Skip to main content
Alle Cloud-Provider
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Alle Cloud-Provider
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Richtlinienoptionen für das Backup an ein Objekt

Beitragende

Mit BlueXP Backup und Recovery können Sie Backup-Richtlinien mit einer Vielzahl von Einstellungen für Ihre lokalen ONTAP und Cloud Volumes ONTAP Systeme erstellen.

Hinweis Diese Richtlinieneinstellungen sind nur für den Objekt-Storage relevant. Keine dieser Einstellungen wirkt sich auf Ihre Snapshot- oder Replikationsrichtlinien aus. Ähnliche Richtlinieneinstellungen für Snapshots und Replikationen werden in Zukunft hinzugefügt.

Optionen für den Backup-Zeitplan

Mit BlueXP Backup und Recovery können Sie mehrere Backup-Richtlinien mit eindeutigen Zeitplänen für jede Arbeitsumgebung (Cluster) erstellen. Sie können Volumes mit unterschiedlichen Recovery-Punkten (RPO) unterschiedliche Backup-Richtlinien zuweisen.

Jede Sicherungsrichtlinie enthält einen Abschnitt für Labels & Retention, den Sie auf Ihre Sicherungsdateien anwenden können. Die auf das Volume angewendete Snapshot-Richtlinie muss eine der Richtlinien sein, die von BlueXP Backup- und Recovery- oder Backup-Dateien erkannt werden. Sie wird dann nicht erstellt.

Ein Screenshot der Backup Schedule-Einstellungen beim Erstellen einer Backup-Richtlinie.

Es gibt zwei Teile des Zeitplans: Das Etikett und der Aufbewahrungswert:

  • Die Bezeichnung definiert, wie oft eine Sicherungsdatei aus dem Volume erstellt (oder aktualisiert) wird. Sie können eine der folgenden Beschriftungstypen auswählen:

    • Sie können eine oder eine Kombination aus, stündlich, täglich, wöchentlich, monatlich, Und jährliche Zeitrahmen.

    • Sie können eine der vom System definierten Richtlinien auswählen, die Backup und Aufbewahrung für 3 Monate, 1 Jahr oder 7 Jahre bieten.

    • Wenn Sie im Cluster benutzerdefinierte Backup-Sicherungsrichtlinien mit ONTAP System Manager oder der ONTAP CLI erstellt haben, können Sie eine dieser Richtlinien auswählen.

  • Der Wert Retention definiert, wie viele Sicherungsdateien für jedes Etikett (Zeitrahmen) aufbewahrt werden. Sobald die maximale Anzahl von Backups in einer Kategorie oder Intervall erreicht wurde, werden ältere Backups entfernt, sodass Sie immer über die aktuellsten Backups verfügen. Dies spart auch Storage-Kosten, da veraltete Backups nicht mehr Speicherplatz in der Cloud belegen.

Beispiel: Erstellen Sie eine Backup Policy, die 7 wöchentlich und 12 monatlich Backups erstellt:

  • Jede Woche und jeden Monat wird eine Sicherungsdatei für das Volume erstellt

  • In der 8. Woche wird das erste wöchentliche Backup entfernt, und das neue wöchentliche Backup für die 8. Woche wird hinzugefügt (maximal 7 wöchentliche Backups bleiben erhalten)

  • Am 13. Monat wird das erste monatliche Backup entfernt, und das neue monatliche Backup für den 13. Monat wird hinzugefügt (maximal 12 monatliche Backups)

Beachten Sie, dass die jährlichen Backups nach der Übertragung in den Objektspeicher automatisch aus dem Quellsystem gelöscht werden. Dieses Standardverhalten kann geändert werden "Klicken Sie auf der Seite Erweiterte Einstellungen auf" Für die Arbeitsumgebung.

DataLock- und Ransomware-Schutzoptionen

BlueXP Backup und Recovery bietet Unterstützung für DataLock und Ransomware-Schutz für Ihre Volume-Backups. Mit diesen Funktionen sperren Sie Ihre Backup-Dateien und scannen sie, um mögliche Ransomware auf den Backup-Dateien zu erkennen. Dies ist eine optionale Einstellung, die Sie in Ihren Backup-Richtlinien definieren können, wenn Sie zusätzliche Sicherheit für Ihre Volume-Backups für ein Cluster wünschen.

Beide Funktionen schützen Ihre Backup-Dateien, sodass Sie bei einem Ransomware-Angriff auf Ihre Backups immer über eine gültige Backup-Datei verfügen, von der Sie Daten wiederherstellen können. Darüber hinaus hilft es bei der Einhaltung bestimmter gesetzlicher Vorgaben, bei denen Backups für einen bestimmten Zeitraum gesperrt und aufbewahrt werden müssen. Wenn die Option DataLock und Ransomware-Schutz aktiviert ist, sind für den Cloud-Bucket, der als Teil der Backup- und Recovery-Aktivierung von BlueXP bereitgestellt wird, Objektsperrung und Objektversionierung aktiviert.

"Weitere Informationen finden Sie im Blog zum Schutz von DataLock und Ransomware".

Diese Funktion bietet keinen Schutz für Ihre Quell-Volumes, sondern nur für die Backups dieser Quell-Volumes. Mit NetApp "Cloud Insights und Cloud Secure", Oder einige der "Ransomware-Schutz durch ONTAP" Um Ihre Quell-Volumes zu schützen.

Achtung

  • Wenn Sie DataLock- und Ransomware-Schutz verwenden möchten, können Sie diese beim Erstellen Ihrer ersten Backup-Richtlinie und beim Aktivieren von BlueXP Backup und Recovery für diesen Cluster aktivieren. Sie können sie später mit den erweiterten Einstellungen für BlueXP Backup und Recovery aktivieren.

  • DataLock- und Ransomware-Schutz können für einen Cluster deaktiviert werden, nachdem er konfiguriert wurde, um Kosten zu sparen.

  • Wenn BlueXP beim Wiederherstellen von Volume-Daten eine Backup-Datei auf Ransomware scannt, fallen für den Zugriff auf die Inhalte der Backup-Datei zusätzliche Kosten von Ihrem Cloud-Provider an.

Was ist DataLock

DataLock schützt Ihre Sicherungsdateien vor einer bestimmten Zeit, die auch unveränderlicher Speicher genannt wird. Diese Funktionalität nutzt Technologie des Objekt-Storage-Providers zur „Objektsperrung“. Der Zeitraum, in dem die Sicherungsdatei gesperrt (und aufbewahrt) wird, wird als Aufbewahrungsfrist für DataLock bezeichnet. Er basiert auf dem von Ihnen definierten Zeitplan für die Backup-Richtlinie und der Aufbewahrungseinstellung sowie auf einem Puffer von 14 Tagen. Jede DataLock-Aufbewahrungsrichtlinie, die weniger als 30 Tage beträgt, wird auf mindestens 30 Tage aufgerundet.

Beachten Sie, dass alte Backups nach Ablauf des Aufbewahrungszeitraums von DataLock gelöscht werden, nicht nach Ablauf der Aufbewahrungsfrist für Backups.

Sehen wir uns einige Beispiele an, wie das funktioniert:

  • Wenn Sie einen monatlichen Backup-Zeitplan mit 12 Aufbewahrung erstellen, ist jedes Backup für 12 Monate (plus 14 Tage) gesperrt, bevor es gelöscht wird.

  • Wenn Sie eine Sicherungsrichtlinie erstellen, die 30 tägliche, 7 wöchentliche, 12 monatliche Backups erstellt, gibt es drei Aufbewahrungsfristen. Die „30 täglichen“ Backups würden 44 Tage (30 Tage plus 14 Tage Puffer), die „7 wöchentlichen“ Backups würden 9 Wochen (7 Wochen plus 14 Tage) aufbewahrt und die „12 monatlichen“ Backups würden 12 Monate (plus 14 Tage) aufbewahrt.

  • Wenn Sie einen stündlichen Backup-Zeitplan mit 24 Aufbewahrung erstellen, könnten Sie denken, dass Backups für 24 Stunden gesperrt sind. Da dies jedoch weniger als 30 Tage beträgt, wird jedes Backup für 44 Tage gesperrt und aufbewahrt (30 Tage plus 14 Tage Puffer).

    Sie können in diesem letzten Fall sehen, dass, wenn jede Backup-Datei für 44 Tage gesperrt ist, Sie am Ende mit vielen mehr Backup-Dateien stehen, als normalerweise mit einer stündlichen/24-Aufbewahrungs-Richtlinie aufbewahrt werden würde. Wenn BlueXP Backup und Recovery die 25. Backup-Datei erstellt, würde es normalerweise das älteste Backup löschen, um die maximalen Retentions bei 24 zu behalten (basierend auf der Richtlinie). Die DataLock-Aufbewahrungseinstellung überschreibt in diesem Fall die Richtlinienaufbewahrung von Ihrer Backup-Richtlinie. Dies könnte sich auf Ihre Storage-Kosten auswirken, da Backup-Dateien über einen längeren Zeitraum im Objektspeicher gespeichert werden.

Was ist Ransomware-Schutz

Ransomware-Schutz scannt Ihre Backup-Dateien, um einen Ransomware-Angriff auf einen Nachweis zu untersuchen. Die Erkennung von Ransomware-Angriffen erfolgt über einen Prüfsummenvergleich. Wenn potenzielle Ransomware-Angriffe in einer neuen Backup-Datei oder in einer vorherigen Backup-Datei erkannt werden, wird diese neuere Backup-Datei durch die neueste Backup-Datei ersetzt, die keine Anzeichen eines Ransomware-Angriffs zeigt. (Die Datei, die als Ransomware-Angriff gekennzeichnet ist, wird 1 Tag nach ihrer Ersetzung gelöscht.)

Ransomware-Scans erfolgen an 3 Punkten im Backup- und Restore-Prozess:

  • Wenn eine Sicherungsdatei erstellt wird.

    Sie können Ransomware-Scans optional aktivieren oder deaktivieren.

    Der Scan wird nicht auf der Sicherungsdatei durchgeführt, wenn er zum ersten Mal in den Cloud-Speicher geschrieben wird, sondern wenn die nächste Sicherungsdatei geschrieben wird. Wenn Sie beispielsweise einen wöchentlichen Backup-Zeitplan für Dienstag eingestellt haben, wird am Dienstag den 14. Ein Backup erstellt. Dann am Dienstag der 21. Eine weitere Sicherung erstellt wird. Der Ransomware-Scan wird derzeit auf der Backup-Datei vom 14. Juni durchgeführt.

  • Wenn Sie versuchen, Daten aus einer Sicherungsdatei wiederherzustellen

    Sie können einen Scan ausführen, bevor Sie Daten aus einer Sicherungsdatei wiederherstellen, oder diesen Scan überspringen.

  • Manuell

    Sie können jederzeit einen Ransomware-Sicherheitsscan bei Bedarf ausführen und den Zustand einer spezifischen Backup-Datei überprüfen. Die Folgen sind besonders dann hilfreich, wenn Ransomware-Probleme auf einem bestimmten Volume gehabt haben und man überprüfen möchte, dass die Backups für das Volume nicht beeinträchtigt sind.

DataLock- und Ransomware-Schutzoptionen

Jede Sicherungsrichtlinie enthält einen Abschnitt für DataLock und Ransomware-Schutz, den Sie auf Ihre Backup-Dateien anwenden können.

Screenshot mit den Einstellungen für DataLock und Ransomware-Schutz für AWS, Azure und StorageGRID bei der Erstellung einer Backup-Richtlinie

Scans nach Ransomware-Schutz sind standardmäßig aktiviert. Die Standardeinstellung für die Scanfrequenz beträgt 7 Tage. Der Scan wird nur auf der letzten Snapshot Kopie durchgeführt. Sie können Ransomware-Scans auf der letzten Snapshot Kopie mit der Option auf der Seite „Erweiterte Einstellungen“ aktivieren oder deaktivieren. Wenn Sie diese Option aktivieren, werden standardmäßig alle 7 Tage gescannt.

Siehe "So aktualisieren Sie Ransomware-Schutzoptionen auf der Seite Erweiterte Einstellungen".

Für jede Backup-Richtlinie stehen folgende Einstellungen zur Verfügung:

AWS

  • Keine (Standard)

    DataLock-Schutz und Ransomware-Schutz sind deaktiviert.

  • * Governance*

    DataLock ist auf Governance-Modus eingestellt, bei dem Benutzer mit s3:BypassGovernanceRetention Berechtigung ("Siehe unten") Können Sicherungsdateien während der Aufbewahrungsfrist überschreiben oder löschen. Ransomware-Schutz ist aktiviert.

  • * Compliance*

    DataLock ist auf den Compliance-Modus eingestellt, in dem während der Aufbewahrungszeit keine Benutzer Sicherungsdateien überschreiben oder löschen können. Ransomware-Schutz ist aktiviert.

Azure

  • Keine (Standard)

    DataLock-Schutz und Ransomware-Schutz sind deaktiviert.

  • Entsperrt

    Backup-Dateien werden während der Aufbewahrungsfrist geschützt. Die Aufbewahrungsfrist kann erhöht oder verkürzt werden. Wurde normalerweise 24 Stunden für das Testen des Systems verwendet. Ransomware-Schutz ist aktiviert.

  • Gesperrt

    Backup-Dateien werden während der Aufbewahrungsfrist geschützt. Der Aufbewahrungszeitraum kann erhöht werden, kann aber nicht verkürzt werden. Erfüllt vollständige Einhaltung gesetzlicher Vorschriften Ransomware-Schutz ist aktiviert.

StorageGRID

  • Keine (Standard)

    DataLock-Schutz und Ransomware-Schutz sind deaktiviert.

  • * Compliance*

    DataLock ist auf den Compliance-Modus eingestellt, in dem während der Aufbewahrungszeit keine Benutzer Sicherungsdateien überschreiben oder löschen können. Ransomware-Schutz ist aktiviert.

Unterstützte Arbeitsumgebungen und Objekt-Storage-Anbieter

Bei Verwendung von Objekt-Storage bei den folgenden Public- und Private-Cloud-Providern können Sie die DataLock- und Ransomware-Sicherung auf ONTAP Volumes aus den folgenden Arbeitsumgebungen aktivieren. Weitere Cloud-Provider werden in zukünftigen Versionen hinzugefügt.

Quelle Arbeitsumgebung Ziel der Backup-Datei ifdef::aws[]

Cloud Volumes ONTAP in AWS

Amazon S3 endif::aws[] ifdef::Azure[]

Cloud Volumes ONTAP in Azure

Azure Blob endif::Azure[] ifdef::gcp[] endif::gcp[]

Lokales ONTAP System

Ifdef::aws[] Amazon S3 endif::aws[] ifdef::azurAzure[] Azure Blob endif::Azure[] ifdef::gcp[] endif::gcp[] NetApp StorageGRID

Anforderungen

  • Für AWS:

    • Ihre Cluster müssen ONTAP 9.11.1 oder höher ausführen

    • Der Connector kann in der Cloud oder vor Ort bereitgestellt werden

    • Die folgenden S3-Berechtigungen müssen Teil der IAM-Rolle sein, die dem Connector Berechtigungen erteilt. Sie befinden sich im Abschnitt „BackupS3Policy“ für die Ressource „arn:aws:s3::netapp-Backup-*“:

      AWS S3 Berechtigungen

      • s3:GetObjectVersionTagging

      • s3:GetBucketObjectLockConfiguration

      • s3:GetObjectVersionAkl

      • s3:PuttObjectTagging

      • s3:DeleteObject

      • s3:DeleteObjectTagging

      • s3:GetObjectRetention

      • s3:DeleteObjectVersionTagging

      • s3:PutObject

      • s3:GetObject

      • s3:PutBucketObjectLockConfiguration

      • s3:GetLifecycleKonfiguration

      • s3:GetBucketTagging

      • s3:DeleteObjectVersion

      • s3:ListBucketVersions

      • s3:ListBucket

      • s3:PutBucketTagging

      • s3:GetObjectTagging

      • s3:PutBucketVersionierung

      • s3:PuttObjectVersionTagging

      • s3:GetBucketVersionierung

      • s3:GetBucketAcl

      • s3:BypassGovernanceAufbewahrung

      • s3:PutObjectRetention

      • s3:GetBucketLocation

      • s3:GetObjectVersion

      "Zeigen Sie das vollständige JSON-Format für die Richtlinie an, in der Sie erforderliche Berechtigungen kopieren und einfügen können".

  • Für Azure:

    • Ihre Cluster müssen ONTAP 9.12.1 oder höher ausführen

    • Der Connector kann in der Cloud oder vor Ort bereitgestellt werden

  • Für StorageGRID:

    • Ihre Cluster müssen ONTAP 9.11.1 oder höher ausführen

    • Auf Ihren StorageGRID Systemen muss 11.6.0.3 oder höher ausgeführt werden

    • Der Connector muss auf Ihrem Gelände bereitgestellt werden (er kann auf einer Website mit oder ohne Internetzugang installiert werden).

    • Die folgenden S3-Berechtigungen müssen Teil der IAM-Rolle sein, die dem Connector Berechtigungen bereitstellt:

      StorageGRID S3 Berechtigungen

      • s3:GetObjectVersionTagging

      • s3:GetBucketObjectLockConfiguration

      • s3:GetObjectVersionAkl

      • s3:PuttObjectTagging

      • s3:DeleteObject

      • s3:DeleteObjectTagging

      • s3:GetObjectRetention

      • s3:DeleteObjectVersionTagging

      • s3:PutObject

      • s3:GetObject

      • s3:PutBucketObjectLockConfiguration

      • s3:GetLifecycleKonfiguration

      • s3:GetBucketTagging

      • s3:DeleteObjectVersion

      • s3:ListBucketVersions

      • s3:ListBucket

      • s3:PutBucketTagging

      • s3:GetObjectTagging

      • s3:PutBucketVersionierung

      • s3:PuttObjectVersionTagging

      • s3:GetBucketVersionierung

      • s3:GetBucketAcl

      • s3:PutObjectRetention

      • s3:GetBucketLocation

      • s3:GetObjectVersion

Einschränkungen

  • Die Data Lock- und Ransomware-Schutzfunktion ist nicht verfügbar, wenn Sie in der Backup-Richtlinie Archivspeicher konfiguriert haben.

  • Die bei der Aktivierung von BlueXP ausgewählte DataLock Option für Backup und Recovery muss für alle Backup-Richtlinien für dieses Cluster verwendet werden.

  • Sie können nicht mehrere DataLock-Modi auf einem einzelnen Cluster verwenden.

  • Wenn Sie DataLock aktivieren, werden alle Volume-Backups gesperrt. Es können keine gesperrten und nicht gesperrten Volume-Backups für einen einzelnen Cluster kombiniert werden.

  • DataLock- und Ransomware-Schutz ist für neue Volume-Backups mit einer Backup-Richtlinie mit aktiviertem DataLock und Ransomware-Schutz anwendbar. Sie können diese Funktion später über die Option Erweiterte Einstellungen aktivieren oder deaktivieren.

  • FlexGroup Volumes können DataLock- und Ransomware-Schutz nur verwenden, wenn ONTAP 9.13.1 oder höher verwendet wird.

Storage-Optionen für die Archivierung

Beim Einsatz von AWS, Azure oder Google Cloud Storage können Sie ältere Backup-Dateien nach einer bestimmten Anzahl von Tagen auf eine kostengünstigere Archiv-Storage-Klasse oder auf eine Zugriffs-Tier verschieben. Sie haben auch die Möglichkeit, die Backup-Dateien sofort in den Archiv-Storage zu senden, ohne dafür in standardmäßigen Cloud-Storage geschrieben zu werden. Geben Sie einfach 0 als "Archiv nach Tagen" ein, um Ihre Sicherungsdatei direkt an den Archivspeicher zu senden. Dies kann insbesondere für Benutzer nützlich sein, die selten auf Daten aus Cloud-Backups zugreifen müssen oder Benutzer, die eine Tape-Backup-Lösung ersetzen.

Auf Daten auf Archiv-Tiers kann bei Bedarf nicht sofort zugegriffen werden und die Abrufkosten sind höher. Daher müssen Sie berücksichtigen, wie häufig Daten aus Backup-Dateien wiederhergestellt werden müssen, bevor Sie sich für die Archivierung Ihrer Backup-Dateien entscheiden.

Hinweis

  • Selbst wenn Sie „0“ wählen, um alle Datenblöcke an Cloud-Archiv-Storage zu senden, werden Metadaten-Blöcke immer in Standard-Cloud-Storage geschrieben.

  • Archivspeicher kann nicht verwendet werden, wenn Sie DataLock aktiviert haben.

  • Sie können die Archivierungsrichtlinie nicht ändern, nachdem Sie 0 Tage (sofort archivieren) ausgewählt haben.

Jede Backup-Richtlinie enthält einen Abschnitt zur „ Archivierungsrichtlinie“, den Sie auf Ihre Backup-Dateien anwenden können.

Ein Screenshot der Archivierungsrichtlinien-Einstellungen beim Erstellen einer Backup-Richtlinie

  • In AWS beginnen Backups in der Klasse „ Standard Storage“ und wechseln nach 30 Tagen in die Storage-Klasse „ Standard-infrequent Access“.

    Wenn Ihr Cluster ONTAP 9.10.1 oder höher verwendet, können Sie ältere Backups entweder auf S3 Glacier oder S3 Glacier Deep Archive Storage Tiering. "Weitere Informationen zu AWS Archiv-Storage".

    • Wenn Sie bei der Aktivierung von BlueXP Backup und Recovery in Ihrer ersten Backup-Richtlinie keinen Archiv-Tier auswählen, wird S3 Glacier Ihre einzige Archivierungsoption für zukünftige Richtlinien sein.

    • Wenn Sie in Ihrer ersten Backup-Richtlinie S3 Glacier auswählen, können Sie für zukünftige Backup-Richtlinien für diesen Cluster in die S3 Glacier Deep Archive-Ebene wechseln.

    • Wenn Sie in Ihrer ersten Backup-Richtlinie S3 Glacier Deep Archive auswählen, ist diese Tier die einzige Archiv-Tier, die für zukünftige Backup-Richtlinien für diesen Cluster verfügbar ist.

  • In Azure werden Backups im Zusammenhang mit der Cool Zugriffsebene durchgeführt.

    Wenn Ihr Cluster ONTAP 9.10.1 oder höher verwendet, können Sie ältere Backups auf Azure Archive Storage Tiering. "Erfahren Sie mehr über Azure Archiv-Storage".

  • In GCP werden Backups der Klasse Standard Storage zugeordnet.

    Wenn Ihr On-Premises-Cluster ONTAP 9.12.1 oder höher verwendet, haben Sie nach einer bestimmten Anzahl von Tagen die Möglichkeit, ältere Backups in der Backup- und Recovery-UI von BlueXP auf den Archiv Storage zu verschieben, um weitere Kosten zu optimieren. "Erfahren Sie mehr über Google Archivspeicher".

  • In StorageGRID sind Backups der Klasse Standard Storage zugeordnet.

    Wenn Ihr On-Premises-Cluster ONTAP 9.12.1 oder höher verwendet und Ihr StorageGRID System mindestens 11.4 nutzt, können Sie ältere Backup-Dateien im Public-Cloud-Archiv-Storage archivieren.

+ ** bei AWS, können Sie Backups in AWS S3 Glacier oder S3 Glacier Deep Archive Storage Tiering. "Weitere Informationen zu AWS Archiv-Storage".

+ ** bei Azure, können Sie ältere Backups in Azure Archive Storage Tiering. "Erfahren Sie mehr über Azure Archiv-Storage".

+"Weitere Informationen zur Archivierung von Backup-Dateien aus StorageGRID".