FPolicyポリシーの外部エンジンの設定で、FPolicyサーバーのIPアドレスがプライマリーサーバーまたはセカンダリーサーバーとして設定されている必要があります。
FPolicyサーバーで特権データチャネルを使用してデータにアクセスする場合は、次に示す追加の要件を満たしている必要があります。
- クラスタでSMBのライセンスが有効になっている。
  
  特権データアクセスはSMB接続を使用して実行されます。
- 特権データチャネルを使用してファイルにアクセスするためのユーザークレデンシャルが設定されている。
- FPolicyサーバーがFPolicy設定で指定されたクレデンシャルで実行されている。
- FPolicyサーバーとの通信に使用されるすべてのデータLIFで、許可されているプロトコルの1つとしてcifsが設定されている。
  
  これには、パススルーリード接続で使用されるLIFも含まれます。

FPolicyを設定する際のベストプラクティスと推奨事項

FlexVolを備えたStorage Virtual Machine（SVM）でFPolicyを設定するときは、FPolicy設定によって監視のパフォーマンスが向上し、要件を満たす結果が得られるようにするため、設定に関するベストプラクティスと推奨事項を理解しておく必要があります。

ポリシー設定

FPolicy外部エンジン、イベント、SVM用のスコープを設定することで、全体的なエクスペリエンスとセキュリティが向上する可能性があります。

SVM用のFPolicy外部エンジンの設定：
- セキュリティを強化するには、パフォーマンスコストがかかります。Secure Sockets Layer（SSL）通信を有効にすると、共有へのアクセスのパフォーマンスに影響します。
- FPolicyサーバーの通知処理の耐障害性と高可用性を確保するには、FPolicy外部エンジンに複数のFPolicyサーバーを設定する必要があります。
SVMのFPolicyイベントの設定

ファイル操作の監視は、エクスペリエンス全体に影響します。たとえば、ストレージ側で不要なファイル操作をフィルターリングすると、操作性が向上します。富士通では、次の設定を推奨しています。
- ユースケースを壊さずに、最小タイプのファイル処理を監視し、最大数のフィルターを有効にする。
- 属性取得、読み取り、書き込み、オープン、クローズの各処理にフィルターを使用する。SMBおよびNFSホームディレクトリー環境では、これらの処理の割合が高くなっています。
SVMのFPolicyスコープの設定

ポリシーのスコープを、SVM全体で有効にするのではなく、共有、ボリューム、エクスポートなどの関連するストレージオブジェクトに制限します。富士通はディレクトリー拡張子をチェックすることを推奨します。is-file-extension-check-on-directories-enabled`パラメーターが `true に設定されている場合、ディレクトリーオブジェクトは通常のファイルと同じ拡張子チェックの対象となります。

ネットワーク構成

FPolicyサーバーとコントローラーの間のネットワーク接続のレイテンシを低くする必要があります。富士通では、プライベートネットワークを使用してFPolicyトラフィックをクライアントトラフィックから分離することを推奨しています。

また、レイテンシを最小限に抑え、広帯域幅接続を確保するために、外部FPolicyサーバー（FPolicyサーバー）は広帯域幅接続が確保されたクラスタの近くに配置する必要があります。

FPolicyトラフィック用のLIFがクライアントトラフィック用のLIFとは別のポートに設定されている場合、ポートの障害が原因でFPolicy LIFがもう一方のノードにフェイルオーバーすることがあります。その結果、ノードからFPolicyサーバーに到達できなくなり、ノードでのファイル操作に関するFPolicy通知は失敗します。この問題を回避するには、ノード上の少なくとも1つのLIFからFPolicyサーバーにアクセスして、そのノードで実行されるファイル操作のFPolicy要求を処理できることを確認します。

ハードウェア構成

FPolicyサーバーは物理サーバーと仮想サーバーのどちらにも配置できます。FPolicyサーバーが仮想環境にある場合は、仮想サーバーに専用のリソース（CPU、ネットワーク、およびメモリー）を割り当てる必要があります。

SVM がクライアント要求に応答する際のレイテンシの原因となる可能性がある FPolicy サーバーの過負荷状態を防ぐために、クラスタノードと FPolicy サーバーの比率を最適化する必要があります。最適な比率は、FPolicyサーバーが使用されているパートナーアプリケーションによって異なります。

複数ポリシーの設定

ネイティブブロッキング用のFPolicyポリシーはシーケンス番号に関係なく最も優先され、意思決定変更ポリシーは他のポリシーよりも優先されます。ポリシーの優先度はユースケースによって異なります。

サイズに関する考慮事項

FPolicyは、SMB処理とNFS処理のインライン監視を実行し、外部サーバーに通知を送信し、外部エンジンの通信モード（同期または非同期）に応じて応答を待機します。このプロセスは、SMBとNFSのアクセスおよびCPUリソースのパフォーマンスに影響します。

パフォーマンスは、ユーザー数、ユーザーあたりの処理数やデータサイズなどのワークロード特性、ネットワークレイテンシ、障害やサーバーの速度低下など、いくつかの要因によって影響を受けます。

パフォーマンスを監視

FPolicyは通知ベースのシステムです。通知は、処理およびONTAPへの応答を生成するために外部サーバーに送信されます。このラウンドトリッププロセスにより、クライアントアクセスのレイテンシが増加します。

FPolicyサーバーとONTAPのパフォーマンスカウンタを監視すると、解決策のボトルネックを特定し、解決策を最適化するために必要に応じてパラメーターを調整できます。たとえば、FPolicyのレイテンシの増加は、SMBとNFSのアクセスレイテンシに連鎖的に影響します。そのため、ワークロード（SMBとNFS）とFPolicyの両方のレイテンシを監視する必要があります。また、ONTAPのQoSポリシーを使用して、FPolicyが有効になっているボリュームまたはSVMごとにワークロードを設定できます。

`statistics show–object workload`コマンドを実行してワークロード統計を表示することを推奨します。さらに、次のパラメーターを監視する必要があります。

平均／読み取り／書き込みレイテンシー
処理の総数
読み取りカウンタと書き込みカウンタ

FPolicyサブシステムのパフォーマンスを監視するには、次のFPolicyカウンタを使用します。

FPolicyに関連する統計を収集するには、診断モードにする必要があります。

手順

FPolicyカウンタを収集します。
1. statistics start -object fpolicy -instance instance_name -sample-id ID
2. statistics start -object fpolicy_policy -instance instance_name -sample-id ID

FPolicyカウンタを表示します。

statistics show -object fpolicy –instance instance_name -sample-id ID
statistics show -object fpolicy_server –instance instance_name -sample-id ID

fpolicy および fpolicy_server カウンタは、次の表で説明されている複数のパフォーマンスパラメーターに関する情報を提供します。

カウンタ	説明
「fpolicy」カウンタ
aborted_requests	SVMで処理が中止されたスクリーニング要求の数
event_count	通知の原因となるイベントのリスト
max_request_latency	最大スクリーン要求遅延
outstanding_requests	処理中のスクリーン要求の総数
processed_requests	SVMでfpolicy処理が実行されたスクリーニング要求の総数
request_latency_hist	画面要求のレイテンシのヒストグラム
requests_dispatched_rate	1秒あたりに送出されるスクリーン要求の数
requests_received_rate	1秒あたりに受信された画面要求の数
「fpolicy_server」カウンタ
max_request_latency	画面要求の最大遅延
outstanding_requests	応答を待機している画面要求の総数
request_latency	画面要求の平均遅延
request_latency_hist	画面要求のレイテンシのヒストグラム
request_sent_rate	FPolicyサーバーに送信された1秒あたりのスクリーニング要求数
response_received_rate	FPolicyサーバーから受信した1秒あたりのスクリーニング応答数

カウンタ

説明

「fpolicy」カウンタ

aborted_requests

SVMで処理が中止されたスクリーニング要求の数

event_count

通知の原因となるイベントのリスト

max_request_latency

最大スクリーン要求遅延

outstanding_requests

処理中のスクリーン要求の総数

processed_requests

SVMでfpolicy処理が実行されたスクリーニング要求の総数

request_latency_hist

画面要求のレイテンシのヒストグラム

requests_dispatched_rate

1秒あたりに送出されるスクリーン要求の数

requests_received_rate

1秒あたりに受信された画面要求の数

「fpolicy_server」カウンタ

max_request_latency

画面要求の最大遅延

outstanding_requests

応答を待機している画面要求の総数

request_latency

画面要求の平均遅延

request_latency_hist

画面要求のレイテンシのヒストグラム

request_sent_rate

FPolicyサーバーに送信された1秒あたりのスクリーニング要求数

response_received_rate

FPolicyサーバーから受信した1秒あたりのスクリーニング応答数

FPolicyワークフローと他のテクノロジへの依存関係を管理します

設定を変更する前にFPolicyポリシーを無効にすることを推奨します。たとえば、有効なポリシーに設定されている外部エンジンのIPアドレスを追加または変更する場合は、最初にポリシーを無効にします。

FlexCacheボリュームを監視するようにFPolicyを設定する場合は、読み取りおよび属性取得ファイル操作を監視するようにFPolicyを設定しないことを推奨します。ONTAPでこれらの処理を監視するには、inode-to-path（I2P）データを取得する必要があります。I2PデータはFlexCacheボリュームから取得できないため、元のボリュームから取得する必要があります。そのため、これらの処理を監視することで、FlexCacheが提供するパフォーマンス上のメリットが排除されます。

FPolicyと外部のウィルス対策解決策の両方が導入されている場合、最初にウィルス対策解決策が通知を受信します。FPolicyの処理は、ウィルス対策スキャンの完了後に開始されます。低速のウィルス対策スキャナは全体的なパフォーマンスに影響する可能性があるため、ウィルス対策ソリューションのサイズを正しく設定することが重要です。

パススルーリードのアップグレードとリバートに関する考慮事項

パススルーリードをサポートしているONTAPリリースへのアップグレードまたはパススルーリードをサポートしていないリリースへのリバートを行う前に、アップグレードおよびリバートに関する考慮事項を把握しておく必要があります。

アップグレード

FPolicyパススルーリードをサポートしているONTAPのバージョンにすべてのノードをアップグレードしたあと、クラスタはパススルーリードを使用できるようになります。ただし、既存のFPolicy設定ではパススルーリードがデフォルトで無効になっています。既存のFPolicy設定でパススルーリードを使用するには、FPolicyポリシーを無効にして設定を変更したうえで、設定を再び有効にする必要があります。

リバート

FPolicyをサポートしていないONTAPのバージョンにリバートする前に、以下の条件を満たす必要があります。

パススルーリードを使用しているすべてのポリシーを無効にしたうえで、影響を受ける設定を変更してパススルーリードを使用しないようにする必要があります。
クラスタのFPolicy機能を無効にする場合は、クラスタ上のすべてのFPolicyポリシーを無効にする必要があります。

ONTAP 9.13

FPolicy設定時の要件、考慮事項、およびベストプラクティス

FPolicyを設定するための要件