Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

D'exigences, de considérations et de meilleures pratiques pour la configuration de FPolicy

Contributeurs

Avant de créer et de configurer des configurations FPolicy sur vos machines virtuelles de stockage (SVM), vous devez connaître certaines exigences, considérations et meilleures pratiques relatives à la configuration de FPolicy.

Les fonctionnalités FPolicy sont configurées soit via l'interface de ligne de commandes soit via l'API REST.

Conditions requises pour la configuration de FPolicy

Avant de configurer et d'activer FPolicy sur votre machine virtuelle de stockage (SVM), vous devez connaître certaines exigences.

  • Tous les nœuds du cluster doivent exécuter une version de ONTAP qui prend en charge FPolicy.

  • Si vous n'utilisez pas le moteur FPolicy natif ONTAP, vous devez installer des serveurs FPolicy externes (serveurs FPolicy).

  • Les serveurs FPolicy doivent être installés sur un serveur accessible depuis les LIFs de données du SVM sur lequel les règles FPolicy sont activées.

    Remarque Depuis la version ONTAP 9.8, ONTAP fournit un service LIF client pour les connexions FPolicy sortantes avec l'ajout du data-fpolicy-client service. "En savoir plus sur les LIF et les règles de service".
  • L'adresse IP du serveur FPolicy doit être configurée en tant que serveur principal ou secondaire dans la configuration du moteur externe de la politique FPolicy.

  • Si les serveurs FPolicy accèdent aux données sur un canal de données privilégié, les exigences supplémentaires suivantes doivent être respectées :

    • SMB doit être sous licence sur le cluster.

      Un accès privilégié aux données se fait à l'aide de connexions SMB.

    • Les informations d'identification utilisateur doivent être configurées pour accéder aux fichiers via le canal de données privilégié.

    • Le serveur FPolicy doit fonctionner avec les identifiants configurés dans la configuration FPolicy.

    • Toutes les LIFs de données utilisées pour communiquer avec les serveurs FPolicy doivent être configurées de sorte à avoir cifs comme l'un des protocoles autorisés.

      Cela inclut les LIFs utilisées pour les connexions passthrough-read.

Meilleures pratiques et recommandations lors de la configuration de FPolicy

Lors de la configuration de FPolicy sur des machines virtuelles de stockage (SVM), familiarisez-vous avec les bonnes pratiques et recommandations générales de configuration pour garantir que votre configuration FPolicy offre des performances de contrôle fiables et des résultats qui répondent à vos besoins.

Pour obtenir des instructions spécifiques relatives aux performances, au dimensionnement et à la configuration, utilisez votre application partenaire FPolicy.

Magasins persistants

À partir de ONTAP 9.14.1, FPolicy permet de configurer un magasin persistant pour capturer les événements d'accès aux fichiers pour des règles asynchrones non obligatoires dans la SVM. Les magasins persistants peuvent aider à découpler le traitement des E/S client du traitement des notifications FPolicy afin de réduire la latence du client. Les configurations obligatoires synchrones (obligatoires ou non) et asynchrones ne sont pas prises en charge.

  • Avant d'utiliser la fonction de stockage persistant, assurez-vous que vos applications partenaires prennent en charge cette configuration.

  • Vous avez besoin d'un magasin persistant pour chaque SVM sur lequel FPolicy est activé.

    • Il n'est possible de configurer qu'un seul magasin persistant sur chaque SVM. Ce magasin persistant unique doit être utilisé pour toutes les configurations FPolicy de cette SVM, même si les règles proviennent de différents partenaires.

  • ONTAP 9.15.1 ou version ultérieure :

    • Le magasin persistant, son volume et sa configuration de volume sont gérés automatiquement lorsque vous créez le magasin persistant.

  • ONTAP 9.14.1 :

    • Le magasin persistant, son volume et sa configuration de volume sont gérés manuellement.

  • Créez le volume de stockage persistant sur le nœud avec les LIF qui veulent que le trafic maximal soit surveillé par FPolicy.

    • ONTAP 9.15.1 ou version ultérieure : les volumes sont automatiquement créés et configurés lors de la création du magasin persistant.

    • ONTAP 9.14.1 : les administrateurs de cluster doivent créer et configurer un volume pour le magasin persistant sur chaque SVM sur lequel FPolicy est activé.

  • Si les notifications accumulées dans le magasin persistant dépassent la taille du volume provisionné, FPolicy commence à supprimer la notification entrante avec les messages EMS appropriés.

    • ONTAP 9.15.1 ou version ultérieure : en plus du size paramètre, le autosize-mode peut aider le volume à croître ou à diminuer en fonction de la quantité d'espace utilisé.

    • ONTAP 9.14.1 : le size le paramètre est configuré lors de la création du volume pour fournir une limite maximale.

  • Définissez la règle de snapshot sur none pour le volume de stockage persistant au lieu de default. Cela permet de s'assurer qu'il n'y a pas de restauration accidentelle de l'instantané, ce qui entraîne la perte des événements actuels et d'empêcher le traitement des événements en double.

    • ONTAP 9.15.1 ou version ultérieure : le snapshot-policy le paramètre est automatiquement configuré sur aucun lors de la création du magasin persistant.

    • ONTAP 9.14.1 : le snapshot-policy le paramètre est configuré sur none lors de la création du volume.

  • Rendre le volume de stockage persistant inaccessible pour l'accès au protocole utilisateur externe (CIFS/NFS) afin d'éviter toute corruption accidentelle ou suppression des enregistrements d'événements persistants.

    • ONTAP 9.15.1 ou version ultérieure : ONTAP bloque automatiquement le volume depuis l'accès aux protocoles utilisateur externes (CIFS/NFS) lors de la création du magasin persistant.

    • ONTAP 9.14.1 : une fois FPolicy activé, démontez le volume dans ONTAP pour supprimer la Junction path. Cela le rend inaccessible pour l'accès au protocole utilisateur externe (CIFS/NFS).

Pour plus d'informations, reportez-vous à la section "Les magasins persistants FPolicy" et "Créez des magasins persistants".

Basculement et rétablissement du magasin persistant

Le stockage persistant reste tel qu'il était au moment de la réception du dernier événement, en cas de redémarrage inattendu ou lorsque FPolicy est désactivé et réactivé. Après une opération de basculement, les nouveaux événements sont stockés et traités par le nœud partenaire. Après une opération de rétablissement, le magasin persistant reprend le traitement de tout événement non traité qui pourrait rester en provenance de lorsque le basculement du nœud s'est produit. Les événements en direct seraient prioritaires sur les événements non traités.

Si le volume du magasin persistant passe d'un nœud à un autre dans la même SVM, les notifications qui ne sont pas encore traitées sont également déplacées vers le nouveau nœud. Vous devez exécuter à nouveau le fpolicy persistent-store create sur l'un des nœuds après le déplacement du volume, afin de garantir que les notifications en attente sont envoyées au serveur externe.

Configuration des règles

La configuration du moteur externe FPolicy, les événements et l'étendue des SVM peuvent améliorer votre expérience et votre sécurité globale.

  • Configuration du moteur externe FPolicy pour les SVM :

    • Le renforcement de la sécurité implique des coûts de performance. L'activation de la communication SSL (Secure Sockets Layer) a un effet sur les performances lors de l'accès aux partages.

    • Le moteur externe FPolicy doit être configuré avec plusieurs serveurs FPolicy de manière à fournir la résilience et la haute disponibilité du traitement des notifications du serveur FPolicy.

  • Configuration des événements FPolicy pour les SVM :

    La surveillance des opérations de fichiers influence votre expérience globale. Par exemple, le filtrage des opérations de fichiers indésirables côté stockage améliore votre expérience. NetApp recommande de configurer les éléments suivants :

    • Surveillance des types minimaux d'opérations de fichiers et activation du nombre maximal de filtres sans rompre le cas d'utilisation.

    • Utilisation de filtres pour les opérations getattr, lecture, écriture, ouverture et fermeture. La part des environnements de home Directory SMB et NFS est élevée.

  • Configuration du périmètre FPolicy pour les SVM :

    Limitez l'étendue des règles aux objets de stockage concernés, tels que les partages, les volumes et les exportations, au lieu de les activer sur l'ensemble du SVM. NetApp recommande de vérifier les extensions de répertoire. Si le is-file-extension-check-on-directories-enabled le paramètre est défini sur true, les objets de répertoire sont soumis aux mêmes vérifications d'extension que les fichiers ordinaires.

Configuration du réseau

La connectivité réseau entre le serveur FPolicy et le contrôleur doit présenter une faible latence. NetApp recommande de séparer le trafic FPolicy du trafic client en utilisant un réseau privé.

De plus, vous devez placer des serveurs externes FPolicy (serveurs FPolicy) à proximité immédiate du cluster avec une connectivité à large bande passante afin d'obtenir une latence minimale et une connectivité à large bande passante.

Remarque Si la LIF du trafic FPolicy est configurée sur un port différent de la LIF pour le trafic client, la LIF FPolicy peut basculer vers l'autre nœud en raison d'une défaillance de port. Par conséquent, le serveur FPolicy devient inaccessible depuis le nœud ce qui provoque l'échec des notifications FPolicy pour les opérations de fichier sur le nœud. Pour éviter ce problème, vérifiez que le serveur FPolicy peut être accessible via au moins une LIF du nœud afin de traiter les requêtes FPolicy pour les opérations de fichiers effectuées sur ce nœud.

Configuration matérielle

Vous pouvez avoir le serveur FPolicy sur un serveur physique ou virtuel. Si le serveur FPolicy se trouve dans un environnement virtuel, vous devez allouer des ressources dédiées (CPU, réseau et mémoire) au serveur virtuel.

Le taux nœud/serveur FPolicy du cluster doit être optimisé pour s'assurer que les serveurs FPolicy ne sont pas surchargés et peuvent introduire des latences lorsque le SVM répond aux demandes du client. Le ratio optimal dépend de l'application partenaire pour laquelle le serveur FPolicy est utilisé. NetApp recommande de faire équipe avec ses partenaires pour déterminer la valeur appropriée.

Configuration à règles multiples

La règle FPolicy pour le blocage natif a la priorité la plus élevée, quel que soit le numéro de séquence, et les règles qui modifient la décision ont une priorité plus élevée que les autres. La priorité de la règle dépend de l'utilisation. NetApp recommande de faire équipe avec ses partenaires pour déterminer la priorité appropriée.

Considérations de taille

FPolicy effectue un contrôle en ligne des opérations SMB et NFS, envoie des notifications au serveur externe et attend une réponse, selon le mode de communication externe du moteur (synchrone ou asynchrone). Ce processus affecte les performances des accès SMB et NFS ainsi que des ressources CPU.

Pour résoudre tout problème, NetApp recommande de travailler avec ses partenaires pour évaluer et dimensionner l'environnement avant d'activer FPolicy. Les performances sont affectées par plusieurs facteurs, notamment le nombre d'utilisateurs, les caractéristiques de la charge de travail, tels que les opérations par utilisateur et la taille des données, la latence du réseau et les défaillances ou la lenteur du serveur.

Contrôle des performances

FPolicy est un système basé sur les notifications. Les notifications sont envoyées à un serveur externe pour traitement et pour générer une réponse à ONTAP. Ce processus aller-retour augmente la latence pour l'accès client.

La surveillance des compteurs de performances sur le serveur FPolicy et dans ONTAP vous permet d'identifier les goulets d'étranglement dans la solution et de configurer les paramètres nécessaires pour une solution optimale. Par exemple, une augmentation de la latence FPolicy a un effet en cascade sur la latence d'accès SMB et NFS. Par conséquent, vous devez contrôler à la fois la charge de travail (SMB et NFS) et la latence FPolicy. En outre, vous pouvez utiliser des règles de qualité de service dans ONTAP pour configurer une charge de travail pour chaque volume ou SVM activé pour FPolicy.

NetApp recommande d'exécuter statistics show –object workload commande permettant d'afficher les statistiques des charges de travail. De plus, vous devez surveiller les paramètres suivants :

  • Latences moyennes, en lecture et en écriture

  • Nombre total d'opérations

  • Compteurs de lecture et d'écriture

Vous pouvez contrôler les performances des sous-systèmes FPolicy à l'aide des compteurs FPolicy suivants.

Remarque Vous devez être en mode diagnostic pour collecter les statistiques relatives à FPolicy.
Étapes
  1. Collectez les compteurs FPolicy :

    1. statistics start -object fpolicy -instance instance_name -sample-id ID

    2. statistics start -object fpolicy_policy -instance instance_name -sample-id ID

  2. Afficher les compteurs FPolicy :

    1. statistics show -object fpolicy –instance instance_name -sample-id ID

    2. statistics show -object fpolicy_server –instance instance_name -sample-id ID

    Le fpolicy et fpolicy_server les compteurs fournissent des informations sur plusieurs paramètres de performances décrits dans le tableau suivant.

    Compteurs Description
    • compteurs « fpolicy »*

    demandes_abandonnées

    Nombre de demandes d'écran pour lesquelles le traitement est abandonné sur le SVM

    nombre_événements

    Liste des événements entraînant une notification

    latence_demande_max

    Latence maximale des demandes d'écran

    demandes_en_attente

    Nombre total de demandes d'écran en cours de traitement

    requêtes_traitées

    Nombre total de requêtes d'écran effectuées via le traitement fpolicy sur la SVM

    liste_latence_de_la_demande

    Histogramme de latence pour les demandes d'écran

    taux_envoyé_demandes

    Nombre de demandes d'écran envoyées par seconde

    taux_de_réception_demandes

    Nombre de demandes d'écran reçues par seconde

    • compteurs « fpolicy_server »*

    latence_demande_max

    Latence maximale pour une demande d'écran

    demandes_en_attente

    Nombre total de demandes d'écran en attente de réponse

    latence_de_la_demande

    Latence moyenne pour une demande d'écran

    liste_latence_de_la_demande

    Histogramme de latence pour les demandes d'écran

    taux_envoyé_demande

    Nombre de requêtes d'écran envoyées au serveur FPolicy par seconde

    taux_de_réception_réponse

    Nombre de réponses d'écran reçues du serveur FPolicy par seconde

Gérer le flux de travail FPolicy et la dépendance vis-à-vis d'autres technologies

NetApp recommande de désactiver une règle FPolicy avant d'apporter toute modification de la configuration. Par exemple, si vous souhaitez ajouter ou modifier une adresse IP dans le moteur externe configuré pour la stratégie activé, désactivez d'abord la stratégie.

Si vous configurez FPolicy pour surveiller les volumes NetApp FlexCache, NetApp vous recommande de ne pas configurer FPolicy pour surveiller les opérations de lecture et de fichier getattr. La surveillance de ces opérations dans ONTAP nécessite la récupération des données I2P (inode-to-path). Les données I2P ne pouvant pas être récupérées à partir de volumes FlexCache, elles doivent être récupérées à partir du volume d'origine. Le contrôle de ces opérations élimine donc les avantages de performance que FlexCache peut offrir.

Lorsque FPolicy et une solution antivirus externe sont déployés, la solution antivirus reçoit d'abord les notifications. Le traitement FPolicy démarre uniquement une fois l'analyse antivirus terminée. Il est important de dimensionner correctement les solutions antivirus, car une analyse antivirus lente peut affecter les performances globales.

Considérations relatives à la mise à niveau en lecture directe et au rétablissement

Vous devez connaître certaines considérations relatives à la mise à niveau et à la restauration avant de procéder à une mise à niveau vers une version de ONTAP qui prend en charge la lecture d'un mot de passe-passe ou avant de restaurer une version qui ne prend pas en charge la lecture d'un fichier passthrough.

Mise à niveau

Une fois que tous les nœuds sont mis à niveau vers une version de ONTAP qui prend en charge le mode de lecture intermédiaire FPolicy, le cluster est capable d'utiliser la fonctionnalité de lecture intermédiaire. Cependant, la lecture du mot de passe est désactivée par défaut sur les configurations FPolicy existantes. Pour utiliser la lecture passerelle sur les configurations FPolicy existantes, vous devez désactiver la règle FPolicy et modifier la configuration, puis réactiver la configuration.

Rétablissement

Avant de revenir à une version de ONTAP qui ne prend pas en charge la lecture passthrough FPolicy, vous devez remplir les conditions suivantes :

  • Désactivez toutes les stratégies à l'aide de passthrough-read, puis modifiez les configurations affectées pour qu'elles n'utilisent pas passthrough-read.

  • Désactivez la fonctionnalité FPolicy sur le cluster en désactivant chaque politique FPolicy sur le cluster.

Avant de revenir à une version de ONTAP qui ne prend pas en charge les magasins persistants, assurez-vous qu'aucune des règles FPolicy ne dispose d'un magasin persistant configuré. Si un magasin persistant est configuré, la restauration échouera.