操作场景
来访客户端首先必须是与文件系统在同一个网络下,且创建的文件系统需要配置权限组,以便进一步管理这些来访客户端的访问权限及读写权限,下面将介绍与权限相关的操作方法。
操作步骤
步骤1:创建权限组
1. 登录 文件存储控制台,在左侧导航栏中单击权限组。
2. 在权限组页面,单击创建,创建一个权限组。在弹出的新建窗口中配置权限组名称和备注。
步骤2:添加权限组规则
单击权限组名称,进入规则列表。在规则列表中,可以添加、编辑或删除规则。如果权限组中没有添加规则,则会允许全部。规则说明如下。
字段 | 含义 |
来访地址 | 可以填写单个 IP 或者单个网段,例如 10.1.10.11 或者 10.10.1.0/24。默认来访地址为*表示允许所有。同时需要注意,此处需填写 CVM 的内网 IP。 |
读写权限 | 只读或者读写。 |
用户权限 | 有如下 4 个选项,对来访用户进行权限限制。 all_squash:所有访问用户(含 root 用户)都会被映射为匿名用户或用户组。 no_all_squash:所有访问用户(含 root 用户)均保持原有的 UID/GID 信息。 root_squash:将来访的 root 用户映射为匿名用户或用户组,非 root 用户保持原有的 UID/GID 信息。 no_root_squash:与 no_all_squash 效果一致,所有访问用户(含 root 用户)均保持原有的 UID/GID 信息。 注意: CIFS/SMB 文件系统和Turbo文件系统不支持该权限项,配置后不生效。 每个文件系统默认为 755 权限,nfsnobody 没有写入权限。因此,此处如无特殊需求,建议配置 no_root_squash。如果使用 root 用户创建文件目录并挂载文件系统后,当来访 IP 设置为 all_squash 或者 root_squash 时,该来访 IP 将只能读文件。(因为挂载路径为 root 权限,而来访 IP 已被映射为匿名用户)。 同时保留 no_all_squash、no_root_squash 的目的是兼容习惯使用 NFSD 权限组配置的用户。 |
优先级 | 可以在1 - 100中设置整数位的优先级,1为最高。当同一个权限组内单条 IP 与网段中包含的 IP 的权限有冲突时,会生效优先级高的规则,若优先级相同则优先生效单条 IP 的权限。若配置了两个有重叠的网段权限不同但优先级相同,则重叠网段的权限会随机生效,请尽量避免重叠网段的配置。 注意: CIFS/SMB 文件系统不支持优先级,配置后不生效。 |
步骤3:为文件系统配置权限组
权限组的配置支持在创建文件系统后进行修改,您可以选择优先创建权限组,然后在创建文件系统时选择该权限组,也可以在创建文件系统时先选择默认权限组,在创建完权限组后,再到文件系统详情处修改权限组。
注意
如果使用 NFS v4 协议挂载文件系统,在修改该文件系统的权限组规则后,需要等待2分钟,等待配置生效。
步骤4:修改权限组信息以及规则
进入权限组详情后,可以修改权限组名称、备注信息以及权限组规则。
注意:
权限组规则生效方式为异步生效,请避免频繁的单个IP的添加。
建议通过网段的方式添加,或基于模板批量导入。