Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

规划 FPolicy 外部引擎配置

贡献者

在配置FPolicy外部引擎之前、您必须了解创建外部引擎的含义以及可用的配置参数。此信息可帮助您确定要为每个参数设置的值。

创建 FPolicy 外部引擎时定义的信息

外部引擎配置用于定义FPolicy建立和管理与外部FPolicy服务器的连接所需的信息、其中包括:

  • SVM name

  • 引擎名称

  • 主和二级 FPolicy 服务器的 IP 地址以及在连接到 FPolicy 服务器时要使用的 TCP 端口号

  • 引擎类型是异步还是同步

  • 引擎格式是否为 xmlprotobuf

    从ONTAP 9.15.1开始、您可以使用 protobuf 引擎格式。设置为时 protobuf、通知消息使用Google Protobuf以二进制格式进行编码。将引擎格式设置为之前 protobuf`下,请确保FPolicy服务器也支持 `protobuf 反序列化。

    由于从ONTAP 9.15.1开始支持原始缓冲区格式、因此在还原到早期版本的ONTAP之前、您必须考虑外部引擎格式。如果还原到ONTAP 9.15.1之前的版本、请与FPolicy合作伙伴合作执行以下操作之一:

    • 从更改每个引擎格式 protobuf to xml

    • 删除引擎格式为的引擎 protobuf

  • 如何对节点与 FPolicy 服务器之间的连接进行身份验证

    如果您选择配置相互 SSL 身份验证,则还必须配置提供 SSL 证书信息的参数。

  • 如何使用各种高级权限设置管理连接

    其中包括用于定义超时值,重试值,保活值,最大请求值,已发送和接收缓冲区大小值以及会话超时值等内容的参数。

vserver fpolicy policy external-engine create 命令用于创建FPolicy外部引擎。

什么是基本外部引擎参数

您可以使用下表中的基本 FPolicy 配置参数来帮助您规划配置:

信息类型

选项

SVM

指定要与此外部引擎关联的 SVM 名称。

每个 FPolicy 配置都在一个 SVM 中定义。为创建 FPolicy 策略配置而组合在一起的外部引擎,策略事件,策略范围和策略都必须与同一 SVM 相关联。

-vserver vserver_name

引擎名称 _

指定要分配给外部引擎配置的名称。您必须在稍后创建 FPolicy 策略时指定外部引擎名称。这会将外部引擎与策略相关联。

此名称最长可为 256 个字符。

备注

如果在 MetroCluster 或 SVM 灾难恢复配置中配置外部引擎名称,则此名称的长度应最多为 200 个字符。

此名称可以包含以下 ASCII 范围字符的任意组合:

  • az

  • AZ

  • 09

  • “_”、“-”, and "`.`Ω"

-engine-name engine_name

_ 主 FPolicy 服务器 _

指定节点针对给定 FPolicy 策略向其发送通知的主 FPolicy 服务器。此值以逗号分隔的 IP 地址列表形式指定。

如果指定了多个主服务器 IP 地址,则 SVM 参与的每个节点都会在启用此策略时与每个指定的主 FPolicy 服务器创建一个控制连接。如果配置了多个主 FPolicy 服务器,则会以轮循方式向 FPolicy 服务器发送通知。

如果在 MetroCluster 或 SVM 灾难恢复配置中使用外部引擎,则应将源站点上 FPolicy 服务器的 IP 地址指定为主服务器。目标站点上 FPolicy 服务器的 IP 地址应指定为二级服务器。

-primary-servers IP_address

端口号 _

指定 FPolicy 服务的端口号。

-port integer

二级 FPolicy 服务器 _

指定要将给定 FPolicy 策略的文件访问事件发送到的二级 FPolicy 服务器。此值以逗号分隔的 IP 地址列表形式指定。

只有在无法访问主服务器时,才会使用二级服务器。启用策略后,系统会建立与二级服务器的连接,但只有在无法访问任何主服务器时,才会向二级服务器发送通知。如果配置了多个二级服务器,则会以轮循方式向 FPolicy 服务器发送通知。

-secondary-servers IP_address

外部引擎类型 _

指定外部引擎是在同步模式还是异步模式下运行。默认情况下, FPolicy 在同步模式下运行。

设置为时 synchronous,文件请求处理会向FPolicy服务器发送通知,但只有在收到FPolicy服务器的响应后才会继续。此时,请求流将继续,或者处理将导致拒绝,具体取决于 FPolicy 服务器的响应是否允许所请求的操作。

设置为时 asynchronous,文件请求处理会向FPolicy服务器发送通知,然后继续。

-extern-engine-type external_engine_type 此参数的值可以是以下值之一:

  • synchronous

  • asynchronous

外部引擎格式_

指定外部引擎格式是xml还是protobuf。

从ONTAP 9.15.1开始、您可以使用protobuf引擎格式。设置为protobuf时、通知消息将使用Google Protobuf以二进制格式进行编码。在将引擎格式设置为protobuf之前、请确保FPolicy服务器也支持protobuf反序列化。

- extern-engine-format {protobufxml

用于与 FPolicy server_ 通信的 _ssl 选项

指定用于与 FPolicy 服务器通信的 SSL 选项。这是必需的参数。您可以根据以下信息选择一个选项:

  • 设置为时 no-auth,则不进行身份验证。

    通信链路通过 TCP 建立。

  • 设置为时 server-auth,SVM使用SSL服务器身份验证对FPolicy服务器进行身份验证。

  • 设置为时 mutual-auth,SVM和FPolicy服务器之间会进行相互身份验证;SVM会对FPolicy服务器进行身份验证,FPolicy服务器会对SVM进行身份验证。

    如果选择配置相互SSL身份验证、则还必须配置 -certificate-common-name-certificate-serial,和 -certifcate-ca parameters

-ssl-option {no-auth

server-auth

mutual-auth

证书 FQDN 或自定义公用名 _

指定在 SVM 和 FPolicy 服务器之间配置 SSL 身份验证时使用的证书名称。您可以将证书名称指定为 FQDN 或自定义公用名。

如果指定 mutual-auth-ssl-option 参数、则必须为指定一个值 -certificate-common-name 参数。

-certificate-common-name text

证书序列号 _

指定在 SVM 和 FPolicy 服务器之间配置了 SSL 身份验证时用于身份验证的证书的序列号。

如果指定 mutual-auth-ssl-option 参数、则必须为指定一个值 -certificate-serial 参数。

-certificate-serial text

证书颁发机构 _

指定在 SVM 和 FPolicy 服务器之间配置了 SSL 身份验证时用于身份验证的证书的 CA 名称。

如果指定 mutual-auth-ssl-option 参数、则必须为指定一个值 -certificate-ca 参数。

-certificate-ca text

什么是高级外部引擎选项

在计划是否使用高级参数自定义配置时,您可以使用下表中的高级 FPolicy 配置参数。您可以使用以下参数修改集群节点和 FPolicy 服务器之间的通信行为:

信息类型

选项

取消请求时超时 _

指定时间间隔(以小时为单位) (h)、分钟 (m)或秒 (s)、表示节点等待FPolicy服务器的响应。

如果超时间隔已过,则节点会向 FPolicy 服务器发送取消请求。然后,节点会将通知发送到备用 FPolicy 服务器。此超时有助于处理无响应的 FPolicy 服务器,从而提高 SMB/NFS 客户端响应速度。此外,在超时期限后取消请求有助于释放系统资源,因为通知请求会从已关闭 / 错误的 FPolicy 服务器移至备用 FPolicy 服务器。

此值的范围为 0100。如果此值设置为 0,选项已禁用,并且取消请求消息不会发送到FPolicy服务器。默认值为 20s

-reqs-cancel-timeout integer[h

m

s]

中止请求时超时 _

以小时为单位指定超时 (h)、分钟 (m)或秒 (s)以使请求发生abording。

此值的范围为 0200

-reqs-abort-timeout ` `integer[h

m

s]

发送状态请求的间隔 _

以小时为单位指定间隔 (h)、分钟 (m)或秒 (s)之后、状态请求将发送到FPolicy服务器。

此值的范围为 050。如果此值设置为 0,选项已禁用,并且状态请求消息不会发送到FPolicy服务器。默认值为 10s

-status-req-interval integer[h

m

s]

FPolicy 服务器上的最大未处理请求数 _

指定可在 FPolicy 服务器上排队的最大未处理请求数。

此值的范围为 110000。默认值为 500

-max-server-reqs integer

断开无响应 FPolicy 服务器的超时 _

指定时间间隔(以小时为单位) (h)、分钟 (m)或秒 (s)之后、与FPolicy服务器的连接将终止。

只有当 FPolicy 服务器的队列包含允许的最大请求且在超时期限内未收到响应时,此连接才会在超时期限后终止。允许的最大请求数为任一 50 (默认值)或指定的数字 max-server-reqs- 参数。

此值的范围为 1100。默认值为 60s

-server-progress-timeout integer[h

m

s]

向 FPolicy 服务器发送保活消息的 _Interval

指定时间间隔(以小时为单位) (h)、分钟 (m)或秒 (s)、在该位置、保活消息将发送到FPolicy服务器。

保持活动消息会检测半打开的连接。

此值的范围为 10600。如果此值设置为 0,选项将被禁用,并阻止将保持活动消息发送到FPolicy服务器。默认值为 120s

-keep-alive-interval- integer[h

m

s]

最大重新连接尝试次数 _

指定在连接断开后 SVM 尝试重新连接到 FPolicy 服务器的最大次数。

此值的范围为 020。默认值为 5

-max-connection-retries integer

接收缓冲区大小 _

指定 FPolicy 服务器的已连接套接字的接收缓冲区大小。

默认值设置为 256 KB 。如果此值设置为 0 ,则接收缓冲区的大小将设置为系统定义的值。

例如,如果套接字的默认接收缓冲区大小为 65536 字节,则通过将可调值设置为 0 ,套接字缓冲区大小将设置为 65536 字节。您可以使用任何非默认值来设置接收缓冲区的大小(以字节为单位)。

-recv-buffer-size integer

发送缓冲区大小 _

指定 FPolicy 服务器的已连接套接字的发送缓冲区大小。

默认值设置为 256 KB 。如果此值设置为 0 ,则发送缓冲区的大小将设置为系统定义的值。

例如,如果套接字的默认发送缓冲区大小设置为 65536 字节,则通过将可调值设置为 0 ,套接字缓冲区大小将设置为 65536 字节。您可以使用任何非默认值来设置发送缓冲区的大小(以字节为单位)。

-send-buffer-size integer

_Timeout ,用于在重新连接期间清除会话 ID

以小时为单位指定间隔 (h)、分钟 (m)或秒 (s)之后、新会话ID将在重新连接尝试期间发送到FPolicy服务器。

如果存储控制器与FPolicy服务器之间的连接终止、并在中重新建立连接 -session-timeout 间隔、旧会话ID将发送到FPolicy服务器、以便它可以发送对旧通知的响应。

默认值设置为10秒。

-session-timeout [integerh][integerm][integer秒]