エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

FPolicy外部エンジンの設定の計画

FPolicy外部エンジンを設定する前に、外部エンジンを作成することの意味を理解し、使用可能な設定パラメーターを理解する必要があります。この情報は、各パラメーターに設定する値を決めるのに役立ちます。

FPolicy外部エンジンの作成時に定義される情報

外部エンジンの設定では、外部FPolicyサーバー(FPolicyサーバー)への接続を作成および管理するためにFPolicyが必要とする、次のような情報を定義します。

  • SVM名

  • エンジン名

  • FPolicyサーバーへの接続時に使用するプライマリーおよびセカンダリーFPolicyサーバーのIPアドレスとTCPポート番号

  • エンジンのタイプが同期または非同期であるか

  • エンジンの形式がxmlprotobuf

    ONTAP 9.15.1以降では、protobufというエンジンの形式を使用できます。protobufに設定すると、通知メッセージがGoogle Protobufを使用してバイナリー形式でエンコードされます。エンジンの形式をprotobufに設定する前に、FPolicyサーバーでprotobufの逆シリアル化もサポートされていることを確認してください。

    protobuf形式はONTAP 9.15.1以降でサポートされているため、以前のリリースのONTAPにリバートする前に外部エンジンの形式を考慮する必要があります。ONTAP 9.15.1より前のリリースにリバートする場合は、FPolicyパートナーと協力して次のいずれかを実行します。
    • 各エンジンの形式をprotobufからxmlに変更する

    • エンジンの形式がprotobufのエンジンを削除する

  • ノードとFPolicyサーバー間の接続を認証する方法

    相互SSL認証を設定することを選択した場合は、SSL証明書情報を提供するパラメーターを設定する必要があります。

  • 各種の高度な権限設定を使用して接続を管理する方法

    これには、タイムアウト値、リトライ値、キープアライブ値、最大要求値、送信および受信バッファー サイズ値、セッション タイムアウト値などを定義するパラメーターが含まれます。

vserver fpolicy policy external-engine createコマンドは、FPolicy外部エンジンの作成に使用します。

外部エンジンの基本パラメーター

次に示すFPolicy基本設定パラメーターの一覧は、設定を計画するのに役立ちます。

情報の種類

オプション

SVM

この外部エンジンに関連付けるSVMの名前を指定します。

各FPolicy設定は、単一のSVM内で定義されます。FPolicyポリシーの構成要素となる外部エンジン、ポリシー イベント、ポリシーのスコープ、およびポリシーを、すべて同じSVMに関連付ける必要があります。

-vserver vserver_name

エンジン名

外部エンジンの設定に割り当てる名前を指定します。FPolicyポリシーを作成した場合、あとで外部エンジンの名前を指定する必要があります。こうすることで、外部エンジンがポリシーに関連付けられます。

この名前に指定できる文字数は最大256文字です。

MetroClusterまたはSVMディザスタ リカバリー設定で外部エンジンの名前を設定する場合、この名前は最大200文字にする必要があります。

名前には、次のASCII文字の任意の組み合わせを含めることができます。

  • az

  • AZ

  • 09

  • _」、「-」、および「.

-engine-name engine_name

プライマリーFPolicyサーバー

所定のFPolicyポリシーに関してノードが送信する通知の宛先となるプライマリーFPolicyサーバーを指定します。IPアドレスの値を指定します。複数の値を指定する場合は、カンマで区切ります。

複数のプライマリー サーバーのIPアドレスを指定した場合、SVMが参加しているすべてのノードに、ポリシーが有効にされたときに指定されたすべてのプライマリーFPolicyサーバーへの制御接続が作成されます。複数のプライマリーFPolicyサーバーを設定した場合、通知は各FPolicyサーバーにラウンドロビン方式で送信されます。

外部エンジンがMetroClusterまたはSVMディザスタ リカバリー設定で使用されている場合は、ソース サイトでのFPolicyサーバーのIPアドレスをプライマリー サーバーとして指定する必要があります。デスティネーション サイトでのFPolicyサーバーのIPアドレスは、セカンダリー サーバーとして指定してください。

-primary-servers IP_address,…​

ポート番号

FPolicyサービスのポート番号を指定します。

-port integer

セカンダリーFPolicyサーバー

所定のFPolicyポリシーに関して、ファイル アクセス イベントの送信先となるセカンダリーFPolicyサーバーを指定します。IPアドレスの値を指定します。複数の値を指定する場合は、カンマで区切ります。

セカンダリー サーバーは、いずれのプライマリーにも到達できない場合にのみ使用されます。ポリシーが有効な場合にセカンダリー サーバーへの接続が確立されますが、通知がセカンダリー サーバーへ送信されるのは、いずれのプライマリー サーバーへも着信できない場合のみです。複数のセカンダリーFPolicyサーバーを設定した場合、通知は各FPolicyサーバーにラウンドロビン方式で送信されます。

-secondary-servers IP_address,…​

外部エンジンのタイプ

外部エンジンが同期モードで動作するか非同期モードで動作するかを指定します。デフォルトでは、FPolicyは同期モードで動作します。

synchronousに設定すると、ファイル要求処理によって通知はFPolicyサーバーに送信されますが、そのあとFPolicyサーバーから応答を受信するまでは、それ以降の通知は送信されません。この時点で、要求したアクションがFPolicyサーバーからの応答で許可されるかに応じて、要求フローが続行されるか処理が拒否されるかが決まります。

asynchronousに設定すると、ファイル要求処理は、FPolicyサーバーに通知を送信したあとも処理を続行します。

-extern-engine-type external_engine_type このパラメーターには、次のいずれかの値を指定できます。

  • synchronous

  • asynchronous

外部エンジンの形式

外部エンジンの形式がxmlかprotobufかを指定します。

ONTAP 9.15.1以降では、protobufというエンジンの形式を使用できます。Protobufに設定すると、通知メッセージがGoogle Protobufを使用してバイナリー形式でエンコードされます。エンジンの形式をprotobufに設定する前に、FPolicyサーバーでprotobufの逆シリアル化もサポートされていることを確認してください。

- extern-engine-format {protobuf or xml}

FPolicyサーバーとの通信のためのSSLオプション

FPolicyサーバーとの通信のためのSSLオプションを指定します。これは必須パラメーターです。次の情報に基づいて、いずれかのオプションを選択できます。

  • no-authに設定すると、認証は行われません。

    通信リンクはTCPを介して確立されます。

  • server-authに設定すると、SVMはSSLサーバー認証を使用してFPolicyサーバーを認証します。

  • mutual-authに設定すると、SVMとFPolicyサーバー間で相互認証が行われ、SVMはFPolicyサーバーを認証し、FPolicyサーバーはSVMを認証します。

    相互SSL認証を設定することを選択した場合は、-certificate-common-name-certificate-serial、および-certifcate-caの各パラメーターを設定する必要があります。

-ssl-option {no-auth|server-auth|mutual-auth}

証明書のFQDNまたはカスタム共通名

SVMとFPolicyサーバー間のSSL認証が設定されている場合、認証に使用される証明書の名前を指定します。証明書の名前は、FQDNまたはカスタム共通名として指定できます。

mutual-auth-ssl-optionパラメーターに指定した場合は、-certificate-common-nameパラメーターの値を指定する必要があります。

-certificate-common-name text

証明書のシリアル番号

SVMとFPolicyサーバー間のSSL認証が設定されている場合、認証に使用される証明書のシリアル番号を指定します。

mutual-auth-ssl-optionパラメーターに指定した場合は、-certificate-serialパラメーターの値を指定する必要があります。

-certificate-serial text

認証局

SVMとFPolicyサーバー間のSSL認証が設定されている場合、認証に使用される証明書のCA名を指定します。

mutual-auth-ssl-optionパラメーターに指定した場合は、-certificate-caパラメーターの値を指定する必要があります。

-certificate-ca text

外部エンジンの詳細オプションについて

高度なFPolicy設定パラメーターが示されている次の表は、高度なパラメーターを使用して設定をカスタマイズするかを計画する際に使用できます。これらのパラメーターは、クラスタ ノードとFPolicyサーバー間の通信動作を変更するために使用します。

情報の種類

オプション

タイムアウトによる要求のキャンセル

ノードがFPolicyサーバーからの応答を待つ時間間隔を時間(h)、分(m)、または秒(s)で指定します。

タイムアウト間隔が経過すると、ノードはFPolicyサーバーにキャンセル要求を送信します。その後、ノードから代替FPolicyサーバーへ通知が送信されます。このタイムアウトは、応答しないFPolicyサーバーを処理するのに役立ちます。これにより、SMB / NFSクライアントの応答を向上させることができます。また、通知要求がパフォーマンスの低い、またはダウンしたFPolicyサーバーから代替FPolicyサーバーへ移されているため、タイムアウトによって要求をキャンセルすることは、システム リソースを解放するのに役立ちます。

指定できる値の範囲は、0100です。値が0に設定されている場合、オプションは無効になり、キャンセルされた要求メッセージはFPolicyサーバーには送信されません。デフォルトは20sです。

-reqs-cancel-timeout integer[h|m|s]

タイムアウトによる要求の破棄

要求を破棄するためのタイムアウトを時間(h)、分(m)、または秒(s)で指定します。

指定できる値の範囲は、0200です。

-reqs-abort-timeout ` `integer[h|m|s]

ステータス要求の送信間隔

FPolicyサーバーにステータス要求を送信する間隔を時間(h)、分(m)、または秒(s)で指定します。

指定できる値の範囲は、050です。値が0に設定されている場合、オプションは無効になり、ステータス要求メッセージはFPolicyサーバーに送信されません。デフォルトは10sです。

-status-req-interval integer[h|m|s]

FPolicyサーバーの未処理要求の最大数

FPolicyサーバーのキューに登録できる未処理要求の最大数を指定します。

指定できる値の範囲は、110000です。デフォルトは500です。

-max-server-reqs integer

タイムアウトによる応答しないFPolicyサーバーの切断

FPolicyサーバーとの接続を終了するまでの時間間隔を時間(h)、分(m)、または秒(s)で指定します。

FPolicyサーバーのキューに許容される最大要求数が含まれていて、タイムアウト期間内に応答がない場合のみ、タイムアウト期間が経過したあとに接続を終了します。許容される最大要求数は、50(デフォルト)またはmax-server-reqs-パラメーターで指定された数です。

指定できる値の範囲は、1100です。デフォルトは60sです。

-server-progress-timeout integer[h|m|s]

FPolicyサーバーへのキープアライブ メッセージの送信間隔

FPolicyサーバーにキープアライブ メッセージを送信する時間間隔を時間(h)、分(m)、または秒(s)で指定します。

キープアライブ メッセージによってハーフオープン接続を検出します。

指定できる値の範囲は、10600です。値が0に設定されている場合、オプションは無効になり、キープアライブ メッセージはFPolicyサーバーには送信されません。デフォルトは120sです。

-keep-alive-interval- integer[h|m|s]

再接続の最大試行回数

接続が切断された後、SVMがFPolicyサーバーへの再接続を試行できる最大回数を指定します。

指定できる値の範囲は、020です。デフォルトは5です。

-max-connection-retries integer

受信バッファー サイズ

FPolicyサーバーの接続ソケットの受信バッファー サイズを指定します。

デフォルト値は256KBに設定されています。値が0に設定されている場合、受信バッファーのサイズはシステムによって定義されている値に設定されます。

たとえば、ソケットのデフォルト受信バッファー サイズが65,536バイトの場合、この調整可能な値を0に設定すると、ソケットのバッファー サイズは65,536バイトに設定されます。デフォルト値以外の任意の値を使用して、受信バッファーのサイズ(バイト単位)を設定できます。

-recv-buffer-size integer

送信バッファー サイズ

FPolicyサーバーの接続ソケットの送信バッファー サイズを指定します。

デフォルト値は256KBに設定されています。値が0に設定されている場合、送信バッファーのサイズはシステムによって定義されている値に設定されます。

たとえば、ソケットのデフォルト送信バッファー サイズが65,536バイトの場合、この調整可能な値を0に設定すると、ソケットのバッファー サイズは65,536バイトに設定されます。デフォルト値以外の任意の値を使用して、送信バッファーのサイズ(バイト単位)を設定できます。

-send-buffer-size integer

再接続時にセッションIDを破棄するためのタイムアウト

再接続の試行時にFPolicyサーバーに新しいセッションIDが送信されるまでの間隔を時間(h)、分(m)、または秒(s)で指定します。

ストレージ コントローラーとFPolicyサーバーとの間の接続が終了して-session-timeoutの時間内に再接続が行われた場合は、古い通知に対する応答を送信できるように、古いセッションIDがFPolicyサーバーに送信されます。

デフォルト値は10秒に設定されています。

-session-timeout [integerh][integerm][integers]

Top of Page