FPolicyを設定する際のベストプラクティスと推奨事項
5. FPolicyポリシーを有効にします。
ポリシーを有効にすると、制御チャネルおよび権限付きデータチャネル(オプション)の接続が 確立されます。 SVMが属するノードのFPolicyプロセスで、ファイルおよびフォルダに対するア クセスの監視が開始され、設定された条件に当てはまるイベントが見つかると、FPolicyサーバ
(FPolicyサーバが設定されていない場合は標準のエンジン)に通知が送信されます。
注: ポリシーでネイティブファイルブロッキングを使用する場合は、外部エンジンは設定されず、
関連付けられることもありません。
関連コンセプト
FPolicy構成の計画(177ページ)
FPolicyの設定の作成(197ページ)
FPolicy 構成の計画
FPolicy構成を作成する前に、構成の各ステップの設定タスクを理解する必要があります。 FPolicy の構成に必要な設定タスクを決定し、計画ワークシートに記入する必要があります。
次の設定タスクを計画する必要があります。
• FPolicy外部エンジンの作成
• FPolicyポリシーイベントの作成
• FPolicyポリシーの作成
• FPolicyポリシー スコープの作成
FPolicyはFlexVolを備えたStorage Virtual Machine(SVM)でサポートされます。 Infinite Volumeを
備えたSVMではFPolicyはサポートされません。
関連コンセプト
FPolicyの設定手順とは(176ページ)
FPolicyの設定の作成(197ページ)
FPolicy 外部エンジンの設定の計画
FPolicy外部エンジンを設定する前に、外部エンジンを作成することの意味を理解し、使用可能な 設定パラメータを理解する必要があります。この情報は、各パラメータに設定する値を決めるのに 役立ちます。
FPolicy外部エンジンの作成時に定義される情報
外部エンジンの設定では、外部FPolicyサーバ(FPolicyサーバ)への接続を作成および管理するた
めにFPolicyが必要とする、次のような情報を定義します。
• Storage Virtual Machine(SVM)名
• エンジンの名前
• FPolicyサーバへの接続時に使用するプライマリおよびセカンダリFPolicyサーバのIPアドレスと
TCPポート番号
• エンジンのタイプが同期または非同期であるかどうか
• ノードとFPolicyサーバ間の接続を認証する方法
相互SSL認証を設定することを選択した場合は、SSL証明書情報を提供するパラメータを設定 する必要があります。
• 各種の高度な権限設定を使用して接続を管理する方法
これには、タイムアウト値、リトライ値、キープアライブ値、および最大要求値、送信および受信 バッファサイズ値、セッションタイムアウト値などを定義するパラメータが含まれます。
vserver fpolicy policy external-engine createコマンドは、FPolicy外部エンジンの作 成に使用します。
外部エンジンの基本パラメータ
次に示すFPolicy基本設定パラメータの一覧は、設定を計画するのに役立ちます。
情報の種類 オプション SVM
この外部エンジンに関連付けるSVMの名前を指定します。
各FPolicy構成は、単一のSVM内で定義されます。 FPolicyポリシーの 構成要素となる外部エンジン、ポリシーイベント、ポリシーのスコープ、
およびポリシーを、すべて同じSVMに関連付ける必要があります。
-vserver vserver_name
エンジンの名前
外部エンジンの設定に割り当てる名前を指定します。 FPolicyポリシーを 作成した場合、あとで外部エンジンの名前を指定する必要があります。
こうすることで、外部エンジンがポリシーに関連付けられます。
この名前に指定できる文字数は最大256文字です。
注: MetroClusterまたはSVMディザスタリカバリ設定で外部エンジン
の名前を設定する場合、この名前は最大200文字にする必要があり ます。
名前には、次のASCII文字を自由に組み合わせて使用できます。
• a~z
• A~Z
• 0~9
• 「_」、「-」、および「.」
-engine-name engine_name
プライマリFPolicyサーバ
所定のFPolicyポリシーに関してノードが送信する通知の宛先となるプラ
イマリFPolicyサーバを指定します。 IPアドレスの値を指定します。複数
の値を指定する場合は、カンマで区切ります。
複数のプライマリ サーバのIPアドレスを指定した場合、SVMが参加して いるすべてのノードに、ポリシーが有効にされたときに指定されたすべ てのプライマリFPolicyサーバへの制御接続が作成されます。複数のプ
ライマリFPolicyサーバを設定した場合、通知は各FPolicyサーバにラウ
ンドロビン方式で送信されます。
外部エンジンがMetroClusterまたはSVMディザスタリカバリ設定で使用 されている場合は、ソース サイトでのFPolicyサーバのIPアドレスをプラ イマリサーバとして指定する必要があります。デスティネーションサイト
のFPolicyサーバのIPアドレスは、セカンダリサーバとして指定してくださ
い。
-primary-servers IP_address,...
ポート番号
FPolicyサービスのポート番号を指定します。
-portinteger
セカンダリFPolicyサーバ
所定のFPolicyポリシーに関して、ファイル アクセス イベントの送信先と なるセカンダリFPolicyサーバを指定します。 IPアドレスの値を指定しま す。複数の値を指定する場合は、カンマで区切ります。
セカンダリサーバは、いずれのプライマリにも到達できない場合にのみ 使用されます。 ポリシーが有効な場合にセカンダリ サーバへの接続が 確立されますが、通知がセカンダリサーバへ送信されるのは、いずれ のプライマリサーバへも着信できない場合のみです。複数のセカンダリ FPolicyサーバを設定した場合、通知は各FPolicyサーバにラウンドロビ ン方式で送信されます。
-secondary-servers IP_address,...
情報の種類 オプション 外部エンジンのタイプ
外部エンジンが同期モードで動作するか非同期モードで動作するかを 指定します。デフォルトでは、FPolicyは同期モードで動作します。
synchronousに設定すると、ファイル要求処理によって通知はFPolicy サーバに送信されますが、その後FPolicyサーバから応答を受信するま では、それ以降の通知は送信されません。この時点で、FPolicyサーバ からの応答が要求されたアクションを許可するかどうかによって、要求フ ローが継続するか、または処理が否定されます。
asynchronousに設定すると、ファイル要求処理は、FPolicyサーバに通 知を送信した後も処理を続行します。
-extern-engine-type
external_engine_
type
このパラメータには、
次のいずれかの値を 指定できます。
• synchronous
• asynchronous FPolicyサーバとの通信のためのSSLオプション
FPolicyサーバとの通信のためのSSLオプションを指定します。これは必
須パラメータです。次の情報に基づいて、いずれかのオプションを選択 できます。
• no-authに設定すると、認証処理は行われません。
通信リンクはTCPを介して確立されます。
• server-authに設定すると、SVMはSSLサーバ認証を使用して
FPolicyサーバを認証します。
• mutual-authに設定すると、SVMとFPolicyサーバ間で相互認証が 行われ、SVMはFPolicyサーバを認証し、FPolicyサーバはSVMを認 証します。
相互SSL認証を設定することを選択した場合は、 -certificate-common-name、-certificate-serial、および-certifcate-ca の各パラメータを設定する必要があります。
-ssl-option { no-auth|server-auth| mutual-auth}
証明書のFQDNまたはカスタム共通名
SVMとFPolicyサーバ間のSSL認証が設定されている場合、認証に使用
される証明書の名前を指定します。証明書の名前は、FQDNまたはカ スタム共通名として指定できます。
mutual-authを-ssl-optionパラメータに指定した場合は、 -certificate-common-nameパラメータの値も指定する必要がありま す。
-certificate-common-nametext
証明書のシリアル番号
SVMとFPolicyサーバ間のSSL認証が設定されている場合、認証に使用
される証明書のシリアル番号を指定します。
mutual-authを-ssl-optionパラメータに指定した場合は、 -certificate-serialパラメータの値も指定する必要があります。
-certificate-serialtext
認証局
SVMとFPolicyサーバ間のSSL認証が設定されている場合、認証に使用
される証明書のCA名を指定します。
mutual-authを-ssl-optionパラメータに指定した場合は、 -certifcate-caパラメータの値も指定する必要があります。
-certifcate-ca text
外部エンジンの詳細オプションについて
次に示すFPolicyの高度な設定パラメータの一覧を使用して、これらのパラメータを使用して設定を カスタマイズするかどうかを計画できます。 これらのパラメータは、クラスタノードとFPolicyサーバ 間の通信動作を変更するために使用します。
情報の種類 オプション
タイムアウトによる要求のキャンセル
ノードがFPolicyサーバからの応答を待つ時間間隔を時間(h)、分(m)、
または秒(s)で指定します。
タイムアウト間隔が経過すると、ノードはFPolicyサーバにキャンセル要 求を送信します。 その後、ノードから代替FPolicyサーバへ通知が送信 されます。このタイムアウトは、応答しないFPolicyサーバを処理するの に役立ちます。これによりSMB / NFSクライアントの応答を向上させるこ とができます。 また、通知要求がパフォーマンスの低い、またはダウン したFPolicyサーバから代替FPolicyサーバへ移されているため、タイム アウトによってリクエストをキャンセルすることは、システムリソースを解 放するのに役立ちます。
指定できる値の範囲は、0~100です。 値が0に設定されている場合、オ プションは無効になり、キャンセルされた要求メッセージはFPolicyサー バには送信されません。デフォルトは20秒です。
-reqs-cancel-timeoutinteger[h|
m|s]
タイムアウトによる要求の破棄
要求を破棄するためのタイムアウトを時間(h)、分(m)または秒(s)で指 定します。
指定できる値の範囲は、0~200です。
-reqs-abort-timeoutinteger[h|
m|s]
ステータス要求の送信間隔
FPolicyサーバにステータス要求を送信する間隔を時間(h)、分(m)、ま
たは秒(s)で指定します。
指定できる値の範囲は、0~50です。値が0に設定されている場合、オ プションは無効になり、ステータス要求メッセージはFPolicyサーバに送 信されません。デフォルトは10sです。
-status-req-interval integer[h|m|s]
FPolicyサーバの未処理要求の最大数
FPolicyサーバのキューに登録できる未処理要求の最大数を指定しま す。
指定できる値の範囲は、1~10000です。 デフォルトは50です。
-max-server-reqs integer
タイムアウトによる応答しないFPolicyサーバの切断
FPolicyサーバとの接続を終了するまでの時間間隔を時間(h)、分(m)、
または秒(s)で指定します。
FPolicyサーバのキューに許容される最大要求数が含まれていて、タイ
ムアウト期間内に応答がない場合のみ、タイムアウト期間が経過した後 に接続を終了します。 許容される最大要求数は、50(デフォルト)または max-server-reqs-パラメータで指定された数です。
指定できる値の範囲は、1~100です。デフォルトは60sです。
-server-progress-timeout integer[h|m|s]