VMware虚拟化 - 建设篇

第三章 vCenter6.7挂载Windows Server2016 NFS41存储
VMware虚拟化 - 建设篇
系列文章回顾
前言
前置条件
vCenter配置流程1
ESXi主机加域,配置NFS Kerberos凭证
Windows Server2016配置流程
域控新增Kerberos映射用户,新增安全组
配置映射关系(可选)
DNS服务添加ESXi主机的A记录
本地防火墙放通NFS协议端口
NFS配置流程
安装NFS服务端
配置NFS存储
NFS配置标识映射源
vCenter配置流程2
挂载NFS 4.1存储
注意事项
参考来源

前言
由于整合了几台ESXi主机,使用了vCenter虚拟化平台,准备在vCenter虚拟化平台上使用共享存储NFS技术。

虚拟化平台:VMware VSCA 6.7.0.52000
ESXi底层:VMware VMvisor 6.7.0
Windows服务器:Windows Server 2016 DataCenter
NFS版本:NFS 4.1 (Kerberos凭证)

搭建好vCenter之后发现每台ESXi主机的数据存储都是独立分开的,在不同的主机上新建虚拟机时,得确保每台ESXi主机的数据存储都得有ISO镜像,才方便挂载上去安装系统,相当于无形中给存储加了负担(虽然这几个G不算什么),但还是得研究一下解决方案才行。

个人用的vCenter肯定是破解版,也不打算使用注册机去破解vSAN来使用存储虚拟化 (担心注册机有后门)。所以就考虑了外置存储,如iSCSI、NFS、LUN等等方式,最终确定了使用NFS存储来解决这个问题。

前置条件
Windows Server 2016 要部署AD域控服务、DNS服务。
ESXi要加入vCenter集中管理。

vCenter配置流程1
ESXi主机加域,配置NFS Kerberos凭证
1、vCenter里所有ESXi主机都要加入域控。
NFS41-01.png
2、vCenter里所有ESXi主机都得有NFS Kerberos凭证。
NFS41-02.png
NFS41-03.png
NFS Kerberos凭证的用户名最好是跟ESXi的DNS名称保持一致。(NFS存储配置权限需要按IP或DNS名称配置)

Windows Server2016配置流程
域控新增Kerberos映射用户,新增安全组
NFS41-04.png
用户登录名跟ESXi主机的DNS名称保持一致。
NFS41-05.png
用户密码跟NFS Kerberos凭证的密码保持一致。
NFS41-06.png
用户基础配置如上。
NFS41-07.png
新增一个安全组,用于统一配置ESXi主机用户的权限。
NFS41-08.png
这里把ESXi主机加域后的计算机和用户都加进去。
NFS41-09.png
为了把ESXi主机从域控用户组里抽离出来,防止域用户滥用这个用户账号去登录加域的PC,把用户的主要组设置成新建的安全组Unix mapping。

配置映射关系(可选)
NFS 3 协议下必填的映射关系
ESXi的底层是Unix,使用的超管账号是root,跟Windows的Administrator是不一样的底层逻辑关系,如果是配置NFS 3的话就需要给administrator用户修改映射属性,将root的UID、GID、LoginShell等属性映射过来,做NFS 3的匿名认证时就会调用到administrator用户相应的属性了。

需要调整的属性 key-value 如下:
uidNumber            # UID
gidNumber             # GID
UnixHomeDirectory     # home目录
loginShell             # 登录shell
msSFU30Name         # 映射用户名
msSFU30NisDomain     # Nis映射标识源:域名

eg:
uidNumber            =    0
gidNumber             =    0
UnixHomeDirectory     =    /home/administrator
loginShell             =    /bin/sh
msSFU30Name         =    root
msSFU30NisDomain     =    domain.com

root权限的UID和GID都是0
而Windows Server部署的NFS提供的匿名用户初始的UID和GID都是-2,这个是要改的, 如果用了NFS 3协议发现在子目录下没有写权限,多半是没有把UID和GID写到0导致的。

NFS 4.1 协议下映射关系可填可不填
在NFS 4.1协议下,做到上述步骤(域控新建Kerberos映射用户)后已经可以用NFS存储了,NFS 4.1协议使用用户映射的概念,把ESXi主机用户映射成域控映射用户,再调用域控映射用户的权限去访问NFS存储,此时NFS存储的权限和文件夹的NTFS权限都是用的域控映射用户的权限做验证。所以不需要给映射过来的域控映射用户再加映射属性了,此配置可选。
按Windows的逻辑给域控映射用户增删改查权限即可。

DNS服务添加ESXi主机的A记录
NFS41-10.png
DNS服务添加ESXi主机的A记录。

本地防火墙放通NFS协议端口
NFS协议默认运行的端口是TCP/UDP 2049,需要给Windows Server的本地防火墙添加入站规则,放通2049端口
NFS41-11.jpeg
NFS41-12.png
NFS41-13.png

NFS配置流程
安装NFS服务端
NFS41-14.png

勾选NFS服务器(提供NFS协议),勾选文件服务器资源管理器(提供Kerberos认证)

配置NFS存储
NFS41-15.png
使用NFS高级选项,会有管理属性和配额的可选配置
NFS41-16.png
NFS41-17.png

填写共享名称,NFS的远程路径从 / 开始。
NFS41-18.png

NFS 4.1协议就用Kerberos v5的身份验证或身份验证和完整性
NFS 3协议就用无服务器身份验证的未映射的用户访问(通过UID/GID)或匿名访问

NFS41-19.png

配置NFS的共享权限,主机是填写ESXi主机的DNS名称或IP地址,语言编码填GB2312-80可以识别中文,给读/写权限和允许根目录访问(不允许根目录访问可能会导致NFS挂载失败)

NFS41-20.png

NTFS文件夹权限配置添加新增的unix mapping安全组,该组的成员是所有的ESXi主机计算机和用户。

管理权限和配额可选。

NFS配置标识映射源
从 管理工具里找到 Network File System 服务(NFS),选中NFS服务,配置标识映射源,填写域名。
NFS41-21.png

vCenter配置流程2
挂载NFS 4.1存储
上述操作做完就可以在vCenter里给ESXi主机添加NFS 4.1 的存储了,其中一台ESXi主机添加NFS
存储,其他ESXi主机的NFS存储都使用当前NFS存储的【将数据存储挂载至其他主机】选项挂载到其他主机上即可。
NFS41-22.png
NFS41-23.png
NFS41-24.png
NFS41-25.png
数据存储名称是建立在ESXi上的存储名称
文件夹从 / 开始填写
服务器只填写IP地址或DNS名称,DNS后缀可选添加

NFS远程路径以 服务器名称:文件夹 的形式访问
NFS41-26.png
NFS41-27.png
NFS41-28.jpeg

综上,大功告成。

注意事项
1、NFS的共享权限要允许根目录访问
2、ESXi的DNS名称、NFS Kerberos凭证用户、域控映射用户这三者最好保持名称一致,但也可以不一致,只要域控映射用户跟NFS Kerberos凭证用户是一样的即可,DNS名称可以另填。
3、Windows Server系列操作系统从Windows Server 2012开始就不再支持Administrator用户的UNIX Attributes选项了,所以Windows Server 2016的配置要在属性编辑器里修改。

参考来源
1、如何使用Windows2008r2为vSphere配置nfs服务器
https://www.logcg.com/archives/676.html
2、Windows Server 2012 R2开始弃用 IDMU 和 NIS Server 角色
https://docs.microsoft.com/zh-cn/archive/blogs/activedirectoryua/identity-management-for-unix-idmu-is-deprecated-in-windows-server

转自:https://blog.csdn.net/m0_54768192/article/details/124715115