システムパフォーマンスを向上するために、Data ONTAPはローカルキャッシュを使用してホスト 名やネットグループなどの情報を格納します。これにより、外部ソースから情報を取得する場合よ りも迅速にエクスポート ポリシー ルールを処理できます。 キャッシュとは何か、またキャッシュによ って何が行われるのかを理解すると、クライアントアクセスに関する問題のトラブルシューティング に役立ちます。
エクスポートポリシーを設定し、NFSエクスポートへのクライアントアクセスを制御します。それぞ れのエクスポートポリシーにはルールが含まれ、各ルールにはアクセスを要求しているクライアン トを一致させるためのパラメータが含まれています。 一部のパラメータは、ドメイン名、ホスト名、ネ ットグループなどのオブジェクトを解決するためにData ONTAPとDNSサーバやNISサーバのような 外部ソースとの通信を必要とします。
外部ソースとのこうした通信には少し時間がかかります。パフォーマンスを向上するために、Data ONTAPは、各ノードで複数のキャッシュに情報をローカルに格納することで、エクスポート ポリシ ールールのオブジェクトの解決にかかる時間を短縮します。
キャッシュ名 格納される情報の種類
Access 対応するエクスポート ポリシーへのクライアントのマッピング
Name 対応するUNIXユーザIDへのUNIXユーザ名のマッピング
ID 対応するUNIXユーザIDおよび拡張されたUNIXグループIDへのUNIXユーザ IDのマッピング
Host 対応するIPアドレスへのホスト名のマッピング
キャッシュ名 格納される情報の種類
Netgroup メンバーの対応するIPアドレスへのネットグループのマッピング
Showmount SVMネームスペースからエクスポートされたディレクトリのリスト
Data ONTAPによって外部ネームサーバ上の情報が取得されてローカルに格納されたあとに、外
部ネームサーバ上の情報を変更した場合、キャッシュの情報が古くなる可能性があります。 Data ONTAPは一定の間隔でキャッシュを自動的に更新しますが、有効期限や更新間隔、アルゴリズム はキャッシュごとに異なります。
キャッシュの情報が古くなる理由としてもう1つ考えられるのは、Data ONTAPがキャッシュされた情 報の更新を試みた際にネームサーバとの通信でエラーが発生した場合です。この場合、Data ONTAPは、クライアントの中断を避けるために現在ローカル キャッシュに格納されている情報を引 き続き使用します。
その結果、成功するはずのクライアント アクセス要求がエラーとなったり、エラーとなるはずのクラ イアントアクセス要求が成功したりする可能性があります。クライアントアクセスのこのような問題 をトラブルシューティングする際には、一部のエクスポートポリシーキャッシュを表示して手動でフ ラッシュできます。
エクスポート ポリシー キャッシュのフラッシュ
エクスポートポリシーキャッシュを手動でフラッシュすると(vserver export-policy cache flush)、古くなった可能性のある情報が削除され、Data ONTAPが適切な外部リソースから最新 情報を取得します。これは、NFSエクスポートへのクライアントアクセスに関するさまざまな問題の 解決に役立ちます。
タスク概要
エクスポートポリシーキャッシュの情報は、次の理由によって古くなる可能性があります。
• エクスポート ポリシー ルールの変更
• ネーム サーバ内のホスト名レコードの変更
• ネームサーバ内のネットグループエントリの変更
• ネットグループの完全なロードを妨げていたネットワーク停止からのリカバリ 手順
1. 次のいずれかを実行します。
フラッシュ対象 入力するコマンド すべてのエクスポートポリシ
ー キャッシュ(showmountを 除く)
vserver export-policy cache flush -vserver vserver_name
エクスポートポリシールー ルのアクセス キャッシュ
vserver export-policy cache flush -vserver vserver_name -cache access
オプションの-nodeパラメータを使用すると、アクセス キャッシュをフラ ッシュするノードを指定できます。
ホスト名キャッシュ vserver export-policy cache flush -vserver vserver_name -cache host
フラッシュ対象 入力するコマンド
netgroupキャッシュ vserver export-policy cache flush -vserver vserver_name -cache netgroup
ネットグループの処理は大量のリソースを消費します。 ネットグループ キャッシュのフラッシュは、古いネットグループが原因で発生したクライ アント アクセスに関する問題の解決を試みる場合にのみ行ってくださ い。
showmountキャッシュ vserver export-policy cache flush -vserver vserver_name -cache showmount
エクスポート ポリシー ネットグループ キューおよびキャッシュの表示
Data ONTAPでは、ネットグループのインポート時および解決時にネットグループキューを使用し、
結果として得られる情報を格納するためにネットグループ キャッシュを使用します。 エクスポート ポリシーのネットグループに関する問題のトラブルシューティング時には、vserver export-policy netgroup queue showおよびvserver export-policy netgroup cache showコマ ンドを使用して、ネットグループ キューのステータスやネットグループ キャッシュの内容を表示でき ます。
手順
1. 次のいずれかを実行します。
エクスポートポリシーネット グループに関する表示対象
入力するコマンド
キュー vserver export-policy netgroup queue show キャッシュ vserver exportpolicy netgroup cache show
-vserver -vserver_name
詳細については、各コマンドのマニュアル ページを参照してください。
クライアント IP アドレスがネットグループのメンバーかどうかのチェック
ネットグループに関するNFSクライアント アクセスの問題のトラブルシューティング時には、
vserver export-policy netgroup check-membershipコマンドを使用すると、クライアントIP が特定のネットグループのメンバーであるかどうかを確認できます。
タスク概要
ネットグループ メンバーシップのチェックにより、クライアントがネットグループのメンバーであるか
どうかをData ONTAPが認識しているかどうかを確認できます。また、ネットグループ情報の更新
中にData ONTAPのネットグループキャッシュが一時的な状態にあるかどうかもわかります。この
情報は、クライアントが予期せずアクセスを許可または拒否された理由を把握するのに役立ちま す。
手順
1. クライアントIPアドレスのネットグループメンバーシップをチェックします。
vserver exportpolicy netgroup checkmembership vserver vserver_name -netgroup -netgroup_name -client-ip client_ip
このコマンドは次のいずれかの結果を返します。
• クライアントはネットグループのメンバーです。
リバースルックアップスキャンまたはホスト単位のネットグループ検索によって確認されま した。
• クライアントはネットグループのメンバーです。
クライアントはData ONTAPのネットグループ キャッシュに見つかりました。
• クライアントはネットグループのメンバーではありません。
• Data ONTAPが現在ネットグループキャッシュを更新中のため、クライアントのメンバーシッ
プを判断できません。
更新が完了するまで、メンバーシップを明示的に判断することはできません。vserver export-policy netgroup queue showコマンドを使用してネットグループのロードを監 視し、ロード完了後に再びチェックを試みてください。
例
次の例は、IPアドレスが172.17.16.72のクライアントがSVM vs1上のネットグループmercury のメンバーであるかどうかをチェックします。
cluster1::> vserver exportpolicy netgroup checkmembership -vserver vs1 -netgroup mercury -client-ip 172.17.16.72
関連タスク
ドメインの検証によるネットグループのより厳密なアクセス チェックの実行(93ページ)
関連参照情報
ローカル ネットグループの管理用コマンド(103ページ)
アクセス キャッシュの仕組み
Data ONTAPは、アクセス キャッシュを使用して、ボリュームまたはqtreeへのクライアント アクセス 処理に対するエクスポートポリシールールの評価結果を格納します。クライアントからI/O要求が 送信されるたびにエクスポートルールを評価する場合にくらべ、かなり迅速にアクセスキャッシュ から情報を取得でき、パフォーマンスが向上します。
NFSクライアントがボリュームまたはqtree上のデータにアクセスするためのI/O要求を送信するた
びに、Data ONTAPはそれぞれのI/O要求を評価して、そのI/O要求を許可するか拒否するかを決
定する必要があります。この評価には、そのボリュームまたはqtreeに関連付けられているすべて のエクスポート ポリシー ルールのチェックが伴います。 ボリュームまたはqtreeへのパスがいくつ かのジャンクション ポイントを経由している場合は、パスに沿って複数のエクスポート ポリシーに 対してこのチェックを実行しなければならない可能性があります。
この評価は、最初のマウント要求だけでなく、読み取り、書き込み、リスト、コピーなど、NFSクライ アントから送信されたすべてのI/O要求について行われます。
Data ONTAPは、該当するエクスポート ポリシー ルールを特定して要求を許可するか拒否するか を決定したあと、その情報を格納するエントリをアクセスキャッシュに作成します。
NFSクライアントがI/O要求を送信すると、Data ONTAPは、そのクライアントのIPアドレス、SVMの ID、およびターゲット ボリュームまたはqtreeに関連付けられているエクスポート ポリシーを記録し たうえで、まずアクセスキャッシュをチェックして一致するエントリがないか確認します。一致する エントリがアクセスキャッシュ内に存在する場合、格納されている情報を使用してI/O要求を許可ま たは拒否します。一致するエントリが存在しない場合、Data ONTAPは、前述したように、すべての 該当するポリシー ルールを評価する通常の処理を実行します。
アクセスキャッシュからの情報の取得は、I/O要求のたびにエクスポートポリシールールの評価を 最初から実行する場合よりもずっと高速です。そのため、アクセスキャッシュを使用すると、クライ アント アクセス チェックのオーバーヘッドが軽減され、パフォーマンスが大幅に向上します。