ONTAP에서 즉시 사용 가능한 바이러스 백신 기능을 구성하는 최상의 방법
ONTAP에서 오프 박스 기능을 구성할 때는 다음 권장 사항을 고려하십시오.
-
권한이 있는 사용자를 바이러스 검사 작업으로 제한합니다. 일반 사용자는 권한이 있는 사용자 자격 증명을 사용하지 않도록 해야 합니다. 이러한 제한은 Active Directory에서 권한이 있는 사용자에 대한 로그인 권한을 해제하면 얻을 수 있습니다.
-
권한이 있는 사용자는 administrators 그룹 또는 backup operators 그룹과 같이 도메인에서 많은 권한이 있는 사용자 그룹에 속할 필요가 없습니다. 권한이 있는 사용자는 Vscan 서버 접속을 생성하고 바이러스 검사를 위한 파일에 액세스할 수 있도록 스토리지 시스템에서만 유효성을 검사해야 합니다.
-
Vscan 서버를 실행하는 컴퓨터는 바이러스 검사 목적으로만 사용하십시오. 일반적인 사용을 방지하려면 이러한 컴퓨터에서 Windows 터미널 서비스 및 기타 원격 액세스 조항을 비활성화하고 관리자에게만 새 소프트웨어를 설치할 권한을 부여하십시오.
-
Vscan 서버를 바이러스 검사 전용으로 사용하고 백업 등의 다른 작업에 사용하지 마십시오. Vscan 서버를 가상 머신(VM)으로 실행하기로 결정할 수 있습니다. Vscan 서버를 VM으로 실행하는 경우 VM에 할당된 리소스가 공유되지 않고 바이러스 검사를 수행하기에 충분한지 확인합니다.
-
리소스의 초과 할당을 방지하기 위해 Vscan 서버에 적절한 CPU, 메모리 및 디스크 용량을 제공합니다. 대부분의 Vscan 서버는 여러 CPU 코어 서버를 사용하고 CPU 전반에 로드를 분산하도록 설계되었습니다.
-
NetApp는 다른 클라이언트 네트워크 트래픽의 영향을 받지 않도록 SVM에서 Vscan 서버로의 연결에 전용 VLAN을 사용하는 것이 좋습니다. Vscan 서버의 안티바이러스 VLAN 및 SVM의 데이터 LIF 전용 NIC(네트워크 인터페이스 카드)를 생성합니다. 이 단계는 네트워크 문제가 발생할 경우 관리 및 문제 해결을 간소화합니다. 바이러스 백신 트래픽은 개인 네트워크를 사용하여 분리해야 합니다. 다음 방법 중 하나를 사용하여 DC(도메인 컨트롤러) 및 ONTAP와 통신하도록 바이러스 백신 서버를 구성해야 합니다.
-
DC는 트래픽을 분리하는 데 사용되는 개인 네트워크를 통해 바이러스 백신 서버와 통신해야 합니다.
-
DC 및 안티바이러스 서버는 CIFS 클라이언트 네트워크와 동일하지 않은 다른 네트워크(앞에서 언급한 전용 네트워크가 아님)를 통해 통신해야 합니다.
-
바이러스 백신 통신에 Kerberos 인증을 사용하려면 프라이빗 LIF에 대한 DNS 항목과 프라이빗 LIF에 대해 생성된 DNS 항목에 해당하는 DC에 서비스 사용자 이름을 생성해야 합니다. 바이러스 백신 커넥터에 LIF를 추가할 때 이 이름을 사용하십시오. DNS는 안티바이러스 커넥터에 연결된 각 전용 LIF에 대해 고유한 이름을 반환할 수 있어야 합니다.
-
Vscan 트래픽용 LIF가 클라이언트 트래픽에 대한 LIF가 아닌 다른 포트에 구성되어 있는 경우, 포트 장애가 발생하면 Vscan LIF가 다른 노드로 페일오버될 수 있습니다. 변경 사항으로 인해 새 노드에서 Vscan 서버에 연결할 수 없으며 노드의 파일 작업에 대한 검색 알림이 실패합니다. Vscan 서버가 노드에서 수행된 파일 작업에 대한 스캔 요청을 처리할 수 있도록 노드에 있는 하나 이상의 LIF를 통해 연결할 수 있는지 확인합니다. |
-
1GbE 네트워크 이상을 사용하여 NetApp 스토리지 시스템과 Vscan 서버를 연결합니다.
-
여러 Vscan 서버가 있는 환경의 경우 비슷한 고성능 네트워크 연결이 있는 모든 서버를 연결합니다. Vscan 서버를 연결하면 부하 공유를 허용하여 성능이 향상됩니다.
-
원격 사이트 및 지사의 경우 NetApp는 원격 Vscan 서버 대신 로컬 Vscan 서버를 사용할 것을 권장합니다. 이는 지연 시간이 길기 때문입니다. 비용이 중요한 경우 보통 수준의 바이러스 보호를 위해 노트북 또는 PC를 사용하십시오. 볼륨 또는 qtree를 공유하고 원격 사이트의 모든 시스템에서 스캔하여 전체 파일 시스템 검사를 주기적으로 예약할 수 있습니다.
-
여러 Vscan 서버를 사용하여 로드 밸런싱 및 이중화를 위해 SVM의 데이터를 스캔합니다. CIFS 워크로드 양과 그에 따른 바이러스 백신 트래픽은 SVM당 다릅니다. 스토리지 컨트롤러에서 CIFS 및 바이러스 검사 지연 시간을 모니터링합니다. 시간에 따른 결과 추세를 모니터링합니다. 추세 임계값을 초과하는 Vscan 서버의 CPU 또는 애플리케이션 큐로 인해 CIFS 지연 시간 및 바이러스 검사 지연 시간이 증가하면 CIFS 클라이언트가 대기 시간이 길어질 수 있습니다. Vscan 서버를 추가합니다 하중을 분산시킵니다.
-
최신 버전의 ONTAP 안티바이러스 커넥터를 설치합니다.
-
바이러스 백신 엔진과 정의를 최신 상태로 유지합니다. 업데이트 빈도에 대한 권장 사항은 파트너에게 문의하십시오.
-
멀티 테넌시 환경에서는 Vscan 서버와 SVM이 동일한 도메인 또는 신뢰할 수 있는 도메인에 속해 있는 경우 여러 SVM과 스캐너 풀(Vscan 서버 풀)을 공유할 수 있습니다.
-
감염된 파일에 대한 바이러스 백신 소프트웨어 정책은 대부분의 바이러스 백신 공급업체에서 설정한 기본값인 "삭제" 또는 "격리"로 설정되어야 합니다. "vscan-fileop-profile"이 "write_only"로 설정되어 있고 감염된 파일이 발견되면 파일이 공유에 남아 있고 파일을 열면 검사가 트리거되지 않으므로 열 수 있습니다. 바이러스 백신 검사는 파일을 닫은 후에만 트리거됩니다.
-
를 클릭합니다
scan-engine timeout
값은 보다 작아야 합니다scanner-pool request-timeout
값. 더 높은 값으로 설정하면 파일 액세스가 지연되고 결국 시간 초과될 수 있습니다. 이를 방지하려면 를 구성하십시오scan-engine timeout
보다 5초 더 짧습니다scanner-pool request-timeout
값. 를 변경하는 방법에 대한 지침은 스캔 엔진 공급업체의 설명서를 참조하십시오scan-engine timeout
설정. 를 클릭합니다scanner-pool timeout
고급 모드에서 다음 명령을 사용하고 에 적절한 값을 입력하여 변경할 수 있습니다request-timeout
매개 변수:vserver vscan scanner-pool modify
. -
온-액세스 검사 워크로드에 적합한 크기로 주문형 검사를 사용해야 하는 환경의 경우, NetApp 기존 바이러스 백신 인프라에 추가 로드가 발생하지 않도록 사용량이 적은 시간에 온디맨드 검사 작업을 예약하는 것이 좋습니다.
파트너 관련 모범 사례에 대한 자세한 내용은 을 "Vscan 파트너 솔루션"참조하십시오.