Quando si utilizza lo storage NFS con ESXi, seguire specifiche linee guida relative alla configurazione del server NFS, alla rete, ai datastore NFS e così via.

Configurazione server NFS

Quando si configurano server NFS in modo da interagire con ESXi, seguire i consigli del fornitore di storage. Oltre a queste raccomandazioni generali, utilizzare linee guida specifiche che si applicano a NFS in un ambiente vSphere.

Le linee guida includono i seguenti elementi.

  • Assicurarsi che i server NAS utilizzati siano elencati in HCL VMware. Utilizzare la versione corretta per il firmware del server.
  • Assicurarsi che il volume NFS venga esportato utilizzando NFS su TCP.
  • Assicurarsi che il server NAS esporti una determinata condivisione come NFS 3 o NFS 4.1. Il server NAS non deve fornire entrambe le versioni del protocollo per la stessa condivisione. Il server NAS deve applicare questo criterio perché ESXi non impedisce il montaggio della stessa condivisione attraverso versioni NFS diverse.
  • NFS 3 e NFS 4.1 non-Kerberos (AUTH_SYS) non supportano la funzionalità utente delegata che consente l'accesso ai volumi NFS utilizzando credenziali non-root. Se si utilizza NFS 3 o NFS 4.1 non-Kerberos, assicurarsi che ciascun host disponga dell'accesso root al volume. Diversi fornitori di storage hanno metodi diversi per abilitare questa funzionalità, ma in genere i server NAS utilizzano l'opzione no_root_squash. Se il server NAS non concede l'accesso root, è comunque possibile montare il datastore NFS nell'host. Tuttavia, non è possibile creare macchine virtuali nel datastore.
  • Se il volume NFS sottostante è di sola lettura, assicurarsi che il volume sia esportato come condivisione di sola lettura dal server NFS. In alternativa, montare il volume come datastore di sola lettura nell'host ESXi. In caso contrario, l'host considera il datastore in lettura/scrittura e potrebbe non aprire i file.

Rete NFS

Un host ESXi utilizza la connessione di rete TCP/IP per accedere a un server NAS remoto. Esistono alcune linee guida e procedure consigliate per la configurazione dei servizi di rete quando si utilizza lo storage NFS.

Per ulteriori informazioni, vedere la documentazione di Rete di vSphere.

  • Per la connettività di rete, utilizzare una scheda di rete standard nell'host ESXi.
  • ESXi supporta commutatori di rete di livello 2 e di livello 3. Se si utilizzano commutatori di livello 3, gli host ESXi e gli array di storage NFS devono trovarsi in subnet diverse e il commutatore di rete deve gestire le informazioni di routing.
  • Configurare un gruppo di porte VMkernel per lo storage NFS. È possibile creare il gruppo di porte VMkernel per lo storage IP in un commutatore virtuale esistente (vSwitch) o in un nuovo vSwitch. Il vSwitch può essere un vSphere Standard Switch (VSS) o un vSphere Distributed Switch (VDS).
  • Se si utilizzano più porte per il traffico NFS, assicurarsi di configurare correttamente i commutatori virtuali e i commutatori fisici.
  • NFS 3 e NFS 4.1 supportano IPv6.
  • È possibile configurare lo storage NFS con più connessioni utilizzando l'opzione nconnect. Per NFS 4.1, è possibile creare più connessioni per ogni sessione. Per NFS 3, è possibile montare il datastore con più connessioni. Per impostazione predefinita, è possibile impostare al massimo 4 connessioni per ogni datastore NFS. Tuttavia, è possibile aumentarle fino a 8 utilizzando l'opzione NFS avanzata. Assicurarsi che il numero totale di connessioni in tutti i datastore NFS montati non superi 256. Vedere Configurazione di più connessioni TCP per NFS.
  • È possibile isolare il traffico NFS verso schede VMkernel specifiche. Senza binding, se nella scheda VMkernel che ESXi utilizza per il traffico NFS si verifica un errore, l'infrastruttura di rete reindirizza il traffico a una route alternativa. Di conseguenza, il traffico NFS potrebbe passare accidentalmente attraverso una scheda VMkernel casuale. Il binding della porta VMkernel per il datastore NFS consente di associare un volume NFS a una scheda VMkernel specifica per connettersi a un server NFS. Vedere Configurazione del binding VMkernel per il datastore NFS.

Blocco file NFS

Vengono utilizzati meccanismi di blocco file per limitare l'accesso ai dati archiviati su un server a un solo utente o processo per volta. I meccanismi di blocco delle due versioni di NFS non sono compatibili. NFS 3 utilizza il blocco proprietario e NFS 4.1 utilizza il blocco specifico del protocollo nativo.

Il blocco di NFS 3 su ESXi non utilizza il protocollo Network Lock Manager (NLM). Al contrario, VMware fornisce il proprio protocollo di blocco. I blocchi NFS 3 sono implementati creando file di blocco nel server NFS. I file di blocco sono denominati .lck-id_file..

NFS 4.1 utilizza le prenotazioni di condivisione come meccanismo di blocco.

Poiché i client NFS 3 e NFS 4.1 non utilizzano lo stesso protocollo di blocco, non è possibile utilizzare versioni di NFS diverse per montare lo stesso datastore in più host. L'accesso agli stessi dischi virtuali da due client incompatibili può causare un comportamento errato e il danneggiamento dei dati.

Sicurezza NFS

Con NFS 3 e NFS 4.1, ESXi supporta la sicurezza AUTH_SYS. Inoltre, per NFS 4.1, è supportato il meccanismo di sicurezza Kerberos.

NFS 3 supporta il meccanismo di sicurezza AUTH_SYS. Con questo meccanismo, il traffico di storage viene trasmesso in formato non crittografato attraverso la LAN. A causa di questa sicurezza limitata, utilizzare lo storage NFS solo su reti attendibili e isolare il traffico in switch fisici separati. È inoltre possibile utilizzare una VLAN privata.

NFS 4.1 supporta il protocollo di autenticazione Kerberos per proteggere le comunicazioni con il server NFS. Gli utenti non-root possono accedere ai file quando viene utilizzato Kerberos. Per ulteriori informazioni, vedere Utilizzo di Kerberos per NFS 4.1 con ESXi.

Oltre a Kerberos, NFS 4.1 supporta i montaggi non Kerberos tradizionali con la sicurezza AUTH_SYS. In questo caso, utilizzare le linee guida per l'accesso root per NFS versione 3.
Nota: Non è possibile utilizzare due meccanismi di sicurezza, AUTH_SYS e Kerberos, per lo stesso datastore NFS 4.1 condiviso da più host.

Multipathing NFS

NFS 4.1 supporta il multipathing in base alle specifiche del protocollo. Per NFS 3, il multipathing non è applicabile.

NFS 3 utilizza una connessione TCP per l'I/O. Di conseguenza, ESXi supporta I/O su un solo indirizzo IP o nome host per il server NFS e non supporta i percorsi multipli. In base all'infrastruttura di rete e alla configurazione, è possibile utilizzare lo stack di rete per configurare più connessioni alle destinazioni di storage. In questo caso, è necessario disporre di più datastore, ognuno dei quali utilizza connessioni di rete separate tra l'host e lo storage.

NFS 4.1 offre il multipathing per i server che supportano il trunking della sessione. Quando il trunking è disponibile, è possibile utilizzare più indirizzi IP per accedere a un singolo volume NFS. Il trunking dell'ID client non è supportato.

NFS e accelerazione hardware

Per impostazione predefinita, i dischi virtuali creati nei datastore NFS vengono sottoposti a thin provisioning. Per poter creare dischi virtuali con thick provisioning, è necessario utilizzare un'accelerazione hardware che supporti l'operazione Riserva spazio.

NFS 3 e NFS 4.1 supportano l'accelerazione hardware che consente all'host di integrarsi con i dispositivi NAS e di utilizzare diverse operazioni hardware fornite dallo storage NAS. Per ulteriori informazioni, vedere Accelerazione hardware vSphere sui dispositivi NAS.

Datastore NFS

Quando si crea un datastore NFS, assicurarsi di seguire linee guida specifiche.

Le linee guida e le procedure consigliate del datastore NFS includono i seguenti elementi. Per creare datastore NFS, vedere Creazione di un datastore NFS nell'ambiente vSphere.
  • Non è possibile utilizzare versioni NFS diverse per montare lo stesso datastore in host diversi. I client NFS 3 e NFS 4.1 non sono compatibili e non utilizzano lo stesso protocollo di blocco. Di conseguenza, l'accesso agli stessi dischi virtuali da due client incompatibili potrebbe dar luogo a un comportamento non corretto e causare il danneggiamento dei dati.
  • I datastore NFS 3 e NFS 4.1 possono coesistere nello stesso host.
  • ESXi non può aggiornare automaticamente NFS versione 3 alla versione 4.1, ma è possibile utilizzare altri metodi di conversione. Per informazioni, vedere Aggiornamenti NFS.
  • Quando si monta lo stesso volume NFS 3 in host diversi, assicurarsi che i nomi del server e delle cartelle siano identici tra gli host. Se i nomi non corrispondono, gli host visualizzano lo stesso volume NFS versione 3 come due datastore diversi. Questo errore potrebbe causare un errore nelle funzionalità come vMotion. Un esempio di tale discrepanza è l'uso di filer come nome del server in un host e filer.dominio.com nell'altro. Queste linee guida non si applicano a NFS versione 4.1.
  • Se si utilizzano caratteri non ASCII per assegnare un nome a datastore e macchine virtuali, assicurarsi che il server NFS sottostante offra il supporto per l'internazionalizzazione. Se il server non supporta caratteri internazionali, utilizzare solo caratteri ASCII, o potrebbero verificarsi errori imprevedibili.

Utilizzo delle connessioni instradate di livello 3 per l'accesso allo storage NFS con ESXi

Quando si utilizzano connessioni instradate di livello 3 (L3) per accedere allo storage NFS, prendere in considerazione determinati requisiti e restrizioni.

Verificare che l'ambiente soddisfi i requisiti seguenti:
  • Utilizzare il protocollo HSRP (Hot Standby Router Protocol) Cisco nel router IP. Se si utilizza un router non Cisco, utilizzare invece VRRP (Virtual Router Redundancy Protocol).
  • Per assegnare la priorità al traffico NFS L3 nelle reti con larghezza di banda limitata o in reti che presentano congestione, utilizzare Quality of Service (QoS). Consultare la documentazione del router per i dettagli.
  • Seguire le raccomandazioni sugli NFS L3 instradati offerte dal fornitore dello storage. Contattare il fornitore dello storage per maggiori dettagli.
  • Disattivare Network I/O Resource Management (NetIORM).
  • Se si prevede di utilizzare sistemi con commutatori top-of-rack o partizioni dei dispositivi I/O dipendenti dal commutatore, contattare il fornitore del sistema per verificare la compatibilità e il supporto.
In un ambiente L3, si applicano le seguenti restrizioni:
  • L'ambiente non supporta VMware Site Recovery Manager.
  • L'ambiente supporta solo il protocollo NFS. Non utilizzare altri protocolli di storage come FCoE sulla stessa rete fisica.
  • Il traffico NFS in questo ambiente non supporta IPv6.
  • Il traffico NFS in questo ambiente può essere instradato solo tramite una LAN. Altri ambienti come WAN non sono supportati.

Configurazioni del firewall per lo storage NFS ESXi

Informazioni sui file dei set di regole del firewall nfsClient e nfs41client creati da ESXi quando si montano i datastore NFS versione 3 o 4.1

Per informazioni generali sulle configurazioni del firewall, vedere Configurazione del firewall ESXi nella documentazione Sicurezza di vSphere.

Comportamento del firewall NFS Client

Il set di regole del firewall NFS Client si comporta in modo diverso dagli altri set di regole del firewall ESXi. ESXi configura le impostazioni di NFS Client quando si monta o si smonta un datastore NFS. Il comportamento è diverso per le diverse versioni di NFS.

Quando si aggiunge, si monta o si smonta un datastore NFS il comportamento risultante dipende dalla versione di NFS.

Comportamento del firewall di NFS v3

Quando si aggiunge o si monta un datastore NFS v3, ESXi verifica lo stato del set di regole del firewall NFS Client (nfsClient).

  • Se il set di regole nfsClient è disattivato, ESXi attiva il set di regole e disattiva il criterio Consenti tutti gli indirizzi IP impostando il flag allowedAll su FALSE. L'indirizzo IP del server NFS viene aggiunto all'elenco di indirizzi IP in uscita consentiti.
  • Se il set di regole nfsClient è attivato, lo stato del set di regole e il criterio dell'indirizzo IP consentito non vengono modificati. L'indirizzo IP del server NFS viene aggiunto all'elenco di indirizzi IP in uscita consentiti.
Nota: Se si attiva manualmente il set di regole nfsClient o si imposta manualmente il criterio Consenti tutti gli indirizzi IP prima o dopo aver aggiunto un datastore NFS v3 al sistema, le impostazioni vengono sostituite quando l'ultimo datastore NFS v3 viene smontato. Il set di regole nfsClient viene disattivato quando tutti i datastore NFS v3 vengono smontati.

Quando si rimuove o si smonta un datastore NFS v3, ESXi esegue una delle seguenti azioni.

  • Se nessuno dei datastore NFS v3 rimanenti viene montato dal server del datastore da smontare, ESXi rimuove l'indirizzo IP del server dall'elenco di indirizzi IP in uscita.
  • Se dopo l'operazione di smontaggio non rimane alcun datastore NFS v3 montato, ESXi disattiva il set di regole del firewall nfsClient.

Comportamento del firewall di NFS v4.1

Quando si monta il primo datastore NFS v4.1, ESXi attiva il set di regole nfs41client e imposta il flag allowedAll su TRUE. Questa azione apre la porta 2049 per tutti gli indirizzi IP. Lo smontaggio di un datastore NFS v4.1 non influisce sullo stato del firewall. Ciò significa che il primo montaggio di NFS v4.1 apre la porta 2049 e tale porta rimane attivata a meno che non la si chiuda esplicitamente.

Verifica delle porte del firewall per i client NFS

Per abilitare l'accesso allo storage NFS, ESXi apre automaticamente le porte del firewall per i client NFS quando si monta un datastore NFS. Per la risoluzione dei problemi, potrebbe essere necessario verificare che le porte siano aperte.

Procedura

  1. In vSphere Client, passare all'host ESXi.
  2. Fare clic sulla scheda Configura.
  3. In Sistema, fare clic su Firewall, quindi su Modifica.
  4. Scorrere verso il basso fino a una versione appropriata di NFS per assicurarsi che la porta sia aperta.