Versionshinweise
Was sind die Schritte zum Einrichten einer FPolicy Konfiguration
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
ONTAP einrichten, aktualisieren und zurücksetzen
-
Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
-
Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
-
-
NAS-Storage-Management
-
Konfigurieren Sie NFS mit der CLI
-
Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
-
Verwalten Sie SMB-Server
-
Verwalten Sie den Dateizugriff mit SMB
-
-
-
SAN-Storage-Management
-
Authentifizierung und Zugriffssteuerung
-
Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Managen Sie die SnapMirror Volume-Replizierung
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Bevor FPolicy den Dateizugriff überwachen kann, muss auf der Storage Virtual Machine (SVM) eine FPolicy Konfiguration erstellt und aktiviert werden, für die FPolicy Services erforderlich sind.
Die folgenden Schritte zum Einrichten und Aktivieren einer FPolicy-Konfiguration auf der SVM sind:
-
Erstellen einer externen FPolicy Engine.
Die externe FPolicy Engine identifiziert die externen FPolicy Server (FPolicy Server), die mit einer bestimmten FPolicy-Konfiguration assoziiert sind. Wenn die interne „
nativeFPolicy Engine“ verwendet wird, um eine native File-Blocking-Konfiguration zu erstellen, müssen Sie keine FPolicy-externe Engine erstellen.Ab ONTAP 9.15.1 können Sie das verwenden
protobufMotorformat. Wenn eingestellt aufprotobuf, Die Benachrichtigungen werden in binärer Form mit Google protobuf codiert. Bevor Sie das Motorformat auf einstellenprotobuf, Stellen Sie sicher, dass der FPolicy-Server auch unterstütztprotobufDeserialisierung. Weitere Informationen finden Sie unter "Planen Sie die Konfiguration der externen FPolicy Engine" -
Erstellen eines FPolicy-Ereignisses.
Ein FPolicy-Ereignis beschreibt, was die FPolicy überwachen sollte. Ereignisse bestehen aus den zu überwachenden Protokollen und Dateivorgängen und können eine Liste mit Filtern enthalten. Ereignisse verwenden Filter, um die Liste der überwachten Ereignisse einzugrenzen, für die die externe FPolicy-Engine Benachrichtigungen senden muss. Ereignisse geben außerdem an, ob die Richtlinie Volume-Vorgänge überwacht.
-
Erstellen eines persistenten FPolicy-Speichers (optional)
Ab ONTAP 9.14.1 ist die Einrichtung mit FPolicy möglich "Persistente Speicher" So erfassen Sie Dateizugriffsereignisse für asynchrone, nicht obligatorische Richtlinien in der SVM: Synchrone (obligatorische oder nicht obligatorische) und asynchrone obligatorische Konfigurationen werden nicht unterstützt.
Persistente Speicher können die Client-I/O-Verarbeitung von der FPolicy-Benachrichtigungsverarbeitung entkoppeln, um die Client-Latenz zu verringern.
Ab ONTAP 9.15.1 wird die Konfiguration persistenter FPolicy-Speicher vereinfacht. Der
persistent-store-createDer Befehl automatisiert die Volume-Erstellung für die SVM und konfiguriert das Volume für den persistenten Speicher. -
Erstellen einer FPolicy.
Die FPolicy ist dafür verantwortlich, mit dem entsprechenden Umfang die zu überwachenden Ereignisse zu verknüpfen und für welche der überwachten Ereignisse Benachrichtigungen an den designierten FPolicy-Server (oder an die native Engine gesendet werden müssen, wenn keine FPolicy-Server konfiguriert sind). Die Richtlinie legt außerdem fest, ob der FPolicy-Server privilegierten Zugriff auf die Daten gewährt, für die er Benachrichtigungen erhält. Ein FPolicy-Server benötigt privilegierten Zugriff, wenn der Server auf die Daten zugreifen muss. Typische Anwendungsfälle, in denen privilegierter Zugriff erforderlich ist, sind das File Blocking, das Kontingentmanagement und das hierarchische Storage-Management. Mit der Richtlinie legen Sie fest, ob die Konfiguration für diese Richtlinie einen FPolicy-Server oder den internen „
nativenFPolicy Server“ verwendet.Eine Richtlinie gibt an, ob das Screening erforderlich ist. Wenn das Screening zwingend erforderlich ist und alle FPolicy Server ausgefallen sind oder keine Antwort von den FPolicy-Servern innerhalb eines definierten Zeitlimits erhalten wird, wird der Dateizugriff verweigert.
Die Grenzen einer Richtlinie sind die SVM. Eine Richtlinie kann nicht auf mehr als eine SVM angewendet werden. Für eine bestimmte SVM können jedoch mehrere FPolicy-Richtlinien gelten, wobei jedes einzelne von der gleichen oder einer anderen Kombination aus Scope-, Ereignis- und externen Serverkonfigurationen aufweisen kann.
-
Konfigurieren des Richtlinienumfangs.
Der FPolicy-Umfang legt fest, welche Volumes, Shares oder Exportrichtlinien die Richtlinie für das Monitoring agiert oder nicht. Ein Umfang legt auch fest, welche Dateiendungen vom FPolicy Monitoring enthalten oder ausgeschlossen werden sollten.
Ausschlusslisten haben Vorrang vor include-Listen.
-
Aktivieren Sie die FPolicy.
Wenn die Richtlinie aktiviert ist, werden die Kontrollkanäle und optional die privilegierten Datenkanäle verbunden. Der FPolicy-Prozess auf den Nodes, an denen die SVM teilnimmt, beginnt mit der Überwachung der Datei- und Ordnerzugriff und sendet bei Ereignissen, die konfigurierte Kriterien erfüllen, Benachrichtigungen an die FPolicy Server (oder an die native Engine, wenn keine FPolicy-Server konfiguriert sind).
|
|
Wenn die Richtlinie die native Blockierung von Dateien verwendet, wird eine externe Engine nicht konfiguriert oder mit der Richtlinie verknüpft. |