NFS服务端操作系统常用操作手册：体系化指南

一、NFS基础概述

1.1 什么是NFS？

网络文件系统（Network File System）是一种分布式文件系统协议，允许客户端计算机通过网络访问服务器上的文件，就像访问本地存储一样。

1.2 核心组件

• nfs-utils: NFS服务套件
• rpcbind: RPC端口映射服务
• /etc/exports: NFS共享配置文件
• /var/lib/nfs/: NFS状态目录

二、NFS服务管理

2.1 服务状态管理

# 检查NFS相关服务状态
systemctl status nfs-server
systemctl status rpcbind
systemctl status nfs-mountd

# 启动/停止/重启NFS服务
systemctl start nfs-server
systemctl stop nfs-server
systemctl restart nfs-server

# 设置开机自启
systemctl enable nfs-server
systemctl enable rpcbind

2.2 配置验证与重载

# 验证exports文件语法
exportfs -v

# 重新加载exports配置（不中断服务）
exportfs -ra

# 查看当前生效的共享
exportfs -s

三、共享配置管理

3.1 配置文件格式（/etc/exports）

# 基本格式：共享目录 客户端(选项)
/data/share 192.168.1.0/24(rw,sync,no_root_squash)
/home/public *.example.com(ro,async)

3.2 常用选项说明

• rw/ro: 读写/只读权限
• sync/async: 同步/异步写入
• no_root_squash: 保留root权限
• subtree_check: 子树检查
• no_subtree_check: 关闭子树检查（性能更好）
• anonuid/anongid: 匿名用户UID/GID

3.3 配置操作示例

# 添加新共享（立即生效）
echo "/data/nfs_share 10.0.0.0/8(rw,sync,no_subtree_check)" >> /etc/exports
exportfs -ra

# 临时取消共享
exportfs -u 10.0.0.0/8:/data/nfs_share

# 完全移除共享并更新配置
exportfs -ua  # 取消所有共享
vi /etc/exports  # 编辑配置文件
exportfs -ra    # 重新应用

四、客户端连接监控与查询

4.1 查询当前连接的客户端（核心功能）

方法1：使用showmount命令

# 查看所有已挂载的客户端
showmount -a

# 示例输出：
# All mount points on nfs-server.example.com:
# 10.0.1.100:/data/share
# 10.0.1.101:/data/share
# 10.0.2.50:/home/public

# 仅显示客户端IP（不显示挂载点）
showmount --no-headers -a | cut -d: -f1 | sort -u

方法2：检查NFS状态文件

# 查看当前客户端连接状态
cat /var/lib/nfs/rmtab

# 实时监控客户端连接变化
watch -n 2 'cat /var/lib/nfs/rmtab'

# 使用netstat查看NFS相关连接
netstat -an | grep :2049
netstat -tnp | grep nfsd

方法3：使用nfsstat工具

# 显示NFS服务器统计信息
nfsstat -s

# 查看详细的连接信息
nfsstat -c   # 客户端统计
nfsstat -s   # 服务器统计

# 监控实时连接
watch -n 1 'nfsstat -c -n'

方法4：通过/proc文件系统

# 查看NFSD线程状态
cat /proc/net/rpc/nfsd

# 查看客户端挂载信息
cat /proc/fs/nfsd/clients/*/info 2>/dev/null

# 查看详细的导出统计
cat /proc/fs/nfsd/exports

4.2 按客户端IP查询具体挂载点

#!/bin/bash
# 查询特定客户端的挂载情况
CLIENT_IP="10.0.1.100"

echo "=== 客户端 $CLIENT_IP 的挂载信息 ==="

# 方法A：从showmount输出过滤
showmount -a | grep "$CLIENT_IP"

# 方法B：检查连接状态
ss -tnp | grep nfs | grep "$CLIENT_IP"

# 方法C：查看详细的NFS会话
nfsdclnts 2>/dev/null | grep "$CLIENT_IP"

4.3 生成客户端连接报告

#!/bin/bash
# generate_nfs_clients_report.sh

REPORT_FILE="/tmp/nfs_clients_$(date +%Y%m%d_%H%M%S).log"

echo "NFS客户端连接报告 - 生成时间: $(date)" > $REPORT_FILE
echo "=========================================" >> $REPORT_FILE

echo -e "\n1. 当前连接的客户端列表:" >> $REPORT_FILE
showmount -a >> $REPORT_FILE 2>&1

echo -e "\n2. 唯一的客户端IP地址:" >> $REPORT_FILE
showmount -a 2>/dev/null | awk -F: '{print $1}' | sort -u >> $REPORT_FILE

echo -e "\n3. 按共享目录分组的客户端:" >> $REPORT_FILE
showmount -a 2>/dev/null | awk -F: '{print $2}' | sort | uniq -c >> $REPORT_FILE

echo -e "\n4. NFS服务器统计:" >> $REPORT_FILE
nfsstat -s >> $REPORT_FILE 2>&1

echo -e "\n5. 网络连接状态:" >> $REPORT_FILE
ss -tnp | grep :2049 >> $REPORT_FILE 2>&1

echo "报告已生成: $REPORT_FILE"

五、性能监控与调优

5.1 监控NFS性能指标

# 实时监控NFS操作
nfsstat -c -s -2   # 每2秒刷新一次

# 使用iostat监控磁盘I/O
iostat -x 2 | grep -E "^sd|nfs"

# 使用nfsiostat（如可用）
nfsiostat 2

# 监控NFSD线程
ps aux | grep nfsd
top -p $(pgrep nfsd | tr '\n' ',' | sed 's/,$//')

5.2 常见性能参数调优

# 调整NFSD线程数（在/etc/sysconfig/nfs中）
# 默认是8，根据需求调整
RPCNFSDCOUNT=32

# 调整读写缓冲区大小（在/etc/nfs.conf或/etc/sysctl.conf中）
# 增加NFS读写缓冲区
echo "sunrpc.tcp_slot_table_entries=128" >> /etc/sysctl.conf
echo "sunrpc.udp_slot_table_entries=128" >> /etc/sysctl.conf
sysctl -p

# 优化TCP参数
echo "net.core.rmem_max = 16777216" >> /etc/sysctl.conf
echo "net.core.wmem_max = 16777216" >> /etc/sysctl.conf

六、故障排查与日志分析

6.1 NFS日志位置

# 系统日志中的NFS相关信息
journalctl -u nfs-server
journalctl -u rpcbind

# 特定时间段的日志
journalctl -u nfs-server --since "2 hours ago"

# 查看内核NFS日志
dmesg | grep nfs
dmesg | grep mount

# RPC调试信息
rpcinfo -p localhost

6.2 常见问题排查

# 1. 检查服务是否正常运行
rpcinfo -p | grep nfs

# 2. 检查端口是否监听
netstat -tulnp | grep -E "2049|111"

# 3. 测试本地挂载
mount -t nfs localhost:/data/share /mnt/test
umount /mnt/test

# 4. 检查防火墙规则
firewall-cmd --list-all | grep nfs
iptables -L -n | grep -E "2049|111"

# 5. 验证客户端访问权限
exportfs -v

6.3 客户端连接问题排查

# 查看拒绝的连接
cat /var/log/messages | grep nfs | grep denied

# 检查配额限制
repquota -a | grep nfs

# 验证文件权限
ls -la /data/share
getfacl /data/share

七、安全加固

7.1 基础安全措施

# 1. 限制共享范围（最小权限原则）
# 在/etc/exports中使用精确的IP或网段

# 2. 使用只读共享（当不需要写权限时）
/data/backups 10.0.1.0/24(ro,sync)

# 3. 避免使用no_root_squash
# 除非绝对必要，否则使用root_squash

# 4. 启用NFSv4（更安全）
# 在/etc/nfs.conf中设置
[nfsd]
vers4=y
vers3=n

# 5. 配置防火墙
firewall-cmd --permanent --add-service=nfs
firewall-cmd --permanent --add-service=mountd
firewall-cmd --permanent --add-service=rpc-bind
firewall-cmd --reload

7.2 访问控制增强

# 使用主机名代替IP（结合DNS）
/data/share client-hostname.example.com(rw,sync)

# 设置匿名用户映射
/data/public 192.168.1.0/24(rw,sync,all_squash,anonuid=1000,anongid=1000)

# 定期审计客户端访问
#!/bin/bash
# audit_nfs_access.sh
LOGFILE="/var/log/nfs_access_audit.log"
echo "$(date): NFS access audit" >> $LOGFILE
showmount -a >> $LOGFILE
ss -tnp | grep :2049 >> $LOGFILE

八、自动化脚本示例

8.1 客户端连接监控脚本

#!/bin/bash
# monitor_nfs_clients.sh

INTERVAL=60  # 监控间隔（秒）
LOG_FILE="/var/log/nfs_client_monitor.log"

echo "=== NFS客户端连接监控启动于 $(date) ===" >> $LOG_FILE

while true; do
    TIMESTAMP=$(date "+%Y-%m-%d %H:%M:%S")
    
    # 获取当前连接数
    CONN_COUNT=$(showmount -a 2>/dev/null | wc -l)
    
    # 获取唯一客户端数
    UNIQUE_CLIENTS=$(showmount -a 2>/dev/null | awk -F: '{print $1}' | sort -u | wc -l)
    
    # 记录到日志
    echo "[$TIMESTAMP] 连接数: $CONN_COUNT, 独立客户端: $UNIQUE_CLIENTS" >> $LOG_FILE
    
    # 如果连接数异常增加，发出警告
    if [ $CONN_COUNT -gt 100 ]; then
        echo "[$TIMESTAMP] 警告: NFS连接数过高 ($CONN_COUNT)" >> $LOG_FILE
        # 可以添加邮件通知
        # mail -s "NFS连接警告" admin@example.com < /tmp/nfs_alert.txt
    fi
    
    sleep $INTERVAL
done

8.2 自动清理断开的客户端

#!/bin/bash
# cleanup_stale_nfs.sh
# 清理长时间未活动的NFS连接

STALE_TIME=3600  # 1小时（秒）

echo "开始清理过期的NFS连接..."

# 方法：检查并清理旧的rmtab条目
for entry in $(cat /var/lib/nfs/rmtab 2>/dev/null); do
    CLIENT=$(echo $entry | cut -d: -f1)
    MOUNT=$(echo $entry | cut -d: -f2)
    
    # 检查客户端是否仍然连接
    if ! ping -c 1 -W 1 $CLIENT > /dev/null 2>&1; then
        echo "清理断开的客户端: $CLIENT -> $MOUNT"
        # 可以执行exportfs -u进行清理
    fi
done

echo "清理完成。"

九、最佳实践总结

9.1 配置管理

1. 版本选择: 优先使用NFSv4，兼容性和安全性更好
2. 权限控制: 遵循最小权限原则，谨慎使用no_root_squash
3. 网络隔离: 将NFS流量限制在专用网络
4. 定期审计: 定期检查客户端连接和访问模式

9.2 性能优化

1. 适当增加nfsd线程数，根据CPU核心数调整
2. 使用sync选项确保数据一致性，性能要求高时考虑async
3. 调整TCP参数优化网络传输
4. 监控磁盘I/O，避免成为瓶颈

9.3 监控维护

1. 建立基线: 记录正常状态下的连接数和性能指标
2. 自动化监控: 设置关键指标的监控和告警
3. 定期清理: 清理日志和临时文件
4. 备份配置: 定期备份/etc/exports和NFS相关配置

9.4 安全建议

1. 网络层防护: 使用防火墙限制访问源
2. 认证增强: 考虑结合Kerberos进行认证
3. 加密传输: 对敏感数据使用NFS over TLS
4. 定期更新: 保持NFS相关软件最新

十、附录：常用命令速查表

命令	功能说明	常用参数
showmount	显示挂载信息	-a所有客户端，-e导出列表
exportfs	管理导出目录	-ra重载所有，-u取消共享
nfsstat	显示NFS统计	-s服务器端，-c客户端
rpcinfo	显示RPC信息	-p显示端口映射
mount	挂载测试	-t nfs指定NFS类型
ss/netstat	网络连接查看	查看2049端口连接

---

最后更新 : $(date +%Y-%m-%d)
适用系统 : RHEL/CentOS 7+, Ubuntu 18.04+
注意事项: 生产环境操作前建议在测试环境验证，关键操作做好备份。