FPolicy と外部 FPolicy サーバの連携
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
Storage Virtual Machine ( SVM )で FPolicy を設定して有効にすると、 SVM に含まれているすべてのノードで FPolicy が実行されるようになります。FPolicy は、外部 FPolicy サーバ( FPolicy サーバ)との接続の確立と維持、通知の処理、および FPolicy サーバとやり取りする通知メッセージの管理を行います。
また、接続管理の一環として、 FPolicy は次の役割を果たします。
-
ファイル通知が正しい LIF を通過して FPolicy サーバに送信されるようにする。
-
ポリシーに複数の FPolicy サーバが関連付けられている場合に、 FPolicy サーバへの通知の送信時にロードバランシングが行われるようにする。
-
FPolicy サーバへの接続が切断された場合、再接続を試行します。
-
認証されたセッションを介して FPolicy サーバに通知を送信します。
-
パススルーリードが有効になっている場合にクライアント要求を処理するために FPolicy サーバによって確立されたパススルーリードデータ接続を管理します。
制御チャネルを使用した FPolicy 通信
FPolicy は、 Storage Virtual Machine ( SVM )に含まれている各ノードのデータ LIF から外部 FPolicy サーバへの制御チャネル接続を開始します。FPolicy は制御チャネルを使用してファイル通知を送信するため、 FPolicy サーバでは、 SVM のトポロジに基づいて複数の制御チャネル接続が認識される場合があります。
権限付きデータアクセスチャネルを使用した同期通信
同期通信では、 FPolicy サーバは、権限付きデータアクセスパスを介して Storage Virtual Machine ( SVM )上のデータにアクセスします。権限付きパスを介したアクセスでは、 FPolicy サーバにファイルシステム全体が公開されます。データファイルにアクセスして、情報の収集、ファイルのスキャン、ファイルの読み取り、ファイルへの書き込みを行うことができます。
外部 FPolicy サーバが権限付きデータチャネルを介して SVM のルートからファイルシステム全体にアクセスできるため、権限付きデータチャネル接続はセキュアである必要があります。
権限付きデータアクセスチャネルでの FPolicy 接続クレデンシャルの使用方法
FPolicy サーバは、 FPolicy の設定で保存されている特定の Windows ユーザクレデンシャルを使用して、クラスタノードへの権限付きデータアクセス接続を確立します。権限付きデータアクセスチャネル接続の確立用としてサポートされているプロトコルは、 SMB だけです。
FPolicy サーバで権限付きデータアクセスが必要とされる場合は、次の条件を満たす必要があります。
-
クラスタでSMBライセンスが有効になっている必要があります。
-
FPolicy サーバが FPolicy の設定で指定されたクレデンシャルで実行されている。
データチャネル接続を確立するとき、 FPolicy では、指定された Windows ユーザ名のクレデンシャルが使用されます。データアクセスは、管理共有 ONTAP_ADMIN$ を介して確立されます。
権限付きデータアクセスのためのスーパーユーザクレデンシャルの付与とは何ですか
ONTAP は、 IP アドレスと FPolicy 設定で設定されたユーザクレデンシャルを組み合わせて、 FPolicy サーバにスーパーユーザクレデンシャルを付与します。
スーパーユーザには、 FPolicy サーバでデータにアクセスする際に次の権限が付与されます。
-
権限チェックの省略
ファイルやディレクトリへのアクセスのチェックが省略されます。
-
特殊なロック権限
ONTAP では、ロックが設定されていても、ファイルへの読み取り、書き込み、変更が許可されます。バイト単位のロックが設定されたファイルを FPolicy サーバで取得した場合、ファイルに対する既存のロックはすぐに解除されます。
-
すべての FPolicy チェックを省略します
アクセス時に FPolicy 通知が生成されません。
FPolicy によるポリシーの処理の管理方法
Storage Virtual Machine ( SVM )には、優先度が異なる複数の FPolicy ポリシーが割り当てられる場合があります。SVM で適切な FPolicy の設定を作成するには、 FPolicy によるポリシーの処理の管理方法を理解しておくことが重要です。
最初に各ファイルアクセス要求が評価され、このイベントを監視するポリシーが決定されます。監視対象イベントの場合は、関連するポリシーとともにそのイベントに関する情報が評価を行う FPolicy に渡されます。各ポリシーは、割り当てられた優先度の順に評価されます。
ポリシーを設定する際には、次の推奨事項を考慮してください。
-
あるポリシーが常に他のポリシーよりも先に評価されるようにするには、そのポリシーの優先度を高く設定します。
-
監視対象イベントで要求されたファイルアクセス処理が正常に実行されることが、別のポリシーに対して評価されるファイル要求の前提条件となる場合は、最初のファイル処理の成功または失敗を制御するポリシーの優先度を高く設定します。
たとえば、 1 つのポリシーで FPolicy のファイルのアーカイブとリストアの機能を管理し、 2 つ目のポリシーでオンラインファイルのファイルアクセス処理を管理する場合、 ファイルのリストアを管理するポリシーの優先度を高くして、 2 番目のポリシーで管理されている処理を実行する前にファイルをリストアするようにする必要があります。
-
ファイルアクセス処理に適用される可能性があるすべてのポリシーを評価するには、同期ポリシーの優先度を低く設定します。
既存のポリシーの優先度を変更するには、ポリシーのシーケンス番号を変更します。ただし、変更した優先度に基づいてポリシーを評価するには、変更したシーケンス番号を持つポリシーを無効にしてから再度有効にする必要があります。