Requisiti, considerazioni e Best practice per la configurazione di FPolicy
Prima di creare e configurare le configurazioni FPolicy sulle macchine virtuali dello storage (SVM), è necessario essere a conoscenza di determinati requisiti, considerazioni e Best practice per la configurazione di FPolicy.
Le funzionalità di FPolicy sono configurate tramite l'interfaccia a riga di comando (CLI) o tramite API REST.
Requisiti per la configurazione di FPolicy
Prima di configurare e abilitare FPolicy sulla macchina virtuale di storage (SVM), è necessario conoscere alcuni requisiti.
-
Tutti i nodi del cluster devono eseguire una versione di ONTAP che supporti FPolicy.
-
Se non si utilizza il motore FPolicy nativo di ONTAP, è necessario che siano installati server FPolicy esterni.
-
I server FPolicy devono essere installati su un server accessibile dalle LIF dei dati di SVM in cui sono attivati i criteri FPolicy.
A partire da ONTAP 9.8, ONTAP fornisce un servizio client LIF per connessioni FPolicy in uscita con l'aggiunta del data-fpolicy-client
servizio. "Scopri di più sui LIF e sulle policy di servizio". -
L'indirizzo IP del server FPolicy deve essere configurato come server primario o secondario nella configurazione del motore esterno del criterio FPolicy.
-
Se i server FPolicy accedono ai dati su un canale dati privilegiato, devono essere soddisfatti i seguenti requisiti aggiuntivi:
-
SMB deve essere concesso in licenza sul cluster.
L'accesso privilegiato ai dati viene eseguito utilizzando connessioni SMB.
-
È necessario configurare una credenziale utente per accedere ai file sul canale dati privilegiato.
-
Il server FPolicy deve essere eseguito con le credenziali configurate nella configurazione FPolicy.
-
Tutti i dati LIF utilizzati per comunicare con i server FPolicy devono essere configurati in modo da avere
cifs
come uno dei protocolli consentiti.Sono inclusi i LIF utilizzati per le connessioni pass-through-Read.
-
Best practice e consigli per la configurazione di FPolicy
Durante la configurazione di FPolicy su macchine virtuali di storage (SVM), acquisire familiarità con le Best practice e i consigli generali per la configurazione di FPolicy per garantire performance di monitoraggio e risultati affidabili che soddisfino i requisiti.
Per le linee guida specifiche relative a performance, dimensionamento e configurazione, utilizzare l'applicazione partner FPolicy.
Archivi persistenti
A partire da ONTAP 9.14.1, FPolicy consente di configurare un archivio persistente per acquisire eventi di accesso ai file per policy asincrone non obbligatorie nella SVM. Gli archivi persistenti possono aiutare a separare l'elaborazione i/o dei client dall'elaborazione delle notifiche FPolicy per ridurre la latenza dei client. Le configurazioni obbligatorie sincrone (obbligatorie o non obbligatorie) e asincrone non sono supportate.
-
Prima di utilizzare la funzionalità di archiviazione persistente, assicurarsi che le applicazioni partner supportino questa configurazione.
-
Ti serve un archivio persistente per ogni SVM in cui è abilitato FPolicy.
-
È possibile configurare un solo archivio persistente per ciascuna SVM. Questo singolo archivio persistente deve essere utilizzato per tutte le configurazioni FPolicy su tale SVM, anche se le policy provengono da partner diversi.
-
-
ONTAP 9.15.1 o versione successiva:
-
L'archivio persistente, il relativo volume e la relativa configurazione del volume vengono gestiti automaticamente quando si crea l'archivio persistente.
-
-
ONTAP 9.14.1:
-
L'archivio persistente, il relativo volume e la relativa configurazione del volume vengono gestiti manualmente.
-
-
Crea il volume di archivio persistente sul nodo con LIF che prevedono il monitoraggio del traffico massimo da parte di FPolicy.
-
ONTAP 9.15.1 o versioni successive: I volumi vengono creati e configurati automaticamente durante la creazione dell'archivio persistente.
-
ONTAP 9.14.1: Gli amministratori del cluster devono creare e configurare un volume per l'archivio persistente su ogni SVM dove è abilitato FPolicy.
-
-
Se le notifiche accumulate nell'archivio permanente superano le dimensioni del volume fornito, FPolicy inizia a interrompere la notifica in arrivo con i messaggi EMS appropriati.
-
ONTAP 9.15.1 o versione successiva: In aggiunta al
size
, ilautosize-mode
parametro può aiutare il volume ad aumentare o ridurre in risposta alla quantità di spazio utilizzato. -
ONTAP 9.14.1: Il
size
il parametro è configurato durante la creazione del volume per fornire un limite massimo.
-
-
Impostare il criterio snapshot su
none
per il volume dell'archivio persistente invece didefault
. In questo modo si garantisce che non vi sia alcun ripristino accidentale dello snapshot che causa la perdita degli eventi correnti e per impedire un'eventuale elaborazione di eventi duplicati.-
ONTAP 9.15.1 o versione successiva: Il
snapshot-policy
il parametro viene configurato automaticamente su nessuno durante la creazione dell'archivio permanente. -
ONTAP 9.14.1: Il
snapshot-policy
il parametro è configurato sunone
durante la creazione del volume.
-
-
Rendere il volume dell'archivio persistente inaccessibile per l'accesso al protocollo utente esterno (CIFS/NFS) per evitare il danneggiamento accidentale o l'eliminazione dei record di eventi persistenti.
-
ONTAP 9.15.1 o versioni successive: ONTAP blocca automaticamente il volume dall'accesso al protocollo utente esterno (CIFS/NFS) durante la creazione dell'archivio persistente.
-
ONTAP 9.14.1: Dopo aver attivato FPolicy, smontare il volume in ONTAP per rimuovere il percorso di giunzione. Questo lo rende inaccessibile per l'accesso ai protocolli utente esterni (CIFS/NFS).
-
Per ulteriori informazioni, fare riferimento a. "Archivi persistenti di FPolicy" e. "Creare archivi persistenti".
Failover e sconto del negozio persistente
L'archivio persistente rimane invariato quando è stato ricevuto l'ultimo evento, quando si verifica un riavvio imprevisto o FPolicy viene disattivato e riattivato. Dopo un'operazione di takeover, i nuovi eventi vengono memorizzati ed elaborati dal nodo partner. Dopo un'operazione di giveback, l'archivio persistente riprende l'elaborazione degli eventi non elaborati che potrebbero rimanere dal momento in cui si è verificato il takeover del nodo. Gli eventi live avrebbero la priorità rispetto agli eventi non elaborati.
Se il volume dell'archivio persistente si sposta da un nodo a un altro nella stessa SVM, le notifiche che non devono ancora essere elaborate vengono spostate anche nel nuovo nodo. È necessario eseguire nuovamente fpolicy persistent-store create
su uno dei nodi dopo lo spostamento del volume, per garantire che le notifiche in sospeso vengano inviate al server esterno.
Configurazione dei criteri
La configurazione del motore esterno FPolicy, gli eventi e l'ambito per le SVM possono migliorare la tua esperienza e la sicurezza generale.
-
Configurazione del motore esterno FPolicy per SVM:
-
Fornire una maggiore sicurezza implica un costo in termini di performance. L'abilitazione della comunicazione SSL (Secure Sockets Layer) ha un effetto sulle performance di accesso alle condivisioni.
-
Il motore esterno FPolicy deve essere configurato con più di un server FPolicy per garantire resilienza e alta disponibilità dell'elaborazione delle notifiche del server FPolicy.
-
-
Configurazione degli eventi FPolicy per SVM:
Il monitoraggio delle operazioni dei file influenza l'esperienza complessiva. Ad esempio, il filtraggio delle operazioni di file indesiderate sul lato dello storage migliora l'esperienza. NetApp consiglia di configurare la seguente configurazione:
-
Monitoraggio dei tipi minimi di operazioni di file e abilitazione del numero massimo di filtri senza interrompere il caso d'utilizzo.
-
Utilizzo di filtri per operazioni di getattr, lettura, scrittura, apertura e chiusura. Gli ambienti di home directory SMB e NFS hanno un'elevata percentuale di queste operazioni.
-
-
Configurazione dell'ambito FPolicy per le SVM:
Limitare l'ambito delle policy agli oggetti di storage rilevanti, come condivisioni, volumi ed esportazioni, invece di abilitarli nell'intera SVM. NetApp consiglia di controllare le estensioni di directory. Se il
is-file-extension-check-on-directories-enabled
il parametro è impostato sutrue
, gli oggetti di directory sono sottoposti agli stessi controlli di estensione dei file normali.
Configurazione di rete
La connettività di rete tra il server FPolicy e il controller deve essere di bassa latenza. NetApp consiglia di separare il traffico FPolicy dal traffico client utilizzando una rete privata.
Inoltre, è necessario posizionare server FPolicy esterni (server FPolicy) nelle immediate vicinanze del cluster con connettività a elevata larghezza di banda per fornire una latenza minima e una connettività a elevata larghezza di banda.
Per uno scenario in cui il traffico LIF per FPolicy viene configurato su una porta diversa da LIF per il traffico client, FPolicy LIF potrebbe eseguire il failover sull'altro nodo a causa di un errore della porta. Di conseguenza, il server FPolicy diventa irraggiungibile dal nodo, il che causa un errore nelle notifiche FPolicy per le operazioni sui file sul nodo. Per evitare questo problema, verificare che il server FPolicy possa essere raggiunto attraverso almeno un LIF sul nodo per elaborare le richieste FPolicy per le operazioni file eseguite su quel nodo. |
Configurazione dell'hardware
Il server FPolicy può essere installato su un server fisico o virtuale. Se il server FPolicy si trova in un ambiente virtuale, è necessario allocare risorse dedicate (CPU, rete e memoria) al server virtuale.
Il rapporto nodo-server FPolicy del cluster deve essere ottimizzato per garantire che i server FPolicy non siano sovraccarichi, il che può introdurre latenze quando la SVM risponde alle richieste del client. Il rapporto ottimale dipende dall'applicazione del partner per cui viene utilizzato il server FPolicy. NetApp consiglia di collaborare con i partner per determinare il valore appropriato.
Configurazione a più policy
La policy FPolicy per il blocco nativo ha la priorità più alta, indipendentemente dal numero di sequenza, e le policy di modifica delle decisioni hanno una priorità più alta rispetto ad altre. La priorità della policy dipende dal caso d'utilizzo. NetApp consiglia di collaborare con i partner per determinare la priorità appropriata.
Considerazioni sulle dimensioni
FPolicy esegue il monitoraggio in linea delle operazioni SMB e NFS, invia notifiche al server esterno e attende una risposta, a seconda della modalità di comunicazione esterna del motore (sincrona o asincrona). Questo processo influisce sulle prestazioni dell'accesso SMB e NFS e sulle risorse della CPU.
Per mitigare eventuali problemi, NetApp consiglia di collaborare con i partner per valutare e dimensionare l'ambiente prima di abilitare FPolicy. Le performance sono influenzate da diversi fattori, tra cui il numero di utenti, le caratteristiche dei carichi di lavoro, come le operazioni per utente e le dimensioni dei dati, la latenza di rete e la lentezza dei guasti o dei server.
Monitorare le performance
FPolicy è un sistema basato su notifiche. Le notifiche vengono inviate a un server esterno per l'elaborazione e la generazione di una risposta a ONTAP. Questo processo di andata e ritorno aumenta la latenza per l'accesso al client.
Il monitoraggio dei contatori delle performance sul server FPolicy e in ONTAP consente di identificare i colli di bottiglia nella soluzione e di ottimizzare i parametri in base alle necessità per una soluzione ottimale. Ad esempio, un aumento della latenza di FPolicy ha un effetto a cascata sulla latenza di accesso SMB e NFS. Pertanto, è necessario monitorare sia il carico di lavoro (SMB e NFS) che la latenza di FPolicy. Inoltre, è possibile utilizzare le policy di qualità del servizio in ONTAP per impostare un carico di lavoro per ogni volume o SVM abilitato per FPolicy.
NetApp consiglia di eseguire statistics show –object workload
per visualizzare le statistiche del carico di lavoro. Inoltre, è necessario monitorare i seguenti parametri:
-
Latenze medie, di lettura e di scrittura
-
Numero totale di operazioni
-
Contatori di lettura e scrittura
È possibile monitorare le performance dei sottosistemi FPolicy utilizzando i seguenti contatori FPolicy.
Per raccogliere le statistiche relative a FPolicy, è necessario essere in modalità diagnostica. |
-
Raccogliere i contatori FPolicy:
-
statistics start -object fpolicy -instance instance_name -sample-id ID
-
statistics start -object fpolicy_policy -instance instance_name -sample-id ID
-
-
Visualizza contatori FPolicy:
-
statistics show -object fpolicy –instance instance_name -sample-id ID
-
statistics show -object fpolicy_server –instance instance_name -sample-id ID
Il
fpolicy
e.fpolicy_server
i contatori forniscono informazioni su diversi parametri delle prestazioni descritti nella tabella seguente.Contatori Descrizione -
contatori "fpolicy"*
richieste_interrotte
Numero di richieste sullo schermo per le quali l'elaborazione viene interrotta sulla SVM
conteggio_eventi
Elenco degli eventi risultanti dalla notifica
latenza_richiesta_massima
Latenza massima richiesta dallo schermo
richieste_in sospeso
Numero totale di richieste di schermate in corso
processed_requests
Numero totale di richieste eseguite tramite l'elaborazione di fpolicy nella SVM
request_latency_hist
Istogramma della latenza per le richieste dello schermo
requests_dispatched_rate
Numero di richieste di videata inviate al secondo
requests_received_rate
Numero di richieste di videata ricevute al secondo
-
contatori "fpolicy_server"*
latenza_richiesta_massima
Latenza massima per una richiesta dello schermo
richieste_in sospeso
Numero totale di richieste sullo schermo in attesa di risposta
request_latency
Latenza media per la richiesta dello schermo
request_latency_hist
Istogramma della latenza per le richieste dello schermo
request_sent_rate
Numero di screen request inviate al server FPolicy al secondo
response_received_rate
Numero di risposte sullo schermo ricevute dal server FPolicy al secondo
-
Gestire il workflow FPolicy e la dipendenza da altre tecnologie
NetApp consiglia di disattivare un criterio FPolicy prima di apportare modifiche alla configurazione. Ad esempio, se si desidera aggiungere o modificare un indirizzo IP nel motore esterno configurato per il criterio Enabled (attivato), disattivare prima il criterio.
Se si configura FPolicy per il monitoraggio dei volumi NetApp FlexCache, NetApp consiglia di non configurare FPolicy per monitorare le operazioni di lettura e getattr dei file. Il monitoraggio di queste operazioni in ONTAP richiede il recupero dei dati inode-to-path (I2P). Poiché i dati I2P non possono essere recuperati dai volumi FlexCache, devono essere recuperati dal volume di origine. Pertanto, il monitoraggio di queste operazioni elimina i benefici in termini di performance che FlexCache può offrire.
Quando vengono implementate sia FPolicy che una soluzione antivirus off-box, la soluzione antivirus riceve prima le notifiche. L'elaborazione di FPolicy viene avviata solo al termine della scansione antivirus. È importante dimensionare correttamente le soluzioni antivirus perché un programma antivirus lento può influire sulle prestazioni generali.
Considerazioni su upgrade e revert in lettura passthrough
Prima di eseguire l'aggiornamento a una release di ONTAP che supporta la lettura pass-through o prima di tornare a una release che non supporta la lettura pass-through, è necessario conoscere alcune considerazioni relative all'aggiornamento e al ripristino.
Aggiornamento in corso
Dopo l'aggiornamento di tutti i nodi a una versione di ONTAP che supporta FPolicy pass-through-Read, il cluster è in grado di utilizzare la funzionalità pass-through-Read; tuttavia, il pass-through-Read viene disattivato per impostazione predefinita nelle configurazioni FPolicy esistenti. Per utilizzare pass-through-Read sulle configurazioni FPolicy esistenti, è necessario disattivare il criterio FPolicy e modificare la configurazione, quindi riattivarla.
In corso
Prima di ripristinare una versione di ONTAP che non supporta FPolicy pass-through-Read, è necessario soddisfare le seguenti condizioni:
-
Disattivare tutti i criteri utilizzando pass-through-Read, quindi modificare le configurazioni interessate in modo che non utilizzino pass-through-Read.
-
Disattivare la funzionalità FPolicy sul cluster disattivando tutti i criteri FPolicy sul cluster.
Prima di tornare a una versione di ONTAP che non supporta gli archivi persistenti, assicurarsi che nessuno dei criteri FPolicy disponga di un archivio persistente configurato. Se è configurato un archivio persistente, l'indirizzamento non riesce.