設定FPolicy的需求、考量及最佳實務做法
在儲存虛擬機器(SVM)上建立及設定FPolicy組態之前、您必須瞭解設定FPolicy的特定需求、考量事項及最佳實務做法。
FPolicy 功能可透過命令列介面( CLI )或 REST API 進行設定。
設定FPolicy的需求
在儲存虛擬機器(SVM)上設定及啟用FPolicy之前、您必須先瞭解特定需求。
-
叢集中的所有節點都必須執行ONTAP 支援FPolicy的版本的功能。
-
如果您不使用ONTAP 本機的FPolicy引擎、則必須安裝外部FPolicy伺服器(FPolicy伺服器)。
-
FPolicy伺服器必須安裝在可從啟用FPolicy原則的SVM資料生命區存取的伺服器上。
從 ONTAP 9 8 開始、 ONTAP 提供用戶端 LIF 服務 data-fpolicy-client
、用於外傳 FPolicy 連線、並新增服務。"深入瞭解生命與服務原則"。 -
FPolicy伺服器的IP位址必須在FPolicy原則外部引擎組態中設定為主要或次要伺服器。
-
如果FPolicy伺服器透過特殊權限的資料通道存取資料、則必須滿足下列額外需求:
-
SMB必須在叢集上獲得授權。
特殊權限資料存取是使用SMB連線來完成。
-
必須設定使用者認證、才能透過權限資料通道存取檔案。
-
FPolicy伺服器必須在FPolicy組態中設定的認證下執行。
-
用於與 FPolicy 伺服器通訊的所有資料生命都必須設定為具有
cifs
作為其中一種允許的通訊協定。這包括用於傳遞讀取連線的lifs。
-
設定FPolicy時的最佳實務做法與建議
在儲存虛擬機器( SVM )上設定 FPolicy 時、請熟悉一般組態最佳實務做法和建議、以確保 FPolicy 組態能提供強大的監控效能和符合您需求的結果。
如需效能、規模調整及組態的特定準則、請與 FPolicy 合作夥伴應用程式合作。
持續儲存區
從 ONTAP 9.14.1 開始、 FPolicy 可讓您設定持續儲存區、以擷取 SVM 中非強制性非非同步原則的檔案存取事件。持續儲存區可協助將用戶端 I/O 處理與 FPolicy 通知處理分離、以減少用戶端延遲。不支援同步(強制或非強制)和非同步強制組態。
-
在使用持續儲存功能之前、請確保您的合作夥伴應用程式支援此組態。
-
每個啟用 FPolicy 的 SVM 都需要一個持續儲存區。
-
每個 SVM 只能設定一個持續儲存區。此單一持續儲存區必須用於該 SVM 上的所有 FPolicy 組態、即使這些原則來自不同的合作夥伴。
-
-
ONTAP 9.15.1 或更新版本:
-
當您建立持續儲存區時、會自動處理持續儲存區、其磁碟區及其磁碟區組態。
-
-
ONTAP 9.14.1 :
-
持續儲存區、其磁碟區及其磁碟區組態是手動處理的。
-
-
在節點上建立持續儲存區磁碟區、其中包含預期由 FPolicy 監控的最大流量。
-
ONTAP 9.15.1 或更新版本:磁碟區會在持續儲存區建立期間自動建立及設定。
-
ONTAP 9.14.1 :叢集管理員必須在啟用 FPolicy 的每個 SVM 上建立及設定持續儲存區的磁碟區。
-
-
如果持續儲存區中累積的通知超過已配置的磁碟區大小、 FPolicy 就會開始以適當的 EMS 訊息來丟棄傳入通知。
-
ONTAP 9.15.1 或更新版本:除了
size
參數autosize-mode
參數可協助磁碟區隨使用空間量而增加或縮小。 -
ONTAP 9.14.1
size
在磁碟區建立期間設定參數、以提供最大限制。
-
-
將 Snapshot 原則設為
none
用於永久儲存區 Volume 、而非default
。這是為了確保不會意外還原快照而導致目前事件遺失、並防止可能的重複事件處理。-
ONTAP 9.15.1 或更新版本
snapshot-policy
在持續儲存區建立期間、參數會自動設定為無。 -
ONTAP 9.14.1
snapshot-policy
參數設定為none
在磁碟區建立期間。
-
-
讓外部使用者傳輸協定存取( CIFS/NFS )無法存取持續儲存區磁碟區、以避免意外毀損或刪除持續存在的事件記錄。
-
ONTAP 9.15.1 或更新版本: ONTAP 會在持續儲存區建立期間、自動封鎖磁碟區、使其無法存取外部使用者傳輸協定( CIFS/NFS )。
-
ONTAP 9.14.1 :啟用 FPolicy 之後、請在 ONTAP 中卸載 Volume 以移除連接路徑。這使得外部使用者傳輸協定存取( CIFS/NFS )無法存取。
-
如需詳細資訊、請參閱 "FPolicy 永續性儲存區" 和 "建立持續儲存區"。
持續儲存區容錯移轉和恢復
持續儲存區會維持上次收到事件、發生非預期的重新開機、或是停用 FPolicy 並再次啟用時的狀態。在接管作業之後、新事件會由合作夥伴節點儲存和處理。恢復作業完成後、持續儲存區會繼續處理任何未處理的事件、這些事件可能會在節點接管發生時保留。即時事件將優先於未處理的事件。
如果持續儲存區磁碟區在同一個 SVM 中從一個節點移至另一個節點、則尚未處理的通知也會移至新節點。您需要重新執行 fpolicy persistent-store create
在磁碟區移動之後、在任一節點上執行命令、以確保擱置的通知會傳送至外部伺服器。
原則組態
設定 FPolicy 外部引擎、事件和 SVM 範圍、可改善您的整體體驗和安全性。
-
設定 SVM 的 FPolicy 外部引擎:
-
提供額外的安全性需要付出效能成本。啟用安全通訊端層( SSL )通訊對存取共用具有效能影響。
-
FPolicy 外部引擎應設定多個 FPolicy 伺服器、以提供 FPolicy 伺服器通知處理的恢復能力和高可用度。
-
-
設定 SVM 的 FPolicy 事件:
監控檔案作業會影響您的整體體驗。例如、在儲存端篩選不想要的檔案作業、可改善您的使用體驗。NetApp 建議設定下列組態:
-
監控檔案作業的最小類型、並在不中斷使用案例的情況下啟用最大篩選器數量。
-
使用篩選器執行 getattr 、讀取、寫入、開啟及關閉作業。SMB 和 NFS 主目錄環境在這些作業中所佔的比例很高。
-
-
SVM 的 FPolicy 範圍組態:
將原則的範圍限制在相關的儲存物件上、例如共用、磁碟區和匯出、而非在整個 SVM 中啟用這些物件。NetApp 建議您檢查目錄副檔名。如果是
is-file-extension-check-on-directories-enabled
參數設定為true
,目錄物件會受到與一般檔案相同的副檔名檢查。
網路組態
FPolicy 伺服器與控制器之間的網路連線應為低延遲。NetApp 建議使用私有網路來分隔 FPolicy 流量與用戶端流量。
此外、您應該將外部 FPolicy 伺服器( FPolicy 伺服器)放置在離具有高頻寬連線能力的叢集近的位置、以提供最小的延遲和高頻寬連線能力。
如果將 FPolicy 流量的 LIF 設定在與 LIF 不同的連接埠上、以進行用戶端流量、則 FPolicy LIF 可能會因為連接埠故障而容錯移轉至其他節點。因此、 FPolicy 伺服器無法從節點連線、導致 FPolicy 通知節點上的檔案作業失敗。若要避免此問題、請確認可透過節點上至少一個 LIF 來連線 FPolicy 伺服器、以處理在該節點上執行檔案作業的 FPolicy 要求。 |
硬體組態
您可以在實體伺服器或虛擬伺服器上使用 FPolicy 伺服器。如果 FPolicy 伺服器位於虛擬環境中、您應該將專用資源( CPU 、網路和記憶體)分配給虛擬伺服器。
叢集節點對FPolicy伺服器比率應最佳化、以確保FPolicy伺服器不會過載、這可能會在SVM回應用戶端要求時產生延遲。最佳比率取決於使用 FPolicy 伺服器的合作夥伴應用程式。NetApp 建議與合作夥伴合作、以確定適當的價值。
多原則組態
無論序號為何、原生封鎖的 FPolicy 原則都具有最高優先順序、而變更決策原則的優先順序比其他原則高。原則優先順序取決於使用案例。NetApp 建議與合作夥伴合作、以決定適當的優先順序。
規模考量
FPolicy 會執行 SMB 和 NFS 作業的即時監控、傳送通知給外部伺服器、並根據外部引擎通訊模式(同步或非同步)等待回應。此程序會影響 SMB 和 NFS 存取和 CPU 資源的效能。
為了減輕任何問題、 NetApp 建議您在啟用 FPolicy 之前、先與合作夥伴合作、評估環境並調整其規模。效能受到多種因素影響、包括使用者數量、工作負載特性、例如每位使用者的作業次數和資料大小、網路延遲、故障或伺服器速度緩慢。
監控效能
FPolicy 是以通知為基礎的系統。通知會傳送至外部伺服器以進行處理、並產生回覆 ONTAP 的回應。此往返程序會增加用戶端存取的延遲。
監控 FPolicy 伺服器和 ONTAP 中的效能計數器、可讓您識別解決方案中的瓶頸、並視需要調整參數、以獲得最佳解決方案。例如、 FPolicy 延遲增加會對 SMB 和 NFS 存取延遲造成串聯影響。因此、您應該同時監控工作負載( SMB 和 NFS )和 FPolicy 延遲。此外、您可以在 ONTAP 中使用服務品質原則、為每個啟用 FPolicy 的 Volume 或 SVM 設定工作負載。
NetApp 建議您執行 statistics show –object workload
顯示工作負載統計資料的命令。此外、您應該監控下列參數:
-
平均、讀取和寫入延遲
-
作業總數
-
讀寫計數器
您可以使用下列 FPolicy 計數器來監控 FPolicy 子系統的效能。
您必須處於診斷模式、才能收集與 FPolicy 相關的統計資料。 |
-
收集 FPolicy 計數器:
-
statistics start -object fpolicy -instance instance_name -sample-id ID
-
statistics start -object fpolicy_policy -instance instance_name -sample-id ID
-
-
顯示 FPolicy 計數器:
-
statistics show -object fpolicy –instance instance_name -sample-id ID
-
statistics show -object fpolicy_server –instance instance_name -sample-id ID
。
fpolicy
和fpolicy_server
Counters 提供下表所述數種效能參數的相關資訊。計數器 說明 -
「 fpolicy 」計數器 *
aborted_requests
在 SVM 上中止處理的畫面要求數
event_count
導致通知的事件清單
max_requent_l滯
最大螢幕要求延遲時間
未處理的要求
處理中的畫面要求總數
Processed_requests
在 SVM 上執行 fpolicy 處理的畫面要求總數
requy_histure_hist
畫面要求延遲長條圖
Requests_Dispatched_Rate
每秒發出的畫面要求數
Requests_receiped_rate
每秒接收的畫面要求數
-
「 fpolicy_server 」計數器 *
max_requent_l滯
畫面要求的最大延遲
未處理的要求
等待回應的畫面要求總數
requy_l滯
畫面要求的平均延遲
requy_histure_hist
畫面要求延遲長條圖
requy_sent_rate
每秒傳送至 FPolicy 伺服器的畫面要求數
RESPONY_REATE_RATE
每秒從 FPolicy 伺服器收到的畫面回應數
-
管理 FPolicy 工作流程、並仰賴其他技術
NetApp 建議您先停用 FPolicy 原則、再進行任何組態變更。例如、如果您想要新增或修改為啟用原則設定的外部引擎中的 IP 位址、請先停用原則。
如果您將 FPolicy 設定為監控 NetApp FlexCache 磁碟區、 NetApp 建議您不要設定 FPolicy 來監控讀取和 getattr 檔案作業。在 ONTAP 中監控這些作業需要擷取 inode 到路徑( I2P )資料。由於 I2P 資料無法從 FlexCache 磁碟區擷取、因此必須從原始磁碟區擷取。因此、監控這些作業可免除 FlexCache 所能提供的效能效益。
當同時部署 FPolicy 和隨裝即用的防毒解決方案時、防毒解決方案會先收到通知。FPolicy 處理只會在防毒掃描完成後才會開始。請務必正確設定防毒解決方案的大小、因為慢速防毒掃描程式可能會影響整體效能。
Passthsther-read升級與還原考量
在升級ONTAP 至支援Passthrough-read的版本之前、或在回復至不支援passe-read的版本之前、您必須瞭解某些升級與還原考量事項。
升級
將所有節點升級至ONTAP 支援FPolicy Passthrough-read的版本後、叢集就能使用Passthrough-read功能;不過、在現有的FPolicy組態上、依預設會停用pass-read。若要在現有的FPolicy組態上使用passThrough讀取、您必須停用FPolicy原則並修改組態、然後重新啟用組態。
還原
還原至不支援 FPolicy Passthrough-read 的 ONTAP 版本之前、您必須符合下列條件:
-
使用 Passthrough-read 停用所有原則、然後修改受影響的組態、使其不使用 passthrough Read 。
-
停用叢集上的每個 FPolicy 原則、以停用叢集上的 FPolicy 功能。
在還原至不支援持續儲存區的 ONTAP 版本之前、請確定 FPolicy 原則中沒有任何一個具有設定的持續儲存區。如果設定持續儲存區、還原將會失敗。