Versionshinweise
Sperren Sie einen Snapshot, um sich vor Ransomware-Angriffen zu schützen
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
ONTAP einrichten, aktualisieren und zurücksetzen
-
Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
-
Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
-
-
NAS-Storage-Management
-
Konfigurieren Sie NFS mit der CLI
-
NFS lässt sich mit der CLI managen
-
SMB lässt sich mit der CLI managen
-
Managen von SMB-Servern
-
Managen Sie den Dateizugriff über SMB
-
-
-
Authentifizierung und Zugriffssteuerung
-
Managen Sie die Administratorauthentifizierung und RBAC
-
-
Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Managen Sie die SnapMirror Volume-Replizierung
-
Datensicherung mithilfe von Tape Backup
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Ab ONTAP 9.12.1 können Sie einen Snapshot auf einem nicht-SnapLock-Volume sperren, um Schutz vor Ransomware-Angriffen zu bieten. Das Sperren von Snapshots stellt sicher, dass sie nicht versehentlich oder böswillig gelöscht werden können.
Sie verwenden die SnapLock Compliance-Uhrfunktion, um Snapshots für einen bestimmten Zeitraum zu sperren, sodass sie erst gelöscht werden können, wenn die Ablaufdatum erreicht ist. Durch das Sperren von Snapshots werden sie manipulationssicher und vor Ransomware-Bedrohungen geschützt. Sie können gesperrte Snapshots verwenden, um Daten wiederherzustellen, falls ein Volume durch einen Ransomware-Angriff kompromittiert wird.
Ab ONTAP 9.14.1 unterstützt die Snapshot Sperrung Snapshots zur langfristigen Aufbewahrung auf SnapLock Vault-Zielen und auf nicht-SnapLock SnapMirror Ziel-Volumes. Die Snapshot-Sperrung wird aktiviert, indem die Aufbewahrungsfrist mithilfe von SnapMirror-Richtlinienregeln festgelegt wirdVorhandene Richtlinienbezeichnung, die mit einem verknüpft sind. Die Regel überschreibt den auf dem Volume festgelegten Standardaufbewahrungszeitraum. Wenn dem SnapMirror-Label keine Aufbewahrungsfrist zugeordnet ist, wird die Standardaufbewahrungsdauer des Volume verwendet.
-
Wenn Sie die ONTAP-CLI verwenden, muss auf allen Nodes im Cluster ONTAP 9.12.1 oder höher ausgeführt werden. Wenn Sie System Manager verwenden, muss auf allen Nodes ONTAP 9.13.1 oder höher ausgeführt werden.
-
"Die SnapLock-Lizenz muss auf dem Cluster installiert sein". Diese Lizenz ist in enthalten"ONTAP One".
-
"Die Compliance-Uhr auf dem Cluster muss initialisiert werden".
-
Wenn die Snapshot-Sperrung auf einem Volume aktiviert ist, können Sie die Cluster auf eine Version von ONTAP höher als ONTAP 9.12.1 aktualisieren. Sie können jedoch nicht auf eine frühere Version von ONTAP zurücksetzen, bis alle gesperrten Snapshots ihr Ablaufdatum erreicht haben und gelöscht und die Snapshot Sperrung deaktiviert ist.
-
Wenn ein Snapshot gesperrt ist, wird die Gültigkeitsdauer des Volumes auf die Ablaufzeit des Snapshots eingestellt. Wenn mehr als ein Snapshot gesperrt ist, spiegelt die Gültigkeitsdauer des Volumes die größte Verfallszeit unter allen Snapshots wider.
-
Die Aufbewahrungsfrist für gesperrte Snapshots hat Vorrang vor der Anzahl der Snapshot-Aufbewahrung, was bedeutet, dass die Begrenzung der Anzahl beibehalten nicht eingehalten wird, wenn die Snapshot-Aufbewahrungsfrist für gesperrte Snapshots nicht abgelaufen ist.
-
In einer SnapMirror Beziehung können Sie in einer Regel für die Richtlinie „Mirror-Vault“ eine Aufbewahrungsfrist festlegen, und der Aufbewahrungszeitraum wird für auf das Ziel-Volume replizierte Snapshots angewendet, wenn für das Ziel-Volume die Snapshot-Sperrung aktiviert ist. Die Aufbewahrungsfrist hat Vorrang vor der Anzahl behalten. Snapshots, die ihr Ablaufdatum nicht überschritten haben, werden z. B. auch dann beibehalten, wenn die Anzahl der Bewahren Daten überschritten wird.
-
Sie können einen Snapshot auf einem Volume ohne SnapLock umbenennen. Umbenennungsvorgänge für Snapshots auf dem primären Volume einer SnapMirror-Beziehung werden nur auf dem sekundären Volume wiedergegeben, wenn die Richtlinie MirrorAllSnapshots ist. Bei anderen Richtlinientypen wird der umbenannte Snapshot während der Aktualisierungen nicht propagiert.
-
Wenn Sie die ONTAP CLI verwenden, können Sie einen gesperrten Snapshot mit dem Befehl nur wiederherstellen
volume snapshot restore, wenn es sich bei dem gesperrten Snapshot um den aktuellsten handelt. Wenn nach der Wiederherstellung noch nicht abgelaufene Snapshots vorhanden sind, schlägt die Snapshot-Wiederherstellung fehl.
-
FlexGroup Volumes
Das Sperren von Snapshots wird auf FlexGroup Volumes unterstützt. Die Snapshot-Sperrung erfolgt nur für den Snapshot der Root-Komponente. Das Löschen des FlexGroup-Volume ist nur zulässig, wenn die Ablaufzeit der Root-Komponente abgelaufen ist.
-
Konvertierung von FlexVol zu FlexGroup
Sie können eine FlexVol volume mit gesperrten Snapshots in ein FlexGroup Volume konvertieren. Snapshots bleiben nach der Konvertierung gesperrt.
-
SnapMirror asynchron
Die Compliance-Uhr muss sowohl auf der Quelle als auch auf dem Ziel initialisiert werden.
-
SVM-DR
Die Compliance-Uhr muss sowohl auf der Quelle als auch auf dem Ziel initialisiert werden.
-
Volume-Klon und Dateiklon
Sie können aus einem gesperrten Snapshot Volume-Klone und Dateiklone erstellen.
Die folgenden Funktionen werden derzeit bei manipulationssicheren Snapshots nicht unterstützt:
-
Konsistenzgruppen
-
Manipulationssichere Snapshots bieten unveränderliche Schutzmechanismen, die nicht gelöscht werden können. Da FabricPool Daten löschen muss, können FabricPool- und Snapshot-Sperren nicht auf demselben Volume aktiviert werden.
-
FlexCache Volumes
-
SMTape
-
SnapMirror Active Sync
-
SnapMirror-Richtlinie, die den
-scheduleParameter verwendet -
SnapMirror Synchronous
-
SVM-Datenmobilität (verwendet für die Migration oder Verschiebung einer SVM von einem Quell-Cluster zu einem Ziel-Cluster)
Aktivieren Sie die Snapshot-Sperrung bei der Erstellung eines Volumes
Ab ONTAP 9.12.1 können Sie die Snapshot-Sperrung aktivieren, wenn Sie ein neues Volume erstellen oder ein vorhandenes Volume ändern. Dazu verwenden Sie die -snapshot-locking-enabled Option mit den volume create Befehlen und volume modify in der CLI. Ab ONTAP 9.13.1 können Sie System Manager verwenden, um die Snapshot-Sperrung zu aktivieren.
-
Navigieren Sie zu Storage > Volumes und wählen Sie Add.
-
Wählen Sie im Fenster Volume hinzufügen Weitere Optionen.
-
Geben Sie den Namen, die Größe, die Exportrichtlinie und den Freigabenamen des Volumes ein.
-
Wählen Sie Snapshot sperren aktivieren. Diese Auswahl wird nicht angezeigt, wenn die SnapLock-Lizenz nicht installiert ist.
-
Wenn sie noch nicht aktiviert ist, wählen Sie SnapLock-Compliance-Uhr initialisieren aus.
-
Speichern Sie die Änderungen.
-
Wählen Sie im Fenster Volumes das Volume aus, das Sie aktualisiert haben, und wählen Sie Übersicht.
-
Überprüfen Sie, ob SnapLock Snapshot Locking als aktiviert angezeigt wird.
-
Geben Sie den folgenden Befehl ein, um ein neues Volume zu erstellen und die Snapshot-Sperrung zu aktivieren:
volume create -vserver <vserver_name> -volume <volume_name> -snapshot-locking-enabled trueMit dem folgenden Befehl wird die Snapshot-Sperrung auf einem neuen Volume mit dem Namen vol1 aktiviert:
> volume create -volume vol1 -aggregate aggr1 -size 100m -snapshot-locking-enabled true Warning: snapshot locking is being enabled on volume “vol1” in Vserver “vs1”. It cannot be disabled until all locked snapshots are past their expiry time. A volume with unexpired locked snapshots cannot be deleted. Do you want to continue: {yes|no}: y [Job 32] Job succeeded: Successful
Aktivieren Sie die Snapshot-Sperrung auf einem vorhandenen Volume
Ab ONTAP 9.12.1 können Sie die Snapshot-Sperrung auf einem vorhandenen Volume mithilfe der ONTAP CLI aktivieren. Ab ONTAP 9.13.1 können Sie System Manager verwenden, um die Snapshot-Sperrung auf einem vorhandenen Volume zu aktivieren.
-
Navigieren Sie zu Storage > Volumes.
-
Wählen Sie
und dann Bearbeiten > Lautstärke. -
Suchen Sie im Fenster Volume bearbeiten den Abschnitt Snapshots (Local) Settings und wählen Sie Snapshot locking aktivieren aus.
Diese Auswahl wird nicht angezeigt, wenn die SnapLock-Lizenz nicht installiert ist.
-
Wenn sie noch nicht aktiviert ist, wählen Sie SnapLock-Compliance-Uhr initialisieren aus.
-
Speichern Sie die Änderungen.
-
Wählen Sie im Fenster Volumes das Volume aus, das Sie aktualisiert haben, und wählen Sie Übersicht.
-
Stellen Sie sicher, dass SnapLock Snapshot locking als aktiviert angezeigt wird.
-
Geben Sie den folgenden Befehl ein, um ein vorhandenes Volume zu ändern und die Snapshot-Sperrung zu aktivieren:
volume modify -vserver <vserver_name> -volume <volume_name> -snapshot-locking-enabled true
Erstellen Sie eine gesperrte Snapshot-Richtlinie und wenden Sie die Aufbewahrung an
Ab ONTAP 9.12.1 können Sie Snapshot-Richtlinien erstellen, um eine Aufbewahrungsfrist für Snapshots anzuwenden, und die Richtlinie auf ein Volume anwenden, um Snapshots für den angegebenen Zeitraum zu sperren. Sie können einen Snapshot auch sperren, indem Sie manuell eine Aufbewahrungsfrist festlegen. Ab ONTAP 9.13.1 können Sie mit System Manager Snapshot-Sperrrichtlinien erstellen und auf ein Volume anwenden.
Erstellen Sie eine Snapshot-Sperrrichtlinie
-
Navigieren Sie zu Storage > Storage VMs und wählen Sie eine Storage VM aus.
-
Wählen Sie Einstellungen.
-
Suchen Sie Snapshot Policies und wählen Sie
. -
Geben Sie im Fenster Add Snapshot Policy den Richtliniennamen ein.
-
Wählen Sie
. -
Geben Sie die Details des Snapshot-Zeitplans an, einschließlich des Plannamens, der maximalen Anzahl der zu haltenden Snapshots und des SnapLock-Aufbewahrungszeitraums.
-
Geben Sie in der Spalte SnapLock Retention Period die Anzahl der Stunden, Tage, Monate oder Jahre ein, um die Snapshots zu behalten. Eine Snapshot-Richtlinie mit einer Aufbewahrungsfrist von 5 Tagen sperrt einen Snapshot beispielsweise 5 Tage ab dem Zeitpunkt, zu dem er erstellt wird. Er kann in dieser Zeit nicht gelöscht werden. Folgende Aufbewahrungszeiträume werden unterstützt:
-
Jahre: 0 - 100
-
Monate: 0 - 1200
-
Tage: 0 - 36500
-
Öffnungszeiten: 0 - 24
-
-
Speichern Sie die Änderungen.
-
Geben Sie zum Erstellen einer Snapshot-Richtlinie den folgenden Befehl ein:
volume snapshot policy create -policy <policy_name> -enabled true -schedule1 <schedule1_name> -count1 <maximum snapshots> -retention-period1 <retention_period>Mit dem folgenden Befehl wird eine Snapshot-Sperrrichtlinie erstellt:
cluster1> volume snapshot policy create -policy lock_policy -enabled true -schedule1 hourly -count1 24 -retention-period1 "1 days"
Ein Snapshot wird nicht ersetzt, wenn er unter aktiver Aufbewahrung liegt. Das heißt, die Aufbewahrungszahl wird nicht berücksichtigt, wenn es gesperrte Snapshots gibt, die noch nicht abgelaufen sind.
Wenden Sie eine Sperrrichtlinie auf ein Volume an
-
Navigieren Sie zu Storage > Volumes.
-
Wählen Sie
und dann Bearbeiten > Lautstärke. -
Wählen Sie im Fenster Volume bearbeiten die Option Snapshots planen.
-
Wählen Sie die Snapshot-Sperrrichtlinie aus der Liste aus.
-
Wenn die Snapshot-Sperrung noch nicht aktiviert ist, wählen Sie Snapshot-Sperrung aktivieren.
-
Speichern Sie die Änderungen.
-
Geben Sie den folgenden Befehl ein, um eine Snapshot-Sperrrichtlinie auf ein vorhandenes Volume anzuwenden:
volume modify -volume <volume_name> -vserver <vserver_name> -snapshot-policy <policy_name>
Wenden Sie den Aufbewahrungszeitraum während der manuellen Snapshot-Erstellung an
Sie können eine Aufbewahrungsfrist für Snapshots anwenden, wenn Sie einen Snapshot manuell erstellen. Die Snapshot-Sperrung muss auf dem Volume aktiviert sein. Andernfalls wird die Einstellung für den Aufbewahrungszeitraum ignoriert.
-
Navigieren Sie zu Speicher > Volumes und wählen Sie ein Volume aus.
-
Wählen Sie auf der Seite Volume Details die Registerkarte Snapshots aus.
-
Wählen Sie
. -
Geben Sie den Snapshot-Namen und die SnapLock-Ablaufzeit ein. Sie können den Kalender auswählen, um das Ablaufdatum und die Uhrzeit für die Aufbewahrung auszuwählen.
-
Speichern Sie die Änderungen.
-
Wählen Sie auf der Seite Volumes > Snapshots ein/Ausblenden und wählen Sie SnapLock Ablaufzeit, um die Spalte SnapLock Ablaufzeit anzuzeigen und zu überprüfen, ob die Aufbewahrungszeit eingestellt ist.
-
Geben Sie den folgenden Befehl ein, um einen Snapshot manuell zu erstellen und eine Aufbewahrungsfrist für die Sperrung anzuwenden:
volume snapshot create -volume <volume_name> -snapshot <snapshot name> -snaplock-expiry-time <expiration_date_time>Mit dem folgenden Befehl wird ein neuer Snapshot erstellt und der Aufbewahrungszeitraum festgelegt:
cluster1> volume snapshot create -vserver vs1 -volume vol1 -snapshot snap1 -snaplock-expiry-time "11/10/2022 09:00:00"
Anwenden des Aufbewahrungszeitraums auf einen vorhandenen Snapshot
-
Navigieren Sie zu Speicher > Volumes und wählen Sie ein Volume aus.
-
Wählen Sie auf der Seite Volume Details die Registerkarte Snapshots aus.
-
Wählen Sie den Snapshot aus, wählen Sie
, und wählen Sie SnapLock-Ablaufzeit ändern. Sie können den Kalender auswählen, um das Ablaufdatum und die Uhrzeit für die Aufbewahrung auszuwählen. -
Speichern Sie die Änderungen.
-
Wählen Sie auf der Seite Volumes > Snapshots ein/Ausblenden und wählen Sie SnapLock Ablaufzeit, um die Spalte SnapLock Ablaufzeit anzuzeigen und zu überprüfen, ob die Aufbewahrungszeit eingestellt ist.
-
Um einen vorhandenen Snapshot manuell auf eine Aufbewahrungsfrist anzuwenden, geben Sie den folgenden Befehl ein:
volume snapshot modify-snaplock-expiry-time -volume <volume_name> -snapshot <snapshot name> -snaplock-expiry-time <expiration_date_time>Im folgenden Beispiel wird eine Aufbewahrungsfrist auf einen vorhandenen Snapshot angewendet:
cluster1> volume snapshot modify-snaplock-expiry-time -volume vol1 -snapshot snap2 -snaplock-expiry-time "11/10/2022 09:00:00"
Ändern Sie eine vorhandene Richtlinie, um die langfristige Aufbewahrung anzuwenden
In einer SnapMirror Beziehung können Sie in einer Regel für die Richtlinie „Mirror-Vault“ eine Aufbewahrungsfrist festlegen, und der Aufbewahrungszeitraum wird für auf das Ziel-Volume replizierte Snapshots angewendet, wenn für das Ziel-Volume die Snapshot-Sperrung aktiviert ist. Die Aufbewahrungsfrist hat Vorrang vor der Anzahl behalten. Snapshots, die ihr Ablaufdatum nicht überschritten haben, werden z. B. auch dann beibehalten, wenn die Anzahl der Bewahren Daten überschritten wird.
Ab ONTAP 9.14.1 können Sie eine vorhandene SnapMirror-Richtlinie ändern, indem Sie eine Regel hinzufügen, um die langfristige Aufbewahrung von Snapshots festzulegen. Die Regel wird verwendet, um den Standardaufbewahrungszeitraum des Volumes auf SnapLock Vault-Zielen und auf nicht-SnapLock SnapMirror Ziel-Volumes außer Kraft zu setzen.
-
Fügen Sie einer vorhandenen SnapMirror-Richtlinie eine Regel hinzu:
snapmirror policy add-rule -vserver <SVM name> -policy <policy name> -snapmirror-label <label name> -keep <number of snapshots> -retention-period [<integer> days|months|years]Im folgenden Beispiel wird eine Regel erstellt, die eine Aufbewahrungsfrist von 6 Monaten auf die vorhandene Richtlinie namens „lockvault“ anwendet:
snapmirror policy add-rule -vserver vs1 -policy lockvault -snapmirror-label test1 -keep 10 -retention-period "6 months"
