Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Planen Sie die Konfiguration der externen FPolicy Engine

Beitragende
PDFs

Bevor Sie die externe FPolicy Engine konfigurieren, müssen Sie wissen, was es bedeutet, eine externe Engine zu erstellen, und welche Konfigurationsparameter verfügbar sind. Anhand dieser Informationen können Sie festlegen, welche Werte für jeden Parameter festgelegt werden sollen.

Informationen, die bei der Erstellung der externen FPolicy Engine definiert werden

Die Konfiguration der externen Engine definiert die Informationen, die FPolicy benötigt, um Verbindungen zu den externen FPolicy Servern herzustellen und zu managen, darunter:

  • SVM-Name

  • Motorname

  • Die IP-Adressen der primären und sekundären FPolicy Server und der zu verwendenden TCP-Portnummer für die Verbindung zu den FPolicy Servern

  • Ob der Engine-Typ asynchron oder synchron ist

  • Gibt an, ob das Motorformat xml oder ist protobuf

    Ab ONTAP 9.15.1 können Sie das protobuf Engine-Format verwenden. Wenn auf eingestellt protobuf, werden die Benachrichtigungen in binärer Form mit Google protobuf codiert. Bevor Sie das Engine-Format auf setzen protobuf, stellen Sie sicher, dass der FPolicy-Server auch protobuf Deserialisierung unterstützt.

    Da das Protobuf-Format ab ONTAP 9.15.1 unterstützt wird, müssen Sie das externe Engine-Format berücksichtigen, bevor Sie zu einer früheren Version von ONTAP zurückkehren. Wenn Sie eine ältere Version als ONTAP 9.15.1 wiederherstellen, arbeiten Sie mit Ihrem FPolicy-Partner zusammen, um einen der folgenden Schritte auszuführen:

    • Ändern Sie jedes Motorformat von protobuf in xml

    • Löschen Sie die Engines mit dem Motorformat protobuf

  • Wie authentifiziert man die Verbindung zwischen dem Knoten und dem FPolicy-Server

    Wenn Sie die gegenseitige SSL-Authentifizierung konfigurieren, müssen Sie auch Parameter konfigurieren, die SSL-Zertifikatsinformationen bereitstellen.

  • So verwalten Sie die Verbindung mit verschiedenen erweiterten Berechtigungseinstellungen

    Dazu gehören Parameter, die z. B. Timeout-Werte, Wiederholungswerte, Keep-Alive-Werte, maximale Anforderungswerte, Werte für gesendete und empfangbare Puffergrößen sowie Werte für Sitzungszeitüberschreitungen definieren.

Mit dem vserver fpolicy policy external-engine create Befehl wird eine externe FPolicy Engine erstellt.

Was sind die grundlegenden externen Motorparameter

Sie können die folgende Tabelle mit grundlegenden FPolicy Konfigurationsparametern verwenden, um Ihre Konfiguration zu planen:

Informationstyp

Option

SVM

Gibt den SVM-Namen an, den Sie mit dieser externen Engine verknüpfen möchten.

Jede FPolicy-Konfiguration ist innerhalb einer einzelnen SVM definiert. Die externe Engine, das Richtlinienereignis, der Richtlinienumfang und die Richtlinie, die gemeinsam eine FPolicy-Konfiguration erstellen, müssen mit derselben SVM verknüpft werden.

-vserver vserver_name

Motorname

Gibt den Namen an, der der externen Engine-Konfiguration zugewiesen werden soll. Sie müssen den Namen der externen Engine später angeben, wenn Sie die FPolicy erstellen. Dadurch wird die externe Engine mit der Richtlinie verknüpft.

Der Name kann bis zu 256 Zeichen lang sein.

Hinweis

Wenn Sie den Namen der externen Engine in einer Disaster-Recovery-Konfiguration von MetroCluster oder SVM konfigurieren, sollte der Name bis zu 200 Zeichen lang sein.

Der Name kann eine beliebige Kombination der folgenden Zeichen des ASCII-Bereichs enthalten:

  • a Durch z

  • A Durch Z

  • 0 Durch 9

  • _“, „-`", and ".`“

-engine-name engine_name

Primary FPolicy Server

Gibt die primären FPolicy Server an, an die der Node Benachrichtigungen für eine bestimmte FPolicy sendet. Der Wert wird als kommagetrennte Liste von IP-Adressen angegeben.

Wenn mehr als eine IP-Adresse für den primären Server angegeben wird, erstellt jeder Node, an dem die SVM teilnimmt, eine Kontrollverbindung zu jedem angegebenen primären FPolicy-Server zum Zeitpunkt der Aktivierung der Richtlinie. Wenn Sie mehrere primäre FPolicy-Server konfigurieren, werden Benachrichtigungen nach Round Robin-Verfahren an die FPolicy-Server gesendet.

Wenn die externe Engine in einer MetroCluster- oder SVM-Disaster-Recovery-Konfiguration verwendet wird, sollten Sie die IP-Adressen der FPolicy-Server am Quellstandort als primäre Server angeben. Die IP-Adressen der FPolicy-Server am Zielstandort sollten als sekundäre Server angegeben werden.

-primary-servers IP_address,…​

Portnummer

Gibt die Portnummer des FPolicy-Dienstes an.

-port integer

Secondary FPolicy Server

Gibt die sekundären FPolicy-Server an, an die Dateizugriffsereignisse für eine bestimmte FPolicy gesendet werden sollen. Der Wert wird als kommagetrennte Liste von IP-Adressen angegeben.

Sekundäre Server werden nur verwendet, wenn keiner der primären Server erreichbar ist. Verbindungen zu sekundären Servern werden hergestellt, wenn die Richtlinie aktiviert ist. Benachrichtigungen werden jedoch nur an sekundäre Server gesendet, wenn keiner der primären Server erreichbar ist. Wenn Sie mehrere sekundäre Server konfigurieren, werden Benachrichtigungen nach Round Robin-Verfahren an die FPolicy-Server gesendet.

-secondary-servers IP_address,…​

Externer Motortyp

Gibt an, ob die externe Engine im synchronen oder asynchronen Modus arbeitet. FPolicy arbeitet standardmäßig im synchronen Modus.

Wenn auf eingestellt synchronous, sendet die Dateianforderungsverarbeitung eine Benachrichtigung an den FPolicy-Server, wird jedoch erst fortgesetzt, nachdem eine Antwort vom FPolicy-Server empfangen wurde. In diesem Punkt wird der Anforderungsfluss entweder fortgesetzt oder die Verarbeitung führt zu Denial-DoS, je nachdem, ob die Antwort vom FPolicy-Server die angeforderte Aktion zulässt.

Wenn auf festgelegt asynchronous, sendet die Dateianforderungsverarbeitung eine Benachrichtigung an den FPolicy-Server und fährt dann fort.

-extern-engine-type external_engine_type Der Wert für diesen Parameter kann einer der folgenden sein:

  • synchronous

  • asynchronous

Format der externen Engine

Geben Sie an, ob das Format der externen Engine XML oder protobuf ist.

Ab ONTAP 9.15.1 können Sie das protobuf-Engine-Format verwenden. Wenn auf protobuf gesetzt, werden die Benachrichtigungen in binärer Form mit Google protobuf codiert. Bevor Sie das Engine-Format auf Protobuf setzen, stellen Sie sicher, dass der FPolicy Server auch die Protobuf-Deserialisierung unterstützt.

- extern-engine-format {protobuf Oder xml}

SSL-Option zur Kommunikation mit FPolicy Server

Gibt die SSL-Option für die Kommunikation mit dem FPolicy-Server an. Dies ist ein erforderlicher Parameter. Sie können eine der Optionen basierend auf den folgenden Informationen auswählen:

  • Wenn auf eingestellt no-auth, findet keine Authentifizierung statt.

    Die Kommunikationsverbindung wird über TCP hergestellt.

  • Wenn auf festgelegt server-auth, authentifiziert die SVM den FPolicy-Server mithilfe von SSL-Serverauthentifizierung.

  • Bei Einstellung auf mutual-auth erfolgt die gegenseitige Authentifizierung zwischen SVM und FPolicy-Server. Die SVM authentifiziert den FPolicy-Server und der FPolicy-Server authentifiziert die SVM.

    Wenn Sie die gegenseitige SSL-Authentifizierung konfigurieren möchten, müssen Sie auch die -certificate-common-name -certificate-serial -certifcate-ca Parameter , und konfigurieren.

-ssl-option {no-auth

server-auth

mutual-auth}

Zertifikat FQDN oder benutzerdefinierter allgemeiner Name

Gibt den Zertifikatsnamen an, der verwendet wird, wenn die SSL-Authentifizierung zwischen der SVM und dem FPolicy-Server konfiguriert ist. Sie können den Zertifikatnamen als FQDN oder als benutzerdefinierten gemeinsamen Namen angeben.

Wenn Sie mutual-auth für den -ssl-option Parameter angeben, müssen Sie einen Wert für den -certificate-common-name Parameter angeben.

-certificate-common-name text

Seriennummer des Zertifikats

Gibt die Seriennummer des Zertifikats an, das für die Authentifizierung verwendet wird, wenn die SSL-Authentifizierung zwischen der SVM und dem FPolicy-Server konfiguriert ist.

Wenn Sie mutual-auth für den -ssl-option Parameter angeben, müssen Sie einen Wert für den -certificate-serial Parameter angeben.

-certificate-serial text

Zertifizierungsstelle

Gibt den CA-Namen des Zertifikats an, das für die Authentifizierung verwendet wird, wenn die SSL-Authentifizierung zwischen der SVM und dem FPolicy-Server konfiguriert ist.

Wenn Sie mutual-auth für den -ssl-option Parameter angeben, müssen Sie einen Wert für den -certificate-ca Parameter angeben.

-certificate-ca text

Was sind die erweiterten Optionen der externen Engine

Sie können die folgende Tabelle mit erweiterten FPolicy Konfigurationsparametern verwenden, wenn Sie planen, Ihre Konfiguration mit erweiterten Parametern anzupassen. Mit diesen Parametern ändern Sie das Kommunikationsverhalten zwischen den Cluster-Nodes und den FPolicy-Servern:

Informationstyp

Option

Timeout zum Abbrechen einer Anfrage

Gibt das Zeitintervall in hours (h)(m(s, minutes ) oder seconds ) an, das der Knoten auf eine Antwort vom FPolicy-Server wartet.

Wenn das Zeitüberschreitungsintervall abgelaufen ist, sendet der Node eine Anforderung zum Abbrechen an den FPolicy-Server. Der Node sendet dann die Benachrichtigung an einen alternativen FPolicy-Server. Dieses Timeout unterstützt den Umgang mit einem FPolicy-Server, der nicht reagiert, was die Reaktion von SMB/NFS-Clients verbessern kann. Das Abbrechen von Anfragen nach einem Timeout kann außerdem dazu beitragen, Systemressourcen freizugeben, da die Benachrichtigungsanfrage von einem heruntergedrückten/schlechten FPolicy-Server auf einen alternativen FPolicy-Server verschoben wird.

Der Bereich für diesen Wert ist 0 bis 100. Wenn der Wert auf festgelegt 0 ist, ist die Option deaktiviert und Abbruchmeldungen werden nicht an den FPolicy-Server gesendet. Der Standardwert ist 20s.

-reqs-cancel-timeout integer[M]

Timeout für Abbruch einer Anfrage

Gibt das Timeout in hours (h), minutes ) (m`oder seconds (`s) für den Abbruch einer Anfrage an.

Der Bereich für diesen Wert ist 0 bis 200.

-reqs-abort-timeout ` `integer[M]

Intervall für das Senden von Statusanforderungen

Gibt das Intervall in Stunden (h), Minuten (m) oder Sekunden (s) an, nach dem eine Statusanfrage an den FPolicy-Server gesendet wird.

Der Bereich für diesen Wert ist 0 bis 50. Wenn der Wert auf festgelegt 0 ist, ist die Option deaktiviert und Statusanforderungsmeldungen werden nicht an den FPolicy-Server gesendet. Der Standardwert ist 10s.

-status-req-interval integer[M]

Maximale Anzahl ausstehende Anforderungen auf dem FPolicy-Server

Gibt die maximale Anzahl der ausstehenden Anforderungen an, die auf dem FPolicy-Server in die Warteschlange gestellt werden können.

Der Bereich für diesen Wert ist 1 bis 10000. Der Standardwert ist 500.

-max-server-reqs integer

Timeout zum Trennen eines nicht ansprechenden FPolicy Servers

Gibt das Zeitintervall in Stunden (h), Minuten ) (m`oder Sekunden (`s) an, nach dem die Verbindung zum FPolicy-Server beendet wird.

Die Verbindung wird nach dem Timeout-Zeitraum nur beendet, wenn die Warteschlange des FPolicy-Servers die maximal zulässigen Anforderungen enthält und innerhalb des Timeout-Zeitraums keine Antwort empfangen wird. Die maximal zulässige Anzahl von Anforderungen ist entweder 50 (Standard) oder die vom max-server-reqs- Parameter angegebene Anzahl.

Der Bereich für diesen Wert ist 1 bis 100. Der Standardwert ist 60s.

-server-progress-timeout integer[M]

Intervall zum Senden von Keep-Alive-Nachrichten an den FPolicy-Server

Gibt das Zeitintervall in Stunden (h), Minuten ) (m`oder Sekunden (`s) an, in dem Keep-Alive-Nachrichten an den FPolicy-Server gesendet werden.

Keep-Alive-Meldungen erkennen halboffene Verbindungen.

Der Bereich für diesen Wert ist 10 bis 600. Wenn der Wert auf festgelegt 0 ist, wird die Option deaktiviert und Keep-Alive-Nachrichten werden nicht an die FPolicy-Server gesendet. Der Standardwert ist 120s.

-keep-alive-interval- integer[M]

Maximale Anzahl Verbindungsversuche

Gibt die maximale Anzahl der Male an, die die SVM nach einer Verbindungsherstellung versucht, eine Verbindung zum FPolicy-Server herzustellen.

Der Bereich für diesen Wert ist 0 bis 20. Der Standardwert ist 5.

-max-connection-retries integer

Puffergröße empfangen

Gibt die Empfangsbuffer-Größe des angeschlossenen Sockets für den FPolicy-Server an.

Der Standardwert ist 256 Kilobyte (KB). Wenn der Wert auf 0 gesetzt ist, wird die Größe des Empfangspuffers auf einen vom System definierten Wert gesetzt.

Wenn beispielsweise die Standard-Empfangspuffgröße des Sockets 65536 Byte beträgt, wird durch Setzen des einstellbaren Werts auf 0 die Socket-Puffergröße auf 65536 Byte gesetzt. Sie können einen beliebigen nicht-Standardwert verwenden, um die Größe (in Byte) des Empfangspuffers festzulegen.

-recv-buffer-size integer

Puffergröße senden

Gibt die Sendepuffer-Größe des angeschlossenen Sockets für den FPolicy-Server an.

Der Standardwert ist 256 Kilobyte (KB). Wenn der Wert auf 0 gesetzt ist, wird die Größe des Sendepuffers auf einen vom System definierten Wert gesetzt.

Wenn beispielsweise die Standard-Sendepuffer-Größe des Sockets auf 65536 Byte eingestellt ist, indem der einstellbare Wert auf 0 gesetzt wird, wird die Socket-Puffergröße auf 65536 Byte gesetzt. Sie können einen beliebigen nicht-Standardwert verwenden, um die Größe (in Bytes) des Sendepuffers festzulegen.

-send-buffer-size integer

Timeout zum Löschen einer Sitzungs-ID während der erneuten Verbindung

Gibt das Intervall in hours (h), minutes ) (m`oder seconds (`s) an, nach dem während der Verbindungsversuche eine neue Session ID an den FPolicy-Server gesendet wird.

Wenn die Verbindung zwischen dem Storage-Controller und dem FPolicy-Server beendet wird und innerhalb des -session-timeout Intervalls eine erneute Verbindung hergestellt wird, wird die alte Session ID an den FPolicy-Server gesendet, sodass sie Antworten auf alte Benachrichtigungen senden kann.

Der Standardwert ist 10 Sekunden.

-session-timeout [integerH][integerm][integers]