FPolicy を設定するための要件、考慮事項、およびベストプラクティス
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
SVMでFPolicyの設定を作成して設定する前に、FPolicyの設定に関する一定の要件、考慮事項、およびベストプラクティスについて確認しておく必要があります。
FPolicy機能は、コマンドラインインターフェイス(CLI)またはREST APIを使用して設定します。
FPolicy を設定するための要件
Storage Virtual Machine ( SVM )で FPolicy を設定して有効にする前に、一定の要件について確認しておく必要があります。
-
クラスタ内のすべてのノードで、 FPolicy がサポートされているバージョンの ONTAP が実行されている必要があります。
-
ONTAP の標準の FPolicy エンジンを使用しない場合は、外部 FPolicy サーバ( FPolicy サーバ)をインストールしておく必要があります。
-
FPolicy ポリシーが有効になっている SVM のデータ LIF からアクセスできるサーバに、 FPolicy サーバがインストールされている必要があります。
ONTAP 9.8以降では、ONTAP により、を追加して、アウトバウンドFPolicy接続用のクライアントLIFサービスを利用できます data-fpolicy-client
サービス "LIFとサービスポリシーの詳細については、こちらをご覧ください"。 -
FPolicy ポリシーの外部エンジンの設定で、 FPolicy サーバの IP アドレスがプライマリサーバまたはセカンダリサーバとして設定されている必要があります。
-
FPolicy サーバで権限付きデータチャネルを使用してデータにアクセスする場合は、次の追加要件を満たす必要があります。
-
クラスタで SMB のライセンスが有効になっている必要があります。
権限付きデータアクセスは SMB 接続を使用して実行されます。
-
権限付きデータチャネルを使用してファイルにアクセスするためのユーザクレデンシャルが設定されている必要があります。
-
FPolicy サーバが FPolicy の設定で指定されたクレデンシャルで実行されている。
-
FPolicyサーバとの通信に使用されるすべてのデータLIFをで設定する必要があります
cifs
許可されているプロトコルの1つとして指定します。これには、パススルーリード接続で使用される LIF も含まれます。
-
-
ONTAP 9.14.1以降では、FPolicyで永続的ストアを設定して、SVM内の非同期(必須ではない)ポリシーのファイルアクセスイベントをキャプチャすることができます。永続的ストアを使用すると、クライアントI/O処理とFPolicy通知処理を分離して、クライアントのレイテンシを低減できます。同期(必須または必須でない)および非同期の必須構成はサポートされていません。
FPolicy を設定する際のベストプラクティスと推奨事項
Storage Virtual Machine(SVM)でFPolicyを設定する場合は、FPolicyの設定によって監視のパフォーマンスが向上し、要件を満たす結果が得られるようにするために、設定に関する一般的なベストプラクティスと推奨事項を理解してください。
パフォーマンス、サイジング、および設定に関する具体的なガイドラインについては、FPolicyパートナーアプリケーションを参照してください。
ポリシー設定
FPolicy外部エンジン、イベント、SVM用のスコープを設定することで、全体的なエクスペリエンスとセキュリティが向上する可能性があります。
-
SVM用のFPolicy外部エンジンの設定:
-
セキュリティを強化するには、パフォーマンスコストがかかります。Secure Sockets Layer(SSL)通信を有効にすると、共有へのアクセスのパフォーマンスに影響します。
-
FPolicyサーバの通知処理の耐障害性と高可用性を確保するには、FPolicy外部エンジンに複数のFPolicyサーバを設定する必要があります。
-
-
SVMのFPolicyイベントの設定
ファイル操作の監視は、エクスペリエンス全体に影響します。たとえば、ストレージ側で不要なファイル操作をフィルタリングすると、操作性が向上します。NetAppでは、次の設定を推奨しています。
-
ユースケースを壊さずに、最小タイプのファイル処理を監視し、最大数のフィルタを有効にする。
-
属性取得、読み取り、書き込み、オープン、クローズの各処理にフィルタを使用する。SMBおよびNFSホームディレクトリ環境では、これらの処理の割合が高くなっています。
-
-
SVMのFPolicyスコープの設定
ポリシーの範囲を、SVM全体ではなく、関連するストレージオブジェクト(共有、ボリューム、エクスポートなど)に制限します。NetAppでは、ディレクトリ拡張子の確認を推奨しています状況に応じて
is-file-extension-check-on-directories-enabled
パラメータはに設定されます `true`の場合、ディレクトリオブジェクトには、通常のファイルと同じ拡張子チェックが適用されます。
ネットワーク構成:
FPolicyサーバとコントローラの間のネットワーク接続のレイテンシを低くする必要があります。NetAppでは、プライベートネットワークを使用してFPolicyトラフィックをクライアントトラフィックから分離することを推奨しています。
また、レイテンシを最小限に抑え、広帯域接続を実現するために、外部FPolicyサーバ(FPolicyサーバ)を広帯域接続が可能なクラスタの近くに配置する必要があります。
FPolicyトラフィック用のLIFがクライアントトラフィック用のLIFとは別のポートに設定されている場合、ポートの障害が原因でFPolicy LIFがもう一方のノードにフェイルオーバーすることがあります。その結果、ノードからFPolicyサーバに到達できなくなり、ノードでのファイル操作に関するFPolicy通知は失敗します。この問題を回避するには、ノード上の少なくとも1つのLIFからFPolicyサーバにアクセスして、そのノードで実行されるファイル操作のFPolicy要求を処理できることを確認します。 |
ハードウェア構成
FPolicyサーバは物理サーバと仮想サーバのどちらにも配置できます。FPolicyサーバが仮想環境にある場合は、仮想サーバに専用のリソース(CPU、ネットワーク、およびメモリ)を割り当てる必要があります。
SVM がクライアント要求に応答する際のレイテンシの原因となる可能性がある FPolicy サーバの過負荷状態を防ぐために、クラスタノードと FPolicy サーバの比率を最適化する必要があります。最適な比率は、FPolicyサーバが使用されているパートナーアプリケーションによって異なります。NetAppでは、パートナーと協力して適切な価値を判断することを推奨しています。
複数ポリシーの設定
ネイティブブロッキング用のFPolicyポリシーはシーケンス番号に関係なく最も優先され、意思決定変更ポリシーは他のポリシーよりも優先されます。ポリシーの優先度はユースケースによって異なります。NetAppは、パートナーと協力して適切な優先順位を決定することを推奨します。
サイズに関する考慮事項
FPolicyは、SMB処理とNFS処理のインライン監視を実行し、外部サーバに通知を送信し、外部エンジンの通信モード(同期または非同期)に応じて応答を待機します。このプロセスは、SMBとNFSのアクセスおよびCPUリソースのパフォーマンスに影響します。
NetAppでは、問題を軽減するために、FPolicyを有効にする前に、パートナーと協力して環境を評価し、サイジングすることを推奨しています。パフォーマンスは、ユーザ数、ユーザあたりの処理数やデータサイズなどのワークロード特性、ネットワークレイテンシ、障害やサーバの速度低下など、いくつかの要因によって影響を受けます。
パフォーマンスを監視
FPolicyは通知ベースのシステムです。通知は、処理およびONTAPへの応答を生成するために外部サーバに送信されます。このラウンドトリッププロセスにより、クライアントアクセスのレイテンシが増加します。
FPolicyサーバとONTAPのパフォーマンスカウンタを監視すると、解決策のボトルネックを特定し、解決策を最適化するために必要に応じてパラメータを調整できます。たとえば、FPolicyのレイテンシの増加は、SMBとNFSのアクセスレイテンシに連鎖的に影響します。そのため、ワークロード(SMBとNFS)とFPolicyの両方のレイテンシを監視する必要があります。また、ONTAPのQoSポリシーを使用して、FPolicyが有効になっているボリュームまたはSVMごとにワークロードを設定できます。
NetAppは、を実行することを推奨します statistics show –object workload
コマンドを使用してワークロード統計を表示します。さらに、次のパラメータを監視する必要があります。
-
平均レイテンシ、読み取りレイテンシ、書き込みレイテンシ
-
処理の総数
-
読み取りカウンタと書き込みカウンタ
FPolicyサブシステムのパフォーマンスを監視するには、次のFPolicyカウンタを使用します。
FPolicyに関連する統計を収集するには、診断モードにする必要があります。 |
-
FPolicyカウンタを収集します。
-
statistics start -object fpolicy -instance instance_name -sample-id ID
-
statistics start -object fpolicy_policy -instance instance_name -sample-id ID
-
-
FPolicyカウンタを表示します。
-
statistics show -object fpolicy –instance instance_name -sample-id ID
-
statistics show -object fpolicy_server –instance instance_name -sample-id ID
。
fpolicy
およびfpolicy_server
カウンタは、次の表で説明されている複数のパフォーマンスパラメータに関する情報を提供します。カウンタ 説明 「fpolicy」カウンタ
aborted_requests
SVMで処理が中止されたスクリーニング要求の数
event_count
通知の原因となるイベントのリスト
max_request_latencyの略
最大スクリーン要求遅延
outstanding_requests
処理中のスクリーン要求の総数
processed_requests
SVMでfpolicy処理が実行されたスクリーニング要求の総数
request_latency_hist
画面要求のレイテンシのヒストグラム
requests_dispatched_rate
1秒あたりに送出されるスクリーン要求の数
requests_received_rate
1秒あたりに受信された画面要求の数
「fpolicy_server」カウンタ
max_request_latencyの略
画面要求の最大遅延
outstanding_requests
応答を待機している画面要求の総数
request_latency
画面要求の平均遅延
request_latency_hist
画面要求のレイテンシのヒストグラム
request_sent_rate
FPolicyサーバに送信された1秒あたりのスクリーニング要求数
response_received_rate
FPolicyサーバから受信した1秒あたりのスクリーニング応答数
-
FPolicyワークフローと他のテクノロジへの依存関係を管理します
NetAppでは、設定を変更する前にFPolicyポリシーを無効にすることを推奨しています。たとえば、有効なポリシーに設定されている外部エンジンのIPアドレスを追加または変更する場合は、最初にポリシーを無効にします。
NetApp FlexCacheボリュームを監視するようにFPolicyを設定する場合は、NetApp読み取りおよび属性取得ファイル操作を監視するようにFPolicyを設定しないことを推奨します。ONTAPでこれらの処理を監視するには、inode-to-path(I2P)データを取得する必要があります。I2PデータはFlexCacheボリュームから取得できないため、元のボリュームから取得する必要があります。そのため、これらの処理を監視することで、FlexCacheが提供するパフォーマンス上のメリットが排除されます。
FPolicyと外部のウィルス対策解決策の両方が導入されている場合、最初にウィルス対策解決策が通知を受信します。FPolicyの処理は、ウィルス対策スキャンの完了後に開始されます。低速のウィルス対策スキャナは全体的なパフォーマンスに影響する可能性があるため、ウィルス対策ソリューションのサイズを正しく設定することが重要です。
パススルーリードのアップグレードおよびリバートに関する考慮事項
パススルーリードをサポートしている ONTAP リリースへのアップグレードまたはパススルーリードをサポートしていないリリースへのリバートを行う前に、アップグレードおよびリバートに関する考慮事項を把握しておく必要があります。
をアップグレードして
FPolicy パススルーリードをサポートしている ONTAP のバージョンにすべてのノードをアップグレードしたあと、クラスタはパススルーリードを使用できるようになります。ただし、既存の FPolicy 設定ではパススルーリードがデフォルトで無効になっています。既存の FPolicy 設定でパススルーリードを使用するには、 FPolicy ポリシーを無効にして設定を変更してから、設定を再度有効にする必要があります。
復元しています
FPolicyパススルーリードをサポートしていないバージョンのONTAPにリバートする前に、次の条件を満たす必要があります。
-
パススルーリードを使用してすべてのポリシーを無効にし、パススルーリードを使用しないように影響を受ける設定を変更します。
-
クラスタのすべてのFPolicyポリシーを無効にして、クラスタのFPolicy機能を無効にします。
永続的ストアをサポートしないバージョンのONTAPにリバートする前に、FPolicyポリシーに永続的ストアが設定されていないことを確認してください。永続ストアが設定されている場合、リバートは失敗します。