我需要使用 vfiler 和 ipspaces 将网络流量隔离到多租户环境中的 NetApp 文件器。
不幸的是,大部分内容已经实施和设计好了,所以我们正在研究如何改造它。
我们最初的模型有 3 个接口的 vfiler - 管理、备份和“数据”。多个 vfiler 都将使用管理和备份,但它们有自己专用的“数据”vlan 和子网,然后会根据需要呈现到不同的网络段中。
IP 空间的优点是它可以隔离接口,这样每个逻辑接口只能属于一个 IP 空间。这意味着我们不能不再对每个 vfiler 进行共同的管理和备份。(至少,除非执行一些有点麻烦的事情,例如在同一子网内设置多个 VLAN)
我认为我们已经找到了如何处理备份的方法,我们可以使用基本文件管理器来执行 snapvault(这样就不再需要“备份”界面了)。
然而,我现在遇到的问题是“vol0”导出 - 我们从管理主机上的所有 vfiler 安装 vol0,并且我们还安装了一些主驱动器结构,因此我们可以创建 qtree 并设置初始所有权和骨架文件,因为我们不想给出根访问权限。
我怀疑答案会是“你不能”,但在偶然的情况下 - 有人能告诉我是否有办法从不同 IP 空间中的基本 vfiler0 导出 vfiler vol0(和分配的 vfiler 卷)吗?
答案1
当然,修改任何文件管理器等的最安全方法是 NFS 或 CIFS 管理共享。如果这不是一个选项,那么这个wrfile选项就不是一个好主意 - 过去,它已经完全破坏了我们试图写入的文件。我见过它从刚粘贴的 putty 中执行此操作,以及通过 Unix 中的输入重定向的 ssh 执行此操作。在没有网络访问共享的情况下修改 vFiler 系统文件的最安全方法/etc$是 ndmpcopy。
首先,从 vFiler 根卷执行 ndmpcopy 到您有权访问的卷:ndmpcopy /vol/vf_vol0/etc/hosts /vol/management/etc/。接下来,以与编辑任何其他文件相同的方式编辑管理卷中的文件。
一旦 hosts 文件看起来符合您的要求,请将其复制回去:ndmpcopy /vol/management/etc/hosts /vol/vf_vol0/etc/
答案2
经过进一步研究,答案是:不能。vfiler 中的 NFS 服务器实例会跟踪打开的文件、锁定等内容。将两个指向同一源卷的操作不会 - 也不能 - 起作用。
解决方法是:
用于
vfiler run vfilername rdfile /vol/vf_vol0/etc/hosts访问文件。wrfile将允许您写入文件,但请注意 - 它不太方便用户使用。一旦您运行它,它就会破坏您正在写入的内容,因此请阅读手册页。NFS 跨防火墙挂载。
IP 空间的全部目的是隔离,因此它按设计运行。