Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在ONTAP中配置机下防病毒功能的最佳实践

贡献者
PDF

在ONTAP中配置机下功能时、请考虑以下建议。

  • 限制有权限的用户执行病毒扫描操作。不应鼓励普通用户使用有权限的用户凭据。可以通过关闭Active Directory上有权限的用户的登录权限来实现此限制。

  • 有权限的用户不必属于在域中拥有大量权限的任何用户组、例如管理员组或备份操作员组。有权限的用户只能通过存储系统进行验证、以便可以创建Vscan服务器连接并访问文件以进行病毒扫描。

  • 运行Vscan服务器的计算机仅用于病毒扫描。为了阻止常规使用、请禁用这些计算机上的Windows终端服务和其他远程访问配置、并仅向管理员授予在这些计算机上安装新软件的权限。

  • 将Vscan服务器专用于病毒扫描、不要将其用于备份等其他操作。您可能决定将Vscan服务器作为虚拟机(VM)运行。如果将Vscan服务器作为VM运行、请确保分配给该VM的资源不会共享、并且有足够的资源来执行病毒扫描。

  • 为Vscan服务器提供足够的CPU、内存和磁盘容量、以避免资源分配过度。大多数Vscan服务器都设计为使用多个CPU核心服务器、并在CPU之间分布负载。

  • NetApp建议使用具有专用VLAN的专用网络从SVM连接到Vscan服务器、以使扫描流量不受其他客户端网络流量的影响。创建一个单独的网络接口卡(Network Interface Card、NIC)、专用于Vscan服务器上的防病毒VLAN和SVM上的数据LIF。此步骤可简化出现网络问题时的管理和故障排除。防病毒流量应使用专用网络进行隔离。应将防病毒服务器配置为通过以下方式之一与域控制器(DC)和ONTAP进行通信:

    • DC应通过用于隔离流量的专用网络与防病毒服务器通信。

    • DC和防病毒服务器应通过不同的网络(而不是前面提到的专用网络)进行通信、这与CIFS客户端网络不同。

    • 要为防病毒通信启用Kerberos身份验证、请为专用LIF创建一个DNS条目、并在DC上创建一个与为专用LIF创建的DNS条目对应的服务主体名称。将LIF添加到防病毒连接器时、请使用此名称。DNS应该能够为连接到防病毒连接器的每个专用LIF返回一个唯一的名称。

提示 如果Vscan流量的LIF配置在与客户端流量的LIF不同的端口上、则在发生端口故障时、Vscan LIF可能会故障转移到其他节点。此更改会使Vscan服务器无法从新节点访问、并且此节点上的文件操作的扫描通知将失败。验证Vscan服务器是否可通过节点上的至少一个LIF访问、以便它可以处理对该节点执行文件操作的扫描请求。

  • 至少使用1GbE网络连接NetApp存储系统和Vscan服务器。

  • 对于具有多个Vscan服务器的环境、请连接具有类似高性能网络连接的所有服务器。连接Vscan服务器可实现负载共享、从而提高性能。

  • 对于远程站点和分支机构、NetApp建议使用本地Vscan服务器、而不是远程Vscan服务器、因为前者是实现高延迟的理想选择。如果考虑到成本因素、请使用笔记本电脑或PC进行中等程度的病毒防护。您可以通过共享卷或qtrees并从远程站点中的任何系统扫描它们来计划定期执行完整文件系统扫描。

  • 使用多个Vscan服务器扫描SVM上的数据、以实现负载平衡和冗余。CIFS工作负载的数量以及生成的防病毒流量因SVM而异。监控存储控制器上的CIFS和病毒扫描延迟。监控结果随时间的变化趋势。如果由于Vscan服务器上的CPU或应用程序队列超过趋势阈值而导致CIFS延迟和病毒扫描延迟增加、则CIFS客户端可能会出现长时间等待。添加其他Vscan服务器 以分布负载。

  • 安装最新版本的ONTAP防病毒连接器。

  • 使防病毒引擎和定义保持最新。请咨询合作伙伴、了解有关更新频率的建议。

  • 在多租户环境中、可以与多个SVM共享一个扫描程序池(Vscan服务器池)、但前提是Vscan服务器和SVM属于同一个域或受信任域。

  • 受感染文件的防病毒软件策略应设置为"delete"或"隔离 区"、这是大多数防病毒供应商设置的默认值。如果"vscand-fileop-profile"设置为"write_only "、并且发现受感染的文件、则该文件将保留在共享中、并且可以打开、因为打开文件不会触发扫描。只有在关闭文件后、才会触发防病毒扫描。

  • scan-engine timeout 值应小于 scanner-pool request-timeout 价值。 如果设置为较高的值、则访问文件可能会延迟、并且最终可能会超时。 要避免这种情况、请配置 scan-engine timeout 比低5秒 scanner-pool request-timeout 价值。有关如何更改的说明,请参阅扫描引擎供应商的文档 scan-engine timeout 设置。。 scanner-pool timeout 可以在高级模式下使用以下命令并为提供适当的值来更改 request-timeout 参数: vserver vscan scanner-pool modify

  • 对于为实时扫描工作负载调整规模并需要使用按需扫描的环境、NetApp建议将按需扫描作业计划在非高峰时间进行、以避免现有防病毒基础架构产生额外负载。

要了解有关合作伙伴专用最佳实践的更多信息、请访问 "Vscan合作伙伴解决方案"