エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

FPolicy設定手順とは

FPolicyでファイル アクセスを監視するには、FPolicyの設定を作成し、FPolicyサービスが必要なStorage Virtual Machine(SVM)で有効にする必要があります。

以下に、SVMでFPolicy設定をセットアップして有効にする手順を示します。

  1. FPolicy外部エンジンを作成します。

    FPolicy外部エンジンでは、特定のFPolicyの設定に関連付けられた外部FPolicyサーバー(FPolicyサーバー)を識別します。内部の「標準」のFPolicyエンジンを使用してネイティブ ファイル ブロッキングの設定を作成する場合は、FPolicy外部エンジンを作成する必要はありません。

    ONTAP 9.15.1以降では、protobufというエンジンの形式を使用できます。protobufに設定すると、通知メッセージがGoogle Protobufを使用してバイナリー形式でエンコードされます。エンジンの形式をprotobufに設定する前に、FPolicyサーバーでprotobufの逆シリアル化もサポートされていることを確認してください。詳細については、「FPolicy外部エンジンの設定の計画」を参照してください。

  2. FPolicyイベントを作成します。

    FPolicyイベントでは、FPolicyポリシーで監視する対象を定義します。監視対象のプロトコルとファイル処理を指定し、一連のフィルターを含めることができます。それらのフィルターを使用して、監視対象イベントの中から、FPolicy外部エンジンで通知を送信する必要があるイベントだけを抽出できます。また、イベントでは、ポリシーでボリューム操作を監視するかも指定します。

  3. FPolicyの永続的ストアを作成します(オプション)。

    ONTAP 9.14.1以降では、FPolicyを使用して永続的ストアを作成し、SVM内の非同期で必須でないポリシーのファイル アクセス イベントをキャプチャーできます。同期(必須かは問わない)および非同期で必須の設定はサポートされていません。

    永続的ストアは、クライアントI/O処理をFPolicy通知処理から分離して、クライアントのレイテンシを低減するのに役立ちます。

    ONTAP 9.15.1以降では、FPolicyの永続的ストア設定が簡易化されています。persistent-store-createコマンドでSVMのボリューム作成を自動で行い、永続的ストア用ボリュームを設定できます。

  4. FPolicyポリシーを作成します。

    FPolicyポリシーでは、監視する必要がある一連のイベントと、指定のFPolicyサーバー(FPolicyサーバーが設定されていない場合は標準のエンジン)に通知を送信する必要がある監視対象イベントを、適切な範囲で関連付けます。また、通知を受け取ったデータへの特権アクセスをFPolicyサーバーに許可するかも定義します。FPolicyサーバーからデータにアクセスする必要がある場合は、特権アクセスが必要になります。特権アクセスが必要になる典型的なユースケースとしては、ファイル ブロッキング、クォータ管理、階層型ストレージ管理などがあります。さらに、ポリシーの設定でFPolicyサーバーと内部の「標準」のFPolicyサーバーのどちらを使用するかを指定します。

    スクリーニングを必須にするかはポリシーで指定します。スクリーニングを必須にすると、すべてのFPolicyサーバーが停止した場合や定義された時間内にFPolicyサーバーからの応答を得られない場合に、ファイル アクセスが拒否されます。

    ポリシーはSVM単位で適用されます。1つのポリシーを複数のSVMに適用することはできません。ただし、ある特定のSVMに複数のFPolicyポリシーを含めることは可能で、範囲、イベント、外部サーバーの設定を同じ組み合わせにすることも、それぞれで異なる組み合わせにすることもできます。

  5. ポリシーの範囲を設定します。

    FPolicyスコープでは、ボリューム、共有、またはエクスポート ポリシーについて、ポリシーで監視するものと除外するものを指定します。また、ファイル拡張子についても、FPolicyの監視対象に含めるものと除外するものを指定します。

    除外リストの方が対象リストよりも優先されます。

  6. FPolicyポリシーを有効にします。

    ポリシーを有効にすると、制御チャネルおよび特権データ チャネル(オプション)の接続が確立されます。SVMが属するノードのFPolicyプロセスで、ファイルおよびフォルダーに対するアクセスの監視が開始され、設定された条件に当てはまるイベントが見つかると、FPolicyサーバー(FPolicyサーバーが設定されていない場合は標準のエンジン)に通知が送信されます。

ポリシーでネイティブ ファイル ブロッキングを使用する場合は、外部エンジンは設定されず、関連付けられることもありません。

Top of Page