웹사이트 검색

Ubuntu 16.04에서 NFS 마운트를 설정하는 방법

소개

NFS(Network File System)는 서버에 원격 디렉토리를 마운트할 수 있는 분산 파일 시스템 프로토콜입니다. 이를 통해 다른 위치의 저장 공간을 관리하고 여러 클라이언트에서 해당 공간에 쓸 수 있습니다. NFS는 네트워크를 통해 원격 시스템에 비교적 빠르고 쉽게 액세스할 수 있는 방법을 제공하며 공유 리소스가 정기적으로 액세스되는 상황에서 잘 작동합니다.

이 가이드에서는 NFS 마운트를 구성하는 방법을 다룹니다.

전제 조건

이 튜토리얼에서는 두 개의 서버를 사용할 것입니다. 하나는 파일 시스템의 일부를 다른 서버와 공유합니다.

  • 각각 sudo 권한이 있고 사설 네트워킹이 활성화된 비루트 사용자가 있는 Ubuntu 16.04 서버 2대.\n
    • 이러한 권한을 가진 사용자를 설정하는 데 도움이 필요하면 Ubuntu 16.04 가이드로 초기 서버 설정을 따르십시오.\n
    • 사설 네트워킹 설정에 대한 도움말은 DigitalOcean 사설 네트워킹 설정 및 사용 방법을 참조하십시오.\n.

    자습서 전반에 걸쳐 디렉터리를 공유하는 서버를 호스트로, 이러한 디렉터리를 마운트하는 서버를 클라이언트로 참조합니다. 똑바로 유지하기 위해 호스트 및 클라이언트 값의 대용으로 다음 IP 주소를 사용합니다.

    • 호스트: 203.0.113.0
    • 클라이언트: 203.0.113.256

    이 값을 자신의 호스트 및 클라이언트 IP 주소로 바꿔야 합니다.

    1단계 - 구성 요소 다운로드 및 설치

    먼저 각 서버에 필요한 구성 요소를 설치합니다.

    호스트에서

    호스트 서버에서 nfs-kernel-server 패키지를 설치하여 디렉토리를 공유할 수 있습니다. 이 세션에서 apt로 수행하는 첫 번째 작업이므로 설치 전에 로컬 패키지 인덱스를 새로 고칩니다.

    1. sudo apt-get update

    2. sudo apt-get install nfs-kernel-server

    이러한 패키지가 설치되면 클라이언트 서버로 전환하십시오.

    클라이언트에서

    클라이언트 서버에서 불필요한 서버 구성 요소를 포함하지 않고 NFS 기능을 제공하는 nfs-common이라는 패키지를 설치해야 합니다. 다시 한 번 최신 정보를 확보하기 위해 설치 전에 로컬 패키지 인덱스를 새로 고칩니다.

    1. sudo apt-get update

    2. sudo apt-get install nfs-common

    이제 두 서버에 필요한 패키지가 있으므로 구성을 시작할 수 있습니다.

    2단계 - 호스트에 공유 디렉토리 생성

    수퍼유저 액세스와 관련하여 NFS 마운트를 구성할 수 있는 두 가지 주요 방법을 설명하기 위해 구성 설정이 다른 두 개의 개별 디렉토리를 공유할 것입니다.

    수퍼유저는 시스템 어디에서나 무엇이든 할 수 있습니다. 그러나 NFS 마운트 디렉토리는 마운트된 시스템의 일부가 아니므로 기본적으로 NFS 서버는 수퍼유저 권한이 필요한 작업 수행을 거부합니다. 이 기본 제한은 클라이언트의 수퍼유저가 파일을 루트로 쓰거나 소유권을 재할당하거나 NFS 마운트에서 다른 수퍼유저 작업을 수행할 수 없음을 의미합니다.

    그러나 때때로 클라이언트 시스템에는 마운트된 파일 시스템에서 이러한 작업을 수행할 수 있어야 하지만 호스트에서는 수퍼유저 액세스가 필요하지 않은 신뢰할 수 있는 사용자가 있습니다. NFS 서버는 이를 허용하도록 구성할 수 있지만 사용자가 전체 호스트 시스템에 대한 루트 액세스 권한을 얻을 수 있는 위험 요소가 있습니다.

    예 1: 범용 마운트 내보내기

    첫 번째 예에서는 기본 NFS 동작을 사용하는 범용 NFS 마운트를 만들어 클라이언트 시스템에서 루트 권한이 있는 사용자가 해당 클라이언트 수퍼유저 권한을 사용하여 호스트와 상호 작용하는 것을 어렵게 만듭니다. 콘텐츠 관리 시스템을 사용하여 업로드된 파일을 저장하거나 사용자가 프로젝트 파일을 쉽게 공유할 수 있는 공간을 만들기 위해 이와 같은 것을 사용할 수 있습니다.

    먼저 nfs라는 공유 디렉토리를 만듭니다.

    1. sudo mkdir /var/nfs/general -p

    sudo로 생성하고 있기 때문에 디렉토리는 여기 호스트에서 루트가 소유합니다.

    1. ls -la /var/nfs/general

    

    Output
    4 drwxr-xr-x  2 root   root    4096 Jul 25 15:26 .

    NFS는 클라이언트의 모든 루트 작업을 보안 수단으로 nobody:nogroup 자격 증명으로 변환합니다. 따라서 해당 자격 증명과 일치하도록 디렉터리 소유권을 변경해야 합니다.

    1. sudo chown nobody:nogroup /var/nfs/general

    이제 이 디렉터리를 내보낼 준비가 되었습니다.

    예 2: 홈 디렉터리 내보내기

    두 번째 예에서 목표는 클라이언트 서버에서 사용할 수 있는 호스트에 저장된 사용자 홈 디렉토리를 만드는 동시에 해당 클라이언트 서버의 신뢰할 수 있는 관리자가 사용자를 편리하게 관리하는 데 필요한 액세스를 허용하는 것입니다.

    이를 위해 /home 디렉토리를 내보냅니다. 이미 존재하므로 만들 필요가 없습니다. 권한도 변경하지 않습니다. 그렇게 한다면 호스트 시스템에 홈 디렉토리가 있는 모든 사람에게 모든 종류의 문제가 발생할 것입니다.

    3단계 - 호스트 서버에서 NFS 내보내기 구성

    다음으로 NFS 구성 파일을 살펴보고 이러한 리소스의 공유를 설정합니다.

    루트 권한으로 텍스트 편집기에서 /etc/exports 파일을 엽니다.

    1. sudo nano /etc/exports

    파일에는 각 구성 행의 일반 구조를 보여주는 주석이 있습니다. 구문은 기본적으로 다음과 같습니다.

    directory_to_share    client(share_option1,...,share_optionN)

    공유할 각 디렉터리에 대한 줄을 만들어야 합니다. 예제 클라이언트의 IP가 203.0.113.256이므로 행은 다음과 같습니다. 클라이언트와 일치하도록 IP를 변경해야 합니다.

    /var/nfs/general    203.0.113.256(rw,sync,no_subtree_check)
/home       203.0.113.256(rw,sync,no_root_squash,no_subtree_check)

    우리는 no_root_squash를 제외하고 두 디렉터리에 대해 동일한 구성 옵션을 사용하고 있습니다. 각각이 무엇을 의미하는지 살펴보겠습니다.

    • rw: 이 옵션은 클라이언트 컴퓨터에 볼륨에 대한 읽기 및 쓰기 액세스를 모두 제공합니다.
    • 동기화: 이 옵션은 NFS가 회신하기 전에 변경 사항을 디스크에 기록하도록 합니다. 응답이 원격 볼륨의 실제 상태를 반영하므로 결과적으로 보다 안정적이고 일관된 환경이 됩니다. 그러나 파일 작업 속도도 저하됩니다.
    • no_subtree_check: 이 옵션은 모든 요청에 대해 내보낸 트리에서 파일이 실제로 여전히 사용 가능한지 여부를 호스트가 확인해야 하는 프로세스인 하위 트리 검사를 방지합니다. 이로 인해 클라이언트가 파일을 연 상태에서 파일 이름을 바꾸면 많은 문제가 발생할 수 있습니다. 거의 모든 경우 하위 트리 검사를 비활성화하는 것이 좋습니다.
    • no_root_squash: 기본적으로 NFS는 원격으로 루트 사용자의 요청을 서버의 권한이 없는 사용자로 변환합니다. 이는 클라이언트의 루트 계정이 호스트의 파일 시스템을 루트로 사용하지 못하도록 방지하기 위한 보안 기능입니다. no_root_squash는 특정 공유에 대해 이 동작을 비활성화합니다.

    변경을 마쳤으면 파일을 저장하고 닫습니다. 그런 다음 구성한 클라이언트에서 공유를 사용할 수 있도록 하려면 다음 명령을 사용하여 NFS 서버를 다시 시작하십시오.

    1. sudo systemctl restart nfs-kernel-server

    그러나 새 공유를 실제로 사용하기 전에 공유에 대한 트래픽이 방화벽 규칙에 의해 허용되는지 확인해야 합니다.

    4단계 - 호스트에서 방화벽 조정

    먼저 방화벽 상태를 확인하여 활성화되어 있는지 확인하고 활성화된 경우 현재 허용되는 항목을 확인합니다.

    1. sudo ufw status

    

    Output
    Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere
OpenSSH (v6)               ALLOW       Anywhere (v6)

    우리 시스템에서는 SSH 트래픽만 허용되므로 NFS 트래픽에 대한 규칙을 추가해야 합니다.

    많은 애플리케이션에서 sudo ufw app list를 사용하고 이름으로 활성화할 수 있지만 nfs는 그 중 하나가 아닙니다. ufw/etc/services에서 서비스의 포트와 프로토콜을 확인하기 때문에 NFS를 이름으로 추가할 수 있습니다. 모범 사례는 허용하려는 트래픽을 계속 허용하는 가장 제한적인 규칙을 활성화할 것을 권장하므로 어디에서나 트래픽을 활성화하는 대신 구체적으로 지정하겠습니다.

    다음 명령을 사용하여 호스트에서 포트 2049를 열고 클라이언트의 IP 주소를 대체해야 합니다.

    1. sudo ufw allow from 203.0.113.256 to any port nfs

    다음을 입력하여 변경 사항을 확인할 수 있습니다.

    1. sudo ufw status

    출력에 포트 2049에서 허용된 트래픽이 표시되어야 합니다.

    Output
    Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere                 
2049                       ALLOW       203.0.113.256        
OpenSSH (v6)               ALLOW       Anywhere (v6)

    이는 UFW가 클라이언트 시스템의 포트 2049에서 NFS 트래픽만 허용함을 확인합니다.

    5단계 - 클라이언트에서 마운트 지점 생성

    이제 호스트 서버가 구성되고 공유를 제공하므로 클라이언트를 준비합니다.

    클라이언트에서 원격 공유를 사용할 수 있도록 하려면 빈 클라이언트 디렉터리에 호스트 디렉터리를 마운트해야 합니다.

    참고: 마운트 지점에 파일과 디렉토리가 있는 경우 NFS 공유를 마운트하자마자 숨겨집니다. 이미 존재하는 디렉토리에 마운트하는 경우 디렉토리가 비어 있는지 확인하십시오.

    마운트를 위한 두 개의 디렉토리를 생성합니다.

    1. sudo mkdir -p /nfs/general

    2. sudo mkdir -p /nfs/home

    6단계 - 클라이언트에 디렉토리 마운트

    이제 원격 공유를 배치할 장소가 있고 방화벽을 열었으므로 호스트 서버의 주소를 지정하여 공유를 마운트할 수 있습니다. 이 가이드에서는 다음과 같이 203.0.113.0입니다.

    1. sudo mount 203.0.113.0:/var/nfs/general /nfs/general

    2. sudo mount 203.0.113.0:/home /nfs/home

    이러한 명령은 호스트 컴퓨터의 공유를 클라이언트 시스템에 마운트해야 합니다. 여러 가지 방법으로 성공적으로 마운트되었는지 다시 확인할 수 있습니다. 일반 mount 또는 findmnt 명령으로 이를 확인할 수 있지만 df -h는 디스크 사용량이 표시되는 방법을 보여 주는 사람이 더 읽을 수 있는 출력을 제공합니다. nfs 공유에 대해 다르게:

    1.   df -h

    

    Output
    Filesystem                Size  Used Avail Use% Mounted on
udev                      238M     0  238M   0% /dev
tmpfs                      49M  628K   49M   2% /run
/dev/vda1                  20G  1.2G   18G   7% /
tmpfs                     245M     0  245M   0% /dev/shm
tmpfs                     5.0M     0  5.0M   0% /run/lock
tmpfs                     245M     0  245M   0% /sys/fs/cgroup
tmpfs                      49M     0   49M   0% /run/user/0
203.0.113.0:/home      20G  1.2G   18G   7% /nfs/home
203.0.113.0:/var/nfs/general   20G  1.2G   18G   7% /nfs/general

    마운트한 두 공유가 모두 하단에 나타납니다. 동일한 파일 시스템에서 마운트되었기 때문에 동일한 디스크 사용량을 보여줍니다. 각 마운트 지점에서 실제로 얼마나 많은 공간이 사용되고 있는지 확인하려면 디스크 사용 명령 du와 마운트 경로를 사용하십시오. -s 플래그는 모든 파일에 대한 사용을 표시하는 대신 사용 요약을 제공합니다. -h는 사람이 읽을 수 있는 출력을 인쇄합니다.

    예를 들어:

    1. du -sh /nfs/home

    

    Output
    36K	/nfs/home

    이는 전체 홈 디렉토리의 내용이 사용 가능한 공간 중 20K만 사용하고 있음을 보여줍니다.

    7단계 - NFS 액세스 테스트

    다음으로, 각각에 무언가를 작성하여 공유에 대한 액세스를 테스트해 보겠습니다.

    예 1: 범용 공유

    먼저 /var/nfs/general 공유에 테스트 파일을 작성합니다.

    1. sudo touch /nfs/general/general.test

    그런 다음 소유권을 확인합니다.

    1. ls -l /nfs/general/general.test

    

    Output
    -rw-r--r-- 1 nobody nogroup 0 Aug  1 13:31 /nfs/general/general.test

    NFS의 기본 동작을 변경하지 않고 이 볼륨을 마운트하고 sudo 명령을 통해 클라이언트 시스템의 루트 사용자로 파일을 생성했기 때문에 파일 소유권은 기본적으로 nobody:nogroup으로 지정됩니다. 클라이언트 수퍼유저는 이 NFS 마운트 공유에서 파일 소유자 변경 또는 사용자 그룹을 위한 새 디렉토리 생성과 같은 일반적인 관리 작업을 수행할 수 없습니다.

    예 2: 홈 디렉토리 공유

    범용 공유의 권한을 홈 디렉터리 공유와 비교하려면 같은 방법으로 파일 홈 디렉터리를 만듭니다.

    1. sudo touch /nfs/home/home.test

    그런 다음 파일의 소유권을 확인합니다.

    1. ls -l /nfs/home/home.test

    

    Output
    -rw-r--r-- 1 root root 0 Aug  1 13:32 /nfs/home/home.test

    general.test 파일을 만든 것과 똑같은 방식으로 sudo 명령을 통해 home.test를 루트로 만들었습니다. 그러나 이 경우 이 마운트에서 no_root_squash 옵션을 지정했을 때 기본 동작을 재정의했기 때문에 루트가 소유합니다. 이를 통해 클라이언트 시스템의 루트 사용자가 루트로 작동하고 사용자 계정 관리가 훨씬 더 편리해집니다. 동시에 이러한 사용자에게 호스트에 대한 루트 액세스 권한을 부여할 필요가 없음을 의미합니다.

    8단계 - 부팅 시 원격 NFS 디렉토리 마운트

    원격 NFS 공유를 클라이언트의 /etc/fstab 파일에 추가하여 부팅 시 자동으로 마운트할 수 있습니다.

    텍스트 편집기에서 루트 권한으로 이 파일을 엽니다.

    1. sudo nano /etc/fstab

    파일 맨 아래에 각 공유에 대한 행을 추가할 것입니다. 다음과 같이 표시됩니다.

    . . .
203.0.113.0:/var/nfs/general    /nfs/general   nfs auto,nofail,noatime,nolock,intr,tcp,actimeo=1800 0 0
203.0.113.0:/home       /nfs/home      nfs auto,nofail,noatime,nolock,intr,tcp,actimeo=1800 0 0

    참고: 여기에서 지정하는 옵션에 대한 자세한 내용은 man nfs 명령을 사용하여 fstab에 NFS 마운트를 설명하는 매뉴얼 페이지에서 찾을 수 있습니다.

    클라이언트 서버는 부팅 시 원격 파티션을 자동으로 마운트하지만 연결이 설정되고 공유를 사용할 수 있게 되기까지 몇 분 정도 걸릴 수 있습니다.

    9단계 - NFS 원격 공유 마운트 해제

    더 이상 원격 디렉토리를 시스템에 마운트하지 않으려면 다음과 같이 공유 디렉토리 구조 밖으로 이동하고 마운트 해제하여 마운트를 해제할 수 있습니다.

    1. cd ~

    2. sudo umount /nfs/home

    3. sudo umount /nfs/general

    이렇게 하면 원격 공유가 제거되고 로컬 저장소만 액세스할 수 있습니다.

    1. df -h

    

    Output
    
Filesystem      Size  Used Avail Use% Mounted on
/dev/vda         59G  1.3G   55G   3% /
none            4.0K     0  4.0K   0% /sys/fs/cgroup
udev            2.0G   12K  2.0G   1% /dev
tmpfs           396M  320K  396M   1% /run
none            5.0M     0  5.0M   0% /run/lock
none            2.0G     0  2.0G   0% /run/shm
none            100M     0  100M   0% /run/user

    또한 다음 재부팅 시 다시 마운트되지 않도록 하려면 /etc/fstab를 편집하고 줄을 삭제하거나 줄 시작 부분에 # 기호를 배치하여 주석 처리하십시오. 수동으로 마운트할 수 있는 auto 옵션을 제거하여 자동 마운트를 방지할 수도 있습니다.

    결론

    이 자습서에서는 NFS 호스트를 생성하고 NFS 클라이언트와 공유하는 두 가지 다른 NFS 마운트를 생성하여 몇 가지 주요 NFS 동작을 설명했습니다. 프로덕션에서 NFS를 구현하려는 경우 프로토콜 자체가 암호화되지 않는다는 점에 유의해야 합니다. 공개적으로 액세스할 수 있는 파일을 공유하는 경우에는 심각한 문제를 일으키지 않습니다.

    그러나 개인 데이터에 NFS를 사용하는 경우 해당 데이터를 보호할 방법을 결정해야 합니다. 보다 안전한 환경을 만들기 위해 SSH 또는 VPN 연결을 통해 NFS를 라우팅할 수 있지만 이로 인해 심각한 성능 손실이 발생하는 경우가 많습니다. 성능이 문제라면 SSHFS를 고려하십시오. 암호화되지 않은 NFS 트래픽보다 약간 느리지만 일반적으로 터널링된 NFS보다 훨씬 빠릅니다. NFS용 Kerberos 인증 암호화는 살펴볼 수 있는 또 다른 옵션입니다.