跳转到主内容

FPolicy :它是什么、它是什么?

Views:
291
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

适用场景

  • ONTAP 9
  • FPolicy
  • CIFS/SMB
  • NFS v3
  • NFS v4.0

问题解答

NetApp® FPolicy® 是一个文件访问通知框架,允许管理员监控 SMB 以及 NFS v3 和 v4.0 的文件访问。  FPolicy 支持一组丰富的使用案例与选定的 NetApp 合作伙伴合作。

FPolicy 本身支持一个简单的文件阻止使用情形、管理员可以限制最终用户存储不需要的文件。例如、管理员可以阻止音频和视频文件在数据中心的存储,从而节省宝贵的存储资源。此功能仅基于扩展来阻止文件;对于更高级的功能、应考虑合作伙伴解决方案。此系统使合作伙伴能够开发适合各种使用情形的应用程序、包括但不限于:

  • 文件筛选
  • 文件访问报告
  • 用户和目录配额
  • 分层存储管理和归档解决方案
  • 文件复制
  • 数据管理

下面简要介绍了每个功能:

本机文件阻止 / 文件阻止:

本机 FPolicy 配置使用 Data ONTAP 内部 FPolicy 引擎根据文件扩展名监控和阻止文件操作。此解决方案不需要外部 FPolicy 服务器( FPolicy 服务器)。如果这种简单的解决方案是所需的,则使用本机文件阻止配置是合适的。

通过文件阻止功能、可以使用更强大的方法根据文件幻数签名监控和阻止文件操作。这与防病毒扫描程序如何检测病毒类似。

有关详细信息,请参见以下 KBS :

审核

FPolicy 审核是一种基于软件的数据使用管理解决方案。IT 组织可以查看、了解和管理谁在使用数据来控制数据访问并强制遵守数据使用策略。审核有助于解决组织内部日益增长的数据使用需求、实现数据使用在法律、财务、数据安全、知识产权和数据隐私方面的全面可见性和问责性。

有关详细信息,请参见以下知识库文章:FAQ : FPolicy : auditing

配额

配额允许组织主动管理其用户生成的数据、以帮助提高效率并降低风险。这是通过持续监控数据创建活动来确定不断变化的趋势和需求、使用硬配额或软配额来监控文件共享的增长并在达到预定大小时触发操作来实现的。 让创建和使用数据的人员能够牢牢掌握数据的责任。

分层存储管理( HSM ):

HSM 通过为归档文件服务器内容提供自动化的集成解决方案来解决存储成本和资源问题。此解决方案可以降低存储成本并管理文件生命周期。将迁移的文件替换为参考文件会显著减少主存储上的存储空间。当有用户或应用程序访问参考文件时、 DG 文件迁移适配器会自动启动调用操作、并将引用文件替换为原始文件。

文件复制:

文件复制允许在所有参与服务器之间进行实时同步,而不管更改发生在何处。文件锁定组件可防止用户访问当前在其他位置工作的用户所访问的文件。整个系统在 Windows 和 NetApp 集群模式 Data ONTAP 与以 7- 模式运行的 Data ONTAP 之间运行跨平台。可以在整个环境中创建一个或多个文件协作作业、以处理不同的项目、数据、服务器和 / 或站点分组。每个作业包括两个或多个参与服务器以及每个参与文件服务器或 NetApp 系统上的文件夹结构。

基本通信概述:

根据功能使用情况(不包括文件阻塞)、以下一个或多个协议将用于与 FPolicy 服务器、 HTTP 、 TCP 或 CIFS (将来可能会使用 NFSv4 )进行通信。每个参与每个存储虚拟机( SVM )的节点都会使用 TCP/IP 启动到外部 FPolicy 服务器( FPolicy 服务器)的连接。与 FPolicy 服务器的连接是使用节点数据 LIF 设置的;因此,只有当节点具有 SVM 的操作数据 LIF 时、参与节点才可以设置连接。

在启用策略时,参与节点上的每个 FPolicy 进程都会尝试与 FPolicy 服务器建立连接。它使用策略配置中指定的 FPolicy 外部引擎的 IP 地址和端口。
该连接通过数据 LIF 从每个 SVM 上参与的每个节点建立到 FPolicy 服务器的控制通道。此外,如果 IPv4 和 IPv6 数据 LIF 地址位于同一参与节点上, FPolicy 将尝试为 IPv4 和 IPv6 建立连接。因此,在 SVM 扩展到多个节点或同时存在 IPv4 和 IPv6 地址的情况下、在 SVM 上启用 FPolicy 策略后、 FPolicy 服务器必须准备好处理来自集群的多个控制通道设置请求。

例如,如果一个集群有三个节点—节点 1 、节点 2 和节点 3 —并且 SVM 数据存储仅分布在节点 2 和节点 3 之间、则控制通道只从节点 2 和节点 3 启动、而不考虑数据卷的分布。假设节点 2 有两个属于 SVM 的数据 LIF 1 和 LIF 2 、并且初始连接来自 LIF 1 。如果 LIF 1 失败、 FPolicy 将尝试从 LIF 2 建立控制通道。

1001017-1.png

同步与异步通信:

策略可以是同步策略或异步策略。正在同步 / 异步策略从 FPolicy 配置中收集。

同步模式策略—如果 Data ONTAP 通知 FPolicy 服务器并等待其响应以允许或拒绝请求,则策略是同步的。如果需要更改任何文件操作请求的进程路径,则使用此策略模式。例如,“目录配额”应用程序需要同步策略,因为一旦超出配额,则需要拒绝尝试向相关目录写入更多数据的文件操作。

异步模式策略—有时也称为仅通知策略。在发送通知代替文件操作后、 Data ONTAP 会继续处理文件操作。FPolicy 服务器无法更改文件操作的结果。例如,在文件访问监视应用程序中、 FPolicy 服务器会收到有关文件操作的通知、但文件操作的结果不会改变。通知通过 TCP 通过 XML 发送到 FPolicy 服务器。对于给定的虚拟服务器、可能存在多个具有不同优先级的策略。

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.