TrueNAS NFS Best Practices fuer Linux-Umgebungen

NFS ist das Standard-Protokoll fuer Dateifreigaben in Linux-Umgebungen. In Kombination mit TrueNAS entsteht eine leistungsfaehige Storage-Plattform, die von einfachen Home-Verzeichnissen bis hin zu Shared Storage fuer Proxmox VE-Cluster alles abdeckt. Doch zwischen einer funktionierenden und einer optimal konfigurierten NFS-Umgebung liegt ein erheblicher Unterschied — in Performance, Sicherheit und Stabilitaet.

Dieser Artikel zeigt die wichtigsten Best Practices fuer NFS auf TrueNAS in produktiven Linux-Umgebungen: von der Protokollwahl ueber Export-Optionen bis zum Performance-Tuning.

NFSv3 vs NFSv4 vs NFSv4.1/pNFS

Die Wahl der NFS-Version hat direkten Einfluss auf Sicherheit, Performance und Funktionsumfang.

Kriterium	NFSv3	NFSv4	NFSv4.1/pNFS
Portnutzung	Mehrere Ports (rpcbind, mountd, statd)	Ein einzelner Port (2049)	Ein einzelner Port (2049)
Firewall-Freundlichkeit	Komplex (dynamische Ports)	Einfach	Einfach
Authentifizierung	IP-basiert (AUTH_SYS)	Kerberos moeglich (RPCSEC_GSS)	Kerberos moeglich (RPCSEC_GSS)
ID-Mapping	UID/GID numerisch	Username-basiert (idmapd)	Username-basiert (idmapd)
Delegation	Nein	Ja (Client-Caching)	Ja (Client-Caching)
Paralleler Zugriff	Nein	Nein	Ja (pNFS)
Empfehlung	Legacy-Systeme	Standard fuer Produktion	Grosse Cluster-Umgebungen

Empfehlung: NFSv4 ist der Standard fuer neue Deployments. NFSv3 nur noch fuer aeltere Systeme verwenden, die NFSv4 nicht unterstuetzen.

TrueNAS NFS-Share konfigurieren

Die Einrichtung erfolgt ueber die Web-GUI unter Sharing > Unix Shares (NFS).

Share erstellen

Sharing > Unix Shares (NFS) > Add
  Path:           /mnt/tank/nfs-data
  Description:    Linux NFS Share
  Enabled:        Yes
  NFSv4:          Aktiviert

Export-Optionen im Detail

Die Export-Optionen steuern, welche Clients zugreifen duerfen und mit welchen Rechten.

Authorized Networks:   10.0.10.0/24
Authorized Hosts:      (leer = alle Hosts im Netzwerk)
maproot User:          root
maproot Group:         wheel
mapall User:           (leer)
mapall Group:          (leer)
Security:              sys

maproot bildet den Root-Benutzer des Clients auf einen bestimmten Benutzer auf TrueNAS ab. mapall bildet alle Benutzer auf einen einzigen Benutzer ab — nuetzlich fuer Szenarien, in denen alle Clients denselben Zugriff erhalten sollen.

Sicherheitshinweis: Setzen Sie maproot nur, wenn Root-Zugriff tatsaechlich erforderlich ist. Fuer allgemeine Dateifreigaben ist mapall auf einen unprivilegierten Benutzer die sicherere Wahl.

Client-seitige Mount-Konfiguration

Manueller Mount

mount -t nfs4 10.0.10.1:/mnt/tank/nfs-data /mnt/nfs-data

Permanenter Mount ueber /etc/fstab

10.0.10.1:/mnt/tank/nfs-data  /mnt/nfs-data  nfs4  rw,hard,intr,rsize=1048576,wsize=1048576,timeo=600,retrans=2,_netdev  0 0

Die wichtigsten Mount-Optionen im Ueberblick:

• hard — Wiederholte Versuche bei Server-Ausfall (empfohlen fuer Produktion). Die Alternative soft bricht nach Timeout ab und kann zu Datenverlust fuehren.
• intr — Erlaubt das Unterbrechen haengender NFS-Operationen.
• rsize/wsize=1048576 — Lese- und Schreibblockgroesse von 1 MB. Maximiert den Durchsatz bei grossen Dateien.
• _netdev — Wartet beim Booten auf die Netzwerkverfuegbarkeit, bevor der Mount versucht wird.

Kerberos-Authentifizierung mit NFSv4

In sicherheitskritischen Umgebungen ersetzt Kerberos die IP-basierte Authentifizierung durch eine kryptografische Identitaetspruefung.

Sicherheitsstufen

Stufe	Beschreibung
sec=sys	Standard — UID/GID-basiert, keine Verschluesselung
sec=krb5	Kerberos-Authentifizierung, Daten unverschluesselt
sec=krb5i	Authentifizierung + Integritaetspruefung
sec=krb5p	Authentifizierung + Verschluesselung (hoechste Sicherheit)

Kerberos-Client einrichten

apt install krb5-user nfs-common

In /etc/krb5.conf die Realm-Konfiguration hinterlegen:

[libdefaults]
    default_realm = EXAMPLE.LAN

[realms]
    EXAMPLE.LAN = {
        kdc = dc01.example.lan
        admin_server = dc01.example.lan
    }

Keytab auf dem Client hinterlegen und Mount mit Kerberos ausfuehren:

mount -t nfs4 -o sec=krb5p 10.0.10.1:/mnt/tank/nfs-data /mnt/nfs-secure

Performance-Tuning

Server-seitig: NFS-Threads erhoehen

TrueNAS startet standardmaessig 16 NFS-Threads. Fuer Umgebungen mit vielen Clients oder hoher Last sollte dieser Wert erhoeht werden.

Services > NFS > Settings
  Number of Servers:  32 (oder 64 bei >20 Clients)

Alternativ per CLI pruefen:

sysctl vfs.nfsd.server_max_nfsds

Client-seitig: rsize und wsize optimieren

Wert	Einsatz
rsize/wsize=65536	Konservativ, gut fuer viele kleine Dateien
rsize/wsize=262144	Ausgewogen
rsize/wsize=1048576	Maximal, optimal fuer grosse Dateien und Backups

async vs sync

• sync (Standard auf TrueNAS): Jeder Schreibvorgang wird auf Disk geschrieben, bevor die Bestaetigung an den Client geht. Sicher, aber langsamer.
• async: Schreibvorgaenge werden gepuffert. Deutlich schneller, aber bei Stromausfall droht Datenverlust.

Empfehlung: sync fuer produktive Daten, async nur fuer temporaere Daten oder Backup-Ziele, bei denen die Quelldaten anderweitig gesichert sind.

Proxmox NFS-Storage-Integration

Proxmox VE unterstuetzt NFS nativ als Storage-Backend — ideal fuer ISO-Images, Container-Templates und Backups.

Datacenter > Storage > Add > NFS
  ID:       truenas-nfs
  Server:   10.0.10.1
  Export:   /mnt/tank/nfs-data
  Content:  ISO image, Container template, VZDump backup file
  NFS Version: 4.2

Proxmox mountet den NFS-Share automatisch auf allen Cluster-Nodes. Fuer VM-Disks empfehlen wir weiterhin iSCSI, da Block-Storage weniger Overhead hat.

autofs: Dynamisches Mounten

In Umgebungen mit vielen NFS-Shares oder Workstations ist autofs die bessere Alternative zu statischen fstab-Eintraegen. Shares werden erst beim Zugriff gemountet und nach Inaktivitaet automatisch wieder getrennt.

apt install autofs

In /etc/auto.master:

/mnt/nfs  /etc/auto.nfs  --timeout=300

In /etc/auto.nfs:

data  -rw,hard,intr,rsize=1048576,wsize=1048576  10.0.10.1:/mnt/tank/nfs-data
media -ro,soft  10.0.10.1:/mnt/tank/nfs-media

systemctl enable --now autofs

Ein Zugriff auf /mnt/nfs/data mountet den Share automatisch. Nach 300 Sekunden Inaktivitaet wird er wieder getrennt.

Troubleshooting

Stale File Handles

Tritt auf, wenn der Server-seitige Export geaendert oder der Share neu erstellt wurde, waehrend der Client noch gemountet ist.

umount -f /mnt/nfs-data
mount -a

Permission Denied

Haeufigste Ursachen: UID/GID-Mismatch zwischen Client und Server, oder fehlende Netzwerkfreigabe in den Export-Optionen.

# Aktuelle NFS-Exporte auf TrueNAS pruefen
showmount -e 10.0.10.1

# UID/GID auf dem Client pruefen
id username

Langsame Performance

# NFS-Statistiken auf dem Client anzeigen
nfsstat -c

# Mount-Optionen des aktiven Mounts pruefen
mount | grep nfs

# Netzwerk-Durchsatz testen
dd if=/dev/zero of=/mnt/nfs-data/testfile bs=1M count=1024 oflag=direct

Typische Ursachen: falsche rsize/wsize-Werte, fehlende Jumbo Frames, zu wenige NFS-Threads auf dem Server.

Monitoring mit DATAZONE Control

NFS-Storage ist in vielen Umgebungen geschaeftskritisch — ein Ausfall betrifft alle verbundenen Clients gleichzeitig. Mit DATAZONE Control ueberwachen wir Ihre NFS-Infrastruktur umfassend:

• Mount-Verfuegbarkeit: Automatische Erkennung von Stale Mounts und ausgefallenen NFS-Verbindungen
• Performance-Metriken: NFS-Operationen pro Sekunde, Latenz, Durchsatz
• Server-Gesundheit: NFS-Thread-Auslastung, ZFS-Pool-Status, Speicherkapazitaet
• Client-Monitoring: Mount-Status und NFS-Fehlerraten auf allen Linux-Clients

Schwellenwerte loesen automatisch Alarme aus — bevor aus einer langsamen NFS-Verbindung ein Produktionsausfall wird.

Fazit

NFS auf TrueNAS ist eine bewehrte Loesung fuer Dateifreigaben in Linux-Umgebungen. Mit der richtigen Konfiguration — NFSv4, passende Export-Optionen, optimierte Mount-Parameter und Kerberos fuer Sicherheit — wird daraus eine zuverlaessige und performante Storage-Plattform.

Die wichtigsten Punkte: NFSv4 als Standard, dediziertes Storage-Netzwerk, rsize/wsize an den Workload anpassen, sync fuer produktive Daten und kontinuierliches Monitoring.

---

Sie moechten NFS-Storage auf TrueNAS fuer Ihre Linux-Umgebung optimal einrichten? Kontaktieren Sie uns — wir konfigurieren Ihre NFS-Infrastruktur von der Planung bis zum Monitoring.