エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

FPolicy設定時の要件、考慮事項、およびベストプラクティス

SVMでFPolicyを作成して設定する前に、FPolicyの設定に関する一定の要件、考慮事項、およびベストプラクティスについて確認しておく必要があります。

FPolicy機能の設定には、コマンドライン インターフェイス(CLI)またはREST APIを使用します。

FPolicyを設定するための要件

Storage Virtual Machine(SVM)でFPolicyを設定して有効にする前に、一定の要件について確認しておく必要があります。

  • クラスタ内のすべてのノードで、FPolicyがサポートされているバージョンのONTAPが実行されている必要があります。

  • ONTAPの標準のFPolicyエンジンを使用しない場合は、外部FPolicyサーバー(FPolicyサーバー)をインストールしておく必要があります。

  • FPolicyポリシーが有効になっているSVMのデータLIFからアクセスできるサーバーに、FPolicyサーバーがインストールされている必要があります。

    ONTAP 9.8以降では、data-fpolicy-clientサービスが追加され、アウトバウンドFPolicy接続用にクライアントLIFサービスを提供できるようになりました。LIFとサービス ポリシーの詳細については、こちらを参照してください。
  • FPolicyポリシーの外部エンジンの設定で、FPolicyサーバーのIPアドレスがプライマリー サーバーまたはセカンダリー サーバーとして設定されている必要があります。

  • FPolicyサーバーで特権データ チャネルを使用してデータにアクセスする場合は、次に示す追加の要件を満たしている必要があります。

    • クラスタでSMBのライセンスが有効になっている。

      特権データ アクセスはSMB接続を使用して実行されます。

    • 特権データ チャネルを使用してファイルにアクセスするためのユーザー クレデンシャルが設定されている。

    • FPolicyサーバーがFPolicy設定で指定されたクレデンシャルで実行されている。

    • FPolicyサーバーとの通信に使用されるすべてのデータLIFで、許可されているプロトコルの1つとしてcifsが設定されている。

      これには、パススルー リード接続で使用されるLIFも含まれます。

FPolicyを設定する際のベストプラクティスと推奨事項

Storage Virtual Machine(SVM)でFPolicyを設定するときは、FPolicy設定によって監視のパフォーマンスが向上し、要件を満たす結果が得られるようにするため、設定に関するベストプラクティスと推奨事項を理解しておく必要があります。

パフォーマンス、サイジング、設定に関する具体的なガイドラインについては、FPolicyパートナー アプリケーションを参照してください。

永続的ストア

ONTAP 9.14.1以降では、FPolicyを使用して永続的ストアを作成し、SVM内の非同期で必須でないポリシーのファイル アクセス イベントをキャプチャーできます。永続的ストアは、クライアントI/O処理をFPolicy通知処理から分離して、クライアントのレイテンシを低減するのに役立ちます。同期(必須かは問わない)および非同期で必須の設定はサポートされていません。

  • 永続的ストア機能を使用する前に、この設定がパートナー アプリケーションでサポートされていることを確認してください。

  • FPolicyが有効になっているSVMごとに永続的ストアが1つ必要です。

    • SVMごとに設定できる永続的ストアは1つだけです。ポリシーの提供パートナーが異なる場合でも、各SVM上のすべてのFPolicy設定に単一の永続的ストアを使用する必要があります。

  • ONTAP 9.15.1以降:

    • 永続的ストア、そのボリューム、およびボリューム設定は、永続的ストアの作成時に自動的に処理されます。

  • ONTAP 9.14.1:

    • 永続的ストア、そのボリューム、およびボリューム設定は手動で処理します。

  • 永続的ストアのボリュームは、FPolicyによって監視されるトラフィック量が最大になると想定されるLIFがあるノードに作成します。

    • ONTAP 9.15.1以降:ボリュームは、永続的ストアの作成時に自動的に作成および設定されます。

    • ONTAP 9.14.1:クラスタ管理者が、FPolicyが有効になっている各SVMに永続的ストア用のボリュームを作成して設定する必要があります。

  • 永続的ストアに蓄積された通知がプロビジョニングされたボリュームのサイズを超えると、FPolicyによって、受信する通知のうち、破棄してもかまわないEMSメッセージが含まれるものの破棄が開始されます。

    • ONTAP 9.15.1以降:sizeパラメーターに加えて、autosize-modeパラメーターを使用すると、使用済みスペースの量に応じてボリュームを拡張または縮小できます。

    • ONTAP 9.14.1:sizeパラメーターは、ボリュームの作成時に上限を指定するために設定します。

  • 永続的ストアのボリュームのSnapshotポリシーは、defaultではなくnoneに設定します。これは、Snapshotが偶発的にリストアされた場合でも現在のイベントが失われないようにして、イベント処理が重複しないようにするためです。

    • ONTAP 9.15.1以降:snapshot-policyパラメーターは、永続的ストアの作成時に自動的にnoneに設定されます。

    • ONTAP 9.14.1:snapshot-policyパラメーターは、ボリュームの作成時にnoneに設定します。

  • 永続的イベント レコードの偶発的な破損や削除を避けるため、外部ユーザー プロトコル アクセス(CIFS / NFS)では永続的ストアにアクセスできないようにします。

    • ONTAP 9.15.1以降:ONTAPは、永続的ストアの作成時にボリュームへの外部ユーザー プロトコル アクセス(CIFS / NFS)を自動的にブロックします。

    • ONTAP 9.14.1:FPolicyを有効にしたら、ONTAPでボリュームをアンマウントしてジャンクション パスを削除します。これにより、外部ユーザー プロトコル アクセス(CIFS / NFS)でボリュームにアクセスできなくなります。

詳細については、「FPolicyの永続的ストア」および「永続的ストアの作成」を参照してください。

永続的ストアのフェイルオーバーおよびギブバック

想定外のリブートが発生した場合や、FPolicyを無効にして再度有効にした場合、永続的ストアは最後にイベントを受信したときの状態で保持されます。テイクオーバー処理が完了すると、新しいイベントがパートナー ノードに格納されて処理されます。ギブバック処理のあとで、ノードのテイクオーバー発生時に残っていた可能性がある未処理のイベントの処理が、永続的ストアで再開されます。未処理のイベントよりもライブ イベントが優先されます。

永続的ストアのボリュームが、あるノードから同じSVM内の別のノードに移動された場合、まだ処理されていない通知も新しいノードに移動します。保留中の通知が外部サーバーに配信されるようにするために、ボリュームの移動後は、いずれかのノードでfpolicy persistent-store createコマンドを再実行する必要があります。

ポリシーの設定

SVMのFPolicy外部エンジン、イベント、およびスコープを設定することで、全体的なエクスペリエンスとセキュリティを強化できます。

  • SVMのFPolicy外部エンジンの設定:

    • セキュリティの強化には、パフォーマンスコストが伴います。Secure Sockets Layer(SSL)通信を有効にすると、共有にアクセスする際のパフォーマンスに影響します。

    • FPolicyサーバーの通知処理の耐障害性と高可用性を確保するには、FPolicy外部エンジンに複数のFPolicyサーバーを設定する必要があります。

  • SVMのFPolicyイベントの設定:

    ファイル操作の監視は、エクスペリエンス全体に影響します。たとえば、ストレージ側で不要なファイル操作をフィルターリングすると、エクスペリエンスが改善されます。次の設定を推奨しています。

    • 最小限の種類のファイル操作を監視し、ユースケースを損なうことなく最大数のフィルターを有効にします。

    • 属性取得、読み取り、書き込み、オープン、クローズの各処理にフィルターを使用する。SMBとNFSのホームディレクトリー環境では、これらの処理が大きな割合を占めます。

  • SVMに対するFPolicyスコープの設定:

    ポリシーの範囲を、SVM全体ではなく、共有、ボリューム、エクスポートなどの関連するストレージオブジェクトに制限します。ディレクトリーの拡張子をチェックすることを推奨します。is-file-extension-check-on-directories-enabledパラメーターをtrueに設定すると、通常のファイルと同じく、ディレクトリーオブジェクトの拡張子も監視対象となります。

ネットワーク設定

FPolicyサーバーとコントローラーの間のネットワーク接続は、低レイテンシである必要があります。プライベートネットワークを使用してFPolicyトラフィックをクライアントトラフィックから分離することを推奨しています。

また、レイテンシを最小限に抑え、広帯域幅接続を確保するために、外部FPolicyサーバー(FPolicyサーバー)は広帯域幅接続が確保されたクラスタの近くに配置することが推奨されます。

FPolicyトラフィック用のLIFがクライアントトラフィック用のLIFとは別のポートに設定されている場合、ポートの障害が原因でFPolicy LIFがもう一方のノードにフェイルオーバーすることがあります。その結果、ノードからFPolicyサーバーに到達できなくなり、ノードでのファイル操作に関するFPolicy通知は失敗します。この問題を回避するには、ノード上の少なくとも1つのLIFからFPolicyサーバーにアクセスして、そのノードで実行されるファイル操作のFPolicy要求を処理できることを確認します。

ハードウェア構成

FPolicyサーバーは物理サーバーと仮想サーバーのどちらにも配置できます。FPolicyサーバーが仮想環境にある場合は、仮想サーバーに専用のリソース(CPU、ネットワーク、およびメモリー)を割り当てる必要があります。

SVMがクライアント要求に応答する際のレイテンシの原因となる可能性があるFPolicyサーバーの過負荷状態を防ぐために、クラスタノードとFPolicyサーバーの比率を最適化する必要があります。最適な比率は、FPolicyサーバーが使用されているパートナーアプリケーションによって異なります。

複数ポリシーの設定

ネイティブブロッキング用のFPolicyポリシーはシーケンス番号に関係なく最も優先され、決定変更ポリシーは他のポリシーよりも優先されます。ポリシーの優先度はユースケースによって異なります。

サイズに関する考慮事項

FPolicyは、SMB処理とNFS処理のインライン監視を実行し、外部サーバーに通知を送信し、外部エンジンの通信モード(同期または非同期)に応じて応答を待機します。このプロセスは、SMBとNFSのアクセスおよびCPUリソースのパフォーマンスに影響します。

パフォーマンスは、ユーザー数、ユーザーあたりの処理数やデータサイズなどのワークロード特性、ネットワークレイテンシ、障害やサーバーの速度低下など、いくつかの要因によって影響を受けます。

パフォーマンスの監視

FPolicyは通知ベースのシステムです。通知は、外部サーバーに送信され、そこで処理され、生成された応答がONTAPに返されます。この往復プロセスにより、クライアントアクセスのレイテンシが増加します。

FPolicyサーバーとONTAPのパフォーマンスカウンタを監視することで、ソリューション内のボトルネックを特定し、必要に応じてパラメーターを調整してソリューションを最適化できます。たとえば、FPolicyのレイテンシの増加は、SMBとNFSのアクセスレイテンシに連鎖的に影響します。そのため、ワークロード(SMBとNFS)とFPolicyの両方のレイテンシを監視する必要があります。また、ONTAPのサービス品質(QoS)ポリシーを使用して、FPolicyが有効になっているボリュームやSVMごとにワークロードを設定できます。

statistics show –object workloadコマンドを実行してワークロード統計を表示することを推奨します。さらに、次のパラメーターを監視する必要があります。

  • 平均/読み取り/書き込みレイテンシ

  • 処理の総数

  • 読み取りカウンタと書き込みカウンタ

FPolicyサブシステムのパフォーマンスを監視するには、次のFPolicyカウンタを使用します。

FPolicyに関連する統計を収集するには、診断モードにする必要があります。
手順
  1. FPolicyカウンタを収集します。

    1. statistics start -object fpolicy -instance instance_name -sample-id ID

    2. statistics start -object fpolicy_policy -instance instance_name -sample-id ID

  2. FPolicyカウンタを表示します。

    1. statistics show -object fpolicy –instance instance_name -sample-id ID

    2. statistics show -object fpolicy_server –instance instance_name -sample-id ID

    fpolicyカウンタとfpolicy_serverカウンタで取得できるパフォーマンスパラメーターに関する情報を、次の表に示します。

    カウンタ 説明

    「fpolicy」カウンタ

    aborted_requests

    SVMで処理が中止されたスクリーニング要求の数

    event_count

    通知の原因になったイベントのリスト

    max_request_latency

    スクリーニング要求の最大レイテンシ

    outstanding_requests

    処理中のスクリーン要求の総数

    processed_requests

    SVMでFPolicyの処理が完了したスクリーニング要求の総数

    request_latency_hist

    スクリーニング要求のレイテンシのヒストグラム

    requests_dispatched_rate

    送信されたスクリーニング要求の1秒あたりの数

    requests_received_rate

    受信したスクリーニング要求の1秒あたりの数

    「fpolicy_server」カウンタ

    max_request_latency

    スクリーニング要求の最大レイテンシ

    outstanding_requests

    応答待ちのスクリーニング要求の総数

    request_latency

    スクリーニング要求の平均レイテンシ

    request_latency_hist

    スクリーニング要求のレイテンシのヒストグラム

    request_sent_rate

    FPolicyサーバーに送信されたスクリーニング要求の1秒あたりの数

    response_received_rate

    FPolicyサーバーから受信したスクリーニング応答の1秒あたりの数

FPolicyのワークフローと他のテクノロジへの依存の管理

設定を変更する前にFPolicyポリシーを無効にすることを推奨します。たとえば、有効なポリシーに設定されている外部エンジンのIPアドレスを追加または変更する場合は、最初にポリシーを無効にします。

FlexCacheボリュームを監視するようにFPolicyを設定する場合、読み取りと属性取得のファイル操作を監視するようにFPolicyを設定しないことを推奨します。ONTAPでこれらの処理を監視するには、inode-to-path(I2P)データを取得する必要があります。I2PデータはFlexCacheボリュームから取得できないため、元のボリュームから取得する必要があります。そのため、これらの処理を監視することで、FlexCacheで得られるパフォーマンス上のメリットが帳消しになってしまいます。

FPolicyと外部のウイルス対策ソリューションを両方とも導入している場合、最初にウイルス対策ソリューションが通知を受信します。FPolicyの処理は、ウイルス対策スキャンの完了後に開始されます。ウイルス対策スキャナが低速だと全体的なパフォーマンスに影響する可能性があるため、ウイルス対策ソリューションの適切なサイジングが重要になります。

パススルー リードのアップグレードとリバートに関する考慮事項

パススルー リードをサポートしているONTAPリリースへのアップグレードまたはパススルー リードをサポートしていないリリースへのリバートを行う前に、アップグレードおよびリバートに関する考慮事項を把握しておく必要があります。

アップグレード

FPolicyパススルー リードをサポートしているONTAPのバージョンにすべてのノードをアップグレードしたあと、クラスタはパススルー リードを使用できるようになります。ただし、既存のFPolicy設定ではパススルー リードがデフォルトで無効になっています。既存のFPolicy設定でパススルー リードを使用するには、FPolicyポリシーを無効にして設定を変更したうえで、設定を再び有効にする必要があります。

リバート

FPolicyをサポートしていないONTAPのバージョンにリバートする前に、以下の条件を満たす必要があります。

  • パススルー リードを使用しているすべてのポリシーを無効にしたうえで、影響を受ける設定を変更してパススルー リードを使用しないようにする必要があります。

  • クラスタ上のすべてのFPolicyポリシーを無効にして、クラスタのFPolicy機能を無効にします。

永続的ストアをサポートしないバージョンのONTAPにリバートする前に、永続的ストアが設定されているFPolicyポリシーが1つもないことを確認してください。永続ストアが設定されていると、リバートは失敗します。

Top of Page