Lorsque vous utilisez du stockage NFS avec ESXi, suivez les directives spécifiques associées à la configuration du serveur NFS, à la mise en réseau, aux banques de données NFS, etc.

Configuration des serveurs NFS

Lorsque vous configurez des serveurs NFS pour utiliser ESXi, suivez les recommandations de votre fournisseur de stockage. Outre ces recommandations générales, utilisez les directives spécifiques qui s'appliquent à NFS dans l'environnement vSphere.

Les directives incluent les éléments suivants.

  • Assurez-vous que les serveurs NAS que vous utilisez sont répertoriés dans VMware HCL. Utilisez la bonne version du microprogramme du serveur.
  • Assurez-vous que le volume NFS est exporté en utilisant NFS sur TCP.
  • Assurez-vous que le serveur NAS exporte un partage particulier en tant que NFS 3 ou NFS 4.1. Le serveur NAS ne doit pas fournir deux versions de protocole pour le même partage. Le serveur NAS doit appliquer cette stratégie, car ESXi n'empêche pas le montage du même partage avec différentes versions de NFS.
  • NFS 3 et NFS 4.1 non Kerberos (AUTH_SYS) ne prennent pas en charge la fonctionnalité d'utilisateur délégué qui permet d'accéder aux volumes NFS en utilisant des informations d'identification non racine. Si vous utilisez NFS 3 ou NFS 4.1 non-Kerberos, assurez-vous que chaque hôte a un accès racine au volume. Différents fournisseurs de stockage ont différentes méthodes d'activation de cette fonctionnalité, mais les serveurs NAS utilisent généralement l'option no_root_squash. Si le serveur NAS n'accorde pas un accès racine, vous pourrez quand même monter la banque de données NFS sur l'hôte. Cependant, vous ne pouvez pas créer de machines virtuelles sur la banque de données.
  • Si le volume NFS sous-jacent est en lecture seule, assurez-vous que le volume est exporté sous forme de partage en lecture seule par le serveur NFS. Vous pouvez également monter le volume sous forme de banque de données en lecture seule sur l'hôte ESXi. Sinon, l'hôte considère que la banque de données est en lecture et en écriture et peut ne pas ouvrir les fichiers.

Mise en réseau NFS

Un hôte ESXi utilise une connexion réseau TCP/IP pour accéder à un serveur NAS distant. Certaines directives et meilleures pratiques permettent de configurer la mise en réseau lorsque vous utilisez le stockage NFS.

Pour plus d'informations, consultez la documentation Mise en réseau vSphere.

  • Pour la connectivité réseau, utilisez un adaptateur réseau standard dans votre hôte ESXi.
  • ESXi prend en charge les commutateurs réseau de niveau 2 et de niveau 3. Si vous utilisez des commutateurs de niveau 3, les hôtes ESXi et les baies de stockage NFS doivent être sur des sous-réseaux différents et le commutateur réseau doit traiter les informations de routage.
  • Configurez un groupe de ports VMkernel pour le stockage NFS. Vous pouvez créer le groupe de ports VMkernel pour un stockage IP sur un commutateur virtuel existant (vSwitch) ou sur un nouveau vSwitch. Le vSwitch peut être un commutateur standard vSphere (VSS) ou un vSphere Distributed Switch (VDS).
  • Si vous utilisez plusieurs ports pour le trafic NFS, assurez-vous de correctement configurer vos commutateurs virtuels et vos commutateurs physiques.
  • NFS 3 et NFS 4.1 prennent en charge IPv6.

Verrouillage des fichiers NFS

Des mécanismes de verrouillage de fichiers sont utilisés pour restreindre l'accès aux données stockées sur un serveur à un seul utilisateur ou processus à la fois. Les mécanismes de verrouillage des deux versions de NFS ne sont pas compatibles. NFS 3 utilise le verrouillage propriétaire et NFS 4.1 utilise le verrouillage spécifié du protocole natif.

Le verrouillage NFS 3 sur ESXi n'utilise pas le protocole NLM (Network Lock Manager). VMware fournit plutôt son propre protocole de verrouillage. Les verrouillages NFS 3 sont mis en œuvre en créant des fichiers de verrouillage sur le serveur NFS. Les fichiers de verrouillage se nomment .lck-file_id..

NFS 4.1 utilise des réservations de partages comme mécanisme de verrouillage.

Comme les clients NFS 3 et NFS 4.1 n'utilisent pas le même protocole de verrouillage, vous ne pouvez pas utiliser différentes versions de NFS pour monter la même banque de données sur plusieurs hôtes. L'accès aux mêmes disques virtuels à partir de deux clients incompatibles peut provoquer un comportement incorrect et entraîner l'altération des données.

Sécurité NFS

Avec NFS 3 et NFS 4.1, ESXi prend en charge la sécurité AUTH_SYS. En outre, pour NFS 4.1, le mécanisme de sécurité Kerberos est pris en charge.

NFS 3 prend en charge le mécanisme de sécurité AUTH_SYS. Avec ce mécanisme, le trafic de stockage est transmis dans un format non chiffré sur le réseau local. En raison de cette sécurité limitée, utilisez le stockage NFS uniquement sur des réseaux approuvés et isolez le trafic sur des commutateurs physiques séparés. Vous pouvez également utiliser un VLAN privé.

NFS 4.1 prend en charge le protocole d'authentification Kerberos pour sécuriser les communications avec le serveur NFS. Les utilisateurs autres que l'utilisateur racine peuvent accéder aux fichiers lorsque Kerberos est utilisé. Pour plus d'informations, consultez Utilisation de Kerberos pour NFS 4.1 avec ESXi.

Outre Kerberos, NFS 4.1 prend en charge les montages traditionnels non Kerberos avec la sécurité AUTH_SYS. Dans ce cas, utilisez les directives d'accès racine pour NFS version 3.
Note : Vous ne pouvez pas utiliser deux mécanismes de sécurité, AUTH_SYS et Kerberos, pour la même banque de données NFS 4.1 partagée par plusieurs hôtes. 

Gestion de chemins multiples NFS

NFS 4.1 prend en charge la gestion multivoie selon les spécifications du protocole. Pour NFS 3, la gestion multivoie n'est pas applicable.

NFS 3 utilise une connexion TCP pour l'E/S. Par conséquent, ESXi prend en charge l'E/S uniquement sur une adresse IP et un nom d'hôte pour le serveur NFS et ne prend pas en charge les chemins multiples. Selon l'infrastructure et la configuration de votre réseau, vous pouvez utiliser la pile réseau pour configurer plusieurs connexions aux cibles de stockage. Dans ce cas, vous devez disposer de plusieurs banques de données, chaque banque de données utilisant alors des connexions réseau séparées entre l'hôte et le stockage.

NFS 4.1 assure la gestion des chemins multiples pour les serveurs prenant en charge la jonction de sessions. Lorsque la jonction est disponible, vous pouvez utiliser plusieurs adresses IP pour accéder à un volume NFS spécifique. La jonction d'ID de client n'est pas prise en charge.

NFS et accélération matérielle

Les disques virtuels créés sur des banques de données NFS sont provisionnés dynamiquement par défaut. Pour pouvoir créer des disques virtuels à provisionnement statique, vous devez utiliser une accélération matérielle prenant en charge l'opération de réserve d'espace.

NFS 3 et NFS 4.1 prennent en charge l'accélération matérielle permettant à votre hôte d'intégrer des périphériques NAS et d'utiliser plusieurs opérations matérielles fournies par le stockage NAS. Pour plus d'informations, consultez Accélération matérielle de vSphere sur les périphériques NAS.

Banques de données NFS

Lorsque vous créez une banque de données NFS, suivez les directives spécifiques.

Les directives et meilleures pratiques concernant la banque de données NFS sont notamment les suivantes. Pour créer une banque de données NFS, reportez-vous à la section Créer une banque de données NFS dans l'environnement vSphere.
  • Vous ne pouvez pas utiliser des versions NFS différentes pour monter la même banque de données sur des hôtes différents. Les clients NFS 3 et NFS 4.1 ne sont pas compatibles et n'utilisent pas le même protocole de verrouillage. Par conséquent, l'accès aux mêmes disques virtuels à partir de deux clients incompatibles peut provoquer un comportement incorrect et entraîner l'altération des données.
  • Des banques de données NFS 3 et NFS 4.1 peuvent coexister sur le même hôte.
  • ESXi ne peut pas automatiquement mettre à niveau NFS version 3 vers la version 4.1, mais vous pouvez utiliser d'autres méthodes de conversion. Pour plus d'informations, consultez Mises à niveau de NFS.
  • Lorsque vous montez le même volume NFS 3 sur des hôtes différents, assurez-vous que les noms de serveurs et de dossiers sont identiques sur les hôtes. Si les noms ne correspondent pas, les hôtes voient le même volume NFS version 3 sous la forme de deux banques de données différentes. Cette erreur peut provoquer une défaillance de certaines fonctions, telles que vMotion. Un exemple d'un tel écart d'utilisation serait d'entrer filer comme nom de serveur sur un hôte et filer.domain.com sur l'autre. Cette directive ne s'applique pas à NFS version 4.1.
  • Si vous utilisez des caractères non-ASCII pour nommer des banques de données et des machines virtuelles, veillez à ce que le serveur NFS sous-jacent offre une prise en charge de l'internationalisation. Si le serveur ne prend pas en charge les caractères internationaux, utilisez uniquement des caractères ASCII, sinon des incidents imprévisibles peuvent se produire.

Utilisation des connexions routées L3 pour accéder à du stockage NFS avec ESXi

Lorsque vous utilisez des connexions routées L3 pour accéder à du stockage NFS, il vous faut prendre en compte un certain nombre d'exigences et de restrictions.

Assurez-vous que votre environnement répond aux exigences suivantes :
  • Utiliser le protocole Hot Standby Router (HSRP) de Cisco dans le routeur IP. Si vous utilisez un routeur non-Cisco, utilisez à la place le protocole Virtual Router Redundancy Protocol (VRRP).
  • Pour hiérarchiser le trafic NFS L3 sur les réseaux avec des bandes passantes limitées ou les réseaux encombrés, utilisez QoS (Quality of Service). Consultez la documentation de votre routeur pour de plus amples détails.
  • Suivez les recommandations sur les connexions routées NFS L3 proposées par le fournisseur de stockage. Contactez votre fournisseur de stockage pour plus d'informations.
  • Désactivez Network I/O Resource Management (NetIORM).
  • Si vous prévoyez d'utiliser des systèmes avec des commutateurs en haut de baie ou un partitionnement de périphérique d'E/S dépendant d'un commutateur, contactez le fournisseur du système pour la compatibilité et la prise en charge.
Dans un environnement L3, les restrictions suivantes s'appliquent :
  • L'environnement ne prend pas en charge VMware Site Recovery Manager.
  • L'environnement prend uniquement en charge le protocole NFS. N'utilisez pas d'autres protocoles de stockage comme FCoE sur le même réseau physique.
  • Le trafic NFS dans cet environnement ne prend pas en charge IPv6.
  • Le trafic NFS dans cet environnement peut être routé uniquement sur un réseau local. Les autres environnements comme les réseaux WAN ne sont pas pris en charge.

Configurations de pare-feu pour le stockage NFS ESXi

Découvrez les fichiers d'ensemble de règles de pare-feu, nfsClient et nfs41client que ESXi crée lorsque vous montez des banques de données NFS de version 3 ou 4.1.

Pour obtenir des informations générales sur les configurations de pare-feu, reportez-vous à la section Configuration du pare-feu ESXi dans la documentation Sécurité vSphere.

Comportement du pare-feu client NFS

L'ensemble de règles de pare-feu du client NFS ne se comporte pas comme les ensembles de règles de pare-feu ESXi. ESXi configure les paramètres du client NFS lorsque vous montez ou démontez une banque de données NFS. Le comportement dépend de la version de NFS.

Lorsque vous ajoutez, montez ou démontez une banque de données NFS, le comportement obtenu dépend de la version de NFS.

Comportement du pare-feu NFS v3

Lorsque vous ajoutez ou montez une banque de données NFS v3, ESXi vérifie l'état de l'ensemble de règles de pare-feu du client NFS (nfsClient).

  • Si l'ensemble de règles nfsClient est désactivé, ESXi active l'ensemble de règles et désactive la stratégie Autoriser toutes les adresses IP en définissant l'indicateur allowedAll sur FALSE. L'adresse IP du serveur NFS est ajoutée à la liste des adresses IP sortantes autorisées.
  • Si l'ensemble de règles nfsClient est activé, l'état de l'ensemble de règles et la stratégie d'adresse IP autorisée ne sont pas modifiés. L'adresse IP du serveur NFS est ajoutée à la liste des adresses IP sortantes autorisées.
Note : Si vous activez manuellement l'ensemble de règles nfsClient ou configurez manuellement la stratégie Autoriser toutes les adresses IP, avant ou après avoir ajouté une banque de données NFS v3 dans le système, vos paramètres sont remplacés lorsque la dernière banque de données NFS v3 est démontée. L'ensemble de règles nfsClient est désactivé lorsque toutes les banques de données NFS v3 sont démontées.

Lorsque vous supprimez ou démontez une banque de données NFS v3, ESXi réalise l'une des actions suivantes.

  • Si aucune des banques de données NFS v3 restantes n'est montée à partir du serveur de la banque de données que vous être en train de démonter, ESXi supprime l'adresse IP du serveur dans la liste des adresses IP sortantes.
  • S'il ne reste aucune banque de données NFS v3 montée une fois l'opération de démontage terminée, ESXi désactive l'ensemble de règles de pare-feu nfsClient.

Comportement du pare-feu NFS v4.1

Lorsque vous montez la première banque de données NFS v4.1, ESXi active l'ensemble de règles nfs41client et définit son indicateur allowedAll sur TRUE. Cette action ouvre le port 2049 pour toutes les adresses IP. Le démontage d'une banque de données NFS v4.1 n'a pas d'impact sur l'état du pare-feu. En d'autres termes, le port 2049 s'ouvre la première fois que vous montez une banque de données NFS v4.1 et reste ouvert jusqu'à ce que vous le fermiez explicitement.

Vérifier les ports de pare-feu pour des clients NFS

Pour activer l'accès à un stockage NFS, ESXi ouvre automatiquement des ports de pare-feu pour les clients NFS lorsque vous montez une banque de données NFS. À des fins de dépannage, vous devrez éventuellement vérifier que les ports sont ouverts.

Procédure

  1. Dans vSphere Client, accédez à l'hôte ESXi.
  2. Cliquez sur l'onglet Configurer.
  3. Sous Système, cliquez sur Pare-feu, puis sur Modifier.
  4. Faites défiler les informations vers le bas jusqu'à une version appropriée de NFS pour vous assurer que le port est ouvert.