FPolicy가 외부 FPolicy 서버에서 작동하는 방식
스토리지 가상 시스템(SVM)에서 FPolicy를 구성하고 사용하도록 설정한 후에는 SVM이 참여하는 모든 노드에서 FPolicy가 실행됩니다. FPolicy는 알림 처리를 위해 외부 FPolicy 서버(FPolicy 서버)와의 연결을 설정하고 유지하는 동시에 FPolicy 서버와 주고받는 알림 메시지를 관리하는 역할을 합니다.
또한 연결 관리의 일환으로 FPolicy는 다음과 같은 책임을 수행합니다.
-
파일 알림이 올바른 LIF를 통해 FPolicy 서버로 흐르도록 합니다.
-
여러 FPolicy 서버가 정책에 연결될 때 FPolicy 서버로 알림을 보낼 때 로드 밸런싱이 수행됩니다.
-
FPolicy 서버에 대한 연결이 끊어지면 연결을 다시 설정하려고 시도합니다.
-
인증된 세션을 통해 FPolicy 서버에 알림을 보냅니다.
-
패스스루 읽기가 활성화된 경우 FPolicy 서버에서 클라이언트 요청을 처리하기 위해 설정하는 패스스루 읽기 데이터 연결을 관리합니다.
FPolicy 통신에는 제어 채널이 어떻게 사용됩니다
FPolicy는 스토리지 가상 머신(SVM)에 참여하는 각 노드의 데이터 LIF에서 외부 FPolicy 서버에 대한 제어 채널 연결을 시작합니다. FPolicy는 제어 채널을 사용하여 파일 알림을 전송합니다. 따라서 FPolicy 서버는 SVM 토폴로지를 기준으로 여러 개의 제어 채널 연결을 볼 수 있습니다.
동기 통신에 권한 있는 데이터 액세스 채널이 사용되는 방식
동기식 사용 사례에서 FPolicy 서버는 권한이 있는 데이터 액세스 경로를 통해 SVM(스토리지 가상 머신)에 있는 데이터에 액세스합니다. 권한 있는 경로를 통해 액세스하면 전체 파일 시스템이 FPolicy 서버에 노출됩니다. IT 부서는 데이터 파일에 액세스하여 정보를 수집하고, 파일을 스캔하거나, 파일을 읽거나, 파일에 쓸 수 있습니다.
외부 FPolicy 서버가 권한 있는 데이터 채널을 통해 SVM 루트에서 전체 파일 시스템에 액세스할 수 있으므로 권한이 있는 데이터 채널 연결이 보안되어야 합니다.
권한 있는 데이터 액세스 채널에서 FPolicy 연결 자격 증명을 사용하는 방법
FPolicy 서버는 FPolicy 구성과 함께 저장된 특정 Windows 사용자 자격 증명을 사용하여 클러스터 노드에 대한 권한 있는 데이터 액세스 연결을 만듭니다. SMB는 권한이 있는 데이터 액세스 채널 연결을 만들기 위해 지원되는 유일한 프로토콜입니다.
FPolicy 서버에 권한이 있는 데이터 액세스가 필요한 경우 다음 조건을 충족해야 합니다.
-
클러스터에서 SMB 라이센스를 활성화해야 합니다.
-
FPolicy 서버는 FPolicy 구성에 구성된 자격 증명에서 실행해야 합니다.
데이터 채널을 연결할 때 FPolicy는 지정된 Windows 사용자 이름에 대한 자격 증명을 사용합니다. admin 공유 ONTAP_admin$에서 데이터 액세스가 가능합니다.
권한 있는 데이터 액세스를 위해 수퍼 사용자 자격 증명을 부여하는 것은 무엇을 의미하는지
ONTAP는 FPolicy 구성에 구성된 IP 주소와 사용자 자격 증명의 조합을 사용하여 수퍼 사용자 자격 증명을 FPolicy 서버에 부여합니다.
수퍼 사용자 상태는 FPolicy 서버가 데이터에 액세스할 때 다음 권한을 부여합니다.
-
권한 검사를 피하십시오
사용자는 파일 및 디렉터리 액세스에 대한 검사를 피할 수 있습니다.
-
특수 잠금 권한
ONTAP는 기존 잠금과 관계없이 모든 파일에 대한 읽기, 쓰기 또는 수정 액세스를 허용합니다. FPolicy 서버가 파일에서 바이트 범위 잠금을 사용하면 파일에서 기존 잠금을 즉시 제거할 수 있습니다.
-
FPolicy 검사를 생략합니다
FPolicy 알림을 생성하지 않습니다.
FPolicy가 정책 처리를 관리하는 방법입니다
스토리지 가상 시스템(SVM)에 여러 FPolicy 정책이 할당될 수 있으며 각 정책은 서로 다른 우선순위를 갖습니다. SVM에 적절한 FPolicy 구성을 생성하려면 FPolicy에서 정책 처리를 관리하는 방법을 이해하는 것이 중요합니다.
각 파일 액세스 요청은 처음에 평가하여 이 이벤트를 모니터링하는 정책을 결정합니다. 모니터링되는 이벤트인 경우 관심 있는 정책과 함께 모니터링되는 이벤트에 대한 정보가 FPolicy로 전달되어 FPolicy가 평가됩니다. 각 정책은 할당된 우선 순위에 따라 평가됩니다.
정책을 구성할 때는 다음 권장 사항을 고려해야 합니다.
-
다른 정책보다 먼저 정책을 항상 평가하려면 우선 순위가 더 높은 정책을 구성합니다.
-
모니터링되는 이벤트에 대해 요청된 파일 액세스 작업의 성공이 다른 정책에 대해 평가된 파일 요청에 대한 사전 요구 사항이면 첫 번째 파일 작업의 성공 또는 실패를 보다 높은 우선 순위로 제어하는 정책을 지정합니다.
예를 들어, 하나의 정책이 FPolicy 파일 아카이빙 및 복원 기능을 관리하고 두 번째 정책이 온라인 파일의 파일 액세스 작업을 관리하는 경우, 파일 복원을 관리하는 정책은 우선 순위가 더 높아야 두 번째 정책에 의해 관리되는 작업을 허용하기 전에 파일을 복원할 수 있습니다.
-
파일 액세스 작업에 적용할 수 있는 모든 정책을 평가하려면 동기 정책을 낮은 우선 순위로 지정합니다.
정책 시퀀스 번호를 수정하여 기존 정책에 대한 정책 우선 순위를 다시 정렬할 수 있습니다. 하지만 FPolicy에서 수정된 우선 순위 순서에 따라 정책을 평가하도록 하려면 수정된 시퀀스 번호를 사용하여 정책을 사용하지 않도록 설정하고 다시 활성화해야 합니다.