Requisitos, consideraciones y prácticas recomendadas para configurar FPolicy
Antes de crear y configurar las configuraciones de FPolicy en las máquinas virtuales de almacenamiento (SVM), debe tener en cuenta determinados requisitos, consideraciones y prácticas recomendadas para configurar FPolicy.
Las funciones de FPolicy se configuran mediante la interfaz de línea de comandos (CLI) o mediante las API DE REST.
Requisitos para configurar FPolicy
Antes de configurar y habilitar FPolicy en una máquina virtual de almacenamiento (SVM), debe conocer ciertos requisitos.
-
Todos los nodos del clúster deben ejecutar una versión de ONTAP que admita FPolicy.
-
Si no utiliza el motor de FPolicy nativo de ONTAP, debe tener instalados servidores de FPolicy externos (servidores FPolicy).
-
Los servidores de FPolicy deben instalarse en un servidor al que se pueda acceder desde las LIF de datos de la SVM, donde se habilitaron políticas de FPolicy.
A partir de ONTAP 9.8, ONTAP proporciona un servicio LIF de cliente para conexiones FPolicy salientes con la adición data-fpolicy-client
del servicio. "Más información acerca de los LIF y las políticas de servicio". -
La dirección IP del servidor FPolicy debe configurarse como servidor primario o secundario en la configuración del motor externo de directivas de FPolicy.
-
Si los servidores FPolicy acceden a los datos a través de un canal de datos con privilegios, se deben cumplir los siguientes requisitos adicionales:
-
Las licencias de SMB deben estar en el clúster.
El acceso a datos con privilegios se logra mediante conexiones SMB.
-
Se debe configurar una credencial de usuario para acceder a los archivos a través del canal de datos con privilegios.
-
El servidor FPolicy debe ejecutarse con las credenciales configuradas en la configuración de FPolicy.
-
Todas las LIF de datos utilizadas para comunicarse con los servidores de FPolicy deben estar configuradas para tener
cifs
como uno de los protocolos permitidos.Esto incluye los LIF utilizados para conexiones de lectura de paso a través.
-
Prácticas recomendadas y recomendaciones al configurar FPolicy
Cuando configure FPolicy en máquinas virtuales de almacenamiento (SVM), familiarícese con las mejores prácticas y recomendaciones generales de configuración para garantizar que su configuración de FPolicy ofrece un sólido rendimiento de supervisión y resultados que cumplan con sus requisitos.
Para obtener directrices específicas relacionadas con el rendimiento, el ajuste de tamaño y la configuración, utilice su aplicación de partner de FPolicy.
Almacenes persistentes
A partir de ONTAP 9.14.1, FPolicy permite configurar un almacén persistente para capturar eventos de acceso a archivos para políticas asíncronas no obligatorias en la SVM. Los almacenes persistentes pueden ayudar a desacoplar el procesamiento de I/O del cliente del procesamiento de notificaciones de FPolicy para reducir la latencia del cliente. No se admiten las configuraciones síncronas (obligatorias o no obligatorias) y asíncronas obligatorias.
-
Antes de utilizar la funcionalidad de almacén persistente, asegúrese de que sus aplicaciones asociadas admiten esta configuración.
-
Se necesita un almacén persistente para cada SVM donde FPolicy esté habilitado.
-
Solo se puede configurar un almacén persistente en cada SVM. Es necesario usar este único almacén persistente para todas las configuraciones de FPolicy en dicho SVM, incluso si las políticas son de partners distintos.
-
-
ONTAP 9.15.1 o posterior:
-
El almacén persistente, su volumen y su configuración de volumen se manejan de forma automática cuando se crea el almacén persistente.
-
-
9.14.1 de ONTAP:
-
El almacén persistente, su volumen y su configuración de volumen se gestionan de forma manual.
-
-
Cree el volumen de almacenamiento persistente en el nodo con LIF que esperan que FPolicy supervise el tráfico máximo.
-
ONTAP 9.15.1 o posterior: Los volúmenes se crean y configuran automáticamente durante la creación de un almacén persistente.
-
ONTAP 9.14.1: Los administradores del clúster deben crear y configurar un volumen para el almacén persistente en cada una de las SVM donde esté habilitado FPolicy.
-
-
Si las notificaciones acumuladas en el almacén persistente superan el tamaño del volumen aprovisionado, FPolicy iniciará la notificación entrante con los mensajes de EMS adecuados.
-
ONTAP 9.15.1 o posterior: Además de la
size
parámetro, elautosize-mode
el parámetro puede ayudar a que el volumen crezca o se reduzca en respuesta a la cantidad de espacio utilizado. -
ONTAP 9.14.1: El
size
el parámetro se configura durante la creación de volúmenes de modo que se proporcione un límite máximo.
-
-
Establezca la política de Snapshot en
none
para el volumen de almacenamiento persistente en lugar dedefault
. De este modo se garantiza que no haya ninguna restauración accidental de la instantánea que provoque la pérdida de eventos actuales y que se evite un posible procesamiento de eventos duplicados.-
ONTAP 9.15.1 o posterior: El
snapshot-policy
el parámetro se configura automáticamente como ninguno durante la creación del almacén persistente. -
ONTAP 9.14.1: El
snapshot-policy
el parámetro se ha configurado a.none
durante la creación de volúmenes.
-
-
Haga que el volumen de almacenamiento persistente no sea accesible para el acceso del protocolo de usuario externo (CIFS/NFS) y evite daños o eliminación accidentales de los registros de eventos persistentes.
-
ONTAP 9.15.1 o posterior: ONTAP bloquea automáticamente el volumen del acceso al protocolo de usuario externo (CIFS/NFS) durante la creación del almacén persistente.
-
ONTAP 9.14.1: Después de habilitar FPolicy, desmonte el volumen en ONTAP para eliminar la ruta de unión. Esto lo hace inaccesible para el acceso al protocolo de usuario externo (CIFS/NFS).
-
Para obtener más información, consulte "Almacenes persistentes de FPolicy" y.. "Crear almacenes persistentes".
Conmutación al nodo de respaldo y retorno al nodo primario en el almacén persistente
El almacén persistente permanece como estaba cuando se recibió el último evento, cuando se produce un reinicio inesperado o FPolicy se deshabilita y vuelve a habilitar. Tras una operación de toma de control, el nodo asociado almacena y procesa los nuevos eventos. Tras una operación de devolución, el almacén persistente reanuda el procesamiento de todos los eventos sin procesar que pudieran permanecer desde el momento en que se produjo la toma de control del nodo. Los eventos en directo tendrán prioridad sobre los eventos no procesados.
Si el volumen de almacenamiento persistente se mueve de un nodo a otro en la misma SVM, las notificaciones que aún se han procesado también se mueven al nuevo nodo. Debe volver a ejecutar el fpolicy persistent-store create
comando en cualquiera de los nodos después de mover el volumen para garantizar que las notificaciones pendientes se envíen al servidor externo.
Configuración de directivas
La configuración del motor externo de FPolicy, los eventos y el alcance de SVM pueden mejorar su experiencia y seguridad en general.
-
Configuración del motor externo de FPolicy para SVM:
-
Ofrecer seguridad adicional conlleva un coste en el rendimiento. La activación de la comunicación Secure Sockets Layer (SSL) tiene un efecto de rendimiento en el acceso a recursos compartidos.
-
El motor externo de FPolicy debe configurarse con más de un servidor de FPolicy para proporcionar resiliencia y alta disponibilidad del procesamiento de notificaciones de servidor de FPolicy.
-
-
Configuración de eventos de FPolicy para SVM:
La supervisión de las operaciones de archivos influye en su experiencia general. Por ejemplo, filtrar operaciones de archivos no deseados por el lado del almacenamiento mejora su experiencia. NetApp recomienda configurar la siguiente configuración:
-
Supervisión de los tipos mínimos de operaciones de archivo y activación del número máximo de filtros sin romper el caso de uso.
-
Uso de filtros para operaciones getattr, lectura, escritura, apertura y cierre. Los entornos de directorio inicial SMB y NFS tienen un alto porcentaje de estas operaciones.
-
-
Configuración del alcance de FPolicy para SVM:
Restrinja el alcance de las políticas a los objetos de almacenamiento relevantes, como recursos compartidos, volúmenes y exportaciones, en lugar de habilitarlos para toda la SVM. NetApp recomienda comprobar las extensiones del directorio. Si la
is-file-extension-check-on-directories-enabled
el parámetro se establece entrue
, los objetos de directorio están sujetos a las mismas comprobaciones de extensiones que los archivos normales.
Configuración de red
La conectividad de red entre el servidor de FPolicy y la controladora debe ser de baja latencia. NetApp recomienda separar el tráfico de FPolicy del tráfico de cliente mediante una red privada.
Además, debe colocar servidores FPolicy externos (servidores de FPolicy) muy cerca del clúster con una conectividad de ancho de banda elevado para proporcionar una latencia mínima y una conectividad de ancho de banda elevado.
Para una situación en la que el tráfico de LIF para FPolicy está configurado en un puerto diferente a la LIF para el tráfico de cliente, la LIF de FPolicy podría conmutar por error al otro nodo debido a un fallo de puerto. Como resultado, no se puede acceder al servidor FPolicy desde el nodo, lo que provoca que se produzca un error en las notificaciones de FPolicy para las operaciones de archivos en el nodo. Para evitar este problema, compruebe que se pueda acceder al servidor FPolicy a través al menos una LIF del nodo para procesar las solicitudes de FPolicy correspondientes a las operaciones de archivo realizadas en ese nodo. |
Configuración de hardware
Puede tener el servidor de FPolicy en un servidor físico o en un servidor virtual. Si el servidor FPolicy se encuentra en un entorno virtual, debe asignar recursos dedicados (CPU, red y memoria) al servidor virtual.
La relación entre el nodo y el servidor FPolicy del clúster debe optimizarse para garantizar que los servidores de FPolicy no estén sobrecargados, lo que puede introducir latencias cuando la SVM responde a las solicitudes de cliente. El ratio óptimo depende de la aplicación asociada para la que se utilice el servidor FPolicy. NetApp recomienda trabajar con partners para determinar el valor adecuado.
Configuración de múltiples políticas
La política de FPolicy para el bloqueo nativo tiene la prioridad más alta, independientemente del número de secuencia, y las políticas que alteran la decisión tienen una prioridad más alta que otras. La prioridad de la política depende del caso de uso. NetApp recomienda trabajar con los partners para determinar la prioridad adecuada.
Consideraciones de tamaño
FPolicy realiza supervisión en línea de las operaciones SMB y NFS, envía notificaciones al servidor externo y espera una respuesta, según el modo de comunicación del motor externo (síncrona o asíncrona). Este proceso afecta al rendimiento del acceso a SMB y NFS y a los recursos de CPU.
Para mitigar cualquier problema, NetApp recomienda trabajar con los partners para evaluar y dimensionar el entorno antes de habilitar FPolicy. El rendimiento se ve afectado por varios factores, como el número de usuarios, las características de la carga de trabajo, como las operaciones por usuario y el tamaño de los datos, la latencia de la red y los fallos o la lentitud del servidor.
Supervisión del rendimiento
FPolicy es un sistema basado en notificaciones. Las notificaciones se envían a un servidor externo para su procesamiento y para generar una respuesta a ONTAP. Este proceso de ida y vuelta aumenta la latencia de acceso de los clientes.
La supervisión de los contadores de rendimiento en el servidor FPolicy y en ONTAP le permite identificar cuellos de botella en la solución y ajustar los parámetros según sea necesario para obtener una solución óptima. Por ejemplo, un aumento de la latencia de FPolicy tiene un efecto en cascada sobre la latencia de acceso de SMB y NFS. Por lo tanto, debería supervisar tanto la latencia de las cargas de trabajo (SMB y NFS) como la latencia de FPolicy. Además, puede utilizar políticas de calidad de servicio en ONTAP para configurar una carga de trabajo para cada volumen o SVM que esté habilitado para FPolicy.
NetApp recomienda ejecutar el statistics show –object workload
comando para mostrar las estadísticas de carga de trabajo. Además, debe supervisar los siguientes parámetros:
-
Latencias medias, de lectura y de escritura
-
Número total de operaciones
-
Contadores de lectura y escritura
Puede supervisar el rendimiento de los subsistemas de FPolicy utilizando los siguientes contadores de FPolicy.
Debe estar en modo de diagnóstico para recopilar estadísticas relacionadas con FPolicy. |
-
Recopilar contadores de FPolicy:
-
statistics start -object fpolicy -instance instance_name -sample-id ID
-
statistics start -object fpolicy_policy -instance instance_name -sample-id ID
-
-
Mostrar contadores de FPolicy:
-
statistics show -object fpolicy –instance instance_name -sample-id ID
-
statistics show -object fpolicy_server –instance instance_name -sample-id ID
La
fpolicy
y..fpolicy_server
los contadores dan información sobre los diferentes parámetros de rendimiento que se describen en la siguiente tabla.Contadores Descripción -
“fpolicy” contadores*
abortated_requests
Número de solicitudes de pantalla en las que se ha anulado el procesamiento de la máquina virtual de almacenamiento
event_count
Lista de eventos que generan notificaciones
latencia_solicitud_máx
Latencia máxima de solicitudes de pantalla
outstanding_requests
Número total de solicitudes de pantalla en curso
solicitudes_procesadas
Número total de solicitudes de pantalla que han pasado por el procesamiento de fpolicy en la SVM
hist_latencia_solicitud
Histograma de latencia para solicitudes de pantalla
requests_dispatched_rate
Número de solicitudes de pantalla enviadas por segundo
requests_recepted_rate
Número de solicitudes de pantalla recibidas por segundo
-
“fpolicy_server” contadores*
latencia_solicitud_máx
Latencia máxima para una solicitud de pantalla
outstanding_requests
Número total de solicitudes de pantalla en espera de respuesta
latencia_solicitud
Latencia media para la solicitud de pantalla
hist_latencia_solicitud
Histograma de latencia para solicitudes de pantalla
request_sended_rate
Número de solicitudes de pantalla enviadas al servidor FPolicy por segundo
response_recepted_rate
Número de respuestas de pantalla recibidas del servidor FPolicy por segundo
-
Gestione el flujo de trabajo de FPolicy y la dependencia de otras tecnologías
NetApp recomienda deshabilitar una política de FPolicy antes de realizar cambios de configuración. Por ejemplo, si desea agregar o modificar una dirección IP en el motor externo configurado para la política activada, desactive primero la política.
Si configura FPolicy para supervisar los volúmenes de NetApp FlexCache, NetApp recomienda que no configure FPolicy para que supervise las operaciones de los archivos de lectura y GETATTR. La supervisión de estas operaciones en ONTAP requiere la recuperación de datos de nodo a ruta (I2P). Dado que no pueden recuperarse datos I2P de volúmenes FlexCache, deben recuperarse del volumen de origen. Por lo tanto, la supervisión de estas operaciones elimina los beneficios de rendimiento que puede ofrecer FlexCache.
Cuando se ponen en marcha FPolicy y una solución antivirus externa, primero la solución antivirus recibe notificaciones. El procesamiento de FPolicy se inicia solo después de que se complete el análisis antivirus. Es importante dimensionar correctamente las soluciones antivirus porque un análisis antivirus lento puede afectar al rendimiento general.
Consideraciones sobre la actualización de paso a través y la reversión
Hay ciertas consideraciones de actualización y reversión que debe saber acerca de antes de actualizar a una versión ONTAP que admite lectura previa al paso o antes de revertir a una versión que no admite lectura a través del paso.
Actualizar
Después de actualizar todos los nodos a una versión de ONTAP que admita la lectura PassThrough de FPolicy, el clúster puede usar la funcionalidad de lectura mediante paso a paso; sin embargo, la lectura a través permanece deshabilitada de forma predeterminada en las configuraciones de FPolicy existentes. Para utilizar la lectura de paso a través en las configuraciones de FPolicy existentes, debe deshabilitar la política de FPolicy, modificar la configuración y, a continuación, volver a habilitar la configuración.
Revertir
Antes de revertir a una versión de ONTAP que no sea compatible con la lectura de paso a través de FPolicy, debe cumplir las siguientes condiciones:
-
Desactive todas las políticas que utilizan passthrough-read y, a continuación, modifique las configuraciones afectadas para que no utilicen passthrough-read.
-
Deshabilite la funcionalidad de FPolicy en el clúster deshabilitando todas las políticas de FPolicy en el clúster.
Antes de revertir a una versión de ONTAP que no admite almacenes persistentes, asegúrese de que ninguna de las políticas de FPolicy tenga un almacén persistente configurado. Si se configura un almacén persistente, la reversión fallará.