Bei Verwendung des NFS-Speichers mit ESXi müssen Sie spezifische Richtlinien zur NFS-Serverkonfiguration, zum Netzwerk, zu NFS-Datenspeichern usw. befolgen.
NFS-Serverkonfiguration
Befolgen Sie beim Konfigurieren des NFS-Servers für die Nutzung von ESXi die Empfehlungen des Speicheranbieters. Beachten Sie neben diesen allgemeinen Empfehlungen die speziellen Richtlinien, die sich auf NFS in einer vSphere-Umgebung beziehen.
Es sollten u. a. folgende Richtlinien beachtet werden.
- Vergewissern Sie sich, dass die verwendeten NAS-Server in der VMware HCL aufgelistet sind. Achten Sie auf die korrekte Version der Server-Firmware.
- Exportieren Sie das NFS-Volume mithilfe von NFS über TCP.
- Vergewissern Sie sich, dass eine Freigabe vom NAS-Server entweder als NFS 3 oder als NFS 4.1 exportiert wird. Der NAS-Server darf nicht beide Protokollversionen für dieselbe Freigabe bereitstellen. Diese Richtlinie muss vom NAS-Server durchgesetzt werden, da ESXi das Mounten derselben Freigabe über unterschiedliche NFS-Versionen nicht verhindert.
- NFS 3 und NFS 4.1 ohne Kerberos (AUTH_SYS) bieten keine Unterstützung für delegierte Benutzer, über die der Zugriff auf NFS-Volumes mit Nicht-Root-Anmeldedaten möglich wäre. Wenn Sie NFS 3 oder NFS 4.1 ohne Kerberos verwenden, stellen Sie sicher, dass alle Hosts Rootzugriff auf das Volume besitzen. Diese Funktion wird bei verschiedenen Speicheranbietern unterschiedlich aktiviert. NAS-Server verwenden üblicherweise die Option no_root_squash. Wenn der NAS-Server keinen Rootzugriff zulässt, können Sie den NFS-Datenspeicher weiterhin auf dem Host mounten. Sie können jedoch keine virtuellen Maschinen im Datenspeicher erstellen.
- Falls das zugrunde liegende NFS-Volume schreibgeschützt ist, müssen Sie sicherstellen, dass es vom NFS-Server als schreibgeschützte Freigabe exportiert wird. Sie können das Volume jedoch auch als schreibgeschützten Datenspeicher auf dem ESXi-Host mounten. Anderenfalls betrachtet der Host den Datenspeicher als beschreibbar und öffnet die Dateien möglicherweise nicht.
NFS-Netzwerk
Ein ESXi-Host verwendet eine TCP/IP-Netzwerkverbindung für den Zugriff auf einen Remote-NAS-Server. Für die Konfiguration des Netzwerks bei Verwendung eines NFS-Speichers sind bestimmte Richtlinien und Best Practices zu beachten.
Weitere Informationen finden Sie in der Dokumentation vSphere-Netzwerk.
- Verwenden Sie für die Netzwerkverbindung einen standardmäßigen Netzwerkadapter in Ihrem ESXi-Host.
- ESXi unterstützt Layer-2- und Layer-3-Netzwerk-Switches. Bei Layer-3-Switches müssen sich ESXi-Hosts und NFS-Speicherarrays in unterschiedlichen Subnetzen befinden und die Routing-Informationen müssen vom Netzwerk-Switch verarbeitet werden.
- Konfigurieren Sie für den NFS-Speicher eine VMkernel-Portgruppe. Die VMkernel-Portgruppe für IP-Speicher kann auf einem bereits vorhandenen virtuellen Switch (vSwitch) oder einem neuen vSwitch erstellt werden. Beim vSwitch kann es sich um einen vSphere Standard Switch (VSS) oder einen vSphere Distributed Switch (VDS) handeln.
- Bei Verwendung mehrerer Ports für den NFS-Datenverkehr müssen Sie sicherstellen, dass alle virtuellen und physischen Switches korrekt konfiguriert sind.
- NFS 3 und NFS 4.1 unterstützen IPv6.
- Sie können NFS-Speicher mit mehreren Verbindungen konfigurieren, indem Sie die Option nconnect verwenden. Bei NFS 4.1 können Sie mehrere Verbindungen pro Sitzung erstellen. Bei NFS 3 können Sie den Datenspeicher mit mehreren Verbindungen bereitstellen. Sie können standardmäßig maximal vier Verbindungen pro NFS-Datenspeicher festlegen. Sie können die Anzahl jedoch mithilfe der erweiterten NFS-Option auf bis zu acht erhöhen. Stellen Sie sicher, dass die Gesamtzahl der Verbindungen über alle bereitgestellten NFS-Datenspeicher hinweg 256 nicht überschreitet. Weitere Informationen hierzu finden Sie unter Konfigurieren mehrerer TCP-Verbindungen für NFS.
- Sie können NFS-Datenverkehr auf bestimmte VMkernel-Adaptern isolieren. Wenn der VMkernel-Adapter, den ESXi für den NFS-Datenverkehr verwendet, ohne Bindung ausfällt, leitet die Netzwerkinfrastruktur den Datenverkehr über eine alternative Route um. Infolgedessen könnte der NFS-Verkehr unbeabsichtigt durch einen beliebigen VMkernel-Adapter geleitet werden. Mit der VMkernel-Port-Bindung für den NFS-Datenspeicher können Sie ein NFS-Volume an einen bestimmten VMkernel-Adapter binden, um eine Verbindung mit einem NFS-Server herzustellen. Weitere Informationen hierzu finden Sie unter Konfigurieren der VMkernel-Bindung für NFS-Datenspeicher.
NFS-Dateisperrung
Mithilfe von Dateisperrmechanismen wird der Zugriff auf Daten, die auf einem Server gespeichert sind, auf nur jeweils einen einzigen Benutzer oder Prozess zur gleichen Zeit beschränkt. Die Sperrmechanismen der beiden NFS-Versionen sind nicht kompatibel. NFS 3 verwendet proprietäre Sperren und NFS 4.1 verwendet über natives Protokoll angegebene Sperren.
Die NFS-3-Sperrung in ESXi verwendet nicht das Protokoll Network Lock Manager (NLM). Stattdessen liefert VMware ein eigenes Sperrprotokoll. NFS-3-Sperrungen werden durch Sperrdateien auf dem NFS-Server erzielt. Diese tragen den Namen .lck-file_id..
NFS 4.1 verwendet Freigabereservierungen als Sperrmechanismus.
Da NFS 3- und NFS 4.1-Clients nicht das gleiche Sperrprotokoll verwenden, können Sie denselben Datenspeicher nicht mit verschiedenen NFS-Versionen auf mehreren Hosts mounten. Der Zugriff auf dieselbe virtuelle Festplatte über zwei nicht kompatible Clients kann zu unvorhersehbarem Verhalten und Datenbeschädigung führen.
NFS-Sicherheit
Bei Verwendung von NFS 3 und NFS 4.1 unterstützt ESXi die AUTH_SYS-Sicherheit. Darüber hinaus wird für NFS 4.1 der Kerberos-Sicherheitsmechanismus unterstützt.
NFS 3 unterstützt den AUTH_SYS-Sicherheitsmechanismus. Mit diesem Mechanismus wird Speicherdatenverkehr in einem unverschlüsseltem Format über das LAN übertragen. Aufgrund dieser Einschränkungen bei der Sicherheit sollten Sie die NFS-Speicherung ausschließlich in vertrauenswürdigen Netzwerken einsetzen und den Datenverkehr in getrennten physischen Switches isolieren. Sie können auch ein privates VLAN verwenden.
NFS 4.1 unterstützt das Authentifizierungsprotokoll Kerberos zur sicheren Kommunikation mit dem NFS-Server. Nicht-Root-Benutzer können auf Dateien zugreifen, wenn Kerberos verwendet wird. Weitere Informationen finden Sie unter Verwenden von Kerberos für NFS 4.1 mit ESXi.
NFS-Multipathing
NFS 4.1 unterstützt Multipathing gemäß Protokollspezifikationen. Für NFS 3 ist Multipathing nicht anwendbar.
NFS 3 nutzt für E/A-Vorgänge eine einzige TCP-Verbindung. Aus diesem Grund unterstützt ESXi die E/A-Vorgänge für den NFS-Server nur für eine IP-Adresse oder einen Hostnamen und bietet keine Unterstützung für mehrere Pfade. Je nach Netzwerkinfrastruktur und -konfiguration können Sie mithilfe der Netzwerk-Stacks mehrere Verbindungen mit den Speicherzielen konfigurieren. Dazu müssen Sie mehrere Datenspeicher betreiben, von denen jeder eine eigene Netzwerkverbindung zwischen Host und Speicher verwendet.
NFS 4.1 stellt mehrere Pfade für Server mit unterstütztem Session Trunking zur Verfügung. Wenn Trunking verfügbar ist, können Sie über mehrere IP-Adressen auf dasselbe NFS-Volume zugreifen. Client-ID-Trunking wird nicht unterstützt.
NFS und Hardwarebeschleunigung
In NFS-Datenspeichern erstellte virtuelle Festplatten sind standardmäßig per Thin Provisioning bereitgestellt. Um per Thick Provisioning bereitgestellte virtuelle Festplatten zu erstellen, müssen Sie die Hardwarebeschleunigung verwenden, die den Vorgang „Speicherplatz reservieren“ unterstützt.
NFS 3 und NFS 4.1 unterstützen die Hardwarebeschleunigung, über die der Host mit NAS-Geräten vernetzt wird und mehrere vom NAS-Speicher bereitgestellte Hardwarevorgänge nutzen kann. Weitere Informationen finden Sie unter vSphere Hardwarebeschleunigung auf NAS-Geräten.
NFS-Datenspeicher
Beim Erstellen eines NFS-Datenspeichers müssen bestimmte Richtlinien befolgt werden.
- Das Mounten desselben Datenspeichers mit unterschiedlichen NFS-Versionen auf verschiedenen Hosts ist nicht möglich. NFS 3- und NFS 4.1-Clients sind nicht kompatibel und arbeiten mit unterschiedlichen Sperrprotokollen. Das bedeutet, dass es beim Zugriff auf dieselbe virtuelle Festplatte über zwei nicht kompatible Clients zu unvorhersehbarem Verhalten und Datenbeschädigung kommen kann.
- NFS-3- und NFS-4.1-Datenspeicher können nebeneinander auf demselben Host existieren.
- ESXi kann NFS 3 nicht automatisch auf Version 4.1 aktualisieren. Sie können jedoch andere Konvertierungsmethoden verwenden. Weitere Informationen finden Sie unter NFS-Upgrades.
- Wenn Sie dasselbe NFS-3-Volume auf verschiedenen Hosts mounten, müssen Sie sicherstellen, dass Server- und Ordnernamen auf allen Hosts identisch sind. Wenn die Namen nicht übereinstimmen, betrachten die Hosts das NFS-3-Volume als zwei separate Datenspeicher. Bei Funktionen wie vMotion kann dies zu einem Fehler führen. Ein Beispiel für eine solche Diskrepanz wäre filer als Servernamen auf einem Host und filer.domain.com auf dem anderen. Diese Richtlinie gilt nicht für NFS Version 4.1.
- Wenn Sie beim Benennen von Datenspeichern und virtuellen Maschinen Nicht-ASCII-Zeichen verwenden, stellen Sie sicher, dass der zugrunde liegende NFS-Server die Internationalisierung unterstützt. Wenn der Server keine Sonderzeichen unterstützt, verwenden Sie nur die Standard-ASCII-Zeichen, da andernfalls unvorhersehbare Fehler auftreten können.
Verwenden von gerouteten Schicht 3-Verbindungen für den Zugriff auf NFS-Speicher mit ESXi
Wenn Sie geroutete Schicht 3 (L3)-Verbindungen für den Zugriff auf NFS-Speicher verwenden, müssen Sie bestimmte Anforderungen und Beschränkungen beachten.
- Das HSRP-Protokoll von Cisco (Hot Standby Router Protocol) wird im IP-Router verwendet. Falls Sie einen anderen Router als den von Cisco verwenden, verwenden Sie stattdessen das VRRP-Protokoll (Virtual Router Redundancy Protocol).
- Für die Priorisierung des NFS L3-Datenverkehrs auf Netzwerken mit begrenzter Bandbreite oder auf überlasteten Netzwerken verwenden Sie QoS (Quality of Service). Weitere Informationen hierzu finden Sie in der Dokumentation des Routers.
- Befolgen Sie die Empfehlungen zu geroutetem NFS L3 des Speicheranbieters. Weitere Informationen erhalten Sie von Ihrem Speicheranbieter.
- Deaktivieren der Netzwerk-E/A-Ressourcenverwaltung (NetIORM).
- Falls Sie vorhaben, Systeme mit Top-of-Rack-Switches oder der Switch-abhängigen E/A-Gerätepartitionierung einzusetzen, wenden Sie sich bezüglich Kompatibilität und Unterstützung an Ihren Systemanbieter.
- Die Umgebung unterstützt VMware Site Recovery Manager nicht.
- Die Umgebung unterstützt nur das NFS-Protokoll. Verwenden Sie keine anderen Speicherprotokolle, wie z. B. FCoE, in demselben physischen Netzwerk.
- Der NFS-Datenverkehr in dieser Umgebung unterstützt IPv6 nicht.
- Der NFS-Datenverkehr in dieser Umgebung kann nur über ein LAN geleitet werden. Andere Umgebungen, wie z. B. WAN, werden nicht unterstützt.
Firewall-Konfigurationen für NFS-Speicher-ESXi
Weitere Informationen zu Firewallregelsatzdateien, nfsClient und nfs41client, die ESXi bei der Bereitstellung von NFS-Datenspeichern der Version 3 oder 4.1 erstellt.
Allgemeine Informationen zu Firewallkonfigurationen finden Sie unter Konfigurieren der ESXi Firewall in der Dokumentation vSphere-Sicherheit.
NFS-Client-Firewallverhalten
Der NFS-Client-Firewallregelsatz weist ein anderes Verhalten als andere ESXi-Firewallregelsätze auf. ESXi konfiguriert NFS-Client-Einstellungen, wenn Sie einen NFS-Datenspeicher mounten oder unmounten. Das Verhalten unterscheidet sich je nach NFS-Version.
Beim Hinzufügen, Mounten und Unmounten eines NFS-Datenspeichers hängt das Verhalten von der NFS-Version ab.
Firewallverhalten in NFS v3
Wenn Sie einen NFS-v3-Datenspeicher hinzufügen oder mounten, überprüft ESXi den Status des NFS-Client-Firewallregelsatzes (nfsClient).
- Wenn der Regelsatz nfsClient deaktiviert ist, aktiviert ihn ESXi und deaktiviert die Richtlinie „Alle IP-Adressen zulassen“, indem das Flag allowedAll auf FALSE gesetzt wird. Die IP-Adresse des NFS-Servers wird der zugelassenen Liste für ausgehende IP-Adressen hinzugefügt.
- Wenn nfsClient aktiviert ist, bleiben der Status des Regelsatzes und die Richtlinien der zugelassenen IP-Adressen unverändert. Die IP-Adresse des NFS-Servers wird der zugelassenen Liste für ausgehende IP-Adressen hinzugefügt.
Beim Entfernen oder Unmounten eines NFS-v3-Datenspeichers führt ESXi eine der folgenden Aktionen aus.
- Wenn keiner der verbleibenden NFS-v3-Datenspeicher von dem Server gemountet werden, auf dem der ungemountete Datenspeicher angesiedelt ist, entfernt ESXi die IP-Adresse des Servers aus der Liste der ausgehenden IP-Adressen.
- Wenn nach dem Unmounten keine gemounteten NFS-v3-Datenspeicher mehr übrig bleiben, deaktiviert ESXi den Firewallregelsatz nfsClient.
Firewallverhalten in NFS v4.1
Beim Mounten des ersten NFS-v4.1-Datenspeichers aktiviert ESXi den Regelsatz nfs41client und setzt das Flag allowedAll auf TRUE. Dabei wird Port 2049 für alle IP-Adressen geöffnet. Das Unmounten eines NFS-v4.1-Datenspeichers hat keine Auswirkungen auf den Status der Firewall. Das heißt, dass durch den ersten gemounteten NFS-v4.1-Datenspeicher Port 2049 geöffnet wird und dieser so lange geöffnet bleibt, bis Sie ihn explizit schließen.
Überprüfen der Firewall-Ports für NFS-Clients
Um den Zugriff auf NFS-Speicher zu ermöglichen, öffnet ESXi automatisch Firewall-Ports für die NFS-Clients, wenn Sie einen NFS-Datenspeicher mounten. Zu Zwecken der Fehlerbehebung müssen Sie möglicherweise überprüfen, ob die Ports geöffnet sind.
Prozedur
- Navigieren Sie im vSphere Client zum ESXi-Host.
- Klicken Sie auf die Registerkarte Konfigurieren.
- Klicken Sie unter System auf Firewall und anschließend auf Bearbeiten.
- Führen Sie einen Bildlauf nach unten zu einer passenden NFS-Version durch, um sicherzustellen, dass der Port geöffnet ist.