规划 FPolicy 外部引擎配置

在配置 FPolicy 外部引擎(外部引擎)之前,您必须了解创建外部引擎的含义以及可用的配置参数。此信息可帮助您确定为每个参数设置的值。

创建 FPolicy 外部引擎时定义的信息

外部引擎配置定义了 FPolicy 建立和管理与外部 FPolicy 服务器( FPolicy 服务器)的连接所需的信息、包括以下信息:

vserver fpolicy policy external-engine create该命令用于创建 FPolicy 外部引擎。

基本的外部引擎参数是什么

您可以使用以下基本 FPolicy 配置参数表帮助您规划配置:

信息类型 选项
SVM

指定SVM要与此外部引擎关联的 SVM 名称。

每个 FPolicy 配置都是在单SVM的。要创建 FPolicy 策略配置、将外部引擎、策略事件、策略范围和策略合并在一起的外部引擎、策略事件、策略范围和策略都必须与同一SVM

-vserver vserver_name
引擎名称

指定要分配给外部引擎配置的名称。以后创建 FPolicy 策略时,必须指定外部引擎名称。这会将外部引擎与策略相关联。

名称最长可为 256 个字符。

注:如果在 MetroCluster 或SVM 灾难恢复配置中配置外部引擎名称,则名称最长应为 200 个字符。

该名称可以包含以下 ASCII 范围字符的任意组合:

  • A Z
  • A Z
  • 0 9
  • _ -
- 引擎名称 engine_name
主 FPolicy 服务器

指定节点向其发送给定 FPolicy 策略通知的主 FPolicy 服务器。该值指定为以逗号分隔的 IP 地址列表。

如果指定了多个主服务器 IP 地址、SVM启用策略时、 SVM 参与的每个节点都会创建到每个指定主 FPolicy 服务器的控制连接。如果配置多个主 FPolicy 服务器、通知将以循环方式发送到 FPolicy 服务器。

如果在 MetroCluster 或SVM 灾难恢复配置中使用外部引擎,则应将源站点上 FPolicy 服务器的 IP 地址指定为主服务器。应将目标站点上 FPolicy 服务器的 IP 地址指定为辅助服务器。

- 主服务器IP_address、 ...
端口号

指定 FPolicy 服务的端口号。

-port integer
辅助 FPolicy 服务器

指定要向其发送给定 FPolicy 策略的文件访问事件的辅助 FPolicy 服务器。该值指定为以逗号分隔的 IP 地址列表。

仅当不能访问任何主服务器时才使用辅助服务器。启用策略时会建立到辅助服务器的连接,但只有当没有可访问的主服务器时,才会将通知发送到辅助服务器。如果配置多个辅助服务器、通知将以循环方式发送到 FPolicy 服务器。

- 辅助服务器IP_address、 ...
外部引擎类型

指定外部引擎是以同步模式还是异步模式运行。默认情况下, FPolicy 在同步模式下运行。

如果设置为 Synchronous (同步)、 File Request Processing (文件请求处理)会向 FPolicy 服务器发送通知、但在收到来自 FPolicy 服务器的响应后才会继续。此时,请求流会继续或处理会导致拒绝,具体取决于 FPolicy 服务器的响应是否允许请求的操作。

设置为异步时、文件请求处理会向 FPolicy 服务器发送通知,然后继续。

- extern - engine - 类型 external_engine_type

此参数的值可以是以下值之一:

  • 同步
  • 异步
用于与 FPolicy Server 通信的 SSL 选项

指定用于与 FPolicy 服务器通信的 SSL 选项。这是必需的参数。您可以根据以下信息选择其中一个选项:

  • 如果设置为 No-auth ,则不会进行身份验证。

    通信链路是通过 TCP 建立的。

  • 如果设置为 server-authSVM 将使用 SSL 服务器身份验证来验证 FPolicy 服务器。
  • 设置为相互验证时SVM 和 FPolicy 服务器之间进行相互验证;SVM 验证 FPolicy 服务器,而 FPolicy 服务器验证SVM

    如果选择配置相互 SSL 身份验证、则还必须配置 -certificate-common-name -certificate-serial -certificate-CA 参数。

-ssl-option {no-auth|server-auth|Mutual -auth}
证书 FQDN 或自定义常用名

指定SVM 和 FPolicy 服务器之间配置 SSL 身份验证时使用的证书名称。您可以将证书名称指定为 FQDN 或自定义通用名称。

如果为 -ssl-option 参数指定了 common-auth ,则必须为 -certifice-common-name 参数指定一个值。

-certifice-common-name text
证书序列号

指定SVM 和 FPolicy 服务器之间配置 SSL 身份验证时用于身份验证的证书的序列号。

如果为 -ssl-option 参数指定了相互验证、则必须为 -certifice-serial 参数指定一个值。

- 证书 - 串行 text
证书颁发机构

指定SVM 和 FPolicy 服务器之间配置 SSL 身份验证时用于身份验证的证书的 CA 名称。

如果为 -ssl-option 参数指定了相互验证、则必须为 -validate-CA 参数指定一个值。

- 证书 - CA text

高级外部引擎选项是什么

您可以在计划是否使用高级参数自定义配置时使用以下高级 FPolicy 配置参数表。您可以使用这些参数修改集群节点和 FPolicy 服务器之间的通信行为:

信息类型 选项
取消请求超时

指定节点等待来自 FPolicy 服务器的响应的时间间隔(以小时( h )、分钟( m )或秒为单位)。

如果超时时间间隔已过、节点将向 FPolicy 服务器发送取消请求。然后,该节点将通知发送到备用 FPolicy 服务器。此超时有助于处理未响应的 FPolicy 服务器、这可以改善 SMB/NFS 客户端响应。此外、在超时期限后取消请求有助于释放系统资源、因为通知请求将从一个向下 / 错误的 FPolicy 服务器移动到另一个 FPolicy 服务器。

此值的范围是 0 100 。如果将该值设置为 0 、则禁用该选项、取消请求消息不会发送到 FPolicy 服务器。默认值为 20 秒

- reqs - 取消 - 超时integer [ h | m | s]
中止请求超时

指定中止请求的超时时间(以小时( h )、分钟( m )或秒为单位)。

此值的范围是 0 200

-reqs - 中止 - 超时integer [ h | m | s]
发送状态请求的时间间隔

以小时( h )、分钟( m )或秒(秒)为单位指定将状态请求发送到 FPolicy 服务器的时间间隔。

此值的范围是 0 50 。如果该值设置为 0 、则禁用该选项、并且不会将状态请求消息发送到 FPolicy 服务器。默认值为 10 秒

-status-req-intervalinteger [ h | m | s ]
FPolicy 服务器上未处理的最大请求数

指定可在 FPolicy 服务器上排队的未处理请求的最大数量。

此值的范围为 1 10000 。默认值为 50

-max-server-reqs integer
断开无响应 FPolicy 服务器的超时

以小时( h )、分钟( m )或秒(秒)为单位指定终止与 FPolicy 服务器的连接的时间间隔。

只有当 FPolicy 服务器的队列包含允许的最大请求且在超时期间内未收到响应时、连接才会在超时期间后终止。允许的最大请求数为 50 (默认值)或 max-server-reqs 参数指定的数目。 parameter.

此值的范围为 1 100 。默认值为 60 秒

- 服务器 - 进度 - 超时integer [ h | m | s ]
将保持活动状态消息发送到 FPolicy 服务器的时间间隔

指定将保持活动消息发送到 FPolicy 服务器的时间间隔(以小时( h )、分钟( m )或秒为单位)。

保持活动消息检测半开放式连接。

此值的范围为 10 600 。如果将该值设置为 0 、则禁用该选项并防止将保持活动消息发送到 FPolicy 服务器。默认值为 120 秒

- 保持活动 - 间隔 -integer [h | m | s]
最大重新连接尝试次数

指定SVM连接后 SVM 尝试重新连接到 FPolicy 服务器的最大次数。

此值的范围是 0 20 。默认值为 5

-max-connection-retries integer
接收缓冲区大小

指定 FPolicy 服务器连接套接字的接收缓冲区大小。

默认值设置为 256 KB 。当值设置为 0 时、接收缓冲区的大小将设置为系统定义的值。

例如,如果套接字的默认接收缓冲区大小为 65536 字节、则通过将可调值设置为 0 、套接字缓冲区大小设置为 65536 字节。您可以使用任何非默认值来设置接收缓冲区的大小(以字节为单位)。

- recv - 缓冲区大小 integer
发送缓冲区大小

指定 FPolicy 服务器连接套接字的发送缓冲区大小。

默认值设置为 256 KB 。当值设置为 0 时、发送缓冲区的大小将设置为系统定义的值。

例如,如果套接字的默认发送缓冲区大小设置为 65536 字节、则通过将可调值设置为 0 、套接字缓冲区大小设置为 65536 字节。您可以使用任何非默认值设置发送缓冲区的大小(以字节为单位)。

-send-buffer 大小 integer
重新连接期间清除会话 ID 超时

指定重新连接尝试期间向 FPolicy 服务器发送新会话 ID 的时间间隔(小时 [ 小时 ] 、 [ 分钟 ] 、 [ 秒 ] )。

如果存储控制器和 FPolicy 服务器之间的连接终止并且在 -session-timeout 时间间隔内进行重新连接,则旧会话 ID 将发送到 FPolicy 服务器,以便它可以发送旧通知的响应。

默认值设置为 10 秒。

- 会话超时 [h][m][s] integerintegerinteger