FPolicy를 구성하기 위한 요구사항, 고려 사항 및 모범 사례
스토리지 가상 시스템(SVM)에서 FPolicy 구성을 생성하고 구성하기 전에 FPolicy를 구성하기 위한 특정 요구사항, 고려 사항 및 모범 사례를 알고 있어야 합니다.
FPolicy 기능은 CLI(Command Line Interface) 또는 REST API를 통해 구성됩니다.
FPolicy 설정 요구 사항
SVM(스토리지 가상 머신)에서 FPolicy를 구성하고 사용하기 전에 특정 요구사항을 알고 있어야 합니다.
-
클러스터의 모든 노드는 FPolicy를 지원하는 ONTAP 버전을 실행하고 있어야 합니다.
-
ONTAP 기본 FPolicy 엔진을 사용하지 않는 경우 외부 FPolicy 서버(FPolicy 서버)가 설치되어 있어야 합니다.
-
FPolicy 정책은 사용되는 SVM의 데이터 LIF에서 액세스할 수 있는 서버에 FPolicy 서버를 설치해야 합니다.
ONTAP 9.8부터 ONTAP는 data-fpolicy-client
서비스가 추가된 아웃바운드 FPolicy 연결에 대한 클라이언트 LIF 서비스를 제공합니다. "LIF 및 서비스 정책에 대해 자세히 알아보십시오".. -
FPolicy 서버의 IP 주소는 FPolicy 정책 외부 엔진 구성에서 1차 또는 2차 서버로 구성해야 합니다.
-
FPolicy 서버가 권한 있는 데이터 채널을 통해 데이터에 액세스하는 경우 다음과 같은 추가 요구사항이 충족되어야 합니다.
-
SMB는 클러스터에서 라이센스가 있어야 합니다.
권한 있는 데이터 액세스는 SMB 연결을 사용하여 수행됩니다.
-
권한이 있는 데이터 채널을 통해 파일에 액세스하기 위한 사용자 자격 증명을 구성해야 합니다.
-
FPolicy 서버는 FPolicy 구성에 구성된 자격 증명에서 실행해야 합니다.
-
FPolicy 서버와 통신하는 데 사용되는 모든 데이터 LIF는 허용되는 프로토콜 중 하나로 'CIFS'를 사용하도록 구성해야 합니다.
패스스루 읽기 연결에 사용되는 LIF가 포함됩니다.
-
FPolicy를 설정할 때의 모범 사례와 권장 사항입니다
SVM(스토리지 가상 머신)에서 FPolicy를 설정할 때 일반 구성 모범 사례와 권장 사항을 잘 활용하여 FPolicy 구성이 고객의 요구사항을 충족하는 강력한 모니터링 성능 및 결과를 제공하도록 하십시오.
성능, 사이징 및 구성과 관련된 특정 지침은 FPolicy 파트너 애플리케이션을 사용하십시오.
영구 저장소
ONTAP 9.14.1부터 FPolicy를 사용하면 SVM의 비동기적 정책에 대한 파일 액세스 이벤트를 캡처하는 영구 저장소를 설정할 수 있습니다. 영구 저장소는 클라이언트 I/O 처리를 FPolicy 알림 처리와 분리하여 클라이언트 지연 시간을 줄여 줍니다. 동기(필수 또는 비필수) 및 비동기 필수 구성은 지원되지 않습니다.
-
영구 저장소 기능을 사용하기 전에 파트너 응용 프로그램에서 이 구성을 지원하는지 확인하십시오.
-
FPolicy가 활성화된 각 SVM에 대해 하나의 영구 저장소가 필요합니다.
-
각 SVM에 하나의 영구 저장소만 설정할 수 있습니다. 서로 다른 파트너의 정책이 있는 경우에도 이 단일 영구 저장소를 해당 SVM의 모든 FPolicy 구성에 사용해야 합니다.
-
-
ONTAP 9.15.1 이상:
-
영구 저장소를 만들 때 영구 저장소, 볼륨 및 해당 볼륨 구성이 자동으로 처리됩니다.
-
-
ONTAP 9.14.1:
-
영구 저장소, 볼륨 및 해당 볼륨 구성은 수동으로 처리됩니다.
-
-
FPolicy로 최대 트래픽을 모니터링할 것으로 예상되는 LIF가 포함된 노드에 영구 저장소 볼륨을 생성합니다.
-
ONTAP 9.15.1 이상: 영구 저장소 생성 중에 볼륨이 자동으로 생성되고 구성됩니다.
-
ONTAP 9.14.1: 클러스터 관리자는 FPolicy가 활성화된 각 SVM에서 영구 저장소의 볼륨을 생성하고 구성해야 합니다.
-
-
영구 저장소에 누적된 알림이 프로비저닝된 볼륨 크기를 초과하면 FPolicy가 적절한 EMS 메시지와 함께 수신 알림을 삭제하기 시작합니다.
-
ONTAP 9.15.1 이상: 추가
size
매개 변수, 입니다autosize-mode
매개 변수는 사용된 공간에 대한 응답으로 볼륨을 확장하거나 축소하는 데 도움이 될 수 있습니다. -
ONTAP 9.14.1: 입니다
size
최대 한도를 제공하기 위해 볼륨 생성 중에 매개 변수를 구성합니다.
-
-
스냅샷 정책을 로 설정합니다
none
를 대신 영구 저장소 볼륨에 사용합니다default
. 이는 스냅샷을 실수로 복구하여 현재 이벤트가 손실되지 않도록 하고 중복 이벤트 처리를 방지하기 위한 것입니다.-
ONTAP 9.15.1 이상
snapshot-policy
영구 저장소 생성 중에는 매개 변수가 자동으로 없음으로 구성됩니다. -
ONTAP 9.14.1: 입니다
snapshot-policy
매개 변수가 로 구성됩니다none
볼륨 생성 중.
-
-
영구 저장소 볼륨을 외부 사용자 프로토콜 액세스(CIFS/NFS)에 액세스할 수 없도록 하여 영구 이벤트 레코드가 실수로 손상되거나 삭제되지 않도록 합니다.
-
ONTAP 9.15.1 이상: 영구 저장소를 생성하는 동안 ONTAP는 외부 사용자 프로토콜 액세스(CIFS/NFS)에서 볼륨을 자동으로 차단합니다.
-
ONTAP 9.14.1: FPolicy를 활성화한 후 ONTAP에서 볼륨을 마운트 해제하여 접합 경로를 제거합니다. 따라서 외부 사용자 프로토콜 액세스(CIFS/NFS)에 액세스할 수 없습니다.
-
자세한 내용은 을 참조하십시오 "FPolicy 영구 저장소" 및 "영구 저장소를 만듭니다".
영구 저장소 페일오버 및 반환
영구 저장소는 마지막 이벤트가 수신되었을 때와 마찬가지로 예상치 못한 재부팅이 발생하거나 FPolicy가 비활성화되었다가 다시 사용되도록 설정됩니다. 테이크오버 작업 후 새 이벤트는 파트너 노드에서 저장하고 처리합니다. 반환 작업 후 영구 저장소는 노드 테이크오버 발생 시 계속 처리될 수 있는 처리되지 않은 이벤트의 처리를 다시 시작합니다. 라이브 이벤트는 처리되지 않은 이벤트보다 우선 순위가 부여됩니다.
영구 저장소 볼륨이 한 노드에서 동일한 SVM의 다른 노드로 이동하는 경우 아직 처리되지 않은 알림은 새 노드로 이동됩니다. 를 다시 실행해야 합니다 fpolicy persistent-store create
보류 중인 알림이 외부 서버로 전달되도록 볼륨을 이동한 후 두 노드 중 하나에서 명령을 실행합니다.
정책 구성
SVM에 대한 FPolicy 외부 엔진, 이벤트 및 범위를 구성하여 전반적인 경험과 보안을 향상할 수 있습니다.
-
SVM용 FPolicy 외부 엔진 구성:
-
추가 보안 제공에는 성능 비용이 발생합니다. SSL(Secure Sockets Layer) 통신을 활성화하면 공유 액세스에 성능 영향이 있습니다.
-
FPolicy 외부 엔진은 FPolicy 서버 알림 처리의 복원력과 고가용성을 제공하도록 FPolicy 서버를 두 개 이상 구성해야 합니다.
-
-
SVM에 대한 FPolicy 이벤트 구성:
파일 작업 모니터링은 전반적인 환경에 영향을 미칩니다. 예를 들어, 스토리지 측에서 원치 않는 파일 작업을 필터링하면 작업 환경이 개선됩니다. NetApp에서는 다음 구성을 설정할 것을 권장합니다.
-
최소 파일 작업 유형을 모니터링하고 사용 사례를 위반하지 않고 최대 필터 수를 설정합니다.
-
GetAttr , 읽기, 쓰기, 열기 및 닫기 작업에 필터를 사용합니다. SMB 및 NFS 홈 디렉토리 환경에서는 이러한 작업의 비율이 높습니다.
-
-
SVM에 대한 FPolicy 범위 구성:
전체 SVM에서 정책 범위를 설정하는 대신 공유, 볼륨, 엑스포트 등의 관련 스토리지 오브젝트로 정책 범위를 제한합니다. NetApp에서는 디렉터리 확장명을 확인하는 것이 좋습니다. 를 누릅니다
is-file-extension-check-on-directories-enabled
매개 변수가 로 설정되었습니다 `true`디렉터리 개체는 일반 파일과 동일한 확장 검사를 받습니다.
네트워크 구성
FPolicy 서버와 컨트롤러 간 네트워크 연결 지연 시간이 짧아야 합니다. NetApp은 개인 네트워크를 사용하여 FPolicy 트래픽을 클라이언트 트래픽과 분리하는 것을 권장합니다.
또한 대기 시간과 고대역폭 연결을 최소화하기 위해 외부 FPolicy 서버(FPolicy 서버)를 고대역폭 연결을 통해 클러스터 근처에 배치해야 합니다.
FPolicy 트래픽용 LIF가 클라이언트 트래픽을 위해 LIF와 다른 포트에서 구성된 시나리오의 경우 포트 장애로 인해 FPolicy LIF가 다른 노드로 페일오버될 수 있습니다. 따라서 FPolicy 서버에 노드에 연결할 수 없게 되어 노드의 파일 작업에 대한 FPolicy 알림이 실패합니다. 이 문제를 방지하려면 FPolicy 서버가 노드의 하나 이상의 LIF를 통해 도달하여 해당 노드에서 수행된 파일 작업에 대한 FPolicy 요청을 처리할 수 있는지 확인하십시오. |
하드웨어 구성
FPolicy 서버를 물리적 서버 또는 가상 서버에 사용할 수 있습니다. FPolicy 서버가 가상 환경에 있는 경우 전용 리소스(CPU, 네트워크 및 메모리)를 가상 서버에 할당해야 합니다.
클러스터 노드-FPolicy 서버 비율은 FPolicy 서버가 과부하되지 않도록 최적화되어야 하며, 이는 SVM이 클라이언트 요청에 응답할 때 지연 시간을 유발할 수 있습니다. 최적의 비율은 FPolicy 서버를 사용하는 파트너 애플리케이션에 따라 다릅니다. NetApp은 파트너와 협력하여 적절한 가치를 결정할 것을 권장합니다.
다중 정책 구성
시퀀스 번호와 관계없이 기본 차단에 대한 FPolicy 정책이 가장 높은 우선순위를 가지며, 결정 변경 정책은 다른 정책보다 더 높은 우선순위를 갖습니다. 정책 우선 순위는 사용 사례에 따라 다릅니다. NetApp은 파트너와 협력하여 적절한 우선 순위를 결정할 것을 권장합니다.
크기 고려 사항
FPolicy는 SMB 및 NFS 작업의 인라인 모니터링을 수행하고, 외부 서버로 알림을 전송하고, 외부 엔진 통신 모드(동기식 또는 비동기식)에 따라 응답을 기다립니다. 이 프로세스는 SMB 및 NFS 액세스 및 CPU 리소스의 성능에 영향을 줍니다.
문제를 완화하기 위해 NetApp은 파트너와 협력하여 FPolicy를 사용하기 전에 환경을 평가하고 크기를 조정하는 것이 좋습니다. 사용자 수, 작업량 특성(사용자 및 데이터 크기별 작업, 네트워크 지연 시간, 장애 또는 서버 속도 등) 등 여러 요소의 성능이 영향을 받습니다.
성능을 모니터링합니다
FPolicy는 알림 기반 시스템입니다. 알림은 처리를 위해 외부 서버로 전송되고 ONTAP에 대한 응답을 다시 생성합니다. 이 라운드 트립 프로세스는 클라이언트 액세스의 지연 시간을 늘립니다.
FPolicy 서버와 ONTAP에서 성능 카운터를 모니터링하면 솔루션에서 병목 현상을 식별하고 최적의 솔루션을 위해 필요에 따라 매개 변수를 조정할 수 있습니다. 예를 들어 FPolicy 지연 시간이 증가하면 SMB 및 NFS 액세스 지연 시간에 계단식 효과가 나타납니다. 따라서 워크로드(SMB 및 NFS)와 FPolicy 지연 시간을 모두 모니터링해야 합니다. 또한 ONTAP의 서비스 품질 정책을 사용하여 FPolicy에 사용되는 각 볼륨 또는 SVM에 대한 워크로드를 설정할 수 있습니다.
NetApp에서는 을 실행할 것을 권장합니다 statistics show –object workload
명령을 사용하여 워크로드 통계를 표시합니다. 또한 다음 매개 변수를 모니터링해야 합니다.
-
평균, 읽기 및 쓰기 지연 시간
-
총 작업 수입니다
-
카운터 읽기 및 쓰기
다음 FPolicy 카운터를 사용하여 FPolicy 하위 시스템의 성능을 모니터링할 수 있습니다.
FPolicy와 관련된 통계를 수집하려면 진단 모드에 있어야 합니다. |
-
FPolicy 카운터 수집:
-
statistics start -object fpolicy -instance instance_name -sample-id ID
-
statistics start -object fpolicy_policy -instance instance_name -sample-id ID
-
-
FPolicy 카운터 표시:
-
statistics show -object fpolicy –instance instance_name -sample-id ID
-
statistics show -object fpolicy_server –instance instance_name -sample-id ID
를 클릭합니다
fpolicy
및fpolicy_server
카운터는 다음 표에 설명된 여러 성능 매개 변수에 대한 정보를 제공합니다.카운터 설명 "FPolicy" 카운터 *
중단_요청
SVM에서 처리가 중단된 화면 요청 수입니다
event_count입니다
알림을 발생시키는 이벤트 목록입니다
max_request_latency를 입력합니다
최대 화면 요청 대기 시간
미결_요청
처리 중인 총 화면 요청 수입니다
처리된_요청
SVM에서 FPolicy 처리를 통해 수행된 총 화면 요청 수입니다
request_latency_hist 를 참조하십시오
화면 요청에 대한 지연 시간의 히스토그램입니다
Requests_Dispatched_rate(요청_발송
초당 디스패치된 화면 요청 수입니다
request_Received_rate를 입력합니다
초당 수신된 화면 요청 수입니다
“FPolicy_Server” 카운터*
max_request_latency를 입력합니다
화면 요청에 대한 최대 대기 시간입니다
미결_요청
응답을 기다리는 총 화면 요청 수입니다
request_latency를 입력합니다
화면 요청에 대한 평균 대기 시간입니다
request_latency_hist 를 참조하십시오
화면 요청에 대한 지연 시간의 히스토그램입니다
request_sent_rate입니다
초당 FPolicy 서버로 전송된 화면 요청 수입니다
응답_수신_속도
FPolicy 서버에서 초당 수신한 화면 응답 수입니다
-
FPolicy 워크플로우 및 다른 기술에 대한 의존성을 관리합니다
구성을 변경하기 전에 FPolicy 정책을 사용하지 않는 것이 좋습니다. NetApp 예를 들어 활성화된 정책에 대해 구성된 외부 엔진에서 IP 주소를 추가하거나 수정하려면 먼저 정책을 사용하지 않도록 설정합니다.
NetApp FlexCache 볼륨을 모니터링하도록 FPolicy를 구성하는 경우 NetApp는 FPolicy를 구성하여 읽기 및 GetAttr 파일 작업을 모니터링하지 않는 것이 좋습니다. ONTAP에서 이러한 작업을 모니터링하려면 inode-to-path(I2P) 데이터를 검색할 필요가 있습니다. I2P 데이터는 FlexCache 볼륨에서 검색할 수 없으므로 원본 볼륨에서 가져와야 합니다. 따라서 이러한 작업을 모니터링하면 FlexCache가 제공할 수 있는 성능 이점이 없어집니다.
FPolicy와 오프박스 바이러스 백신 솔루션을 모두 구축하면 바이러스 백신 솔루션에서 먼저 알림을 받습니다. FPolicy 처리는 바이러스 백신 검사가 완료된 후에만 시작됩니다. 바이러스 백신 검사 속도가 느리면 전체 성능이 저하될 수 있으므로 바이러스 백신 솔루션의 크기를 올바르게 조정하는 것이 중요합니다.
통과 연결 - 읽기 업그레이드 및 되돌리기 고려 사항
패스스루 읽기를 지원하는 ONTAP 릴리즈로 업그레이드하기 전에 또는 패스스루 읽기를 지원하지 않는 릴리즈로 되돌리기 전에 반드시 알아야 하는 특정 업그레이드 및 되돌리기 고려 사항이 있습니다.
업그레이드 중
모든 노드가 FPolicy 패스스루 읽기를 지원하는 ONTAP 버전으로 업그레이드된 후 클러스터는 패스스루 읽기 기능을 사용할 수 있습니다. 하지만 기존 FPolicy 구성에서는 패스스루 읽기가 기본적으로 비활성화됩니다. 기존 FPolicy 구성에서 패스스루 읽기를 사용하려면 FPolicy 정책을 비활성화하고 구성을 수정한 다음 구성을 다시 활성화해야 합니다.
되돌리기
FPolicy 패스스루 읽기를 지원하지 않는 ONTAP 버전으로 되돌리기 전에 다음 조건을 충족해야 합니다.
-
패스스루 읽기를 사용하여 모든 정책을 비활성화한 다음 패스스루 읽기를 사용하지 않도록 영향을 받는 구성을 수정합니다.
-
클러스터에서 모든 FPolicy 정책을 사용하지 않도록 설정하여 클러스터에서 FPolicy 기능을 사용하지 않도록 설정합니다.
영구 저장소를 지원하지 않는 ONTAP 버전으로 되돌리기 전에 FPolicy 정책에 영구 저장소가 구성되어 있지 않은지 확인하십시오. 영구 저장소가 구성되어 있으면 되돌리기가 실패합니다.