エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

FPolicyと外部FPolicyサーバーの連携

Storage Virtual Machine(SVM)でFPolicyを設定して有効にすると、SVMに含まれているすべてのノードでFPolicyが実行されるようになります。FPolicyは、外部FPolicyサーバー(FPolicyサーバー)との接続の確立と維持、通知の処理、およびFPolicyサーバーとやり取りする通知メッセージの管理を行います。

また、接続管理の一環として、FPolicyは次の役割を果たします。

  • ファイル通知が正しいLIFを通過してFPolicyサーバーに送信されるようにする。

  • ポリシーに複数のFPolicyサーバーが関連付けられている場合に、FPolicyサーバーへの通知の送信時にロード バランシングが行われるようにする。

  • FPolicyサーバーへの接続が切断されたときに再接続を試行する。

  • 認証されたセッションを介してFPolicyサーバーに通知を送信する。

  • パススルー リードが有効な場合にクライアント要求を処理するためにFPolicyサーバーによって確立されたパススルー リード データ接続を管理する。

制御チャネルを使用したFPolicy通信

FPolicyは、Storage Virtual Machine(SVM)に含まれている各ノードのデータLIFから外部FPolicyサーバーへの制御チャネル接続を開始します。FPolicyは制御チャネルを使用してファイル通知を送信するため、FPolicyサーバーでは、SVMのトポロジーに基づいて複数の制御チャネル接続が認識される場合があります。

特権データ アクセス チャネルを使用した同期通信

同期通信では、FPolicyサーバーは、特権データアクセスパスを介してStorage Virtual Machine(SVM)上のデータにアクセスします。特権パスを介したアクセスでは、FPolicyサーバーにファイルシステム全体が公開されます。サーバーは、データ ファイルにアクセスして情報を収集したり、ファイルのスキャン、ファイルの読み取り、またはファイルへの書き込みを行ったりできます。

外部FPolicyサーバーが特権データ チャネルを介してSVMのルートからファイルシステム全体にアクセスできるため、特権データ チャネル接続はセキュアーである必要があります。

特権データ アクセス チャネルでのFPolicy接続クレデンシャルの使用

FPolicyサーバーは、FPolicy設定で保存されている特定のWindowsユーザー クレデンシャルを使用して、クラスタ ノードへの特権データ アクセス接続を確立します。特権データ アクセス チャネル接続の確立用としてサポートされているプロトコルは、SMBだけです。

FPolicyサーバーで特権データ アクセスが必要となる場合は、次の条件を満たす必要があります。

  • クラスタでSMBライセンスが有効になっている。

  • FPolicyサーバーがFPolicy設定で指定されたクレデンシャルで実行されている。

データ チャネル接続を確立するとき、FPolicyでは、指定されたWindowsユーザー名のクレデンシャルが使用されます。データ アクセスは、管理共有ONTAP_ADMIN$を介して確立されます。

特権データ アクセスのためのスーパー ユーザー クレデンシャルの付与とは

ONTAPは、IPアドレスとFPolicyに設定されたユーザー クレデンシャルを組み合わせて、FPolicyサーバーにスーパーユーザー クレデンシャルを付与します。

スーパーユーザーのステータスは、FPolicyサーバーがデータにアクセスする際に次の権限を付与します。

  • 権限チェックの省略

    ファイルやディレクトリーに対するアクセスのチェックが省略されます。

  • 特別なロック権限

    ファイルにロックが設定されていても、読み取り、書き込み、変更が許可されます。FPolicyサーバーがファイルに対してバイト範囲ロックを取得すると、そのファイルの既存のロックはその時点で解除されます。

  • すべてのFPolicyチェックのバイパス

    アクセス時にFPolicy通知が生成されません。

FPolicyによるポリシー処理の管理方法

Storage Virtual Machine(SVM)には、優先度が異なる複数のFPolicyポリシーが割り当てられる場合があります。SVMで適切なFPolicy設定を作成するには、FPolicyがどのようにポリシー処理を管理するかを理解しておくことが重要です。

最初に各ファイル アクセス要求が評価され、このイベントを監視しているポリシーが特定されます。イベントが監視対象イベントの場合は、イベントに関する情報とともに関連するポリシーが評価を実施するFPolicyに渡されます。各ポリシーが割り当てられた優先度の順に評価されます。

ポリシーの設定時には、次の推奨事項を考慮してください。

  • あるポリシーが常に他のポリシーより先に評価されるようにするには、そのポリシーの優先度を高く設定します。

  • 監視対象イベントに対して要求されたファイル アクセス処理の成功が、別のポリシーで評価されるファイル要求の前提条件になっている場合は、最初のファイル処理の成功または失敗を制御するポリシーの優先度を高く設定します。

    たとえば、あるポリシーがFPolicyのファイル アーカイブとリストアを管理し、2つ目のポリシーがオンライン ファイルへのファイル アクセス処理を管理する場合は、ファイル リストアを管理するポリシーの優先度を高く設定し、2つ目のポリシーが管理する処理が許可される前にファイルがリストアされるようにする必要があります。

  • ファイル アクセス処理に適用される可能性があるすべてのポリシーを評価するには、同期ポリシーの優先度を低く設定します。

既存のポリシーの優先度を変更するには、ポリシーのシーケンス番号を変更します。ただし、新しい優先度に基づいてFPolicyでポリシーを評価するには、シーケンス番号を変更したポリシーを無効にしてから再度有効にする必要があります。

Top of Page