Al utilizar el almacenamiento NFS con ESXi, siga las directrices específicas para la configuración del servidor NFS, las redes, los almacenes de datos NFS, etc.

Configuración de servidores NFS

Al configurar servidores NFS para trabajar con ESXi, siga las recomendaciones del proveedor de almacenamiento. Además de estas recomendaciones generales, siga las directrices específicas para NFS en un entorno vSphere.

Las directrices incluyen los siguientes puntos.

  • Asegúrese de que los servidores NAS que utiliza estén enumerados en VMware HCL. Utilice la versión correcta de firmware del servidor.
  • Asegúrese de que el volumen NFS se exporte mediante NFS por medio de TCP.
  • Asegúrese de que el servidor NAS exporte un recurso compartido determinado, como NFS 3 o NFS 4.1. El servidor NAS no debe proporcionar ambas versiones del protocolo para el mismo recurso compartido. El servidor NAS debe aplicar esta directiva, ya que ESXi no impide el montaje del mismo recurso compartido en diferentes versiones de NFS.
  • NFS 3 y la versión NFS 4.1 que no pertenece a Kerberos (AUTH_SYS) no admiten la funcionalidad de usuarios delegados que permite el acceso a volúmenes NFS mediante credenciales no raíz. Si usa NFS 3 o la versión NFS 4.1 que no pertenece a Kerberos, asegúrese de que todos los hosts tengan acceso de raíz al volumen. Los diferentes proveedores de almacenamiento tienen diferentes métodos para habilitar esta funcionalidad, pero generalmente los servidores NAS usan la opción no_root_squash. Si el servidor NAS no otorga acceso de raíz, aún se puede montar el almacén de datos NFS en el host. Sin embargo, no se pueden crear máquinas virtuales en el almacén de datos.
  • Si el volumen NFS subyacente es de solo lectura, asegúrese de que el servidor NFS exporte el volumen como recurso compartido de solo lectura. Como alternativa, se puede montar el volumen como almacén de datos de solo lectura en el host ESXi. De lo contrario, el host considerará que el almacén de datos es de lectura y escritura y no abrirá los archivos.

Redes en NFS

Un host ESXi usa la conexión de red TCP/IP para acceder a un servidor NAS remoto. Existen algunas directrices y prácticas recomendadas para configurar las redes cuando se utiliza el almacenamiento NFS.

Para obtener más información, consulte la documentación sobre Redes de vSphere.

  • Para lograr conectividad de red, utilice un adaptador de red estándar en el host ESXi.
  • ESXi admite conmutadores de red de Capa 2 y Capa 3. Si usa conmutadores de Capa 3, los hosts ESXi y las matrices de almacenamiento NFS deben estar en diferentes subredes y el conmutador de red debe controlar la información de enrutamiento.
  • Configure un grupo de puertos de VMkernel para el almacenamiento NFS. Puede crear el grupo de puertos de VMkernel para el almacenamiento IP en un conmutador virtual (vSwitch) existente o en un vSwitch nuevo. El vSwitch puede ser un conmutador estándar de vSphere (VSS) o vSphere Distributed Switch (VDS).
  • Si usa varios puertos para el tráfico NFS, asegúrese de configurar correctamente los conmutadores virtuales y los conmutadores físicos.
  • NFS 3 y NFS 4.1 admiten IPv6.
  • Puede configurar el almacenamiento de NFS con varias conexiones mediante la opción nconnect. Para NFS 4.1, puede crear varias conexiones por sesión. Para NFS 3, puede montar el almacén de datos con varias conexiones. Puede establecer un máximo de 4 conexiones por almacén de datos de NFS de forma predeterminada. Sin embargo, puede aumentarlo hasta 8 mediante la opción avanzada de NFS. Asegúrese de que el número total de conexiones en todos los almacenes de datos de NFS montados no supere las 256. Consulte Configurar varias conexiones TCP para NFS.
  • Puede aislar el tráfico de NFS en adaptadores de VMkernel específicos. Sin enlazar, si se produce un error en el adaptador de VMkernel que ESXi utiliza para el tráfico de NFS, la infraestructura de red redirigirá el tráfico a una ruta alternativa. Como resultado, el tráfico de NFS puede fluir de forma involuntaria a través de un adaptador de VMkernel aleatorio. El enlace de puertos de VMkernel para el almacén de datos de NFS permite enlazar un volumen de NFS a un adaptador de VMkernel específico para conectarse a un servidor de NFS. Consulte Configurar el enlace de VMkernel para el almacén de datos de NFS.

Bloqueo de archivos NFS

Los mecanismos de bloqueo de archivos permiten restringir el acceso a los datos almacenados en un servidor únicamente a un usuario o proceso por vez. Los mecanismos de bloqueo de las dos versiones de NFS no son compatibles. NFS 3 utiliza un bloqueo de propiedad y NFS 4.1 utiliza el bloqueo especificado del protocolo nativo.

El bloqueo de NFS 3 en ESXi no utiliza el protocolo Network Lock Manager (NLM). En cambio, VMware ofrece su propio protocolo de bloqueo. Para implementar los bloqueos de NFS 3, se crean archivos de bloqueo en el servidor NFS. Los archivos de bloqueo se llaman .lck-file_id.

NFS 4.1 utiliza reservas de recursos compartidos como mecanismo de bloqueo.

Como los clientes de NFS 3 y NFS 4.1 no usan el mismo protocolo de bloqueo, no se pueden utilizar diferentes versiones de NFS para montar el mismo almacén de datos en varios hosts. Si se accede a los mismos discos virtuales desde dos clientes incompatibles, se puede producir un comportamiento incorrecto y los datos pueden dañarse.

Seguridad de NFS

Con NFS 3 y NFS 4.1, ESXi es compatible con el sistema de seguridad AUTH_SYS. Además, para NFS 4.1, también se admite el mecanismo de seguridad Kerberos.

NFS 3 es compatible con el mecanismo de seguridad AUTH_SYS. Con este mecanismo, el tráfico de almacenamiento se transmite por la LAN en un formato sin cifrar. Debido a esta seguridad limitada, utilice el almacenamiento NFS solo en redes de confianza y aísle el tráfico en conmutadores físicos individuales. También puede utilizar una VLAN privada.

NFS 4.1 admite el protocolo de autenticación Kerberos para proteger las comunicaciones con el servidor NFS. Los usuarios no raíz pueden acceder a los archivos si se utiliza Kerberos. Para obtener más información, consulte Usar Kerberos para NFS 4.1 con ESXi.

Además de Kerberos, NFS 4.1 admite los montajes tradicionales que no pertenecen a Kerberos con el mecanismo de seguridad AUTH_SYS. En este caso, siga las directrices de acceso de raíz para la versión 3 de NFS.
Nota: No se pueden usar dos mecanismos de seguridad, AUTH_SYS y Kerberos, para el mismo almacén de datos NFS 4.1 compartido por varios hosts.

Uso de múltiples rutas en NFS

NFS 4.1 admite múltiples rutas en función de las especificaciones del protocolo. Para NFS 3, no se pueden aplicar las múltiples rutas.

NFS 3 utiliza una conexión TCP de E/S. En consecuencia, ESXi admite la E/S solo en una dirección IP o un nombre de host del servidor NFS, y no admite múltiples rutas de acceso. Según la infraestructura y la configuración de la red, puede utilizar la pila de red para configurar varias conexiones con los destinos de almacenamiento. En este caso, debe tener varios almacenes de datos, y cada uno de ellos debe utilizar conexiones de red individuales entre el host y el almacenamiento.

NFS 4.1 ofrece múltiples rutas para los servidores que admiten el enlace troncal de sesiones. Cuando el enlace troncal está disponible, se pueden utilizar varias direcciones IP para acceder a un solo volumen NFS. No se admite el enlace troncal del identificador de cliente.

NFS y aceleración de hardware

Los discos virtuales creados en los almacenes de datos NFS reciben aprovisionamiento fino de forma predeterminada. Para poder crear discos virtuales con aprovisionamiento grueso, es necesario utilizar una aceleración de hardware que admita la operación de reserva de espacio.

NFS 3 y NFS 4.1 admiten la aceleración de hardware para permitir que el host se integre con los dispositivos NAS y utilice varias operaciones de hardware que ofrece el almacenamiento NAS. Para obtener más información, consulte Aceleración de hardware de vSphere en dispositivos NAS.

Almacenes de datos NFS

Al crear un almacén de datos NFS, recuerde seguir las directrices específicas.

Las directrices y prácticas recomendadas para los almacenes de datos NFS incluyen los siguientes puntos. Para crear un almacén de datos de NFS, consulte Crear un almacén de datos de NFS en un entorno de vSphere.
  • No se pueden utilizar diferentes versiones de NFS para montar el mismo almacén de datos en distintos hosts. Los clientes de NFS 3 y NFS 4.1 no son compatibles y no usan el mismo protocolo de bloqueo. Como resultado, si se accede a los mismos discos virtuales desde dos clientes no compatibles, se puede producir un comportamiento incorrecto y los datos pueden dañarse.
  • Los almacenes de datos NFS 3 y NFS 4.1 pueden coexistir en el mismo host.
  • ESXi no puede actualizar automáticamente la versión 3 de NFS a la versión 4.1, pero es posible utilizar otros métodos de conversión. Para obtener información, consulte Actualizaciones de NFS.
  • Al montar el mismo volumen NFS 3 en diferentes hosts, compruebe que los nombres de servidor y carpeta sean idénticos en todos los hosts. Si los nombres no coinciden, los hosts verán el mismo volumen NFS versión 3 como dos almacenes de datos diferentes. Este error puede provocar que características como vMotion no funcionen correctamente. Un ejemplo de esta discrepancia consiste en la introducción de filer como el nombre del servidor en un host y filer.domain.com en el otro. Esta instrucción no se aplica a la versión 4.1 de NFS.
  • Si utiliza caracteres no ASCII para nombrar almacenes de datos y máquinas virtuales, asegúrese de que el servidor NFS subyacente ofrezca compatibilidad de internacionalización. Si el servidor no admite caracteres internacionales, use solo caracteres ASCII. De lo contrario, se producirán errores inesperados.

Usar las conexiones enrutadas de Capa 3 para acceder al almacenamiento NFS con ESXi

Cuando utilice conexiones enrutadas de Capa 3 (L3) para acceder al almacenamiento NFS, debe tener en cuenta ciertos requisitos y restricciones.

Asegúrese de que el entorno cumpla los siguientes requisitos:
  • Utilice el protocolo Hot Standby Router (HSRP) de Cisco en un enrutador IP. Si utiliza un enrutador de otra marca, use el protocolo Virtual Router Redundancy Protocol (VRRP).
  • Para priorizar el tráfico de Capa 3 de NFS en redes con ancho de banda limitado, o en redes que experimentan congestiones, utilice la calidad de servicio (QoS). Para obtener detalles, consulte la documentación del enrutador.
  • Siga las recomendaciones de conexiones enrutadas de Capa 3 de NFS que ofrece el proveedor de almacenamiento. Para obtener detalles, póngase en contacto con el proveedor de almacenamiento.
  • Desactive la administración de recursos de E/S de la red (NetIORM).
  • Si piensa usar sistemas con conmutadores ubicados en la parte superior del bastidor o de la partición de dispositivos de E/S que dependen del conmutador, póngase en contacto con el proveedor del sistema para obtener información sobre compatibilidad y soporte.
En un entorno de Capa 3, se aplican las siguientes restricciones:
  • El entorno no admite VMware Site Recovery Manager.
  • El entorno admite únicamente el protocolo NFS. No use otros protocolos de almacenamiento, como FCoE, en la misma red física.
  • El tráfico NFS en este entorno no es compatible con IPv6.
  • El tráfico NFS en este entorno puede enrutarse solo a través de una LAN. No existe compatibilidad con otros entornos como WAN.

Configuraciones de firewall para ESXi de almacenamiento NFS

Obtenga información sobre los archivos del conjunto de reglas del firewall, nfsClient y nfs41client, que ESXi se crea al montar almacenes de datos NFS de la versión 3 o 4.1.

Para obtener información general sobre las configuraciones del firewall, consulte Configurar el firewall ESXi en la documentación de Seguridad de vSphere.

Comportamiento de firewall del cliente NFS

El conjunto de reglas de firewall del cliente NFS se comporta de forma diferente a otros conjuntos de reglas de firewall de ESXi. ESXi configura los parámetros del cliente NFS cuando se monta o desmonta una almacén de datos de NFS. El comportamiento varía según la versión de NFS.

Cuando se agrega, monta o desmonta un almacén de datos de NFS, el comportamiento que se obtiene varía según la versión de NFS.

Comportamiento de firewall de NFS v3

Cuando se agrega o monta un almacén de datos de NFS v3, ESXi comprueba el estado del conjunto de reglas de firewall del cliente NFS (nfsClient).

  • Si el conjunto de reglas nfsClient está desactivado, ESXi activa el conjunto de reglas y desactiva la directiva Permitir todas las direcciones IP estableciendo la marca allowedAll en FALSE. La dirección IP del servidor NFS se agrega a la lista de direcciones IP salientes permitidas.
  • Si el conjunto de reglas nfsClient está activado, el estado del conjunto de reglas y la directiva de direcciones IP permitidas no se cambian. La dirección IP del servidor NFS se agrega a la lista de direcciones IP salientes permitidas.
Nota: Si activa manualmente el conjunto de reglas nfsClient o configura manualmente la directiva Permitir todas las direcciones IP, ya sea antes o después de agregar un almacén de datos de NFS v3 al sistema, la configuración se anula cuando se desmonta el último almacén de datos de NFS v3. El conjunto de reglas nfsClient se desactiva cuando se desmontan todos los almacenes de datos de NFS v3.

Cuando se quita o se desmonta un almacén de datos de NFS v3, ESXi realiza una de las siguientes acciones.

  • Si ninguno de los almacenes de datos de NFS v3 restantes se monta desde el servidor del almacén de datos que se desmonta, ESXi quita la dirección IP del servidor de la lista de direcciones IP salientes.
  • Si ninguno de los almacenes de datos de NFS v3 montados permanece después de la operación de desmontaje, ESXi desactiva el conjunto de reglas de firewall de nfsClient.

Comportamiento de firewall de NFS v4.1

Cuando se monta el primer almacén de datos de NFS v4.1, ESXi activa el conjunto de reglas nfs41client y establece su marca allowedAll en TRUE. Esta acción abre el puerto 2049 para todas las direcciones IP. Cuando se desmonta el almacén de datos NFS v4.1, el estado del firewall no se ve afectado. De esta forma, el primer montaje de NFS v4.1 abre el puerto 2049 y ese puerto permanece activado a menos que se cierre explícitamente.

Comprobar los puertos de firewall para clientes NFS

Para habilitar el acceso al almacenamiento NFS, ESXi abre automáticamente puertos de firewall para los clientes NFS cuando se monta un almacén de datos NFS. Por motivos de solución de problemas, es posible que deba comprobar que los puertos estén abiertos.

Procedimiento

  1. En vSphere Client, desplácese hasta el host ESXi.
  2. Haga clic en la pestaña Configurar.
  3. En Sistema, haga clic en Firewall y en Editar.
  4. Desplácese hacia abajo hasta la versión correspondiente de NFS para asegurarse de que el puerto esté abierto.