FPolicy 設定の計画

FPolicy設定の作成（83ページ）

FPolicy 設定の計画

FPolicy設定を作成する前に、構成の各ステップの設定タスクを理解する必要があります。

FPolicyの構成に必要な設定タスクを決定し、計画ワークシートに記入する必要があります。

次の設定タスクを計画する必要があります。

• FPolicy外部エンジンの作成

• FPolicyポリシーイベントの作成

• FPolicyポリシーの作成

• FPolicyポリシースコープの作成

FPolicyはFlexVolを備えたStorage Virtual Machine（SVM）でサポートされます。 Infinite

Volumeを備えたSVMではFPolicyはサポートされません。

関連概念

FPolicy設定手順とは（59ページ）

FPolicy設定の作成（83ページ）

FPolicy 外部エンジンの設定の計画

FPolicy外部エンジンを設定する前に、外部エンジンを作成することの意味を理解し、使用可

能な設定パラメータを理解する必要があります。この情報は、各パラメータに設定する値を 決めるのに役立ちます。

FPolicy外部エンジンの作成時に定義される情報

外部エンジンの設定では、外部FPolicyサーバ（FPolicyサーバ）への接続を作成および管理す

るためにFPolicyが必要とする、次のような情報を定義します。

• Storage Virtual Machine（SVM）名

• エンジンの名前

• FPolicyサーバへの接続時に使用するプライマリおよびセカンダリFPolicyサーバのIPアド

レスとTCPポート番号

• エンジンのタイプが同期または非同期であるかどうか

• ノードとFPolicyサーバ間の接続を認証する方法

相互SSL認証を設定することを選択した場合は、SSL証明書情報を提供するパラメータを 設定する必要があります。

• 各種の高度な権限設定を使用して接続を管理する方法

これには、タイムアウト値、リトライ値、キープアライブ値、最大要求値、送信および 受信バッファサイズ値、セッションタイムアウト値などを定義するパラメータが含まれ ます。

vserver fpolicy policy external-engine createコマンドは、FPolicy外部エンジンの 作成に使用します。

外部エンジンの基本パラメータ

次に示すFPolicy基本設定パラメータの一覧は、設定を計画するのに役立ちます。

情報の種類 オプション

SVM

この外部エンジンに関連付けるSVMの名前を指定します。

各FPolicy設定は、単一のSVM内で定義されます。FPolicyポリシーの

構成要素となる外部エンジン、ポリシーイベント、ポリシーのス コープ、およびポリシーを、すべて同じSVMに関連付ける必要があ ります。

-vserver vserver_name

情報の種類 オプション エンジンの名前

外部エンジンの設定に割り当てる名前を指定します。FPolicyポリ シーを作成した場合、あとで外部エンジンの名前を指定する必要が あります。こうすることで、外部エンジンがポリシーに関連付けら れます。

この名前に指定できる文字数は最大256文字です。

注：MetroClusterまたはSVMディザスタリカバリ設定で外部エン

ジンの名前を設定する場合、この名前は最大200文字にする必要 があります。

名前には、次のASCII文字の任意の組み合わせを含めることができ ます。

• ^a～^z

• A～^Z

• 0～⁹

• 「^_」、「^-」、および「^.」

-engine-name engine_name

プライマリFPolicyサーバ

所定のFPolicyポリシーに関してノードが送信する通知の宛先とな

るプライマリFPolicyサーバを指定します。IPアドレスの値を指定 します。複数の値を指定する場合は、カンマで区切ります。

複数のプライマリサーバのIPアドレスを指定した場合、SVMが参加 しているすべてのノードに、ポリシーが有効にされたときに指定さ れたすべてのプライマリFPolicyサーバへの制御接続が作成されま す。複数のプライマリFPolicyサーバを設定した場合、通知は各

FPolicyサーバにラウンドロビン方式で送信されます。

外部エンジンがMetroClusterまたはSVMディザスタリカバリ設定で 使用されている場合は、ソースサイトでのFPolicyサーバのIPアドレ スをプライマリサーバとして指定する必要があります。デスティ ネーションサイトでのFPolicyサーバのIPアドレスは、セカンダリ サーバとして指定してください。

-primary-servers IP_address,...

ポート番号

FPolicyサービスのポート番号を指定します。

-portinteger

セカンダリFPolicyサーバ

所定のFPolicyポリシーに関して、ファイルアクセスイベントの送

信先となるセカンダリFPolicyサーバを指定します。IPアドレスの 値を指定します。複数の値を指定する場合は、カンマで区切りま す。

セカンダリサーバは、いずれのプライマリにも到達できない場合に のみ使用されます。ポリシーが有効な場合にセカンダリサーバへ の接続が確立されますが、通知がセカンダリサーバへ送信されるの は、いずれのプライマリサーバへも着信できない場合のみです。複 数のセカンダリFPolicyサーバを設定した場合、通知は各FPolicyサー バにラウンドロビン方式で送信されます。

-secondary-servers IP_address,...

情報の種類 オプション 外部エンジンのタイプ

外部エンジンが同期モードで動作するか非同期モードで動作する かを指定します。デフォルトでは、FPolicyは同期モードで動作しま す。

synchronousに設定すると、ファイル要求処理によって通知は

FPolicyサーバに送信されますが、そのあとFPolicyサーバから応答を

受信するまでは、それ以降の通知は送信されません。この時点で、

要求したアクションがFPolicyサーバからの応答で許可されるかど うかに応じて、要求フローが続行されるか処理が拒否されるかが決 まります。

asynchronousに設定すると、ファイル要求処理は、FPolicyサーバ に通知を送信したあとも処理を続行します。

-extern-engine-type

external_engine_

type

このパラメータに は、次のいずれかの 値を指定できます。

• synchronous

• asynchronous

FPolicyサーバとの通信のためのSSLオプション

FPolicyサーバとの通信のためのSSLオプションを指定します。これ

は必須パラメータです。次の情報に基づいて、いずれかのオプショ ンを選択できます。

• no-authに設定すると、認証処理は行われません。

通信リンクはTCPを介して確立されます。

• server-authに設定すると、SVMはSSLサーバ認証を使用して

FPolicyサーバを認証します。

• mutual-authに設定すると、SVMとFPolicyサーバ間で相互認証 が行われ、SVMはFPolicyサーバを認証し、FPolicyサーバはSVM を認証します。

相互SSL認証を設定することを選択した場合は、 -certificate-common-name、-certificate-serial、および -certifcate-caの各パラメータを設定する必要があります。

-ssl-option { no-auth|server-auth| mutual-auth}

証明書のFQDNまたはカスタム共通名

SVMとFPolicyサーバ間のSSL認証が設定されている場合、認証に使

用される証明書の名前を指定します。証明書の名前は、FQDNまた はカスタム共通名として指定できます。

mutual-authを-ssl-optionパラメータに指定した場合は、 -certificate-common-nameパラメータの値も指定する必要があり ます。

-certificate-common-nametext

証明書のシリアル番号

SVMとFPolicyサーバ間のSSL認証が設定されている場合、認証に使

用される証明書のシリアル番号を指定します。

mutual-authを-ssl-optionパラメータに指定した場合は、 -certificate-serialパラメータの値も指定する必要があります。

-certificate-serialtext

認証局

SVMとFPolicyサーバ間のSSL認証が設定されている場合、認証に使

用される証明書のCA名を指定します。

mutual-authを-ssl-optionパラメータに指定した場合は、 -certifcate-caパラメータの値も指定する必要があります。

-certifcate-ca text

外部エンジンの詳細オプションについて

高度なFPolicy設定パラメータが示されている次の表は、高度なパラメータを使用して設定を

カスタマイズするかどうかを計画する際に使用できます。これらのパラメータは、クラスタ

ノードとFPolicyサーバ間の通信動作を変更するために使用します。

情報の種類 オプション

タイムアウトによる要求のキャンセル

ノードがFPolicyサーバからの応答を待つ時間間隔を時間（^h）、分

（^m）、または秒（^s）で指定します。

タイムアウト間隔が経過すると、ノードはFPolicyサーバにキャンセ ル要求を送信します。その後、ノードから代替FPolicyサーバへ通知 が送信されます。このタイムアウトは、応答しないFPolicyサーバを 処理するのに役立ちます。これによりSMB / NFSクライアントの応 答を向上させることができます。また、通知要求がパフォーマンス の低い、またはダウンしたFPolicyサーバから代替FPolicyサーバへ移 されているため、タイムアウトによってリクエストをキャンセルす ることは、システムリソースを解放するのに役立ちます。

指定できる値の範囲は、⁰～¹⁰⁰です。値が⁰に設定されている場合、

オプションは無効になり、キャンセルされた要求メッセージは

FPolicyサーバには送信されません。デフォルトは^20sです。

-reqs-cancel-timeoutinteger[h|

m|s]

タイムアウトによる要求の破棄

要求を破棄するためのタイムアウトを時間（^h）、分（^m）、または秒

（^s）で指定します。

指定できる値の範囲は、⁰～²⁰⁰です。

-reqs-abort-timeoutinteger[h|

m|s]

ステータス要求の送信間隔

FPolicyサーバにステータス要求を送信する間隔を時間（^h）、分（^m）、

または秒（^s）で指定します。

指定できる値の範囲は、⁰～⁵⁰です。値が⁰に設定されている場合、

オプションは無効になり、ステータス要求メッセージはFPolicyサー バに送信されません。デフォルトは^10sです。

-status-req-interval integer[h|m|s]

FPolicyサーバの未処理要求の最大数

FPolicyサーバのキューに登録できる未処理要求の最大数を指定し

ます。

指定できる値の範囲は、¹～¹⁰⁰⁰⁰です。デフォルトは⁵⁰です。

-max-server-reqs integer

タイムアウトによる応答しないFPolicyサーバの切断

FPolicyサーバとの接続を終了するまでの時間間隔を時間（^h）、分

（^m）、または秒（^s）で指定します。

FPolicyサーバのキューに許容される最大要求数が含まれていて、タ

イムアウト期間内に応答がない場合のみ、タイムアウト期間が経過 した後に接続を終了します。許容される最大要求数は、⁵⁰（デフォ ルト）またはmax-server-reqs-パラメータで指定された数です。

指定できる値の範囲は、¹～¹⁰⁰です。デフォルトは^60sです。

-server-progress-timeout integer[h|m|s]

ドキュメント内 ONTAP 9 SMB / CIFSおよびNFS監査とセキュリティ トレーシング ガイド (ページ 60-68)