跳到主要内容

规划 FPolicy 外部引擎配置

在配置 FPolicy 外部引擎(外部引擎)之前,必须了解其对创建外部引擎的意义和可使用哪些配置参数。以下信息可帮助您确定要为每个参数设置哪些值。

创建 FPolicy 外部引擎时定义的信息

外部引擎配置定义 FPolicy 在创建和管理与外部 FPolicy 服务器(FPolicy 服务器)之间的连接时所需的信息,包括以下信息:

  • 存储虚拟机(SVM)名称
  • 引擎名称
  • 主 FPolicy 服务器和辅助 FPolicy 服务器的 IP 地址和在创建与 FPolicy 服务器之间的连接时要使用的 TCP 端口号
  • 引擎类型是异步还是同步

  • 如何认证节点 FPolicy 服务器之间的连接

    如果选择配置 SSL 相互认证,还必须配置用于提供 SSL 证书信息的参数。

  • 如何使用各种高级权限设置管理连接

    包括用于定义如下信息的参数:超时值、重试值、保持活动状态值、最大请求值、发送缓冲区大小值和接收缓冲区大小值,以及会话超时值。

vserver fpolicy policy external-engine create 命令用于创建 FPolicy 外部引擎。

基本外部引擎参数是什么

可使用以下基本 FPolicy 配置参数表帮助规划配置:

信息类型选项
SVM

指定希望与此外部引擎关联的 SVM 名称。

每个 FPolicy 配置需在单个 SVM 中定义。在创建 FPolicy 策略配置时,其中包含的外部引擎、策略事件,策略范围和策略都必须与同一 SVM 关联。

-vserver vserver_name
引擎名称

指定要分配给外部引擎配置的名称。创建 FPolicy 策略时,后续必须指定外部引擎名称。这会将外部引擎与策略关联。

该名称的长度为最多 256 个字符。

如果在 MetroCluster 或 SVM 灾难恢复配置中配置外部引擎名称,则该名称中最多包含 200 个字符。

该名称中可包含以下范围的 ASCII 字符任意组合:

  • az
  • AZ
  • 09
  • _-.
-engine-name engine_name
主 FPolicy 服务器

指定节点要将给定 FPolicy 策略的通知发送给哪些主 FPolicy 服务器。指定该值时采用的格式为以逗号分隔的 IP 地址列表。

如果指定多个主服务器 IP 地址,则 SVM 参与的每个节点都会在启用策略时创建与指定的每个主 FPolicy 服务器之间的控制连接。如果配置多个主 FPolicy 服务器,将以轮循方式向 FPolicy 服务器发送通知。

如果 MetroCluster 或 SVM 灾难恢复配置中使用外部引擎,您应指定源站点处充当主服务器的 FPolicy 服务器的 IP 地址。应将目标站点的 FPolicy 服务器的 IP 地址指定为辅助服务器。

-primary-servers IP_address,...
端口号

指定 FPolicy 服务的端口号。

-port integer
辅助 FPolicy 服务器

指定要将给定 FPolicy 策略的文件访问事件发送给哪些辅助 FPolicy 服务器。指定该值时采用的格式为以逗号分隔的 IP 地址列表。

仅当所有主服务器均不可访问时,才使用辅助服务器。启用策略时间建立与辅助服务器之间的连接,但仅当所有主服务器均不可访问时才将通知发送给辅助服务器。如果配置多个辅助服务器,将以轮循方式向 FPolicy 服务器发送通知。

-secondary-servers IP_address,...
外部引擎类型

指定外部引擎以同步还是异步模式运行。默认情况下,FPolicy 以同步模式运行。

如果设置为 synchronous,文件请求处理会向 FPolicy 服务器发送通知,但随后便会停止,直至收到 FPolicy 服务器的响应才会继续。此时,请求流将继续或处理导致拒绝,具体取决于 FPolicy 服务器的响应是否允许所请求的操作。

如果设置为 asynchronous,文件请求处理会向 FPolicy 服务器发送通知,然后继续。

-extern-engine-type external_engine_type

此参数的值可以是下列之一:

  • synchronous
  • asynchronous
与 FPolicy 服务器通信的 SSL 选项

指定与 FPolicy 服务器通信的 SSL 选项。这是必需参数。可根据以下信息选择一个选项:

  • 如果设置为 no-auth,则不进行认证。

    将通过 TCP 建立通信链路。

  • 如果设置为 server-auth,则 SVM 会使用 SSL 服务器认证对 FPolicy 服务器进行认证。
  • 如果设置为 mutual-auth,则 SVM 和 FPolicy 服务器之间将会进行相互认证;SVM 会对 FPolicy 服务器进行认证,而 FPolicy 服务器也会对 SVM 进行认证。

    如果选择配置 SSL 相互认证,还必须配置 -certificate-common-name-certificate-serial-certifcate-ca 参数。

-ssl-option {no-auth|server-auth|mutual-auth}
证书 FQDN 或自定义通用名称

指定 SVM 与 FPolicy 服务器之间配置 SSL 认证时使用的证书名称。可将证书名称指定为 FQDN 或自定义的通用名称。

如果为 -ssl-option 参数指定 mutual-auth,则必须为 -certificate-common-name 参数指定值。

-certificate-common-name text
证书序列号

指定 SVM 与 FPolicy 服务器之间配置 SSL 认证时用于认证的证书的序列号。

如果为 -ssl-option 参数指定 mutual-auth,则必须为 -certificate-serial 参数指定值。

-certificate-serial text
证书颁发机构

指定 SVM 与 FPolicy 服务器之间配置 SSL 认证时用于认证的证书的 CA 名称。

如果为 -ssl-option 参数指定 mutual-auth,则必须为 -certifcate-ca 参数指定值。

-certifcate-ca text

高级外部引擎选项有哪些

规划是否使用高级参数自定义配置时,可使用以下高级 FPolicy 配置参数表。这些参数用于修改集群节点与 FPolicy 服务器之间的通信行为:

信息类型选项
取消请求的超时

以小时(h)、分钟(m)或秒(s)为单位指定节点等待 FPolicy 服务器响应的时间间隔。

如果超时时间间隔结束,节点将向 FPolicy 服务器发送取消请求。然后,节点将通知发送给备用 FPolicy 服务器。此超时有助于处理不响应的 FPolicy 服务器,从而提高 SMB/NFS 客户端响应。此外,超时时间段后取消请求有助于释放系统资源,因为将把通知请求从状态不佳/有问题的 FPolicy 服务器移至备用 FPolicy 服务器。

该值的范围为 0100。如果将该值设置为 0,则会禁用该选项,并且不会将取消请求消息发送给 FPolicy 服务器。默认设置为 20s

-reqs-cancel-timeout integer[h|m|s]
中止请求的超时

以小时(h)、分钟(m)或秒(s)为单位指定中止请求的超时。

该值的范围为 0200

-reqs-abort-timeout integer[h|m|s]
发送状态请求的时间间隔

以小时(h)、分钟(m)或秒(s)为单位指定向 FPolicy 服务器发送状态请求之前的时间间隔。

该值的范围为 050。如果将该值设置为 0,则会禁用该选项,并且不会将状态请求消息发送给 FPolicy 服务器。默认设置为 10s

-status-req-interval integer[h|m|s]
FPolicy 服务器上未完成请求的数量上限

指定 FPolicy 服务器中的最大可排队未完成请求数量。

该值的范围为 110000。默认设置为 50

-max-server-reqs integer
与无响应 FPolicy 服务器断开连接的超时

以小时(h)、分钟(m)或秒(s)为单位指定终止与 FPolicy 服务器之间的连接之前的时间间隔。

仅在 FPolicy 服务器的队列中包含的请求数量达到了所允许的最大值,并且在该超时时间段内未收到任何响应的情况下才会终止连接。所允许的最大请求数量为 50(默认值)或 max-server-reqs- 参数指定的数量。

该值的范围为 1100。默认设置为 60s

-server-progress-timeout integer[h|m|s]
向 FPolicy 服务器发送保持活动状态消息的时间间隔

以小时(h)、分钟(m)或秒(s)为单位指定向 FPolicy 服务器发送保持活动状态消息时的时间间隔。

保持活动状态消息检测半打开的连接。

该值的范围为 10600。如果将该值设置为 0,则会禁用该选项,并且不会将保持活动状态消息发送给 FPolicy 服务器。默认设置为 120s

-keep-alive-interval- integer[h|m|s]
重新连接尝试次数上限

指定连接断开后 SVM 尝试重新连接到 FPolicy 服务器的最大次数。

该值的范围为 020。默认设置为 5

-max-connection-retries integer
接收缓冲区大小

指定 FPolicy 服务器的相连套接字的接收缓冲区大小。

默认值设置为 256 千字节(Kb)。如果该值设置为 0,则接收缓冲区的大小设置为系统定义的值。

例如,如果套接字的默认接收缓冲区大小为 65,536 字节,则通过将这个可调值设置为 0,套接字缓冲区大小将设置为 65,536 字节。可使用任何非默认值设置接收缓冲区的大小(单位为字节)。

-recv-buffer-size integer
发送缓冲区大小

指定 FPolicy 服务器的相连套接字的发送缓冲区大小。

默认值设置为 256 千字节(Kb)。如果该值设置为 0,则发送缓冲区的大小设置为系统定义的值。

例如,如果套接字的默认发送缓冲区大小设置为 65,536 字节,则通过将这个可调值设置为 0,套接字缓冲区大小将设置为 65,536 字节。可使用任何非默认值设置发送缓冲区的大小(单位为字节)。

-send-buffer-size integer
重新连接期间清除会话标识的超时

以小时(h)、分钟(m)或秒(s)为单位指定尝试重新连接期间向 FPolicy 服务器发送新会话标识之前的时间间隔。

如果存储控制器与 FPolicy 服务器之间的连接终止,并且在 -session-timeout 时间间隔内重新连接,则将把旧会话标识发送给 FPolicy 服务器,以使其可发送旧通知的响应。

默认值设置为 10 秒。

-session-timeout [integerh][integerm][integers]
相关概念