Skip to main content
NetApp data management solutions
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

ONTAP Cyber Vault-Erstellung mit PowerShell

Beitragende kevin-hoke
PDFs

Bei Air-Gapping-Backups mit herkömmlichen Methoden müssen Platz geschaffen und das primäre und sekundäre Medium physisch getrennt werden. Durch die Verlagerung der Medien an einen anderen Standort und/oder die Trennung der Verbindung haben böswillige Akteure keinen Zugriff auf die Daten. Dies schützt die Daten, kann jedoch zu längeren Wiederherstellungszeiten führen. Mit SnapLock Compliance ist keine physische Trennung erforderlich. SnapLock Compliance schützt die im Tresor gespeicherten Snapshots zu bestimmten Zeitpunkten und schreibgeschützten Kopien. Das Ergebnis sind Daten, die schnell zugänglich, vor Löschung geschützt bzw. unauslöschlich und vor Änderungen geschützt bzw. unveränderlich sind.

Voraussetzungen

Bevor Sie mit den Schritten im nächsten Abschnitt dieses Dokuments beginnen, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Auf dem Quellcluster muss ONTAP 9 oder höher ausgeführt werden.

  • Die Quell- und Zielaggregate müssen 64-Bit sein.

  • Die Quell- und Zielcluster müssen per Peering verbunden sein.

  • Die Quell- und Ziel-SVMs müssen per Peering verbunden sein.

  • Stellen Sie sicher, dass die Cluster-Peering-Verschlüsselung aktiviert ist.

Das Einrichten von Datenübertragungen zu einem ONTAP Cyber Vault erfordert mehrere Schritte. Konfigurieren Sie auf dem primären Volume eine Snapshot-Richtlinie, die angibt, welche Kopien wann erstellt werden sollen. Verwenden Sie dazu entsprechende Zeitpläne und weisen Sie Bezeichnungen zu, um anzugeben, welche Kopien von SnapVault übertragen werden sollen. Auf dem sekundären Server muss eine SnapMirror -Richtlinie erstellt werden, die die Bezeichnungen der zu übertragenden Snapshot-Kopien angibt und wie viele dieser Kopien im Cyber-Tresor aufbewahrt werden sollen. Nachdem Sie diese Richtlinien konfiguriert haben, erstellen Sie die SnapVault -Beziehung und legen Sie einen Übertragungsplan fest.

Hinweis In diesem Dokument wird davon ausgegangen, dass der primäre Speicher und der vorgesehene ONTAP Cyber Vault bereits eingerichtet und konfiguriert sind.
Hinweis Der Cyber-Vault-Cluster kann sich im selben oder einem anderen Rechenzentrum wie die Quelldaten befinden.

Schritte zum Erstellen eines ONTAP Cyber Vault

  1. Verwenden Sie die ONTAP CLI oder den System Manager, um die Compliance-Uhr zu initialisieren.

  2. Erstellen Sie ein Datenschutzvolume mit aktivierter SnapLock Konformität.

  3. Verwenden Sie den Befehl „SnapMirror erstellen“, um SnapVault Datenschutzbeziehungen zu erstellen.

  4. Legen Sie den standardmäßigen Aufbewahrungszeitraum für die SnapLock Compliance für das Zielvolume fest.

Hinweis Die Standardaufbewahrung ist „Auf Minimum einstellen“. Einem SnapLock -Volume, das ein Tresorziel ist, ist eine Standardaufbewahrungsdauer zugewiesen. Der Wert für diesen Zeitraum ist zunächst auf mindestens 0 Jahre und höchstens 100 Jahre eingestellt (ab ONTAP 9.10.1). Bei früheren ONTAP Versionen liegt der Wert zwischen 0 und 70.) für SnapLock Compliance Volumes. Jede NetApp Snapshot-Kopie wird zunächst mit dieser Standardaufbewahrungsdauer festgeschrieben. Die Aufbewahrungsfrist kann bei Bedarf später verlängert, jedoch nie verkürzt werden. Weitere Informationen finden Sie unter "Übersicht über die eingestellte Aufbewahrungsdauer" .

Das oben Genannte umfasst manuelle Schritte. Sicherheitsexperten raten zur Automatisierung des Prozesses, um eine manuelle Verwaltung zu vermeiden, die eine große Fehlerquote mit sich bringt. Unten finden Sie den Codeausschnitt, der die Voraussetzungen und die Konfiguration der SnapLock -Konformität und Initialisierung der Uhr vollständig automatisiert.

Hier ist ein PowerShell-Codebeispiel zum Initialisieren der ONTAP Compliance-Uhr.

function initializeSnapLockComplianceClock {
    try {
        $nodes = Get-NcNode

        $isInitialized = $false
        logMessage -message "Cheking if snaplock compliance clock is initialized"
        foreach($node in $nodes) {
            $check = Get-NcSnaplockComplianceClock -Node $node.Node
            if ($check.SnaplockComplianceClockSpecified -eq "True") {
                $isInitialized = $true
            }
        }

        if ($isInitialized) {
            logMessage -message "SnapLock Compliance clock already initialized" -type "SUCCESS"
        } else {
            logMessage -message "Initializing SnapLock compliance clock"
            foreach($node in $nodes) {
                Set-NcSnaplockComplianceClock -Node $node.Node
            }
            logMessage -message "Successfully initialized SnapLock Compliance clock" -type "SUCCESS"
        }
    } catch {
        handleError -errorMessage $_.Exception.Message
    }
}

Hier ist ein PowerShell-Codebeispiel zum Konfigurieren eines ONTAP Cyber Vault.

function configureCyberVault {
    for($i = 0; $i -lt $DESTINATION_VOLUME_NAMES.Length; $i++) {
        try {
            # checking if the volume already exists and is of type snaplock compliance
            logMessage -message "Checking if SnapLock Compliance volume $($DESTINATION_VOLUME_NAMES[$i]) already exists in vServer $DESTINATION_VSERVER"
            $volume = Get-NcVol -Vserver $DESTINATION_VSERVER -Volume $DESTINATION_VOLUME_NAMES[$i] | Select-Object -Property Name, State, TotalSize, Aggregate, Vserver, Snaplock | Where-Object { $_.Snaplock.Type -eq "compliance" }
            if($volume) {
                $volume
                logMessage -message "SnapLock Compliance volume $($DESTINATION_VOLUME_NAMES[$i]) already exists in vServer $DESTINATION_VSERVER" -type "SUCCESS"
            } else {
                # Create SnapLock Compliance volume
                logMessage -message "Creating SnapLock Compliance volume: $($DESTINATION_VOLUME_NAMES[$i])"
                New-NcVol -Name $DESTINATION_VOLUME_NAMES[$i] -Aggregate $DESTINATION_AGGREGATE_NAMES[$i] -SnaplockType Compliance -Type DP -Size $DESTINATION_VOLUME_SIZES[$i] -ErrorAction Stop | Select-Object -Property Name, State, TotalSize, Aggregate, Vserver
                logMessage -message "Volume $($DESTINATION_VOLUME_NAMES[$i]) created successfully" -type "SUCCESS"
            }

            # Set SnapLock volume attributes
            logMessage -message "Setting SnapLock volume attributes for volume: $($DESTINATION_VOLUME_NAMES[$i])"
            Set-NcSnaplockVolAttr -Volume $DESTINATION_VOLUME_NAMES[$i] -MinimumRetentionPeriod $SNAPLOCK_MIN_RETENTION -MaximumRetentionPeriod $SNAPLOCK_MAX_RETENTION -ErrorAction Stop | Select-Object -Property Type, MinimumRetentionPeriod, MaximumRetentionPeriod
            logMessage -message "SnapLock volume attributes set successfully for volume: $($DESTINATION_VOLUME_NAMES[$i])" -type "SUCCESS"

            # checking snapmirror relationship
            logMessage -message "Checking if SnapMirror relationship exists between source volume $($SOURCE_VOLUME_NAMES[$i]) and destination SnapLock Compliance volume $($DESTINATION_VOLUME_NAMES[$i])"
            $snapmirror = Get-NcSnapmirror | Select-Object SourceCluster, SourceLocation, DestinationCluster, DestinationLocation, Status, MirrorState | Where-Object { $_.SourceCluster -eq $SOURCE_ONTAP_CLUSTER_NAME -and $_.SourceLocation -eq "$($SOURCE_VSERVER):$($SOURCE_VOLUME_NAMES[$i])" -and $_.DestinationCluster -eq $DESTINATION_ONTAP_CLUSTER_NAME -and $_.DestinationLocation -eq "$($DESTINATION_VSERVER):$($DESTINATION_VOLUME_NAMES[$i])" -and ($_.Status -eq "snapmirrored" -or $_.Status -eq "uninitialized") }
            if($snapmirror) {
                $snapmirror
                logMessage -message "SnapMirror relationship already exists for volume: $($DESTINATION_VOLUME_NAMES[$i])" -type "SUCCESS"
            } else {
                # Create SnapMirror relationship
                logMessage -message "Creating SnapMirror relationship for volume: $($DESTINATION_VOLUME_NAMES[$i])"
                New-NcSnapmirror -SourceCluster $SOURCE_ONTAP_CLUSTER_NAME -SourceVserver $SOURCE_VSERVER -SourceVolume $SOURCE_VOLUME_NAMES[$i] -DestinationCluster $DESTINATION_ONTAP_CLUSTER_NAME -DestinationVserver $DESTINATION_VSERVER -DestinationVolume $DESTINATION_VOLUME_NAMES[$i] -Policy $SNAPMIRROR_PROTECTION_POLICY -Schedule $SNAPMIRROR_SCHEDULE -ErrorAction Stop | Select-Object -Property SourceCluster, SourceLocation, DestinationCluster, DestinationLocation, Status, Policy, Schedule
                logMessage -message "SnapMirror relationship created successfully for volume: $($DESTINATION_VOLUME_NAMES[$i])" -type "SUCCESS"
            }

        } catch {
            handleError -errorMessage $_.Exception.Message
        }
    }
}

  1. Sobald die oben genannten Schritte abgeschlossen sind, ist der Air-Gap-Cyber-Tresor mit SnapLock Compliance und SnapVault bereit.

Vor der Übertragung von Snapshot-Daten in den Cyber Vault muss die SnapVault -Beziehung initialisiert werden. Zuvor ist jedoch eine Sicherheitshärtung erforderlich, um den Tresor zu sichern.