У меня есть ситуация, когда мне нужно смонтировать несколько общих ресурсов NFS на серии клиентов в реплицированных сетях виртуальных машин. Таким образом, их исходные IP-адреса не уникальны. Между клиентом и сервером есть виртуальная машина маршрутизации linux, которая может делать все, что сочтет нужным. Я действительно не уверен, как лучше всего сделать эти общие ресурсы доступными ...
1 - полностью маршрутизировать трафик из конца в конец, с маскировкой iptables на «маршрутизаторе» для получения всего клиентского трафика. 2 - выполнить маску И dnat на маршрутизаторе, заставляя внутренние машины думать, что они направляются к «маршрутизатору» для NFS - это значительно упрощает таблицы маршрутизации, поскольку в этом случае все становится локальным. Возможно использование вторичного IP-адреса на «маршрутизаторе» для ясности со всеми используемыми портами NFS. 3 - смонтировать, а затем повторно экспортировать nfs на "маршрутизатор" vm. Это действительно плохо, но дает дополнительный контроль, позволяющий устанавливать только определенные крепления для определенных клиентов. Как указано выше, любое решение NAT означает, что все конечные клиенты выглядят одинаково в NFSv3, что может вызвать проблемы с безопасностью. Это также устраняет проблемы с таблицами маршрутизации. Думаю, я видел комментарий о том, что в этом случае производительность значительно упадет ...
Любые другие варианты / мысли с благодарностью оценены.
Спасибо
Крис
Я считаю, что клиенты NFS за NAT должны работать нормально, без каких-либо уловок. У вас могут возникнуть проблемы, если вы хотите выполнить RPC_GSS (аутентификация Kerberos), поскольку сервер будет проверять IP-адрес клиента на соответствие его принципалу хоста, но если вы просто выполняете AUTH_SYS, я не вижу причин, почему бы этого не сделать работай.