FPolicyの設定に関する要件、考慮事項、およびベストプラクティス
変更を提案
PDF
Storage Virtual Machine(SVM)でFPolicyの設定を作成して設定する前に、FPolicyの設定に関する一定の要件、考慮事項、およびベストプラクティスについて確認しておく必要があります。
FPolicy機能は、コマンドラインインターフェイス(CLI)またはREST APIを使用して設定します。
FPolicyを設定するための要件
Storage Virtual Machine(SVM)でFPolicyを設定して有効にする前に、一定の要件について確認しておく必要があります。
-
クラスタ内のすべてのノードで、FPolicyがサポートされているバージョンのONTAPが実行されている必要があります。
-
ONTAPの標準のFPolicyエンジンを使用しない場合は、外部FPolicyサーバ(FPolicyサーバ)をインストールしておく必要があります。
-
FPolicyポリシーが有効になっているSVMのデータLIFからアクセスできるサーバに、FPolicyサーバがインストールされている必要があります。
ONTAP 9 .8以降では、ONTAPは `data-fpolicy-client`サービスを追加することでアウトバウンドFPolicy接続用のクライアントLIFサービスを提供しています。"LIFとサービスポリシーの詳細については、こちらをご覧ください"です。 -
FPolicyポリシーの外部エンジンの設定で、FPolicyサーバのIPアドレスがプライマリサーバまたはセカンダリサーバとして設定されている必要があります。
-
FPolicyサーバが権限付きデータチャネルを使用してデータにアクセスする場合は、次の追加要件を満たす必要があります。
-
クラスタでSMBのライセンスが有効になっている必要があります。
権限付きデータアクセスはSMB接続を使用して実行されます。
-
権限付きデータチャネル経由でファイルにアクセスするためのユーザクレデンシャルが設定されている必要があります。
-
FPolicyサーバは、FPolicyの設定で設定されたクレデンシャルで実行されている必要があります。
-
FPolicyサーバとの通信に使用されるすべてのデータLIFが、許可されているプロトコルの1つとして設定されている必要があります
cifs。これには、パススルーリード接続に使用されるLIFも含まれます。
-
FPolicyを設定する際のベストプラクティスと推奨事項
Storage Virtual Machine(SVM)でFPolicyを設定する場合は、FPolicyの設定によって監視のパフォーマンスが向上し、要件を満たす結果が得られるようにするために、設定に関する一般的なベストプラクティスと推奨事項を理解してください。
パフォーマンス、サイジング、および設定に関する具体的なガイドラインについては、FPolicyパートナーアプリケーションを参照してください。
永続的ストア
ONTAP 9.14.1以降では、FPolicyを使用して永続的ストアを作成し、SVM内の非同期で必須でないポリシーのファイル アクセス イベントをキャプチャできます。永続的ストアは、クライアントI/O処理をFPolicy通知処理から分離して、クライアントのレイテンシを低減するのに役立ちます。同期(必須かどうかは問わない)および非同期で必須の設定はサポートされていません。
-
永続的ストア機能を使用する前に、この設定がパートナー アプリケーションでサポートされていることを確認してください。
-
FPolicyが有効になっているSVMごとに永続的ストアが1つ必要です。
-
各SVMに設定できる永続的ストアは1つだけです。ポリシーが別 々 のパートナーのものであっても、この単一の永続的ストアをそのSVM上のすべてのFPolicy設定に使用する必要があります。
-
-
ONTAP 9.15.1以降:
-
永続的ストア、そのボリューム、およびボリューム設定は、永続的ストアの作成時に自動的に処理されます。
-
-
ONTAP 9.14.1:
-
永続的ストア、そのボリューム、およびボリューム設定は手動で処理します。
-
-
永続的ストアのボリュームは、FPolicyによって監視されるトラフィック量が最大になると想定されるLIFがあるノードに作成します。
-
ONTAP 9.15.1以降:永続的ストアの作成時にボリュームが自動的に作成および設定されます。
-
ONTAP 9.14.1:クラスタ管理者は、FPolicyが有効になっている各SVMで永続的ストア用のボリュームを作成し、設定する必要があります。
-
-
永続的ストアに蓄積された通知がプロビジョニングされたボリュームのサイズを超えると、FPolicyは適切なEMSメッセージを含む受信通知を破棄し始めます。
-
ONTAP 9 .15.1以降:パラメータに加えて
size、 `autosize-mode`パラメータを使用すると、使用済みスペースの量に応じてボリュームを拡張または縮小できます。 -
ONTAP 9 .14.1:この `size`パラメータは、ボリュームの作成時に最大数を指定するように設定されます。
-
-
永続的ストアボリュームのSnapshotポリシーをではなくに
default`設定します `none。これは、Snapshotが誤ってリストアされて現在のイベントが失われることがないようにし、イベント処理が重複しないようにするためです。-
ONTAP 9 .15.1以降: `snapshot-policy`永続ストアの作成時に、パラメータは自動的にnoneに設定されます。
-
ONTAP 9 .14.1:
snapshot-policy`ボリュームの作成時にパラメータがに設定されます `none。
-
-
永続的なイベントレコードが誤って破損したり削除されたりしないように、外部ユーザプロトコルアクセス(CIFS / NFS)で永続的ストアボリュームにアクセスできないようにします。
-
ONTAP 9.15.1以降:ONTAPは、永続的ストアの作成時に外部ユーザプロトコルアクセス(CIFS / NFS)からボリュームを自動的にブロックします。
-
ONTAP 9.14.1:FPolicyを有効にしたら、ONTAPでボリュームをアンマウントしてジャンクションパスを削除します。これにより、外部ユーザプロトコルによるアクセス(CIFS / NFS)ができなくなります。
-
詳細については、およびを参照して "FPolicyの永続的ストア" "永続ストアの作成"ください。
永続的ストアのフェイルオーバーとギブバック
永続ストアは、最後のイベントを受信したとき、予期しないリブートが発生したとき、またはFPolicyを無効にして再度有効にしたときのままです。テイクオーバー処理が完了すると、新しいイベントがパートナーノードに格納されて処理されます。ギブバック処理のあと、ノードのテイクオーバーの発生時に残っている可能性がある未処理のイベントの処理が永続的ストアで再開されます。ライブイベントは、未処理のイベントよりも優先されます。
永続的ストアボリュームが同じSVM内のノード間で移動した場合、まだ処理されていない通知も新しいノードに移動します。保留中の通知が外部サーバに配信されるようにするには、ボリュームの移動後にどちらかのノードでコマンドを再実行する必要が `fpolicy persistent-store create`あります。
ポリシー設定
FPolicy外部エンジン、イベント、SVM用のスコープを設定することで、全体的なエクスペリエンスとセキュリティが向上する可能性があります。
-
SVM用のFPolicy外部エンジンの設定:
-
セキュリティを強化するには、パフォーマンスコストがかかります。Secure Sockets Layer(SSL)通信を有効にすると、共有へのアクセスのパフォーマンスに影響します。
-
FPolicyサーバの通知処理の耐障害性と高可用性を確保するには、FPolicy外部エンジンに複数のFPolicyサーバを設定する必要があります。
-
-
SVMのFPolicyイベントの設定
ファイル操作の監視は、エクスペリエンス全体に影響します。たとえば、ストレージ側で不要なファイル操作をフィルタリングすると、操作性が向上します。NetAppでは、次の設定を推奨しています。
-
ユースケースを壊さずに、最小タイプのファイル処理を監視し、最大数のフィルタを有効にする。
-
属性取得、読み取り、書き込み、オープン、クローズの各処理にフィルタを使用する。SMBおよびNFSホームディレクトリ環境では、これらの処理の割合が高くなっています。
-
-
SVMのFPolicyスコープの設定
ポリシーの範囲を、SVM全体ではなく、関連するストレージオブジェクト(共有、ボリューム、エクスポートなど)に制限します。NetAppでは、ディレクトリ拡張子の確認を推奨していますパラメータがに設定されて
true`いる場合 `is-file-extension-check-on-directories-enabled、ディレクトリオブジェクトには通常のファイルと同じ拡張子チェックが実行されます。
ネットワーク設定
FPolicyサーバとコントローラの間のネットワーク接続のレイテンシを低くする必要があります。NetAppでは、プライベートネットワークを使用してFPolicyトラフィックをクライアントトラフィックから分離することを推奨しています。
また、レイテンシを最小限に抑え、広帯域接続を実現するために、外部FPolicyサーバ(FPolicyサーバ)を広帯域接続が可能なクラスタの近くに配置する必要があります。
|
|
FPolicyトラフィック用のLIFがクライアントトラフィック用のLIFとは別のポートに設定されている場合、ポートの障害が原因でFPolicy LIFがもう一方のノードにフェイルオーバーすることがあります。その結果、ノードからFPolicyサーバに到達できなくなり、ノードでのファイル操作に関するFPolicy通知は失敗します。この問題を回避するには、ノード上の少なくとも1つのLIFからFPolicyサーバにアクセスして、そのノードで実行されるファイル操作のFPolicy要求を処理できることを確認します。 |
ハードウェア構成
FPolicyサーバは、物理サーバと仮想サーバのどちらにも配置できます。FPolicyサーバが仮想環境にある場合は、仮想サーバに専用のリソース(CPU、ネットワーク、メモリ)を割り当てる必要があります。
SVMがクライアント要求に応答する際のレイテンシの原因となる可能性があるFPolicyサーバの過負荷状態を防ぐために、クラスタ ノードとFPolicyサーバの比率を最適化する必要があります。最適な比率は、FPolicyサーバが使用されているパートナー アプリケーションによって異なります。NetAppは、適切な値を見極めるためにパートナーと協力することを推奨しています。
複数ポリシーの設定
ネイティブ ブロッキング用のFPolicyポリシーはシーケンス番号に関係なく最優先され、決定変更ポリシーは他のポリシーよりも優先されます。ポリシーの優先度は、ユースケースによって異なります。NetAppは、適切な優先度を見極めるためにパートナーと協力することを推奨しています。
サイズに関する考慮事項
FPolicyは、SMB処理とNFS処理のインライン監視を実行し、外部サーバに通知を送信し、外部エンジンの通信モード(同期または非同期)に基づいて応答を待ちます。このプロセスは、SMBとNFSのアクセスとCPUリソースのパフォーマンスに影響します。
何らかの問題につながる可能性を抑えるため、NetAppは、FPolicyを有効にする前にパートナーと協力して環境の評価とサイジングを行うことを推奨しています。パフォーマンスは、ユーザ数、ユーザあたりの処理数やデータ サイズなどのワークロード特性、ネットワーク レイテンシ、障害やサーバの速度低下など、複数の要因から影響を受けます。
パフォーマンスの監視
FPolicyは、通知ベースのシステムです。通知は外部サーバに送信され、そこで処理され、生成された応答がONTAPに返されます。この往復プロセスにより、クライアント アクセスのレイテンシが増加します。
FPolicyサーバとONTAPのパフォーマンス カウンタを監視することで、ソリューション内のボトルネックを特定し、必要に応じてパラメータを調整してソリューションを最適化できます。たとえば、FPolicyのレイテンシの増加は、連鎖的にSMBとNFSのアクセス レイテンシに影響を及ぼします。そのため、ワークロード(SMBとNFS)とFPolicyのレイテンシのどちらも監視する必要があります。加えて、ONTAPのサービス品質(QoS)ポリシーを使用して、FPolicyが有効になっているボリュームやSVMごとにワークロードの設定を行えます。
NetAppでは、コマンドを実行してワークロードの統計情報を表示することを推奨 `statistics show –object workload`さらに、次のパラメータを監視する必要があります。
-
平均レイテンシ、読み取りレイテンシ、書き込みレイテンシ
-
処理の総数
-
読み取り / 書き込みカウンタ
FPolicyサブシステムのパフォーマンスを監視するために、次のFPolicyカウンタを使用できます。
|
|
FPolicyに関連する統計を収集するには、診断モードにする必要があります。 |
-
FPolicyカウンタを収集します。
-
statistics start -object fpolicy -instance instance_name -sample-id ID -
statistics start -object fpolicy_policy -instance instance_name -sample-id ID
-
-
FPolicyカウンタを表示します。
-
statistics show -object fpolicy –instance instance_name -sample-id ID -
statistics show -object fpolicy_server –instance instance_name -sample-id ID
`fpolicy`カウンタと `fpolicy_server`カウンタには、次の表に示す複数のパフォーマンスパラメータに関する情報が表示されます。
カウンタ 説明 「fpolicy」カウンタ
aborted_requests
SVMで処理が中止されたスクリーニング要求の数
event_count
通知の原因になったイベントのリスト
max_request_latency
スクリーニング要求の最大レイテンシ
outstanding_requests
処理中のスクリーン要求の総数
processed_requests
SVMでFPolicyの処理が完了したスクリーニング要求の総数
request_latency_hist
スクリーニング要求のレイテンシのヒストグラム
requests_dispatched_rate
送信されたスクリーニング要求の1秒あたりの数
requests_received_rate
受信したスクリーニング要求の1秒あたりの数
「fpolicy_server」カウンタ
max_request_latency
画面要求の最大遅延
outstanding_requests
応答を待機している画面要求の総数
request_latency
スクリーニング要求の平均レイテンシ
request_latency_hist
スクリーニング要求のレイテンシのヒストグラム
request_sent_rate
FPolicyサーバに送信されたスクリーニング要求の1秒あたりの数
response_received_rate
FPolicyサーバから受信したスクリーニング応答の1秒あたりの数
-
FPolicyのワークフローと他のテクノロジへの依存の管理
NetAppは、設定を変更する前にFPolicyポリシーを無効にすることを推奨しています。たとえば、有効になっているポリシーに設定された外部エンジンのIPアドレスを追加または変更する場合は、まずポリシーを無効にします。
NetApp FlexCacheボリュームを監視するようにFPolicyを設定する場合、NetAppは、読み取りと属性取得のファイル処理を監視するようにFPolicyを設定しないことを推奨しています。これらの処理をONTAPで監視するには、Inode-to-Path(I2P)データを取得する必要があります。I2Pデータは、FlexCacheボリュームからは取得できないため、元のボリュームから取得する必要があります。そのため、これらの処理を監視することで、FlexCacheで得られるパフォーマンス上のメリットが帳消しになってしまいます。
FPolicyと外部のウイルス対策ソリューションを両方とも導入している場合、最初にウイルス対策ソリューションが通知を受信します。FPolicyの処理は、ウイルス対策スキャンの完了後に開始されます。ウイルス対策スキャナが低速だと全体的なパフォーマンスに影響する可能性があるため、ウイルス対策ソリューションの適切なサイジングが重要になります。
パススルー リードのアップグレードとリバートに関する考慮事項
パススルー リードをサポートしているONTAPリリースへのアップグレードまたはパススルー リードをサポートしていないリリースへのリバートを行う前に、アップグレードおよびリバートに関する考慮事項を把握しておく必要があります。
アップグレード
FPolicyパススルー リードをサポートしているONTAPのバージョンにすべてのノードをアップグレードしたあと、クラスタはパススルー リードを使用できるようになります。ただし、既存のFPolicy設定ではパススルー リードがデフォルトで無効になっています。既存のFPolicy設定でパススルー リードを使用するには、FPolicyポリシーを無効にして設定を変更したうえで、設定を再び有効にする必要があります。
リバート
FPolicyをサポートしていないONTAPのバージョンにリバートする前に、以下の条件を満たす必要があります。
-
パススルー リードを使用しているすべてのポリシーを無効にしたうえで、影響を受ける設定を変更してパススルー リードを使用しないようにする必要があります。
-
クラスタ上のすべてのFPolicyポリシーを無効にして、クラスタのFPolicy機能を無効にします。
永続的ストアをサポートしないバージョンのONTAPにリバートする前に、FPolicyポリシーに永続的ストアが設定されていないことを確認してください。永続ストアが設定されている場合、リバートは失敗します。