Bei Verwendung des NFS-Speichers müssen Sie spezifische Richtlinien zur NFS-Serverkonfiguration, zum Netzwerk, zu NFS-Datenspeichern usw. befolgen.

NFS-Serverkonfiguration

Befolgen Sie beim Konfigurieren des NFS-Servers für die Nutzung von ESXi die Empfehlungen des Speicheranbieters. Beachten Sie neben diesen allgemeinen Empfehlungen die speziellen Richtlinien, die sich auf NFS in einer vSphere-Umgebung beziehen.

Es sollten u. a. folgende Richtlinien beachtet werden.

  • Vergewissern Sie sich, dass die verwendeten NAS-Server in der VMware HCL aufgelistet sind. Achten Sie auf die korrekte Version der Server-Firmware.
  • Exportieren Sie das NFS-Volume mithilfe von NFS über TCP.
  • Vergewissern Sie sich, dass eine Freigabe vom NAS-Server entweder als NFS 3 oder als NFS 4.1 exportiert wird. Der NAS-Server darf nicht beide Protokollversionen für dieselbe Freigabe bereitstellen. Diese Richtlinie muss vom NAS-Server durchgesetzt werden, da ESXi das Mounten derselben Freigabe über unterschiedliche NFS-Versionen nicht verhindert.
  • NFS 3 und NFS 4.1 ohne Kerberos (AUTH_SYS) bieten keine Unterstützung für delegierte Benutzer, über die der Zugriff auf NFS-Volumes mit Nicht-Root-Anmeldedaten möglich wäre. Wenn Sie NFS 3 oder NFS 4.1 ohne Kerberos verwenden, stellen Sie sicher, dass alle Hosts Rootzugriff auf das Volume besitzen. Diese Funktion wird bei verschiedenen Speicheranbietern unterschiedlich aktiviert. NAS-Server verwenden üblicherweise die Option no_root_squash. Wenn der NAS-Server keinen Rootzugriff zulässt, können Sie den NFS-Datenspeicher weiterhin auf dem Host mounten. Sie können jedoch keine virtuellen Maschinen im Datenspeicher erstellen.
  • Falls das zugrunde liegende NFS-Volume schreibgeschützt ist, müssen Sie sicherstellen, dass es vom NFS-Server als schreibgeschützte Freigabe exportiert wird. Sie können das Volume jedoch auch als schreibgeschützten Datenspeicher auf dem ESXi-Host mounten. Anderenfalls betrachtet der Host den Datenspeicher als beschreibbar und öffnet die Dateien möglicherweise nicht.

NFS-Netzwerk

Ein ESXi-Host verwendet eine TCP/IP-Netzwerkverbindung für den Zugriff auf einen Remote-NAS-Server. Für die Konfiguration des Netzwerks bei Verwendung eines NFS-Speichers sind bestimmte Richtlinien und Best Practices zu beachten.

Weitere Informationen finden Sie in der Dokumentation vSphere-Netzwerk.

  • Verwenden Sie für die Netzwerkverbindung einen standardmäßigen Netzwerkadapter in Ihrem ESXi-Host.
  • ESXi unterstützt Layer-2- und Layer-3-Netzwerk-Switches. Bei Layer-3-Switches müssen sich ESXi-Hosts und NFS-Speicherarrays in unterschiedlichen Subnetzen befinden und die Routing-Informationen müssen vom Netzwerk-Switch verarbeitet werden.
  • Konfigurieren Sie für den NFS-Speicher eine VMkernel-Portgruppe. Die VMkernel-Portgruppe für IP-Speicher kann auf einem bereits vorhandenen virtuellen Switch (vSwitch) oder einem neuen vSwitch erstellt werden. Beim vSwitch kann es sich um einen vSphere Standard Switch (VSS) oder einen vSphere Distributed Switch (VDS) handeln.
  • Bei Verwendung mehrerer Ports für den NFS-Datenverkehr müssen Sie sicherstellen, dass alle virtuellen und physischen Switches korrekt konfiguriert sind.
  • NFS 3 und NFS 4.1 unterstützen IPv6.

NFS-Dateisperrung

Mithilfe von Dateisperrmechanismen wird der Zugriff auf Daten, die auf einem Server gespeichert sind, auf nur jeweils einen einzigen Benutzer oder Prozess zur gleichen Zeit beschränkt. Die Sperrmechanismen der beiden NFS-Versionen sind nicht kompatibel. NFS 3 verwendet proprietäre Sperren und NFS 4.1 verwendet über natives Protokoll angegebene Sperren.

Die NFS-3-Sperrung in ESXi verwendet nicht das Protokoll Network Lock Manager (NLM). Stattdessen liefert VMware ein eigenes Sperrprotokoll. NFS-3-Sperrungen werden durch Sperrdateien auf dem NFS-Server erzielt. Diese tragen den Namen .lck-file_id..

NFS 4.1 verwendet Freigabereservierungen als Sperrmechanismus.

Da NFS 3- und NFS 4.1-Clients nicht das gleiche Sperrprotokoll verwenden, können Sie denselben Datenspeicher nicht mit verschiedenen NFS-Versionen auf mehreren Hosts mounten. Der Zugriff auf dieselbe virtuelle Festplatte über zwei nicht kompatible Clients kann zu unvorhersehbarem Verhalten und Datenbeschädigung führen.

NFS-Sicherheit

Bei Verwendung von NFS 3 und NFS 4.1 unterstützt ESXi die AUTH_SYS-Sicherheit. Darüber hinaus wird für NFS 4.1 der Kerberos-Sicherheitsmechanismus unterstützt.

NFS 3 unterstützt den AUTH_SYS-Sicherheitsmechanismus. Mit diesem Mechanismus wird Speicherdatenverkehr in einem unverschlüsseltem Format über das LAN übertragen. Aufgrund dieser Einschränkungen bei der Sicherheit sollten Sie die NFS-Speicherung ausschließlich in vertrauenswürdigen Netzwerken einsetzen und den Datenverkehr in getrennten physischen Switches isolieren. Sie können auch ein privates VLAN verwenden.

NFS 4.1 unterstützt das Authentifizierungsprotokoll Kerberos zur sicheren Kommunikation mit dem NFS-Server. Nicht-Root-Benutzer können auf Dateien zugreifen, wenn Kerberos verwendet wird. Weitere Informationen finden Sie unter Verwenden von Kerberos für NFS 4.1.

Neben Kerberos unterstützt NFS 4.1 herkömmliche Nicht-Kerberos-Bereitstellungen durch die AUTH_SYS-Sicherheit. Halten Sie sich dabei an die Richtlinien für den Root-Zugriff für NFS-Version 3.
Hinweis: Es ist nicht möglich, zwei Sicherheitsmechanismen (AUTH_SYS und Kerberos) für denselben NFS 4.1-Datenspeicher zu verwenden, der von mehreren Hosts gemeinsam genutzt wird.

NFS-Multipathing

NFS 4.1 unterstützt Multipathing gemäß Protokollspezifikationen. Für NFS 3 ist Multipathing nicht anwendbar.

NFS 3 nutzt für E/A-Vorgänge eine einzige TCP-Verbindung. Aus diesem Grund unterstützt ESXi die E/A-Vorgänge für den NFS-Server nur für eine IP-Adresse oder einen Hostnamen und bietet keine Unterstützung für mehrere Pfade. Je nach Netzwerkinfrastruktur und -konfiguration können Sie mithilfe der Netzwerk-Stacks mehrere Verbindungen mit den Speicherzielen konfigurieren. Dazu müssen Sie mehrere Datenspeicher betreiben, von denen jeder eine eigene Netzwerkverbindung zwischen Host und Speicher verwendet.

NFS 4.1 stellt mehrere Pfade für Server mit unterstütztem Session Trunking zur Verfügung. Wenn Trunking verfügbar ist, können Sie über mehrere IP-Adressen auf dasselbe NFS-Volume zugreifen. Client-ID-Trunking wird nicht unterstützt.

NFS und Hardwarebeschleunigung

In NFS-Datenspeichern erstellte virtuelle Festplatten sind standardmäßig per Thin Provisioning bereitgestellt. Um per Thick Provisioning bereitgestellte virtuelle Festplatten zu erstellen, müssen Sie die Hardwarebeschleunigung verwenden, die den Vorgang „Speicherplatz reservieren“ unterstützt.

NFS 3 und NFS 4.1 unterstützen die Hardwarebeschleunigung, über die der Host mit NAS-Geräten vernetzt wird und mehrere vom NAS-Speicher bereitgestellte Hardwarevorgänge nutzen kann. Weitere Informationen finden Sie unter Hardwarebeschleunigung auf NAS-Geräten.

NFS-Datenspeicher

Beim Erstellen eines NFS-Datenspeichers müssen bestimmte Richtlinien befolgt werden.

Folgende Richtlinien und Best Practices für den NFS-Datenspeicher müssen u. a. beachtet werden:
  • Das Mounten desselben Datenspeichers mit unterschiedlichen NFS-Versionen auf verschiedenen Hosts ist nicht möglich. NFS 3- und NFS 4.1-Clients sind nicht kompatibel und arbeiten mit unterschiedlichen Sperrprotokollen. Das bedeutet, dass es beim Zugriff auf dieselbe virtuelle Festplatte über zwei nicht kompatible Clients zu unvorhersehbarem Verhalten und Datenbeschädigung kommen kann.
  • NFS-3- und NFS-4.1-Datenspeicher können nebeneinander auf demselben Host existieren.
  • ESXi kann NFS 3 nicht automatisch auf Version 4.1 aktualisieren. Sie können jedoch andere Konvertierungsmethoden verwenden. Weitere Informationen finden Sie unter Informationen zu NFS-Datenspeichern.
  • Wenn Sie dasselbe NFS-3-Volume auf verschiedenen Hosts mounten, müssen Sie sicherstellen, dass Server- und Ordnernamen auf allen Hosts identisch sind. Wenn die Namen nicht übereinstimmen, betrachten die Hosts das NFS-3-Volume als zwei separate Datenspeicher. Bei Funktionen wie vMotion kann dies zu einem Fehler führen. Ein Beispiel für eine solche Diskrepanz wäre filer als Servernamen auf einem Host und filer.domain.com auf dem anderen. Diese Richtlinie gilt nicht für NFS Version 4.1.
  • Wenn Sie beim Benennen von Datenspeichern und virtuellen Maschinen Nicht-ASCII-Zeichen verwenden, stellen Sie sicher, dass der zugrunde liegende NFS-Server die Internationalisierung unterstützt. Wenn der Server keine Sonderzeichen unterstützt, verwenden Sie nur die Standard-ASCII-Zeichen, da andernfalls unvorhersehbare Fehler auftreten können.