CIFS oder NFS einem Cluster bereitsstellen?

StefanM1990

New Member
Mar 1, 2021
9
0
1
30
Hallo Zusammen,

ich habe eine kurze und knackige Frage.

Wenn Ihr eine VM mietet mit 400GB SSD und diesen Speicher einem PROXMOX Cluster zur Verfügung stellen wollt, macht Ihr das mit CIFS oder NFS?
Beides kann ich ja auf der VM konfigurieren und dem Cluster bereitstellen, aber was ist sinnvoller/performanter?

Vielen Dank für eure Antworten
 

Dunuin

Renowned Member
Jun 30, 2020
1,241
238
63
Hallo Zusammen,

ich habe eine kurze und knackige Frage.

Wenn Ihr eine VM mietet mit 400GB SSD und diesen Speicher einem PROXMOX Cluster zur Verfügung stellen wollt, macht Ihr das mit CIFS oder NFS?
Beides kann ich ja auf der VM konfigurieren und dem Cluster bereitstellen, aber was ist sinnvoller/performanter?

Vielen Dank für eure Antworten
Performanter wohl NFS weil nativ auf Linux. Bei CIFS hättest du aber wenigstens Authentifizierung per Passwort. Bei NFS geht das ja nur über z.B. Kerberos.
 

StefanM1990

New Member
Mar 1, 2021
9
0
1
30
wenn ich doch ein NFS Export mache, dann kann ich doch ausschließlich meine Server die darauf zugreifen dürfen angeben. Ist dann eine Password Authentifizierung zwingend notwenig?
 

Dunuin

Renowned Member
Jun 30, 2020
1,241
238
63
wenn ich doch ein NFS Export mache, dann kann ich doch ausschließlich meine Server die darauf zugreifen dürfen angeben. Ist dann eine Password Authentifizierung zwingend notwenig?
Ja, du kannst schon sagen, dass da nur bestimmte IPs drauf zugreifen dürfen. Die Frage ist aber was hindert jemanden in einem 24er Subnetz daran, da einfach alle 254 möglichen IPs auszutesten, ob er damit Zugriff auf den Share bekommt? Jeder andere Host im Netz, der sich die selbe statische IP gibt, hat dann ja auch Zugriff, obwohl du das garnicht willst. Das ist jetzt für mich kein wirklicher Schutz. Halt wie ein Zahlenschloss mit nur 2 Stellen.
 
Last edited:

hec

Active Member
Jan 8, 2009
240
9
38
Ja, du kannst schon sagen, dass da nur bestimmte IPs drauf zugreifen dürfen. Die Frage ist aber was hindert jemanden in einem 24er Subnetz daran, da einfach alle 254 möglichen IPs auszutesten, ob er damit Zugriff auf den Share bekommt? Jeder andere Host im Netz, der sich die selbe statische IP gibt, hat dann ja auch Zugriff, obwohl du das garnicht willst. Das ist jetzt für mich kein wirklicher Schutz. Halt wie ein Zahlenschloss mit nur 2 Stellen.
Deswegen sind Storage Netze immer getrennt von allen anderen Netzen.
CIFS ist im Normalfall wesentlich langsamer als NFS. NFS Mounts überleben auch das wegbrechen des Storage und verbinden sich einfach wieder.
Das kann CIFS ja noch immer nicht - da ist die einzige Möglichkeit CIFS CA Shares und das ist eher sehr selten.

Man muss ja auch nicht ganze Netze freigeben - es sind auch einzelne Hosts möglich.
Zwei gleiche IPs in einem Netz haha das möchte ich sehen was da noch so richtig funktioniert. Noch dazu wird das mit RPC sehr interessant wie das funktionieren soll. Man kann da noch andere Sicherheitsmechanismen aktivieren wie static ARP usw

CIFS hat genau einen Sinn wenn ich Windows und AD verwende - für alles andere NFS im File Bereich oder iSCSI bzw FC im Block Bereich.
 

Dunuin

Renowned Member
Jun 30, 2020
1,241
238
63
Zwei gleiche IPs in einem Netz haha das möchte ich sehen was da noch so richtig funktioniert. Noch dazu wird das mit RPC sehr interessant wie das funktionieren soll. Man kann da noch andere Sicherheitsmechanismen aktivieren wie static ARP usw
Da wird es ja sicher auch Wege geben. Am Router kann ich ja z.B. auch sagen, dass da nur Clients mit einer bestimmten MAC zugriff auf den AP haben dürfen. Und die MAC sollte ja auch einmalig sein. Kann man trotzdem umgehen, indem man sich per MAC Spoofing the selbe MAC setzt. Dann muss man nur noch den echten Client so zuspammen, dass der die Verbindung verliert und wenn der die verloren hat, dann ersetzt man dessen Stelle mit seiner MAC.

Getrennte Netze sind natürlich eine Option. Im Idealfall muss man dann ja aber auch wieder je ein eigenes Netz je Client haben, dass sich da echt nur ein Server und ein Client in jedem Netz befinden.
 

hec

Active Member
Jan 8, 2009
240
9
38
Da wird es ja sicher auch Wege geben. Am Router kann ich ja z.B. auch sagen, dass da nur Clients mit einer bestimmten MAC zugriff auf den AP haben dürfen. Und die MAC sollte ja auch einmalig sein. Kann man trotzdem umgehen, indem man sich per MAC Spoofing the selbe MAC setzt. Dann muss man nur noch den echten Client so zuspammen, dass der die Verbindung verliert und wenn der die verloren hat, dann ersetzt man dessen Stelle mit seiner MAC.

Getrennte Netze sind natürlich eine Option. Im Idealfall muss man dann ja aber auch wieder je ein eigenes Netz je Client haben, dass sich da echt nur ein Server und ein Client in jedem Netz befinden.
Ich finde es irgendwie sehr interessant dass du dir solche Gedanken machst beim Thema NFS aber bei CIFS nicht.

CIFS ist nicht so sicher wie du glaubst - nur weil du da einen Usernamen und ein Passwort eingibst.
Noch dazu musst ja Usernamen und Passwort im Klartext auf dem Server hinterlegen.
Wenn ich Zugriff auf den Server bekomme habe kann ich sowieso machen was ich will.

Du gehst vor allem auf ein Problem ein das sind interne Angreifer. Gegen die kannst du nur in Grenzen was machen. Wenn die User/Admins die Rechte benötigen hast du verloren dann können die machen was sie wollen.

Man kann ja auch über IPV6 mounten - da bist du mit durchprobieren sehr schnell am Ende wenn ich nur einzelne Hosts freigebe.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE and Proxmox Mail Gateway. We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get your own in 60 seconds.

Buy now!