vCenter6.7挂载Windows Server2016 NFS41存储 2023-02-02 虚拟化 暂无评论 2994 次阅读 VMware虚拟化 - 建设篇 第三章 vCenter6.7挂载Windows Server2016 NFS41存储 VMware虚拟化 - 建设篇 系列文章回顾 前言 前置条件 vCenter配置流程1 ESXi主机加域,配置NFS Kerberos凭证 Windows Server2016配置流程 域控新增Kerberos映射用户,新增安全组 配置映射关系(可选) DNS服务添加ESXi主机的A记录 本地防火墙放通NFS协议端口 NFS配置流程 安装NFS服务端 配置NFS存储 NFS配置标识映射源 vCenter配置流程2 挂载NFS 4.1存储 注意事项 参考来源 前言 由于整合了几台ESXi主机,使用了vCenter虚拟化平台,准备在vCenter虚拟化平台上使用共享存储NFS技术。 虚拟化平台:VMware VSCA 6.7.0.52000 ESXi底层:VMware VMvisor 6.7.0 Windows服务器:Windows Server 2016 DataCenter NFS版本:NFS 4.1 (Kerberos凭证) 搭建好vCenter之后发现每台ESXi主机的数据存储都是独立分开的,在不同的主机上新建虚拟机时,得确保每台ESXi主机的数据存储都得有ISO镜像,才方便挂载上去安装系统,相当于无形中给存储加了负担(虽然这几个G不算什么),但还是得研究一下解决方案才行。 个人用的vCenter肯定是破解版,也不打算使用注册机去破解vSAN来使用存储虚拟化 (担心注册机有后门)。所以就考虑了外置存储,如iSCSI、NFS、LUN等等方式,最终确定了使用NFS存储来解决这个问题。 前置条件 Windows Server 2016 要部署AD域控服务、DNS服务。 ESXi要加入vCenter集中管理。 vCenter配置流程1 ESXi主机加域,配置NFS Kerberos凭证 1、vCenter里所有ESXi主机都要加入域控。  2、vCenter里所有ESXi主机都得有NFS Kerberos凭证。   NFS Kerberos凭证的用户名最好是跟ESXi的DNS名称保持一致。(NFS存储配置权限需要按IP或DNS名称配置) Windows Server2016配置流程 域控新增Kerberos映射用户,新增安全组  用户登录名跟ESXi主机的DNS名称保持一致。  用户密码跟NFS Kerberos凭证的密码保持一致。  用户基础配置如上。  新增一个安全组,用于统一配置ESXi主机用户的权限。  这里把ESXi主机加域后的计算机和用户都加进去。  为了把ESXi主机从域控用户组里抽离出来,防止域用户滥用这个用户账号去登录加域的PC,把用户的主要组设置成新建的安全组Unix mapping。 配置映射关系(可选) NFS 3 协议下必填的映射关系 ESXi的底层是Unix,使用的超管账号是root,跟Windows的Administrator是不一样的底层逻辑关系,如果是配置NFS 3的话就需要给administrator用户修改映射属性,将root的UID、GID、LoginShell等属性映射过来,做NFS 3的匿名认证时就会调用到administrator用户相应的属性了。 ``` 需要调整的属性 key-value 如下: uidNumber # UID gidNumber # GID UnixHomeDirectory # home目录 loginShell # 登录shell msSFU30Name # 映射用户名 msSFU30NisDomain # Nis映射标识源:域名 eg: uidNumber = 0 gidNumber = 0 UnixHomeDirectory = /home/administrator loginShell = /bin/sh msSFU30Name = root msSFU30NisDomain = domain.com ``` root权限的UID和GID都是0 而Windows Server部署的NFS提供的匿名用户初始的UID和GID都是-2,这个是要改的, 如果用了NFS 3协议发现在子目录下没有写权限,多半是没有把UID和GID写到0导致的。 NFS 4.1 协议下映射关系可填可不填 在NFS 4.1协议下,做到上述步骤(域控新建Kerberos映射用户)后已经可以用NFS存储了,NFS 4.1协议使用用户映射的概念,把ESXi主机用户映射成域控映射用户,再调用域控映射用户的权限去访问NFS存储,此时NFS存储的权限和文件夹的NTFS权限都是用的域控映射用户的权限做验证。所以不需要给映射过来的域控映射用户再加映射属性了,此配置可选。 按Windows的逻辑给域控映射用户增删改查权限即可。 DNS服务添加ESXi主机的A记录  DNS服务添加ESXi主机的A记录。 本地防火墙放通NFS协议端口 NFS协议默认运行的端口是TCP/UDP 2049,需要给Windows Server的本地防火墙添加入站规则,放通2049端口    NFS配置流程 安装NFS服务端  勾选NFS服务器(提供NFS协议),勾选文件服务器资源管理器(提供Kerberos认证) 配置NFS存储  使用NFS高级选项,会有管理属性和配额的可选配置   填写共享名称,NFS的远程路径从 / 开始。  NFS 4.1协议就用Kerberos v5的身份验证或身份验证和完整性 NFS 3协议就用无服务器身份验证的未映射的用户访问(通过UID/GID)或匿名访问  配置NFS的共享权限,主机是填写ESXi主机的DNS名称或IP地址,语言编码填GB2312-80可以识别中文,给读/写权限和允许根目录访问(不允许根目录访问可能会导致NFS挂载失败)  NTFS文件夹权限配置添加新增的unix mapping安全组,该组的成员是所有的ESXi主机计算机和用户。 管理权限和配额可选。 NFS配置标识映射源 从 管理工具里找到 Network File System 服务(NFS),选中NFS服务,配置标识映射源,填写域名。  vCenter配置流程2 挂载NFS 4.1存储 上述操作做完就可以在vCenter里给ESXi主机添加NFS 4.1 的存储了,其中一台ESXi主机添加NFS 存储,其他ESXi主机的NFS存储都使用当前NFS存储的【将数据存储挂载至其他主机】选项挂载到其他主机上即可。     数据存储名称是建立在ESXi上的存储名称 文件夹从 / 开始填写 服务器只填写IP地址或DNS名称,DNS后缀可选添加 NFS远程路径以 服务器名称:文件夹 的形式访问    综上,大功告成。 注意事项 1、NFS的共享权限要允许根目录访问 2、ESXi的DNS名称、NFS Kerberos凭证用户、域控映射用户这三者最好保持名称一致,但也可以不一致,只要域控映射用户跟NFS Kerberos凭证用户是一样的即可,DNS名称可以另填。 3、Windows Server系列操作系统从Windows Server 2012开始就不再支持Administrator用户的UNIX Attributes选项了,所以Windows Server 2016的配置要在属性编辑器里修改。 参考来源 1、如何使用Windows2008r2为vSphere配置nfs服务器 https://www.logcg.com/archives/676.html 2、Windows Server 2012 R2开始弃用 IDMU 和 NIS Server 角色 https://docs.microsoft.com/zh-cn/archive/blogs/activedirectoryua/identity-management-for-unix-idmu-is-deprecated-in-windows-server 转自:https://blog.csdn.net/m0_54768192/article/details/124715115 标签: esxi, vcenter 本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。