Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Anforderungen, Überlegungen und Best Practices für die Konfiguration von FPolicy

Beitragende

Bevor Sie FPolicy Konfigurationen auf Ihren Storage Virtual Machines (SVMs) erstellen und konfigurieren, müssen Sie bestimmte Anforderungen, Überlegungen und Best Practices für die Konfiguration von FPolicy kennen.

FPolicy-Funktionen werden entweder über die Befehlszeilenschnittstelle (CLI) oder über REST-APIs konfiguriert.

Anforderungen für die Einrichtung von FPolicy

Bevor Sie FPolicy auf Ihrer Storage Virtual Machine (SVM) konfigurieren und aktivieren, müssen Sie bestimmte Anforderungen kennen.

  • Auf allen Nodes im Cluster muss eine Version von ONTAP ausgeführt werden, die FPolicy unterstützt.

  • Wenn Sie nicht die native FPolicy Engine von ONTAP verwenden, müssen Sie externe FPolicy Server (FPolicy Server) installiert haben.

  • Die FPolicy Server müssen auf einem Server installiert werden, auf den über die Daten-LIFs der SVM zugegriffen werden kann, wo FPolicy-Richtlinien aktiviert sind.

    Hinweis Ab ONTAP 9.8 bietet ONTAP einen logischen Client-Service für ausgehende FPolicy-Verbindungen unter Hinzufügung des data-fpolicy-client Services. "Weitere Informationen zu LIFs und Service-Richtlinien".
  • Die IP-Adresse des FPolicy-Servers muss als primärer oder sekundärer Server in der Konfiguration einer externen FPolicy Engine konfiguriert werden.

  • Wenn die FPolicy-Server über einen privilegierten Datenkanal auf Daten zugreifen, müssen die folgenden zusätzlichen Anforderungen erfüllt werden:

    • SMB muss auf dem Cluster lizenziert sein.

      Der privilegierte Datenzugriff erfolgt über SMB-Verbindungen.

    • Für den Zugriff auf Dateien über den privilegierten Datenkanal müssen Benutzeranmeldeinformationen konfiguriert werden.

    • Der FPolicy-Server muss unter den in der FPolicy-Konfiguration konfigurierten Anmeldeinformationen ausgeführt werden.

    • Alle Daten-LIFs, die zur Kommunikation mit den FPolicy Servern verwendet werden, müssen so konfiguriert werden cifs, dass sie eines der zulässigen Protokolle besitzen.

      Dies schließt die LIFs ein, die für Passthrough-Read-Verbindungen verwendet werden.

Best Practices und Empfehlungen beim Einrichten von FPolicy

Wenn Sie FPolicy auf Storage Virtual Machines (SVMs) einrichten, lernen Sie die allgemeinen Best Practices und Empfehlungen der Konfiguration kennen. So können Sie sicherstellen, dass Ihre FPolicy-Konfiguration eine robuste Monitoring-Performance sowie Ergebnisse liefert, die Ihre Anforderungen erfüllen.

Arbeiten Sie mit Ihrer FPolicy-Partnerapplikation zusammen, um spezifische Richtlinien in Bezug auf Performance, Größenbestimmung und Konfiguration zu erhalten.

Persistente Speicher

Ab ONTAP 9.14.1 können Sie mit FPolicy einen persistenten Speicher einrichten, um Dateizugriffsereignisse für asynchrone, nicht obligatorische Richtlinien auf der SVM zu erfassen. Persistente Speicher können die Client-I/O-Verarbeitung von der FPolicy-Benachrichtigungsverarbeitung entkoppeln, um die Client-Latenz zu verringern. Synchrone (obligatorische oder nicht obligatorische) und asynchrone obligatorische Konfigurationen werden nicht unterstützt.

  • Bevor Sie die Funktion „persistenter Speicher“ verwenden, stellen Sie sicher, dass Ihre Partneranwendungen diese Konfiguration unterstützen.

  • Sie benötigen einen persistenten Speicher für jede SVM, auf der FPolicy aktiviert ist.

    • Auf jeder SVM kann nur ein persistenter Speicher eingerichtet werden. Dieser einzelne persistente Speicher muss für alle FPolicy Konfigurationen auf dieser SVM verwendet werden, selbst wenn die Richtlinien von verschiedenen Partnern stammen.

  • ONTAP 9.15.1 oder höher:

    • Der persistente Speicher, das zugehörige Volume und die zugehörige Volume-Konfiguration werden bei der Erstellung des persistenten Speichers automatisch übernommen.

  • ONTAP 9.14.1:

    • Der persistente Speicher, das zugehörige Volume und die Volume-Konfiguration werden manuell übernommen.

  • Erstellen Sie das persistente Speicher-Volume auf dem Node mit LIFs, die davon ausgehen, dass der maximale Datenverkehr durch FPolicy überwacht wird.

    • ONTAP 9.15.1 oder höher: Volumes werden während der Erstellung des persistenten Speichers automatisch erstellt und konfiguriert.

    • ONTAP 9.14.1: Cluster-Administratoren müssen ein Volume für den persistenten Speicher jeder SVM erstellen und konfigurieren, auf der FPolicy aktiviert ist.

  • Wenn die im persistenten Speicher angesammelten Benachrichtigungen die Größe des bereitgestellten Volumes überschreiten, beginnt FPolicy die eingehende Benachrichtigung mit den entsprechenden EMS-Nachrichten zu löschen.

    • ONTAP 9.15.1 oder höher: Zusätzlich zum size Parameter autosize-mode kann der Parameter dem Wachstum oder Verkleinern des Volumes als Antwort auf die Menge des genutzten Speicherplatzes helfen.

    • ONTAP 9.14.1: Der size Parameter wird während der Volume-Erstellung so konfiguriert, dass er ein maximales Limit bietet.

  • Setzen Sie die Snapshot-Policy auf none für das persistente Speichervolumen statt auf default . Dadurch wird sichergestellt, dass keine versehentliche Wiederherstellung des Snapshots zum Verlust aktueller Ereignisse führt und eine mögliche doppelte Ereignisverarbeitung verhindert wird.

    • ONTAP 9.15.1 oder höher: Der snapshot-policy Parameter wird während der Erstellung eines persistenten Speichers automatisch auf none konfiguriert.

    • ONTAP 9.14.1: Der snapshot-policy Parameter wird none während der Volume-Erstellung auf konfiguriert.

  • Machen Sie das persistente Speicher-Volume für den externen Zugriff auf das Benutzerprotokoll (CIFS/NFS) unzugänglich, um versehentliche Beschädigungen oder das Löschen von permanenten Ereignisdatensätzen zu vermeiden.

    • ONTAP 9.15.1 oder höher: ONTAP blockiert das Volume während der Erstellung des persistenten Speichers automatisch aus externem Benutzerprotokollzugriff (CIFS/NFS).

    • ONTAP 9.14.1: Heben Sie nach der Aktivierung von FPolicy die Bereitstellung des Volumes in ONTAP auf, um den Verbindungspfad zu entfernen. Dies macht es für externen Benutzer-Protokoll-Zugriff (CIFS/NFS) unzugänglich.

Weitere Informationen finden Sie unter "FPolicy persistente Speicher" und "Erstellen persistenter Speicher".

Persistentes Failover und Giveback von Speichern

Der persistente Speicher bleibt so, wie er zu dem Zeitpunkt empfangen wurde, wenn ein unerwartetes Neubooten angezeigt wird oder FPolicy wird deaktiviert und erneut aktiviert. Nach einem Übernahmevorgang werden neue Ereignisse gespeichert und vom Partner-Node verarbeitet. Nach einem Giveback-Vorgang setzt der persistente Speicher die Verarbeitung aller nicht verarbeiteten Ereignisse fort, die möglicherweise vom Zeitpunkt der Node-Übernahme entfernt bleiben. Live-Events würden Vorrang vor nicht verarbeiteten Ereignissen erhalten.

Wenn das persistente Speicher-Volume von einem Node zu einem anderen in derselben SVM verschoben wird, werden die noch zu verarbeitenden Benachrichtigungen auch in den neuen Node verschoben. Sie müssen den fpolicy persistent-store create Befehl auf beiden Knoten erneut ausführen, nachdem das Volume verschoben wurde, um sicherzustellen, dass die ausstehenden Benachrichtigungen an den externen Server gesendet werden.

Konfiguration von Richtlinien

Die Konfiguration der externen FPolicy Engine, Ereignisse und Umfang für SVMs können die Benutzerfreundlichkeit und die Sicherheit insgesamt verbessern.

  • Konfiguration der FPolicy externen Engine für SVMs:

    • Zusätzliche Sicherheit ist mit Performance-Kosten verbunden. Die Aktivierung der SSL-Kommunikation (Secure Sockets Layer) wirkt sich auf die Leistung des Zugriffs auf Freigaben aus.

    • Die externe FPolicy Engine sollte mit mehr als einem FPolicy Server konfiguriert werden, um Ausfallsicherheit und Hochverfügbarkeit bei der Verarbeitung von FPolicy Serverbenachrichtigungen zu gewährleisten.

  • Konfiguration von FPolicy Ereignissen für SVMs:

    Die Überwachung von Dateioperationen wirkt sich auf Ihre Gesamterfahrung aus. Das Filtern unerwünschter Dateioperationen auf der Storage-Seite verbessert beispielsweise die Benutzerfreundlichkeit. NetApp empfiehlt die Einrichtung der folgenden Konfiguration:

    • Überwachung der Mindestanforderungen an Dateioperationen und Aktivierung der maximalen Anzahl von Filtern ohne Unterbrechung des Anwendungsfalls.

    • Verwenden von Filtern für getattr-, Lese-, Schreib-, Öffnen- und Schließvorgänge. In den Home Directory-Umgebungen SMB und NFS kommt ein hoher Prozentsatz dieser Vorgänge zum Einsatz.

  • Konfiguration des FPolicy Umfangs für SVMs:

    Schränken Sie die Richtlinien auf relevante Storage-Objekte wie Freigaben, Volumes und Exporte ein, anstatt sie über die gesamte SVM zu aktivieren. NetApp empfiehlt, die Verzeichniserweiterungen zu überprüfen. Wenn der is-file-extension-check-on-directories-enabled Parameter auf gesetzt true ist, werden Verzeichnisobjekte denselben Erweiterungsprüfungen unterzogen wie normale Dateien.

Netzwerkkonfiguration

Die Netzwerkverbindung zwischen dem FPolicy-Server und dem Controller sollte geringe Latenz aufweisen. NetApp empfiehlt die Trennung des FPolicy-Datenverkehrs vom Client-Verkehr über ein privates Netzwerk.

Außerdem sollten sich externe FPolicy Server (FPolicy-Server) in der Nähe des Clusters mit hoher Bandbreite befinden, um minimale Latenz und Konnektivität mit hoher Bandbreite zu ermöglichen.

Hinweis In einem Szenario, in dem die LIF für FPolicy-Datenverkehr auf einem anderen Port zur LIF für Client-Datenverkehr konfiguriert wird, kann die FPolicy LIF aufgrund eines Portausfalls einen Failover auf den anderen Node durchführen. Infolgedessen kann der FPolicy-Server von dem Node nicht mehr erreicht werden, was dazu führt, dass die FPolicy-Benachrichtigungen für Dateivorgänge auf dem Node fehlschlagen. Um dieses Problem zu vermeiden, überprüfen Sie, ob der FPolicy-Server über mindestens eine logische Schnittstelle auf dem Node erreichbar ist, um FPolicy-Anfragen für die Dateivorgänge zu verarbeiten, die auf diesem Node ausgeführt werden.

Hardwarekonfiguration

Der FPolicy-Server kann entweder auf einem physischen oder einem virtuellen Server ausgeführt werden. Wenn sich der FPolicy-Server in einer virtuellen Umgebung befindet, sollten Sie dem virtuellen Server dedizierte Ressourcen (CPU, Netzwerk und Arbeitsspeicher) zuweisen.

Das Cluster-Node-to-FPolicy-Serververhältnis sollte optimiert werden, um sicherzustellen, dass FPolicy Server nicht überlastet sind. Dies kann Latenzen bedeuten, wenn die SVM auf Client-Anforderungen reagiert. Das optimale Verhältnis hängt von der Partnerapplikation ab, für die der FPolicy-Server verwendet wird. NetApp empfiehlt die Zusammenarbeit mit Partnern, um den geeigneten Wert zu ermitteln.

Konfiguration mehrerer Richtlinien

Die FPolicy-Richtlinie für natives Blockieren hat unabhängig von der Sequenznummer die höchste Priorität und Richtlinien zur Änderung der Entscheidungsfindung haben eine höhere Priorität als andere. Die Priorität der Richtlinie hängt von dem jeweiligen Anwendungsfall ab. NetApp empfiehlt die Zusammenarbeit mit Partnern, um die entsprechende Priorität zu bestimmen.

Überlegungen zur Größe

FPolicy überwacht SMB- und NFS-Vorgänge inline, sendet Benachrichtigungen an den externen Server und wartet je nach Kommunikationsmodus der externen Engine (synchron oder asynchron) auf eine Antwort. Dieser Prozess wirkt sich auf die Performance von SMB- und NFS-Zugriffs- sowie CPU-Ressourcen aus.

Um Probleme zu beheben, empfiehlt NetApp, gemeinsam mit Partnern die Umgebung zu bewerten und zu dimensionieren, bevor FPolicy aktiviert wird. Die Performance wird von verschiedenen Faktoren beeinflusst, darunter die Benutzeranzahl und Workload-Merkmale wie Vorgänge pro Benutzer und Datengröße, Netzwerklatenz sowie Ausfall- oder Server-Langsamkeit.

Monitoring der Performance

FPolicy ist ein auf Benachrichtigungen basierendes System. Benachrichtigungen werden zur Verarbeitung an einen externen Server gesendet, um eine Antwort an ONTAP zu generieren. Durch diesen Round-Trip-Prozess erhöht sich die Latenz für den Client-Zugriff.

Durch das Monitoring der Performance-Zähler auf dem FPolicy-Server und in ONTAP können Engpässe in der Lösung identifiziert und die Parameter nach Bedarf für eine optimale Lösung angepasst werden. Eine Zunahme der FPolicy-Latenz wirkt sich beispielsweise kaskadierend auf die Latenz des SMB- und NFS-Zugriffs aus. Daher sollten Sie sowohl die Workload- (SMB und NFS) als auch die FPolicy-Latenz überwachen. Zudem können Sie mithilfe von Quality-of-Service-Richtlinien in ONTAP einen Workload für jedes Volume oder jede SVM einrichten, die für FPolicy aktiviert ist.

NetApp empfiehlt, den statistics show –object workload Befehl zum Anzeigen von Workload-Statistiken auszuführen. Außerdem sollten Sie die folgenden Parameter überwachen:

  • Durchschnittliche Lese-, Schreib- und Leselatenz

  • Gesamtzahl der Vorgänge

  • Zähler lesen und schreiben

Die Performance von FPolicy-Subsystemen kann mit den folgenden FPolicy-Zählern überwacht werden.

Hinweis Sie müssen sich im Diagnosemodus befinden, um Statistiken zu FPolicy zu sammeln.
Schritte
  1. FPolicy-Zähler sammeln:

    1. statistics start -object fpolicy -instance instance_name -sample-id ID

    2. statistics start -object fpolicy_policy -instance instance_name -sample-id ID

  2. FPolicy-Zähler anzeigen:

    1. statistics show -object fpolicy –instance instance_name -sample-id ID

    2. statistics show -object fpolicy_server –instance instance_name -sample-id ID

    Die fpolicy fpolicy_server Zähler und bieten Informationen zu verschiedenen Leistungsparametern, die in der folgenden Tabelle beschrieben sind.

    Zähler Beschreibung
    • „fpolicy“-Zähler*

    Abgebrochene_Anforderungen

    Anzahl der Bildschirmanforderungen, für die die Verarbeitung auf der SVM abgebrochen wird

    Event_count

    Liste der Ereignisse, die zu einer Benachrichtigung führen

    max_request_Latenz

    Maximale Verzögerung bei Bildschirmanforderungen

    Ausstehende_Anforderungen

    Gesamtanzahl der in Bearbeitung vorhandenen Bildschirmanforderungen

    Verarbeitete_Anforderungen

    Gesamtzahl der Bildschirmanforderungen, die die fpolicy-Verarbeitung auf der SVM durchlaufen haben

    Request_Latency_hist

    Histogramm der Latenz für Bildschirmanforderungen

    Requests_sended_Rate

    Anzahl der pro Sekunde versandten Bildschirmanfragen

    Requests_received_Rate

    Anzahl der empfangenen Bildschirmanforderungen pro Sekunde

    • Zähler „fpolicy_Server“*

    max_request_Latenz

    Maximale Latenz für eine Bildschirmanforderung

    Ausstehende_Anforderungen

    Gesamtzahl der auf Antwort wartenden Bildschirmanforderungen

    Request_Latency

    Durchschnittliche Latenz für Bildschirmanforderung

    Request_Latency_hist

    Histogramm der Latenz für Bildschirmanforderungen

    Request_sent_Rate

    Anzahl der an den FPolicy-Server gesendeten Bildschirmanfragen pro Sekunde

    Response_received_Rate

    Anzahl der vom FPolicy-Server empfangenen Bildschirmantworten pro Sekunde

Managen Sie FPolicy Workflows und Abhängigkeit von anderen Technologien

NetApp empfiehlt, eine FPolicy-Richtlinie zu deaktivieren, bevor Sie Konfigurationsänderungen vornehmen. Wenn Sie beispielsweise eine IP-Adresse in der externen Engine hinzufügen oder ändern möchten, die für die aktivierte Richtlinie konfiguriert ist, deaktivieren Sie zunächst die Richtlinie.

Wenn Sie FPolicy zur Überwachung von NetApp FlexCache Volumes konfigurieren, empfiehlt NetApp, FPolicy nicht für die Überwachung von Lese- und getattr-Dateivorgängen zu konfigurieren. Zur Überwachung dieser Vorgänge in ONTAP ist der Abruf von I2P-Daten (Inode-to-Path) erforderlich. Da die I2P-Daten nicht von FlexCache-Volumes abgerufen werden können, müssen sie vom Ursprungs-Volume abgerufen werden. Daher eliminiert das Monitoring dieser Operationen die Performance-Vorteile, die FlexCache bieten kann.

Wenn FPolicy und eine Off-Box-Antivirus-Lösung implementiert werden, erhält die Virenschutzlösung zuerst Benachrichtigungen. Die FPolicy-Verarbeitung wird erst gestartet, nachdem die Virenprüfung abgeschlossen ist. Es ist wichtig, dass Sie Virenschutzlösungen korrekt dimensionieren, da ein langsamer Virenschutzscanner die Gesamtleistung beeinträchtigen kann.

Überlegungen zum Passthrough-Upgrade und Zurücksetzen

Es gibt bestimmte Überlegungen zum Upgrade und Zurücksetzen, die Sie vor dem Upgrade auf eine ONTAP-Version, die Passthrough-Read unterstützt, oder vor dem Zurücksetzen auf eine Version ohne Passthrough-Read wissen müssen.

Aktualisierung

Nachdem alle Knoten auf eine Version von ONTAP aktualisiert wurden, die FPolicy PassThrough-Read unterstützt, kann der Cluster die Passthrough-Read-Funktion nutzen; allerdings ist Passthrough-read bei bestehenden FPolicy-Konfigurationen standardmäßig deaktiviert. Um Passthrough-read für bestehende FPolicy-Konfigurationen zu verwenden, müssen Sie die FPolicy deaktivieren und die Konfiguration ändern und dann die Konfiguration erneut aktivieren.

Zurücksetzen

Bevor Sie auf eine Version von ONTAP zurücksetzen, die FPolicy Passthrough-Read nicht unterstützt, müssen Sie die folgenden Bedingungen erfüllen:

  • Deaktivieren Sie alle Richtlinien mit Passthrough-read, und ändern Sie dann die betroffenen Konfigurationen, sodass sie keine Passthrough-Read-Einstellungen verwenden.

  • Deaktivieren Sie FPolicy-Funktionen auf dem Cluster, indem Sie alle FPolicy-Richtlinien auf dem Cluster deaktivieren.

Bevor Sie auf eine Version von ONTAP zurücksetzen, die persistente Speicher nicht unterstützt, stellen Sie sicher, dass keine der FPolicy-Richtlinien über einen konfigurierten persistenten Speicher verfügt. Wenn ein persistenter Speicher konfiguriert ist, schlägt die Wiederherstellung fehl.