Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP FPolicy外部エンジン構成を計画する

共同作成者 netapp-barbe netapp-forry netapp-pcarriga netapp-aherbin netapp-thomi
PDF

FPolicy外部エンジンを設定する前に、外部エンジンを作成することの意味を理解し、使用可能な設定パラメータを理解する必要があります。この情報は、各パラメータに設定する値を決めるのに役立ちます。

FPolicy外部エンジンの作成時に定義される情報

外部エンジンの設定では、外部FPolicyサーバへの接続を作成および管理するためにFPolicyが必要とする、次のような情報を定義します。

  • SVM名

  • エンジン名

  • FPolicyサーバへの接続時に使用するプライマリおよびセカンダリFPolicyサーバのIPアドレスとTCPポート番号

  • エンジンのタイプが同期または非同期であるかどうか

  • エンジン形式が `xml`か `protobuf`か

    ONTAP 9.15.1以降では、 `protobuf`エンジン形式を使用できます。 `protobuf`に設定すると、通知メッセージはGoogle Protobufを使用してバイナリ形式でエンコードされます。エンジン形式を `protobuf`に設定する前に、FPolicyサーバが `protobuf`デシリアライゼーションもサポートしていることを確認してください。

    protobuf形式はONTAP 9.15.1以降でサポートされているため、以前のリリースのONTAPにリバートする前に外部エンジンの形式を考慮する必要があります。ONTAP 9.15.1より前のリリースにリバートする場合は、FPolicyパートナーと協力して次のいずれかを実行します。

    • 各エンジン形式を `protobuf`から `xml`に変更します

    • エンジン形式が `protobuf`のエンジンを削除します

  • ノードとFPolicyサーバ間の接続を認証する方法

    相互SSL認証を設定することを選択した場合は、SSL証明書情報を提供するパラメータを設定する必要があります。

  • 各種の高度な権限設定を使用して接続を管理する方法

    これには、タイムアウト値、リトライ値、キープアライブ値、最大要求値、送信および受信バッファ サイズ値、セッション タイムアウト値などを定義するパラメータが含まれます。

    `vserver fpolicy policy external-engine create`コマンドは、FPolicy 外部エンジンの作成に使用されます。

外部エンジンの基本パラメータ

次に示すFPolicy基本設定パラメータの一覧は、設定を計画するのに役立ちます。

情報の種類

オプション

SVM

この外部エンジンに関連付けるSVMの名前を指定します。

各FPolicy設定は、単一のSVM内で定義されます。FPolicyポリシーの構成要素となる外部エンジン、ポリシー イベント、ポリシーのスコープ、およびポリシーを、すべて同じSVMに関連付ける必要があります。

-vserver vserver_name

Engine名

外部エンジンの設定に割り当てる名前を指定します。FPolicyポリシーを作成した場合、あとで外部エンジンの名前を指定する必要があります。こうすることで、外部エンジンがポリシーに関連付けられます。

この名前に指定できる文字数は最大256文字です。

メモ

MetroClusterまたはSVMディザスタ リカバリ設定で外部エンジンの名前を設定する場合、この名前は最大200文字にする必要があります。

名前には、次のASCII文字の任意の組み合わせを含めることができます。

  • `a`から `z`まで

  • `A`から `Z`まで

  • `0`から `9`まで

  • _」、「-`", and ".`」

-engine-name engine_name

プライマリ FPolicy サーバー

所定のFPolicyポリシーに関してノードが送信する通知の宛先となるプライマリFPolicyサーバを指定します。IPアドレスの値を指定します。複数の値を指定する場合は、カンマで区切ります。

複数のプライマリ サーバのIPアドレスを指定した場合、SVMが参加しているすべてのノードに、ポリシーが有効にされたときに指定されたすべてのプライマリFPolicyサーバへの制御接続が作成されます。複数のプライマリFPolicyサーバを設定した場合、通知は各FPolicyサーバにラウンドロビン方式で送信されます。

外部エンジンがMetroClusterまたはSVMディザスタ リカバリ設定で使用されている場合は、ソース サイトでのFPolicyサーバのIPアドレスをプライマリ サーバとして指定する必要があります。デスティネーション サイトでのFPolicyサーバのIPアドレスは、セカンダリ サーバとして指定してください。

-primary-servers IP_address,…​

ポート番号

FPolicyサービスのポート番号を指定します。

-port integer

セカンダリ FPolicy サーバー

所定のFPolicyポリシーに関して、ファイル アクセス イベントの送信先となるセカンダリFPolicyサーバを指定します。IPアドレスの値を指定します。複数の値を指定する場合は、カンマで区切ります。

セカンダリ サーバは、いずれのプライマリにも到達できない場合にのみ使用されます。ポリシーが有効な場合にセカンダリ サーバへの接続が確立されますが、通知がセカンダリ サーバへ送信されるのは、いずれのプライマリ サーバへも着信できない場合のみです。複数のセカンダリFPolicyサーバを設定した場合、通知は各FPolicyサーバにラウンドロビン方式で送信されます。

-secondary-servers IP_address,…​

外部エンジン タイプ

外部エンジンが同期モードで動作するか非同期モードで動作するかを指定します。デフォルトでは、FPolicyは同期モードで動作します。

が `synchronous`に設定されている場合、ファイルリクエスト処理はFPolicyサーバに通知を送信しますが、FPolicyサーバからの応答を受信するまで処理を継続しません。その時点で、FPolicyサーバからの応答が要求された操作を許可するかどうかに応じて、リクエストフローが継続されるか、または処理が拒否されます。

`asynchronous`に設定すると、ファイル要求の処理は FPolicy サーバーに通知を送信し、その後続行されます。

-extern-engine-type external_engine_type このパラメータの値は次のいずれかになります:

  • synchronous

  • asynchronous

外部エンジン形式

外部エンジンの形式がxmlかprotobufかを指定します。

ONTAP 9.15.1以降では、protobufというエンジンの形式を使用できます。Protobufに設定すると、通知メッセージがGoogle Protobufを使用してバイナリ形式でエンコードされます。エンジンの形式をprotobufに設定する前に、FPolicyサーバでprotobufの逆シリアル化もサポートされていることを確認してください。

- extern-engine-format {protobuf または xml}

FPolicy サーバとの通信のための SSL オプション

FPolicyサーバとの通信のためのSSLオプションを指定します。これは必須パラメータです。次の情報に基づいて、いずれかのオプションを選択できます。

  • `no-auth`に設定すると、認証は行われません。

    通信リンクはTCPを介して確立されます。

  • `server-auth`に設定すると、SVMはSSLサーバ認証を使用してFPolicyサーバを認証します。

  • `mutual-auth`に設定すると、SVM と FPolicy サーバの間で相互認証が行われ、SVM が FPolicy サーバを認証し、FPolicy サーバが SVM を認証します。

    相互 SSL 認証を構成する場合は、 -certificate-common-name-certificate-serial、および `-certifcate-ca`パラメータも構成する必要があります。

-ssl-option {no-auth

server-auth

mutual-auth}

証明書の FQDN またはカスタム共通名

SVMとFPolicyサーバ間のSSL認証が設定されている場合、認証に使用される証明書の名前を指定します。証明書の名前は、FQDNまたはカスタム共通名として指定できます。

`-ssl-option`パラメータに `mutual-auth`を指定する場合は、 `-certificate-common-name`パラメータの値を指定する必要があります。

-certificate-common-name text

証明書のシリアル番号

SVMとFPolicyサーバ間のSSL認証が設定されている場合、認証に使用される証明書のシリアル番号を指定します。

`-ssl-option`パラメータに `mutual-auth`を指定する場合は、 `-certificate-serial`パラメータの値を指定する必要があります。

-certificate-serial text

認証局

SVMとFPolicyサーバ間のSSL認証が設定されている場合、認証に使用される証明書のCA名を指定します。

`-ssl-option`パラメータに `mutual-auth`を指定する場合は、 `-certificate-ca`パラメータの値を指定する必要があります。

-certificate-ca text

外部エンジンの詳細オプションについて

高度なFPolicy設定パラメータが示されている次の表は、高度なパラメータを使用して設定をカスタマイズするかどうかを計画する際に使用できます。これらのパラメータは、クラスタ ノードとFPolicyサーバ間の通信動作を変更するために使用します。

情報の種類

オプション

リクエストのキャンセルのタイムアウト

ノードが FPolicy サーバーからの応答を待機する時間間隔(時間(h、分(m、または秒(`s`単位)を指定します。

タイムアウト間隔が経過すると、ノードはFPolicyサーバにキャンセル要求を送信します。その後、ノードから代替FPolicyサーバへ通知が送信されます。このタイムアウトは、応答しないFPolicyサーバを処理するのに役立ちます。これにより、SMB / NFSクライアントの応答を向上させることができます。また、通知要求がパフォーマンスの低い、またはダウンしたFPolicyサーバから代替FPolicyサーバへ移されているため、タイムアウトによって要求をキャンセルすることは、システム リソースを解放するのに役立ちます。

この値の範囲は `0`から `100`です。値が `0`に設定されている場合、オプションは無効になり、キャンセル要求メッセージはFPolicyサーバに送信されません。デフォルトは `20s`です。

-reqs-cancel-timeout integer[h|m|s]

リクエストを中止するためのタイムアウト

リクエストを中止するためのタイムアウトを時間(h、分(m、または秒(`s`単位で指定します。

この値の範囲は `0`から `200`までです。

-reqs-abort-timeout ` `integer[h|m|s]

ステータス要求の送信間隔

ステータス要求が FPolicy サーバーに送信される間隔を時間((h)、分((m)、または秒((s)単位で指定します。

この値の範囲は `0`から `50`です。値が `0`に設定されている場合、オプションが無効になり、ステータス要求メッセージはFPolicyサーバに送信されません。デフォルトは `10s`です。

-status-req-interval integer[h|m|s]

FPolicyサーバ上の未処理リクエストの最大数

FPolicyサーバのキューに登録できる未処理要求の最大数を指定します。

この値の範囲は `1`から `10000`までです。デフォルトは `500`です。

-max-server-reqs integer

応答しない FPolicy サーバを切断するためのタイムアウト

FPolicy サーバへの接続が終了するまでの時間間隔を時間((h)、分((m)、または秒((s)単位で指定します。

FPolicyサーバのキューに最大許容リクエスト数が含まれており、タイムアウト時間内に応答が受信されなかった場合にのみ、タイムアウト期間後に接続が切断されます。最大許容リクエスト数は 50(デフォルト)または `max-server-reqs-`パラメータで指定された数のいずれかです。

この値の範囲は `1`から `100`までです。デフォルトは `60s`です。

-server-progress-timeout integer[h|m|s]

FPolicyサーバへのキープアライブ メッセージの送信間隔

キープアライブ メッセージが FPolicy サーバーに送信される時間間隔(時間(h、分(m、または秒(`s`単位)を指定します。

キープアライブ メッセージによってハーフオープン接続を検出します。

この値の範囲は 10~ `600`です。値が `0`に設定されている場合は、オプションが無効になり、キープアライブ メッセージがFPolicyサーバに送信されなくなります。デフォルトは `120s`です。

-keep-alive-interval- integer[h|m|s]

最大再接続試行回数

接続が切断された後に SVM が FPolicy サーバへの再接続を試行する最大回数を指定します。

この値の範囲は `0`から `20`までです。デフォルトは `5`です。

-max-connection-retries integer

受信バッファ サイズ

FPolicyサーバの接続ソケットの受信バッファ サイズを指定します。

デフォルト値は256KBに設定されています。値が0に設定されている場合、受信バッファのサイズはシステムによって定義されている値に設定されます。

たとえば、ソケットのデフォルト受信バッファ サイズが65,536バイトの場合、この調整可能な値を0に設定すると、ソケットのバッファ サイズは65,536バイトに設定されます。デフォルト値以外の任意の値を使用して、受信バッファのサイズ(バイト単位)を設定できます。

-recv-buffer-size integer

送信バッファ サイズ

FPolicyサーバの接続ソケットの送信バッファ サイズを指定します。

デフォルト値は256KBに設定されています。値が0に設定されている場合、送信バッファのサイズはシステムによって定義されている値に設定されます。

たとえば、ソケットのデフォルト送信バッファ サイズが65,536バイトの場合、この調整可能な値を0に設定すると、ソケットのバッファ サイズは65,536バイトに設定されます。デフォルト値以外の任意の値を使用して、送信バッファのサイズ(バイト単位)を設定できます。

-send-buffer-size integer

再接続時にセッション ID を消去するためのタイムアウト

再接続試行中に新しいセッション ID が FPolicy サーバーに送信される間隔(時間単位 (h、分単位 (m、または秒単位 (s)を指定します。

ストレージ コントローラと FPolicy サーバ間の接続が終了し、 `-session-timeout`間隔内に再接続が行われた場合、古いセッション ID が FPolicy サーバに送信されるため、古い通知に対する応答を送信できるようになります。

デフォルト値は10秒に設定されています。

-session-timeoutinteger時間][integer分][integer秒]