kerberos サービス プリンシパルを作成...................................... 58
ユーザー プリンシパル名の UID へのマップ...................................... 61
Solaris マッピング ユーティリティ gsscred の使用........................................... 63
マッピング ファイルのコピー.............................................................. 63
NIS サーバーへのマッピング ファイルのコピー ................................. 63
Data Mover へのマッピング ファイルのコピー ................................... 64
ローカル マッピング ファイルの作成.................................................. 65
クライアント システムへの VNX ファイル システムのマウント........................... 66
第4章
IT リスク
67
NFS の管理................................................................................................... 68
VNX ファイル システムへの NFS パスのアンエクスポート................... 68
VNX 上のすべての NFS パスの再エクスポート.................................. 69
Data Mover 上のすべてのファイルシステムに対する NFS アクセスの無
効化.................................................................................................69
NFS オートマウンタ機能のサポート................................................... 70
NFS エクスポートの非表示................................................................73
NFSv4 の管理................................................................................................74
状態期間の変更.............................................................................. 74
デリゲーション リコール タイムアウトの変更...................................... 75
使用できるノードの数の変更............................................................ 75
NFSv4 サービス ステータスの表示.................................................... 76
NFSv4 サービスの停止.....................................................................76
NFSv4 サービスの再開.....................................................................77
NFSv4 クライアントの表示.................................................................77
NFSv4 クライアント情報の表示......................................................... 78
NFSv4 クライアントの解放.................................................................79
32 ビットおよび 64 ビット NFS クライアントのサポート........................ 79
Secure NFS の管理........................................................................................80
キータブ エントリーの表示................................................................ 80
すべての Secure NFS サービス インスタンスを表示........................... 81
ユーザー属性の表示........................................................................81
ローカル マッピング ファイル内のユーザー情報の表示..................... 82
ローカル マッピング ファイルからユーザーを削除..............................82
サービス プリンシパルの削除........................................................... 83
認証の解除......................................................................................83
第5章
トラブルシューティング
85
EMC E-Lab Interoperability Navigator.............................................................86
VNX ユーザー カスタマイズ ドキュメント.......................................................... 86
NFS V4 のトラブルシューティング....................................................................86
NFSv4 ステータスの表示.................................................................. 86
4
EMC VNX Series 8.1 VNX NFS の構成
目次
NFS 統計の表示............................................................................... 87
Secure NFS のトラブルシューティング............................................................. 88
ファイルシステムにアクセスできません............................................. 89
ユーザー認証の解除........................................................................90
エラー メッセージ........................................................................................... 90
NFS V4 エラー メッセージ............................................................................... 91
EMC トレーニングおよびプロフェッショナル サービス.......................................91
付録 A
93
システム アクセス動作
アクセス モードの組み合わせを指定した場合の動作..................................... 94
ホスト間、サブネット間、ネットグループ間の競合解決のルール...................... 95
ネットグループに対する NFS の特別な検索順序の有効化.............................. 97
デフォルトのアクセス モードとして読み取り専用を指定...................................98
付録 B
99
ユーザー認証動作
セキュリティ オプションを指定するときの全般的なルール............................. 100
ルート アクセス モード..................................................................................100
付録 C
PC クライアントの NFS 認証デーモン
103
PC クライアント アクセス...............................................................................104
PC クライアント ソフトウェアのセットアップ.....................................................104
Hummingbird PC NFS クライアントに関する問題点....................................... 105
付録 D
VNX for Block での Parallel NFS
107
pNFS について.............................................................................................108
サーバーに対する pNFS の構成.................................................................. 109
pNFS サービスのセットアップ.......................................................... 109
pNFS の停止.................................................................................. 110
pNFS の再起動.............................................................................. 110
pNFS サービス用のファイルシステムのマウント...............................111
pNFS アクセス用のファイルシステムのエクスポート.........................111
pNFS クライアントのセットアップ................................................................... 112
SAN およびストレージの構成....................................................................... 112
ファイバ チャネル スイッチのインストール(FC 構成)........................ 113
SAN スイッチのゾーニング(FC 構成).............................................. 113
iSCSI とファイバ チャネル間のブリッジの構成(iSCSI 構成)..............113
MDS コンソール上での iSCSI の有効化(iSCSI 構成) ......................114
ギガビット Ethernet 用の MDS iSCSI ポートの構成(iSCSI 構成)...... 114
iSCSI ポート プロキシと TCP パラメータの構成(iSCSI 構成).............114
iSCSI プロキシ用に新しいゾーンを作成および構成(iSCSI 構成)..... 115
ゾーンのアクティブ化(iSCSI 構成)..................................................116
SP A および SP B FC インターフェイスの有効化(FC 構成)................ 116
iSCSI/FC 用の VSAN の追加とゾーンの有効化 ............................... 116
VNX for File 上にセキュリティ ファイルを作成...................................117
VNX for block iSCSI ポート構成.......................................................117
Access Logix 構成.......................................................................... 118
121
索引
EMC VNX Series 8.1 VNX NFS の構成
5
目次
6
EMC VNX Series 8.1 VNX NFS の構成
はじめに
製品ラインのパフォーマンスと機能を改善および強化するための努力の一環として、EMC
ではハードウェアおよびソフトウェアのリビジョンを定期的にリリースしています。 そのため、
このドキュメントで説明されている機能の中には、現在お使いのソフトウェアまたはハードウ
ェアのバージョンによっては、サポートされていないものもあります。 製品機能の最新情報
については、お使いの製品のリリース ノートを参照してください。
製品が正常に機能しない、またはこのマニュアルの説明どおりに動作しない場合には、
EMC の担当者にお問い合わせください。
このマニュアルで使用される特記事項の表記規則
EMC では、特別な注意を要する事項に次の表記法を使用します。
☀椉
回避されなかった場合、死亡、または重傷につながる危険な状況を示します。
巵⛙
回避されなかった場合、死亡、または重傷につながる可能性のある危険な状況を示しま
す。
㽷㎞
回避されなかった場合、軽微な、または中程度の怪我につながる可能性のある危険な状況
を示します。
抩䩴
負傷に関連しない作業を示します。
㽷
重要ではあるが、危険ではない情報を表します。
サポート
EMC のサポート情報、製品情報、ライセンス情報は、次の場所で入手できます。
製品情報:ドキュメント、リリース ノート、ソフトウェアの更新、または EMC 製品、ライセン
ス、サービスに関する情報については、EMC オンライン サポート(登録が必要です)
http://Support.EMC.com をご覧ください。
トラブルシューティング:http://support.EMC.com から EMC オンライン サポートに進み
ます。 ログインした後、該当する[製品ごとのサポート]ページを検索してください。
テクニカル サポート:テクニカル サポートおよびサービス リクエストについては、EMC オ
ンライン サポート(http://Support.EMC.com)の EMC カスタマー サービスにアクセスしま
す。 ログインした後、該当する[Support by Product]ページを検索し、[ライブ チャット]ま
たは[サービス リクエストの作成]のいずれかを選択します。 EMC Online Support を通
してサービス要求を開始するには、有効なサポート契約が必要です。 有効なサポート契
約の入手方法の詳細や、アカウントに関する質問については、EMC 販売担当者にお問
い合わせください。
EMC VNX Series 8.1 VNX NFS の構成
7
はじめに
㽷
お客様の個別のシステム問題に担当者がすでに割り当てられている場合を除き、特定のサ
ポート担当者へのお問い合わせはご遠慮ください。
ご意見
マニュアルの精度、構成および品質を向上するため、お客様のご意見をお待ちしておりま
す。
本書についてのご意見を以下のメール アドレスにお送りください。
[email protected]
8
EMC VNX Series 8.1 VNX NFS の構成
第1章
概要
EMC VNX は、NFS(Network File System)プロトコルを含むさまざまなファイル アクセス プロ
トコルによるデータへのアクセスを提供します。 NFS は、ネットワーク環境でのファイル共有
を実現する、クライアントまたはサーバーの分散ファイル サービスです。 NFS サーバーとし
て VNX を構成すると、バージョン 2、3、4 の NFS プロトコルを使用するクライアントは、VNX
ファイル システムにアクセスできるようになります。
このドキュメントは、VNX 情報セットの一部であり、システムでの NFS の構成と管理を担当
するシステム管理者を対象としています。
次のようなトピックが含まれています。
u
u
u
u
u
システム要件.........................................................................................................10
制限...................................................................................................................... 10
注意事項...............................................................................................................12
ユーザー インターフェイスの選択...........................................................................13
関連情報...............................................................................................................13
概要
9
概要
システム要件
システム要件(10 ページ)では、このドキュメントで説明する NFS の構成に必要な EMC®
VNX®のソフトウェア、ハードウェア、ネットワーク、ストレージの構成について説明していま
す。
表 1 システム要件
ソフトウェア
VNX OE for File 8.1
UNIX または Linux ベースの Kerberos を使用した Secure NFS の場合:
Kerberos バージョン 5 を実行する Linux KDC(キー配布センター)または SEAM(Sun
Enterprise Authentication Mechanism)ソフトウェア
㽷
その他の UNIX システムの KDC は未テストです。
Windows ベースの Kerberos を使用した Secure NFS の場合: Windows 2000 以降
Secure NFS の場合は、クライアント コンピュータは次のものを実行している必要が
ある。
l
SunOS バージョン 5.8 以降(NFSv4 の場合は Solaris 10)
l
Linux カーネル 2.4 以降(NFSv4 の場合は 2.6.12.<X> NFSv4 パッチ)
l
Hummingbird Maestro バージョン 7 以降(EMC ではバージョン 8 を推奨)、
NFSv4 の場合はバージョン 9
l
AIX 5.3 ML3
㽷
その他のクライアントは未テスト。
l
DNS
l
NTP(Network Time Protocol)サーバー
Windows 環境の場合は、Active Directory に VNX を構成する必要がある。
pNFS(Parallel NFS)の場合は、使用する Linux カーネルが pNFS ブロックをサポート
していることを確認する。 現時点では、Fedora のリリースだけが pNFS ブロックをサ
ポートしている。
ハードウェア
固有の要件なし。
ネットワーク
IPv6 が導入されている場合、DNS、NIS、NTP サーバーには IPv4 と IPv6 アドレスの
両方を構成する。 こうすることで、何かの理由で IPv6 だけの状況が発生しても、こ
れらのサービスは動作を続ける。 IPv6 アドレスだけを含む Data Mover を使用する
場合は、これらのサービスが動作するためには、すべてのサービスで IPv6 アドレス
を構成することが必要となる。
ストレージ
固有の要件なし。
制限
VNX はすべての NFS 機能をサポートしますが、次の制限があります。
10
EMC VNX Series 8.1 VNX NFS の構成
概要
u
Secure NFS は、NFS V3 および NFS V4 に対してのみサポートされる。
u
VNX の FileMover 機能または CDMS を使用する場合、VNX とセカンダリ ストレージの
間の NFS 通信には、UNIX AUTH_SYS 認証が必要であり、NFSv4 はサポートされない。
u
VDM にある NFS エンドポイントは、TCP に対してのみ機能する(NFSv3 および NFSv4)。
UDP を使用した NFSv2 および NFSv3 には、VDM を使用できない。
u
VDM 上にマウントされたファイル システムの NFS エクスポートは、EMC Unisphere®ソフ
トウェアを使用してではなく、CLI の server_export コマンドを使用して実行できる。
u
Secure NFS は VDM NFS エンドポイントではサポートされない。 UDP に対してと同様に、
Secure NFS は物理 Data Mover 上のエンドポイントに対してのみ機能する。
u
VDM にマウントされたファイル システムの NFS エクスポートは CLI の[server_export]
により実行できるが、EMC Unisphere ソフトウェアでは実行できない。
u
NFS エクスポートを特定の VDM に制限することはできない。 ただし server_export の
VLAN(仮想ローカル エリア ネットワーク)オプションは使用できる。
u
VDM にマウントされたファイル システムのデータには、celerra:/root_vdm_x/fs_name
を使用して NFS クライアントからアクセスできる。x は、VDM を作成するたびに VNX から
割り当てられる連続番号。 NFS エクスポートのエイリアスを使用して、クライアントでの
NFS エクスポートの表示を変更できる。
VNX への NFS V4 の実装では次がサポートされます。
u
ネットワーク プロトコル IP V4 経由の NFS V4
u
UNIX および Kerberos V5 によるユーザー認証
u
UTF-8 および ASCII
u
Pseudo-root ファイル システム
u
ACL(アクセス・コントロール・リスト)
u
ネスト マウント ファイル システム
VNX への NFS V4 の実装では次はサポートされません。
u
ディレクトリ デリゲーション
u
ブロッキング ロック機能
u
Windows SID を使用するアクセス制御
u
公開鍵ベースの認証(SPKM-3 および Lipkey)
u
ASCII コード ページ
u
-alias オプション
u
Data Mover のサーバー ログに書き込まれる NFSv4 サービス ステータス(起動と停止)
を示すログ メッセージ
VNX への pNFS の実装では、次のファイル システムのタイプはサポートされません。
u
EMC SnapSure™チェックポイント。
u
ファイルシステムのレプリケートされたコピー。
u
FLR-C ファイルシステム。
u
ボリューム レイヤーで整合されていないファイルシステム。
u
状態推移実行中のファイルシステム。 たとえば、チェックポイントからリストア中のファイ
ルシステム。
ボリューム レイヤーで整合されていないファイルシステムは、まれにディスク ボリューム上
に直接作成される場合があります。 このため、pNFS で使用するファイルシステムはすべ
て、スライス ボリューム上に作成することを推奨します。
制限
11
概要
VDM レプリケーションの制限事項
u
u
NFS アクセスのファイル システム レプリカには、ソースと同じファイル システム ID が必
要です。
l
ワイヤ経由で交換される NFS ファイル ハンドルには、ファイル システム識別子が含
まれます。
l
nas_replicate -pool オプションは、ソース ファイル システム ID が、宛先にある既存
のファイル システムと競合する場合を除き、可能な限りこの要件を満たします。
同じ FSID を持たずにファイル システムをレプリケートできます。 ただし、フェイルオーバ
ー時には、クライアントは Data Mover エクスポートを再マウントする必要があります。
ESX データストアを使用した NFS 用 VDM の複製
ESX データストアに使用する NFS ファイル システム用 VDM を複製する場合、次の手順を実
行し、VM がオフラインになっていないことを確認する必要があります。
㽷
ここで説明する処理手順を、記載された順序で実行しなかった場合、ESX サーバーはこの
データストアにアクセスできなくなります。
次の手順は、NFS データストアが IP アドレスを経由して VNX に接続していると仮定していま
す。
u
VDM にマウントされている PFS(本番ファイル システム)をフェイルオーバーする
u
ソース上のインターフェイスを停止する
u
VDM をフェイルオーバーする
u
宛先上のインターフェイスを作動する
㽷㎞
VDM がユーザーのファイル システムの前にフェイルオーバーされると、ESX サーバーはエ
ラー NFS3ERR_STALE(無効なファイル ハンドル)を受け取ります。 そのため、ESX クライアン
トはファイル システムがダウンとしていると見なします。 このエラーが発生しないようにする
には、VDM にマウントされている PFS がフェイルオーバーされたときに、ソースで
server_ifconfig コマンドを使用して VDM インターフェイスを停止に設定します。 これで VDM
がフェイルオーバーされます。 VDM がレプリケーション サイトで再起動されると、
server_ifconfig コマンドを使用して VDM インターフェイスを作動に設定することができます。
注意事項
この情報について不明な点がある場合は、EMC カスタマー サポート担当者にお問い合わ
せください。
セキュリティ
NFSv4.1 では、NFSv4.0 に見られるセキュリティ上の問題以外は発生しません。サーバーは
一般的なポート(2049)上でリスンし、ポートマッパーを使用してポートを割り当てることはあ
りません。
NFSv4.1 では、NFSv4.0 に内在する 2 点の欠点(クライアントの状態に承認されていない変
更を加えるサービス妨害攻撃、ファイアウォールによるコールバックのブロック)に対する対
応がなされています。 pNFS により、データ セキュリティのリスクが生じます。
セッションのセキュリティ
VNX 上で提供され、いずれの対応 NFSv4.0 サーバーにも必ず実装されている
RPCSEC_GSS ベースのセキュリティ メカニズムを使用する NFSv4.1 クライアントでは、 ダイ
12
EMC VNX Series 8.1 VNX NFS の構成
概要
ジェストを使用してセッションに対する接続のバインドを保護することで、問題が解決しま
す。 ダイジェストは、ハッシュ機能を使用して共有シークレットから計算されます。
セッション セキュリティのレベルおよびハッシュ アルゴリズムは、セッションの作成時にネゴ
シエートされます。 クライアントは、SET_SSV コールでシークレット セッション ベリファイヤま
たは SSV と呼ばれる共有シークレットを設定します。 このコールは、セッションが作成され
た直後、接続がセッションにバインドされる前にコールされる必要があります。 接続がセッシ
ョンにバインドされると、BIND_CONN_TO_SESSION の引数に、クライアントのシークレットか
ら計算されたダイジェストが含まれます。 これにより、攻撃者は自身の接続をセッションにバ
インドすることや、擬似コールでセッションを停止させることができなくなります。
ファイアウォールとコールバック
NFSv4.0 では、ファイアウォールによりサーバーがポート接続を開くことができない場合、コ
ールバックが失敗する可能性があります。 NFSv4.1 プロトコルでは、クライアントによって開
かれた接続をセッションのバック チャネルにバインドすることで、この問題を回避していま
す。
データ セキュリティ
ブロック/ボリューム レイアウトの pNFS は、ストレージ デバイスに対して並列アクセスを持
ちます。 ストレージ デバイスにブロックを書き込む権限は、レイアウトを許可または取り消し
することで、サーバーにより管理されます。ただし、共同でないクライアントは、レイアウトが
返された後でも書き込むことができ、また、そのクライアントが受け取ったいずれのレイアウ
トの境界外にも書き込むことができます。
クライアント側の保護が不十分な場合は、pNFS を使用しないでください。
ユーザー インターフェイスの選択
VNX では、サポート環境やインターフェイス設定に応じてネットワーク ストレージを柔軟に管
理することができます。 このドキュメントでは、CLI(コマンド ライン インターフェイス)を使用し
て NFS を構成する方法について説明します。 これらのタスクの一部は、EMC Unisphere ソ
フトウェアを使用しても実行できます。 ナビゲーション ペインで、[NFS Exports]を選択してフ
ァイルシステムへのパスをエクスポートし、各エクスポートへのアクセスのレベルを指定しま
す。
VNX の管理の詳細については、次の資料を参照してください。
u
EMC オンライン サポートの EMC VNX ドキュメント
u
Unisphere オンライン ヘルプ
Unisphere の起動手順や、MMC スナップインおよび ADUC 拡張機能のインストール手順に
ついては、「VNX 管理アプリケーションのインストール」を参照してください。
VNX の管理アプリケーションに関する最新の追加情報については、「VNX for File リリース ノ
ート」を参照してください。
制限事項
Unisphere を使用して次の機能を構成することはできません。
u
オートマウンタ
u
Secure NFS
u
NFS V4 の機能
u
NFS に対する VDM の複数ドメイン ソリューション
関連情報
このドキュメントで解説されている機能に関連する具体的な情報については、次の資料を参
照してください。
ユーザー インターフェイスの選択
13
概要
u
「VNX 用語集」
u
「VNX CIFS の構成と管理 」
u
「VNX でのマルチプロトコル環境の管理」
u
「VNX for File での国際文字セットの使用」
u
「VNX ネーム サービスの構成」
u
「VNX タイム サービスの構成」
u
「Managing Volumes and File Systems for VNX Manually」
u
「EMC VNX for File コマンド ライン インタフェース リファレンス」
u
VNX for File man ページ
u
「VNX for File パラメータ ガイド」
その他に次の関連資料があります。
u
[RFC1094]「Network File System Protocol Specification」(NFS バージョン 2 プロトコルの
仕様)(1989 年 3 月)
u
[RFC1510]「The Kerberos Network Authentication Service (V5)」(1993 年 9 月)
u
[RFC1813]「NFS Version 3 Protocol Specification」(1995 年 6 月)
u
[RFC1964]「The Kerberos Version 5 GSS–API mechanism」(1996 年 6 月)
u
[RFC2203]「RPCSEC_GSS Protocol Specification」(1997 年 9 月)
u
[RFC2623]「NFS Version 2 and Version 3 Security Issues and the NFS Protocol’s use of
RPCSEC_GSS and Kerberos V5」(1999 年 6 月)
u
[RFC3530]「Network File System (NFS) Version 4 Protocol」(2003 年 4 月)
EMC オンライン サポートの EMC VNX のマニュアル
EMC VNX シリーズのカスタマー向け資料一式は、EMC オンライン サポートから入手できま
す。 テクニカル ドキュメントを検索するには、http://Support.japan.EMC.com にアクセスし
ます。 Web サイトにログインした後、[製品別サポート]をクリックし、[製品の検索]テキスト
ボックスに、「[VNX シリーズ]」と入力します。 次に、目的の機能を検索します。
VNX ウィザード
Unisphere ソフトウェアでは、セットアップ作業および構成作業を行うためのウィザードが使
用できます。 ウィザードの詳細については、Unisphere のオンライン ヘルプを参照してくださ
い。
14
EMC VNX Series 8.1 VNX NFS の構成
第2章
概念
NFS を理解するための概念と計画に関する考慮事項は次のとおりです。
u
u
u
u
概要...................................................................................................................... 16
NFS に対する VDM の複数ドメイン ソリューション................................................... 16
VDM 用 Secure NFS............................................................................................... 18
プランニング時の考慮事項.................................................................................... 18
概念
15
概念
概要
NFS 環境は次のもので構成できます。
u
UNIX クライアント
u
Linux クライアント
u
NFS クライアント サービスを提供するサード パーティ アプリケーション(Hummingbird な
ど)で構成された Windows システム
VNX を NFS サーバーとして構成すると、ファイルシステムは Data Mover 上にマウントされ
て、そのファイルシステムへのパスがエクスポートされます。 エクスポートされたファイル シ
ステムは、ネットワーク全体で使用でき、リモート ユーザーがマウントできます。
NFS ファイルシステムの構成(16 ページ)は、NFS クライアント用に構成した Data Mover
を示したものです。
図 1 NFS ファイルシステムの構成
NFS 構成の Data Mover では次の処理を行います。
u
IP ネットワークを介して、エクスポートされたファイルシステムへのアクセスを提供する。
u
Secure NFS を使用する場合、ユーザーを認証する。
u
許可プロセスは次の処理により実行されます。
l
情報を要求している NFS クライアントのアクセス権と、エクスポートされたファイルシ
ステムに定義されているアクセス権を比較する。
l
ファイルシステム オブジェクトでユーザー アクセスの制御を行う。
VNX では、バージョン 2、3、4 の NFS プロトコル(NFSv2、NFSv3、NFSv4)がサポートされて
います。 NFS バージョン 4 プロトコルは、バージョン 2 および 3 で定義されている NFS プロ
トコルをさらに改訂したものです。以前のバージョンの基本的な特性(トランスポート プロトコ
ル、オペレーティング システム、ファイル システムに依存しない設計)を保ちつつ、ファイル
ロック、強力なセキュリティ、操作の結合、デリゲーション機能を統合することにより、クライ
アントのパフォーマンスを向上できます。
㽷
NFS と CIFS の両方をサポートするための VNX の構成に関する詳細については、「VNX での
マルチプロトコル環境の管理」を参照してください。 CIFS のみの詳細については、「VNX CIFS
の構成と管理」を参照してください。
NFS に対する VDM の複数ドメイン ソリューション
VNX では、VDM(仮想 Data Mover)ごとに NFS サーバーを実装することにより、UNIX 環境
で Data Mover に対応するマルチネーミング ドメイン ソリューションが利用できます。 複数
16
EMC VNX Series 8.1 VNX NFS の構成
概念
の VDM をホストしている Data Mover は、各 VDM が一意のネーミング ドメインに対して機
能することを前提として、異なる LDAP または NIS ドメインのメンバーである UNIX クライアン
トに対応できます。 CIFS サービスと同様、複数の NFS サーバーが、異なるネーミング ドメイ
ンに対する Data Mover のファイルシステム リソースを提供するために Data Mover でエミュ
レートされています。 これらの NFS サーバーはそれぞれ 1 つ以上の異なる Data Mover ネ
ットワーク インターフェイスに割り当てられます。
以下の要件は、この機能によって満たされます。
u
同じ Data Mover が、異なる LDAP、NIS、DNS の各ドメインに対する NFS サービスをサ
ポートします。
u
各ドメインは、Data Mover で構成されたネットワーク インターフェイスのサブセット経由
で対応される、異なる VDM によってサービスを提供されます。
u
VDM によってエクスポートされるファイルシステムは、TCP プロトコルを使用した CIFS、
NFSv3、および NFSv4 によってアクセスできます。 VDM ソリューションは、ファイルシス
テム リソースを分類します。 その結果、VDM にマウントされたファイルシステムのみが
VDM によってエクスポートされます。
u
UDP プロトコルを使用した Secure NFS、NFSv2、および NFSv3 は、この機能でサポート
されません。
u
FTP、SFTP、および FTPS アプリケーションは、VDM 経由ではサポートされません。 これ
らのアプリケーションは、物理 Data Mover で有効化できます。
Data Mover にロードされた VDM は、Data Mover で構成されたネットワーク インターフェイ
スを使用します。 同じ Data Mover で構成された 2 つの VDM インターフェイスに IP アドレス
を複製することはできません。 VDM インターフェイスを割り当てた後は、VDM で NFS エクス
ポートを管理できます。 これと同じネットワーク インターフェイスを CIFS と NFS プロトコルの
両方で共有できます。 ただし、特定の論理ネットワーク インターフェイスから扱える NFS エ
ンドポイントと CIFS サーバーは 1 つだけとなります。
マルチネーミング ドメイン ソリューションでは、「NFS エンドポイント」という名前の NFS サー
バーを VDM ごとに実装します。 VDM は、NFS エンドポイントおよび/または CIFS サーバー
によってエクスポートされるファイル システムを含むコンテナとして使用されます。 VDM のこ
れらのファイル システムは、VDM に接続された Data Mover ネットワーク インターフェイスの
サブセットを通じて表示されます。 同じネットワーク インターフェイスをその VDM 上にある
CIFS および NFS プロトコルの両方で共有できます。 NFS エンドポイントおよび CIFS サーバ
ーは、その特定の VDM に接続されたネットワーク インターフェイスを通じて対応されます。
㽷
複数ドメイン構成は、VDM ではオプションです。 デフォルトでは、VDM は、VDM をホストす
る Data Mover と同じドメインのユーザーに対して機能します。
㽷
Unisphere を使用してこの機能を構成することはできません。
この機能の詳細については、「VNX 仮想 Data Mover の構成」を参照してください。
VDM NFS エクスポート
server_export コマンドを使用して、VDM ごとに NFS エクスポートを管理できます。 VDM に
対するすべての NFS エクスポート オプションがサポートされます。
VDM で作成されたエクスポートは、VDM にマウントされたファイルシステムのみエクスポー
トできます。 VDM NFS エクスポートは、VDM レプリケーションの一部として、自動的にレプリ
ケートされます。 VDM NFS エンドポイントは、VDM スイッチオーバー/フェイルオーバーの
後、デスティネーション サイトで自動的に動作します。 VDM を Data Mover から別の Data
Mover に移動すると、ファイルシステムと NFS エクスポートを含む NFS エンドポイント全体が
移動します。
NFS に対する VDM の複数ドメイン ソリューション
17
概念
VDM で NFS エクスポートを管理する方法の詳細については、「VNX 仮想 Data Mover の構
成」を参照してください。
VDM 用 Secure NFS
Secure NFS を VDM 用に構成して管理することができます。 server_nfs コマンドを使用
して、VDM 名を NFS プロトコルの mover 名として指定することができます。 Secure NFS サ
ービスを構成して管理するタスクは、物理 Data Mover のタスクと同じです。 これに関する詳
細については、Windows Kerberos KDC を使用した Secure NFS の構成(45 ページ)およ
び UNIX または Linux の Kerberos KDC を使用した Secure NFS の構成(53 ページ)を参
照してください。
Secure NFS サービスは、VDM が作成されたときと、Data Mover がリブートされたときは常
に、デフォルトで始動します。 ただし、このサービスが CLI によって無効になっている場合
は、リブート後の再始動はありません。
Secure NFS サービスを停止すると、次の状態になります。
u
既存のクライアントのセキュアな接続は、次回の着信要求発生した時点か、この接続が
アイドル状態からタイムアウトになった時点の早い方で終了する。
u
新たなクライアントのセキュアな接続は認められない。
u
Secure NFS サービスが停止してから再始動すると、既存のクライアント接続は再開せ
ず、次回の着信要求発生した時点か、この接続がアイドル状態からタイムアウトになっ
た時点の早い方で終了する。
u
Secure NFS サービスが停止してから、move またはレプリケーションのフェイルオーバー
後に Data Mover がリブートするか、VDM がリロードされると、このサービスは(再)始動
しない。
server_nfs コマンドの[–secnfs]オプションについては、「EMC Command Line Interface
Reference for File」を参照してください。
プランニング時の考慮事項
システム上で NFS を構成する前に、NFS 環境の要件に基づいて次の考慮事項を確認しま
す。
u
システムのアクセス制御(18 ページ)
u
ユーザー認証(19 ページ)
u
モード ビットを使用したユーザー アクセス制御(20 ページ)
u
ACL を使用したユーザー アクセス制御(21 ページ)
u
国際標準対応(21 ページ)
u
NTFSv4 ドメイン名(22 ページ)
u
NTFSv4 ファイル デリゲーション(22 ページ)
u
ファイル・ロック(23 ページ)
u
クライアント コンテキスト(24 ページ)
u
NTFSv4 クライアントのみへのアクセスの制限(24 ページ)
システムのアクセス制御
NFS クライアント システムのアクセス権を設定するには、server_export コマンドを使用しま
す。 エクスポートへのアクセスを許可されるクライアントは、ホスト名、ネットグループ、サブ
ネット、IP アドレスにより指定されます。 特定のファイルに対して、クライアント システムには
18
EMC VNX Series 8.1 VNX NFS の構成
概念
読み取り/書き込みアクセスを許可し、特定のユーザーには読み取りアクセスのみを許可す
る、といったことができます。 この手順については、基本的な NFS アクセス用のファイルシ
ステムのエクスポート(36 ページ)を参照してください。 エクスポートされたファイル システ
ムの NFS クライアントに対して設定する読み取り/書き込みアクセスを解釈する方法につい
ては、システム アクセス動作(93 ページ)を参照してください。
ユーザー認証
ユーザー認証を使用すると、システムでファイルやサービスなどのリソースまたはオブジェ
クトにアクセスしようとしているユーザー、サービス、サーバーの ID を確認できます。 VNX
の NFS サービスは、ユーザー認証方法(19 ページ)に示すメカニズムを使用してユーザ
ーを認証します。
表 2 ユーザー認証方法
認証方法
説明
UNIX セキュリティ
デフォルトのセキュリティとして機能する。 AUTH_SYS セキュリティ
モデルを使用すると、NFS クライアント マシンにより NFS ユーザ
ーの認証が実行されるものと想定される。 UID と GID が RPC プロ
トコルにより送信され、ユーザーが属することのできるグループが
16 に制限されます。 新しいパラメータ security.maxgroups によ
り、NFS クライアントの UNIX グループ数を上限のデフォルト値 16
から 128 に増やすことができます。詳細については、「VNX for File
パラメータ ガイド」を参照してください。
Secure NFS
Kerberos ベースのユーザーおよびデータの認証、データの整合
性、データ プライバシーを提供します。 分散認証サービスである
Kerberos は、秘密鍵暗号形式を使用して強力な認証機能を提供
するように設計されています。 Secure NFS サーバーとして機能す
るように構成された Data Mover は、RPCSEC_GSS セキュリティ フ
レームワークと Kerberos 認証プロトコルを使用して、ユーザーと
サービスを確認します。 Secure NFS 環境では、NFS でエクスポー
トされたファイルシステムに対するユーザー アクセスは、
Kerberos のプリンシパル名に基づいて許可されます。 ただし、エ
クスポートされたファイルシステム内のファイルとディレクトリに対
するアクセス制御は、引き続き UID、GID、ACL のいずれかに基づ
く。 ユーザーの Kerberos プリンシパルは、マッピング サービスを
使用して UID にマッピングされる。
㽷
VNX の Secure NFS では、16 を超えるグループがサポートされて
いる。 パラメータ security.maxgroups により、NFS クライアントの
UNIX グループ数を上限のデフォルト値 16 から 128 に増やすこと
ができる。
認証デーモン
NFS を使用して VNX にアクセスする Windows システム(PC クラ
イアント)の場合は、認証デーモン(通常は rpc.pcnfsd または
pcnfsd)を使用して、Windows と UNIX の NFS ユーザー認証方式
の間の違いをブリッジします。
NFS の各バージョンでは、次のユーザー認証方法がサポートされます。
u
u
NFS のすべてのバージョンで UNIX セキュリティおよび PC 認証デーモンがサポートされ
ます。
NFS バージョン 3 および 4 では、UNIX、Linux、Windows のいずれかの Kerberos KDC
を使用して Secure NFS がサポートされます。
ユーザー認証
19
概念
server_export コマンドで sec オプションを使用してユーザー認証方法を指定する方法につ
いては、ユーザー認証方法の指定(42 ページ)を参考にしてください。 エクスポートされた
ファイル システムの NFS クライアントに対して設定されたユーザー認証を解釈する方法に
ついては、ユーザー認証動作(99 ページ)を参考にしてください。
認証デーモンの使用方法については PC クライアントの NFS 認証デーモン(103 ページ)を
参考にしてください。
Windows、UNIX、Linux のいずれかの Kerberos を使用して Secure NFS を構成する手順の
詳細については、Windows Kerberos KDC を使用した Secure NFS の構成(45 ページ)お
よび UNIX または Linux の Kerberos KDC を使用した Secure NFS の構成(53 ページ)を参
照してください。
モード ビットを使用したユーザー アクセス制御
UNIX、NATIVE、SECURE、MIXED_COMPAT のいずれかのシステム アクセス ポリシーを指定
してファイル システムをマウントすると、 Celerra Network Server は、NFS クライアントに対し
てモード ビット ベースのアクセス制御を実行します。 アクセス ポリシーは、server_mount コ
マンドの accesspolicy オプションを使用して指定します。
UNIX のアクセス権は、ファイルシステム オブジェクトのモード ビットと呼ばれます。 モード ビ
ットは文字列で表され、文字列の各ビットは、ファイルを所有するユーザー、所有者グルー
プ、その他のすべてのユーザーに許可されているアクセス モードまたは権限を表します。
UNIX のモード ビットは、次のファイルシステム ディレクトリの例で示されているように、ユー
ザーのカテゴリー(ユーザー、グループ、その他)ごとに連結された 3 個の文字 rwx(読み取
り、書き込み、実行)の 3 個のセットとして表されます。
この例では、各行の最初の 10 文字が、ファイル タイプとファイルの権限を示します。 各行
の最初の文字は、ディレクトリの場合は d、シンボリック リンクの場合は l、通常のファイル
の場合はダッシュ(-)になります。
次の 3 個の文字は、ユーザー(この例では kcb)がファイルシステム オブジェトの読み取り、
書き込み、実行を行うことができるかどうかを指定します。 次の 3 個の文字は、所有者グル
ープ(所有者プライマリ グループ、この例では eng)の権限を指定します。 最後の 3 文字
は、所有者でも所有者グループのメンバーでもない他のすべてのユーザーの権限を指定し
ます。
この例では、xyz.doc はシンボリック リンクであり、すべてのユーザーがこれを使用して
xyz.htm lファイルを取得できます。 abc.html は通常のファイルで、すべてのユーザーが読
み取りできますが、書き込みできるのはユーザー kcb のみです。 schedule ディレクトリは、
すべてのユーザーが検索して読み取りできますが、ファイルの追加や削除を行うことができ
るのはユーザー kcb のみです。
アクセス要求の際には UNIX 認証情報が送信されます。この情報は、UID(ユーザー ID)お
よびユーザーが属する、デフォルトでは最大 16 グループの GID(グループ ID)で構成され
ます。 新しいパラメータ security.maxgroups により、NFS クライアントの UNIX グループ数を
上限のデフォルト値 16 から 128 に増やすことができます。詳細については、「VNX for File
パラメータ ガイド」を参照してください。 ユーザーがファイルシステム オブジェクトへのアクセ
スを要求すると、システムは、ユーザーの認証情報とそのオブジェクトに対する権限を比較
します。
NFS に対する VDM の複数ドメイン機能は、UNIX ユーザーに対する Windows スタイルの認
証情報に影響します。 この機能に対する NFS NTcredential ドメインをサポートするには、以
20
EMC VNX Series 8.1 VNX NFS の構成
概念
下の Windows レジストリ エントリーを使用して、VDM 値ごとに同等のパラメータを指定しま
す。 VDM では、「nfs NTcred.winDomain」グローバル パラメータが Windows のレジストリ
キーに置き換えられます。
[HKEY_LOCAL_MACHINE\Software\EMC\UnixNTCredential]
"NetbiosDomainName" = "<domain_name>”
VDM の名前解決が VDM に限定される場合、nfs NTcred 機能は VDM レジストリで指定され
た Windows ドメインを使用します。 それに応じて、このドメインの CIFS サーバー メンバー
は、CIFS ユーザー認証情報を使用して、NFS アクセスを許可するよう、VDM で構成し、適切
な CIFS ドメインに参加させる必要があります。
UNIX ユーザーに対する Windows スタイルの認証情報の詳細は、「VNX でのマルチプロトコ
ル環境の管理」で説明されています。
ACL を使用したユーザー アクセス制御
NFSv4 では、ACL(アクセス コントロール リスト)のサポートが追加されました。 ACL を使用す
ると、ファイル システム オブジェクトに対し、従来の NFS モード ビットよりさらにきめ細かい
ユーザー アクセス制御を行うことができます。 VNX は ACL の単一の実装を備えており、デ
ータへのアクセスに使用されるプロトコル(NFS または CIFS)が何であっても、一貫したアク
セス制御を実現します。
NT、SECURE、MIXED、MIXED_COMPAT のいずれかの VNX アクセス ポリシーを指定して
VNX ファイルシステムをマウントすると、 Celerra Network Server は、NFS クライアントに対し
て ACL ベースのアクセス制御を実行します。 NFSv4 クライアントでファイルシステム オブジ
ェクトの ACL を管理できるようにするには、アクセス ポリシー MIXED または
MIXED_COMPAT を指定してファイルシステムをマウントします。 アクセス ポリシーは、
server_mount コマンドの accesspolicy オプションを使用して指定します。 この手順につい
ては、NFSv4 アクセス用のファイル システムのマウント(34 ページ)を参照してください。
VNX アクセス制御ポリシーの構成に関する詳細については、「VNX でのマルチプロトコル環
境の管理」を参照してください。
㽷
NFSv4 の標準では、Windows ACL 文法と似てはいても同じではない ACL 文法が定義され
ていますが、各プリンシパルについての ACE の順序や数などのアイテムのリレーションシッ
プは定義されていません。 したがって、Windows、UNIX、Linux の各クライアントでは、ファイ
ルシステム オブジェクトの ACL の管理方法が異なる場合があります。 場合によっては、
Windows クライアントで設定された ACL が UNIX または Linux クライアントでは使用できな
いことがあります。 クライアントは ACL を表示できません。 その場合でも、ファイルシステム
オブジェクトに対するアクセス制御には影響ありません。
国際標準対応
VNX は、マルチバイト文字セットを使用する環境のクライアントをサポートします。 マルチバ
イト文字セットは、Unicode(汎用文字エンコード規格)を有効化することでサポートされま
す。 VNX は、NFSv4 での要件に合わせて、文字エンコードとして UTF-8 仕様もサポートしま
す。UTF-8 クライアントの場合、ファイル名とディレクトリ名は受け取ったままの状態で保存さ
れます。 ファイル名とディレクトリ名の大文字と小文字が維持されるため、変換は必要あり
ません。 非 UTF-8 クライアントでは、ファイルシステム オブジェクト名は UTF-8 仕様に変換さ
れます。
ACL を使用したユーザー アクセス制御
21
概念
㽷
Unicode 対応ではないファイルシステムは、NFS V4 クライアントにエクスポートする前に
Unicode に変換する必要があります。 さらに、VNX の文字エンコード方法を、デフォルトから
UTF-8 に変更する必要があります。
VNX を新規にインストールする場合、ユーザーのファイルおよびディレクトリを作成する前
に、インストール中に Unicode を有効化できます。 既存の VNX を使用する場合、Unicode
を有効化してから、ファイルおよびディレクトリを変換する必要があります。 Unicode を構成
および管理する方法については、「VNX for File での国際文字セットの使用」を参照してくださ
い。
NFSv4 ドメイン名
ディレクトリやファイルの所有権を識別するため、すべての VNX ユーザーが一意の数値
UID および GID によって識別される必要があります。 VNX はディレクトリ/ファイル所有権に
基づいて、アクセス・パーミッションやクォータ制限を適用します。
NFSv2 および NFSv3 は、UID と GID を使用してユーザーとグループを識別します。 これに
より、システムは NFS クライアントによって提供される UID と GID を使用して、ファイルの所
有権とアクセス制御を決定できます。 一方、NFSv4 では、UTF-8 でエンコードされたユーザ
ーまたはグループのドメイン名を使用してユーザーとグループを識別します。この場合のド
メインは、サーバー、クライアント、ユーザー、グループがメンバーである NFSv4 ドメインにな
ります。 NFSv4 のユーザーおよびグループのドメイン名の形式は、user@domain または
group@domain です。 これらのユーザーおよびグループのドメイン名は、UID および GID に
変換する必要があります。
㽷
ファイルシステムでは、NFS のバージョンに関係なく、ファイルの所有者および所有者グル
ープが数値の UID と GID によって表されます。
VNX で NFSv4 を使用する前に、nfsv4.domain パラメータを使用して NFSv4 のドメイン名を
指定する必要があります。 ドメイン名を指定する方法については、NFSv4 ドメインの構成
(28 ページ)を参照してください。
㽷
サーバーまたは NFSv4 クライアントで NFSv4 ドメイン名が指定されないと、クライアントはデ
ータにアクセスできない場合があります。 ファイルとディレクトリの所有権は誰にも設定され
ません。
NFSv4 ファイル デリゲーション
NFSv4 を使用すると、VNX は、ファイルに対する特定のアクション(具体的には、より積極的
なデータ、メタデータ、ロックのクライアント キャッシュ)をクライアントにデリゲートできます。
デリゲーションにより、NFS クライアントはファイルのデータやメタデータをローカルのバッフ
ァに格納し、サーバーに送信する前にそのデータやメタデータに対して操作を実行できるた
め、ネットワーク パフォーマンスが向上します。
デリゲーションはファイルシステムごとに構成され、読み取り/書き込みのデリゲーションが
デフォルトで有効になります。 EMC は、次の場合にはデリゲーションを無効にすることを推
奨します。
22
u
別のクライアント内のアプリケーションにより、データを頻繁に共有する必要がある。
u
クライアントの障害がデータの整合性に影響を与える可能性のある、データベースなど
のミッション クリティカルでトランザクション ベースのアプリケーションが、データにアクセ
スする。
EMC VNX Series 8.1 VNX NFS の構成
概念
㽷
デリゲーションが行われている間、すべてのデータ操作は NFSv4 クライアントによって実行
され、サーバーに送信されないため、サーバーの UNIX アプリケーションは、クライアントに
よって保存された変更を認識しません。 クライアントで障害が発生すると、データに対する
すべての変更が失われる場合があります。
VNX は、次のファイル デリゲーション レベルをサポートします。
u
なし:ファイルのデリゲーションは許可されない
u
読み取り:読み取りのデリゲーションだけが許可される
u
読み取り/書き込み:読み取りと書き込みのデリゲーションが許可される
デリゲーション レベルを指定する方法については、NFSv4 アクセス用のファイル システムの
マウント(34 ページ)を参照してください。 NFSv4 のパラメーターを使用してデリゲーション
操作を変更する方法については、NFSv4 の管理(74 ページ)を参考にしてください。
ファイル・ロック
VNX は NFS ファイル ロックをサポートします。 NFSv4 のファイル ロックは、NFSv2 および
NFSv3 で使用されていた NLM(ネットワーク ロック マネージャ)プロトコルと似ていますが、
NFSv4 では NFSv4 プロトコルに統合されています。 この統合により、異なるオペレーティン
グ システム セマンティクスおよびエラー リカバリのサポートが拡張されています。
アドバイザリおよび強制ロック
NFSv2 および NFSv3 では、ロック ルールは協調型です。 ロック プロシージャを使用してい
ないクライアントは、別のクライアントがロックしたファイルにアクセスできます。 VNX は、
NFSv2 および NFSv3 のロックをアドバイザリと見なしています。 アドバイザリ ロックは、ファ
イルに対する読み取りおよび書き込みアクセスに影響を与えませんが、ファイルがすでに使
用されていることを他のユーザーに通知します。
NFS V4 では、強制ロック、つまりロックしたファイルに対する他のアプリケーションの操作を
ブロックする機能が提供されています。 NFSV4 では、パラメータ nfsv4.advisoryLocking を
使用することで、強制ロックがデフォルトで 1 に設定されます。 NFSV4 のアドバイザリ モデ
ルに切り替えることができます。
共有予約
共有予約は、ファイルに対するプロセス アクセス(読み取り、書き込み、読み取り/書き込
み)、および同じファイルに対する他のプロセス アクセスを拒否する機能を許可します。 たと
えば、アプリケーションは、読み取りと書き込み用にファイルを予約し、他のアプリケーション
による書き込みを拒否できます。
NLM は、NFSv2 および NFSv3 ではアドバイザリ共有予約を提供します。NLM の共有予約
は、共同ではないクライアントがファイルにアクセスするのを妨げません。
NFS V4 は、OPEN 操作で強制の共有予約をサポートします。 共有予約は、すべてのファイ
ル アクセスに対して適用されます。
範囲ロック
このロックは、ファイル内のバイトの範囲に対して適用されます。 この範囲はファイル全体を
カバーできます。 範囲ロックはレコード ロックと呼ばれることもあります。
範囲ロックには 2 つのタイプがあります。
u
共有(読み取り)ロック
u
排他(書き込み)ロック
複数のプロセスは、特定のファイルに対して読み取りロックを設定できます。 ただし、あるプ
ロセスが特定のバイト範囲に対して排他ロックを設定すると、この範囲のロックが解除され
るまで、他のプロセスは、このファイルで排他ロックされた範囲の一部を含む範囲に対して
ファイル・ロック
23
概念
ロックを設定することはできません。 読み取りロックは、排他ロックに変更できます。 同様
に、排他ロックを読み取りロックに変更することもできます。
リース
NFSv2 および NFSv3 では、クライアントが解放するまで、ロックはサーバーによって許可さ
れていました。 このアプローチの欠点は、クラッシュしたクライアントが、リカバリするまでロ
ックを保持することです(リカバリするとして)。
この欠点を回避するため、NFS V4 のロックは、クライアント リース期間についてのみ許可さ
れます。 リース期間内は、クライアントはすべてのロックの維持を保証されます。
リースは、クライアントによる更新の対象になります。 クライアントが何らかの操作を行うと、
リースは更新されます。 リース期限が切れると、サーバーはクライアントで障害が発生した
ものと見なします。 猶予期間の後、サーバーは他のクライアントが同じロックを取得するの
を許可する場合があります。 サーバーで障害が発生して再起動した場合は、少なくともリー
ス期間だけクライアントがロックを再要求するのを待った後、新しいロック要求に応えます。
VNX に基づいてファイル システム上でロックを構成する方法については、ファイルシステム
のマウント(33 ページ)を参照してください。
STATD ホストのステータス デーモン
STATD デーモンは、NFSv2 および NFSv3 ロックを監視します。 このデーモンの役割の 1 つ
は、Data Mover の再起動時に NLM 猶予期間が開始することを NFSv2 および NFSv3 クライ
アントに通知することです。 クライアントに送信される通知メッセージに STATD ホスト名が含
まれています。
VDM では、server_ns domains コマンドで VDM ドメイン解決を有効化した場合、STATD
ホスト名ファイルが必要です。 server_nis コマンドで VDM ドメインを有効化しない場合、
システムではデフォルトの Data Mover STATD ホスト名(STATD パラメーターで指定)が使用
されます。 VDM ドメイン構成を有効化すると、ホスト名ファイルが作成されます。
STATD ホスト名パラメータの詳細は、「VNX for File パラメータ ガイド」を参照してください。
クライアント コンテキスト
ステータスや情報を持たないプロトコルである NFSv2 および NFSv3 とは異なり、NFSv4 プロ
トコルは、ファイル サーバーにアクセスするクライアント システムおよび設定されているロッ
クについてのコンテキストまたは状態を保持します。 このプロトコルを使用することで、サー
バーやクライアントの障害またはネットワークの区分化の後で、クライアントがロック状態を
リカバリできるようになります。
NFSv2 および NFSv3 では、クライアント システムはホスト名または IP アドレスによって識別
されます。NFSv4 では、クライアント システムは一意のクライアント ID によって識別され、状
態の ID を割り当てられます。 VNX では、以下の操作を実行できます。
u
クライアントの状態のリストを表示する
u
特定のクライアントの状態の属性を表示する
u
クライアントの状態を解放する
クライアントの状態を解放すると、すべてのファイル ロックは解除され、クライアントが保持し
ている可能性のあるすべてのデリゲーションはリコールされ、そのクライアントによって開か
れていたファイルはすべて閉じられます。
server_nfs コマンドの-v4 -client オプションを使用してクライアントの状態を管理する方法に
ついては、NFSv4 の管理(74 ページ)を参考にしてください。
NFSv4 クライアントのみへのアクセスの制限
NFSv2 および NFSv3 で使用可能なセキュリティ対策は NFSv4 で使用できるものほど厳しく
ないため、システムでは、エクスポートされたファイルシステムに対してだけ NFSv4 を使用
するように指定できます。 この機能により、クライアントが安全性が低い NFS バージョンを
24
EMC VNX Series 8.1 VNX NFS の構成
概念
使用したファイルシステムにアクセスしないようにできます。 server_export コマンドで NFSv4
オプションを指定する方法については、NFSv4 アクセスの指定(41 ページ)を参照してくだ
さい。
NFSv4 クライアントのみへのアクセスの制限
25
概念
26
EMC VNX Series 8.1 VNX NFS の構成
第3章
構成
NFS の構成に関するタスクは、次のとおりです。
u
u
u
u
u
u
u
u
u
u
はじめの一歩........................................................................................................ 28
マウント ポイントの作成......................................................................................... 32
ファイル システムのマウント...................................................................................33
ファイルシステムのエクスポート............................................................................. 35
MAC OS での GUI による NFS 共有のマウント.........................................................44
MAC OS での手動による NFS 共有のマウント......................................................... 44
Windows Kerberos KDC を使用した Secure NFS の構成..........................................45
UNIX または Linux の Kerberos KDC を使用した Secure NFS の構成....................... 53
Solaris マッピング ユーティリティ gsscred の使用................................................... 63
クライアント システムへの VNX ファイル システムのマウント................................... 66
構成
27
構成
はじめの一歩
NFSv2 または NFSv3 を使用する場合、実行することが必要なタスクはありません。 デフォ
ルトでは、NFSv3 が VNX 上でのアクティブな NFS サービスになります。 ただし、NFSv4 を使
用する場合、次のセットアップ手順を実行します。
u
クライアントのインストール: クライアント システムに Fedora 15 またはその他の目的の
オペレーティング システムをインストールします。
u
NFSv4 の有効化(28 ページ)
u
NFSv4 ドメインの構成(28 ページ)
u
ユーザー ファイル システムの作成(30 ページ)
u
ネーム サービスへのアクセスの構成(30 ページ)
u
Unicode の確認または有効化(31 ページ)
NFSv4 の有効化
VNX で NFSv4 のサポートを有効にするには、以下の手順に従います。
手順
1. テキスト エディタで、/nas/server/slot_<x>/config ファイルを開きます。<x>は Data Mover
のスロット番号です。
2. nfs config の行で、オプションの hivers=4 を追加します。オプションがすでに存在する場
合は、その値が 4 に設定されていることを確認します。その後、ファイルを保存して閉じ
ます。
次に例を挙げます。 nfs config hivers=4
㽷
ファイル内のその他の行やオプションを変更しないでください。
3. 次のコマンド シンタクスを使用して、Data Mover を再起動します。
$ server_cpu[<movername>]-reboot -monitor now
ここで、
[<movername>] = Data Mover の名前
NFSv4 ドメインの構成
NFSv4 ドメインを構成する必要があります。 NFSv4 のドメイン名は、ローカルの DNS ドメイン
名と同じにするか、NFSv4 に対して一意にすることができます。NFSv4 ドメインは、ユーザー
およびグループのマッピングにのみ使用されます。
NFSv4 のドメイン名を指定するには、ドメイン パラメータを使用します。 domain パラメータ
の詳細については、「VNX for File パラメータ ガイド」を参照してください。
㽷
NFS V4 サーバーと、NFS V4 サーバーにアクセスするすべての NFS V4 クライアントでは、同
じ NFS V4 ドメインを使用する必要があります。 パラメータとファシリティの名前は大文字と
小文字が区別されます。
マルチドメイン環境にある VDM での NFSv4 ドメインの構成の詳細については、「EMC VNX
for File コマンド ライン インターフェイス リファレンス」を参照してください。
NFSv4 ドメインを構成するには、次の手順に従います。
28
EMC VNX Series 8.1 VNX NFS の構成
構成
u
NFSv4 のドメイン名の指定(29 ページ)
u
ドメイン パラメータの確認(29 ページ)
u
NFSv4 パラメータの一覧表示(29 ページ)
NFSv4 のドメイン名の指定
手順
1. NFS V4 のドメイン名を指定するには、次のコマンドの文法を使用します。
$ server_param [<movername>] -facility nfsv4 -modify domain
-value [<new_value>]
ここで、
[<movername>] = 指定された Data Mover の名前
[<new_value>] = ドメインの名前
例:
ドメイン名を emc.com に設定するには、次のように入力します。
$ server_param server_2 -facility nfsv4 -modify domain -value
emc.com
出力:
server_2 : done
ドメイン パラメータの確認
手順
1. ドメイン パラメータが設定されたかどうかを確認するには、次のコマンド シンタクスを使
用します。
$ server_param[<movername>]-facility nfsv4 -info domain
ここで、
[<movername>] = Data Mover の名前
例:
ドメイン パラメータが設定されたかどうかを確認するには、次のように入力します。
$ server_param server_2 -facility nfsv4 -info domain
出力:
server_2 :
name
facility_name
default_value
current_value
configured_value
user_action
change_effective
range
description
=
=
=
=
=
=
=
=
=
domain
nfsv4
''
'emc.com'
emc.com
none
immediate
'*'
Sets the NFS v4 domain
NFSv4 パラメータの一覧表示
手順
1. デフォルト値、現在値、構成値を含むすべての NFSv4 パラメータ値を一覧表示するに
は、次のコマンド シンタクスを使用します。
$ server_param[<movername>]-facility nfsv4 -list
NFSv4 ドメインの構成
29
構成
ここで、
[<movername>] = Data Mover の名前
例:
NFS V4 の全パラメータを一覧表示するには、次のコマンドの文法を使用します。
$ server_param server_2 -facility nfsv4 -list
出力:
server_2 :
param_name
leaseDuration
recallTimeout
domain nfsv4
vnodePercent
32bitClient
facility
nfsv4
nfsv4
emc.com
nfsv4
nfsv4
default
40
10
current
40
10
80
1
10
1
configured
10
ユーザー ファイル システムの作成
ファイル システムの詳細については、「VNX Automatic Volume Management によるボリューム
とファイル システムの管理」を参照してください。
手順
1. ユーザー ファイル システムを作成するには、次のコマンド シンタクスを使用します。
$ nas_fs-name[<name>]-create size=[<integer>][T|G|M] pool=
[<pool>]
ここで、
[<name>] = ファイル システムの名前
[<size>] = 要求されたファイル システムのサイズを、テラバイト(T)、ギガバイト(G)、メガ
バイト(M)のいずれかで指定。
[<pool>] = AVM ストレージ プールの名前
例:
ufs1 という名前のユーザー ファイル システムを作成するには、次のように入力します。
$ nas_fs -name ufs1 -create size=100M pool=symm_std -o slice=y
出力:
id = 261
name = ufs1
acl = 0
in_use = False
type = uxfs
volume = v1116
pool = symm_std
member_of = root_avm_fs_group_1
rw_servers=
ro_servers=
rw_vdms =
ro_vdms =
stor_devs = 000187940268-0074,000187940268-0075,000187940268-0076,
000187940268-0077,000187940268-0078,000187940268-0079,000187940268007A,000187940268-007B
disks = d113,d114,d115,d116,d117,d118,d119,d120
ネーム サービスへのアクセスの構成
VNX 上の各 Data Mover には、ユーザー名、パスワード、ホーム ディレクトリ、グループ、ホ
スト名、IP アドレス、ネットグループの定義を含む、ユーザーおよびシステムの情報を検索
30
EMC VNX Series 8.1 VNX NFS の構成
構成
するメカニズムが必要です。 Data Mover は、ネーム サービスにクエリーを実行してこの情
報を取得します。
IPv4 および IPv6 の両方の DNS サーバーが構成されているデュアル スタック ドメインでは、
そのドメインのすべての Data Mover 用 NFS サーバーで、各アドレス タイプにつき少なくとも
1 個のインターフェイスが構成されていることを確認する必要があります。
各 Data Mover には、次のネーム サービスのうち 1 つ以上を構成できます。
u
ローカル ファイル(パスワード、グループ、ホスト、ネットグループ)
u
NIS(ネットワーク情報サービス)
u
ホスト名および IP アドレスの解決のための DNS(Domain Name System)
u
Sun Java System Directory Server LDAP
㽷
ASCII 以外の名前を持つユーザーおよびグループを使用する環境では、LDAP を使用する
必要があります。
ネーム サービスの構成および管理に関する詳細については、「 VNX ネーム サービスの構
成」を参照してください。
㽷
VNX と、VNX にアクセスするすべての NFSv4 クライアントでは、同じネーム サービスにアク
セス可能である必要があります。 ローカル ファイルを使用する場合、Data Mover のパスワ
ードとグループのファイルは、クライアントで使用するものと同じコンテンツを共有する必要
があります。
ユーザーおよびグループの名前を解決するように NFSv4 ドメインまたはネーム サービスを
構成しなかった場合、次の問題が発生します。
u
ファイルまたはディレクトリを作成できない。
u
アクセスが拒否される。
u
ファイルシステム オブジェクトの所有権が誰にも設定されない。
VDM NFS 複数ドメイン ソリューションでは、VDM は Data Mover とは異なる名前空間で機能
するように構成されます。 Data Mover にロードされた 1 つ以上の VDM に必要なドメイン
は、Data Mover クライアント レゾルバで構成する必要があります。 VDM ドメイン構成は、
VDM の名前空間に名前解決を限定するために、有効化されます。
Data Mover と同様に、VDM はホスト名、ユーザー、グループ、ネットグループのソースとし
てローカル ファイルを使用する場合があります。 通常のホスト、パスワード、グループ、ネッ
トグループ、および nsswitch.conf ファイルは、server_file コマンドを使用して、VDM ルート
ファイル システムの .etc ディレクトリに入れることができます。 これらのファイルは、VDM ド
メイン構成が server_nsdomains コマンドで有効化されたときのみ考慮されます。 それ以外
の場合、Data Mover ファイルは、Data Mover と同じ名前空間で機能する VDM によって使
用されます。
VDM ドメイン構成および Data Mover ローカル ファイル セットアップの詳細については、
「VNX 仮想 Data Mover の構成」を参照してください。
Unicode の確認または有効化
NFSv4 では、文字エンコードに UTF-8 が必要です。 デフォルトでは、システムは ASCII
Latin-1 文字エンコードを使用するように構成されています。 NFSv4 クライアントからデータ
にアクセスするには、文字エンコード方式を Unicode および UTF-8 に変更する必要があり
ます。
VNX を新規にインストールする場合、ユーザーのファイルおよびディレクトリを作成する前
に、インストール中に Unicode を有効化できます。 既存の VNX を使用する場合、NFS V4 ク
Unicode の確認または有効化
31
構成
ライアントからデータにアクセスする前に、Unicode を有効化してから、ファイルおよびディレ
クトリを変換する必要があります。 また、適切な変換ディレクトリが作成され、必要な文字変
換ファイルがインストールされていることを確認する必要があります。 コマンド[$ /nas/
sbin/uc_config -on -mover <movername>]を使用して、1 つ以上の Data Mover の Unicode
を有効化できます。
Unicode を構成および管理する方法については、「VNX for File での国際文字セットの使用」を
参照してください。
㽷㎞
いったん Unicode を有効化すると、無効化して ASCII モードに戻すことはできません。
手順
1. システムで Unicode が有効になっていることを確認するには、次のコマンド シンタクスを
使用して、多言語対応(I18N)モードを一覧表示します。
$ server_cifs[<movername>]|head
ここで、
[<movername>] = Data Mover の名前。
例:
server_2 で I18N モードを一覧表示するには、次のように入力します。
$ server_cifs server_2|head
出力:
server_2 :
256 Cifs threads started
Security mode = NT
Max protocol = SMB2
I18N mode = UNICODE
Home Directory Shares ENABLED, map=/.etc/homedir
Usermapper auto broadcast enabled
Usermapper[0] = [127.0.0.1] state:active (auto discovered)
マウント ポイントの作成
エクスポートされた VNX ファイル システムをマウントするには、Data Mover 上でそのファイ
ルシステムのマウントポイント(空のディレクトリ)を作成する必要があります。
㽷
このステップはオプションです。 server_mount コマンドはマウント ポイントを作成します。
手順
1. ファイルシステムのマウントポイントを作成するには、次のコマンドの文法を使用します。
$ server_mountpoint[<movername>]-create[<pathname>]
ここで、
[<movername>] = Data Mover の名前
[<pathname>] = マウント ポイントへのパス
例:
server_2 にマウント ポイント/usf1 を作成するには、次のように入力します。
$ server_mountpoint server_2 -create /ufs1
32
EMC VNX Series 8.1 VNX NFS の構成
構成
出力:
server_2 : done
マウント ポイントの一覧表示
手順
1. マウント ポイントが作成されたかどうかを確認するには、次のコマンド シンタクスを使用
します。
$ server_mountpoint[<movername>]-list
ここで、
[<movername>] = Data Mover の名前
例:
マウント ポイントが作成されたかどうかを確認するには、次のように入力します。
$ server_mountpoint server_2 -list
出力:
server_2:
/.etc_common
/ufs1
/ufs1_ckpt1
/ufs2
/ufs3
ファイル システムのマウント
マウント ポイントを作成したら、server_mount コマンドを使用してファイル システムを作成し
たマウント ポイントにマウントします。
㽷
ファイルシステムは、マウントされると、ローカルのディレクトリ ツリーに組み込まれます。 フ
ァイルシステムは、デフォルトでは永続的にマウントされます。 ファイルシステムを一時的に
アンマウントした場合、ファイル サーバーを再起動すると、ファイルシステムは自動的に再
マウントされます。
ファイル システムをマウントするには、次の手順を実行します。
u
基本的な NFS アクセス用のファイルシステムのマウント(33 ページ)
u
NFSv4 アクセス用のファイルシステムのマウント(34 ページ)
u
ファイル システムのアンマウント(35 ページ)
基本的な NFS アクセス用のファイルシステムのマウント
基本的な NFS アクセス用のファイルシステムをマウントするには、server_mount コマンドを
使用します。 デフォルトでは、server_mount コマンドは NATIVE アクセス ポリシーを使用し
てファイルシステムをマウントします。 マウント ポイントは先頭をスラッシュ(/)で始める必要
があります。
手順
1. ファイルシステムを Data Mover にマウントするには、次のコマンド シンタクスを使用しま
す。
$ server_mount [<movername>] -option [<options>] [<fs_name>]
/[<mount_point>]
マウント ポイントの一覧表示
33
構成
ここで、
[<movername>] = Data Mover の名前
[<options>] = マウント オプションをコンマで区切って指定
[<fs_name>] = マウントされるファイルシステム
[<mount_point>] = Data Mover のマウント ポイントへのパス
例:
server_2 にファイルシステムをマウントするには、次のように入力します。
$ server_mount server_2 ufs1 /ufs1
出力:
server_2 : done
マウント ポイントの確認
手順
1. マウントが作成されたかどうかを確認するには、次のコマンド シンタクスを使用します。
$ server_mount[<movername>]
ここで、
[<movername>] = Data Mover の名前
例:
マウントが作成されたかどうかを確認するには、次のように入力します。
$ server_mount server_2
出力:
server_2 :
root_fs_2 on /
uxfs,perm,rw
root_fs_common on / .etc_common uxfs,perm,ro
ufs1 on /ufs1 uxfs,perm,rw
NFSv4 アクセス用のファイルシステムのマウント
NFSv4 アクセス用のファイル システムをマウントするには、server_mount コマンドを使用し
ます。 server_mount オプションの構成に関する詳細については、プランニング時の考慮事
項(18 ページ)を参考にしてください。 マウント ポイントは先頭をスラッシュ(/)で始める必要
があります。
server_mount コマンドの-option 引数は、NFSv4 クライアントからアクセスしたマウント済み
ファイルシステムに対して、次のようなさまざまなオプションを指定します。
u
アクセス制御および ACL 管理のタイプ
u
デリゲーション モード
手順
1. ファイルシステムを Data Mover にマウントするには、次のコマンド シンタクスを使用しま
す。
$ server_mount [<movername>] -option [<options>] [<fs_name>]
/[<mount_point>]
ここで、
[<movername>] = Data Mover の名前
[<options>] = マウント オプションをコンマで区切って指定
34
EMC VNX Series 8.1 VNX NFS の構成
構成
[<fs_name>] = マウントされるファイルシステム
[<mount_point>] = Data Mover のマウント ポイントへのパス
例:
server_2 にファイルシステムをマウントし、ファイルシステム ufs1 のアクセス ポリシーに
MIXED を設定するには、次のように入力します。
$ server_mount server_2 -option accesspolicy=MIXED ufs1 /ufs1
server_2 にファイルシステムをマウントし、ファイルシステム ufs1 の読み取り/書き込み
のデリゲーションを無効にするには、次のように入力します。
$ server_mount server_2 -option nfsv4delegation=NONE ufs1 /ufs1
出力:
server_2 : done
ファイル システムのアンマウント
server_umount コマンドを使用すると、ファイル システムを Data Mover から一時的または
永続的にアンマウントすることができます。 特にファイルシステムを永続的にアンマウントす
る場合、Data Mover 上のファイルシステムをすべてアンマウントする前に、(server_export unexport オプションを使用して)ファイルシステムの NFS エクスポートをアンエクスポートす
ることを推奨します。 ファイルシステムのマウント方法を変更するには、server_umount コマ
ンドを使用して Data Mover 上のファイルシステムを永続的にアンマウントしてから、ファイル
システムを再マウントします。
㽷
ファイル システムを完全にアンマウントする場合、[server_mountpoint]コマンドを実行し
て、古いマウント ポイントを削除することをお勧めします。
ファイル システムのアンマウントの詳細については、「VNX のボリュームとファイル システム
の手動による管理」を参照してください。
㽷
server_umount コマンドを使用すると、NFSv4 デリゲーションがすべてリコールされ、未処理
のロックがすべて解除されます。 ファイル デリゲーションのリコールには、数秒かかる場合
があります。
ファイルシステムのエクスポート
VNX ファイル システムを NFS ユーザーが使用できるようにするには、server_export コマン
ドを使用して、ファイル システムへのパスをエクスポートする必要があります。
server_export コマンドを発行するたびに、エントリーがエクスポート テーブルの既存のエン
トリーに追加されます。 テーブルへのエントリーは永続的であり、システムが再起動すると
自動的に再エクスポートされます。
次のような-option 引数を使用して、エクスポートされた各ファイル システムの NFS クライア
ントに複数のオプションを指定できます。
u
読み取り/書き込みアクセスのレベル
u
VLAN によるアクセス制限
u
排他的な NFS V4 アクセス
u
ユーザー認証方法
ファイル システムのアンマウント
35
構成
これらのオプションの詳細については、プランニング時の考慮事項(18 ページ)を参照してく
ださい。
ファイル システムのエクスポートは、次のタスクで構成されます。
u
基本的な NFS アクセス用のファイルシステムのエクスポート(36 ページ)
u
アクセス レベル(37 ページ)
u
マルチ レベルのファイルシステム(40 ページ)
u
setuid および setgid ビットのアクセスの防止(38 ページ)
u
VLAN によるアクセス制限(41 ページ)
u
NFSv4 アクセスの指定(41 ページ)
u
ユーザー認証方法の指定(42 ページ)
㽷
次の手順で説明している server_export コマンドは、[movername]として VDM で適用できま
す。 VDM にファイル システムをエクスポートする方法の詳細については、「VNX 仮想 Data
Mover の構成」を参照してください。
基本的な NFS アクセス用のファイルシステムのエクスポート
基本的な NFS アクセス用のファイルシステムをエクスポートするには、server_export コマン
ドを使用します。 デフォルトでは、server_export コマンドは、すべての NFS クライアント用に
ファイルシステムを読み取り/書き込みとしてエクスポートし、UNIX のユーザー認証を使用し
ます。
手順
1. クライアント システムからの NFS アクセス用に VNX ファイルシステムをエクスポートする
には、次のコマンド シンタクスを使用します。
$ server_export [<movername>]-Protocol nfs [-name [<name>]]
[-ignore] [-option [<options>]] [-comment [<comment>]]
[<pathname>]
ここで、
[<movername>] = Data Mover の名前
[<name>] = オプションの NFS エクスポート名
[<options>] = NFS エクスポートに適用されるオプション
[<comment>] = オプションのコメント
[<pathname>] = NFS エクスポート パス名
例:
NFS アクセス用にファイルシステムをエクスポートするには、次のように入力します。
$ server_export server_2 -Protocol nfs -name nasdocsfs -comment
'NFS Export for ufs1' /ufs1
NFS アクセス用にすべてのファイルシステムをエクスポートするには、次のように入力し
ます。
$ server_export server_2 -Protocol nfs -all
出力:
server_2: done
36
EMC VNX Series 8.1 VNX NFS の構成
構成
エクスポートしたファイルシステムの確認
手順
1. ファイルシステムがエクスポートされたことを確認するには、次のコマンド シンタクスを使
用します。
$ server_export[<movername>]-list[<pathname>]
ここで、
[<movername>] = Data Mover の名前
[<pathname>] = NFS エクスポートのパス名。 パス名を指定しない場合、ファイルシステ
ムのエクスポートおよび共有がすべて一覧表示される。
例:
ファイルシステムがエクスポートされたかどうかを確認するには、次のように入力しま
す。
$ server_export server_2 -list /ufs1
出力:
server_2 :
export "/ufs1" name=/nasdocsfs comment="NFS Export for ufs1"
アクセス レベル
エクスポートされた各ファイルシステムの NFS クライアントで利用可能な読み取り/書き込み
アクセスのレベルを指定するには、server_export コマンドで-option 引数を使用します。 ク
ライアントは、ホスト名、ネットグループ、サブネット、IP アドレスで識別されます。
モード ビットまたは ACL を使用して、個別のユーザー アクセスを指定します。 これらのオプ
ションの詳細については、プランニング時の考慮事項(18 ページ)を参照してください。
アクセス オプションについては、NFS エクスポートのアクセス オプション(37 ページ)を参
照してください。
表 3 NFS エクスポートのアクセス オプション
選択肢
説明
ro
すべての NFS クライアントに読み取り専用としてパスをエクスポートする。
ro=<clients>
指定した NFS クライアントに読み取り専用としてパスをエクスポートする。
rw=<clients>
指定したクライアントに読み取りまたは書き込みとしてパスをエクスポートす
る。 その他のオプションを指定しない場合、すべてのクライアントに読み取り
専用のアクセスが許可される。
access=<clients>
指定したクライアントにデフォルトのアクセスを付与する。 明示的にアクセス
権を付与されていない NFS クライアントに対しては、アクセスを拒否します。
root=<clients>
root=にクライアントを指定することで、export コマンドに記述されるクライア
ントに root アクセスを指定する。 ただし、ルート アクセスを設定しても、エク
スポート自体へのアクセスは付与されない。 ルート アクセスはその他の権
限に追加される。
ro=、rw=、access=、root=のクライアント リストには、ホスト名、ネットグループ、サブネット、
IP アドレスのいずれかを使用でき、スペースなしのコロンで区切る必要があります。 また、
ro=、rw=、access=に対するエントリーの前にダッシュ(-)を使用して、アクセスを除外するこ
ともできます。 たとえば、「rw=-host1」のように指定します。
アクセス レベル
37
構成
通常のリリースでは、完全なエクスポート文字列の最大レングスは 8184 バイトであり、NFS
エクスポートのアクセス オプション(37 ページ)に一覧表示される各オプションの最大レング
スは 2048 バイトです。
㽷
診断ビルドの場合、完全な文字列のレングスは 8160 バイトに削減されています。
アクセス オプションの設定および解釈の方法に関する詳細については、システム アクセス
動作(93 ページ)を参考にしてください。
㽷
sec オプションを使用してユーザー認証方法を定義する場合、アクセス オプションを定義す
る前にユーザー認証方法を指定する必要があります。 そうでない場合、エクスポートは失
敗します。 セキュリティ オプションを定義するときに守るべき規則については、ユーザー認
証動作(99 ページ)を参考にしてください。
アクセス レベルの指定
手順
1. エクスポートされたファイルシステム上でアクセス レベルを指定するには、次のコマンド
の文法を使用します。
$ server_export[movername]-Protocol nfs [-option[<options>]]
[<pathname>]
ここで、
[<movername>] = Data Mover の名前
[<options>] = エクスポート オプションをコンマで区切って指定
[<pathname>] = 指定されたパス
例:
すべての NFS クライアント用にファイルシステム/ufs1 を読み取り専用としてエクスポー
トするには、次のように入力します。
$ server_export server_2 -Protocol nfs -option ro /ufs1
指定した NFS クライアント用にファイルシステム/ufs1 を読み取り専用としてエクスポート
するには、次のように入力します。
$ server_export server_2 -Protocol nfs -option ro,
access=172.24.102.0/255.255.255.0 /ufs1
指定した NFS クライアント用にファイルシステム/ufs1 を読み取り専用として root 権限を
付与してエクスポートするには、次のように入力します。
$ server_export server_2 -Protocol nfs -option ro,
root=172.24.102.240, access=172.24.102.0/255.255.255.0 /ufs1
出力:
server_2 : done
setuid および setgid ビットのアクセスの防止
setuid および setgid ビットは、そのユーザーとしての認証を行わずに、別のユーザーの権
限を使用して実行可能プログラムを実行できる、UNIX のパーミッション ビットです。 nosuid
オプションは、指定した NFS クライアント上のユーザーが、エクスポートされたパス名(直接
エクスポートされたか、setuid または getuid パーミッション ビット セットを使用してファイル
38
EMC VNX Series 8.1 VNX NFS の構成
構成
をコピーあるいは作成してエクスポートされた)にあるファイル上の UNIX setuid および
setgid ビットを設定できないようにします。この場合、クライアントに設定されているマウント
オプションは無視されます。
クライアント名のリストを指定して nosuid NFS エクスポート オプションを使用すると、setuid
ビットと setgid ビットがパーミッションからクリアされた後で、これらのクライアントのエクスポ
ートされたパス名にあるファイルにパーミッションが設定されます。 各クライアント名の前に
ダッシュ(-)を指定して nosuid NFS エクスポート オプションを使用すると、setuid ビットと
setgid ビットがパーミッションからクリアされた後、リストされているクライアント以外のすべ
てのクライアントのエクスポートされたパス名にあるファイルにパーミッションが設定されま
す。
手順
1. setuid ビットおよび setgid ビットのアクセスを制限するには、次のいずれかのコマンド シ
ンタクスを使用します。
$ server_export [<movername>] -Protocol nfs
[-option nosuid=[<client>][:[<client>]]...] [<pathname>]
OR
$ server_export [<movername>] -Protocol nfs
[-option nosuid=[<-client>][:[<-client>]]...] [<pathname>]
ここで:
[<movername>] = Data Mover の名前
[<client>] = ファイルをエクスポートするクライアントの名前。複数の場合はコロンで区切
る
[<pathname>] = 指定されたパス
例:
クライアント host10 と host11 に対する setuid および setgid ビットのアクセスを制限し
て、Data Mover server_2 上の NFS パス名"/users/gary"をエクスポートするには、次の
ように入力します。
$ server_export server_2 -Protocol nfs -option nosuid=host10:host11
/users/gary
出力:
server_2 : done
例:
クライアント host123 に対する setuid および setgid ビットのアクセスを制限して、すべ
ての Data Mover 上の NFS パス名"/production1"をエクスポートするには、次のように
入力します。
$ server_export ALL -option nosuid=host123 /production1
出力:
server_2 : done
例:
setuid および setgid ビットのアクセスに加え root 権限も許可される 10.241.216.239 を
除き、すべてのクライアントに対する setuid および setgid ビットのアクセスを制限して、
すべての Data Mover 上の NFS パス名"/fs1"をエクスポートするには、次のように入力
します。
$ server_export server_2 -Protocol nfs -option
root=10.241.216.239,nosuid=-10.241.216.239 /fs1
setuid および setgid ビットのアクセスの防止
39
構成
出力:
server_2 : done
マルチ レベルのファイルシステム
すでにエクスポートされたパスに含まれるサブディレクトリなどの、マルチ レベルのファイル
システムのディレクトリをエクスポートするには、server_export コマンドを使用します。 これ
を設定するには、ツリー クォータが便利です。
エクスポートされた各ファイルシステムの NFS クライアントが使用できるアクセス権限(読み
取り/書き込みアクセスのレベル)の定義は、エクスポートごとに異なる場合があります。 ア
クセス権限が競合する場合は、次のように処理されます。
u
NFSv2 および NFSv3 では、エクスポートされたパスをマウントしているクライアントは、
パスに含まれるサブディレクトリがその他の権限でエクスポートされている場合でも、パ
ス全体に対して付与されているアクセス権限と同じ権限を持ちます。 クライアントがサブ
ディレクトリだけをマウントしており、そのマウント ポイントだけにアクセスする場合は、ク
ライアントはエクスポートされたサブディレクトリのアクセス権限を持ちます。
u
NFSv2 および NFSv3 のクライアントでは、競合するアクセス権限は NFSv2 および
NFSv3 のプロトコル標準とは異なる方法で処理されます。
u
NFSv4 では、クライアントがディレクトリを通過するたびにアクセス権限が計算されま
す。
たとえば、NFSv2 および NFSv3 のクライアントに対して、/ufs1 への read-only アクセス、/
ufs1/dir1 への読み取り/書き込みアクセスが付与されており、そのクライアントに/ufs1 が
マウントされている場合、/ufs1/dir1 を含む/ufs1 内のすべてのデータは読み取り専用にな
ります。クライアントに/ufs1/dir1 がマウントされている場合、/ufs1/dir1 内のすべてのデー
タは読み取り/書き込み許可になります。
NFSv4 のクライアントは、常にサーバーの仮想ルートにアクセスしてから、マウントするファ
イルシステムが見つかるまで移動します。 NFSv4 は実際のマウントを持たないため、ディレ
クトリを通過するたびに、アクセス権限が確認されます。
マルチ レベルのファイルシステムのエクスポート
手順
1. クライアント システムからの NFS アクセス用に、マルチ レベルの VNX ファイル システム
をエクスポートするには、次のコマンド シンタクスを使用します。
$ server_export [<movername>] -Protocol nfs [-name [<name>]]
[-ignore] [-option [<options>]][-comment [<comment>]]
[<pathname>]
ここでは、
[<movername>] = Data Mover の名前
[<name>] = オプションの NFS エクスポート名
[<options>] = NFS エクスポートに適用されるオプション
[<comment>] = オプションのコメント
[<pathname>] = NFS エクスポート パス名
例:
すべてのクライアントに対して読み取りまたは書き込みアクセス権を付与してファイルシ
ステムをエクスポートするには、次のように入力します。
$ server_export server_2 -Protocol nfs /ufs1
40
EMC VNX Series 8.1 VNX NFS の構成
構成
クライアントに read-only アクセスを付与して以前にエクスポートされたパスのサブディレ
クトリをエクスポートするには、次のように入力します。
$ server_export server_2 -Protocol nfs -option ro /ufs1/dir1
出力:
server_2: done
VLAN によるアクセス制限
vlan オプションを設定すると、エクスポートされたファイルシステムのアクセスを特定の
VLAN に属するホストに制限することができます。 それ以外の VLAN 上のホストでは、アクセ
スが拒否されます。 単一または複数の VLAN を指定できます。
㽷
この手順でエクスポートされたファイルシステムのアクセスをホストに制限することができる
のは、UNIX セキュリティ(AUTH_SYS)を使用している NFS ユーザーだけです。 Kerberos 認
証を使用しているユーザーまたはシステムは、この手順を実行できません。
手順
1. 指定した VLAN に含まれているクライアント システムからの NFS アクセス用に VNX ファ
イル システムをエクスポートするには、次のコマンド シンタクスを使用します。
$ server_export[<movername>]-Protocol nfs [-option
[<options>]] [<pathname>]
ここで、
[<movername>] = Data Mover の名前
[<options>] = NFS エクスポートに適用されるオプション
[<pathname>] = NFS エクスポート パス名
例:
指定した VLAN に含まれているクライアント システムからの NFS アクセス用にファイルシ
ステムをエクスポートするには、次のように入力します。
$ server_export server_2 -Protocol nfs -option vlan=102,103,104
出力:
server_2: done
NFSv4 アクセスの指定
通常、ファイル システムは NFS プロトコルのすべてのバージョンにエクスポートされます。 フ
ァイル システムへのアクセスは、nfsv4only オプションを設定して制限することができます。
netd ファイルで nfs start コマンドの hivers オプションを設定して NFSv4 サービスを有効化
せずに、nfsv4only オプションを使用してファイルシステムをエクスポートすると、問題がログ
に記録されますがエクスポートは継続されます。 エクスポートは失敗しませんが、NFSv2、
NFSv3、NFSv4 によるアクセスはブロックされます。
㽷
sec オプションを使用してユーザー認証方法を定義する場合、nfsv4only オプションを定義
する前にユーザー認証方法を指定する必要があります。 そうでない場合、エクスポートは
失敗します。 セキュリティ オプションを定義するときに守るべき規則については、ユーザー
認証動作(99 ページ)を参考にしてください。
VLAN によるアクセス制限
41
構成
手順
1. NFS アクセス用に VNX ファイル システムをエクスポートするには、次のコマンド シンタク
スを使用します。
$ server_export[<movername>]-Protocol nfs [-option
[<options>]] [<pathname>]
ここで、
[<movername>] = Data Mover の名前
[<options>] = NFS エクスポートに適用されるオプション
[<pathname>] = NFS エクスポート パス名
例:
NFS アクセス用にファイルシステムをエクスポートするには、次のように入力します。
$ server_export server_2 -Protocol nfs -option nfsv4only /ufs1
出力:
server_2: done
ユーザー認証方法の指定
ファイルシステムをエクスポートする際の、NFS サービスによるユーザーの認証方法を指定
できます。
ユーザーの認証方法は次のいずれかになります。
u
UNIX セキュリティ
u
Kerberos
UNIX セキュリティ(AUTH_SYS セキュリティとも呼ばれる)は、すべての標準の NFS クライア
ントおよびサーバーで使用するデフォルトの認証方法です。 UNIX セキュリティは、セキュリ
ティ オプションの sys を使用して指定します。
Secure NFS では、Kerberos ベースのユーザーおよびデータの認証、整合性、プライバシー
を提供します。 Secure NFS では、次のセキュリティ オプションをサポートおよび指定します。
u
krb5:Kerberos ユーザーおよびデータ認証。
u
krb5i:各 NFS パケットへのシグネチャの追加による、Kerberos による認証およびデータ
の整合性。
u
krb5p:データをネットワークに送信する前に暗号化する、Kerberos による認証とデータ
のプライバシー。 データの暗号化には、システム処理用の追加リソースが必要とされ
る。
これらのオプションの詳細については、ユーザー認証(19 ページ)を参照。
㽷
まず、AUTH_SYS を使用して NFS を構成します。 Secure NFS は、NFS サービスが正常に実
行されてから構成してください。
Kerberos 認証を使用してファイルシステムをエクスポートするには、Secure NFS を設定する
必要があります。 Secure NFS の構成に関する詳細については、Windows Kerberos KDC を
使用した Secure NFS の構成(45 ページ)および UNIX または Linux の Kerberos KDC を
使用した Secure NFS の構成(53 ページ)を参照してください。
㽷
VDM に対するすべての NFS エクスポート オプションがサポートされます。
42
EMC VNX Series 8.1 VNX NFS の構成
構成
Kerberos 認証用のファイルシステムのエクスポート
デフォルトでは、server_export コマンドは、すべての NFS クライアント用にファイルシステム
を読み取り/書き込みとしてエクスポートします。 UNIX 認証情報を提示するユーザーにはア
クセスは許可されません。
手順
1. Kerberos 認証を使用して VNX ファイルシステムをエクスポートするには、次のコマンド
シンタクスを使用します。
$ server_export[<movername>]-Protocol nfs [-option
[<options>]] [<pathname>]
ここで、
[<movername>] = Data Mover の名前
[<options>] = NFS エクスポートに適用されるオプション
[<pathname>] = NFS エクスポート パス名
例:
Kerberos 認証を使用してファイルシステムをエクスポートするには、次のように入力しま
す。
$ server_export lngbe245 -Protocol nfs -option sec=krb5 /ufs1
出力:
lngbe245: done
UNIX および Kerberos の認証のためのファイルシステムのエクスポート
この例では、UNIX 認証情報を使用して認証を受けるユーザーには、read-only アクセスが
許可されます。 また、Kerberos を使用して認証を受けるユーザーには、ファイル システム
への読み取りまたは書き込みアクセスが許可されます。
手順
1. UNIX および Kerberos の認証を使用して VNX ファイル システムをエクスポートするに
は、次のコマンド シンタクスを使用します。
$ server_export[<movername>]-Protocol nfs [-option
[<options>]] [<pathname>]
ここで、
[<movername>] = Data Mover の名前
[<options>] = NFS エクスポートに適用されるオプション
[<pathname>] = NFS エクスポート パス名
例:
UNIX および Kerberos 認証を使用してファイルシステムをエクスポートするには、次のよ
うに入力します。
$ server_export lngbe245 -Protocol nfs -option
sec=krb5,sec=sys:ro /ufs1
出力:
lngbe245: done
ユーザー認証方法の指定
43
構成
MAC OS での GUI による NFS 共有のマウント
はじめに
u
[Finder]をクリックし、[移動] > [ユーティリティ] > [ターミナル]を選択します。
u
管理者パスワードでログインします。
[Windows ドメインへの MAC の参加 ]
1. 管理ツール ディスクをインストールします(MAC OS クライアントのみに適用可能)。
2. ネットワーク構成を開きます。 [Apple アイコン] > [システム環境設定] > [ネットワーク]
をクリックします。
3. [詳細]ボタンをクリックし、[DNS]タブを選択します。
4. Windows DNS IP アドレスを設定し、[検索ドメイン]をお使いの Windows ドメインに設定
します。
5. [アプリケーション ユーティリティ]ウィンドウから、[ディレクトリ ユーティリティ]を起動し
ます。
6. [Finder]をクリックし、[移動] > [ユーティリティ] > [ターミナル]を選択します。
7. 変更を行うには、ロック アイコンをクリックしてディレクトリ サービスのロックを解除しま
す。
㽷
これらの変更は、ローカル MAC クライアント アドミニストレータが行う必要があります。
8. [サービス]で、[Active Directory]をダブルクリックしてドメインに参加します。
9. Active Directory 情報を入力して、[OK]をクリックします。
10. [検索ポリシー]に Active Directory 含まれており、その検索フィールドに[カスタム パ
ス]オプションが指定されていることを確認します。 [Active Directory]を最初の灰色以
外の位置に移動します。
[NFS 共有のマウント]
1. [移動] > [サーバーへ接続]をクリックします。
2. [サーバー アドレス]フィールドに nfs:// [<servername>] /[<sharename>]と入力し、[接
続]をクリックします。
3. ログイン画面が表示されます。 ユーザー名とパスワードを入力し、[接続]をクリックしま
す。
4. これで、デスクトップで NFS 共有を参照できます。
㽷
デフォルトのマウントポイントは/Volumes です。
MAC OS での手動による NFS 共有のマウント
はじめに
44
u
[Finder]をクリックし、[移動] > [ユーティリティ] > [ターミナル]を選択します。
u
管理者パスワードでログインします。
EMC VNX Series 8.1 VNX NFS の構成
構成
㽷
CIFS 共有とは対照的に、NFS 共有は複数のマウントポイントにマウントできます。 デフォル
トのマウントポイントは/Volumes です。
手順
1. NFS 共有をマウントするには、次のコマンド シンタクスを使用します。
/sbin/mount-t nfs[<servername>]:/[<sharename>]/
[<mountpoint>]
ここで、
[<servername>] = サーバーの名前
[<sharename>] = NFS 共有の名前
[<mount_point>] = サーバーのマウント ポイントへのパス
例:
nsx0304el1 に NFS 共有をマウントするには、次のように入力します。
/sbin/mount -t nfs nsx0304el1:/server4fs2/4fs2
㽷
次のようなエラーが返されることがあります。
mount_nfs:<sharename>にアクセスできません: ホストへのルートがありません <sharename>が正しいか確認します。
マウント:実際のパス/マウントポイント: 指定のファイルまたはディレクトリがありません 指定のマウントポイント パスは正しくありません。
出力:
nsx0304el1 : done
Windows Kerberos KDC を使用した Secure NFS の構成
はじめに
Secure NFS は、次のいずれかを使用してサポートされています。
u
Windows Kerberos KDC
u
UNIX Kerberos KDC
u
Linux Kerberos KDC
これらのオプションの詳細については、プランニング時の考慮事項(18 ページ)を参照してく
ださい。
Windows 環境で Secure NFS を構成する前に、Windows 2000 以降のドメイン、ならびにタ
イム サーバー、ネーム サービス(理想的には NIS)へのアクセスを構成する必要がありま
す。
u
Data Mover、NFS クライアント、KDC のシステム時間は、すべてをほぼ同じ時刻に設定
する必要があります。これは、領域のすべてのクロックが、Kerberos 認証を実行できる
よう同期する必要があるためです。 タイム サービスの構成方法については、「VNX タイ
ム サービスの構成」を参照してください。
u
UID に対するユーザーおよび GID に対するグループを解決するには、EMC では、
Secure NFS と NIS または iPlanet を併用することを推奨します。 Kerberos KDC、すべて
のクライアント、すべての Data Mover は、同じ NIS または iPlanet のドメインのメンバー
Windows Kerberos KDC を使用した Secure NFS の構成
45
構成
である必要があります。 NIS と iPlanet のいずれも使用していない場合、Data Mover 上
で/etc/passwd ファイルにすべてのユーザー名を追加し、/etc/group ファイルにグルー
プを追加する必要があります。 NIS および iPlanet へのアクセスの構成方法について
は、「VNX ネーム サービスの構成」を参照してください。
Windows Kerberos KDC を使用して Secure NFS を構成するには、次の手順に従います。
u
逆引き参照の動的な更新の有効化(46 ページ)
u
CIFS の構成(46 ページ)
u
Secure NFS サービス インスタンスの設定(49 ページ)
u
NFS のユーザーおよびグループのマッピング サービスの設定(51 ページ)
u
ACE の並べ替え(マルチプロトコル環境のみ)(53 ページ)
逆引き参照の動的な更新の有効化
Data Mover の DNS クライアントに、すべての CIFS サーバーの PTR レコードを動的に更新
するよう指示するには、updatePTRrecord パラメータを設定します。
DNS では、IP アドレスへのホスト名のマッピングを保持します。 また、DNS では、IP アドレス
をホスト名にマッピングする PTR(ポインタ)レコードを保持することで逆引き参照を行うことも
できます。
updatePTRrecord パラメータの詳細については、「VNX for File パラメータ ガイド」を参照してく
ださい。
PTR レコードは、updatePTRrecord パラメータを使用する代わりに手動で更新することもでき
ます。 パラメータとファシリティの名前は大文字と小文字が区別されます。
手順
1. Data Mover の DNS クライアントに、すべての CIFS サーバーの PTR レコードを更新する
よう指示するには、次のコマンド シンタクスを使用します。
$ server_param[<movername>]-facility dns modifyupdatePTRrecord -value 1
ここで、
[<movername>] = Data Mover の名前
例:
Data Mover の DNS クライアントに、すべての CIFS サーバーの PTR レコードを更新する
ように指示するには、次のように入力します。
$ server_param server_2 -facility dns -modify updatePTRrecord
-value 1
出力:
server_2 : done
CIFS の構成
Windows KDC を使用している場合、KDC にアクセスするために Data Mover 上で CIFS を構
成する必要があります。
手順
1. 次のコマンド シンタクスを使用して、Data Mover 上で CIFS サーバーを作成します。
$ server_cifs[<movername>]-addcompname=[<comp_name>],domain=
[<full_domain_name>]
ここで、
46
EMC VNX Series 8.1 VNX NFS の構成
構成
[<movername>] = Data Mover の名前
[<comp_name>] = DNS に登録されるサーバーの名前
[<full_domain_name>] = サーバーが属するドメインの完全な名前。 つまり、少なくとも 1
個のドット(.)が名前に含まれていなければなりません。
例:
server_2 上に CIFS サーバー cifsserver を作成するには、次のように入力します。
$ server_cifs server_2 -add compname=cifsserver,domain=emc.com
㽷
server_cifs コマンドの追加のオプションの説明については、「EMC VNX for File コマンド ラ
イン インターフェイス リファレンス」を参照してください。 CIFS 構成の詳細については、
「VNX CIFS の構成と管理」を参照してください。
2. 次のコマンド シンタクスを使用して、CIFS サービスを開始し、Data Mover の CIFS プロト
コルをアクティブ化します。
$ server_setup[<movername>]-Protocol cifs -option start[=
[<n>]]
ここで、
[<movername>] = Data Mover の名前
[<n>] = CIFS ユーザーのスレッド数 (Data Mover が 1 GB のメモリを搭載している場合、
スレッドのデフォルト数は 96 です。 1 GB を超えるメモリを搭載している場合、スレッドの
デフォルト数は 256 です)。
例:
server_2 で CIFS サービスを起動するには、次のように入力します。
$ server_setup server_2 -Protocol cifs -option start
㽷
Secure NFS サービスでは、CIFS のスレッドを追加する必要はありません。
3. まだ参加させていない場合、次のコマンド シンタクスを使用して CIFS サーバーを
Windows ドメインに参加させます。
$ server_cifs[<movername>]-Join compname=
[<comp_name>],domain=[<full_domain_name>],admin=
[<domain_administrator_name>],ou=[<organizational_unit>]
ここで、
[<movername>] = Data Mover の名前
[<comp_name>] = DNS に登録されるサーバーの名前
[<full_domain_name>] = サーバーが属するドメインの完全な名前。 つまり、少なくとも 1
個のドット(.)が名前に含まれていなければなりません。
[<domain_administrator_name>] = CIFS サーバーが参加している組織単位内でコンピュ
ータ アカウントを作成および管理する権利を持つユーザーのログイン名。
[<organizational_unit>] = Active Directory 内でコンピュータ アカウントが作成される組織
単位またはコンテナを指定します。 デフォルトでは、Computers という組織単位にコンピ
ュータ アカウントが作成されます。
例:
CIFS の構成
47
構成
管理者アカウントを使用して cifsserver を Active Directory ドメイン emc.com に参加さ
せ、このサーバーを Engineering または Computers 組織単位に追加するには、次のよ
うに入力します。
$ server_cifs server_2 -Join
compname=cifsserver,domain=emc.com,admin=administrator,ou="ou=Compu
ters:ou=Engineering"
4. 次のコマンド シンタクスを使用して、コンピュータ アカウントに NFS サービスを追加しま
す。
$ server_cifs[<movername>]-Join compname=
[<comp_name>],domain=[<full_domain_name>],admin=
[<domain_administrator_name>],ou=[<organizational_unit>]option addservice=nfs
ここで、
[<movername>] = Data Mover の名前
[<comp_name>] = DNS に登録されるサーバーの名前
[<full_domain_name>] = サーバーが属するドメインの完全な名前。 つまり、少なくとも 1
個のドット(.)が名前に含まれていなければなりません。
[<domain_administrator_name>] = CIFS サーバーが参加している組織単位内でコンピュ
ータ アカウントを作成および管理する権利を持つユーザーのログイン名。
[<organizational_unit>] = Active Directory 内でコンピュータ アカウントが作成される組織
単位またはコンテナを指定します。 デフォルトでは、Computers という組織単位にコンピ
ュータ アカウントが作成されます。
例:
前のステップで Windows ドメインに参加させたサーバーに NFS サービスを追加するに
は、次のように入力します。
$ server_cifs server_2 -Join compname=cifsserver,domain=
emc.com,admin=administrator -option addservice=nfs
5. 次のコマンド シンタクスを使用してマウント ポイントを作成します。
$ server_mountpoint[<movername>]-create[<pathname>]
ここで、
[<movername>] = Data Mover の名前
[<pathname>] = マウント ポイントへのパス
例:
server_2 にマウント ポイント/usf1 を作成するには、次のように入力します。
$ server_mountpoint server_2 -create /ufs1
㽷
このステップはオプションです。 server_mount コマンドはマウント ポイントを作成しま
す。
6. マウント ポイントを作成したら、次のコマンド シンタクスを使用してファイルシステムをマ
ウントします。
$ server_mount[<movername>]-option[<options>][<fs_name>]
[<mount_point>]
ここで、
[<movername>] = Data Mover の名前
48
EMC VNX Series 8.1 VNX NFS の構成
構成
[<options>] = マウント オプションをコンマで区切って指定
[<fs_name>] = マウントされるファイルシステム
[<mount_point>] = Data Mover のマウント ポイントへのパス
例:
server_2 にファイルシステム ufs1 をマウントするには、次のように入力します。
$ server_mount server_2 -option accesspolicy=MIXED ufs1 /ufs1
7. ファイルシステムを NFS ユーザーが使用できるようにするには、ファイルシステムへの
パスをエクスポートします。 次のコマンド シンタクスを使用して、NFS アクセス用のファイ
ルシステムを作成します。
$ server_export[<movername>]-Protocol nfs[<pathname>]
ここで、
[<movername>] = Data Mover の名前
[<pathname>] = マウント ポイントへのパス
例:
NFS アクセス用のファイルシステムを作成するには、次のように入力します。
$ server_export server_2 -Protocol nfs -name /ufs1
8. (オプション)NFS のユーザーと CIFS のユーザーを同じファイルシステムにアクセスさせ
る環境を使用する場合、CIFS 共用を作成する必要があります。 共有のパス名をエクス
ポートして CIFS アクセスの共有を作成するには、次のコマンド シンタクスを使用します。
$ server_export[<movername>]-Protocol cifs -name[<sharename>]
[<pathname>]
ここで、
[<movername>] = Data Mover の名前
[<sharename>] = CIFS 共有の名前
[<pathname>] = マウント ポイントへのパス
例:
server_2 上に cifs_share という名前の共有を作成するには、次のように入力します。
$ server_export server_2 -Protocol cifs -name cifs_share /ufs1
Secure NFS サービス インスタンスの設定
Secure NFS サービスで Kerberos の認証を行ってからユーザー認証を行うには、Secure
NFS サービス インスタンスが必要です。
Secure NFS サービス インスタンスの形式は service@server です。ここで、service は NFS、
server は Data Mover ホスト名で、たとえば、nfs@server_2 のように指定します。
VNX をインストールすると、Secure NFS インスタンスは、デフォルトでは、Secure NFS 構成フ
ァイルに追加されます。 このインスタンスを使用するか、新しいインスタンスを作成できま
す。
Secure NFS の初期構成の表示
手順
1. Secure NFS サービスの構成を表示するには、次のコマンドの文法を使用します。
$ server_nfs[<movername>]-secnfs
ここで、
Secure NFS サービス インスタンスの設定
49
構成
[<movername>] = 指定された Data Mover の名前
例:
Secure NFS サービスの構成を表示するには、次のように入力します。
$ server_nfs server_2 -secnfs
出力:
server_2 :
RPCSEC_GSS server stats
Credential count: 1
principal: nfs@server_2
Total number of user contexts: 0
Current context handle: 1
Secure NFS サービス インスタンスの作成
手順
1. 次のコマンド シンタクスを使用して、デフォルトの Secure NFS インスタンスを削除:
$ server_nfs[<movername>]-secnfs -principal -delete nfs@
[<server>]
ここで、
[<movername>] = Data Mover の名前
[<server>] = 領域のタイプ
例:
server_2 のデフォルトの Secure NFS インスタンスを削除するには、次のように入力しま
す。
$ server_nfs server_2 -secnfs -principal -delete nfs@server_2
出力:
server_2 : done
2. 次のコマンド シンタクスを使用して、新しい Secure NFS サービスを追加:
$ server_nfs[<movername>]-secnfs -principal -create nfs@
[<server>]
ここで、
[<movername>] = Data Mover の名前
[<server>] = 領域のタイプ
㽷
次の両方の形式を使用して、サービスを 2 回追加する必要があります:
nfs@<Data_Mover_host_name>および nfs@<Data_Mover_fqdn>
例:
新しいホスト名に Secure NFS サービスを追加するには、次のように入力します。
$ server_nfs server_2 -secnfs -principal -create nfs@cifsserver
出力:
server_2 : done
サーバーの FQDN(完全修飾ドメイン名)を使用して 2 つ目のサービス インスタンスを追
加するには、次のように入力します。
$ server_nfs server_2 -secnfs -principal -create
[email protected]
50
EMC VNX Series 8.1 VNX NFS の構成
構成
3. 次のコマンド シンタクスを使用して、Secure NFS サービスを停止:
$ server_nfs[<movername>]-secnfs -service -stop
ここで、
[<movername>] = Data Mover の名前
例:
server_2 の Secure NFS サービスを停止するには、次のように入力します。
$ server_nfs server_2 -secnfs -service -stop
出力:
server_2 : done
4. 次のコマンド シンタクスを使用して、Secure NFS サービスを開始:
$ server_nfs[<movername>]-secnfs -service -start
ここで、
[<movername>] = Data Mover の名前
例:
server_2 の Secure NFS サービスを開始するには、次のように入力します。
$ server_nfs server_2 -secnfs -service -start
出力:
server_2 : done
NFS のユーザーおよびグループのマッピング サービスの設定
このセクションでは、NFS ユーザーおよびグループのマッピング サービスの設定について説
明します。
Secure NFS 環境では、ユーザー認証は Kerberos プリンシパル名に基づいています。 ただ
し、エクスポートされたファイルシステム内のファイルおよびディレクトリへのアクセスは、UID
および GID に基づいています。 ユーザーの Kerberos プリンシパル名は、マッピング サービ
スを使用して UID にマッピングされます。 ユーザー認証の間、このマッピング情報は、
Kerberos 対応サービスへのデータ アクセスを決定するために使用されます。
Windows Kerberos KDC を使用している場合、マッピングは自動的に実行されます(デフォ
ルトの方法)。 自動マッピングを使用する場合、ユーザーの UNIX 名はユーザーの
Kerberos プリンシパル名から生成されます。 つまり、UNIX ユーザーのネームスペースは
Kerberos ユーザーのネームスペースと必ず同じになるということです。 すべてのユーザー
は、Kerberos と UNIX に同じ名前で認識されます。 ユーザー認証中に、ユーザーの UID と
プライマリおよびセカンダリの GID は、Secure NFS のマッピング サービスで生成されます。
マッピングは必要に応じて自動的に生成されるため、マッピング ファイルは作成されませ
ん。
㽷
このマッピング サービスを、CIFS で使用される VNX の UserMapper 機能と混同しないよう
注意してください。
Kerberos を使用して NFS ユーザーが認証を行うと、ユーザー プリンシパルの領域コンポー
ネントは削除され、システムにより、UNIX ユーザー データベース(NIS またはローカル
の/etc/passwd ファイル)でユーザー名が検索されます。
たとえば、プリンシパル [email protected] が、Kerberos のセキュリティ オプションを使用
してエクスポートされたファイルシステムにアクセスしようとすると、システムはプリンシパル
を認証します。 システムは、ユーザー名 john のみを使用してパスワード データベースでユ
NFS のユーザーおよびグループのマッピング サービスの設定
51
構成
ーザーを検索して、ユーザーの UID およびプライマリ GID を取得します。 グループ メンバー
シップはグループ データベースから取得されます。
㽷
パスワード ファイルの作成方法については、「VNX ネーム サービスの構成」に説明されてい
ます。
マッピング方法の確認
㽷
Config_Gsscred メッセージは、Secure NFS のマッピングの初期化中にのみ表示されます。
手順
1. Secure NFS で使用するマッピング サービスのタイプを確認するには、次のコマンドの文
法を使用します。
$ server_nfs[<movername>]-secnfs -mapper -info
ここで、
[<movername>] = Data Mover の名前
例:
server_2 のマッピング サービスの一覧を表示するには、次のように入力します。
$ server_nfs server_2 -secnfs -mapper -info
出力:
server_2:
Current NFS user mapping configuration is:
Config_Gsscred::initialize: Reading NFS user mapper configuration:
/.etc/gsscred.conf.
..
gsscred db = automap
gsscred db version = None
passwd db = NIS
自動マッピングの設定
㽷
自動マッピングが機能しない場合、server_log にメッセージが送信されます。
手順
1. マッピング方法に自動マッピングを設定するには、次のコマンド シンタクスを使用しま
す。
$ server_nfs[<movername>]-secnfs -mapper -set -source auto
ここで、
[<movername>] = Data Mover の名前
例:
server_2 に自動マッピングを設定するには、次のように入力します。
$ server_nfs server_2 -secnfs -mapper -set -source auto
出力:
server_2: done
52
EMC VNX Series 8.1 VNX NFS の構成
構成
ACE の並べ替え(マルチプロトコル環境のみ)
ACL を構成する ACE の順序づけには標準の方法はありません。 Solaris などの UNIX クライ
アントでは、Windows クライアントとは異なる方法で ACE を順序づけます。 UNIX と
Windows の両方のクライアントがファイルシステムにアクセスするマルチプロトコル環境で
は、ACE の順序は、プロトコル(NFS または CIFS)セットまたは変更された ACL によって異な
る場合があります。 アプリケーションによっては、ACE をアプリケーション固有の順序に設定
する場合があります。 これにより、ファイルシステム オブジェクトの ACL を Windows エクス
プローラで開いたときに、望ましい ACE の順序ではない場合は、ACE の順序が正しくないこ
とを警告するポップアップが Windows クライアントに表示され、ACE が並べ替えられます。
Windows エクスプローラが要求する順序にオブジェクトの ACE を常に並べ替えるよう、Data
Mover に指示するには、acl.sortAces パラメーターを設定します。
acl.sortAces パラメータの詳細については、「VNX for File パラメータ ガイド」を参照してくださ
い。
ACE の並べ替え
㽷
パラメータとファシリティの名前は大文字と小文字が区別されます。
手順
1. Windows エクスプローラが要求する順序に ACE を並べ替えるには、次のコマンドの文
法を使用します。
$ server_param[<movername>]-facility cifs -modify
acl.sortAces -value 1
ここで、
[<movername>] = Data Mover の名前
例:
acl.sortAces パラメータを 1 に設定するには、次のように入力します。
$ server_param server_2 -facility cifs -modify acl.sortAces -value
1
出力:
server_2 : done
UNIX または Linux の Kerberos KDC を使用した Secure NFS の構成
はじめに
Secure NFS は、Windows、UNIX、Linux のいずれかの Kerberos KDC を使用してサポートさ
れています。 これらのオプションの詳細については、プランニング時の考慮事項(18 ペー
ジ)を参照してください。
Secure NFS を構成する前に、Kerberos KDC のインストールおよび構成と、DNS、タイム サ
ーバー、ネーム サービス(NIS が望ましい)へのアクセスを構成する必要があります。 次の
点を考慮してください。
u
Kerberos KDC は、SEAM(Sun Enterprise Authentication Mechanism)ソフトウェアを使
用した Solaris Kerberos KDC、または Linux Kerberos KDC のいずれかです。 KDC に関
する詳細については、Sun Web サイトで利用可能な SEAM のマニュアル、または Linux
の標準のマニュアルを参照してください。
ACE の並べ替え(マルチプロトコル環境のみ)
53
構成
㽷
その他の UNIX システムの KDC は未テストです。
u
KDC の構成後、Kerberos KDC をホストするサーバーのホスト(A)リソース レコードを
DNS 構成に追加します。 また、DNS にアクセスするように Data Mover および NFS クラ
イアントを構成する必要があります。
u
Data Mover、NFS クライアント、KDC のシステム時間は、ほぼ同じ時刻に設定する必要
があります。これは、領域のすべてのクロックが、Kerberos 認証を実行できるよう同期
する必要があるためです。 タイム サービスの構成方法については、「VNX タイム サービ
スの構成」を参照してください。
u
UID に対するユーザーおよび GID に対するグループを解決するには、EMC では、
Secure NFS と NIS または iPlanet を併用することを推奨します。 Kerberos KDC、すべて
のクライアント、すべての Data Mover は、同じ NIS または LDAP のドメインのメンバーで
ある必要があります。 NIS と iPlanet のいずれも使用していない場合、Data Mover 上
で/passwd ファイルにすべてのユーザー名を追加し、/group ファイルにグループを追
加する必要があります。 NIS および iPlanet へのアクセスの構成方法については、「VNX
ネーム サービスの構成」を参照してください。
Secure NFS を構成するには、次の手順に従います。
u
Data Mover 名の設定(54 ページ)
u
Kerberos 領域の構成(55 ページ)
u
Secure NFS サービス インスタンスの設定(56 ページ)
u
NFS Kerberos サービス プリンシパルを作成(58 ページ)
u
ユーザー プリンシパル名の UID へのマップ(61 ページ)
Data Mover 名の設定
Kerberos 領域では、各 Data Mover に一意の名前が必要です。 このため、Data Mover の
名前を設定する必要があります。
ホスト名として Data Mover の名前を使用しており、同じ Kerberos 領域に複数の VNX シス
テムが存在する場合、Data Mover の名前を変更する必要があります。
㽷
一意のホスト名と IP アドレスが Data Mover のインターフェイスに関連づけられている場
合、Data Mover の名前を設定する必要はありません。 Data Mover の名前を変更する場
合、必ずその名前を DNS サーバーに追加してください。
手順
1. Data Mover の名前を設定するには、次のコマンド シンタクスを使用します。
$ server_name[<movername> <new_name>]
ここで、
[<movername>] = Data Mover の名前
[<new_name>] = Data Mover の新しい名前
例:
Data Mover の名前を server_2 から lngbe245 に変更するには、次のように入力しま
す。
$ server_name server_2 lngbe245
54
EMC VNX Series 8.1 VNX NFS の構成
構成
出力:
server_2 : lngbe245
Kerberos 領域の構成
Kerberos 領域および DNS ドメインに関する情報を Data Mover 上の Kerberos 構成に追加
します。 この構成情報は、Data Mover 上の/krb5.conf ファイルに保存されます。 エラーを
回避するために、この情報は直接編集しません。 server_kerberos コマンドを使用しま
す。
Kerberos 領域を構成するには、次の操作が必要です。
u
KDC および DNS ドメインを少なくとも 1 つずつ指定する。
u
デフォルトの領域として Secure NFS で使用する領域を宣言する。
手順
1. ドメインおよび領域についての情報を入力するには、次のコマンド シンタクスを使用しま
す。
$ server_kerberos [<movername>] -add
realm=[<realm_name>],kdc=[<fqdn_kdc_name>],kadmin=[<kadmin_
server>],domain=[<domain_name>],defaultrealm
ここで、
[<movername>] = Data Mover の名前
[<realm_name>] = KDC 構成に追加する Kerberos 領域の FQDN(完全修飾ドメイン名)
[<fqdn_kdc_name>] = 領域に対する KDC の FQDN((完全修飾ドメイン名))
[<kadmin_server>] = kadmin サーバーの FQDN
[<domain_name>] = 領域に対する DNS ドメインの完全な名前(領域と DNS ドメインが同
じ場合は省略可能)
例:
lngbe245 のドメインおよび領域についての情報を追加するには、次のように入力しま
す。
$ server_kerberos lngbe245 -add realm=example.com,kdc=
kdc_1.lss.exam.com,kadmin=kdc_1.lss.exam.com,domain=lss.exam.com,de
faultrealm
出力:
lngbe245 : done
結果の確認
手順
1. 結果を確認するには、次のコマンドの文法を使用します。
$ server_kerberos[<movername>]-list
ここで、
[<movername>] = Data Mover の名前
例:
server_2 のドメインおよび領域についての情報を一覧表示するには、次のように入力し
ます。
$ server_kerberos lngbe24 -list
Kerberos 領域の構成
55
構成
出力:
Kerberos common attributes section:
Supported TGS encryption types: rc4-hmac-md5 des-cbc-md5
Supported TKT encryption types: rc4-hmac-md5 des-cbc-md5
Use DNS locator:
yes
default_realm:
example.com
End of Kerberos common attributes.
Kerberos realm configuration:
realm name:
kdc:
kadmin:
default domain:
example.com (default realm)
kdc_1.lss.exam.com
kdc_1.lss.exam.com
lss.exam.com
End of Kerberos realm configuration.
Kerberos domain_realm section:
DNS domain = Kerberos realm
.lss.exam.com = example.com
Secure NFS サービス インスタンスの設定
Secure NFS サービスで Kerberos の認証を行ってからユーザー認証を行うには、Secure
NFS サービス インスタンスが必要です。
Secure NFS サービス インスタンスの形式は service@server です。ここで、service は NFS、
server は Data Mover ホスト名で、たとえば、nfs@server_2 のように指定します。
㽷
VNX をインストールすると、Secure NFS インスタンスは、デフォルトでは、Secure NFS 構成フ
ァイルに追加されます。 このため、Data Mover の名前を server_n から変更した場合、構成
情報を変更する必要があります。
Secure NFS の初期構成の表示
手順
1. Secure NFS サービスの構成を表示するには、次のコマンドの文法を使用します。
$ server_nfs[<movername>]-secnfs
ここで、
[<movername>] = 指定された Data Mover の名前
例:
Secure NFS サービスの構成を表示するには、次のように入力します。
$ server_nfs server_2 -secnfs
出力:
server_2 :
RPCSEC_GSS server stats
Credential count: 1
principal: nfs@server_2
Total number of user contexts: 0
Current context handle: 1
Secure NFS サービス インスタンスの変更
Data Mover の名前を server_n から変更したときに Secure NFS インスタンスを削除および
追加するには、次の手順を実行します。 この例では、Data Mover の名前を server_2 から
lngbe245 に変更しています。
56
EMC VNX Series 8.1 VNX NFS の構成
構成
手順
1. 次のコマンド シンタクスを使用して、デフォルトの Secure NFS インスタンスを削除:
$ server_nfs [<movername>]-secnfs -principal -delete
[<service@server>]
ここで、
[<movername>] = Data Mover の名前
[<service@server>] = サービスおよび領域のタイプ
例:
server_2 の Secure NFS インスタンスを削除するには、次のように入力します。
$ server_nfs lngbe245 -secnfs -principal -delete nfs@server_2
出力:
lngbe245 : done
2. 次のコマンド シンタクスを使用して、新しい Secure NFS サービスを追加:
$ server_nfs[<movername>]-secnfs -principal -create nfs@
[<server>]
ここで、
[<movername>] = Data Mover の名前
[<server>] = 領域のタイプ
㽷
次の両方の形式を使用して、サービスを 2 回追加する必要があります:
nfs@<Data_Mover_host_name>および nfs@<Data_Mover_fqdn>
例:
新しいホスト名に Secure NFS サービスを追加するには、次のように入力します。
$ server_nfs lngbe245 -secnfs -principal -create nfs@lngbe245
サーバーの完全修飾ドメイン名を使用する 2 つ目のサービス インスタンスを追加するに
は、次のように入力します。
$ server_nfs lngbe245 -secnfs -principal -create
lngbe245.lss.exam.com
出力:
lngbe245 : done
3. 次のコマンド シンタクスを使用して、Secure NFS サービスを停止:
$ server_nfs[<movername>]-secnfs -service -stop
ここで、
[<movername>] = Data Mover の名前
例:
lngbe245 の Secure NFS サービスを停止するには、次のように入力します。
$ server_nfs lngbe245 -secnfs -service -stop
出力:
lngbe245 : done
4. 次のコマンド シンタクスを使用して、Secure NFS サービスを開始:
$ server_nfs[<movername>]-secnfs -service -start
Secure NFS サービス インスタンスの設定
57
構成
ここで、
[<movername>] = Data Mover の名前
例:
lngbe245 の Secure NFS サービスを開始するには、次のように入力します。
$ server_nfs lngbe245 -secnfs -service -start
出力:
lngbe245 : done
マルチホーム Data Mover
サーバーのホスト名ではなく、サーバーのネットワーク インターフェイス名を使用してクライ
アントがアクセスするインストール環境では、マルチホーム Data Mover を使用してサーバ
ーのネットワーク インターフェイスに名前を付けることができます。 マルチホーム Data
Mover を使用する場合、ネットワーク インターフェイスごとに Secure NFS インスタンスを追
加する必要があります。
たとえば、lngbe245 というホスト名と、lngbe245-1 および lngbe245-2 として認識される 2
個のネットワーク インターフェイスを持つ Data Mover を使用する場合、 nfs@lngbe245、
nfs@lngbe245-1、nfs@lngbe245-2 という 3 個の Secure NFS インスタンスを追加する必要
があります。
㽷
この場合、インターフェイス名は DNS ホスト名になります。 このインターフェイス名は、
server_ifconfig コマンドを使用したときに表示されるインターフェイス名とは異なる場合があ
ります。
NFS Kerberos サービス プリンシパルを作成
サービス プリンシパルは、Secure NFS サービス インスタンスを Kerberos で表したもので
す。
Secure NFS を動作させるには、次の処理が必要です。
u
サービス インスタンスごとに NFS サービス プリンシパルを 2 個作成し、それらを
Kerberos プリンシパルのデータベースに追加する。 サービス プリンシパルでは次の形
式を使用。
nfs/<Data_Mover_host_name>
nfs/<Data_Mover_fqdn>
u
これらのサービス プリンシパルに対して暗号化または復号化セキュリティ キーを生成
し、それらを Data Mover のキータブに追加する。
サービス プリンシパルの KDC への追加
㽷
次の手順は、UNIX または Linux の Kerberos KDC を使用している場合にのみ関連します。
サービス プリンシパルは、Secure NFS サービス インスタンスを Kerberos で表したもので
す。 これらのプリンシパルの作成方法は、Control Station が KDC にアクセスする方法によ
って異なります。 Control Station で Kerberos KDC にネットワーク アクセスが不可能な場合
にサービス プリンシパルを追加するには、次の操作を行います。
58
u
Data Mover にキータブ ファイルがあるかどうかを確認する。
u
2 つの NFS サービス プリンシパルを作成する。
EMC VNX Series 8.1 VNX NFS の構成
構成
u
関連づけるセキュリティ キーを生成する。
u
キータブ ファイルを Data Mover にコピーする。
キータブ ファイル
Data Mover にキータブ ファイルがあるかどうかを確認して、ある場合は Kerberos KDC にそ
のキータブ ファイルをコピーします。
手順
1. Data Mover にキータブ ファイル(Windows 構成から)がある場合は、キータブ ファイル
(/.etc/krb5.keytab)を Data Mover から Kerberos KDC にコピーします。
キータブ ファイルがない場合は、NFS Kerberos サービス プリンシパルを作成(58 ペー
ジ)の説明に従ってサービス プリンシパルを追加します。
server_file コマンドと FTP(バイナリ転送)を使用して、Kerberos KDC 上の/etc ディレクト
リにファイルをコピーします。
㽷
server_file コマンドの使用方法の詳細については、「EMC VNX for File コマンド ライン イン
ターフェイス リファレンス」を参照してください。 FTP の操作方法については、「VNX での
FTP、TFTP、SFTP の使用方法」を参照してください。
サービス プリンシパル
手順
1. Kerberos KDC から NFS サービス プリンシパルを作成するには、次のコマンド シンタクス
を使用します。
kadmin: addprinc-randkey[<service_principal>]
ここで、
[<service_principal>] = サービス プリンシパルの名前
例:
サービス プリンシパルのうちの 1 個を作成するには、Data Mover の名前(nfs/
<Data_Mover_host_name>)を使用して、次のように入力します。
kadmin: add princ -randkey nfs/lngbe245
もう 1 個のサービス プリンシパル(Data Mover の FQDN の nfs/<Data_Mover_fqdn>)を
作成するには、次のように入力します。
kadmin: addprinc -randkey nfs/lngbe245.lss.exam.com
出力:
Principal "nfs/[email protected]" created.
プリンシパルの確認
㽷
この領域は自動的にサービス プリンシパルに追加されます。
手順
1. プリンシパルが追加されたかどうかを確認するには、次のように入力します。
kadmin: listprincs
出力:
kadmin/[email protected]
root/[email protected]
NFS Kerberos サービス プリンシパルを作成
59
構成
kadmin/[email protected]
kadmin/[email protected]
root/[email protected] changepw/
[email protected]
admin/[email protected]
kadmin/[email protected]
nfs/[email protected]
nfs/[email protected]
セキュリティ キーの生成
セキュリティ キーを生成する前に、サービス プリンシパルにキーが存在しないことを確認し
ます。 たとえば、[email protected] のキーを生成し、キータブ ファイルの principal:
nfs/[email protected] でこのエントリーを表示するには、まず古いエントリーを削除
します。
㽷
サービス プリンシパルのセキュリティ キーは、キー テーブルに追加されます。
手順
1. サービス プリンシパルごとにキーを生成して、これらのキーをキータブ ファイルに追加
するには、次のコマンド シンタクスを使用します。
kadmin: ktadd -k[<keytab_file_path>]nfs/[<name>]
ここで、
[<keytab_file_path>] = キータブ ファイルの場所
[<name>] = 以前に作成したサービス プリンシパルの名前
例:
lngbe245 用のキーを生成して、これらのキーを tmp/krb5.keytab に追加するには、次
のように入力します。
kadmin: ktadd -k /tmp/krb5.keytab nfs/lngbe245
出力:
Entry for principal nfs/lngbe245..lss.exam.com with kvno 5,
encryption type DES-CBC-CRC added to keytab WRFILE:/etc/krb5/
krb5.keytab.
ファイルのコピー
FTP(バイナリ転送)と server_file コマンドを使用して、krb5.keytab ファイルを Kerberos KDC
から Data Mover にコピーします。 server_file コマンドの使用方法の詳細については、「EMC
VNX for File コマンド ライン インターフェイス リファレンス」を参照してください。
キータブ ファイルの表示
サービス プリンシパルを作成してセキュリティ キーを生成したら、キータブ情報を表示しま
す。
手順
1. キータブ情報を表示するには、次のように入力します。
$ server_kerberos lngbe245 -keytab
出力:
lngbe245 :
Dumping keytab file
keytab file major version = 5, minor version 2
60
EMC VNX Series 8.1 VNX NFS の構成
構成
principal : nfs/[email protected]
realm :example.com
encryption type : des-cbc-crc
principal type 1, key version : 2
key length : 8, key : e3a4570dbfb94ce5
principal : nfs/[email protected]
realm :example.com
encryption type : des-cbc-crc
principal type 1, key version : 2
key length : 8, key : c497d3df255ef183
End of keytab entries.
ユーザー プリンシパル名の UID へのマップ
Secure NFS 環境では、ユーザー認証は Kerberos プリンシパル名に基づいています。 ただ
し、エクスポートされた VNX ファイルシステム内のファイルおよびディレクトリへのアクセス
は、UID および GID に基づいています。 ユーザーの Kerberos プリンシパル名は、マッピン
グ サービスまたはネーム サービスを使用して UID にマッピングされます。 ユーザー認証の
間、このマッピング情報は、Kerberos 対応サービスへのデータ アクセスを決定するために
使用されます。
マッピング方法(61 ページ)に、プリンシパル名を UID にマッピングするために使用できる
3 種類の方法を示します。
表 4 マッピング方法
マッピング方法
技術的および非技術的な問題について、
Automatic
すべてのユーザーが同じ Kerberos 領域に存在する場合
マッピング ユーティリティ(gsscred)
Solaris 環境で、複数の領域が存在する場合
Data Mover に保存されたローカル マッピ Secure NFS サーバーが 1 台だけ存在する場合のみ
ング ファイル
ユーザー プリンシパル名の UID への自動マッピング
すべてのユーザーが同じ Kerberos 領域に存在する場合は、自動マッピングを使用してくだ
さい。 Windows Kerberos KDC を使用している場合は、常に自動マッピングが使用されま
す。
自動マッピング
Kerberos を使用して NFS ユーザーが認証を行うと、ユーザー プリンシパルの領域コンポー
ネントは削除され、システムにより、UNIX ユーザー データベース(NIS またはローカル
の/etc/passwd ファイル)でユーザー名が検索されます。 たとえば、プリンシパル
[email protected] が、Kerberos のセキュリティ オプションを使用してエクスポートされた
ファイルシステムにアクセスしようとすると、システムはプリンシパルを認証してから、ユーザ
ー名 john のみを使用してパスワード データベースでユーザーを検索して、ユーザーの UID
およびプライマリ GID を取得します。 グループ メンバーシップはグループ データベースから
取得されます。
㽷
パスワード ファイルの作成方法については、「VNX ネーム サービスの構成」に説明されてい
ます。
自動マッピングを使用する場合、ユーザーの UNIX 名はユーザーの Kerberos プリンシパル
名から生成されます。 つまり、UNIX ユーザーのネームスペースは Kerberos ユーザーのネ
ユーザー プリンシパル名の UID へのマップ
61
構成
ームスペースと必ず同じになり、すべてのユーザーが、Kerberos と UNIX に同じ名前で認識
されるということです。
ユーザー認証中に、ユーザーの UID とプライマリおよびセカンダリの GID は、Secure NFS
のマッピング サービスで生成されます。 マッピングは必要に応じて自動的に生成されるた
め、マッピング ファイルは作成されません。
㽷
このマッピング サービスを VNX の UserMapper 機能と混同しないよう注意してください。
次のような目的のために、自動マッピングの使用を推奨します。
u
ユーザー マッピングの作成(gsscred)および管理に伴う管理オーバーヘッドを回避す
る。
u
ネットワーク トラフィックを軽減する。
u
マッピング データベースにマッピング エントリーが存在しないためにファイルシステムへ
のユーザーのアクセスが拒否される可能性を排除する。
マッピング方法の確認
㽷
Config_Gsscred メッセージは、Secure NFS のマッピングの初期化中にのみ表示されます。
手順
1. Secure NFS で使用するマッピング サービスのタイプを確認するには、次のコマンドの文
法を使用します。
$ server_nfs[<movername>]-secnfs -mapper -info
ここで、
[<movername>] = Data Mover の名前
例:
lngbe245 のマッピング サービスの一覧を表示するには、次のように入力します。
$ server_nfs lngbe245 -secnfs -mapper -info
出力:
lngbe245:
Current NFS user mapping configuration is:
Config_Gsscred::initialize: Reading NFS user mapper
configuration:
/.etc/gsscred.conf.
..
gsscred db = automap
gsscred db version = None
passwd db = NIS
自動マッピングの使用
㽷
自動マッピングが機能しない場合、server_log にメッセージが送信されます。
手順
1. マッピング方法に自動マッピングを設定するには、次のコマンド シンタクスを使用しま
す。
$ server_nfs[<movername>]-secnfs -mapper -set -source auto
62
EMC VNX Series 8.1 VNX NFS の構成
構成
ここで、
[<movername>] = Data Mover の名前
例:
lngbe245 に自動マッピングを設定するには、次のように入力します。
$ server_nfs lngbe245 -secnfs -mapper -set -source auto
出力:
lngbe245: done
Solaris マッピング ユーティリティ gsscred の使用
Solaris 環境では、マッピング ユーティリティ gsscred を使用してユーザー プリンシパル名を
UID にマップします。 ユーザー認証の間、このマッピング情報は、Kerberos 対応サービスへ
のデータ アクセスを決定するために使用されます。
マッピング ファイルのコピー
gsscred を実行して Sun Kerberos クライアントで作成されたマッピング ファイル
(gsscred_db)は、NIS サーバーに保存するか(推奨)、Data Mover にローカルで保存するこ
とができます。
㽷
このマッピング サービスの使用に関する詳細については、gsscred のマニュアル ページと、
Sun の Web サイトから入手可能な SEAM のマニュアルを参照してください。
マッピング ファイルの保存場所に応じた操作については、マッピング ファイルの場所(63
ページ)を参照してください。
表 5 マッピング ファイルの場所
ファイルの保存場所
をクリックして、
NIS サーバー
マッピング ファイル(gsscred_db)を NIS サーバーにコピーする。 Data
Mover で構成ファイル(gsscred.conf)の情報変更が必要になる場合があ
る。
Data MoverData Mover
マッピング ファイル(gsscred_db)を Data Mover にコピーする。 構成ファ
イル(gsscred.conf)は変更しない。
㽷
gsscred.conf ファイルは、最初の Secure NFS アクセス時に作成されます。
NIS サーバーへのマッピング ファイルのコピー
マッピング ファイル(gsscred_db)を NIS サーバーにコピーした後で、NIS をマッピング情報
ソースとして指定するには、次の手順を実行します。
㽷
NIS と VNX の詳細については、「VNX ネーム サービスの構成」テクニカル モジュールを参照
してください。
Solaris マッピング ユーティリティ gsscred の使用
63
構成
手順
1. マッピング構成を NIS として指定するには、次のように入力します。
$ server_nfs lngbe245 -secnfs -mapper -set -source nis
出力:
lngbe245: done
2. パスワード データベースの場所を設定するには、次のように入力します。
$ server_nfs lngbe245 -secnfs -mapper -set -passwddb nis
出力:
lngbe245: done
3. NIS のマッピング構成を確認するには、次のように入力します。
$ server_nfs lngbe245 -secnfs -mapper -info
出力:
lngbe245:
Current NFS user mapping configuration is:
Config_Gsscred::initialize: Reading NFS user mapper
configuration:
/.etc/gsscred.conf.
..
gsscred db = NIS
gsscred db version = Solaris
passwd db = NIS
4. NIS マスター サーバーから、gsscred_db の NIS マップを構築します。 詳細については、
NIS のマニュアルを参照してください。
Data Mover へのマッピング ファイルのコピー
Solaris システムから Control Station にマッピング ファイル(/etc/gss/gsscred_db)をコピー
するには、FTP を使用します。
㽷
ディレクトリを指定しない場合は、デフォルトで/.etc ディレクトリが使用されます。 また、この
ファイルを別の場所にコピーする場合は、gsscred.conf ファイルを手動で変更する必要があ
ります。
「VNX での FTP、TFTP、SFTP の使用方法」では、FTP の使用方法について説明します。
㽷
ファイルのコピー後に Data Mover を再起動しないでください。
手順
1. マッピング ファイルを Data Mover にコピーするには、次のコマンド シンタクスを使用しま
す。
$ server_file[<movername>]-put[<src_file>][<dst_file>]
ここで、
[<movername>] = Data Mover の名前
[<src_file>] = ソース ファイル
[<dst_file>] = 宛先ファイル
64
EMC VNX Series 8.1 VNX NFS の構成
構成
例:
マッピング ファイル(gsscred_db)を Data Mover にコピーするには、次のように入力しま
す。
$ server_file lngbe245 -put gsscred_db gsscred_db
出力:
lngbe245 : done
ローカル マッピング ファイルの作成
はじめに
server_nfs <movername> -secnfs -mapper -mapping コマンドを使用して、マッピング リレー
ションシップを作成します。 -mapping オプション(-list、-create、-delete)は、ローカル マッピ
ング ファイルを使用する場合のみ有効です。
1 台のみの Secure NFS サーバーしかない場合に、マッピング情報を作成して Data Mover
に保存するには、次の方法を使用します。 ただし、EMC では、自動マッピングまたは
gsscred ユーティリティを使用してマッピング情報を作成することを推奨しています。
マッピング エントリーの作成
手順
1. マッピング エントリーを作成するには、次のコマンドの文法を使用します。
$ server_nfs [<movername>]-secnfs -mapper -mapping -create
{name=<user_name>|uid= <UID>}
ここで、
[<user_name>] = ユーザー名
[<UID>] = ユーザー ID
[<movername>] = Data Mover の名前
例:
ローカル マッピング ファイルにユーザー nfsuser1 のマッピング エントリーを作成するに
は、次のように入力します。
$ server_nfs lngbe245 -secnfs -mapper -mapping -create
name=nfsuser1
出力:
lngbe245 : done
㽷
Solaris と VNX では gsscred_db マップの形式は異なるため、このコマンドを使用して
Solaris マップにマッピング エントリーを追加することはできません。 このような処理を実
行すると、次のメッセージが表示されます。
$ server_nfs server_x -secnfs -mapper -mapping -create
name=user2
server_x :
addUser: Cannot update a Solaris map (would mix formats)
Error 4020: server_x : failed to complete command
ローカル マッピング ファイルの作成
65
構成
マッピング ファイルの場所の指定
この例では、デフォルトのファイル パス名が使用されています。 デフォルト値を使用する場
合は、ファイル パス名を指定しないでください。
手順
1. マッピング ファイルの場所を指定するには、次のコマンド シンタクスを使用します。
$ server_nfs[<movername>]-secnfs -mapper -set -source
[<file>]path=[<file_path>]
ここでは、
[<movername>] = Data Mover の名前
[<file_path>] = 指定されたファイルのパス
例:
マッピング ファイルの場所を指定するには、次のように入力します。
$ server_nfs lngbe245 -secnfs -mapper -set -source
file path=/.etc/gsscred_db
出力:
lngbe245 : done
マッピング構成の確認
手順
1. マッピング構成を確認するには、次のように入力します。
$ server_nfs lngbe245 -secnfs -mapper -info
出力:
lngbe245:
Current NFS user mapping configuration is:
Config_Gsscred::initialize: Reading NFS user mapper
configuration:
/.etc/gsscred.conf...
gsscred db = File
gsscred db version = Dart_V1
passwd db = NIS
クライアント システムへの VNX ファイル システムのマウント
NFS ユーザーに VNX ファイル システムへのアクセスを許可するには、NFS ツールが使用可
能なクライアント システムに、エクスポートされた VNX ファイル システムをマウントする必要
があります。
NFS を実行しているコンピュータにファイルシステムをマウントする方法についての詳細は、
NFS ソフトウェアのマニュアルを参照してください。
66
EMC VNX Series 8.1 VNX NFS の構成
第4章
IT リスク
NFS の管理に関するタスクは、次のとおりです。
u
u
u
NFS の管理........................................................................................................... 68
NFSv4 の管理........................................................................................................74
Secure NFS の管理................................................................................................ 80
IT リスク
67
IT リスク
NFS の管理
ファイルシステムに対する基本的な NFS アクセスを管理するタスクは、次のとおりです。
u
VNX ファイル システムへの NFS パスのアンエクスポート(68 ページ)
u
VNX 上のすべての NFS パスの再エクスポート(69 ページ)
u
Data Mover 上のすべてのファイルシステムに対する NFS アクセスの無効化(69 ペー
ジ)
u
NFS オートマウンタ機能のサポート(70 ページ)
VNX ファイル システムへの NFS パスのアンエクスポート
VNX ファイルシステムへの NFS クライアント アクセスを停止するには、Data Mover 上の
NFS パスをアンエクスポートします。
ファイルシステムへの FNS アクセスは一時的または永続的に停止できます。 デフォルトで
は、NFS のアンエクスポートは一時的です。 次にファイル サーバーを再起動すると、エント
リーが自動的に再エクスポートされます。 永続的なアンエクスポートを指定すると、エクスポ
ート テーブルからエントリーが削除されます。
NFS パスの一時的なアンエクスポート
手順
1. VNX ファイル システムへの NFS パスを一時的にアンエクスポートするには、次のコマン
ド シンタクスを使用します。
$ server_export[<movername>]-Protocol nfs -unexport
[<pathname>]
ここで、
[<movername>] = Data Mover の名前
[<pathname>] = NFS エクスポート パス名
例:
NFS パス/ufs1 を一時的にアンエクスポートするには、次のように入力します。
$ server_export server_2 -Protocol nfs -unexport /ufs1
出力:
server_2: done
NFS パスの永続的なアンエクスポート
手順
1. VNX ファイル システムへの NFS パスを永続的にアンエクスポートするには、次のコマン
ド シンタクスを使用します。
$ server_export[<movername>]-Protocol nfs -unexport -perm
[<pathname>]
ここで、
[<movername>] = Data Mover の名前
[<pathname>] = NFS エクスポート パス名
例:
NFS パス/ufs1 を永続的にアンエクスポートするには、次のように入力します。
68
EMC VNX Series 8.1 VNX NFS の構成
IT リスク
$ server_export server_2 -Protocol nfs -unexport -perm /ufs1
出力:
server_2: done
VNX 上のすべての NFS パスの再エクスポート
ファイル サーバーを実行中に、VNX 上の VNX ファイル システムへのすべての NFS パスを
再エクスポートできます。 この処理によって、ファイルサーバー上のエクスポート テーブル
にあるすべての NFS エントリーが再エクスポートされます。
CLI から一時的にアンエクスポートされたファイルシステムを再エクスポートすると、元の(ア
ンエクスポート前の)オプションに新しいエクスポート オプションが追加されます。 パス名の
再エクスポート時には、元のオプションと新しいオプションが使用されます。 一時的にアンエ
クスポートした NFS パスを再エクスポートする場合にこの機能を使用します。
手順
1. VNX 上のすべての NFS パスを再エクスポートするには、次のように入力します。
$ server_export ALL -Protocol nfs -all
出力:
server_2 : done
server_3 : done
server_4 : done
Data Mover 上のすべてのファイルシステムに対する NFS アクセスの無効化
Data Mover 上のすべての VNX ファイル システムへの NFS クライアント アクセスを停止する
には、すべてのファイル システムへの NFS パスを一度にアンエクスポートします。
VNX ファイルシステムへの FNS アクセスを一時的または永続的に停止できます。 デフォル
トでは、NFS のアンエクスポートは一時的です。 次にファイル サーバーを再起動すると、フ
ァイルシステムが自動的に再エクスポートされます。 永続的なアンエクスポートを指定する
と、エクスポート テーブルからエントリーが削除されます。
すべての NFS パスの一時的なアンエクスポート
手順
1. Data Mover 上のすべての NFS パスを一時的にアンエクスポートするには、次のコマンド
の文法を使用します。
$ server_export[<movername>]-Protocol nfs -unexport -all
ここで、
[<movername>] = Data Mover の名前
例:
server_2 上のすべての NFS パスを一時的にアンエクスポートするには、次のように入力
します。
$ server_export server_2 -Protocol nfs -unexport -all
出力:
server_2: done
すべての NFS パスの永続的なアンエクスポート
VNX 上のすべての NFS パスの再エクスポート
69
IT リスク
手順
1. Data Mover 上のすべての NFS パスを永続的にアンエクスポートするには、次のコマンド
の文法を使用します。
$ server_export [<movername>] -Protocol nfs -unexport -perm
-all
ここで、
[<movername>] = Data Mover の名前
例:
server_2 上のすべての NFS パスを永続的にアンエクスポートするには、次のように入力
します。
$ server_export server_2 -Protocol nfs -unexport -perm -all
出力:
server_2: done
NFS オートマウンタ機能のサポート
NFS クライアントで NFS オートマウンタ機能を使用する場合、ファイル サーバーからの NFS
アクセス用に永続的にエクスポートされた各ファイル システムのエントリーを含む、オートマ
ウント マップ ファイルを VNX 上に生成できます。 ファイルを作成し、ファイル内の競合を解
決したら、そのファイルを NFS クライアントまたは NIS サーバーにコピーして、オートマウンタ
構成への入力として使用できます。
このセクションでは、VNX 上にオートマウント マップ ファイルを作成する方法と、ファイル内
の競合を表示および解決する方法について説明します。 オートマウンタ機能の構成および
使用方法については、ご使用の NFS クライアントまたは NIS サーバーのマニュアルを参照
してください。
㽷
このセクションに示すすべてのオートマウンタ機能の例では、内部 Data Mover IP アドレス
(192.168.1.x、192.168.2.x)とループバック IP アドレス(127.0.0.1)を含む、不要な IP アド
レスがすべて削除されています。
オートマウント マップ ファイルの作成と保存
手順
1. オートマウント マップ ファイルを作成して画面に表示するには、次のように入力します。
$ nas_automountmap -create
オートマウント マップ ファイルを作成して保存するには、次のコマンドの文法を使用しま
す。
$ nas_automountmap -create -out [<outfile>]
ここで、
[<outfile>] = 出力ファイル名
例:
automountmap という名前のオートマウント マップ ファイルを作成して保存するには、次
のように入力します。
$ nas_automountmap -create -out automountmap
70
EMC VNX Series 8.1 VNX NFS の構成
IT リスク
㽷
オートマウント マップ ファイルを作成して保存する場合、画面には出力されません。
2. オートマウント マップ ファイルを表示し、保存されたことを確認するには、次のコマンド シ
ンタクスを使用します。
$ more[<outfile>]
ここで、
[<outfile>] = 出力ファイル名
例:
オートマウント マップ ファイルを表示し、automountmap として保存されたことを確認す
るには、次のように入力します。
$ more automountmap
出力:
ufs1 -rw,intr,nosuid
127.0.0.1,10.172.128.47,192.168.2.2,192.168.1.2:/ufs1
ufs2 -rw,intr,nosuid
127.0.0.1,10.172.128.47,192.168.2.2,192.168.1.2:/ufs2
オートマウント マップ ファイルの更新
追加のファイルシステムをエクスポートする場合、新しいファイルシステムを含むようにオー
トマウント マップ ファイルを更新する必要があります。 オートマウント マップ ファイルを更新
する際には、既存のバージョンを指定してファイルを更新します。 更新されたオートマウント
マップ ファイルを作成するには、次のコマンドを使用します。
㽷
この例では、ufs3 と ufs4 の 2 個のエントリーが追加されます。ufs3 エントリーが既存のファ
イルシステムと競合するため、ファイルシステム名と IP アドレスの組み合わせをエントリー
に追加することによって名前が変更されます。
手順
1. 新しいオートマウント マップ ファイル エントリーを作成し、既存のオートマウント マップ フ
ァイル<infile>とマージして、マージされた新しいオートマウント マップ ファイルを<outfile>
として保存するには、次のコマンド シンタクスを使用します。
$ nas_automountmap -create -in [<infile>]-out[<outfile>]
ここで、
[<infile>] = オートマウント マップ ファイルの名前
[<outfile>] = 新しい出力ファイルの名前
次に例を挙げます。
新しいオートマウント マップ ファイル エントリーを作成し、既存のオートマウント マップ フ
ァイル(automountmap)とマージして、マージされた新しいオートマウント マップ ファイル
を automountmap1 として保存するには、次のように入力します。
$ nas_automountmap -create -in automountmap -out automountmap1
出力:
マージされたオートマウント マップ ファイル出力が作成され、保存されます。
画面には出力されません。
NFS オートマウンタ機能のサポート
71
IT リスク
更新されたオートマウント マップ ファイルの表示
手順
1. 更新されたオートマウント マップ ファイルを表示するには、次のコマンドの文法を使用し
ます。
$ more[<outfile>]
ここで、
[<outfile>] = 出力ファイル名
例:
更新されたオートマウント マップ ファイルを表示するには、次のように入力します。
$ more automountmap1
出力:
ufs1 -rw,intr,suid 172.24.101.195:/ufs1
ufs2 -rw,intr,suid 172.24.101.195:/ufs2
ufs3_172.24.101.195 -rw,intr,suid 172.24.101.195:/ufs3
ufs3 -rw,intr,suid 172.24.101.200:/ufs3
ufs4 -rw,intr,suid 172.24.101.200:/ufs4
オートマウント マップ ファイル内で競合するマウント ポイントの表示
オートマウント マップ ファイルを更新すると、ファイル内で同じマウント ポイントを指定するエ
ントリーの競合が発生する可能性があります。 オートマウント マップ ファイルに競合するエ
ントリーが含まれる場合、そのファイルをオートマウント構成で使用するために NFS クライア
ントまたは NIS サーバーにコピーする前に、テキスト エディタを使用して手動で訂正する必
要があります。
手順
1. オートマウント マップ ファイル<infile>内のマウント ポイント エントリーの競合リストをスク
リーンに表示するには、次のコマンド シンタクスを使用します。
$ nas_automountmap -list_conflict[<infile>]
ここで、
[<infile>] = オートマウント マップ ファイルの名前
例:
競合するマウントポイント エントリーの一覧を表示するには、次のように入力します。
$ nas_automountmap -list_conflict automountmap1
出力:
競合するマウントポイント エントリーの一覧は、画面または出力ファイルのいずれかに
出力されます。
Conflicting lists:
ufs1 -rw,intr,suid 172.16.21.202:/ufs1
ufs1_172.16.21.203 -rw,intr,suid 172.16.21.203:/ufs1
オートマウント マップ ファイル内で競合するマウント ポイントの保存
手順
1. 新しいオートマウント マップ ファイル<outfile>内のマウント ポイント エントリーの競合リス
トを保存するには、次のコマンド シンタクスを使用します。
72
EMC VNX Series 8.1 VNX NFS の構成
IT リスク
$ nas_automountmap -list_conflict [<infile>]-out
[<outfile>]
ここで、
[<infile>] = オートマウント マップ ファイルの名前
[<outfile>] = 出力ファイル名
例:
新しいオートマウント マップ ファイル(automountmap2)内のマウント ポイント エントリー
の競合リストを保存するには、次のように入力します。
$ nas_automountmap -list_conflict automountmap1 -out automountmap2
出力:
Conflicting lists:
ufs1 -rw,intr,suid 172.16.21.202:/ufs1
ufs1_172.16.21.203 -rw,intr,suid 172.16.21.203:/ufs1
NFS エクスポートの非表示
クライアントの権限にかかわらず、showmount 要求に応答する場合には、エクスポート テ
ーブルおよびマウント テーブル情報は、デフォルトではすべて表示されます。 あるエントリ
ーに対応するファイルシステムのマウント権限がクライアントに付与されていない場合、
forceFullShowmount パラメータを使用してそのエントリーを除外することができます。
NFS クライアントの権限にかかわらず、showmount 要求に応答する場合には、NFS クライ
アントに返される NFS エクスポートおよびマウント テーブル情報は、デフォルトではすべて
表示されます。 この動作は、forceFullShowmount パラメータを使用して、NFS クライアント
がアクセス権限を持っているエクスポートおよびマウント エントリーだけ表示されるように変
更できます。 アクセス権限を持っていない NFS クライアントのエクスポートには、エントリー
はいっさい返されません。
㽷
forceFullShowmount パラメータの値は 0 または 1 で、デフォルトは 1(すべて表示)です。
手順
1. NFS エクスポートを非表示にするには、次のコマンド シンタクスを使用します。
$ server_param[<movername>]-facility mount -modify
forceFullShowmount -value 0
ここで、
[<movername>] = Data Mover の名前
例:
NFS エクスポートを非表示にするには、次のように入力します。
$ server_param server_2 -facility mount -modify forceFullShowmount
-value 0
出力:
server_2 : done
forceFullShowmount パラメータ情報の確認
forceFullShowmount パラメータの構成値を確認できます。 forceFullShowmount パラメータ
のデフォルト値は 1 です。NFS エクスポートを非表示するには、値を 0 に設定します。
NFS エクスポートの非表示
73
IT リスク
手順
1. forceFullShowmount が設定されたかどうかを確認するには、次のコマンド シンタクスを
使用します。
$ server_param[<movername>]-facility mount -info
forceFullShowmount -verbose
ここで、
[<movername>] = Data Mover の名前
例:
forceFullShowmount が設定されたかどうかを確認するには、次のように入力します。
$ server_param server_2 -facility mount -info forceFullShowmount
-verbose
出力:
server_2 :
name
=
facility_name
=
default_value
=
current_value
=
configured_value
=
user_action
=
change_effective
=
range
=
description
=
fully populate response.
forceFullShowmount
mount
1
0
0
none
immediate
(0,1)
Forces response to showmount requests to
NFSv4 の管理
ファイル システムに対する NFSv4 アクセスを管理するタスクは、次のとおりです。
u
状態期間の変更(74 ページ)
u
デリゲーション リコール タイムアウトの変更(75 ページ)
u
使用できるノードの数の変更(75 ページ)
u
NFSv4 サービス ステータスの表示(76 ページ)
u
NFSv4 サービスの停止(76 ページ)
u
NFSv4 サービスの再開(77 ページ)
u
NFSv4 クライアントの表示(77 ページ)
u
NFSv4 クライアント情報の表示(78 ページ)
u
NFSv4 クライアントの解放(79 ページ)
u
32 ビットおよび 64 ビット NFS クライアントのサポート(79 ページ)
状態期間の変更
leaseDuration パラメータとその値に関する追加情報については、「VNX for File パラメータ ガ
イド」を参照してください。 パラメータとファシリティの名前は大文字と小文字が区別されま
す。
手順
1. サーバーがクライアントの状態を保持する期間を変更するには、次のコマンドの文法を
使用します。
74
EMC VNX Series 8.1 VNX NFS の構成
IT リスク
$ server_param[<movername>]-facility nfsv4-modify
leaseDuration-value[<new_value>]
ここで、
[<movername>] = Data Mover の名前
[<new_value>] = この値は lockd 機能の gpDuration パラメータで指定された猶予期間
未満にする必要があります。
例:
サーバーがクライアントの状態を保持する期間を変更するには、次のように入力しま
す。
$ server_param server_2 -facility nfsv4 -modify leaseDuration
-value 20
出力:
server_2 : done
デリゲーション リコール タイムアウトの変更
recallTimeout パラメータの詳細については、「VNX for File パラメータ ガイド」を参照してくださ
い。 パラメータとファシリティの名前は大文字と小文字が区別されます。
手順
1. デリゲーションをリコールするまでサーバーが待機する期間を変更するには、次のコマ
ンドの文法を使用します。
$ server_param[<movername>]-facility nfsv4 modifyrecallTimeout -value[<new_value>]
ここで、
[movername] = Data Mover の名前
[new_value] = 秒で表したパラメータの値。 値の範囲は 5~60 です。
例:
デリゲーションをリコールするまでサーバーが待機する期間を変更するには、次のよう
に入力します。
$ server_param server_2 -facility nfsv4 -modify recallTimeout
-value 20
出力:
server_2 : done
使用できるノードの数の変更
パーセンテージの範囲は 10~80%です(デフォルト)。 vnodePercent パラメータとその値に
関する追加情報については、「VNX for File パラメータ ガイド」を参照してください。 パラメータ
とファシリティの名前は大文字と小文字が区別されます。
㽷
Data Mover を再起動して変更を有効にします。
手順
1. NFSv4 サーバーが使用するノードの最大パーセンテージを変更するには、次のコマンド
シンタクスを使用します。
デリゲーション リコール タイムアウトの変更
75
IT リスク
$ server_param[<movername>]-facility nfsv4 -modify
vnodePercent -value[<new_value>]
ここで、
[<movername>] = Data Mover の名前
[<new_value>] = 秒数で表したこのパラメータの値。 値の範囲は 10~80 です。
例:
NFSv4 サーバーが使用するノードの最大パーセンテージを 50%に変更するには、次の
ように入力します。
$ server_param server_2 -facility nfsv4 -modify vnodePercent -value
50
出力:
server_2 : done
NFSv4 サービス ステータスの表示
手順
1. NFSv4 サービス ステータスを表示するには、次のコマンド シンタクスを使用します。
$ server_nfs[<movername>]-v4
ここで、
[<movername>] = Data Mover の名前
例:
server_2 上の NFSv4 サービス ステータスを表示するには、次のように入力します。
$ server_nfs server_2 -v4
出力:
server_2 :
--------------nfsv4 server status --------------* Service Started *
-------- NFSv4 Clients -------Confirmed Clients : 2
UnConfirmed Clients : 0
---------------------------------------- NFSv4 State -------Opens : 4
Locks : 0
Delegations : 0
--------------------------------
NFSv4 サービスの停止
デッドロック状態の解決を試みる場合のみ、NFSv4 サービスを停止します。 Linux ベースの
クライアントは、このサービスが停止しているとスムーズに応答しません。 クライアント シス
テムへの VNX ファイル システムの再マウントが必要になる場合があります。 NFS V4 クライ
アントでは、NFS V4 サービスを停止すると、サーバーのシャットダウンまたはネットワーク障
害と同様の状態になります。 すべてのデリゲーションがリコールされ、ロックが解放され、フ
ァイルが閉じられて、NFS V4 クライアントの状態がフラッシュされます。
手順
1. NFSv4 サービスを停止するには、次のコマンド シンタクスを使用します。
$ server_nfs[<movername>]-v4 -service -stop
ここで、
76
EMC VNX Series 8.1 VNX NFS の構成
IT リスク
[<movername>] = Data Mover の名前
例:
server_2 で NFSv4 サービスを停止するには、次のように入力します。
$ server_nfs server_2 -v4 -service -stop
出力
server_2 : done
NFSv4 サービスの再開
NFSv4 サービスを開始する前に、NFSv4 サービスを有効化する必要があります。 NFSv4 の
サポートを有効化する方法については、はじめに(28 ページ)を参照してください。 このコマ
ンドは NFSv4 サービスだけを停止します。 その他のバージョンの NFS は引き続き実行され
ます。
手順
1. NFSv4 サービスを再開するには、NFSv4 サービスを有効化して次のコマンド シンタクス
を使用します。
$ server_nfs[<movername>]-v4 -service -start
ここで、
[<movername>] = Data Mover の名前
例:
server_2 で NFSv4 サービスを起動するには、次のように入力します。
$ server_nfs server_2 -v4 -service -start
出力:
server_2 : done
NFSv4 クライアントの表示
手順
1. NFS V4 サーバーと同期化状態にあるすべてのクライアント システムを表示するには、
次のように入力します。
$ server_nfs[<movername>]-v4 -client -list
ここで、
[<movername>] = Data Mover の名前
例:
server_2 上の NFS サービスと同期化状態にある、すべてのクライアント システムを表示
するには、次のように入力します。
$ server_nfs server_2 -v4 -client -list
出力:
server_2 :
------ nfsv4 server client list -----Hostname/ip: Index
win901234 : 0xe2400000
10.171.2.76: 0xef400000
NFSv4 サービスの再開
77
IT リスク
㽷
l
最初の列には、NFS V4 クライアントのホスト名または IP アドレスが表示されます。 2
番目の列には、VNX がクライアント接続の識別に使用するインデックス番号が表示さ
れます。
l
クライアント リストは、NFSv4 クライアントがクライアント ID を設定した回数に基づい
ています。 クライアント リストは、サーバー上でロック、共有予約、デリゲーション状
態の作成を必要とする以降のリクエストで、特定のクライアント識別子、コールバッ
ク、コールバック識別子を使用する意図をサーバーに通知します。 すべてのユーザ
ーとファイルで 1 つのクライアント ID を使用する NFSv4 クライアントもあれば、プロセ
スごとに 1 つのクライアント ID を使用する NFSv4 クライアントもあります。 状態を保
持できるのはファイルだけで、ディレクトリはできません。
l
NFS V4 クライアントは、アクティブ状態を維持する必要はありません。 クライアントが
リースを更新する限り、クライアントのアクティブ状態が維持されます。 クライアントが
同期化状態でなくなると、コマンド出力には表示されなくなりますが、何らかの問題を
示すものではありません。
NFSv4 クライアント情報の表示
ホスト名、IP アドレス、インデックス番号でクライアント システムを識別できます。 インデック
ス番号は、-v4 -client -list オプションを使用して取得します。
手順
1. NFS V4 サーバーと同期化状態にあるクライアント システムの情報を表示するには、次
のように入力します。
$ server_nfs[<movername>]-v4 -client -info { index=[<index>]
| hostname=[<host>] | IPaddress=[<addr>] }
ここで、
[<movername>] = Data Mover の名前
[<index>] = クライアント システムに割り当てられたインデックス番号
[<host>] = クライアント システムのホスト名
[<addr>] = クライアント システムの IP アドレス
例:
server_2 上の NFS サービスと同期化状態にある、インデックス番号で識別されるクライ
アント システムの情報を表示するには、次のように入力します。
$ server_nfs server_2 -v4 -client -info index=0xe2400000
$ server_nfs server_2 -v4 -client -info index=0xef400000
出力:
server_2 :
win901234 : 0xe2400000
user: usr1 : inode# 2479
server_2 :
10.171.2.76 :
user: usr2
user: usr1
user: -2 :
78
EMC VNX Series 8.1 VNX NFS の構成
0xef400000
: inode# 2478
: inode# 2477
inode# 2476
IT リスク
㽷
出力には、接続されたクライアント ユーザーと、開かれているファイルのリストが表示さ
れます。 ファイルは inode 番号で識別されます。 特定の inode 番号と関連づけられた
ファイルの名前を特定するには、UNIX ベースの NFS クライアントから、<path-to-startsearch-from> -inum <inode> -print を検索するコマンドを使用します。 たとえば、find /ufs
-inum 1103 -print と入力します。 ファイルが複数の名前で認識されている場合がある
ので注意してください。
NFSv4 クライアントの解放
NFSv4 サーバーと同期化状態にあるクライアント システムのクライアント ID を解放するに
は、次のコマンドを使用します。
クライアント ID を解放すると、すべてのロックが解放され、そのクライアント ID に関連づけら
れたすべてのファイルが閉じます。 NFSv4 クライアントによって複数のクライアント ID が作
成されている場合は、1 個のクライアント ID を解放すると、そのクライアント ID に関連づけ
られたファイルが閉じます。
㽷
デッドロックの解決を試みる場合のみ、クライアントの状態を解放します。 Linux ベースのク
ライアント システムは、状態が解放されるとスムーズに応答しません。 クライアント システ
ムへの VNX ファイル システムの再マウントが必要になる場合があります。 NFS V4 クライア
ントでは、状態を解放すると、サーバーのシャットダウンまたはネットワーク障害と同様の状
態になります。 すべてのデリゲーションがリコールされ、ロックが解放されて、ファイルが閉
じられます。
手順
1. NFSv4 サーバーと同期化状態にあるクライアント システムのクライアント ID を解放する
には、次のコマンド シンタクスを使用します。
$ server_nfs[<movername>]-v4 -client -release { index=
[<index>]| hostname=[<host>] | IPaddress=[<addr>] }
ここで、
[<movername>] = Data Mover の名前
[<index>] = クライアント システムに割り当てられたインデックス番号
[<host>] = クライアント システムのホスト名
[<addr>] = クライアント システムの IP アドレス
例:
server_2 上の NFS サービスと同期化状態にある、インデックス番号で識別されるクライ
アント システムを解放するには、次のように入力します。
$ server_nfs server_2 -v4 -client -release index=0xe2400000
出力:
server_2 : done
32 ビットおよび 64 ビット NFS クライアントのサポート
NFS V4 では標準で 64 ビット属性のサポートが規定されていますが、一部の NFS V4 クライ
アント(Solaris 10 など)では、inode などの 64 ビット属性がサポートされていません。 この
ため、VNX NFS V4 サーバーはデフォルトで 32 ビットに設定されます。
NFSv4 クライアントの解放
79
IT リスク
32bitClient パラメーターの詳細については、「VNX for File パラメーター ガイド」を参照してくだ
さい。
㽷
パラメータとファシリティの名前は大文字と小文字が区別されます。
手順
1. NFS V4 サーバーで 64 ビットのサポートを有効化するには、次のコマンドの文法を使用
します。
$ server_param[<movername>]-facility nfsv4 -modify
32bitClient -value 0
ここで、
[<movername>] = Data Mover の名前
例:
NFS V4 サーバーで 64 ビットのサポートを有効化するには、次のように入力します。
$ server_param server_2 -facility nfsv4 -modify 32bitClient -value
0
出力:
server_2 : done
Secure NFS の管理
Secure NFS を管理するタスクは、次のとおりです。
u
キータブ エントリーの表示(80 ページ)
u
すべての Secure NFS サービス インスタンスを表示(81 ページ)
u
ユーザー属性の表示(81 ページ)
u
ローカル マッピング ファイル内のユーザー情報の表示(82 ページ)
u
ローカル マッピング ファイルからユーザーを削除(82 ページ)
u
サービス プリンシパルの削除(83 ページ)
u
認証の解除(83 ページ)
キータブ エントリーの表示
手順
1. キータブ情報を表示するには、次のように入力します。
$ server_kerberos lngbe245 -keytab
出力:
lngbe245 :
Dumping keytab file
keytab file major version = 5, minor version = 2
principal: nfs/[email protected]
realm: example.com
encryption type: des-cbc-crc
principal type 1, key version: 2
key length: 8, key: e3a4570dbfb94ce5
principal: nfs/[email protected]
80
EMC VNX Series 8.1 VNX NFS の構成
IT リスク
realm: example.com
encryption type: des-cbc-crc
principal type 1, key version: 2
key length: 8, key: c497d3df255ef183
End of keytab entries.
すべての Secure NFS サービス インスタンスを表示
手順
1. すべての Secure NFS サービス インスタンスを表示するには、次のコマンドの文法を使
用します。
$ server_nfs[<movername>]-secnfs -user -list
ここで、
[<movername>] = Data Mover の名前
例:
lngbe245 上のすべての Secure NFS サービス インスタンスを表示するには、次のように
入力します。
$ server_nfs lngbe245 -secnfs -user -list
出力:
lngbe245:
RPCSEC_GSS server stats
Credential count: 2
principal: [email protected]
principal: nfs@dm112-cge0
Total number of user contexts: 1
Current context handle: 3
PARTIAL user contexts:
Total PARTIAL user contexts: 0
USED user contexts:
[email protected],
[email protected], handle=3,
validity=35914s
Total USED user contexts: 1
EXPIRED user contexts:
Total EXPIRED user contexts: 0
ユーザー属性の表示
認証されたユーザーの属性を表示して、ユーザー認証コンテキストと、Kerberos プリンシパ
ルがマッピングされている UID および GID を確認します。
手順
1. Kerberos ユーザー、サービス名、ユーザー認証コンテキスト識別子によって識別され
る、認証されたユーザーの属性を表示するには、次のコマンド シンタクスを使用します。
$ server_nfs[<movername>]-secnfs -user -info {principal=
[<user_principal>]| handle=[<handle_number>]}
ここで、
[<movername>] = Data Mover の名前
[<user_principal>] = ユーザーの名前
すべての Secure NFS サービス インスタンスを表示
81
IT リスク
[<handle_number>] = ユーザーの ID
例:
認証されたユーザーの属性を表示するには、次のように入力します。
$ server_nfs lngbe245 -secnfs -user -info handle=38
出力:
lngbe245:
principal: [email protected]
service: [email protected]
handle: 38
validity: 6073s
GSS flags: mutl conf intg redy tran
credential: uid=1944, inuid=1944, gid=2765
ローカル マッピング ファイル内のユーザー情報の表示
次の手順は、Solaris UNIX の KDC と gsscred_db またはローカル マッピング ファイルを使
用している場合にのみ関連します。 ローカル マッピング ファイルの使用の詳細について
は、ユーザー プリンシパル名の UID へのマップ(61 ページ)を参照してください。
手順
1. ローカル マッピング ファイル内のユーザー エントリーを表示するには、次のコマンドの
文法を使用します。
$ server_nfs[<movername>] -secnfs -mapper -mapping -list
{name=[<user_name>]| uid=[<UID>]}
ここで、
[<movername>] = Data Mover の名前
[<user_name>] = ユーザー名
[<UID>] = ユーザー ID
例:
ローカル マッピング ファイル内のユーザー nfsuser1 の情報を表示するには、次のよう
に入力します。
$ server_nfs lngbe245 -secnfs -mapper -mapping -list name=nfsuser1
出力:
lngbe245:
0401000B06092A864886F7120102020000001A7365636E66
737573657231407374617465732E656D632E636F6D
1000
nfsuser1, kerberos_v5
ローカル マッピング ファイルからユーザーを削除
次の手順は、Solaris UNIX の KDC と gsscred_db またはローカル マッピング ファイルを使
用している場合にのみ関連します。 ローカル マッピング ファイルの使用の詳細について
は、ユーザー プリンシパル名の UID へのマップ(61 ページ)を参照してください。
手順
1. ローカル マッピング ファイルからユーザー エントリーを削除するには、次のコマンドの文
法を使用します。
$ server_nfs -secnfs -mapper -mapping -delete {name=
[<user_name>] | uid=[<UID>]}
ここで、
82
EMC VNX Series 8.1 VNX NFS の構成
IT リスク
[<user_name>] = ユーザー名
[<UID>] = ユーザー ID
例:
ローカル マッピング ファイルからユーザー nfsuser1 を削除するには、次のように入力し
ます。
$ server_nfs -secnfs -mapper -mapping -delete name=nfsuser1
出力:
lngbe245: done
サービス プリンシパルの削除
Secure NFS を使用する必要がなくなった場合、または Secure NFS を変更する必要がある
場合に、サービス プリンシパルを削除できます。 サービス プリンシパルを再開するには、create オプションを使用します。
手順
1. サービス プリンシパルを削除するには、次のコマンドの文法を使用します。
$ server_nfs[<movername>] -secnfs -principal -delete nas@
[<server>]
ここで、
[<movername>] = Data Mover の名前
[<server>] = 領域のタイプ
例:
サービス プリンシパルを削除するには、次のように入力します。
$ server_nfs lngbe245 -secnfs -principal -delete nfs@lngbe245
出力:
lngbe245: done
認証の解除
UID または GID のマッピングの問題を修正するために、認証を解除することができます。 現
在のユーザーとプリンシパルの一覧は、-list オプションを使用して取得します。
手順
1. ユーザーの Secure NFS 認証コンテキストを解除するには、次のコマンド シンタクスを使
用します。
$ server_nfs[<movername>]-secnfs -user -release {principal=
[<user_principal>] | handle=[<handle_number>]}
ここで、
[<movername>] = Data Mover の名前
[<user_principal>] = 解除するプリンシパルの名前
[<handle_number>] = ユーザーの ID
例:
nfsuser1 に対する認証を解除するには、次のように入力します。
$ server_nfs lngbe245 -secnfs -user -release
[email protected]
サービス プリンシパルの削除
83
IT リスク
出力:
lngbe245: done
84
EMC VNX Series 8.1 VNX NFS の構成
第5章
トラブルシューティング
製品ラインのパフォーマンスと機能を継続的に改善および強化するための努力の一環とし
て、EMC ではハードウェアおよびソフトウェアの新規バージョンを定期的にリリースしていま
す。 そのため、このドキュメントで説明されている機能の中には、現在お使いのソフトウェア
またはハードウェアのバージョンによっては、サポートされていないものもあります。 製品機
能の最新情報については、お使いの製品のリリース ノートを参照してください。
製品が正常に機能しない、またはこのドキュメントの説明どおりに動作しない場合には、
EMC カスタマー サポート担当者にお問い合わせください。
「VNX の問題解決ロードマップ」には、EMC オンライン サポートの使用および問題の解決の
詳細が記載されています。
この章のトピックは次のとおりです。
u
u
u
u
u
u
u
EMC E-Lab Interoperability Navigator.....................................................................86
VNX ユーザー カスタマイズ ドキュメント.................................................................. 86
NFS V4 のトラブルシューティング............................................................................86
Secure NFS のトラブルシューティング..................................................................... 88
エラー メッセージ................................................................................................... 90
NFS V4 エラー メッセージ....................................................................................... 91
EMC トレーニングおよびプロフェッショナル サービス...............................................91
トラブルシューティング
85
トラブルシューティング
EMC E-Lab Interoperability Navigator
EMC E-Lab ™ Interoperability Navigator は検索可能な Web ベースのアプリケーションで
す。このアプリケーションから、EMC 相互運用性サポート マトリックスにアクセスできます。
これは、EMC オンライン サポート(http://Support.EMC.com)で入手できます。 ログインした
後、[製品/サポート ツール]の下の右側のペインで、[E-Lab Navigator]をクリックしてくださ
い。
VNX ユーザー カスタマイズ ドキュメント
EMC は、ご使用の環境に合わせたステップごとの計画、設置、およびメンテナンスの手順を
作成できる手段をご用意しています。 VNX ユーザー カスタマイズ ドキュメントを作成するに
は、次のアドレスに進みます: https://mydocs.emc.com/VNX にアクセスします。
NFS V4 のトラブルシューティング
NFSv4 の使用中に問題が発生した場合、次を確認します。
u
config ファイルで、hivers オプションが 4 に設定されていることを確認する。
u
server_mount コマンドで、accesspolicy オプションが MIXED または MIXED_COMPAT に
設定されていることを確認する。
u
NFSv4 の domain パラメータで次を確認する。
u
l
domain パラメータは設定されている必要がある。 このパラメータが設定されていな
いと、ユーザーやグループがどこにもマッピングされない。
l
サーバーとクライアントで同じドメイン名を使用している。
NFSv4 クライアント システムの mount コマンドで、バージョン 4 が指定されていることを
確認する。
次についても確認します。
u
接続性:
l
Data Mover から KDC に対する ping。
l
Data Mover からクライアントに対する ping。
l
NIS を使用している場合:
– Data Mover から NIS に対する ping。
– 問題のあるユーザーまたはグループが、NIS の passwd ファイル、group ファイ
ル、gsscred_db ファイルのいずれかに存在することを確認する。
u
ネーム サービスの構成(NFSv4 サーバーとクライアントが同じ情報にアクセスする必要
がある)。
NFSv4 ステータスの表示
手順
1. NFSv4 サービス ステータスを表示するには、次のコマンド シンタクスを使用します。
$ server_nfs[<movername>]-v4
ここで、
[<movername>] = Data Mover の名前
86
EMC VNX Series 8.1 VNX NFS の構成
トラブルシューティング
例:
server_2 上の NFSv4 サービス ステータスを表示するには、次のように入力します。
$ server_nfs server_2 -v4
出力:
server_2:
---------- nfsv4 server status ---------* service started *
----- nfsv4 clients ----configured clients: 5
unconfirmed clients: 0
----------------------------- nfsv4 state ----opens: 8
locks: 4
delegations: 0
NFS 統計の表示
手順
1. NFS の統計情報を表示するには、次のコマンドの文法を使用します。
$ server_nfs[<movername>]-stats
ここで、
[<movername>] = Data Mover の名前
例:
NFS の統計情報を表示するには、次のように入力します。
$ server_nfs server_2 -stats
出力:
server_2:
Server nfs(v2):
proc
ncalls
null
getattr
setattr
root
lookup
readlink
read
wrcache
write
create
remove
rename
link
symlink
mkdir
rmdir
readdir
fsstat
10
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
%totcalls
ms/call
100.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
%totcalls
ms/call
failures
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Server nfs (v3):
proc
ncalls
v3null
v3getattr
v3setattr
v3lookup
4
366
5
177
0.4
38.5
0.5
18.6
3.0
0.7
4.0
0.0
failures
0
0
0
0
NFS 統計の表示
87
トラブルシューティング
v3access
326
v3readlink 0
v3read
4
v3write
12
v3create
10
v3mkdir
1
v3symlink 0
v3mknod
0
v3remove
8
v3rmdir
0
v3rename
1
v3link
0
v3readdir 13
v3readdirplus 2
v3fsstat
6
v3fsinfo
15
v3pathconf 0
v3commit
0
34.3
0.0
0.4
1.3
1.1
0.1
0.0
0.0
0.8
0.0
0.1
0.0
1.4
0.2
0.6
1.6
0.0
0.0
0.0
0.0
0.0
4.7
7.2
16.0
0.0
0.0
0.5
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
nfsv4 stats
Proc
Calls
Max RWMax
Ticks
---------- --------Null:
103
0
0
0
v4Null:
51 7106300
0 14194070
v4Compound: 13674
13213
0
3560727
v4Close:
3
57
0
165
v4Create:
80
4252
0
283343
v4GetAttr:
97
9337
0
47144
v4GetFh:
50
3
0
110
v4Lookup:
035
8777
0
148343
v4Open:
37
4883
0
142310
v4Open_Conf:
33
33
0
758
v4PutFh:
266
69
0
7309
v4PutrootFh: 531
939
0
2655
v4ReadDir:
13
8461
0
22995
v4Remove:
79
11098
0
121760
v4Renew:
12792
43
0
157575
v4SetAttr:
126
4182
0
176486
v4SetClntid:
35
40
0
732
v4Clntid_Conf: 35
22
0
666
v4Write:
5
13117
0
16417
---------- -----------Total:
30045
18883565
Failed
-----0
0
0
0
12
22
0
1
0
0
0
0
0
4
14
251
0
0
0
----304
microsec/call
------------0
278315
260
55
3541
486
2
72
3846
22
27
5
1768
1541
12
1400
20
19
3283
------628
Max active nfs threads: 9, bad read stream 0
Total NFS procs; 13725, time 19245, ave 1
Time in readStream 870991 usec (ave 0)
Time in writeStream 63 usec (ave 80)
Server lookupcache:
nHit
1736
nFind
6603
nNegadd
13
nChecked
1736
Server rpc:
ncalls
256947
nBadRpcData
1
nDuplicates
0
nResends
0
nBadAuths
0
Secure NFS のトラブルシューティング
Secure NFS の使用中に問題が発生した場合は、次を確認します。
88
u
領域の構成
u
Secure NFS の構成
u
暗号化または復号化キー
EMC VNX Series 8.1 VNX NFS の構成
トラブルシューティング
u
Data Mover のサーバー ログ(server_log <movername>)
u
Data Mover およびクライアントでの DNS および NIS の構成
u
NFS ユーザー マッピングの構成
u
時間同期のセットアップ
u
セキュリティ オプションを指定している server_mount コマンドのシンタクス
u
server_export コマンドのシンタクス
u
ネットワーク トレース
u
クライアントのチケット キャッシュ(klist)
u
クライアントの KDC ログ、デフォルトの場所は/var/krb5/kdc.log(UNIX/Linux KDC を使
用している場合のみ)
次の点を検証します。
u
u
サービスのステータス:
l
gssd デーモン
l
KDC サービス
l
DNS サービス
接続のチェック:
l
Data Mover から KDC に対する ping。
l
Data Mover からクライアントに対する ping。
l
NIS を使用している場合:
– Data Mover から NIS に対する ping。
– 問題のあるユーザーまたはグループが、NIS の passwd ファイル、group ファイ
ル、gsscred_db ファイルのいずれかに存在することを確認する。
u
NFS クライアント:
l
Data Mover から、指定された共有を Kerberos を使用せずにエクスポートする。
l
指定された共有を NFS クライアントからマウントする。
ファイルシステムにアクセスできません
ユーザーがファイルシステムにアクセスできない場合は、ユーザーが有効なセキュリティ コ
ンテキストを持っていることを確認します。
手順
1. ユーザーとプリンシパルの一覧を取得するには、次のように入力します。
$ server_nfs lngbe245 -secnfs -user -list
出力:
server_lngbe245 :
RPCSEC_GSS server stats
Credential count: 1
principal: nfs@lngbe245
Total number of user contexts: 2
Current context handle: 5
PARTIAL user contexts:
Total PARTIAL user contexts: 0
USED user contexts:
ファイルシステムにアクセスできません
89
トラブルシューティング
principal=root/[email protected], service=nfs@lngbe245,
handle=1, validity=28028s
[email protected], service=nfs@lngbe245,
handle=4, validity=28510s
Total USED user contexts: 2
EXPIRED user contexts:
Total EXPIRED user contexts: 0
ユーザー認証の解除
ユーザーが一覧に含まれる場合は、そのユーザーに対する認証を解除した後、ユーザーに
再びファイルシステムにアクセスさせるようにします。
手順
1. ユーザーに対する認証を解除するには、次のコマンドの文法を使用します。
$ server_nfs[<movername>]-secnfs -user -release principal=
[<user_principal>]
ここで、
[<movername>] = Data Mover の名前
[<user_principal>] = 解除するプリンシパル
例:
nsfuser1 に対する認証を解除するには、次のように入力します。
$ server_nfs lngbe245 -secnfs -user -release
[email protected]
出力:
lngbe245: done
エラー メッセージ
すべてのイベント メッセージ、アラート メッセージ、ステータス メッセージには、問題の状況
のトラブルシューティングに役立つ詳細情報と推奨されるアクションが提供されています。
メッセージの詳細を表示するには、次のいずれかの方法を使用します。
u
Unisphere ソフトウェア:
l
u
CLI(コマンド ライン インタフェース)
l
u
このガイドで、それ以前のリリースのメッセージ形式でのメッセージに関する情報を
見つけます。
EMC オンライン サポート:
l
90
nas_message -info <MessageID>と入力します。<MessageID>は、メッセージの ID 番
号です。
「 Celerra Error Messages Guide」:
l
u
イベント、アラート、ステータス メッセージを右クリックして選択し、[Event Details]、
[Alert Details]、[Status Details]を表示します。
エラー メッセージの簡単な説明のテキストまたはメッセージの ID を使用して、EMC
オンライン サポートのナレッジベースを検索します。 EMC オンライン サポートログイ
EMC VNX Series 8.1 VNX NFS の構成
トラブルシューティング
ンした後、適切な[製品ごとのサポート]ページにアクセスし、エラー メッセージを見
つけます。
NFS V4 エラー メッセージ
NFS エラー番号は、複合要求内の失敗した操作に割り当てられます。 複合要求には複数
の NFS 操作が含まれ、その結果は複合応答のシーケンス内にエンコードされます。 成功し
た操作の結果は、NFS4_OK ステータスの後に操作のエンコードされた結果を付加して示さ
れます。 NFS 操作が失敗した場合は、エラー ステータスが応答に表示され、複合要求は中
止されます。
㽷
次の説明と RFC 3530 の間に相違がある場合は、RFC の説明が優先されます。
EMC トレーニングおよびプロフェッショナル サービス
EMC カスタマー エデュケーション コースは、インフラストラクチャに対する投資全体の効果
を最大限に高めるために、自社の環境内で EMC ストレージ製品群を連携させる方法につ
いて学ぶのに役立ちます。 EMC カスタマー エデュケーションの利点は、世界各国に設置さ
れた便利な最新のラボで、オンライン トレーニングや実地トレーニングを受けられることで
す。 EMC カスタマー トレーニング コースは、EMC のエキスパートによって開発および提供さ
れています。 http://Support.EMC.com から EMC オンライン サポートにアクセスし、コース
と登録の詳細をご確認ください。
EMC プロフェッショナル サービスは、システムの効率的な導入を支援します。 コンサルタン
トがお客様のビジネス、IT プロセス、およびテクノロジーを評価し、所有する情報を最大限に
活かせる手法をお勧めします。 ビジネス プランから導入まで、IT スタッフを酷使したり新た
な人材を採用したりせずに、必要な各種サポートを受けることができます。 詳細については
EMC カスタマー サービス担当者にお問い合わせください。
NFS V4 エラー メッセージ
91
トラブルシューティング
92
EMC VNX Series 8.1 VNX NFS の構成
付録 A
システム アクセス動作
この付録では、server_export コマンドに-option 引数を使用して、エクスポートされたファイ
ルシステムの NFS クライアントに対して設定する読み取り/書き込みアクセスを解釈する方
法について説明します。 クライアントは、ホスト名、ネットグループ、サブネット、IP アドレスで
識別されます。
次のようなトピックが含まれています。
u
u
u
u
アクセス モードの組み合わせを指定した場合の動作............................................. 94
ホスト間、サブネット間、ネットグループ間の競合解決のルール.............................. 95
ネットグループに対する NFS の特別な検索順序の有効化...................................... 97
デフォルトのアクセス モードとして読み取り専用を指定...........................................98
システム アクセス動作
93
システム アクセス動作
アクセス モードの組み合わせを指定した場合の動作
アクセス モードの組み合わせ(94 ページ)は、server_export コマンドにアクセス モードの
組み合わせを指定した場合の結果を示したものです。 表の列の X は、そのアクセス モード
を指定したことを意味します。
表 6 アクセス モードの組み合わせ
ro
ro= rw= access=
結果の動作
1
X
X
X
同じエクスポートで ro と ro=の両方を指定することはできない。 ro オプションは無視される。 ア
クセスは 9 行目と同じ。
2
X
X
X
3
X
X
4
X
X
5
X
X
6
X
X
7
X
8
X
X
アクセス リストのホストには読み取り専用、読み取り/書き込みリストのホストには読み取り/書き
込み。 他のすべてのホストに対するアクセスは拒否されます。
読み取り/書き込みリストのホストには読み取り/書き込み。 他のすべてのホストには読み取り専
用アクセス。
X
アクセス リストのホストには読み取り専用アクセス。 他のすべてのホストに対するアクセスは拒
否されます。
すべてに読み取り専用アクセス。
X
10
か
所
X
X
11
X
12
X
X
同じエクスポートで ro=と access=の両方を指定することはできない。 読み取り専用リストとアク
セス リストのホストには読み取り専用。 読み取り/書き込みリストのホストには読み取り/書き込
み。 他のすべてのホストに対するアクセスは拒否されます。
読み取り/書き込みリストのホストには読み取り/書き込み、読み取り専用リストのホストには読
み取り専用。 他のすべてのホストに対するアクセスは拒否されます。
X
同じエクスポートで ro=と access=の両方を指定することはできない。 読み取り専用リストとアク
セス リストのホストには読み取り専用。 他のすべてのホストに対するアクセスは拒否されます。
読み取り専用リストのホストには読み取り専用。 他のすべてのホストに対するアクセスは拒否さ
れます。
13
X
14
X
94
同じエクスポートで ro と ro=の両方を指定することはできない。 ro オプションは無視される。 ア
クセスは 11 行目と同じ。
同じエクスポートで ro と ro=の両方を指定することはできない。 ro オプションは無視される。 ア
クセスは 12 行目と同じ。
X
16
同じエクスポートで ro と ro=の両方を指定することはできない。 ro オプションは無視される。 ア
クセスは 10 行目と同じ。
X
9
15
X
X
読み取り/書き込みリストのホストには読み取り/書き込み、アクセス リストのホストには読み取り
専用。 他のすべてのホストに対するアクセスは拒否されます。
読み取り/書き込みリストのホストには読み取り/書き込み。 他のすべてのホストには読み取り専
用。
X
アクセス リストのホストには読み取り/書き込みアクセス。 他のすべてのホストに対するアクセス
は拒否されます。
すべてのホストに読み取り/書き込み。
EMC VNX Series 8.1 VNX NFS の構成
システム アクセス動作
ホスト間、サブネット間、ネットグループ間の競合解決のルール
ホストが複数のネットグループに属し、server_export コマンドを使用してこれらのネットグル
ープに異なるタイプのアクセスが設定される場合は、一定のルールが適用されます。 競合
解決のルール(95 ページ)は、これらのルールについての説明と例を示しています。 この
例の中の host1 は、すべてのサブネットとネットグループのメンバーです。
表 7 競合解決のルール
ルール
例
アクセス・
デフォルトでは、ホストとサブネットがネット
グループより優先される。
rw=host1, ro=netgrp1
Host1 は、読み取り/書き込みアクセスを許可
される。
netgrp1 に属する他のすべてのホストは、
read-only アクセスを許可される。
rw=netgrp1, ro=subnet1
Host1 は、read-only アクセスを許可される。
host1 を含め subnet1 に属するすべてのホス
トは、read-only アクセスを許可される。
host1 を除き netgrp1 に属するすべてのホス
トは、読み取りまたは書き込みアクセスを許可
される。
spExportLookup パラメータを指定して、ホ rw=netgrp1, ro=subnet1
ストとネットグループがサブネットより優先
されるように設定できる。 このパラメーター
の設定に関する詳細については、ネットグ
ループに対する NFS の特別な検索順序の
有効化(97 ページ)を参照。
パラメータが設定されている場合、host1 を含
め netgrp1 に属するすべてのホストは、読み
取り/書き込みアクセスを許可される。
rw=subnet1, ro=netgrp1
host1 を含め subnet1 に属するすべてのホス
トは、読み取り/書き込みアクセスを許可され
る。
host1 を除き subnet1 に属するすべてのホス
トは、read-only アクセスを許可される。
host1 を除き netgrp1 に属するすべてのホス
トは、read-only アクセスを許可される。
パラメータが設定されている場合、host1 を含
め netgrp1 に属するすべてのホストは、readonly アクセスを許可される。
host1 を除き subnet1 に属するすべてのホス
トは、読み取り/書き込みアクセスを許可され
る。
rw=-subnet1:netgrp1
host1 を含め subnet1 に属するすべてのホス
トは、read-only アクセスを許可される。
host1 を除き netgrp1 に属するすべてのホス
トは、読み取り/書き込みアクセスを許可され
る。
パラメータが設定されている場合、host1 を含
め netgrp1 に属するすべてのホストは、読み
取り/書き込みアクセスを許可される。
host1 を除き subnet1 に属するすべてのホス
トは、read-only アクセスを許可される。
ホスト間、サブネット間、ネットグループ間の競合解決のルール
95
システム アクセス動作
表 7 競合解決のルール (続き)
ルール
例
アクセス・
㽷
この例では、否定が使用される。
ro=-subnet1:netgrp1
host1 は除外リストに含まれるためアクセスが
拒否される。
パラメータが設定されている場合、host1 は
netgrp1 に属するため、read-only アクセスが
許可される。
㽷
この例では、否定が使用される。
読み取りまたは書き込みアクセスと read- rw=host1, ro=host1
only アクセスを使用した場合は、読み取
り/書き込みアクセスがデフォルトで許可さ
ro=subnet1, rw=subnet1
れる。
デフォルトのアクセスとして read-only を指
定するには、secureExportMode パラメータ
を指定する。
このパラメーターの設定については、デフ
ォルトのアクセス モードとして読み取り専
用を指定(98 ページ)を参照。
ホストとサブネットを使用すると、最初に一
致するエントリーがアクセスの許可に使用
される。
rw=-subnet1:host1
host1 は、読み取りまたは書き込みアクセスを
許可される。
subnet1 に属するすべてのホストは、読み取
り/書き込みアクセスを許可される。
㽷
パラメータが設定されている場合、host1 は
read-only アクセスを許可される。
Host1 は、読み取り/書き込みアクセスを拒否
される。
host1 を含め subnet1 に属する他のすべての
ホストは、読み取り/書き込みアクセスを拒否
される。
rw=host1:-subnet1
Host1 は、読み取り/書き込みアクセスを許可
される。
subnet1 に属する他のすべてのホストは、読
み取り/書き込みアクセスを拒否される。
㽷
この例では、否定が使用される。
ホストが 2 つある場合は、最初に一致する rw=-host1:host1
エントリーがアクセスの許可に使用され
る。
rw=host1:-host1
Host1 は、読み取り/書き込みアクセスを拒否
される。
Host1 は、読み取り/書き込みアクセスを許可
される。
㽷
この例では、否定が使用される。
サブネットが 2 つある場合は、最初に一致 rw=-subnet1:subnet2
するエントリーがアクセスの許可に使用さ
れる。
96
EMC VNX Series 8.1 VNX NFS の構成
Host1 は、読み取り/書き込みアクセスを拒否
される。
システム アクセス動作
表 7 競合解決のルール (続き)
ルール
例
アクセス・
subnet1 に属する他のすべてのホストは、読
み取り/書き込みアクセスを拒否される。
subnet2 に属する他のすべてのホストは、読
み取り/書き込みアクセスを許可される。
rw=subnet2:-subnet1
Host1 は、読み取り/書き込みアクセスを許可
される。
subnet2 に属する他のすべてのホストは、読
み取り/書き込みアクセスを許可される。
subnet1 に属する他のすべてのホストは、読
み取り/書き込みアクセスを拒否される。
㽷
この例では、否定が使用される。
ネットグループが 2 つある場合は、最初に
一致するエントリーがアクセスの許可に使
用される。
rw=-netgrp1:netgrp2
Host1 は、読み取り/書き込みアクセスを拒否
される。
netgrp1 に属する他のすべてのホストは、読
み取り/書き込みアクセスを拒否される。
netgrp2 に属する他のすべてのホストは、読
み取り/書き込みアクセスを許可される。
rw=netgrp2:-netgrp1
Host1 は、読み取り/書き込みアクセスを許可
される。
netgrp2 に属する他のすべてのホストは、読
み取り/書き込みアクセスを許可される。
netgrp1 に属する他のすべてのホストは、読
み取り/書き込みアクセスを拒否される。
㽷
この例では、否定が使用される。
ネットグループに対する NFS の特別な検索順序の有効化
NFS クライアントのサブネットに対するアクセス権限よりも、NFS クライアントのホストとネット
グループ メンバーシップに対するアクセス権限の優先度を高くすることができます。 デフォ
ルトでは、ネットグループ メンバーシップで決定されるアクセス権限よりも、ホスト名および
サブネットで決定されるアクセス権の方が、優先度が高くなっています。
spExportLookup パラメータの詳細については、「VNX for File パラメータ ガイド」を参照してく
ださい。 パラメータとファシリティの名前は大文字と小文字が区別されます。
㽷
デフォルトでは、このパラメータの値は 0 です。
ネットグループに対する NFS の特別な検索順序の有効化
97
システム アクセス動作
手順
1. spExportLookup をオンにするには、次のコマンド シンタクスを使用します。
$ server_param[<movername>]-facility nfs -modify
spExportLookup -value 1
ここで、
[<movername>] = Data Mover の名前
例:
NFS spExportLookup パラメータを設定するには、次のように入力します。
$ server_param server_2 -facility nfs -modify spExportLookup -value
1
出力:
server_2 : done
デフォルトのアクセス モードとして読み取り専用を指定
クライアント、サブネット、ネットグループが server_export -option リスト内に存在するとき
に、読み取り/書き込みアクセス権と read-only アクセス権のどちらを付与するかで競合が
生じる場合、デフォルトでは、読み取り/書き込みアクセス権が付与されます。
secureExportMode パラメータを変更することによって、競合が存在する場合に read-only
アクセス権を有効化するパラメータを設定できます。 詳細については、ホスト間、サブネット
間、ネットグループ間の競合解決のルール(95 ページ)を参照してください。
secureExportMode パラメータの詳細については、「VNX for File パラメータ ガイド」を参照して
ください。 パラメータとファシリティの名前は大文字と小文字が区別されます。
手順
1. セキュア エクスポート モードをオンにするには、次のコマンドの文法を使用します。
$ server_param[<movername>]-facilitynfsmodifysecureExportMode-value 1
ここで、
[<movername>] = Data Mover の名前
例:
NFS secureExportMode パラメータを 128 に設定するには、次のように入力します。
$ server_param server_2 -facility nfs -modify secureExportMode
-value 1
出力:
server_2 : done
98
EMC VNX Series 8.1 VNX NFS の構成
付録 B
ユーザー認証動作
この付録では、server_export コマンドに sec オプションを使用して、エクスポートされたファ
イルシステムの NFS クライアントに対して設定するセキュリティを解釈する方法について説
明します。
次のようなトピックが含まれています。
u
u
セキュリティ オプションを指定するときの全般的なルール..................................... 100
ルート アクセス モード..........................................................................................100
ユーザー認証動作
99
ユーザー認証動作
セキュリティ オプションを指定するときの全般的なルール
セキュリティ オプションを指定する場合は、セキュリティ オプション ルールの指定(100 ペ
ージ)に示されているルールが適用されます。
㽷
アクセス モードにはスペースを含めず、各アクセス モードをコンマ(,)で区切ります。
表 8 セキュリティ オプション ルールの指定
ルール
例
セキュリティ オプションが指定されない場合、ファイルシステム
は AUTH_SYS 方式を使用してエクスポートされる。
server_export lngbe245 Protocol
nfs -option ro /ufs
アクセス モードを指定してからセキュリティ オプションを指定す
ると、エクスポートは失敗する。
server_export lngbe245 Protocol
nfs -option
rw=client1:client2,
sec=krb5:ro=client3 /ufs1
セキュリティ オプションの値を繰り返すと、エクスポートは失敗
する。
server_export lngbe245 Protocol
nfs -option
sec=krb5 :rw=client1,
sec=krb5 :ro=client2 /ufs1
同じコマンドで複数のセキュリティ オプションを使用できる。 こ
の例では、UNIX 証明書を使用して認証されたユーザーには読
み取り専用のアクセスが許可され、Kerberos を使用して認証さ
れたユーザーは読み取り/書き込みアクセスが許可される。
server_export lngbe245 Protocol
nfs -option
sec=krb5,sec=sys :ro /
ufs1
1 つのセキュリティ オプションで複数のモードを利用できる。 こ
の例では、クライアントはすべて Kerberos を使用して認証さ
れ、client1 と client2 には読み取り/書き込みアクセス、client3
と client4 には読み取り専用のアクセスが許可される。
server_export lngbe245 Protocol
nfs -option sec=krb5:
rw=client1:client2,
ro=client3:client4 /ufs1
ルート アクセス モード
root=アクセス モードは、指定したホスト名、ネットグループ、サブネット、IP アドレスの root
ユーザーにのみ適用されます。 セキュリティ モードは、ファイルシステムに付与されるアク
セス権には影響しません。 ただし、root ユーザーが受け取るアクセスのタイプは、ルート ア
クセスと Secure NFS(100 ページ)に説明するように、認証で使用されるセキュリティ メカニ
ズムによって異なります。
表 9 ルート アクセスと Secure NFS
100
コマンド例
説明
server_export lngbe245
-Protocol nfs -option
sec=krb5:root=client1,sec=sys:
ro /ufs1
client1 の root ユーザーはファイルシステムにアクセ
スできる。
EMC VNX Series 8.1 VNX NFS の構成
Kerberos セキュリティを使用して認証された root ユ
ーザーには、読み取り/書き込みアクセス権が付与さ
れる。
ユーザー認証動作
表 9 ルート アクセスと Secure NFS (続き)
コマンド例
説明
デフォルトのセキュリティを使用して認証されたユー
ザーには、read-only アクセス権が付与される。
server_export lngbe245
-Protocol nfs -option
sec=krb5:root=client1,
sec=sys:access=client1 /ufs1
server_export lngbe245
-Protocol nfs -option
sec=krb5:access=client1,
root=client2 /ufs1
Kerberos を使用して認証されたすべてのクライアント
には、読み取り/書き込みアクセス権が付与される。
client1 の root ユーザーのアクセス権には、root 権
限も付与される。
client1 のみがファイルシステムにアクセスできる。
client2 を含む、その他のクライアントはすべてアクセ
スを拒否される。 client2 がアクセスできるようにする
には、client2 をアクセス リストに含める必要がある。
ルート アクセス モード
101
ユーザー認証動作
102
EMC VNX Series 8.1 VNX NFS の構成
付録 C
PC クライアントの NFS 認証デーモン
この付録では、PC クライアント ソフトウェアのセットアップ方法および Hummingbird PC NFS
クライアントに関する問題点について説明します。
次のようなトピックが含まれています。
u
u
u
PC クライアント アクセス.......................................................................................104
PC クライアント ソフトウェアのセットアップ.............................................................104
Hummingbird PC NFS クライアントに関する問題点............................................... 105
PC クライアントの NFS 認証デーモン
103
PC クライアントの NFS 認証デーモン
PC クライアント アクセス
UNIX および Linux のネイティブ クライアントと同様に、NFS を使用して VNX ファイルシステ
ムにアクセスする PC クライアントについては、PC クライアント アクセス(104 ページ)に示
すように適切な認証を行ってから VNX へのアクセスを許可する必要があります。
図 2 PC クライアント アクセス
PC 環境と UNIX 環境では、NFS ユーザー認証方法が異なります。 認証デーモン(通常、
rpc.pcnfsd または pcnfsd)を利用することによってこの違いを埋めます。
認証デーモンは顧客の環境にあるホスト上(推奨)または Data Mover 上で実行され、次の
サービスを行います。
1. デーモンは、PC クライアントによって提供されたユーザー名とパスワードを受け取って
検証します。
2. デーモンは、PC クライアントに対して、ユーザーまたはパスワードの組み合わせごとに
ユーザー ID とグループ ID(UID または GID)を割り当てます。
3. PC クライアントは、割り当てられた UID または GID を使用してシステムにアクセスしま
す。
通常、PC クライアント上の NFS ソフトウェアは、システム上で実行中の認証デーモンと変更
なしで通信できます。
NFS ソフトウェアが PC ソフトウェアの構成に含まれていない場合に、その PC を利用して
NFS プロトコルにより VNX ファイル システムにアクセスするときは、Hummingbird
Communications Ltd.の PC NFS ソフトウェアまたは NFS Maestro ソフトウェアなどの、PC ク
ライアント用 NFS ソフトウェア パッケージを購入すると良いでしょう。
PC クライアント ソフトウェアのセットアップ
このセクションでは、VNX にネットワーク アクセスするために、PC クライアント ソフトウェア
パッケージを設定する方法について説明します。 次の例では、PC NFS と NFS Maestro を使
用しています。
104
EMC VNX Series 8.1 VNX NFS の構成
PC クライアントの NFS 認証デーモン
㽷
u
ここからは、PC クライアントがマウント要求を発行すると、常にユーザー認証が行われ、
認証後の処理はクライアントとサーバーを行き来する通常の純粋な NFS トラフィックとな
ります。
u
この時点でセットアップまたはログインに必要な操作の詳細については、ベンダーの対
応するユーザー マニュアルを参照してください。 たとえば、PC NFS ではサブネット内で
pcnfsd を実行中のシステムを検出することができ、NFS Maestro ではシステムの名前
を指定するオプションを利用できます。
手順
1. ユーザー アカウントをセットアップします。詳細については、server_user コマンドを参照
してください。
NIS サーバーを使用してユーザーを作成することもできます。
2. テキスト エディタで/nas/server/server_<x>/netd ファイルを開き、nfs 開始行の後の別の
行に pcnfs を追加して、ファイルを保存します。
または
NIS サーバーの場合は、NIS サーバーを使用して Data Mover をマッピングします。
$ server_nis server_[<x>][<IP address of NIS server>]
ここで、
[<x>] = Data Mover の番号
3. Data Mover を再起動します。
4. ユーザーがアクセスできるように、ファイルシステムをエクスポートします。 詳細について
は、ファイル システムのエクスポート(35 ページ)を参照してください。
5. PC 上で、PC NFS ソフトウェアまたは NFS Maestro ソフトウェアを起動します。
6. ソフトウェア パッケージに応じてユーザー名およびパスワードを入力します。
ユーザー名とパスワードが pcnfsd を実行している Data Mover に送信され、これにより
PC クライアントの UID または GID 番号が返されます。
Hummingbird PC NFS クライアントに関する問題点
CIFS クライアントと Hummingbird PC NFS クライアントの両方が、Microsoft Word ファイルま
たは Corel WordPerfect ファイルにアクセスする環境において、相互運用性の問題が確認さ
れています。
u
範囲ロック:CIFS クライアントが Microsoft Word ファイルを開いているときに、
Hummingbird(または任意の PC NFS)クライアントがそのファイルを削除しようとすると、
CIFS クライアントがファイルを開いた時点で削除拒否のロックが設定されているため、
通常、この削除要求は拒否されます。
ファイルにも範囲ロックが設定されますが、そのオフセット値はファイルの先頭または末
尾からの値ではありません。 したがって、範囲ロックで指定された範囲の外側のファイ
ル部分については書き込み可能です。 範囲ロック内への書き込み要求は拒否されま
す。 範囲ロックがファイルのどの部分に設定されているのかを判別する手段がないた
め、予測不能の結果になることがあります。
u
共有の認証:Hummingbird ユーザーは、VNX(またはその他の)ドライブがクライアント
上にマウントされた場合、オプションでこれらのドライブの共有の認証を上書きすること
ができます。 この場合、CIFS クライアントと Hummingbird クライアントによるファイルへ
のコンカレント アクセスが生じます。
Hummingbird PC NFS クライアントに関する問題点
105
PC クライアントの NFS 認証デーモン
u
106
ディレクトリのロック:CIFS クライアントが Windows エクスプローラでディレクトリを開いて
いるときに、Hummingbird クライアントが同じディレクトリで WordPerfect ファイルを開
き、そのファイルを閉じる場合、Hummingbird クライアントはこのファイルのロックを試
みます。 このファイルは Windows エクスプローラで開かれたため、ロックは存在し、
Hummingbird のロック要求は拒否されます。 Hummingbird クライアントは、CIFS クライ
アントがディレクトリを閉じてそのロックを解放するまで、サーバーに対してロック要求を
発行し続けます。
EMC VNX Series 8.1 VNX NFS の構成
付録 D
VNX for Block での Parallel NFS
この付録では、EMC VNX for Block system で pNFS(Parallel NFS)を構成および管理する方
法について説明します。
次のようなトピックが含まれています。
u
u
u
u
pNFS について.....................................................................................................108
サーバーに対する pNFS の構成.......................................................................... 109
pNFS クライアントのセットアップ........................................................................... 112
SAN およびストレージの構成............................................................................... 112
VNX for Block での Parallel NFS
107
VNX for Block での Parallel NFS
pNFS について
pNFS は NFS バージョン 4.1 の一部で、これによりクライアントはストレージ デバイスに直接
または並列でアクセスできるようになります。 pNFS サービスは、NFSv4 が起動すると自動
的に開始されます。NFSv4.1 では、特定の機能を追加し、ファイルへの並列アクセスをサポ
ートすることにより、明確性と固有性を追加しているため、弱点および見落としの修正が容
易です。 VNX は、pNFS をサポートするために、NFSv4.1 を適合実装しています。 pNFS アー
キテクチャにより、現在導入されている NFS サーバーに関連する拡張性およびパフォーマ
ンスの問題が排除されます。 これは、Parallel NFS(108 ページ)に示すように、データとメタ
データを分けて、メタデータをデータ パス外のメタデータ サーバーに移動することにより実
現します。
図 3 Parallel NFS
㽷
NFSv4.1/pNFS の実装により、IPv6 ネットワーク(iSCSI プロトコルを含む)がサポートされま
す。
pNFS をサポートするために、VNX では、RFC 3530 による小さいエクステントおよび修正の
一部を含め、すべての NFSv4.1 の必須機能を完全にサポートしています。
pNFS では、異なるプロトコルを使用してデータ アクセスが可能です。 データにアクセスする
ために使用されるプロトコルは、「レイアウト タイプ」として知られています。 NFS 4.1 関連
RFC では、次の 3 つの pNFS レイアウト タイプが使用できます: ファイル、ブロック、および
オブジェクト。 VNX は、ブロック レイアウトをサポートします。
レイアウトは、ファイル データへの直接アクセスは直接クライアントによって実行できること、
およびレイアウトが保持される限り、そのアクセスとの整合性がないデータの場所は変更さ
れないことを所有者に保証するリコール可能なオブジェクトです。
108
EMC VNX Series 8.1 VNX NFS の構成
VNX for Block での Parallel NFS
NFSv4.1 の必須機能
NFSv4.1 には、NFSv4.0 仕様とは異なる 2 個の新しい必須機能が導入されています。
セッション モデル
NFSv4.1 プロトコルでは、セッションを開始するために使用される処理を除いて、すべての処
理に対してセッションが必要とされます。 NFSv4.1 プロトコルには、セッション ID およびセッ
ション管理に関連するその他のパラメータを伝送する SEQUENCE 処理が導入されていま
す。
任意のクライアント ホストに、複数の NFSv4.1 セッションを持たせることができます。 各セッ
ションには、1 個または 2 個の通信チャネル (プロトコル要求を発行するフォア チャネルと、
コールバックを受信するオプションのバック チャネル)を使用できます。
各チャネルには、配信接続を 0 個以上関連づけることができます。 チャネルに複数の接続
をバインドすることにより、クライアントでトランキングが可能になります。 複数のセッションを
使用しているものの、予約、ロック、デリゲーション、レイアウトなどの状態情報はクライアン
トに関連づけられており、特定のセッションには関連づけられていません。 このため、いず
れかのセッションに属するバック チャネル経由でコールバックを発行することができます。
クライアントは、不必要なサーバー リソースの使用を避けるために、アイドル時にセッション
を終了することができます。
状態の回収
NFSv4.1 では、クライアントがすべてのロック(場合によってはクライアントが回収するロック
ではないもの)を回収したときに、クライアントが RECLAIM_COMPLETE と呼ばれる処理をコ
ールして、回収モデルをファイルシステム移行に拡張する場合があります。 このような処理
は、ファイルシステムを移行するサーバーに影響を及ぼします。
サーバーがロックを所有するクライアント(ただし完全ロック状態ではないもの)のリストを安
定したストレージで保持している場合は、そのようなクライアントが回収処理を完了したこと
を宣言すると、そのサーバーはすみやかに猶予期間を終了することができます。 NFSv4.1
では、サーバーはクライアントに対して猶予期間中だけロックを回収することを許可してお
り、猶予期間中に STATE を回収しているもの以外の OPEN 処理は、すべて拒否されます。
サーバーに対する pNFS の構成
pNFS の構成に関するタスクは、次のとおりです。
u
pNFS サービスのセットアップ(109 ページ)
u
pNFS の停止(110 ページ)
u
pNFS の再起動(110 ページ)
u
pNFS サービス用のファイルシステムのマウント(111 ページ)
u
pNFS アクセス用のファイルシステムのエクスポート(111 ページ)
pNFS サービスのセットアップ
pNFS サービスは、ご使用のサーバーを NFSv4 用に構成すると、自動的に開始されます。
サーバーを NFSv4 用に構成するには、次の手順を実行します。
手順
1. /nas/server/slot_<x>/config ファイル(<x>は Data Mover のスロット番号)の
hivers が 4 に設定されていることを確認します。/nas/server/slot_<x>/config
ファイルの nfs エントリーは、次のように表示されます。
nfs config hivers=4
2. hivers=4 が欠如している場合は、nfs config 行の最後に手動で追加します。
サーバーに対する pNFS の構成
109
VNX for Block での Parallel NFS
3. Data Mover を再起動し、hivers を有効にするには、次のコマンド シンタクスを使用しま
す。
$ server_cpu[<movername>]-reboot -monitor now
ここで、
[<movername>] = Data Mover の名前
4. NFSv4 サービスを起動するには、次のコマンド シンタクスを使用します。
$ server_nfs {
[<movername>] | ALL} -v4 -service -start
ここで、
[<movername>] = Data Mover の名前
例:
server_2 で NFSv4 サービスを起動するには、次のように入力します。
$ server_nfs server_2 -v4 -service -start
出力:
server_2: done
pNFS の停止
pNFS サービスを一時的に停止するには、次のコマンドを使用します。
㽷
pNFS サービスが停止すると、許可されたレイアウトはすべてリコールされ、新しいレイアウ
トの要求は拒否されます。
手順
1. pNFS サービスを停止するには、次のコマンド シンタクスを使用します。
$ server_nfs {
[<movername>] | ALL} -pnfs -service -stop
ここで、
[<movername>] = Data Mover の名前
例:
server_2 で pNFS サービスを停止するには、次のように入力します。
$ server_nfs server_2 -pnfs -service -stop
出力:
server_2: done
pNFS の再起動
pNFS サービスを一時的に停止した場合、このコマンドを使用してサービスを再開します。
NFSv4 サービスが実行中であることを確認します。
手順
1. pNFS サービスを再開するには、次のコマンド シンタクスを使用します。
$ server_nfs {
[<movername>] | ALL} -pnfs -service -start
ここで、
[<movername>] = Data Mover の名前
例:
110
EMC VNX Series 8.1 VNX NFS の構成
VNX for Block での Parallel NFS
server_2 で pNFS サービスを再開するには、次のように入力します。
$ server_nfs server_2 -pnfs -service -start
出力:
server_2: done
pNFS サービス用のファイルシステムのマウント
pNFS アクセス用のファイルシステムをマウントするには、server_mount コマンドを使用しま
す。 マウント ポイントは先頭をスラッシュ(/)で始める必要があります。
手順
1. pNFS サービス用ファイルシステムを Data Mover にマウントするには、次のコマンド シン
タクスを使用します。
$ server_mount [<movername>] -option pnfs [<fs_name>]
/[<mount_point>]
ここで、
[<movername>] = Data Mover の名前
[<fs_name>] = マウントされるファイルシステム
[<mount_point>] = Data Mover のマウント ポイントへのパス
例:
pnfs option を使用して server_2 にファイルシステムをマウントするには、次のように入
力します。
$ server_mount server_2 -option pnfs s2fs1 /s2mt1
出力:
server_2 : done
pNFS アクセス用のファイルシステムのエクスポート
pNFS アクセス用のファイルシステムをエクスポートするには、server_export コマンドを使用
します。 デフォルトでは、server_export コマンドは、すべての NFS クライアント用にファイル
システムを読み取り/書き込みとしてエクスポートし、UNIX のユーザー認証を使用します。
手順
1. pNFS アクセス用にファイルシステムをエクスポートするには、次のコマンド シンタクスを
使用します。
$ server_export [<movername>] -Protocol nfs [<fs_name>]
/[<mount_point>]
ここで、
[<movername>] = Data Mover の名前
[<fs_name>] = マウントされるファイルシステム
[<mount_point>] = Data Mover のマウント ポイントへのパス
例:
pNFS アクセス用にファイルシステムをエクスポートするには、次のように入力します。
$ server_export server_2 -Protocol nfs s2fs1 /s2mt1
出力:
pNFS サービス用のファイルシステムのマウント
111
VNX for Block での Parallel NFS
server_2: done
pNFS クライアントのセットアップ
pNFS ファイル システムをマウントする前に、pNFS クライアントが正しくインストールされてい
ることを確認します。
手順
1. pNFS ファイル システムを Data Mover にマウントするには、次のコマンド シンタクスを使
用します。
# mount -type nfs4 -option minorversion=1
[<movername>]:/[<fs_name>] /[<mount_point>]
ここで、
[<movername>] = Data Mover の名前
[<fs_name>] = マウントされるファイルシステム
[<mount_point>] = Data Mover のマウント ポイントへのパス
㽷
エラー メッセージが表示されなければ、正常にマウントされています。
例:
server_2 に pNFS ファイルシステムをマウントするには、次のように入力します。
# mount -type nfs4 -option minorversion=1 server_2:/fs1_pnfs
/mnt1_pnfs
2. マウントが作成されたことを確認するには、次のコマンドを実行します。
# grep LAYOUT /proc/self/mountstats
出力:
PNFS_LAYOUTGET: 0 0 0 0 0 0 0 0
PNFS_LAYOUTCOMMIT: 0 0 0 0 0 0 0 0
PNFS_LAYOUTRETURN: 0 0 0 0 0 0 0 0
㽷
出力に 0 以外の値が含まれている場合は、/var/log/messages でエラー メッセージを
確認します。
3. iSCSI を使用している場合は、クライアントで iSCSI をセットアップする必要があります。
手順は、使用しているオペレーティング システムによって異なります。 結果として、IQN
(iSCSI 修飾名)を使用して iSCSI イニシエータを作成する必要があります。
ファイバ チャネルを使用している場合は、HBA(ホスト バス アダプタ)をセットアップする
必要があります。
SAN およびストレージの構成
このセクションでは、SAN スイッチの構成方法および VNX for Block 固有の構成情報につい
て説明します。 ストレージ システムとして、EMC Symmetrix®を使用することもできます。
pNFS に対する EMC Symmetrix®の構成方法の詳細については、EMC オンライン サポート
Web サイト(http://Support.EMC.com)にアクセスし、関連テクニカル ドキュメントを検索しま
す。
112
EMC VNX Series 8.1 VNX NFS の構成
VNX for Block での Parallel NFS
ブロックに Unipshere を使用して、pNFS クライアントに対してストレージ グループをセットア
ップします。
ブロックに Unipshere を使用して pNFS クライアントをセットアップする間に作成した iSCSI ホ
ストを登録します。
ファイバ チャネル スイッチのインストール(FC 構成)
ファイバ チャネル スイッチをセットアップするには、次のタスクを実行します。
㽷
シングル イニシエータとしてゾーニングを構成します。これにより、各 HBA ポートは独自の
ゾーンを持つことになり、そのゾーンの中では各 HBA ポートが唯一の HBA ポートになりま
す。
手順
1. ファイバ チャネル スイッチをインストールします(インストールされていない場合)。
2. 各 HBA ファイバ チャネル ポートとスイッチ ポートをケーブルで接続します。
3. HBA ポートに接続されたスイッチ ポートの LED で、HBA とスイッチの接続を確認します。
SAN スイッチのゾーニング(FC 構成)
ファイバ チャネル スイッチを構成およびゾーニングするには、次の手順を実行します。
㽷
u
詳細については、ファイバ チャネル スイッチに同梱されているドキュメントを参照してく
ださい。
u
各ターゲットが SP A および SP B ポートにゾーニングされるように、VNX for Block を構
成します。 Symmetrix が単一のファイバ チャネル ダイレクタにゾーニングされるように、
Symmetrix を構成します。
手順
1. 接続されたすべてのポート WWN(World Wide Name)を記録します。
2. CLI コマンドまたは Fabric Manager を使用して、iSCSI とファイバ チャネル間のブリッジま
たは MDS ファイバ チャネル スイッチ コンソールにログインします。
3. ファイバ チャネル HBA ポートおよび関連するファイバ チャネル ターゲットに対してそれ
ぞれゾーンを作成します。
iSCSI とファイバ チャネル間のブリッジの構成(iSCSI 構成)
iSCSI 構成での iSCSI とファイバ チャネル間のブリッジの作成およびゾーニングに関する概
要について説明します。 これらの手順では、ご使用のサイト固有のパラメータを使用しま
す。
iSCSI 構成で iSCSI とファイバ チャネル間のブリッジを構成する場合は、次の点に注意しま
す。
u
iSCSI 経由の EMC VNX pNFS 構成では、EMC VNX iSCSI ターゲット機能は使用されませ
ん。 ファイバ チャネルへのトラフィックをブリッジするために、iSCSI ターゲットとして
iSCSI イニシエータおよび IP-SAN 互換のスイッチが使用されます。
u
IP-SAN スイッチの要件を確認して、サポートされているスイッチ モードを特定します。
ファイバ チャネル スイッチのインストール(FC 構成)
113
VNX for Block での Parallel NFS
pNFS 環境では、iSCSI とファイバ チャネル間をブリッジできるファイバ チャネル スイッチが
必要です。 次のスイッチ特性が必要です。
u
pNFS アーキテクチャをサポートする iSCSI とファイバ チャネル間のブリッジ。
u
pNFS IP-SAN スイッチが適切に動作するには、特定のファームウェア レビジョンが必
要。
u
サポートされたバージョンに対する E-Lab Interoperability Navigator を備えた SAN OS
バージョン。
次のいずれかの IP-SAN(iSCSI IPS)モジュールをインストールします。
u
8GE IPS ブレード
u
14FC/2/GE マルチ プロトコル サービス モジュール
u
18FC/4/GE マルチ プロトコル サービス モジュール
㽷
VNX NAS(ネットワーク接続型ストレージ)製品でサポートされるソフトウェアおよびハードウ
ェアに関する最新の情報については、E-Lab Interoperability Navigator を参考にしてくださ
い。
MDS コンソール上での iSCSI の有効化(iSCSI 構成)
MDS コンソール上で iSCSI を有効化するには、次の手順を実行します。
手順
1. iSCSI を有効化して、VSAN に iSCSI インターフェイスを追加します。
switch # config t
switch(config)# iscsi enable
switch(config)# iscsi interface vsan-membership
2. ファイバ チャネル ターゲットをインポートして、MDS コンソールが iSCSI イニシエータと通
信できるようにします。また、認証を設定します。
switch(config)# iscsi import target fc
switch(config)# iscsi authentication none
ギガビット Ethernet 用の MDS iSCSI ポートの構成(iSCSI 構成)
MDS iSCSI ポートを通常のギガビット Ethernet ポートとして構成します。
switch(config)# interface GigabitEthernet2/1
switch(config-if)# <port ip address> <subnet mask>
switch(config-if)# iscsi authentication none
switch(config-if)# no shutdown
switch(config-if)# exit
switch(config)# ip routing
switch(config)#
㽷
iSCSI とファイバ チャネル間のブリッジは、Fabric Manager の GUI でも構成および管理でき
ます。
iSCSI ポート プロキシと TCP パラメータの構成(iSCSI 構成)
すべてのイニシエータに対して、VNX for block に WWN を構成する必要がないように、
iSCSI とファイバ チャネル間のブリッジを構成してプロキシ イニシエータとして機能させま
す。
114
EMC VNX Series 8.1 VNX NFS の構成
VNX for Block での Parallel NFS
手順
1. プロキシ イニシエータして機能するように、iSCSI とファイバ チャネル間のブリッジを設定
します。
switch(config)# interface iscsi2/1
switch(config-if)# switchport proxy-initiator
switch(config-if)#
2. TCP パラメータを設定します。
switch(config-if)# tcp send-buffer-size 16384
switch(config-if)# no shutdown
switch(config-if)# exit
switch(config)# exit
switch #
3. 次のように入力して、システム割り当ての WWN を取得します。
switch # show interface iscsi2/1
出力:
Hardware is GigabitEthernet
Port WWN is 21:d9:00:0d:ec:01:5f:40
Admin port mode is ISCSI
Port vsan is 2
iSCSI initiator is identified by name
Number of iSCSI session: 0 (discovery session: 0)
Number of TCP connection: 0
Configured TCP parameters
Local Port is 3260
PMTU discover is enabled, reset timeout is 3600 sec
Keepalive-timeout is 60 sec
Minimum-retransmit-time is 300 ms
Max-retransmissions 4
Sack is enabled
QOS code point is 0
Maximum allowed bandwidth is 1000000 kbps
Minimum available bandwidth is 70000 kbps
Estimated round trip time is 1000 usec
Send buffer size is 16384 KB
Congestion window monitoring is enabled, burst size is 50
KB
Configured maximum jitter is 500 us
Forwarding mode: store-and-forward
TMF Queueing Mode: enabled
Proxy Initiator Mode: enabled
nWWN is 20:10:00:0d:ec:01:5f:42 (system-assigned)
pWWN is 20:11:00:0d:ec:01:5f:42 (system-assigned)
5 minutes input rate 0 bits/sec, 0 bytes/sec, 0 frames/sec
5 minutes output rate 0 bits/sec, 0 bytes/sec, 0 frames/sec
iSCSI statistics
Input 0 packets, 0 bytes
Command 0 pdus, Data-out 0 pdus, 0 bytes, Unsolicited 0
bytes
Output 0 packets, 0 bytes
Response 0 pdus (with sense 0), R2T 0 pdus
Data-in 0 pdus, 0 bytes
iSCSI プロキシ用に新しいゾーンを作成および構成(iSCSI 構成)
iSCSI プロキシ用に新しいゾーンを作成する前に、システムの SP A および SP B に接続され
た FC ポートを確認します。 次の例では、SP A はポート FC4/2 に、SP B はポート FC4/4 に
接続されています。
原則的に、各プロキシで 2 個のポートがゾーニングされています。 ただし、iSCSI のスルー
プットは依然として 1 Gb です。 高可用性を実現するために、各 SP には 1 個のポートを接
続する必要があります。
iSCSI プロキシ用に新しいゾーンを作成および構成(iSCSI 構成)
115
VNX for Block での Parallel NFS
Navicli または Unisphere を使用して、SP A および SP B 用に pWWN を取得します。iSCSI
ポートの名前を使用して新しいゾーンを作成します。 次の例では、PROXY2-1 が使用されて
います。
switch # config t
switch(config)# zone
switch(config-zone)#
switch(config-zone)#
switch(config-zone)#
switch(config-zone)#
name PROXY2-1 vsan 2
member pwwn 50:06:01:60:10:60:20:35
member pwwn 50:06:01:60:10:60:20:3e
member pwwn 20:11:00:0d:ec:01:5f:42
exit
ゾーンのアクティブ化(iSCSI 構成)
ゾーンを作成したら、そのゾーンがスイッチに認識されるように、ゾーンをアクティブ化しま
す。
新しく作成されたゾーンをアクティブなゾーンに含めてアクティブ化するには、次のように設
定します。
switch(config)# zoneset
switch(config-zoneset)#
switch(config-zoneset)#
switch(config)# zoneset
name PROXIES vsan 2
member PROXY2-1
exit
activate name PROXIES vsan 2
㽷
これらのスイッチに関する具体的な情報は、ベンダーのマニュアルに記載されています。
SP A および SP B FC インターフェイスの有効化(FC 構成)
ストレージ プロセッサのファイバ チャネル ポートを有効化します。 次のコマンドを実行しま
す。
switch(config)# interface fc4/2
switch(config-if)# no shutdown
switch(config-if)# exit
switch(config)# interface fc4/4
switch(config-if)# no shutdown
switch(config-if)# exit
iSCSI/FC 用の VSAN の追加とゾーンの有効化
次の例を使用して、スロット 2 のポート 1 にある iSCSI ブレードおよびスロット 4 のポート 2
とポート 4 にある FC(ファイバ チャネル)ブレードを MDS VSAN 2 に追加します。次に、デフ
ォルト ゾーンを有効化して 1~4093 の VSAN を許可します。
手順
1. iSCSI およびファイバ チャネル用の VSAN を iSCSI とファイバ チャネル間のブリッジに追
加します。
switch(config)# show vsan database
switch(config-vsan-db)# vsan 2
switch(config-vsan-db)# vsan 2 interface iscsi2/1
switch(config-vsan-db)# vsan 2 interface fc4/4
switch(config-vsan-db)# vsan 2 interface fc4/2
switch(config-vsan-db)# exit
2. iSCSI とファイバ チャネル間のブリッジ上のゾーンを有効化します。
switch(config)# zone default-zone permit vsan 1-4093
3. iSCSI とファイバ チャネル間のブリッジまたは MDS ファイバ チャネル スイッチ コンソー
ルからログオフします。
switch(config)# exit
116
EMC VNX Series 8.1 VNX NFS の構成
VNX for Block での Parallel NFS
VNX for File 上にセキュリティ ファイルを作成
システムは、ストレージ システムの有効なユーザー アカウントを持っているユーザーが発行
したコマンドでない限り、Secure CLI コマンドを認識しません。 Unisphere 6.X セキュリティ フ
ァイルを構成して、サーバー上で Secure CLI コマンドを発行できます。 Secure CLI コマンド
では、各コマンド ラインにサーバー(またはパスワード プロンプト)が必要ですが、セキュリ
ティ ファイルを作成する場合は、これらをコマンド ラインに指定する必要はありません。
セキュリティ ファイルを作成するには、次の手順を実行します。
手順
1. NAS 管理者として Control Station にログインします。
2. スイッチ上と同様に、ユーザー名およびパスワードに同じ設定を使用する場合は、次の
ように入力します。
/nas/sbin/naviseccli -h [<hostname:IP address>] security
-AddUserSecurity -scope 0 -user nasadmin -password nasadmin
㽷
ホスト名は SP A または SP B と指定します。
3. コンテンツをセキュア モード以外で実行している状態で、NAS v5.5 がインストールされた
新しい VNX for block CX3 または CX4 シリーズ システムを使用している場合は、次のよ
うに入力します。
/nas/sbin/naviseccli -h [<hostname:IP address>] security
-AddUserSecurity -scope 0 -user emc -password emc
VNX for block iSCSI ポート構成
このセクションでは iSCSI 構成に対して VNX for block をセットアップする方法について説明
します。
㽷
すべてのシステムの IP アドレス<hostname:IP address>は、Control Station の/etc/hosts フ
ァイルにあります。 複数のシステムを使用している場合は、EMC ではそれらのシステム
を/etc/hosts ファイルに登録することを推奨します。
手順
1. 次の naviseccli コマンドを使用して、ストレージ アレイ上で iSCSI ターゲット ホスト名 SP
A、ポート IP アドレス 0 を構成します。
/nas/sbin/naviseccli -h [<hostname:IP address>] connection
-setport -sp a -portid 0 -address [<port IP address>]
-subnetmask [<subnet mask>] -gateway [<gateway IP address>]
It is recommended that you consult with your Network
Manager to determine the correct settings before applying
these changes. Changing the port properties may disrupt iSCSI
traffic to all ports on this SP. Initiator configuration changes
may be necessary to regain connections. Do you really want to
perform this action (y/n)? y
2. 続けて SP A のポート 1~3、SP B のポート 0~3 を構成します。
VNX for File 上にセキュリティ ファイルを作成
117
VNX for Block での Parallel NFS
/nas/sbin/naviseccli -h [<hostname:IP address>] connection
-setport -sp a -portid 1 -address [<port IP address>]
-subnetmask [<subnet mask>] -gateway [<gateway IP address>]
/nas/sbin/naviseccli -h [<hostname:IP address>] connection
-setport -sp a -portid 2 -address [<port IP address>]
-subnetmask [<subnet mask>] -gateway [<gateway IP address>]
/nas/sbin/naviseccli -h [<hostname:IP address>] connection
-setport -sp a -portid 3 -address [<port IP address>]
-subnetmask [<subnet mask>] -gateway [<gateway IP address>]
/nas/sbin/naviseccli -h [<hostname:IP address>] connection
-setport -sp b -portid 0 -address [<port IP address>]
-subnetmask [<subnet mask>] -gateway [<gateway IP address>]
/nas/sbin/naviseccli -h [<hostname:IP address>] connection
-setport -sp b -portid 1 -address [<port IP address>]
-subnetmask [<subnet mask>] -gateway [<gateway IP address>]
/nas/sbin/naviseccli -h [<hostname:IP address>] connection
-setport -sp b -portid 2 -address [<port IP address>]
-subnetmask [<subnet mask>] -gateway [<gateway IP address>]
/nas/sbin/naviseccli -h [<hostname:IP address>] connection
-setport -sp b -portid 3 -address [<port IP address>]
-subnetmask [<subnet mask>] -gateway [<gateway IP address>]
Access Logix 構成
このセクションでは、EMC Access Logix™構成のセットアップ方法、ストレージ グループの作
成方法、LUN の追加方法、failovermode と arraycommpath の設定方法について説明しま
す。
[Access Logix を使用した failovermode と arraycommpath の設定]
naviseccli failovermode コマンドは、フェイルオーバー ソフトウェアに必要なトレスパスのタ
イプを有効化または無効化します。 -failovermode を設定するこの方法が機能するのは、
Access Logix を備えたストレージ システムだけです。
failovermode の現在の設定を検出するには、port-list-failovermode コマンドまたは portlist-all コマンドを使用します。
㽷㎞
failovermode の設定を変更すると、システムが強制的に再起動される場合があります。
failovermode モードを間違った値に変更すると、ストレージ グループは接続されたすべて
のサーバーにアクセスできなくなります。
1. failovermode を 1 に設定するには(統合ネットワーク ストレージのみ)、次のように入力
します。
/nas/sbin/naviseccli -h [<hostname:IP address>]
failovermode 1
WARNING: Previous Failovermode setting will be lost!
DO YOU WISH TO CONTINUE (y/n)? y
118
EMC VNX Series 8.1 VNX NFS の構成
VNX for Block での Parallel NFS
2. arraycommpath を 1 に設定するには(統合ネットワーク ストレージのみ)、次のように入
力します。
/nas/sbin/naviseccli -h [<hostname:IP address>] arraycommpath 1
WARNING: Previous arraycommpath setting will be lost!
DO YOU WISH TO CONTINUE (y/n)? y
これらのコマンドにより、システムで failovermode および arraycommpath が有効になり
ます。
[ストレージ グループの作成と LUN の追加]
このセクションでは、ストレージ グループの作成方法、ストレージ グループへの LUN の追加
方法、ストレージ グループの構成方法について説明します。
すべてのシステムの IP アドレス<hostname:IP address>は、Control Station の/etc/hosts フ
ァイルにあります。 複数のシステムを使用している場合は、EMC ではそれらのアレイ
を/etc/hosts ファイルに登録することを推奨します。
㽷
ホスト名は SP A または SP B と指定します。
1. ホスト名は SP A または SP B と指定します。
$ /nas/sbin/navicli -h [<hostname:IP address>] storagegroup
-create -gname PNFS_Clients
2. ストレージ グループに LUN を追加します。
$ /nas/sbin/navicli -h [<hostname:IP address>] storagegroup
-addhlu -gname PNFS_Clients -hlu 0 -alu 16
3. 続けてすべての LUN を追加します。
$ /nas/sbin/navicli -h [<hostname:IP address>] storagegroup
-addhlu -gname PNFS_Clients -hlu 1 -alu 17
Access Logix 構成
119
VNX for Block での Parallel NFS
120
EMC VNX Series 8.1 VNX NFS の構成
索引
数字
32bitClient パラメーター 79
A
acl.sortAces パラメーター 53
ACL(アクセス コントロール リスト) 21
C
CDMS 10
CIFS
パラメーター
acl.sortAces 53
D
DNS
Secure NFS の構成 53
パラメーター
updatePTRrecord 46
E
EMC E-Lab Navigator 86
H
hivers オプション 28
K
Kerberos
Secure NFS で UNIX または Linux の KDC を使用 53
Secure NFS で Windows KDC を使用 45
L
Linux Kerberos KDC、Secure NFS の構成 53
N
nas_automountmap 70
netd ファイル 28
NFS
PC クライアントの認証 19
Secure NFS の管理 80
アクセスの無効化 69
管理 68
国際標準対応 21
定義 9
統計の表示 87
ファイル システムのエクスポート 36
ファイル システムのマウント 33
ファイル ロック 23
マウント ポイントの作成 32
NFS setuid ビットおよび setgid ビットのアクセスの防止 38
NFSv4
recallTimeout 75
Secure NFS の管理 80
Unicode 31
アクセス コントロール リスト 21
エラー メッセージ 91
管理 74
クライアント コンテキスト 24
セットアップ手順 28, 35
デリゲーション 22
統計の表示 87
トラブルシューティング 86
ネーム サービス 30
パラメーター
32bitClient 79
ファイル システムのエクスポート 35, 36
ファイル システムのマウント 34
マウント ポイントの作成 32
NFS アクセスの無効化 69
NIS
Secure NFS の構成 45, 53
R
recallTimeout パラメーター 75
S
Secure NFS
UNIX または Linux の Kerberos KDC を使用 53
Windows Kerberos KDC を使用 45
secureExportMode パラメーター 98
server_export
Kerberos 42
Kerberos セキュリティ 42
NFSv4
NFSv4 クライアントのみのアクセス 41
UNIX セキュリティ 42
VLAN アクセス 41
アクセス オプション 37
アクセス レベルの設定 37
server_kerberos
サービス プリンシパルの作成 58
領域の作成 55
server_mountpoint 32
server_mountt 33
server_name 54
server_nfs
Kerberos ユーザー プリンシパル名を UID にマッピング
51
NFSv4 クライアントの解放 79
NFSv4 クライアントの表示 77
NFSv4 ステータスの表示 86
NFSv4 の開始 77
NFSv4 の停止 76
Secure NFS サービス インスタンスの設定 49, 56
認証の解除 83
EMC VNX Series 8.1 VNX NFS の構成
121
索引
プリンシパルの削除 83
マッピング エントリーの表示 82
ユーザー属性の表示 81
server_umount 35
Solaris Kerberos KDC、NFSLinux Kerberos KDC の構成、
Secure NFS の構成 53
UNIX ベース 19
た
タイム サービス、Secure NFS の構成 53
タイム サービス,Secure NFS の構成 45
て
U
デリゲーション 22
UID、ユーザー プリンシパル名へのマップ 61
Unicode 31
UNIX セキュリティ 19
updatePTRrecord パラメーター 46
UTF-8 21
と
V
認証
トラブルシューティング 85
に
VLAN、アクセスの指定 41
VNX の FileMover 機能 10
あ
アクセス、NFS の無効化 69
アンエクスポート 69
アンエクスポート、ファイル システム 68
アンマウント 35
え
エクスポート
Kerberos 認証を使用 42, 43
UNIX および Kerberos 認証を使用 43
UNIX 認証を使用 42
エラー メッセージ 90
お
オートマウンタ機能 70
か
管理 68
く
クライアント コンテキスト 24
こ
国際標準対応 21
さ
サービス プリンシパル
KDC を使用して追加 59
再エクスポート 69
PC クライアント用 19
UNIX および Linux クライアント用 19
ね
ネーム サービス 30
は
パラメーター
32bitClient 79
acl.sortAces 53
recallTimeout 75
secureExportMode 98
updatePTRrecord 46
ふ
ファイル システム
Kerberos 認証でエクスポート 42, 43
UNIX および Kerberos 認証でエクスポート 43
UNIX 認証でエクスポート 42
マウント 33
ファイル システムの再エクスポート 69
ファイル ロック 23
プリンシパル
UID へのマップ 61
サービス プリンシパルの追加 58
プロトコル
NFS 9
ま
マウント
ファイル システム 33
マップ ファイル
コピー 70
作成 70
マルチホーム Data Mover 58
し
システム アクセス 18
システムのアクセス制御 18
め
せ
も
セキュリティ
Kerberos ベース 19
122
EMC VNX Series 8.1 VNX NFS の構成
メッセージ、エラー 90
モード ビット 20
索引
ゆ
ユーザー マッピング 51
ユーザー認証 19
EMC VNX Series 8.1 VNX NFS の構成
123
索引
124
EMC VNX Series 8.1 VNX NFS の構成
Fly UP