當您將 NFS 儲存區與 ESXi 搭配使用時,請遵循與 NFS 伺服器組態、網路、NFS 資料存放區等相關的特定準則。

NFS 伺服器組態

當您設定 NFS 伺服器搭配 ESXi 使用時,請遵循儲存裝置廠商的建議。除了這些一般建議之外,請使用在 vSphere 環境中適用於 NFS 的特定準則。

這些準則包含以下項目。

  • 確保您使用的 NFS 伺服器列在 VMware HCL 中。使用正確的伺服器韌體版本。
  • 確保使用透過 TCP 的 NFS 匯出 NFS 磁碟區。
  • 確保 NAS 伺服器將特定共用匯出為 NFS 3 或 NFS 4.1。NAS 伺服器不得為相同共用提供這兩種通訊協定版本。NAS 伺服器必須強制執行此原則,因為 ESXi 無法防止透過不同的 NFS 版本掛接相同的共用。
  • NFS 3 和非 Kerberos (AUTH_SYS) NFS 4.1 不支援憑藉非根認證啟用對 NFS 磁碟區存取的委派使用者功能。如果使用 NFS 3 或非 Kerberos NFS 4.1,確保每台主機均具有磁碟區的根存取權。不同的儲存裝置廠商有啟用此功能的不同方法,但 NAS 伺服器通常使用 no_root_squash 選項。如果 NAS 伺服器未授與根存取權,您仍然可以在主機上掛接 NFS 資料存放區。不過,您無法在資料存放區上建立任何虛擬機器。
  • 如果基礎 NFS 磁碟區是唯讀的,請確定 NFS 伺服器已將該磁碟區匯出為唯讀共用。或者在 ESXi 主機上,將該磁碟區掛接為唯讀資料存放區。否則,主機會認為該資料存放區可以讀寫,並且可能不會開啟檔案。

NFS 網路

ESXi 主機使用 TCP/IP 網路連線存取遠端 NAS 伺服器。當您使用 NFS 儲存區時,存在用於設定網路的一些準則和最佳做法。

如需詳細資訊,請參閱 vSphere 網路說明文件。

  • 對於網路連線,請在 ESXi 主機中使用標準的網路介面卡。
  • ESXi 支援第 2 層和第 3 層網路交換器。如果使用第 3 層交換器,ESXi 主機和 NFS 儲存區陣列必須位於不同的子網路上,並且網路交換器必須處理路由資訊。
  • 為 NFS 儲存區設定 VMkernel 連接埠群組。您可以在現有的虛擬交換器 (vSwitch) 或新的 vSwitch 上建立 IP 儲存區的 VMkernel 連接埠群組。vSwitch 可以是 vSphere Standard Switch (VSS),也可以是 vSphere Distributed Switch (VDS)。
  • 如果對 NFS 流量使用多個連接埠,請確保正確設定您的虛擬交換器和實體交換器。
  • NFS 3 和 NFS 4.1 支援 IPv6。
  • 可以使用 nconnect 選項設定具有多個連線的 NFS 儲存區。對於 NFS 4.1,可以為每個工作階段建立多個連線。對於 NFS 3,可以掛接具有多個連線的資料存放區。依預設,每個 NFS 資料存放區最多可以設定 4 個連線。但是,可以使用進階 NFS 選項將其增加到最多 8 個。確保所有掛接的 NFS 資料存放區上的連線總數不超過 256 個。請參閱為 NFS 設定多個 TCP 連線
  • 可以將 NFS 流量隔離到特定 VMkernel 介面卡。如果未繫結,則當 ESXi 用於 NFS 流量的 VMkernel 介面卡出現故障時,網路基礎結構會將流量重新導向到備用路由。因此,NFS 流量可能會意外地流經隨機的 VMkernel 介面卡。透過 NFS 資料存放區的 VMkernel 連接埠繫結,可將 NFS 磁碟區繫結到特定 VMkernel 介面卡以連線到 NFS 伺服器。請參閱為 NFS 資料存放區設定 Vmkernel 繫結

NFS 檔案鎖定

檔案鎖定機制用於將伺服器上儲存之資料的存取限制為一次僅一個使用者或程序。兩個 NFS 版本的鎖定機制不相容。NFS 3 使用專屬的鎖定,而 NFS 4.1 使用原生通訊協定指定的鎖定。

ESXi上的 NFS 3 鎖定不使用網路鎖定管理員 (NLM) 通訊協定。但是,VMware 會提供專屬鎖定通訊協定。在 NFS 伺服器上建立鎖定檔案可實作 NFS 3 鎖定。鎖定檔案的名稱為 .lck-file_id.

NFS 4.1 會將保留區共用為鎖定機制。

NFS 3 和 NFS 4.1 用戶端不使用相同的鎖定通訊協定,因此您無法使用不同的 NFS 版本在多個主機上掛接相同的資料存放區。從兩個不相容的用戶端存取相同的虛擬磁碟可能會導致錯誤行為,並造成資料損毀。

NFS 安全性

透過 NFS 3 和 NFS 4.1,ESXi 支援 AUTH_SYS 安全性。此外,對於 NFS 4.1,還支援 Kerberos 安全機制。

NFS 3 支援 AUTH_SYS 安全機制。透過這個機制,儲存區流量會以未加密的格式跨 LAN 傳輸。由於此安全性受到限制,因此,僅在受信任的網路上使用 NFS 儲存區並在個別實體交換器上隔離流量。也可以使用私人 VLAN。

NFS 4.1 支援 Kerberos 驗證通訊協定以保證與 NFS 伺服器的安全通訊。使用 Kerberos 時,非根使用者可以存取檔案。如需詳細資訊,請參閱 在 ESXi 中針對 NFS 4.1 使用 Kerberos

除了 Kerberos 之外,NFS 4.1 還透過 AUTH_SYS 安全性,支援傳統的非 Kerberos 掛接。在此情況下,請使用 NFS 第 3 版的根存取準則。
備註: 不能針對多台主機共用的同一個 NFS 4.1 資料存放區使用兩種安全機制 AUTH_SYS 和 Kerberos。

NFS 多重路徑

根據通訊協定規格,NFS 4.1 可支援多重路徑。針對 NFS 3,則不適用多重路徑。

NFS 3 將一個 TCP 連線用於 I/O。因此,ESXi僅針對 NFS 伺服器的一個 IP 位址或主機名稱支援 I/O,而不支援多個路徑。視您的網路基礎結構和組態而定,您可以使用網路堆疊設定與儲存區目標的多個連線。在這種情況下,您必須具有多個資料存放區,且每個資料存放區在主機和儲存區之間使用單獨的網路連線。

NFS 4.1 針對支援工作階段主幹連線的伺服器提供多重路徑。當主幹連線可用時,您可以使用多個 IP 位址存取單一 NFS 磁碟區。不支援用戶端識別碼主幹連線。

NFS 和硬體加速

在 NFS 資料存放區上建立的虛擬磁碟預設是精簡佈建的。若要能夠建立完整佈建的虛擬磁碟,您必須使用支援保留空間作業的硬體加速。

NFS 3 和 NFS 4.1 支援硬體加速,允許主機與 NAS 裝置整合在一起,並使用 NAS 儲存區所提供的數個硬體作業。如需詳細資訊,請參閱 NAS 裝置上的 vSphere 硬體加速

NFS 資料存放區

當您建立 NFS 資料存放區時,請務必遵循特定的準則。

NFS 資料存放區準則和最佳做法包括下列專案。若要建立 NFS 資料存放區,請參閱 在 vSphere 環境中建立 NFS 資料存放區
  • 您無法使用不同的 NFS 版本在不同的主機上掛接相同的資料存放區。NFS 3 和 NFS 4.1 用戶端不相容,而且不使用相同的鎖定通訊協定。因此,從兩個不相容的用戶端存取相同的虛擬磁碟可能會導致錯誤行為,並且導致資料損毀。
  • NFS 3 和 NFS 4.1 資料存放區可以共存於同一主機上。
  • ESXi 無法將 NFS 3 版自動升級至 4.1 版,但是您可以使用其他轉換方法。如需相關資訊,請參閱NFS 升級
  • 在不同主機上掛接相同 NFS 3 磁碟區時,請確保所有主機上的伺服器名稱和資料夾名稱皆相同。如果名稱不符,則主機會將同一 NFS 3 磁碟區視為兩個不同的資料存放區。此錯誤可能導致 vMotion 等功能執行失敗。例如,如果在一台主機上輸入 filer 做為伺服器名稱,而在另一台主機上輸入 filer.domain.com 做為伺服器名稱,就會出現這種不一致的情況。此準則不適用於 NFS 4.1 版。
  • 如果使用非 ASCII 字元命名資料存放區和虛擬機器,請確定基礎 NFS 伺服器提供了國際化支援。如果該伺服器不支援國際字元,請僅使用 ASCII 字元,否則可能會出現無法預期的失敗。

ESXi 中使用第 3 層路由連線存取 NFS 儲存區

使用第 3 層 (L3) 路由的連線來存取 NFS 儲存區時,請考慮某些需求和限制。

請確保您的環境符合以下需求:
  • 在 IP 路由器中使用 Cisco 的熱待命路由器通訊協定 (HSRP)。如果使用非 Cisco 路由器,請改用虛擬路由器備援通訊協定 (VRRP)。
  • 若要排列具有頻寬限制的網路 NFS L3 流量優先順序,或排列經歷壅塞的 NFS L3 流量優先順序,請使用服務品質 (QoS)。如需詳細資料,請參閱路由器說明文件。
  • 請遵循儲存裝置廠商所提供的路由 NFS L3 建議。如需詳細資料,請連絡您的儲存裝置廠商。
  • 停用網路 I/O 資源管理 (NetIORM)。
  • 如果計劃使用具有機架置頂式交換器 (或獨立於交換器的 I/O 裝置磁碟分割) 的系統,請連絡您的系統廠商以取得相容性和支援。
在 L3 環境中,適用下列限制:
  • 此環境不支援 VMware Site Recovery Manager。
  • 此環境僅支援 NFS 通訊協定。請勿在同一實體網路內使用其他儲存區通訊協定 (例如 FCoE)。
  • 此環境中的 NFS 流量不支援 IPv6。
  • 此環境中的 NFS 流量僅可透過 LAN 路由。不支援其他環境 (例如 WAN)。

NFS 儲存區 ESXi 的防火牆組態

瞭解 ESXi 在掛接 NFS 資料存放區版本 3 或 4.1 時建立的防火牆規則集檔案 nfsClientnfs41client

如需有關防火牆組態的一般資訊,請參閱vSphere 安全性說明文件中的設定 ESXi 防火牆

NFS 用戶端防火牆行為

NFS 用戶端防火牆規則集的行為方式與其他 ESXi 防火牆規則集不同。掛接或卸載 NFS 資料存放區時,ESXi 將設定 NFS 用戶端設定。不同 NFS 版本的行為有所不同。

新增、掛接或卸載 NFS 資料存放區時,所產生的行為取決於 NFS 的版本。

NFS v3 防火牆行為

新增或掛接 NFS v3 資料存放區時,ESXi 會檢查 NFS 用戶端 (nfsClient) 防火牆規則集的狀態。

  • 如果已停用 nfsClient 規則集,則 ESXi 會啟用規則集,並透過將 allowedAll 旗標設定為 FALSE 來停用「允許所有 IP 位址」原則。NFS 伺服器的 IP 位址將新增到允許的傳出 IP 位址清單中。
  • 如果已啟用 nfsClient 規則集,則規則集狀態和允許的 IP 位址原則不會變更。NFS 伺服器的 IP 位址將新增到允許的傳出 IP 位址清單中。
備註: 如果手動啟用 nfsClient 規則集或手動設定「允許所有 IP 位址」原則,不論在 NFS v3 資料存放區新增到系統之前或之後,卸載最新 NFS v3 資料存放區時都將覆寫您的設定。卸載所有 NFS v3 資料存放區後,將停用 nfsClient 規則集。

移除或卸載 NFS v3 資料存放區時,ESXi 會執行下列其中一個動作。

  • 如果剩餘的 NFS v3 資料存放區都沒有從正在卸載之資料存放區的伺服器進行掛接,則 ESXi 將從傳出 IP 位址清單中移除該伺服器的 IP 位址。
  • 如果在卸載作業後沒有保留任何已掛接的 NFS v3 資料存放區,則 ESXi 會停用 nfsClient 防火牆規則集。

NFS v4.1 防火牆行為

當您掛接第一個 NFS v4.1 資料存放區時,ESXi 會啟用 nfs41client 規則集並將其 allowedAll 旗標設定為 TRUE。此動作將針對所有 IP 位址開啟連接埠 2049。卸載 NFS v4.1 資料存放區不會影響防火牆狀態。即,第一個 NFS v4.1 掛接會開啟連接埠 2049,且該連接埠會保持啟用狀態,除非您明確將其關閉。

驗證 NFS 用戶端的防火牆連接埠

若啟用對 NFS 儲存區的存取,當您掛接 NFS 資料存放區時,ESXi 會自動為 NFS 用戶端開啟防火牆連接埠。出於疑難排解的原因,您可能需要確認連接埠是否已開啟。

程序

  1. vSphere Client 中,導覽至 ESXi 主機。
  2. 按一下設定索引標籤。
  3. 系統下,按一下防火牆,然後按一下編輯
  4. 向下捲動到適當版本的 NFS,以確保連接埠已開啟。