我已经要求在多租户环境中使用vfiler和ipspaces将networking通信隔离到NetApp文件pipe理器。
不幸的是,其中大部分已经实施和devise,所以我们正在调查如何改造这个。
我们最初的模型有vfiler有3个接口 – pipe理,备份和“数据”。 多个vfiler都将使用pipe理和备份,但是他们将拥有自己的专用“数据”vlan和子网,然后根据需要将它们呈现在不同的网段中。
ipspaces的优点是隔离接口,使得每个逻辑接口只能属于一个ipspace。 这意味着我们不能再对每个vfiler进行共同的pipe理和备份。 (至less,不要在同一个子网中做一些有点讨厌的事情,比如多个vlans)
我想我们已经想出了如何处理备份,因为我们可以使用基本文件pipe理器来执行快照库(因此可以消除对“备份”界面的需求)。
然而,我现在绊倒的是'vol0'导出 – 我们从pipe理主机上的所有vfiler挂载vol0,并且挂载一些home驱动结构,所以我们可以创buildqtree并设置初始所有权和框架文件,因为我们不想给出root权限。
我怀疑答案将是“你不能”,但在不利之处 – 是否有人能告诉我,如果有一种方法可以在不同的IP空间从基础vfiler0导出vfiler vol0(和分配的vfiler卷)?
当然,修改任何文件pipe理器的最安全的方法是NFS或CIFSpipe理员共享。 如果这不是一个选项, wrfile选项不是一个好主意,它在过去已经完全损坏了我们正在编写的文件。 我已经看到它从腻子,刚刚粘贴,以及通过在Unix Unixinputredirect的SSH。 修改vFiler系统文件而无需networking访问/etc$ share最安全的方式是ndmpcopy。
首先,从vFiler根卷执行ndmpcopy到您有权访问的卷: ndmpcopy /vol/vf_vol0/etc/hosts /vol/management/etc/ 。 接下来,按照编辑任何其他文件的方式编辑pipe理卷中的文件。
一旦主机文件看起来是你想要的,ndmpcopy ndmpcopy /vol/management/etc/hosts /vol/vf_vol0/etc/
有了更多的研究,答案是:你不能。 vfiler中的NFS服务器实例跟踪诸如打开的文件,锁等等。两个指向相同的源卷不会 – 也不能 – 工作。
解决方法是:
使用vfiler run vfilername rdfile /vol/vf_vol0/etc/hosts来访问文件。 wrfile会让你写文件,但要警告 – 这不是非常用户友好的。 只要你运行它,它会打破你正在写的东西,所以阅读的手册页。
跨防火墙NFS挂载。
ipspaces的全部目的是隔离的,所以它按照devise工作。