La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Sauvegarde des données ONTAP sur site dans Amazon S3

Contributeurs

Commencez à sauvegarder les données à partir de vos systèmes ONTAP sur site vers votre stockage Amazon S3 en quelques étapes.

Notez que les « systèmes ONTAP sur site » comprennent les systèmes FAS, AFF et ONTAP Select.

Démarrage rapide

Suivez ces étapes pour démarrer rapidement. Les sections suivantes de cette rubrique contiennent des informations détaillées sur chaque étape.

Une seule Identifier la méthode de configuration que vous utiliserez

Indiquez si vous connecterez votre cluster ONTAP sur site directement à AWS S3 via Internet public, ou si vous utiliserez un VPN ou AWS Direct Connect et acheminez le trafic via une interface de terminal VPC privée vers AWS S3.

Voir les méthodes de connexion disponibles.

Deux Préparez votre connecteur BlueXP

Si votre connecteur est déjà déployé dans votre VPC AWS ou sur votre site, cela vous permettra d’être configuré. Si ce n’est pas le cas, vous devrez créer un connecteur pour sauvegarder les données ONTAP dans le stockage AWS S3. Vous devez également personnaliser les paramètres réseau du connecteur pour qu’il puisse se connecter à AWS S3.

Découvrez comment créer un connecteur et comment définir les paramètres réseau requis.

Trois Préparez votre cluster ONTAP sur site

Découvrez votre cluster ONTAP dans BlueXP, vérifiez que le cluster répond à ses exigences minimales et personnalisez les paramètres réseau pour que le cluster puisse se connecter à AWS S3.

Découvrez comment préparer votre cluster ONTAP sur site.

Quatre Préparez Amazon S3 en tant que cible de sauvegarde

Configurez les autorisations pour le connecteur afin de créer et de gérer le compartiment S3. Vous devez également configurer des autorisations pour le cluster ONTAP sur site afin qu’il puisse lire et écrire les données dans le compartiment S3.

Vous pouvez également configurer vos propres clés gérées sur mesure pour le chiffrement des données au lieu d’utiliser les clés de chiffrement Amazon S3 par défaut. Découvrez comment préparer votre environnement AWS S3 pour recevoir des sauvegardes ONTAP.

Cinq Activation de Cloud Backup sur le système

Sélectionnez l’environnement de travail et cliquez sur Activer > volumes de sauvegarde en regard du service de sauvegarde et de restauration dans le volet droit. Suivez ensuite l’assistant d’installation pour définir la stratégie de sauvegarde par défaut et le nombre de sauvegardes à conserver, puis sélectionnez les volumes à sauvegarder.

Découvrez comment activer Cloud Backup sur vos volumes.

Schémas réseau pour les options de connexion

Deux méthodes de connexion sont disponibles pour la configuration des sauvegardes à partir des systèmes ONTAP sur site vers AWS S3.

  • Connexion publique : connectez directement le système ONTAP à AWS S3 à l’aide d’un terminal public S3.

  • Connexion privée : utilisez une connexion VPN ou AWS Direct Connect et acheminez le trafic via une interface VPC Endpoint qui utilise une adresse IP privée.

Le schéma suivant montre la méthode connexion publique et les connexions que vous devez préparer entre les composants. Vous pouvez utiliser un connecteur que vous avez installé sur votre site ou un connecteur que vous avez déployé dans le VPC AWS.

Un diagramme montrant comment Cloud Backup communique sur une connexion publique avec les volumes du cluster et le stockage AWS S3 où sont situés les fichiers de sauvegarde.

Le schéma suivant montre la méthode connexion privée et les connexions que vous devez préparer entre les composants. Vous pouvez utiliser un connecteur que vous avez installé sur votre site ou un connecteur que vous avez déployé dans le VPC AWS.

Un diagramme montrant comment Cloud Backup communique sur une connexion privée avec les volumes du cluster et le stockage AWS S3 où sont situés les fichiers de sauvegarde.

Préparez votre connecteur

Le connecteur BlueXP est le logiciel principal pour la fonctionnalité BlueXP. Un connecteur est nécessaire pour sauvegarder et restaurer vos données ONTAP.

Création ou commutation de connecteurs

Si votre connecteur est déjà déployé dans votre VPC AWS ou sur votre site, cela vous permettra d’être configuré. Si ce n’est pas le cas, vous devrez créer un connecteur dans l’un de ces emplacements pour sauvegarder les données ONTAP sur un stockage AWS S3. Vous ne pouvez pas utiliser un connecteur déployé dans un autre fournisseur de cloud.

Exigences de mise en réseau des connecteurs

Préparez votre cluster ONTAP

Découvrez votre cluster ONTAP dans BlueXP

Vous devez découvrir votre cluster ONTAP sur site dans BlueXP avant de pouvoir commencer à sauvegarder des données de volume. Vous devez connaître l’adresse IP de gestion du cluster et le mot de passe permettant au compte utilisateur admin d’ajouter le cluster.

"Découvrez comment détecter un cluster".

Conditions requises pour le ONTAP

  • Minimum de ONTAP 9.7P5 ; ONTAP 9.8P13 et version ultérieure est recommandé.

  • Une licence SnapMirror (incluse dans le bundle Premium ou Data protection Bundle).

    Remarque : le « bundle Cloud hybride » n’est pas requis pour l’utilisation de Cloud Backup.

    Découvrez comment "gérez les licences du cluster".

  • L’heure et le fuseau horaire sont correctement réglés.

    Découvrez comment "configurez l’heure du cluster".

Configuration requise pour la mise en réseau des clusters

  • Le cluster nécessite une connexion HTTPS entrante depuis le connecteur jusqu’à la LIF de cluster management.

  • Un LIF intercluster est nécessaire sur chaque nœud ONTAP qui héberge les volumes que vous souhaitez sauvegarder. Ces LIFs intercluster doivent pouvoir accéder au magasin d’objets.

    Le cluster initie une connexion HTTPS sortante via le port 443 entre les LIFs intercluster et le stockage Amazon S3 pour les opérations de sauvegarde et de restauration. ONTAP lit et écrit les données depuis et vers le stockage objet.- le système de stockage objet n’démarre jamais, il répond simplement.

  • Les LIFs intercluster doivent être associées au IPspace que ONTAP doit utiliser pour se connecter au stockage objet. "En savoir plus sur les IPspaces".

    Lors de la configuration de Cloud Backup, vous êtes invité à utiliser l’IPspace. Vous devez choisir l’IPspace auquel ces LIF sont associées. Il peut s’agir de l’IPspace par défaut ou d’un IPspace personnalisé que vous avez créé.

    Si vous utilisez un IPspace différent de celui de « par défaut », vous devrez peut-être créer une route statique pour obtenir l’accès au stockage objet.

    Toutes les LIF intercluster au sein de l’IPspace doivent avoir accès au magasin d’objets. Si vous ne pouvez pas configurer cela pour l’IPspace actuel, vous devrez créer un IPspace dédié où toutes les LIF intercluster ont accès au magasin d’objets.

  • Les serveurs DNS doivent avoir été configurés pour le VM de stockage sur lequel les volumes sont situés. Découvrez comment "Configuration des services DNS pour le SVM".

  • Mettre à jour les règles de pare-feu, si nécessaire, pour autoriser les connexions Cloud Backup entre ONTAP et le stockage objet via le port 443 et le trafic de résolution de nom entre le VM de stockage et le serveur DNS via le port 53 (TCP/UDP).

  • Si vous utilisez un terminal VPC privé dans AWS pour la connexion S3, vous devez charger le certificat de terminal S3 dans le cluster ONTAP pour pouvoir utiliser HTTPS/443. Découvrez comment configurer une interface de terminal VPC et charger le certificat S3.

  • "Assurez-vous que votre cluster ONTAP possède des autorisations d’accès au compartiment S3".

Vérification des besoins en licence

  • Avant d’activer Cloud Backup pour votre cluster, vous devez vous abonner à une offre BlueXP Marketplace sur AWS (PAYGO) ou acheter et activer une licence Cloud Backup BYOL auprès de NetApp. Ces licences sont destinées à votre compte et peuvent être utilisées sur plusieurs systèmes.

    • Pour acquérir une licence Cloud Backup PAYGO, vous devez souscrire un abonnement à la "Offre AWS BlueXP Marketplace" Pour utiliser Cloud Backup. La facturation pour Cloud Backup s’effectue via cet abonnement.

    • Dans le cas des licences BYOL, vous aurez besoin du numéro de série de NetApp qui vous permet d’utiliser le service pendant la durée et la capacité du contrat. "Découvrez comment gérer vos licences BYOL".

  • Vous devez disposer d’un abonnement AWS pour l’espace de stockage objet dans lequel vos sauvegardes seront stockées.

    Vous pouvez créer des sauvegardes à partir de systèmes sur site vers Amazon S3 dans toutes les régions "Dans ce cas, Cloud Volumes ONTAP est pris en charge"; Y compris les régions AWS GovCloud. Vous spécifiez la région dans laquelle les sauvegardes seront stockées lors de la configuration du service.

Préparez votre environnement AWS

Configurez les autorisations S3

Vous devez configurer deux ensembles d’autorisations :

  • Autorisations permettant au connecteur de créer et de gérer le compartiment S3.

  • Autorisations relatives au cluster ONTAP sur site afin de pouvoir lire et écrire les données dans le compartiment S3.

Étapes

  1. Vérifiez que les autorisations S3 suivantes (à partir des dernières "Politique BlueXP") Font partie du rôle IAM qui fournit au connecteur des autorisations.

    {
          "Sid": "backupPolicy",
          "Effect": "Allow",
          "Action": [
              "s3:DeleteBucket",
              "s3:GetLifecycleConfiguration",
              "s3:PutLifecycleConfiguration",
              "s3:PutBucketTagging",
              "s3:ListBucketVersions",
              "s3:GetObject",
              "s3:DeleteObject",
              "s3:PutObject",
              "s3:ListBucket",
              "s3:ListAllMyBuckets",
              "s3:GetBucketTagging",
              "s3:GetBucketLocation",
              "s3:GetBucketPolicyStatus",
              "s3:GetBucketPublicAccessBlock",
              "s3:GetBucketAcl",
              "s3:GetBucketPolicy",
              "s3:PutBucketPolicy",
              "s3:PutBucketOwnershipControls",
              "s3:PutBucketPublicAccessBlock",
              "s3:PutEncryptionConfiguration",
              "s3:GetObjectVersionTagging",
              "s3:GetBucketObjectLockConfiguration",
              "s3:GetObjectVersionAcl",
              "s3:PutObjectTagging",
              "s3:DeleteObjectTagging",
              "s3:GetObjectRetention",
              "s3:DeleteObjectVersionTagging",
              "s3:PutBucketObjectLockConfiguration",
              "s3:ListBucketByTags",
              "s3:DeleteObjectVersion",
              "s3:GetObjectTagging",
              "s3:PutBucketVersioning",
              "s3:PutObjectVersionTagging",
              "s3:GetBucketVersioning",
              "s3:BypassGovernanceRetention",
              "s3:PutObjectRetention",
              "s3:GetObjectVersion",
              "athena:StartQueryExecution",
              "athena:GetQueryResults",
              "athena:GetQueryExecution",
              "glue:GetDatabase",
              "glue:GetTable",
              "glue:CreateTable",
              "glue:CreateDatabase",
              "glue:GetPartitions",
              "glue:BatchCreatePartition",
              "glue:BatchDeletePartition"
          ],
          "Resource": [
              "arn:aws:s3:::netapp-backup-*"
          ]
      },

    Si vous avez déployé le connecteur à l’aide de la version 3.9.21 ou ultérieure, ces autorisations doivent déjà faire partie du rôle IAM. Sinon, vous devrez ajouter les autorisations manquantes. En particulier les autorisations « athena » et « colle », car elles sont nécessaires pour la recherche et la restauration. Voir la "Documentation AWS : modification des règles IAM".

  2. Lors de l’activation du service, l’assistant de sauvegarde vous invite à entrer une clé d’accès et une clé secrète. Ces identifiants sont ensuite transmis au cluster ONTAP afin que ONTAP puisse sauvegarder et restaurer les données dans le compartiment S3. Pour cela, vous devrez créer un utilisateur IAM avec les autorisations suivantes :

    {
    "Version": "2012-10-17",
     "Statement": [
        {
           "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": "arn:aws:s3:::netapp-backup-*",
            "Effect": "Allow",
            "Sid": "backupPolicy"
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::netapp-backup*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:ListAllMyBuckets",
                "s3:PutObjectTagging",
                "s3:GetObjectTagging",
                "s3:RestoreObject",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetObjectRetention",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutObjectRetention"
            ],
            "Resource": "arn:aws:s3:::netapp-backup*/*",
            "Effect": "Allow"
        }
    ]
}

    Voir la "Documentation AWS : création d’un rôle pour déléguer des autorisations à un utilisateur IAM" pour plus d’informations.

Configuration des clés AWS gérées par le client pour le chiffrement des données

Si vous souhaitez utiliser les clés de chiffrement Amazon S3 par défaut pour chiffrer les données transférées entre votre cluster sur site et le compartiment S3, toutes sont définies, car l’installation par défaut utilise ce type de cryptage.

Si vous souhaitez utiliser vos propres clés gérées par le client pour le chiffrement des données au lieu d’utiliser les clés par défaut, vous devez d’abord configurer les clés de chiffrement avant de lancer l’assistant Cloud Backup. "Découvrez comment utiliser vos propres touches".

Configurez votre système pour une connexion privée à l’aide d’une interface de terminal VPC

Si vous voulez utiliser une connexion Internet publique standard, alors toutes les autorisations sont définies par le connecteur et il n’y a rien d’autre que vous devez faire. Ce type de connexion est indiqué dans le "premier diagramme".

Si vous souhaitez bénéficier d’une connexion plus sécurisée via Internet entre votre data Center sur site et le VPC, vous pouvez sélectionner une connexion AWS PrivateLink dans l’assistant d’activation de la sauvegarde. Elle est indispensable pour connecter votre système sur site à l’aide d’un VPN ou d’AWS Direct Connect via une interface de terminal VPC qui utilise une adresse IP privée. Ce type de connexion est indiqué dans le "deuxième diagramme".

  1. Créez une configuration de point final de l’interface à l’aide de la console Amazon VPC ou de la ligne de commande. "Pour plus d’informations sur l’utilisation d’AWS PrivateLink pour Amazon S3, reportez-vous à la section".

  2. Modifiez la configuration du groupe de sécurité associée au connecteur BlueXP. Vous devez modifier la règle en « personnalisé » (à partir de « accès complet ») et vous devez Ajoutez les autorisations S3 à partir de la règle de sauvegarde comme indiqué précédemment.

    Copie d’écran du groupe de sécurité AWS associé au connecteur.

    Si vous utilisez le port 80 (HTTP) pour la communication avec le noeud final privé, vous êtes tous définis. Vous pouvez activer Cloud Backup sur le cluster maintenant.

    Si vous utilisez le port 443 (HTTPS) pour la communication avec le terminal privé, vous devez copier le certificat depuis le terminal VPC S3 et l’ajouter à votre cluster ONTAP, comme indiqué dans les 4 étapes suivantes.

  3. Obtenir le nom DNS du noeud final à partir de la console AWS.

    Capture d’écran du nom DNS du terminal VPC depuis la console AWS.

  4. Obtenir le certificat à partir du terminal VPC S3 Vous faites ceci par "Se connecter à la machine virtuelle qui héberge le connecteur BlueXP" et exécutant la commande suivante. Lors de la saisie du nom DNS du noeud final, ajoutez "compartiment" au début, en remplaçant le "*" :

    [ec2-user@ip-10-160-4-68 ~]$ openssl s_client -connect bucket.vpce-0ff5c15df7e00fbab-yxs7lt8v.s3.us-west-2.vpce.amazonaws.com:443 -showcerts

  5. Dans le résultat de cette commande, copiez les données du certificat S3 (toutes les données entre et, y compris, les balises DE DÉBUT et DE FIN DU CERTIFICAT) :

    Certificate chain
0 s:/CN=s3.us-west-2.amazonaws.com`
   i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
-----BEGIN CERTIFICATE-----
MIIM6zCCC9OgAwIBAgIQA7MGJ4FaDBR8uL0KR3oltTANBgkqhkiG9w0BAQsFADBG
…
…
GqvbOz/oO2NWLLFCqI+xmkLcMiPrZy+/6Af+HH2mLCM4EsI2b+IpBmPkriWnnxo=
-----END CERTIFICATE-----

  6. Connectez-vous à l’interface de ligne de commandes du cluster ONTAP et appliquez le certificat que vous avez copié à l’aide de la commande suivante (remplacez votre propre nom de VM de stockage) :

    cluster1::> security certificate install -vserver cluster1 -type server-ca
Please enter Certificate: Press <Enter> when done

Activation de Cloud Backup

Activation de Cloud Backup à tout moment directement depuis l’environnement de travail sur site

Étapes

  1. Dans Canvas, sélectionnez l’environnement de travail et cliquez sur Activer > volumes de sauvegarde en regard du service de sauvegarde et de restauration dans le panneau de droite.

    Si la destination Amazon S3 pour vos sauvegardes existe en tant qu’environnement de travail sur la fenêtre Canvas, vous pouvez faire glisser le cluster vers l’environnement de travail Amazon S3 pour lancer l’assistant d’installation.

    Capture d’écran présentant le bouton Activer la sauvegarde et la restauration disponible après la sélection d’un environnement de travail.

  2. Sélectionnez Amazon Web Services comme fournisseur et cliquez sur Suivant.

  3. Entrez les détails du fournisseur et cliquez sur Suivant.

    1. Le compte AWS, la clé d’accès AWS et la clé secrète utilisées pour stocker les sauvegardes.

      La clé d’accès et la clé secrète sont destinées à l’utilisateur IAM que vous avez créé pour donner à l’utilisateur ONTAP l’accès au compartiment S3.

    2. Région AWS dans laquelle les sauvegardes seront stockées.

    3. Que vous utilisiez les clés de chiffrement Amazon S3 par défaut ou que vous choisissiez vos propres clés gérées par le client depuis votre compte AWS, pour gérer le chiffrement de vos données. ("Découvrez comment utiliser vos propres touches").

      Capture d’écran présentant les informations détaillées du fournisseur cloud lors de la sauvegarde de volumes à partir d’un système ONTAP vers AWS S3.

  4. Si vous ne disposez pas d’une licence Cloud Backup pour votre compte, vous êtes invité à sélectionner le type de mode de facturation que vous souhaitez utiliser. Vous pouvez vous abonner à une offre de paiement basé sur l’utilisation (PAYGO) BlueXP Marketplace depuis AWS (ou si vous disposez de plusieurs abonnements, vous pouvez en sélectionner un), ou acheter et activer une licence Cloud Backup BYOL auprès de NetApp. "Découvrez comment configurer les licences Cloud Backup."

  5. Entrez les détails de la mise en réseau et cliquez sur Suivant.

    1. L’IPspace dans le cluster ONTAP où les volumes à sauvegarder résident. Les LIF intercluster pour cet IPspace doivent avoir un accès Internet sortant.

    2. Vous pouvez également choisir d’utiliser AWS PrivateLink que vous avez configuré précédemment. "Pour plus d’informations sur l’utilisation d’AWS PrivateLink pour Amazon S3, reportez-vous à la section".

      Cette capture d’écran présente les informations de mise en réseau lors de la sauvegarde des volumes d’un système ONTAP vers AWS S3.

  6. Entrez les détails de la stratégie de sauvegarde qui seront utilisés pour votre stratégie par défaut et cliquez sur Suivant. Vous pouvez sélectionner une stratégie existante ou créer une nouvelle stratégie en entrant vos sélections dans chaque section :

    1. Entrez le nom de la stratégie par défaut. Il n’est pas nécessaire de modifier le nom.

    2. Définissez le programme de sauvegarde et choisissez le nombre de sauvegardes à conserver. "Consultez la liste des règles que vous pouvez choisir".

    3. Si vous utilisez ONTAP 9.11.1 ou version ultérieure, vous pouvez choisir de protéger vos sauvegardes contre les suppressions et les attaques par ransomware en configurant l’un des paramètres DataLock et ransomware protection. DataLock protège vos fichiers de sauvegarde contre la modification ou la suppression, et Attack protection analyse vos fichiers de sauvegarde pour rechercher la preuve d’une attaque par ransomware dans vos fichiers de sauvegarde. "En savoir plus sur les paramètres DataLock disponibles".

    4. Si vous utilisez ONTAP 9.10.1 ou version ultérieure, vous pouvez également choisir de hiérarchiser les sauvegardes sur le stockage Glacier S3 ou sur le stockage d’archive en profondeur Glacier S3 après un certain nombre de jours pour optimiser les coûts. "En savoir plus sur l’utilisation des niveaux d’archivage".

      Capture d’écran indiquant les paramètres de Cloud Backup dans lesquels vous pouvez choisir la planification et la conservation des sauvegardes.

    Important: si vous prévoyez d’utiliser DataLock, vous devez l’activer dans votre première stratégie lors de l’activation de Cloud Backup.

  7. Sélectionnez les volumes que vous souhaitez sauvegarder à l’aide de la stratégie de sauvegarde définie dans la page Sélectionner les volumes. Si vous souhaitez attribuer différentes stratégies de sauvegarde à certains volumes, vous pouvez créer des stratégies supplémentaires et les appliquer ultérieurement à ces volumes.

    • Pour sauvegarder tous les volumes existants et les volumes ajoutés à l’avenir, cochez la case « Sauvegarder tous les volumes existants et futurs…​ ». Nous vous recommandons cette option afin que tous vos volumes soient sauvegardés et que vous n’aurez jamais à vous souvenir de pouvoir effectuer des sauvegardes pour de nouveaux volumes.

    • Pour sauvegarder uniquement les volumes existants, cochez la case de la ligne de titre ().

    • Pour sauvegarder des volumes individuels, cochez la case de chaque volume ().

      Capture d’écran de la sélection des volumes qui seront sauvegardés.

    • Si dans cet environnement de travail contient des copies Snapshot locales pour les volumes en lecture/écriture qui correspondent au libellé de la planification de sauvegarde que vous venez de sélectionner pour cet environnement de travail (par exemple, quotidien, hebdomadaire, etc.), une invite supplémentaire s’affiche « Exporter les copies Snapshot existantes vers le stockage objet en tant que copies de sauvegarde ». Cochez cette case si vous souhaitez que tous les snapshots historiques soient copiés dans le stockage objet en tant que fichiers de sauvegarde afin d’assurer la protection la plus complète de vos volumes.

  8. Cliquez sur Activer la sauvegarde et Cloud Backup commence à effectuer les sauvegardes initiales de vos volumes.

Résultat

Un compartiment S3 est créé automatiquement dans le compte de service indiqué par la clé d’accès S3 et la clé secrète que vous avez saisie, et les fichiers de sauvegarde y sont stockés. Le tableau de bord de sauvegarde de volume s’affiche pour vous permettre de surveiller l’état des sauvegardes. Vous pouvez également surveiller l’état des tâches de sauvegarde et de restauration à l’aide de l' "Panneau surveillance des tâches".

Et la suite ?