FlexVolを備えたSVMのデフォルト エクスポート ポリシー

FlexVolを備えたStorage Virtual Machine（SVM）には、ルールが含まれていないデフォルトのエク スポートポリシーが用意されています。 SVM上のデータにクライアントからアクセスできるように するには、ルールを備えたエクスポート ポリシーを用意する必要があり、SVM内の各FlexVolにエ クスポート ポリシーを関連付ける必要があります。

FlexVolを備えたSVMを作成すると、そのSVMのルートボリュームに対してdefaultというデフォ

ルトのエクスポートポリシーがストレージシステムによって自動的に作成されます。 SVM上のデ ータにクライアントからアクセスできるようにするには、デフォルトのエクスポートポリシーのルール を1つ以上作成する必要があります。 または、ルールを備えたカスタムのエクスポート ポリシーを 作成することもできます。デフォルトのエクスポートポリシーは、変更および名前変更は可能です が、削除することはできません。

FlexVolを備えたSVM内にFlexVolを作成すると、作成されたボリュームには、SVMのルートボリュ

ームのデフォルトのエクスポートポリシーが関連付けられます。デフォルトでは、SVMに作成した 各ボリュームには、ルート ボリュームのデフォルトのエクスポート ポリシーが関連付けられます。

SVM内のすべてのボリュームでデフォルトのエクスポートポリシーを使用することも、ボリュームご とに独自のエクスポートポリシーを作成することもできます。また、複数のボリュームに同じエクス ポート ポリシーを関連付けることもできます。

エクスポート ルールの仕組み

エクスポートルールは、エクスポートポリシーの機能要素です。エクスポートルールでは、ボリュ ームまたはqtreeへのクライアント アクセス要求が設定済みの特定のパラメータと照合され、クライ アント アクセス要求の処理方法が決定されます。

エクスポートポリシーには、クライアントにアクセスを許可するエクスポートルールを少なくとも1つ 含める必要があります。エクスポートポリシーに複数のルールが含まれている場合、ルールはエ クスポート ポリシーに表示される順に処理されます。 ルールの順序は、ルール インデックス番号 によって決まります。ルールがクライアントに一致すると、そのルールのアクセス権が使用され、そ れ以降のルールは処理されません。一致するルールがない場合、クライアントはアクセスを拒否 されます。 ポリシー内のエクスポート ルールの順序を変更するには、ルール インデックス番号を 変更します。

次の条件を使用して、クライアントのアクセス権を決定するようにエクスポート ルールを設定できま す。

• クライアントが要求の送信に使用するファイルアクセスプロトコル（NFSv4やSMBなど）

• クライアント識別子（ホスト名やIPアドレスなど）

• クライアントが認証に使用するセキュリティ タイプ（Kerberos v5、NTLM、AUTH_SYSなど）

ルールで複数の条件が指定されており、クライアントがその1つ以上に一致しない場合、そのルー ルは適用されません。

例

エクスポート ポリシーに、次のパラメータが指定されたエクスポート ルールが含まれていま す。

• -protocolnfs3

• -clientmatch10.1.16.0/255.255.255.0

• -roruleany

• -rwruleany

クライアントアクセス要求はNFSv3プロトコルを使用して送信され、クライアントのIPアドレス は10.1.17.37です。

クライアントアクセスプロトコルは一致していますが、クライアントのIPアドレスがエクスポー トルールで指定されているアドレスとは異なるサブネット内にあります。したがって、クライア ントは一致せず、このルールはこのクライアントに適用されません。

例

エクスポートポリシーに、次のパラメータが指定されたエクスポートルールが含まれていま す。

• ^-protocolnfs

• -clientmatch10.1.16.0/255.255.255.0

• -roruleany

• ^-rwruleany

クライアント アクセス要求はNFSv4プロトコルを使用して送信され、クライアントのIPアドレス は10.1.16.54です。

クライアント アクセス プロトコルが一致し、クライアントのIPアドレスが指定されたサブネット 内にあります。 したがって、クライアントは一致し、このルールはこのクライアントに適用され ます。セキュリティタイプに関係なく、クライアントは読み取り / 書き込みアクセス権を取得し ます。

例

エクスポートポリシーに、次のパラメータが指定されたエクスポートルールが含まれていま す。

• ^{-protocolnfs3}

• -clientmatch10.1.16.0/255.255.255.0

• -roruleany

• -rwrulekrb5,ntlm

クライアント#1は、IPアドレスが10.1.16.207で、NFSv3プロトコルを使用してアクセス要求を送 信し、Kerberos v5で認証されます。

クライアント#2は、IPアドレスが10.1.16.211で、NFSv3プロトコルを使用してアクセス要求を送 信し、AUTH_SYSで認証されます。

どちらのクライアントも、クライアント アクセス プロトコルとIPアドレスは一致しています。 読 み取り専用パラメータは、認証に使用されたセキュリティタイプに関係なく、すべてのクライ アントに読み取り専用アクセスを許可するように設定されています。したがって、両方のクラ イアントが読み取り専用アクセス権を取得します。 ただし、読み取り / 書き込みアクセス権を 取得するのは、承認されているセキュリティタイプKerberos v5を認証に使用したクライアント

#1だけです。クライアント#2は読み取り / 書き込みアクセス権を取得できません。

リストにないセキュリティ タイプを使用するクライアントの処理方法

エクスポート ルールのアクセス パラメータで指定されていないセキュリティ タイプを使用しているク ライアントが現れた場合は、クライアントアクセスを拒否するか、アクセスパラメータでオプション noneを使用してクライアントを匿名ユーザIDにマッピングすることができます。

クライアントは、別のセキュリティタイプで認証されているか、まったく認証されていない（セキュリ

ティタイプAUTH_NONE）場合に、アクセスパラメータで指定されていないセキュリティタイプを使

用しているとみなされます。 デフォルトでは、そのクライアントはそのレベルへのアクセスを自動的 に拒否されます。ただし、アクセスパラメータにオプションnoneを追加できます。追加すると、リス トにないセキュリティタイプを使用するクライアントは、拒否されずに匿名ユーザIDにマッピングさ れます。-anonパラメータでは、このようなクライアントに割り当てられるユーザIDを指定します。 -anonパラメータに指定するユーザIDは、匿名ユーザに適していると判断したアクセス権が設定さ れている有効なユーザである必要があります。

-anonパラメータに指定できる値の範囲は、0～65535です。

-anonに割り当てられたユーザID クライアント アクセス要求の処理結果

0 - ⁶⁵⁵³³ クライアントアクセス要求は匿名ユーザIDにマッピングさ

れ、このユーザに対して設定されたアクセス権に応じてア クセスできるようになります。

65534 クライアントアクセス要求はユーザnobodyにマッピングさ

れ、このユーザに対して設定されたアクセス権に応じてア クセスできるようになります。 この値がデフォルトです。

-anonに割り当てられたユーザID クライアントアクセス要求の処理結果

65535 クライアントからのアクセス要求は、このID にマッピング

され、セキュリティタイプAUTH_NONEをクライアントが使 用している場合、すべて拒否されます。

ユーザID が0のクライアントからのアクセス要求は、この ID にマッピングされ、他のセキュリティタイプをクライアン トが使用している場合、拒否されます。

オプションnoneを使用する場合は、最初に読み取り専用パラメータが処理される点に注意すること が重要です。リストにないセキュリティタイプを使用するクライアントのエクスポートルールを設定 する際は、次のガイドラインを考慮してください。

読み取り専用 にnoneが指定 されている

読み取り / 書き 込みにnoneが 指定されている

リストにないセキュリティタイプを使用するクライアントのア クセス結果

いいえ いいえ 拒否

いいえ はい 最初に読み取り専用が処理されるため、拒否

はい いいえ 匿名として読み取り専用

はい はい 匿名として読み取り / 書き込み 例

エクスポートポリシーに、次のパラメータが指定されたエクスポートルールが含まれていま す。

• ^{-protocolnfs3}

• -clientmatch10.1.16.0/255.255.255.0

• -rorulesys,none

• ^-rwruleany

• -anon70

クライアント#1は、IPアドレスが10.1.16.207で、NFSv3プロトコルを使用してアクセス要求を送 信し、Kerberos v5で認証されます。

クライアント#2は、IPアドレスが10.1.16.211で、NFSv3プロトコルを使用してアクセス要求を送

信し、AUTH_SYSで認証されます。

クライアント#3は、IPアドレスが10.1.16.234で、NFSv3プロトコルを使用してアクセス要求を送 信し、認証は行われていません（セキュリティタイプAUTH_NONE）。

3つすべてのクライアントで、クライアントアクセスプロトコルとIPアドレスは一致しています。

読み取り専用パラメータでは、読み取り専用アクセスが、AUTH_SYSで認証された、自身の ユーザIDを持つクライアントに許可されています。 また、読み取り専用パラメータでは、ユー ザIDが70の匿名ユーザとしての読み取り専用アクセスが、他のセキュリティタイプを使用し て認証されたクライアントに許可されています。読み取り / 書き込みパラメータでは、読み取 り / 書き込みアクセスがすべてのセキュリティ タイプに許可されていますが、この場合は、読 み取り専用ルールですでにフィルタされているクライアントにのみ適用されます。

したがって、クライアント#1とクライアント#3は、ユーザIDが70の匿名ユーザとしてのみ読み 取り / 書き込みアクセス権を取得します。クライアント#2は、自身のユーザIDで読み取り / 書き込みアクセス権を取得します。