エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

エクスポート ルールの仕組み

エクスポート ルールは、エクスポート ポリシーの機能要素です。エクスポート ルールでは、ボリュームへのクライアント アクセス要求が設定済みの特定のパラメーターと照合され、クライアント アクセス要求の処理方法が決定されます。

エクスポート ポリシーには、クライアントにアクセスを許可するエクスポート ルールを少なくとも1つ含める必要があります。エクスポート ポリシーに複数のルールが含まれている場合、ルールはエクスポート ポリシーに表示される順に処理されます。ルールの順序は、ルール インデックス番号によって決まります。ルールがクライアントに一致すると、そのルールのアクセス権が使用され、それ以降のルールは処理されません。一致するルールがない場合、クライアントはアクセスを拒否されます。

次の条件を使用して、クライアントのアクセス権を決定するようにエクスポート ルールを設定できます。

  • クライアントが要求の送信に使用するファイル アクセス プロトコル(NFSv4やSMBなど)

  • クライアント識別子(ホスト名やIPアドレスなど)

    -clientmatch フィールドの最大サイズは4096文字です。

  • クライアントが認証に使用するセキュリティ タイプ(Kerberos v5、NTLM、AUTH_SYSなど)

ルールで複数の条件が指定されている場合、クライアントがそれらのすべてに一致しないとルールは適用されません。

エクスポート ポリシーの設定チェックをバックグラウンド ジョブとして有効にし、すべてのルール違反をエラールールリストに記録することができます。vserver export-policy config-checker コマンドを実行するとこのチェックが開始されて結果が表示されます。これを基に設定を確認し、エラーを含むルールをポリシーから削除できます。

このコマンドで検証されるのは、エクスポート設定のホスト名、ネットグループ、匿名ユーザーのみです。

エクスポート ポリシーに、次のパラメーターが指定されたエクスポート ルールが含まれています。

  • -protocol nfs3

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule any

  • -rwrule any

クライアントアクセス要求はNFSv3プロトコルを使用して送信され、クライアントのIPアドレスは10.1.17.37です。

クライアントアクセスプロトコルは一致していますが、クライアントのIPアドレスがエクスポート ルールで指定されているアドレスとは異なるサブネット内にあります。したがって、クライアントは一致せず、このルールはこのクライアントに適用されません。

エクスポート ポリシーに、次のパラメーターが指定されたエクスポート ルールが含まれています。

  • -protocol nfs

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule any

  • -rwrule any

クライアントアクセス要求はNFSv4プロトコルを使用して送信され、クライアントのIPアドレスは10.1.16.54です。

クライアント アクセス プロトコルが一致し、クライアントのIPアドレスが指定されたサブネット内にあります。したがって、クライアントは一致し、このルールはこのクライアントに適用されます。セキュリティ タイプに関係なく、クライアントは読み取り / 書き込みアクセス権を取得します。

エクスポート ポリシーに、次のパラメーターが指定されたエクスポート ルールが含まれています。

  • -protocol nfs3

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule any

  • -rwrule krb5,ntlm

クライアント#1は、IPアドレスが10.1.16.207で、NFSv3プロトコルを使用してアクセス要求を送信し、Kerberos v5で認証されました。

クライアント#2は、IPアドレスが10.1.16.211で、NFSv3プロトコルを使用してアクセス要求を送信し、AUTH_SYSで認証されました。

両方のクライアントで、クライアント アクセス プロトコルとIPアドレスは一致しています。読み取り専用パラメーターでは、認証に使用されるセキュリティ タイプに関係なく、読み取り専用アクセスがすべてのクライアントに許可されています。したがって、両方のクライアントが読み取り専用アクセス権を取得します。ただし、読み取り / 書き込みアクセス権を取得するのはクライアント#1だけです。これは、認証に承認されたセキュリティ タイプKerberos v5を使用したためです。クライアント#2は読み取り / 書き込みアクセス権を取得できません。

Top of Page