Auftaktveranstaltung der Lugrav am 30.01.2014 zum Thema Serverdienste (Bericht)

[Peter Voigt]

Hallo,

am 30.01.2014 stand das Thema NFS (Network File System) auf der
Tagesordnung der Lugrav, genauer gesagt die aktuelle Version 4 von
NFS.

Bekanntlich kann ein NFS-Server ein Filesystem "exportieren", so dass
es von einem NFS-Client "importiert" werden kann. Auf diesem Wege kann
ein NFS-Client ein exportiertes Filesystem des NFS-Servers wie ein
lokales Filesystem mounten und nutzen.

NFS ist in unixoiden Firmennetzen verbreitet. Aber auch f�r den
Heimanwender gibt es Szenarien, f�r die NFS eine L�sung bieten kann.

Beispiele:

- einem Desktop mit starker CPU vom NAS aus heruntergeladene
Medien-Dateien zur Verf�gung zu stellen, um sie zu dekodieren,

- den Nutzern eines Heimnetzes auf allen Rechnern ihre vertrauten
Heimverzeichnisse zur Verf�gung stellen,

- mit NFS als Br�cke auf ein ZFS-Filesystem zugreifen, obwohl der
Rechner des Endusers �ber keinen ZFS-Client verf�gt,

- der Klassiker: Rechner ohne lokal vorhandene Filesysteme betreiben,
d.h. ohne eigene Platte, USB-Stick, SDHC-Karte oder dergleichen,

- ...

Weil dieser Vortrag den Auftakt der Serie �ber Serverdienste bildete,
wurden die allgemeinen Eigenschaften von NFS beleuchtet, die es von
anderen Serverdiensten unterscheidet.

Betrachtet wurden Offenheit, Transparenz, Skalierbarkeitund
Sicherheit. 

An diesen Eigenschaften entscheidet sich, ob ein bestimmter Server-
dienst, der die gesuchte Funktionalit�t abbildet, f�r eine gegebene 
Aufgabenstellung in Frage kommt.

Die aktuelle Version 4 von NFS eignet sich f�r die Nutzung �bers
Internet dank Verschl�sselung, Caching und zahlreichen Verbesserungen
im Bereich der internen Pfadaufl�sung.

Diese Version kann mit nur einem offenen Port unter TCP betrieben
werden. Mountd, portmapper und lockd k�nnen fortfallen, bleiben aber
aktiviert.  Erstmals tritt idmapd als Daemon hinzu. Die Konfiguration 
der Firewall vereinfacht sich deutlich.

Manche Eigenschaften gro�er Serverdienste fehlen noch. Das gilt z.B.
f�r die Datenreplikation.

Ebenso fehlen auch Positions- und Migrationstransparenz. Mit Version 4 
braucht der NFS-Client immer noch pr�zise Kenntnis �ber den Netzwerk-
Standort des NFS-Serverdienstes und eventuellen Verlagerungen.

Bei NFS unter Debian Wheezy f�llt auf, dass die Versionen 2, 3 und 4
gleichzeitig aktiv sind. Portmapper, mountd und lockd sind auch
dann aktiv, falls sie nicht gebraucht werden. 

Das scheint f�r viele Distributionen zu gelten (wurde von mir nicht 
gepr�ft)

Ein Parameter, einzelne Versionen ein- oder auszuschalten, fehlt.

Daf�r muss man entweder sehr tief ins System eingreifen.  Gebraucht
werden ein selbst kompilierter Kernel, ein neu zusammengestelltes
Initial Filesystem und weitere Konfigurationen unter /etc.

Als Workaround kommt ein Paketfilter in Frage, der alle
UDP-Verbindungen auf dem einzig ben�tigten NFS-Port blockiert.

Ins Auge sprang auch, dass NFS in allen Versionen nicht kaskadierbar
ist.

Diese Aussage stie� zun�chst auf Unglauben.

Dennoch: Ein NFS-Server kann kein Filesystem exportieren, welches er
gleichzeitig selber importiert hat.

Die Manpage zu exportfs stellt das bereits im ersten Satz klar. Nur
lokal vorhandene Filesysteme k�nnen exportiert werden. Von remote
existierenden Filesystemen ist dort nicht die Rede.

Die technische Ursache findet sich im NFS-Protokoll. Nach dem Mounten
des entfernten Filesystems werden zwischen Server und Client nur noch
Dateihandles ausgetauscht. F�r die Identifikation des Servers am
Ende der Kaskade, auf welchen ein mittlerer NFS-Server ja zugreifen
k�nnen m�sste, ist im Protokoll einfach kein Platz vorgesehen.

Aus diesem Grunde scheiterte ad hoc der Versuch, ein Filesystem
gleichzeitig zu im- und zu exportieren. Die Demonstration endete mit
einer Fehlermeldung.

In der Praxis kann man sich behelfen, indem man den NFS-Client
anweist, jenes Verzeichnis direkt bei dem NFS-Server am Ende der Kette
abzuholen.

Denn nichts und niemand hindert den Client, mehrere NFS-Server
parallel zu nutzen. Das wird auf Client-Seite beim Mounten des
Filesystems geregelt.

Nach der Pause f�hrte der zweite Teil des Abends in die Praxis.

Die Aufgabe lautete: "gleiche Heimverzeichnisse f�r Nutzer". Jeder
Einzelschritt von der Installation bis zur Inbetriebnahme wurde
vorgef�hrt und erl�utert.

Dabei kamen subtile T�cken zur Sprache, die sich aufgrund der
unterschiedlichen Namensr�ume ergeben k�nnen und vom Daemon idmapd nur
zum Teil aufgefangen werden.

Auf dem Treffen wurde ein 5-seitiges Handout verteilt.

Es dokumentiert jeden Einzelschritt und belegt damit, wie einfach NFS
Version 4 aufzusetzen ist. Die Beschreibung einer geeigneten simplen
Firewall geh�rt dazu.

Das Handout beschreibt dar�ber hinaus in der Art eines Steckbriefs 
die wichtigsten Eigenschaften von NFS 4 und gibt Fundstellen zum 
Selbststudium.

Das Handout mag erg�nzt werden. Auf Blatt 2 kann unter der �berschrift
"Offenheit" die Aussage "Fr�here Versionen von Winlos ben�tigen einen
Zusatz, z.B. SFU." am Ende des 2. Absatzes erg�nzt werden.

Mit diesem Hinweis endet mein Bericht �ber die Auftakt-Veranstaltung
der Lugrav zum Thema Serverdienste.

Manch anderes Thema kam auf diesem Treffen auch zur Sprache. Weil 
diese Mail bereits so lang geworden ist ("T'schuldigung"), schildere 
ich keine Details.

pv:)