Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

设置 FPolicy 配置的步骤是什么

贡献者

要监控文件访问,必须先在需要 FPolicy 服务的 Storage Virtual Machine ( SVM )上创建并启用 FPolicy 配置。

在 SVM 上设置和启用 FPolicy 配置的步骤如下:

  1. 创建 FPolicy 外部引擎。

    FPolicy 外部引擎可识别与特定 FPolicy 配置关联的外部 FPolicy 服务器( FPolicy 服务器)。如果使用内部 "`FPolicy` " 原生引擎创建原生文件阻止配置,则无需创建 FPolicy 外部引擎。

    从ONTAP 9.15.1开始、您可以使用 protobuf 引擎格式。设置为时 protobuf、通知消息使用Google Protobuf以二进制格式进行编码。将引擎格式设置为之前 protobuf`下,请确保FPolicy服务器也支持 `protobuf 反序列化。有关详细信息,请参见 "规划 FPolicy 外部引擎配置"

  2. 创建 FPolicy 事件。

    FPolicy 事件描述了 FPolicy 策略应监控的内容。事件由要监控的协议和文件操作组成,并且可以包含筛选器列表。事件使用筛选器缩小 FPolicy 外部引擎必须发送通知的受监控事件的列表范围。事件还指定策略是否监控卷操作。

  3. 创建FPolicy持久存储(可选)。

    从ONTAP 9.14.1开始、您可以使用FPolicy进行设置 "永久性存储" 捕获SVM中异步非强制策略的文件访问事件。不支持同步(强制或非强制)和异步强制配置。

    永久性存储有助于将客户端I/O处理与FPolicy通知处理分离、以减少客户端延迟。

    从ONTAP 9.15.1开始、FPolicy持久存储配置得到了简化。。 persistent-store-create 命令可自动为SVM创建卷、并为永久性存储配置卷。

  4. 创建 FPolicy 策略。

    FPolicy 策略负责将需要监控的一组事件与相应的范围关联起来,以及必须将哪些受监控事件通知发送到指定的 FPolicy 服务器(如果未配置任何 FPolicy 服务器,则还必须发送到原生引擎)。该策略还定义是否允许 FPolicy 服务器对其接收通知的数据进行特权访问。如果 FPolicy 服务器需要访问数据,则需要进行特权访问。需要特权访问的典型使用情形包括文件阻止,配额管理和分层存储管理。您可以在此策略中指定此策略的配置是使用 FPolicy 服务器还是使用内部 "`原生` FPolicy 服务器。

    策略指定是否必须进行筛选。如果必须进行筛选,并且所有 FPolicy 服务器均已关闭,或者在定义的超时期限内未从 FPolicy 服务器收到任何响应,则会拒绝文件访问。

    策略的边界为 SVM 。一个策略不能应用于多个 SVM 。但是,一个特定 SVM 可以具有多个 FPolicy 策略,每个策略的范围,事件和外部服务器配置组合相同或不同。

  5. 配置策略范围。

    FPolicy 范围用于确定该策略对哪些卷,共享或导出策略执行操作或排除在监控范围之外。范围还决定了应在 FPolicy 监控中包括或排除哪些文件扩展名。

    备注

    排除列表优先于包括列表。

  6. 启用 FPolicy 策略。

    启用此策略后,控制通道以及(可选)有权限的数据通道将连接起来。SVM 参与的节点上的 FPolicy 进程开始监控文件和文件夹访问,对于符合已配置标准的事件,会向 FPolicy 服务器(如果未配置任何 FPolicy 服务器,则向原生引擎发送通知)。

备注

如果此策略使用原生文件阻止,则不会配置外部引擎或将其与此策略关联。