Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

規劃FPolicy外部引擎組態

貢獻者

設定 FPolicy 外部引擎之前、您必須先瞭解建立外部引擎的意義、以及哪些組態參數可供使用。此資訊可協助您判斷要為每個參數設定哪些值。

建立FPolicy外部引擎時所定義的資訊

外部引擎組態定義 FPolicy 需要建立及管理外部 FPolicy 伺服器連線的資訊、包括:

  • SVM名稱

  • 引擎名稱

  • 主要和次要FPolicy伺服器的IP位址、以及連接至FPolicy伺服器時要使用的TCP連接埠號碼

  • 引擎類型為非同步或同步

  • 引擎格式是否為 xmlprotobuf

    從 ONTAP 9.15.1 開始、您可以使用 protobuf 引擎格式。設定為時 protobuf、通知訊息會使用Google Prototbuf以二進位格式編碼。將引擎格式設定為之前 protobuf,請確保 FPolicy 伺服器也支援 protobuf 反序列化。

    由於支援的 probuf 格式從 ONTAP 9.15.1 開始、因此您必須先考慮外部引擎格式、才能還原至舊版 ONTAP 。如果您恢復為 ONTAP 9.15.1 之前的版本、請與 FPolicy 合作夥伴合作、以:

    • 從變更每個引擎格式 protobufxml

    • 刪除引擎格式為的引擎 protobuf

  • 如何驗證節點與FPolicy伺服器之間的連線

    如果您選擇設定相互SSL驗證、則也必須設定提供SSL憑證資訊的參數。

  • 如何使用各種進階權限設定來管理連線

    這包括定義逾時值、重試值、保持活動值、最大要求值、傳送和接收緩衝區大小值、以及工作階段逾時值等項目的參數。

vserver fpolicy policy external-engine create 命令用於建立 FPolicy 外部引擎。

基本的外部引擎參數是什麼

您可以使用下表的基本FPolicy組態參數來協助規劃組態:

資訊類型

選項

SVM

指定您要與此外部引擎建立關聯的SVM名稱。

每個FPolicy組態都是在單一SVM中定義。為了建立FPolicy原則組態、而將外部引擎、原則事件、原則範圍和原則結合在一起的原則、都必須與相同的SVM建立關聯。

-vserver vserver_name

引擎名稱_

指定要指派給外部引擎組態的名稱。之後建立FPolicy原則時、您必須指定外部引擎名稱。這會將外部引擎與原則建立關聯。

名稱最長可達256個字元。

註

如果在MetroCluster 一個還原或SVM災難恢復組態中設定外部引擎名稱、名稱最長應為200個字元。

名稱可以包含下列任何Ascii範圍字元的組合:

  • a 透過 z

  • A 透過 Z

  • 0 透過 9

  • “_” 、 “-”, and “.”

-engine-name engine_name

主要FPolicy伺服器

指定節點傳送特定FPolicy原則通知的主要FPolicy伺服器。此值會指定為以逗號分隔的IP位址清單。

如果指定多個主要伺服器IP位址、則SVM參與的每個節點都會在原則啟用時、建立每個指定主要FPolicy伺服器的控制連線。如果您設定多個主要FPolicy伺服器、通知會以循環配置資源的方式傳送至FPolicy伺服器。

如果外部引擎用於MetroCluster SVM災難恢復組態、您應該將來源站台FPolicy伺服器的IP位址指定為主要伺服器。目的地站台FPolicy伺服器的IP位址應指定為次要伺服器。

-primary-servers IP_address、 …​

連接埠號碼_

指定FPolicy服務的連接埠號碼。

-port integer

次要FPolicy伺服器_

指定次要FPolicy伺服器、以便針對指定的FPolicy原則傳送檔案存取事件。此值會指定為以逗號分隔的IP位址清單。

次要伺服器只會在無法連線到任何一部主要伺服器時使用。當原則啟用時、就會建立次要伺服器的連線、但只有在所有主要伺服器都無法連線時、才會將通知傳送到次要伺服器。如果您設定多個次要伺服器、通知會以循環配置資源的方式傳送至FPolicy伺服器。

-secondary-servers IP_address、 …​

外部引擎類型_

指定外部引擎是以同步或非同步模式運作。根據預設、FPolicy會以同步模式運作。

設定為時 synchronous、檔案要求處理會傳送通知給 FPolicy 伺服器、但在收到 FPolicy 伺服器的回應之後才會繼續。此時、視FPolicy伺服器的回應是否允許要求的動作而定、要求流程會繼續或處理會導致拒絕。

設定為時 asynchronous、檔案要求處理會傳送通知給 FPolicy 伺服器、然後繼續。

-extern-engine-type external_engine_type 此參數的值可以是下列其中一項:

  • synchronous

  • asynchronous

外部引擎格式_

指定外部引擎格式是 XML 還是 protobuf 。

從 ONTAP 9.15.1 開始、您可以使用原型引擎格式。設為 probuf 時、通知訊息會使用 Google Prototbuf 以二進位格式編碼。在將引擎格式設定為 protobuf 之前、請確定 FPolicy 伺服器也支援 protobuf 反序列化。

- extern-engine-format {protobufxml}

與FPolicy server_通訊的_SSL選項

指定與FPolicy伺服器通訊的SSL選項。這是必要的參數。您可以根據下列資訊選擇其中一個選項:

  • 設定為時 no-auth、不進行驗證。

    通訊連結是透過TCP建立。

  • 設定為時 server-auth, SVM 使用 SSL 伺服器驗證來驗證 FPolicy 伺服器。

  • 設定為時 mutual-auth、在 SVM 和 FPolicy 伺服器之間進行相互驗證; SVM 驗證 FPolicy 伺服器、 FPolicy 伺服器驗證 SVM 。

    如果您選擇設定相互 SSL 驗證、則也必須設定 -certificate-common-name-certificate-serial`和 `-certifcate-ca 參數。

-ssl-option {no-auth

server-auth

mutual-auth}

憑證FQDN或自訂通用名稱

指定在SVM與FPolicy伺服器之間設定SSL驗證時所使用的憑證名稱。您可以將憑證名稱指定為FQDN或自訂通用名稱。

如果您指定 mutual-auth 適用於 -ssl-option 參數、您必須指定的值 -certificate-common-name 參數。

-certificate-common-name text

憑證序號

指定在SVM與FPolicy伺服器之間設定SSL驗證時、用於驗證的憑證序號。

如果您指定 mutual-auth 適用於 -ssl-option 參數、您必須指定的值 -certificate-serial 參數。

-certificate-serial text

憑證授權單位

指定在SVM與FPolicy伺服器之間設定SSL驗證時、用於驗證的憑證CA名稱。

如果您指定 mutual-auth 適用於 -ssl-option 參數、您必須指定的值 -certificate-ca 參數。

-certificate-ca text

進階的外部引擎選項是什麼

您可以在規劃是否使用進階參數自訂組態時、使用下表的進階FPolicy組態參數。您可以使用這些參數來修改叢集節點與FPolicy伺服器之間的通訊行為:

資訊類型

選項

取消要求的逾時_

指定時間間隔(小時) (h)、分鐘 (m)或秒 (s)節點等待 FPolicy 伺服器的回應。

如果逾時時間間隔超過、節點會將取消要求傳送至FPolicy伺服器。然後、節點會將通知傳送至替代的FPolicy伺服器。此逾時有助於處理無回應的FPolicy伺服器、進而改善SMB/NFS用戶端回應。此外、在逾時期間之後取消要求、也有助於釋出系統資源、因為通知要求會從停機/不良的FPolicy伺服器移至替代的FPolicy伺服器。

此值的範圍為 0 透過 100。如果值設為 0,此選項已停用,取消要求訊息不會傳送至 FPolicy 伺服器。預設值為 20s

-reqs-cancel-timeout integer[h

m

s]

中止要求的逾時_

指定逾時(以小時為單位) (h)、分鐘 (m)或秒 (s)以中止要求。

此值的範圍為 0 透過 200

-reqs-abort-timeout ` `integer[h

m

s]

傳送狀態要求的時間間隔

指定以小時為單位的時間間隔 (h)、分鐘 (m)或秒 (s)之後、狀態要求會傳送至 FPolicy 伺服器。

此值的範圍為 0 透過 50。如果值設為 0、選項已停用、狀態要求訊息不會傳送至 FPolicy 伺服器。預設值為 10s

-status-req-interval integer[h

m

s]

FPolicy伺服器上未處理的要求上限

指定可在FPolicy伺服器上排入佇列的未處理要求數目上限。

此值的範圍為 1 透過 10000。預設值為 500

-max-server-reqs integer

中斷無回應的FPolicy伺服器連線逾時

指定時間間隔(小時) (h)、分鐘 (m)或秒 (s)之後、會終止與 FPolicy 伺服器的連線。

只有FPolicy伺服器的佇列包含允許的最大要求數、且在逾時期間內未收到任何回應時、才會在逾時期間之後終止連線。允許的最大要求數為其中之一 50 (預設)或指定的號碼 max-server-reqs- 參數。

此值的範圍為 1 透過 100。預設值為 60s

-server-progress-timeout integer[h

m

s]

_將保持活動訊息傳送至FPolicy server_的時間間隔

指定時間間隔(小時) (h)、分鐘 (m)或秒 (s)將保持活動的訊息傳送到 FPolicy 伺服器。

「保持連線」訊息會偵測半開啟的連線。

此值的範圍為 10 透過 600。如果值設為 0,此選項會停用,並防止將持續作用的訊息傳送至 FPolicy 伺服器。預設值為 120s

-keep-alive-interval- integer[h

m

s]

最大重新連線嘗試次數_

指定SVM在連線中斷後嘗試重新連線至FPolicy伺服器的最大次數。

此值的範圍為 0 透過 20。預設值為 5

-max-connection-retries integer

接收緩衝區大小_

指定FPolicy伺服器之連接插槽的接收緩衝區大小。

預設值設為256 KB。當值設定為0時、接收緩衝區的大小會設定為系統定義的值。

例如、如果套接字的預設接收緩衝區大小為65536位元組、將可調值設為0、則套接字緩衝區大小會設為65536位元組。您可以使用任何非預設值來設定接收緩衝區的大小(以位元組為單位)。

-recv-buffer-size integer

傳送緩衝區大小

指定FPolicy伺服器之連線通訊端的傳送緩衝區大小。

預設值設為256 KB。當值設定為0時、傳送緩衝區的大小會設定為系統定義的值。

例如、如果套接字的預設傳送緩衝區大小設為65536位元組、將可調值設為0、則套接字緩衝區大小會設為65536位元組。您可以使用任何非預設值來設定傳送緩衝區的大小(以位元組為單位)。

-send-buffer-size integer

重新連線期間清除工作階段ID逾時

指定以小時為單位的時間間隔 (h)、分鐘 (m)或秒 (s)之後、新的工作階段 ID 會在重新連線嘗試期間傳送至 FPolicy 伺服器。

如果儲存控制器與FPolicy伺服器之間的連線終止、並在中進行重新連線 -session-timeout 時間間隔時、舊的工作階段ID會傳送至FPolicy伺服器、以便傳送舊通知的回應。

預設值設為 10 秒。

-session-timeout [integerh][integerM][integers]