第三页
目前 NetApp 或大多数 NFSv4 客户端在 RPCSEC_GSS 下提供的唯一安全机制是 Kerberos 5。Kerberos 是使用对称密钥加密的一种身份验证机制。它从不以明文或加密形式在整个网络中发送密码,并且从不在用户使用网络资源之前,依靠加密票证和会话密钥验证他们的身份。Kerberos 系统采用含有用户名和密码的集中式数据库的密钥分配中心 (KDC)。NetApp 支持两种类型的 KDC:UNIX 和 Windows Active Directory。
只要您需要,您仍然可以选择使用上个 NFS 版本 (AUTH_SYS) 的弱身份验证方法。您可以通过在 exportfs 命令行或 /etc/exports 文件中指定 sec=sys 来完成。使用 AUTH_SYS 时,Data ONTAP 仅支持一个证书内的最多 16 个补充组 ID 加上 1 个主要组 ID。 Kerberos 支持最多 32 个补充组 ID。
客户端缓存委派
在 NFSv3 中,客户端通常当作它们已打开的文件之间存在竞争(尽管通常不是这种情况)来处理。通过从客户端到服务器的频繁请求以查证是否打开的文件已被其他人修改,系统保持了较弱的一致性,这会导致不必要的网络流量并在高延迟的环境中造成延误。在客户端锁定文件的情况下,所有写 I/O 必须同步,这在很多情况下将进一步影响客户端性能。
NFSv4 与 NFS 以前的版本不同,它允许服务器将文件上的专门活动委派给客户端,以便实现更多积极的客户端数据缓存并允许缓存锁定状态。服务器通过委派放弃对文件更新和客户端的锁定状态的控制。通过允许客户端在本地执行不同的操作和缓存数据,减少了延迟。目前存在两种类型的委派:读和写。服务器在存在文件竞争时能够从客户端调回委派。
一旦客户端具有委派,它就能在已在本地缓存数据的文件上执行操作,以避免网络延迟并优化 I/O。由委派引起的更为积极的缓存在具有以下特点的环境中能发挥较大的作用:
频繁打开和关闭
频繁的 GETATTR
文件锁定
只读共享
高延迟
快客户端
具有多个客户端的重负荷服务器
Data ONTAP 支持读写委派,并且您可以单独调整 NFSv4 服务器以启用或禁用委派的一种或全部两种类型。打开委派时,Data ONTAP 会自动向客户端授予打开文件读取的读委派,或向客户端授予打开文件写入的写委派。
系统提供启用或禁用读写委派选项,以便您对委派影响具有一定水平的控制。理想情况下,服务器将确定是否向客户端提供委派。在读操作高度密集的环境中,打开读委派会很有用。在工程设计中写委派将构建这样的环境,环境中每个用户写入单独的构建文件并且性能还会由于不存在竞争而改善。但是,在同一文件具有多个写入者的情况中,写委派可能没有多大用处。
网友评论