OceanStor存储系统面向NAS特性的最佳实践

华为OceanStorV5&FV5存储系统面向NAS特性的最佳实践华为OceanStorV5&FV5融合存储是华为面向企业用户推出的新一代存储系列，融合了NAS和SAN的应用场景。本文档介绍了OceanStorV5&FV5存储在NAS方面的部分新特性，并给出特性的实施步骤，为客户了解部署NAS存储提供参考。目 录概述 4内容简介 4写作目的 4面向读者 4用户收益 4关键组件 5OceanStorV5&FV5存储产品介绍 6OceanStorV5&FV5存储NAS特性介绍 7全局命名空间 7DNS负载均衡 8CIFSHomedir 8MMC 9ABE 9全局命名空间的最佳实践 11注意事项 11操作配置 12存储侧 12主机侧 18优势对比 19DNS负载均衡的最佳实践 20注意事项 20操作配置 20存储侧 20主机侧 22场景证实 24操作步骤 24验证结果 27优势对比 27CIFSHomedir特性的最佳实践 28注意事项 28操作配置 28创建CIFSHomedir共享 28查询CIFSHomedir共享 31修改CIFSHomedir共享 32场景证实 32操作步骤 32验证结果 34优势对比 34MMC特性的最佳实践 35注意事项 35操作配置 36存储侧 36主机侧 37场景证实 39管理共享 39管理用户/用户组 44管理会话 46管理打开文件 47优势对比 47ABE特性的最佳实践 49注意事项 49操作配置 49场景证实 50优势对比 559总结 56 1概述1.1内容简介华为OceanStorV5&FV5一体化融合存储（下文简称V5&FV5存储）是面向企业级应用的新一代融合存储产品。本文档针对V5&FV5系列存储NAS功能的重点特性进行阐述，介绍特性的原理及关键操作，为客户更好的使用V5&FV5存储NAS功能提供参考。1.2写作目的本文档的写作目的在于描述V5&FV5存储系统NAS功能的几个重点特性，旨在为华为合作伙伴和华为用户提供参考，以期简化IT系统的规划部署，提升运维效率。1.3面向读者本文档面向华为员工、合作伙伴与客户，阅读本文档，需要熟悉如下技术：·华为OceanStorV5&FV5系列存储·华为OceanStorDeviceManager软件·Linux操作系统基础知识·Windows操作系统基础知识1.4用户收益本方案提供了V5&FV5存储NAS功能重点特性的最佳实践及证实解决方案，期望用户能够使用该证实解决方案，简化运维，提升存储利用率，获取最高投资回报率。1.5关键组件本文中描述的内容基于以下硬件和软件进行描述：·华为OceanStor5500FV500R007C00版本存储系统·Linux操作系统·Windows操作系统 2OceanStorV5&FV5存储产品介绍华为OceanStorV5&FV5一体化融合存储（下文简称V5&FV5系列存储）是面向企业级应用的新一代融合存储产品。凭借面向云的存储操作系统、强劲的新一代硬件平台和丰富的智能管理软件，V5&FV5系列存储在功能、性能、效率、可靠性和易用性上都达到业界领先水平，很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求，广泛适用于政府、金融、电信、能源、媒资等行业。同时，V5&FV5系列存储能够提供高效、灵活、丰富的备份、容灾解决方案，有效保证用户业务连续性和数据安全，为用户提供卓越的存储服务。图2-1华为OceanStorV5&FV5融合存储更多详细信息，请查看下面的链接：·OceanStor5300/5500/5600/5800V5混合闪存存储系统·OceanStor6800V5高端混合闪存存储系统·OceanStor18500/18800V5高端混合闪存存储系统·OceanStor5300F/5500F/5600F/5800FV5全闪存存储系统·OceanStor6800FV5高端全闪存存储系统·OceanStor18500F/18800FV5高端全闪存存储系统3OceanStorV5&FV5存储NAS特性介绍华为OceanStorV5&FV5融合存储支持NAS存储技术，可同时支持结构化和非结构化数据存储，支持NFS、CIFS、HTTP和FTP等主流存储网络协议。目前，与NAS存储相关的重要特性包括以下几种。·全局命名空间·DNS负载均衡·CIFSHomedir·MMC·ABE下面详细介绍这些特性的功能。3.1全局命名空间随着企业业务的快速发展，文件访问和管理变得越来越复杂。为解决文件数据遇到的各类管理难题，以全局命名空间（GlobalNameSpace，GNS）为基础的文件虚拟化技术应运而生。全局命名空间（GlobalNameSpace，GNS）是将物理上分散存储的文件系统聚合到一个虚拟根目录“/”下，从而提供统一的逻辑视图，简化文件访问和管理的复杂性。全局命名空间逻辑结构如下图所示，其最顶端是一个由“/”代的虚拟根目录。华为OceanStorV5&FV5融合存储面向NAS特性的最佳实践图3-1全局命名空间的逻辑结构3.2DNS负载均衡DNS负载均衡技术是在DNS服务器中为同一个域名配置多个IP地址，在应答DNS查询时，DNS服务器对每个查询将以DNS文件中域名对应的IP地址按既定策略返回不同的解析结果，将客户端的访问引导到不同的节点IP上去，使得不同的客户端访问不同的节点，从而达到负载均衡的目的。在NAS环境中，主机可通过域名访问存储阵列上的服务。当同一域名下有多个IP地址时，可通过DNS实现不同IP间的负载分担。外置的DNS服务器无法感知阵列上各IP所在节点的CPU利用率、所在端口的带宽利用率等负载情况，通常只能提供简单的round-robin策略，无法真实的反应各IP的负载情况，均衡效果不理想。华为OceanStorV5&FV5系列存储内置了DNS负载均衡功能。通过存储阵列的DNS负载均衡特性，可以实时感知阵列上IP的负载情况，以合适的IP作为DNS响应，达到各IP间负载均衡的效果。存储阵列的DNS负载均衡特性的实现原理：·主机通过域名访问存储阵列的NAS业务时，先发送DNS请求至存储阵列内置的DNS服务器，DNS服务器根据域名获取IP地址。·当域名下包含多个IP时，存储阵列根据设置的负载均衡策略，选择负载较轻的IP作为DNS响应，返回给主机。·主机收到DNS响应后，向目标IP发起业务请求。3.3CIFSHomedirCIFSHomedir（HomeDirectory）是CIFS用户私有目录，可用于存放用户私有数据。Homedir可以看做是一个共享，和普通共享的区别在于每个CIFS用户访问Homedir共享时是访问用户自己的私有目录，因此可以像普通共享一样创建、删除、修改和查询Homedir共享，配置共享权限和共享特性开关。华为OceanStorV5&FV5存储系统上目前已经实现的Homedir特性功能如下。HuaweiProprietaryandConfidentialCopyright©HuaweiTechnologiesCo.,Ltd.8华为OceanStorV5&FV5融合存储面向NAS特性的最佳实践·支持多个文件系统路径·支持AutoCreate·支持Quota·支持配置Homedir共享名·支持单个用户多个Homedir·支持配置共享特性开关华为OceanStorV5&FV5融合存储面向NAS特性的最佳实践3.4MMC3.5ABEMMC（MicrosoftManagementConsole）即Windows管理控制台，可为Windows管理员提供一个统一的、规范的管理接口和操作平台。其中包含通过CIFS协议，对存储进行用户/用户组以及共享的管理功能。在中大型规模的NAS应用场景中，会存在多个NAS服务器，且这些服务器可能来自于不同厂商。对于NAS管理员的日常管理工作，如果要登录每台NAS服务器的管理界面来进行管理工作，那么效率低下且容易出错。而MMC作为一个管理平台，使用它来统一对这些服务器进行管理可以解决这个问题。因此，Windows管理控制台就成为了业内通用的一种管理NAS服务器的方式。图3-2MMC管理NAS服务器示意图ABE（Accessbasedenumeration），基于权限的目录项枚举。该功能主要用于文件共享场景。在当用户使用SMB协议访问文件共享时，SMB服务器会根据用户是否具有该对文件或目录的权限进行决策是否显示该文件或目录。一方面，该特性提升了目录项列举的用户体验，提升了私密性和安全性。同时，也为管理员提供了目录项显示配置策略，通过配置ABE功能开关，管理员可以配置该功能是否开启从而配置目录项显示策略。SMB服务器会读取目录下所有的文件和目录。并对其进行按照一定的规则进行ACL鉴权，过滤掉该用户没有权限的文件或目录不进行显示。图3-3ABE基本工作原理图 4全局命名空间的最佳实践4.1注意事项华为OceanStorV5&FV5存储系统支持创建NFS、CIFS全局命名空间共享，有如下注意事项。NFS全局命名空间管理·全局命名空间的共享路径默认为根目录“/”。·每个租户只能创建一个全局命名空间，且共享名称必须为“/”。·必须为文件系统添加单独的共享，添加单独的共享后如果访问“/”的主机没有权限访问该文件系统，则不显示该文件系统。·全局命名空间根目录“/”是只读权限，“/”下无法创建、修改、删除目录和文件，也无法修改“/”的目录属性，进入文件系统目录后权限会替换成该文件系统的共享权限。·若没有创建全局命名空间，则NFSv3不能挂载根目录“/”，NFSv4挂载根目录“/”时只能看到已共享的文件系统。·在双活特性中，若主端租户内创建了全局命名空间共享，则从端必须为相同版本的存储设备才支持创建租户pair。如果已经创建了租户pair，则主从两端存储设备必须为V3R6C01及以上的相同版本才支持创建全局命名空间共享。CIFS全局命名空间管理·全局命名空间的共享路径默认为根目录“/”。·可为每个租户创建多个具有不同共享名称的全局命名空间共享。·创建全局命名空间的CIFS共享后，所有文件系统默认挂载到全局根目录“/”下。通过启用ABE（AccessBasedEnumeration）功能，可控制用户在文件系统下能否可见无权限的文件和文件夹。通过设置在文件系统上的ACL权限，可控制用户能否访问具体的文件系统。·全局命名空间根目录“/”是只读权限，“/”下无法创建、修改、删除目录和文件，也无法修改“/”的目录属性，不支持跨一级目录（文件系统）的文件或目录移动。·由于CIFS协议的目录名称大小写不敏感，若当前存在因大小写不敏感的多个同名文件系统（例如，名称为“AA”和“aa”的两个文件系统），将只会添加先创建的文件系统（即文件系统ID较小的文件系统）到全局命名空间中。此时，请修改同名的文件系统名称，确保在大小写不敏感时文件系统名称不重复。修改成功后，文件系统将会自动添加到全局命名空间中。·SMB1不支持全局命名空间。·在双活特性中，若主端租户内创建了全局命名空间共享，则从端必须为相同版本的存储设备才支持创建租户pair。如果已经创建了租户pair，则主从两端存储设备必须为V3R6C01及以上的相同版本才支持创建全局命名空间共享。4.2操作配置4.2.1存储侧存储系统上的资源分配图如下图所示：图4-1存储系统上的资源分配流程图整体操作配置流程描述如下：·存储系统和主机之间建立10GE的物理连接。·存储系统上按照规划配置逻辑端口，包括选定物理端口和配置业务IP。·存储系统上创建硬盘域。·存储系统上创建存储池。·存储系统上创建文件系统。·存储系统上为已经创建的文件系统创建共享。下面对其中的关键步骤进行描述。创建硬盘域硬盘域（DiskDomain）即多个硬盘的组合，将硬盘整合并预留热备容量后统一向存储池提供存储资源。·OceanStorV5&FV5系列存储可以配置一个或多个硬盘域。·一个硬盘域上可以创建多个存储池（StoragePool）。·一个硬盘域的硬盘可以选择SSD、SAS、NL-SAS中的一种或者多种。·不同硬盘域之间是完全隔离的，包括故障域、性能和存储资源等。硬盘域的热备容量比例与热备策略和硬盘的类型和数量相关，该比例关系由存储系统根据可靠性工程方法自动维护。V5&FV5系列存储系统支持SSD、SAS、NLSAS三种硬盘，并支持分级存储。建议使用SSD和SAS硬盘部署，不建议使用性能和可靠性较低的NLSAS盘。V5&FV5系列存储系统的硬盘域可以跨所有引擎，但基于性能考虑，不建议跨引擎创建硬盘域，以避免过于频繁的内部交换网络数据传输。V5&FV5系列存储系统的硬盘域可以包含多达上千块硬盘，但基于性能和可靠性考虑，建议硬盘域每存储层的硬盘数不超过100个。创建存储池存储池（StoragePool），是存放存储空间资源的容器，创建于硬盘域内，可以从硬盘域上动态分配资源，并定义每个存储层级的“RAID级别”。V5&FV5存储支持RAID6、RAID10、RAID5、RAID3、RAID50、RAID1、RAID0七种RAID级别，建议按如下策略为OracleOLTP数据库配置RAID级别。·首选RAID6，尤其是虚拟机OS，核心业务等可靠性要求高的场景。·性能的重要性高于可靠性时，建议选择RAID10。·容量的重要性高于可靠性时，建议选择RAID5。创建存储池的界面如下图所示。图4-2创建存储池创建文件系统创建文件系统时，为了能使存储系统的性能达到最优状态，需要根据实际的数据存储情况，选择合适的策略。主要参数的推荐配置策略如下。·Thin：启用Thin功能后，存储系统不会一次性分配已设置的容量给文件系统。在文件系统容量范围内，存储系统会根据主机实际使用的容量动态分配存储资源，实现按需分配。建议开启。·快照空间比例：文件系统快照空间占文件系统空间的百分比。建议保持默认值20%。·应用场景：文件系统的应用场景，可选择“VM”、“Database”、“User_defined”。·其他参数：可按实际场景调整，建议保持保持默认。创建文件系统的界面如下图所示。图4-3创建文件系统创建共享创建NFS共享后，操作系统的客户端用户能够通过网络访问共享的文件系统，建议按如下策略。·客户端选择，如果只允许少数特定的主机，则可以配置IP或者网段；如果允许所有主机都访问，则直接配置为“*”。·客户端权限选择“Read-write”读写权限，允许数据库对文件进行任意操作。·写模式保持默认，选择“Synchronous”同步模式，写入共享的数据立即写入硬盘。·权限限制保持，选择“no_all_squash”，保留共享文件的UID和GID。·Root权限限制选择“no_root_squash”，允许客户端以root用户访问，root用户具有共享目录的完全控制访问权限。·源端口校验限制保持默认，选择“insecure”，允许客户端使用1～1023的端口访问NFS共享资源。创建共享的界面如下图所示。图4-4共享权限配置创建全局命名空间使用全局命名空间，可以通过统一的逻辑视图实现多个共享、文件的管理。V5&FV5存储系统支持创建NFS、CIFS全局命名空间共享。建议配置策略如下。NFS全局命名空间配置策略：·文件系统选择“/”,创建全局命名空间共享。·创建全局命名空间时，共享路径固定为“/”。·创建全局命名空间时，不支持选择QuotaTree，不支持设置共享名称，不支持设置字符编码，不支持选择审计日志，不支持设置权限信息。图4-5NFS创建全局命名空间共享CIFS全局命名空间配置策略：·文件系统选择“/”,创建全局命名空间共享。·创建全局命名空间时，共享路径固定为“/”。·设置共享名称。·选择本地认证用户，权限级别设置为“完全控制”。图4-6CIFS创建全局命名空间共享单击“Next”,进入权限设置页面。添加本地认证用户，并设置权限级别为“完全控制”。图4-7CIFS创建全局命名空间共享-权限限制4.2.2主机侧存储侧创建全局命名空间完成后，需要在主机侧挂载共享，通过主机访问共享。V5&FV5存储系统支持NFS、CIFS共享，分别对应Linux、Windows等操作系统。以Windows客户端访问CIFS共享为例，操作流程如下：步骤1在Windows客户端，右键单击“计算机”。选择“映射网络驱动器”。在“文件夹”中，输入映射的文件夹路径并选择“使用其他凭据连接”。文件夹路径的输入格式为“\\logicalipaddress\sharename”。其中logicalipaddress指存储系统提供CIFS共享的逻辑端口IP地址，sharename是指创建的CIFS全局命名空间共享名称。图4-8映射网络驱动器步骤2在“Windows安全”对话框中，输入CIFS共享的用户名和密码，单击“确定”。步骤3完成创建后，即可在Windows资源管理器中访问管理所有共享。图4-9CIFS访问共享----结束4.3优势对比全局命名空间技术是文件虚拟化的核心。通过全局命名空间可以让客户端在不知道分散文件位置的情况下，直观地访问这些文件。使用全局命名空间后，通过统一的逻辑视图即可实现文件管理。用户可以拥有自己的文件夹，也可以访问权限可达的文件夹。全局命名空间提供了一个理想的平台，在其之上可以搭建关键的存储管理解决方案。包括文件共享、灾难恢复、数据迁移、负载均衡、服务器整合、存储优化等。表4-1优势对比 启用全局命名空间 不启用全局命名空间 更直观的访问 通过根目录访问所有文件系统 需要为每个文件系统创建共享 更简单的管理 通过根目录管理所有文件系统 每个共享单独管理一个文件系统 更易扩展 新增文件系统后，客户端访问方式不变 需要为新增文件系统创建共享 5DNS负载均衡的最佳实践5.1注意事项华为OceanStorV5&FV5存储系统启用DNS负载均衡功能时，有如下注意事项。·启动DNS负载均衡功能时，建议关闭全局命名空间转发功能，该功能会影响DNS负载均衡的效果。·关闭DNS负载均衡功能后，将无法使用域名解析服务，以及文件系统无法使用DNS负载均衡功能。·DNS负载均衡是基于逻辑IP的，不会计算控制器。因此需要保证配置在同一DNSzone中的逻辑IP分布在不同控制器才能保证控制器间均衡。5.2操作配置存储启用DNS负载均衡功能，实现客户端访问NAS共享时，根据既定策略分流到不同的端口IP上。具体操作步骤描述如下。5.2.1存储侧步骤1登录DeviceManager，启用DNS负载均衡。选择“设置>存储设置>文件存储服务>DNS负载均衡”。图5-1启用DNS负载均衡步骤2选择负载均衡策略设置DNS负载均衡策略。V5&FV5存储系统支持以下负载均衡策略：·加权轮询：当客户端通过域名访问时，根据性能数据计算权重，同一域名下需负载的各IP以相等的概率选中处理客户端业务。默认选项，适用于各逻辑IP承载的平均服务请求相对均衡的状况。·CPU利用率：当客户端通过域名访问时，根据各节点CPU使用率性能数据计算权重，以权值作为概率选择节点处理客户端业务。适用于对CPU要求较高的小文件随机读写的场景。·端口带宽利用率：当客户端通过域名访问时，根据各节点总带宽利用率性能数据计算权重，以权值作为概率选择节点处理客户端业务。适用于对带宽要求较高的大文件连续读写的场景。·连接数：当客户端通过域名访问时，根据各节点NAS连接数性能数据计算权重，以权值作为概率选择节点处理客户端业务。适用于多用户访问共享的场景。·综合负载：当客户端通过域名访问时，根据性能数据的节点综合负载选择节点处理客户端业务。根据CPU利用率、带宽利用率和NAS连接数计算节点负载，负载越低则被选中的概率越高。步骤3配置DNSZoneDNSZone包含了一组逻辑端口的IP地址，主机可以通过DNSZone的名称访问存储系统提供的共享服务，使得业务均衡分布在各个逻辑端口上。步骤4创建逻辑端口·至少创建2个逻辑端口，以实现负载均衡。·其中一个逻辑端口的开启监听DNS查询请求，作为DNS的监听服务器端IP。·逻辑端口加入同一个DNSZone。·负载均衡效果与DNSZone内关联的逻辑端口分布有关，为达到较好的均衡效果，请使DNSZone内逻辑端口在控制器间均匀分布。图5-2创建逻辑端口----结束5.2.2主机侧存储启用DNS负载均衡后，客户端访问NFS、CIFS共享时要实现负载均衡功能，需要配置DNS，并以域名的方式访问共享。以Windows客户端访问CIFS共享为例，主要操作步骤如下。步骤1客户端配置DNS客户端配置IP地址，与逻辑端口在同一个网段。DNS设置为开启DNS查询请求的逻辑端口IP。图5-3客户端配置DNS步骤2客户端使用域名访问共享参考4.2.2章节，在Windows客户端中映射网络驱动器访问CIFS共享。文件夹路径的输入格式为“\\DNSZone\sharename”。其中DNSZone指存储系统开启DNS负载均衡时设置的DNSZone的名称，sharename是指创建的CIFS共享名称。使用具有权限的存储本地认证用户登录。图5-4映射网络驱动器----结束5.3场景证实存储启用DNS负载均衡功能后，可实现客户端访问NAS共享时，根据既定策略分流到不同的端口IP上。5.3.1操作步骤配置和验证过程如下。步骤1存储启用DNS负载均衡参考5.2.1章节，存储启用DNS负载均衡，负载均衡策略选择“综合负载”。创建3个逻辑端口，其中LogicIP_A用于监听DNS查询请求，LogicIP_B、LogicIP_C为业务端口在控制器上均匀分布。图5-5创建逻辑端口步骤2客户端访问CIFS共享2个Windows客户端访问同一个CIFS共享，使用DNSZone域名映射网络驱动器。图5-6Windows客户端访问共享步骤3存储CLI命令监控CIFS连接数和IP使用admin用户登录存储CLI，并切换到Developer视图，运行以下命令。developer:/>showcifsconnectioncontroller=0A两个控制器上均有1个连接，连接的IP如下图所示。图5-7A控的连接情况图5-8B控的连接情况步骤4使用工具或者拷贝文件的方式下发业务，在存储上观察所有控制器上的逻辑端口，此时应该在所有逻辑端口（控制器）上看到IO。图5-9存储侧监控IO情况步骤5取消逻辑端口激活状态，模拟故障使用工具或者拷贝文件的方式下发业务，同时模拟故障，取消逻辑端口logicGEIP_B激活状态。客户端上的IO短时间暂停后继续，无IO中断。存储上的连接自动切换到另一控制器。图5-10存储CLI查看CIFS连接----结束5.3.2验证结果通过以上验证步骤可知，V5&FV5存储系统启动DNS负载均衡功能后，阵列可以根据当前负载情况按既定的策略将新的连接分流。同时，在控制器故障时实现IP自动漂移，业务不中断，数据不丢失。5.4优势对比华为OceanStorV5&FV5存储系统内置DNS负载均衡功能，可以实时感知阵列的负载情况，根据既定的负载均衡策略将连接分流到不同的端口IP上，达到更好的负载均衡效果。内置DNS服务器在阵列内每个节点上都可部署，可以避免单点故障。另外，对外提供DNS服务的IP在端口或控制器故障时，可以实现自动漂移，提供接近100%的可靠性。表5-1优势对比 启用DNS负载均衡 不启用DNS负载均衡 简单易记 用户使用域名访问共享 用户使用IP访问共享 更合理的策略 按策略分流连接，控制器间负载均衡 一个IP地址对应一个控制器，无法在控制器间负载均衡 更高的安全性 端口或控制器故障时，IP自动漂移，接近100%可靠 使用端口绑定可实现在同一控制器上的IP自动漂移，安全性稍低 6 CIFSHomedir特性的最佳实践6.1注意事项华为OceanStorV5&FV5存储系统创建、访问CIFSHomedir时，有如下注意事项。·已启用CIFS服务。·如果使用域认证方式访问共享，则存储系统和客户端必须加入同一AD域。6.2操作配置本章节介绍管理CIFSHomedir共享的相关操作，包括创建CIFSHomedir共享、查询CIFSHomedir共享和修改CIFSHomedir共享。6.2.1创建CIFSHomedir共享登录华为存储DeviceManager，在图形化界面下创建CIFSHomedir共享。主要操作步骤如下。步骤1设置CIFSHomedir共享参数在“设置CIFSHomedir”界面，输入对应参数的信息。·相对路径中可以包含普通字符和特殊字符串“%d”、“%w”和“%u”。“%d”代表域名，“%w”代表用户名，“%u”代表映射后的Unix名称。例如，相对路径是“home_%d/%w”，则“china”域用户“usera”的homedir目录为“home_china/usera/”。·Oplock（Opportunisticlock），一种机制，旨在动态调整客户端的缓存策略，以提高性能和网络利用率。以下场景不推荐启用该功能：·对数据完整性要求很高的场景。开启Oplock功能后，存在网络中断、客户端故障等导致客户端本地缓存丢失的风险，如果上层业务软件无数据保障、修复或重试机制，可能会造成数据丢失。·多个客户端访问相同文件的场景。此场景如果开启了Oplock功能，会对整个系统性能产生一定的影响。·其他参数建议保持默认值。图6-1设置CIFSHomedir共享参数步骤2为用户或用户组设置CIFSHomedir共享的访问权限。在“用户/用户组”中，选择用户类型或用户组类型。取值包括：“Everyone”、“本地认证用户”、“本地认证用户组”、“域用户”和“域用户组”。在“权限级别”中，为增加的用户或用户组选择访问CIFSHomedir共享的权限。图6-2设置用户访问权限步骤3为CIFSHomedir共享添加文件系统路径映射规则。映射规则由用户名、文件系统、QuotaTree、优先级和AutoCreate选项组成，只有匹配映射规则的用户才能访问文件系统下的Homedir目录。----结束6.2.2查询CIFSHomedir共享通过CIFSHomedir共享可以访问指定文件系统目录下与用户名同名的目录。主要操作步骤如下。步骤1Windows客户端映射网络驱动器映射的文件夹路径使用“\\logicalipaddress\sharename”的格式。其中，sharename是指CIFSHomedir共享的共享名称。图6-3映射网络驱动器步骤2输入认证用户、密码可使用本地认证及域认证。在AD域应用中，用户名的输入格式为“域名\域用户名”。图6-4输入认证用户及密码----结束6.2.3修改CIFSHomedir共享存储系统支持修改已经创建完成的CIFSHomedir共享。包括：·修改用户访问CIFSHomedir共享权限·修改访问CIFSHomedir的IP地址/地址段·修改文件扩展名过滤规则·修改CIFSHomedir映射规则·修改CIFSHomedir共享属性·删除CIFSHomedir共享以上操作均可通过存储DeviceManager图形化界面完成操作，操作步骤比较简单，在此不一一赘述。6.3场景证实存储系统为CIFS用户创建Homedir，作为用户私有目录。每个用户访问共享时只能访问用户自己的私有目录，而不是像普通共享一样，可以列出、访问所有目录。本章节介绍CIFSHomedir的配置和功能验证过程。6.3.1操作步骤以AD域环境下为例进行说明，操作步骤描述如下。步骤1创建CIFSHomedir共享参照6.2.1章节，为域用户aduser00、aduser01分别创建Homedir共享。图6-5创建Homedir步骤2客户端访问CIFSHomedir共享Windows客户端分别使用aduser00、aduser01访问共享，并创建测试文件和文件夹。图6-6域用户aduser00访问共享并创建测试文件和文件夹图6-7域用户aduser01访问共享并创建测试文件和文件夹步骤3使用存储本地认证用户访问共享使用属于Administrators用户组的存储本地认证用户访问共享，其显示效果如下所示。自动创建了home_WIN2016目录，及子目录aduser00、aduser01。每个目录下的测试文件和文件夹与步骤2中创建的完全一致。图6-8目录aduser00显示图6-9目录aduser01显示----结束6.3.2验证结果通过以上证实操作，可以得出结论：华为OceanStorV5&FV5存储系统为CIFS用户创建Homedir后，每个用户访问共享时只能访问用户自己的Homedir私有目录，在此目录下具备所赋予的相应读写权限。6.4优势对比华为OceanStorV5&FV5存储系统支持CIFSHomedir特性。为CIFS用户创建Homedir后，可以和普通共享一样创建、删除、修改和查询共享中的文件。同时，提高了共享服务的安全性，用户访问的仅是自己的文件目录。表6-1优势对比 使用Homedir 不使用Homedir 更高的安全性 为每个用户提供私有目录 多个用户共用共享目录 显示更简洁 仅显示当前用户的目录结构 显示文件系统下的所有目录结构，不区分当前用户是否有查看权限 7 MMC特性的最佳实践7.1注意事项通过MMC连接V5&FV5存储系统，有如下注意事项。·因为Windows操作系统本身机制的约束，需要客户端禁用Administrator用户，否则Windows操作系统不会查找存储系统上面的用户或组。·已配置存储系统逻辑端口IP地址。·如果在MMC中对存储系统的本地认证用户和用户组进行管理，则存储系统和客户端必须加入同一AD域。当前支持的MMC管理功能列表如下表所示。表7-1支持的管理功能列表 功能类别 功能 说明 CIFS共享管理 列举共享 需要操作用户有administrator权限。 添加共享 由于Windows客户端限制，请确保通过MMC创建共享时，所选的共享文件夹路径总长度不超过255个字符，否则无法在MMC中创建共享。 查看共享 当前无法查看最大连接数，最大连接数始终显示为1。 修改共享 支持修改共享描述、共享权限、ACL和脱机缓存。 停止共享 - 用户管理 列举用户 - 查看用户信息 支持查看所属组。 修改用户所属组 - 用户组管理 创建用户组 - 列举组 - 查看组信息 支持查看组成员，包括域用户。 修改组中的成员 支持加入本地用户、域用户和域用户组。 修改用户组描述 - 删除用户组 - 会话管理 列举会话 - 关闭会话 - 打开文件 列举打开的文件 - 关闭打开的文件 -7.2操作配置使用本地用户登录Windows客户端时，需要在存储系统中创建相同名称和相同密码的本地用户，并在存储系统中将该本地用户加入administrators用户组。使用域用户登录Windows客户端时，需要将存储系统加入同一个域，并在存储系统中将该域用户加入administrators用户组。以域环境下为例进行说明，操作步骤描述如下。7.2.1存储侧参考章节4.2.1。完成硬盘域、存储池、文件系统的创建。同时，存储需要加入AD域，如下图所示。图7-1存储加入AD域域用户加入administrators用户组。如下图所示。图7-2域用户加入administrators用户组7.2.2主机侧以WindowsServer2012R2客户端为例讲述如何配置MMC连接存储系统，主机上的操作步骤如下。步骤1域用户登录Windows客户端单击“开始>运行”，在弹出的输入框中输入mmc。在弹出的窗口中，选择“File>Add/RemoveSnap-ins”。然后在弹出的对话框中选中“SharedFolders”，然后单击“Add”。图7-3添加共享文件夹步骤2添加另一台计算机在弹出的对话框中，选择“Anothercomputer”，然后输入存储系统的前端业务IP地址。然后单击“完成”。图7-4添加另一台计算机步骤3添加本地用户和组选中“LocalusersandGroups”，然后单击“Add”。在弹出的对话框中，选择“Anothercomputer”，然后输入存储系统的前端业务IP地址。然后单击“完成”。图7-5添加本地用户和组步骤4添加完成后，即可对存储系统进行用户/用户组管理相关操作。图7-6添加共享和用户完成----结束7.3场景证实存储系统支持通过MMC控制台管理CIFS共享，包括查看共享，设置共享权限。也可以管理本地认证用户和用户组，包括查看本地认证用户和用户组，添加本地认证用户到本地用户组，添加本地用户组的成员。主机侧配置和验证过程如下。7.3.1管理共享创建共享步骤1域用户登录Windows客户端，登录Windows管理控制台，创建共享。右键单击“共享”，然后选择“新建共享”。在弹出的“创建共享文件夹向导”中，输入需要共享的目录。使用“浏览”选择存储系统中的目录。图7-7选择共享目录步骤2输入共享名图7-8输入共享名步骤3选择共享文件夹的权限类型图7-9选择共享文件夹的权限类型单击“完成”，弹出“共享成功”的提示信息。然后单击“完成”。----结束查看共享步骤1创建成功的共享将在管理控制台中显示图7-10创建成功的共享右侧窗口将列出当前的所有CIFS共享。其中共享的客户端连接数无法显示真实的访问该共享的连接数，总显示为1。步骤2查看共享的权限右键单击需要查看的共享，选择“属性”，在弹出的选项卡中选择“共享权限”，可查看该共享的访问权限。如下图所示，共享的权限与创建时选择的权限相同。图7-11查看共享权限步骤3在存储上查看创建成功的共享存储上同样可以查询到创建成功的共享，且权限设置与创建时的选择一致。图7-12创建成功的共享----结束修改共享步骤1修改共享的权限在共享的“属性”页面，选择“共享权限”，可修改该共享的访问权限。如下图所示，添加域用户aduser00的完全控制权限。图7-13添加域用户权限步骤2在存储上查看修改后的共享存储上查询修改后的共享，用户权限页面能查看到已经新增域用户aduser00的完全控制权限，如下图所示。图7-14存储上查看修改后的共享----结束停止共享步骤1右键单击需要停止的共享，选择“停止共享”图7-15停止共享步骤2存储上查看共享，停止的共享在存储上已经消失----结束7.3.2管理用户/用户组创建用户组域用户登录Windows客户端，登录Windows管理控制台，选择“本地用户和组”，在“用户组”按向导提示创建用户组。图7-16创建组成功V5存储系统不支持通过MMC创建Windows保留账户。查看用户/用户组域用户登录Windows客户端，登录Windows管理控制台，选择“本地用户和组”，能查看存储系统上的所有用户和用户组。操作步骤如下。步骤1选择“本地用户和组>用户”，右侧窗口将列出所有用户步骤2选择“本地用户和组>组”，右侧窗口将列出所有用户组图7-17查看所有用户组V5&FV5存储系统有四个自动创建的本地认证用户组，这四个组为系统内部保留组，不能被删除：·“default_group”：默认用户组。该组成员在访问存储系统的共享文件系统时，通过鉴权后，该组成员才能具有相应的权限。·“Administrators”：管理员用户组。该组成员在访问存储系统的共享文件系统时，不需要经过共享级别的用户鉴权（sharelevelACL）以及目录文件级别的ACL（NTACL），从而管理员用户组成员可以去操作任意共享里面的任意一个文件（具有这个共享的管理员权限），不需要进行鉴权操作。·“AntivirusGroup”：防病毒用户组。该组成员能实现通过第三方杀毒软件扫描共享文件系统，具有管理员权限。·“BackupOperators”：备份用户组。该组成员能实现通过第三方备份软件备份和恢复共享的文件系统，不具有管理员权限。步骤3存储上查看“本地认证用户组”，可以查看到新创建的用户组图7-18存储上查看用户组----结束修改用户/用户组域用户登录Windows客户端，登录Windows管理控制台，选择“本地用户和组”，能修改存储系统上的用户所属的用户组。操作步骤如下。步骤1选择“本地用户和组>用户”，修改用户所属的组图7-19添加用户组步骤2选择“本地用户和组>组”，添加或删除组内的用户图7-20组内添加用户V5&FV5存储系统不支持通过MMC修改Windows保留用户组的描述。----结束删除用户组选择“本地用户和组>组”，右键单击需要删除的组，选择“删除”。阅读弹出的对话框中显示的风险提示，并确认后，在弹出的对话框中，单击“是”，删除该用户组。7.3.3管理会话可以使用Windows管理控制台（MMC）从共享文件夹中断开用户，关闭会话。步骤1选择“共享文件夹>会话”。右侧窗口将列出当前的所有会话的详细信息。图7-21查看会话信息步骤2右键单击需要关闭的会话，选择“关闭会话”。----结束7.3.4管理打开文件可以使用Windows管理控制台（MMC）从共享文件夹中关闭打开的文件。当关闭打开的文件或文件夹时，连接到此文件或文件夹的用户将被断开，用户可能会丢失数据。因此关闭打开的文件前，请尽可能通知用户。步骤1选择“共享文件夹>打开文件”。右侧窗口将列出当前的所有打开的文件。图7-22查看所有打开的文件步骤2右键单击需要关闭的文件，选择“将打开的文件关闭”。图7-23关闭打开的文件----结束7.4优势对比华为OceanStorV5&FV5系列存储系统支持MMC特性，允许NAS管理员通过Windows管理控制台操作共享。MMC作为NAS存储的统一管理平台，实现一对多的管理，不必再登陆每台NAS存储，提高了NAS管理员的管理效率。使用MMC管理NAS存储的优势对比，如下表所示。表7-2优势对比 使用MMC管理 不使用MMC管理 管理更高效 Windows平台上统一管理多台存储 逐一登陆每台存储管理 操作更简单 不必了解每台存储的共享、用户等管理方式 需熟悉每台存储的共享、用户等管理方式 8 ABE特性的最佳实践8.1注意事项存储启用ABE功能，有如下注意事项。·SMB2/SMB3支持ABE功能，SMB1不支持。·ABE的作用域为普通CIFS共享，不包括Homedir共享。·由于ABE功能需要对ACL进行鉴权，因此ABE功能开启后会对读目录性能会产生一定的影响。默认情况下ABE功能关闭。8.2操作配置参考章节4.2.1，完成硬盘域、存储池、文件系统的创建。在创建CIFS共享时，启用启用ABE功能。图8-1创建CIFS共享启用ABE8.3场景证实存储系统创建CIFS共享时启用了ABE功能后，共享目录中不显示用户无权限的文件和文件夹。主机侧配置和验证过程如下。操作步骤以域环境下主机侧访问CIFS共享为例进行说明，操作步骤描述如下：步骤1主机侧访问存储系统创建的CIFS共享（以域用户“aduser00”访问共享为例），如下图所示。图8-2映射共享网络驱动器图8-3输入域用户aduser00及密码步骤2在共享路径下创建文件及文件夹图8-4创建文件及文件夹步骤3对两个不同的域用户添加相应的权限对文件夹aduser01、文件aduser01.txt添加域用户aduser01的“Read&execute”权限，添加域用户aduser02的“Write”权限。如下图所示。图8-5对文件夹aduser01、文件aduser01.txt添加权限同时，对文件夹aduser02、文件aduser02.txt添加域用户aduser01的“Write”权限，添加域用户aduser02的“Read&execute”权限。如下图所示。图8-6对文件夹aduser02、文件aduser02.txt添加权限此处注意，需要移除“Everyone”的默认权限，如果不移除“Everone”的默认权限，所有用户对该文件仍具有“FullControl”权限，即仍可以看到该文件。步骤4分别以域用户aduser01和aduser02访问共享路径下的文件以aduser01访问共享，仅显示具有read权限的文件夹aduser01、文件aduser01.txt。如下图所示。图8-7以aduser01访问共享以aduser02访问共享，仅显示具有read权限的文件夹aduser02、文件aduser02.txt。如下图所示。图8-8以aduser02访问共享此时，可以看到CIFS共享启用ABE后，共享目录中不显示用户无权限的文件和文件夹。接下来，我们验证不启用ABE功能时，共享目录中文件和文件夹的显示情况。步骤5取消CIFS共享的ABE功能登录存储DeviceManager，在CIFS共享的属性页，取消ABE功能。图8-9取消ABE功能步骤6分别以域用户aduser01和aduser02访问共享路径下的文件以aduser01访问共享，能显示所有文件和文件夹。如下图所示。图8-10以aduser01访问共享以aduser01访问共享，能显示所有文件和文件夹。如下图所示。图8-11以aduser02访问共享此时，可以发现，CIFS共享取消ABE功能后，共享目录中会显示所有文件和文件夹，不区分当前用户是否具有访问权限。----结束验证结果存储系统创建CIFS共享时启用了ABE功能后，共享目录中不显示用户无权限的文件和文件夹，提高了用户体验。8.4优势对比ABE功能可以帮助管理员进行目录项管理。隐藏访问用户不具有权限的文件或目录不予显示。·一定程度上提升了文件共享服务的安全性，不具有权限的用户根本不知道其他用户的文件或目录。·提高了用户体验，使得访问用户只能看到自己的有效文件或目录，不需要看到过多的和自己不相关的文件或目录。同时为了便于管理员配置显示策略，V5&FV5存储系统提供了ABE功能开关，该开关针对每个文件共享独立的控制ABE功能是否开启，给予了管理员极大的灵活性。 启用ABE特性 不启用ABE特性 简洁高效 仅显示用户具有权限的文件或目录 显示全部文件或目录 更高的安全性 不可见即不可知 可见即有潜在的安全性问题 9总结本文介绍了华为OceanStorV5&FV5存储系统NAS功能的几个重点特性，并提供经验证的操作指导。使用户在使用在V5&FV5存储阵列NAS功能时可以利用本文档提供的操作指导，在实践中予以指导，提升运维效率，最大限度的提高存储利用率，获取最高投资回报率。