Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

FPolicyと外部FPolicyサーバの連携

共同作成者
PDF

Storage Virtual Machine(SVM)でFPolicyを設定して有効にすると、SVMに含まれているすべてのノードでFPolicyが実行されます。FPolicyは、外部FPolicyサーバ(FPolicyサーバ)との接続の確立と維持、通知の処理、およびFPolicyサーバとの間の通知メッセージの管理を行います。

また、接続管理の一環として、 FPolicy は次の役割を果たします。

  • ファイル通知が正しいLIFを経由してFPolicyサーバに送信されるようにします。

  • ポリシーに複数のFPolicyサーバが関連付けられている場合に、FPolicyサーバへの通知の送信時にロードバランシングが実行されるようにします。

  • FPolicyサーバへの接続が切断された場合、接続の再確立が試行されます。

  • 認証されたセッションを介してFPolicyサーバに通知を送信します。

  • パススルーリードが有効になっている場合にクライアント要求を処理するためにFPolicyサーバによって確立されたパススルーリードデータ接続を管理します。

FPolicyツウシンニセイギョチャネルヲシヨウスルホウホウ

FPolicyは、Storage Virtual Machine(SVM)に含まれている各ノードのデータLIFから外部FPolicyサーバへの制御チャネル接続を開始します。FPolicyは制御チャネルを使用してファイル通知を送信するため、FPolicyサーバでは、SVMのトポロジに基づいて複数の制御チャネル接続が認識される場合があります。

ケンゲンツキツウシンテノデータアクセスチャネルノシヨウホウホウ

同期ユースケースでは、FPolicyサーバは権限付きデータアクセスパスを介してStorage Virtual Machine(SVM)上のデータにアクセスします。権限付きパスを介してアクセスすると、ファイルシステム全体がFPolicyサーバに公開されます。データファイルにアクセスして、情報の収集、ファイルのスキャン、ファイルの読み取り、ファイルへの書き込みを行うことができます。

外部FPolicyサーバが権限付きデータチャネルを介してSVMのルートからファイルシステム全体にアクセスできるため、権限付きデータチャネル接続はセキュアである必要があります。

権限付きデータアクセスチャネルでのFPolicy接続クレデンシャルの使用方法

FPolicyサーバは、FPolicy設定で保存されている特定のWindowsユーザクレデンシャルを使用して、クラスタノードへの権限付きデータアクセス接続を確立します。権限付きデータアクセスチャネル接続の確立用にサポートされているプロトコルはSMBだけです。

FPolicyサーバで権限付きデータアクセスが必要な場合は、次の条件を満たしている必要があります。

  • クラスタでSMBライセンスが有効になっている必要があります。

  • FPolicyサーバは、FPolicyの設定で設定されたクレデンシャルで実行されている必要があります。

FPolicyでは、データチャネル接続を確立する際に、指定したWindowsユーザ名のクレデンシャルを使用します。データアクセスは、管理共有ONTAP _ ADMIN$を介して行われます。

ケンゲンツキデータアクセスヨウノスーパーユーザクレデンシャルノフヨトハ

ONTAPでは、FPolicy設定で設定されたIPアドレスとユーザクレデンシャルを組み合わせて、FPolicyサーバにスーパーユーザクレデンシャルを付与します。

スーパーユーザのステータスは、FPolicyサーバがデータにアクセスするときに次のPrivilegesに付与されます。

  • 権限チェックの省略

    ユーザは、ファイルおよびディレクトリへのアクセスのチェックを回避します。

  • 特殊ロックPrivileges

    ONTAPは、ロックが設定されているかどうかに関係なく、すべてのファイルに対して読み取り、書き込み、変更アクセスを許可します。FPolicyサーバがファイルに対してバイト範囲ロックを取得すると、そのファイルに対する既存のロックがただちに削除されます。

  • FPolicyチェックのバイパス

    アクセスではFPolicy通知は生成されません。

FPolicyによるポリシーの処理の管理方法

Storage Virtual Machine(SVM)には、優先度が異なる複数のFPolicyポリシーが割り当てられる場合があります。SVMで適切なFPolicyの設定を作成するには、FPolicyによるポリシーの処理の管理方法を理解しておくことが重要です。

各ファイルアクセス要求が最初に評価され、このイベントを監視しているポリシーが特定されます。監視対象イベントの場合は、関連するポリシーとともに監視対象イベントに関する情報が評価対象のFPolicyに渡されます。各ポリシーは、割り当てられた優先度の順に評価されます。

ポリシーを設定する際には、次の推奨事項を考慮する必要があります。

  • ポリシーが常に他のポリシーよりも先に評価されるようにするには、そのポリシーの優先度を高く設定します。

  • 監視対象イベントで要求されたファイルアクセス処理が成功することが、別のポリシーに照らして評価されるファイル要求の前提条件である場合は、最初のファイル処理の成功または失敗を制御するポリシーの優先度を高くします。

    たとえば、FPolicyのファイルのアーカイブおよびリストア機能を1つのポリシーで管理し、オンラインファイルでのファイルアクセス操作を2つ目のポリシーで管理している場合は、ファイルのリストアを管理するポリシーの優先度を高くしてから、2つ目のポリシーの管理操作を許可する必要があります。

  • ファイルアクセス処理に適用される可能性のあるすべてのポリシーを評価する場合は、同期ポリシーの優先度を低くします。

既存のポリシーの優先度を変更するには、ポリシーのシーケンス番号を変更します。ただし、変更した優先順位に基づいてFPolicyでポリシーが評価されるようにするには、変更したシーケンス番号のポリシーを無効にしてから再度有効にする必要があります。