エクスポートルールの仕組み
変更を提案
PDF
エクスポートルールは、エクスポートポリシーの機能要素です。エクスポートルールでは、ボリュームへのクライアントアクセス要求が設定した特定のパラメータと照合され、クライアントアクセス要求の処理方法が決定されます。
エクスポートポリシーには、クライアントへのアクセスを許可するエクスポートルールが少なくとも1つ含まれている必要があります。エクスポートポリシーに複数のルールが含まれている場合、ルールはエクスポートポリシーに表示される順序で処理されます。ルールの順序は、ルールインデックス番号によって決まります。ルールがクライアントに一致した場合、そのルールの権限が使用され、それ以降のルールは処理されません。一致するルールがない場合、クライアントはアクセスを拒否されます。
次の条件を使用してクライアントアクセス権限を決定するようにエクスポートルールを設定できます。
-
クライアントが要求の送信に使用するファイルアクセスプロトコル(NFSv4やSMBなど)。
-
クライアント識別子(ホスト名やIPアドレスなど)。
フィールドの最大サイズ `-clientmatch`は4096文字です。
-
クライアントが認証に使用するセキュリティタイプ(Kerberos v5、NTLM、AUTH_SYSなど)。
ルールで複数の条件が指定されている場合、クライアントがそれらのすべてに一致しないとルールは適用されません。
|
ONTAP 9 .3以降では、エクスポートポリシーの設定チェックをバックグラウンドジョブとして有効にして、すべてのルール違反をエラールールリストに記録できます。 `vserver export-policy config-checker`コマンドを実行するとチェックが呼び出されて結果が表示され、設定を確認したり、誤ったルールをポリシーから削除したりできます。 このコマンドで検証されるのは、エクスポート設定のホスト名、ネットグループ、匿名ユーザのみです。 |
エクスポートポリシーには、次のパラメータを持つエクスポートルールが含まれています。
-
-protocolnfs3 -
-clientmatch10.1.16.0/255.255.255.0 -
-roruleany -
-rwruleany
クライアント アクセス要求はNFSv3プロトコルを使用して送信され、クライアントのIPアドレスは10.1.17.37です。
クライアントアクセスプロトコルが一致していても、クライアントのIPアドレスがエクスポートルールで指定されているサブネットとは異なるサブネットに属しています。そのため、クライアント一致は失敗し、このルールはこのクライアントには適用されません。
エクスポートポリシーには、次のパラメータを持つエクスポートルールが含まれています。
-
-protocolnfs -
-clientmatch10.1.16.0/255.255.255.0 -
-roruleany -
-rwruleany
クライアントアクセス要求はNFSv4プロトコルを使用して送信され、クライアントのIPアドレスは10.1.16.54です。
クライアントアクセスプロトコルが一致し、クライアントのIPアドレスが指定したサブネットにあります。したがって、クライアント一致は成功し、このルールはこのクライアントに適用されます。セキュリティタイプに関係なく、クライアントは読み取り/書き込みアクセス権を取得します。
エクスポートポリシーには、次のパラメータを持つエクスポートルールが含まれています。
-
-protocolnfs3 -
-clientmatch10.1.16.0/255.255.255.0 -
-roruleany -
-rwrulekrb5,ntlm
クライアント#1は、IPアドレスが10.1.16.207で、NFSv3プロトコルを使用してアクセス要求を送信し、Kerberos v5で認証されます。
クライアント#2は、IPアドレスが10.1.16.211で、NFSv3プロトコルを使用してアクセス要求を送信し、AUTH_SYSで認証されます。
両方のクライアントでクライアントアクセスプロトコルとIPアドレスが一致している。読み取り専用パラメータでは、認証に使用したセキュリティタイプに関係なく、すべてのクライアントに読み取り専用アクセスが許可されます。したがって、両方のクライアントが読み取り専用アクセス権を取得します。ただし、読み取り/書き込みアクセス権を取得するのはクライアント#1だけです。これは、認証に承認済みのセキュリティタイプKerberos v5が使用されているためです。クライアント#2は読み取り/書き込みアクセス権を取得しません。