Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置 FPolicy 的要求,注意事项和最佳实践

贡献者
PDF

在SVM上创建和配置FPolicy配置之前、您需要了解配置FPolicy的某些要求、注意事项和最佳实践。

FPolicy功能可通过命令行界面(CLI)或REST API进行配置。

设置 FPolicy 的要求

在 Storage Virtual Machine ( SVM )上配置和启用 FPolicy 之前,您需要了解某些要求。

  • 集群中的所有节点都必须运行支持 FPolicy 的 ONTAP 版本。

  • 如果您不使用 ONTAP 原生 FPolicy 引擎,则必须安装外部 FPolicy 服务器( FPolicy 服务器)。

  • FPolicy 服务器必须安装在可从启用了 FPolicy 策略的 SVM 的数据 LIF 访问的服务器上。

    备注 从ONTAP 9.8开始、ONTAP 通过添加为出站FPolicy连接提供客户端LIF服务 data-fpolicy-client 服务 "详细了解LIF和服务策略"

  • 必须在 FPolicy 策略外部引擎配置中将 FPolicy 服务器的 IP 地址配置为主服务器或二级服务器。

  • 如果 FPolicy 服务器通过有权限的数据通道访问数据,则必须满足以下附加要求:

    • SMB 必须在集群上获得许可。

      通过 SMB 连接实现有权限的数据访问。

    • 必须配置用户凭据才能通过有权限的数据通道访问文件。

    • FPolicy 服务器必须在 FPolicy 配置中配置的凭据下运行。

    • 必须将用于与FPolicy服务器通信的所有数据SIFs配置为具有 cifs 作为允许的协议之一。

      这包括用于直通读取连接的 LIF 。

  • 从ONTAP 9.14.1开始、您可以通过FPolicy设置永久性存储、以捕获SVM中异步非强制策略的文件访问事件。永久性存储有助于将客户端I/O处理与FPolicy通知处理分离、以减少客户端延迟。不支持同步(强制或非强制)和异步强制配置。

设置 FPolicy 时的最佳实践和建议

在Storage Virtual Machine (SVM)上设置FPolicy时、请熟悉常规配置最佳实践和建议、以确保您的FPolicy配置提供稳定可靠的监控性能和结果、从而满足您的要求。

有关性能、规模估算和配置的具体准则、请使用您的FPolicy合作伙伴应用程序。

策略配置

为SVM配置FPolicy外部引擎、事件和范围可以改善整体体验和安全性。

  • 为SVM配置FPolicy外部引擎:

    • 提供额外的安全性会降低性能成本。启用安全套接字层(SSL)通信会影响访问共享的性能。

    • FPolicy外部引擎应配置多个FPolicy服务器、以提供FPolicy服务器通知处理的故障恢复能力和高可用性。

  • 为SVM配置FPolicy事件:

    监控文件操作会影响您的整体体验。例如、在存储端筛选不需要的文件操作可以改善您的体验。NetApp建议设置以下配置:

    • 监控最小文件操作类型并启用最大数量的筛选器、而不会违反使用情形。

    • 对getattr、读取、写入、打开和关闭操作使用筛选器。SMB和NFS主目录环境中的这些操作所占比例较高。

  • 配置SVM的FPolicy范围:

    将策略的范围限制为相关存储对象、例如共享、卷和导出、而不是在整个SVM中启用这些对象。NetApp建议检查目录扩展名。如果 is-file-extension-check-on-directories-enabled 参数设置为 true,目录对象将与常规文件一样进行扩展名检查。

网络配置:

FPolicy服务器和控制器之间的网络连接应具有低延迟。NetApp建议使用专用网络将FPolicy流量与客户端流量分隔开。

此外、您还应将外部FPolicy服务器(FPolicy服务器)放置在具有高带宽连接的集群附近、以实现最低延迟和高带宽连接。

备注 如果将用于FPolicy流量的LIF配置在与用于客户端流量的LIF不同的端口上、则FPolicy LIF可能会因端口故障而故障转移到另一节点。因此、无法从节点访问FPolicy服务器、从而导致节点上文件操作的FPolicy通知失败。要避免出现此问题描述、请验证是否可通过节点上的至少一个LIF访问FPolicy服务器、以处理对该节点执行文件操作的FPolicy请求。

硬件配置

您可以将FPolicy服务器放置在物理服务器或虚拟服务器上。如果FPolicy服务器位于虚拟环境中、则应为此虚拟服务器分配专用资源(CPU、网络和内存)。

应优化集群节点与 FPolicy 服务器比率,以确保 FPolicy 服务器不会过载,这可能会在 SVM 响应客户端请求时导致延迟。最佳比率取决于使用FPolicy服务器的配对应用程序。NetApp建议与合作伙伴合作确定适当的价值。

多策略配置

无论序列号如何、用于本机阻止的FPolicy策略都具有最高优先级、而决策策略的优先级高于其他策略。策略优先级取决于使用情形。NetApp建议与合作伙伴合作确定适当的优先级。

大小注意事项

FPolicy对SMB和NFS操作执行实时监控、向外部服务器发送通知并等待响应、具体取决于外部引擎通信模式(同步或异步)。此过程会影响SMB和NFS访问以及CPU资源的性能。

要缓解任何问题、NetApp建议在启用FPolicy之前与合作伙伴一起评估环境并对其进行规模估算。性能受多种因素影响、包括用户数量、工作负载特征(例如每个用户的操作数和数据大小)、网络延迟以及故障或服务器速度减低。

监控性能

FPolicy是一个基于通知的系统。通知将发送到外部服务器进行处理、并生成对ONTAP的响应。此往返过程会增加客户端访问的延迟。

通过监控FPolicy服务器和ONTAP中的性能计数器、您可以发现解决方案中的瓶颈、并根据需要调整参数以获得最佳解决方案。例如、FPolicy延迟的增加会对SMB和NFS访问延迟产生级联影响。因此、您应同时监控工作负载(SMB和NFS)和FPolicy延迟。此外、您还可以在ONTAP中使用服务质量策略为启用了FPolicy的每个卷或SVM设置工作负载。

NetApp建议运行 statistics show –object workload 命令以显示工作负载统计信息。此外、您还应监控以下参数:

  • 平均、读取和写入时间

  • 操作总数

  • 读取和写入计数器

您可以使用以下FPolicy计数器监控FPolicy子系统的性能。

备注 您必须处于诊断模式才能收集与FPolicy相关的统计信息。
步骤

  1. 收集FPolicy计数器:

    1. statistics start -object fpolicy -instance instance_name -sample-id ID

    2. statistics start -object fpolicy_policy -instance instance_name -sample-id ID

  2. 显示FPolicy计数器:

    1. statistics show -object fpolicy –instance instance_name -sample-id ID

    2. statistics show -object fpolicy_server –instance instance_name -sample-id ID

    fpolicyfpolicy_server 计数器可提供有关下表中所述的多个性能参数的信息。

    计数器 Description

    "fpolicy"计数器

    已中止请求

    在SVM上中止处理的屏幕请求数量

    event_count

    生成通知的事件列表

    max_request_延迟

    最大屏幕请求延迟

    未完成_请求

    正在处理的屏幕请求总数

    processed_requests

    在SVM上执行fpolicy处理的屏幕请求总数

    Request_延迟 历史记录

    屏幕请求延迟的直方图

    Requests_发放 率

    每秒发送的屏幕请求数

    Requests_received_rate

    每秒接收的屏幕请求数

    "fpolicy_server"计数器

    max_request_延迟

    屏幕请求的最大延迟

    未完成_请求

    等待响应的屏幕请求总数

    request_延迟

    屏幕请求的平均延迟

    Request_延迟 历史记录

    屏幕请求延迟的直方图

    Request_sent率

    每秒发送到FPolicy服务器的屏幕请求数

    respony_received_rate

    每秒从FPolicy服务器收到的屏幕响应数

管理FPolicy工作流以及对其他技术的依赖

NetApp建议在进行任何配置更改之前禁用FPolicy策略。例如、如果要在为已启用策略配置的外部引擎中添加或修改某个IP地址、请先禁用该策略。

如果将FPolicy配置为监控NetApp FlexCache卷、NetApp建议您不要将FPolicy配置为监控读取和getATTR文件操作。在ONTAP中监控这些操作需要检索索引节点到路径(i2P)数据。由于无法从FlexCache卷检索I2P数据、因此必须从初始卷检索这些数据。因此、监控这些操作会消除FlexCache可提供的性能优势。

部署FPolicy和机下防病毒解决方案后、防病毒解决方案会首先收到通知。FPolicy处理仅在防病毒扫描完成后开始。正确估算防病毒解决方案的规模非常重要、因为速度较慢的防病毒扫描程序可能会影响整体性能。

直通读取升级和还原注意事项

在升级到支持直通读取的 ONTAP 版本之前或还原到不支持直通读取的版本之前,您必须了解某些升级和还原注意事项。

升级

在将所有节点升级到支持 FPolicy 直通读取的 ONTAP 版本后,集群可以使用直通读取功能;但是,在现有 FPolicy 配置中,直通读取默认处于禁用状态。要对现有 FPolicy 配置使用直通读取,必须禁用 FPolicy 策略并修改配置,然后重新启用配置。

还原

还原到不支持FPolicy直通读取的ONTAP版本之前、您必须满足以下条件:

  • 使用直通读取禁用所有策略、然后修改受影响的配置、使其不使用直通读取。

  • 通过禁用集群上的每个FPolicy策略、在集群上禁用FPolicy功能。

在还原到不支持永久性存储的ONTAP版本之前、请确保所有Fpolicy策略均未配置永久性存储。如果配置了永久性存储、还原将失败。