Beispiel 7: Konforme ILM-Richtlinie für S3 Object Lock
Sie können den S3-Bucket, ILM-Regeln und ILM-Richtlinie in diesem Beispiel als Ausgangspunkt verwenden, wenn Sie eine ILM-Richtlinie definieren, um die Objektschutz- und Aufbewahrungsanforderungen für Objekte in Buckets zu erfüllen, wenn S3-Objektsperre aktiviert ist.
Wenn Sie die Funktion „ältere Compliance“ in früheren StorageGRID Versionen verwendet haben, können Sie dieses Beispiel auch zur Verwaltung vorhandener Buckets verwenden, in denen die alte Compliance-Funktion aktiviert ist. |
Die folgenden ILM-Regeln und -Richtlinien sind nur Beispiele. Es gibt viele Möglichkeiten zur Konfiguration von ILM-Regeln. Simulieren Sie vor der Aktivierung einer neuen Richtlinie, um zu bestätigen, dass sie so funktioniert, wie sie zum Schutz von Inhalten vor Verlust vorgesehen ist. |
Bucket und Objekte für S3 Object Lock Beispiel
In diesem Beispiel hat ein S3-Mandantenkonto mit der Bezeichnung „Bank of ABC“ durch den Mandanten-Manager einen Bucket erstellt, der mit S3-Objektsperre aktiviert wurde, um kritische Bankdatensätze zu speichern.
Bucket-Definition | Beispielwert |
---|---|
Name Des Mandantenkontos |
Bank von ABC |
Bucket-Name |
bankaufzeichnungen |
Bucket-Region |
US-East-1 (Standard) |
Jedes Objekt und jede Objektversion, die dem Bucket für die Bankdatensätze hinzugefügt wird, verwenden die folgenden Werte für retain-until-date
Und legal hold
Einstellungen.
Einstellung für jedes Objekt | Beispielwert |
---|---|
|
„2030-12-30T23:59:59Z“ (30. Dezember 2030) Jede Objektversion hat ihre eigene |
|
„AUS“ (nicht in Kraft) Eine gesetzliche Aufbewahrungsphase kann jederzeit während der Aufbewahrungsfrist auf jeder Objektversion platziert oder aufgehoben werden. Befindet sich ein Objekt unter einem Legal Hold, kann das Objekt auch dann nicht gelöscht werden, wenn das |
ILM-Regel 1 für S3 Object Lock – Beispiel: Profil für Erasure Coding mit Bucket-Matching
Diese Beispiel-ILM-Regel gilt nur für das S3-Mandantenkonto namens Bank of ABC. Sie entspricht jedem Objekt im bank-records
Bucket und anschließend Erasure Coding zur Speicherung des Objekts auf Storage Nodes an drei Datacenter-Standorten mithilfe eines 6+3 Erasure Coding-Profils Diese Regel erfüllt die Anforderungen von Buckets mit aktivierter S3 Object Lock: Eine Kopie wird auf Storage-Nodes vom Tag 0 bis dauerhaft aufbewahrt. Als Referenzzeit wird die Aufnahmezeit verwendet.
Regeldefinition | Beispielwert |
---|---|
Regelname |
Konforme Regel: EC-Objekte in Bank-Records Bucket - Bank of ABC |
Mandantenkonto |
Bank von ABC |
Bucket-Name |
|
Erweiterter Filter |
Objektgröße (MB) größer als 1 Hinweis: dieser Filter stellt sicher, dass das Erasure Coding nicht für Objekte 1 MB oder kleiner verwendet wird. |
Regeldefinition | Beispielwert |
---|---|
Referenzzeit |
Aufnahmezeit |
Platzierungen |
Ab Tag 0 dauerhaft speichern |
Profil für Erasure Coding |
|
ILM-Regel 2 für S3 Object Lock Beispiel: Nicht konforme Regel
Diese Beispiel-ILM-Regel speichert zunächst zwei replizierte Objektkopien auf Storage Nodes. Nach einem Jahr wird für immer eine Kopie auf einem Cloud-Storage-Pool gespeichert. Da diese Regel einen Cloud-Storage-Pool verwendet, ist diese nicht konform und gilt nicht für Objekte in Buckets, deren S3-Objektsperre aktiviert ist.
Regeldefinition | Beispielwert |
---|---|
Regelname |
Nicht konforme Regel: Cloud Storage Pool |
Mandantenkonten |
Nicht angegeben |
Bucket-Name |
Nicht angegeben, gilt aber nur für Buckets, für die die S3-Objektsperre (oder die ältere Compliance-Funktion) nicht aktiviert ist. |
Erweiterter Filter |
Nicht angegeben |
Regeldefinition | Beispielwert |
---|---|
Referenzzeit |
Aufnahmezeit |
Platzierungen |
|
ILM-Regel 3 für S3 Object Lock Beispiel: Standardregel
Diese Beispiel-ILM-Regel kopiert Objektdaten in Storage-Pools in zwei Datacentern. Diese konforme Regel wurde als Standardregel in der ILM-Richtlinie konzipiert. Es enthält keine Filter, verwendet keine nicht aktuelle Referenzzeit und erfüllt die Anforderungen von Buckets mit aktivierter S3 Objektsperre: Zwei Objektkopien werden auf Storage-Nodes aufbewahrt von Tag 0 bis für immer und verwenden die Aufnahme als Referenzzeit.
Regeldefinition | Beispielwert |
---|---|
Regelname |
Standard-konforme Regel: Zwei Kopien zwei Rechenzentren |
Mandantenkonto |
Nicht angegeben |
Bucket-Name |
Nicht angegeben |
Erweiterter Filter |
Nicht angegeben |
Regeldefinition | Beispielwert |
---|---|
Referenzzeit |
Aufnahmezeit |
Platzierungen |
Halten Sie von Tag 0 bis für immer zwei replizierte Kopien bereit – eins auf Storage-Nodes im Datacenter 1 und eins auf Storage-Nodes im Datacenter 2. |
Konforme ILM-Richtlinie für S3 Object Lock Beispiel
Zum Erstellen einer ILM-Richtlinie, die alle Objekte in Ihrem System effektiv schützt, auch in Buckets, deren S3-Objektsperre aktiviert ist, müssen Sie ILM-Regeln auswählen, die die Storage-Anforderungen für alle Objekte erfüllen. Anschließend müssen Sie die Richtlinie simulieren und aktivieren.
Fügen Sie der Richtlinie Regeln hinzu
In diesem Beispiel umfasst die ILM-Richtlinie drei ILM-Regeln in der folgenden Reihenfolge:
-
Eine konforme Regel, die Erasure Coding verwendet, um Objekte mit einer Größe von mehr als 1 MB in einem bestimmten Bucket zu schützen. Dabei ist S3 Object Lock aktiviert. Die Objekte werden von Tag 0 bis für immer auf Speicherknoten gespeichert.
-
Eine nicht konforme Regel, die zwei replizierte Objektkopien auf Storage-Nodes für ein Jahr erstellt und dann eine Objektkopie für immer in einen Cloud Storage Pool verschiebt. Diese Regel gilt nicht für Buckets, für die S3-Objektsperre aktiviert ist, da sie einen Cloud-Storage-Pool verwendet.
-
Die standardmäßige, konforme Regel, die zwei replizierte Objektkopien auf Storage-Nodes erstellt, von Tag 0 bis für immer.
Simulieren Sie die Richtlinie
Nachdem Sie Ihrer Richtlinie Regeln hinzugefügt, eine Standard-konforme Regel ausgewählt und die anderen Regeln angeordnet haben, sollten Sie die Richtlinie simulieren, indem Sie Objekte aus dem Bucket mit aktivierter S3 Object Lock und aus anderen Buckets testen. Wenn Sie beispielsweise die Beispielrichtlinie simulieren, erwarten Sie, dass Testobjekte wie folgt bewertet werden:
-
Die erste Regel entspricht nur Testobjekten, die mehr als 1 MB in den Bucket-Bankdatensätzen für den Mandanten der Bank of ABC enthalten sind.
-
Die zweite Regel entspricht allen Objekten in allen nicht-konformen Buckets für alle anderen Mandantenkonten.
-
Die Standardregel stimmt mit den folgenden Objekten überein:
-
Objekte 1 MB oder kleiner in den Bucket-Bankdatensätzen für die Bank of ABC-Mieter.
-
Objekte in jedem anderen Bucket, bei dem die S3-Objektsperre für alle anderen Mandantenkonten aktiviert ist
-
Aktivieren Sie die Richtlinie
Wenn Sie mit der neuen Richtlinie zufrieden sind, dass Objektdaten wie erwartet geschützt werden, können Sie sie aktivieren.