Skip to main content
Tutti i cloud provider
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tutti i cloud provider
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Opzioni di policy backup su oggetti

Collaboratori

Il backup e recovery di BlueXP ti permette di creare policy di backup con una vasta gamma di impostazioni per i sistemi ONTAP e Cloud Volumes ONTAP on-premise.

Nota Queste impostazioni di policy sono rilevanti solo per il backup sullo storage a oggetti. Nessuna di queste impostazioni influisce sulle policy di Snapshot o di replica. Impostazioni di policy simili per snapshot e repliche verranno aggiunte in futuro.

Opzioni di pianificazione del backup

Il backup e ripristino BlueXP consente di creare più policy di backup con pianificazioni univoche per ciascun ambiente di lavoro (cluster). È possibile assegnare criteri di backup diversi a volumi con obiettivi RPO (Recovery Point Objective) diversi.

Ogni policy di backup fornisce una sezione per etichette e conservazione che è possibile applicare ai file di backup. Tenere presente che il criterio Snapshot applicato al volume deve essere uno dei criteri riconosciuti dal backup di BlueXP e che i file di ripristino o di backup non verranno creati.

Schermata delle impostazioni di pianificazione del backup durante la creazione di un criterio di backup.

Il programma è suddiviso in due parti: Etichetta e valore di conservazione:

  • L'etichetta * definisce la frequenza con cui viene creato (o aggiornato) un file di backup dal volume. È possibile scegliere tra i seguenti tipi di etichette:

    • È possibile scegliere una o una combinazione di, oraria, giornaliera, settimanale, mensile, e tempi annuali.

    • È possibile selezionare una delle policy definite dal sistema che fornisce backup e conservazione per 3 mesi, 1 anno o 7 anni.

    • Se sono state create policy di protezione del backup personalizzate sul cluster utilizzando Gestione di sistema di ONTAP o l'interfaccia utente di ONTAP, è possibile selezionare una di queste policy.

  • Il valore Retention definisce quanti file di backup per ciascuna etichetta (periodo di tempo) vengono conservati. Una volta raggiunto il numero massimo di backup in una categoria o intervallo, i backup meno recenti vengono rimossi in modo da avere sempre i backup più aggiornati. Ciò consente anche di risparmiare sui costi di storage, poiché i backup obsoleti non continuano a occupare spazio nel cloud.

Ad esempio, supponiamo di creare una policy di backup che crei 7 backup * settimanali* e 12 backup * mensili*:

  • ogni settimana e ogni mese viene creato un file di backup per il volume

  • all'ottava settimana, il primo backup settimanale viene rimosso e viene aggiunto il nuovo backup settimanale per l'ottava settimana (mantenendo un massimo di 7 backup settimanali)

  • al 13° mese, il primo backup mensile viene rimosso e viene aggiunto il nuovo backup mensile per il 13° mese (mantenendo un massimo di 12 backup mensili)

Tenere presente che i backup annaturali verranno eliminati automaticamente dal sistema di origine dopo essere stati trasferiti allo storage a oggetti. Questo comportamento predefinito può essere modificato "Nella pagina Advanced Settings (Impostazioni avanzate)" Per l'ambiente di lavoro.

Opzioni di protezione DataLock e ransomware

Il backup e ripristino BlueXP fornisce supporto per la protezione DataLock e ransomware per i backup dei volumi. Queste funzionalità consentono di bloccare i file di backup e di eseguirne la scansione per rilevare eventuali ransomware sui file di backup. Si tratta di un'impostazione opzionale che è possibile definire nei criteri di backup quando si desidera una protezione aggiuntiva per i backup dei volumi per un cluster.

Entrambe queste funzionalità proteggono i file di backup in modo che sia sempre disponibile un file di backup valido per il ripristino dei dati in caso di attacco ransomware ai backup. È inoltre utile soddisfare alcuni requisiti normativi in cui i backup devono essere bloccati e conservati per un certo periodo di tempo. Una volta abilitata l'opzione DataLock e protezione dal ransomware, il bucket cloud su cui viene eseguito il provisioning come parte dell'attivazione di backup e recovery di BlueXP avrà abilitato il blocco degli oggetti e la versione degli oggetti.

"Per ulteriori informazioni, consulta il blog sulla protezione di DataLock e ransomware".

Questa funzione non fornisce protezione per i volumi di origine, ma solo per i backup di tali volumi di origine. Utilizzare NetApp "Cloud Insights e Cloud Secure"o alcuni di "Protezioni anti-ransomware fornite da ONTAP" per proteggere i volumi di origine.

Avvertenza

  • Se intendi utilizzare DataLock e la protezione dal ransomware, puoi abilitarla durante la creazione della prima policy di backup e l'attivazione di backup e recovery di BlueXP per quel cluster. Puoi abilitarlo in seguito utilizzando le impostazioni avanzate di backup e recovery di BlueXP.

  • DataLock e la protezione ransomware possono essere disattivati per un cluster dopo essere stati configurati per risparmiare sui costi.

  • Quando BlueXP analizza un file di backup per ransomware durante il ripristino dei dati di volume, si verificheranno costi aggiuntivi in uscita dal cloud provider per accedere ai contenuti del file di backup.

Cos'è DataLock

DataLock protegge i file di backup da modifiche o eliminazioni per un certo periodo di tempo, denominato anche storage immutabile. Questa funzionalità utilizza la tecnologia del provider di storage a oggetti per il "blocco degli oggetti". Il periodo di tempo in cui il file di backup viene bloccato (e conservato) viene definito periodo di conservazione DataLock. E si basa sulla pianificazione dei criteri di backup e sull'impostazione di conservazione definita dall'utente, oltre a un buffer di 14 giorni. Qualsiasi policy di conservazione DataLock inferiore a 30 giorni viene arrotondata al minimo di 30 giorni.

Tenere presente che i vecchi backup vengono cancellati dopo la scadenza del periodo di conservazione DataLock, non dopo la scadenza del periodo di conservazione dei criteri di backup.

Diamo un'occhiata ad alcuni esempi di funzionamento:

  • Se si crea una pianificazione di backup mensile con 12 ritentions, ogni backup viene bloccato per 12 mesi (più 14 giorni) prima dell'eliminazione.

  • Se si crea una policy di backup che crea 30 backup giornalieri, 7 settimanali e 12 mensili, verranno generati tre periodi di conservazione bloccati. I backup "30 giornalieri" vengono conservati per 44 giorni (30 giorni più 14 giorni di buffer), i backup "7 settimanali" vengono conservati per 9 settimane (7 settimane più 14 giorni) e i backup "12 mensili" vengono conservati per 12 mesi (più 14 giorni).

  • Se si crea una pianificazione di backup oraria con 24 ritentions, si potrebbe pensare che i backup siano bloccati per 24 ore. Tuttavia, poiché questo è inferiore al minimo di 30 giorni, ogni backup verrà bloccato e conservato per 44 giorni (30 giorni più 14 giorni di buffer).

    In quest'ultimo caso, se ogni file di backup viene bloccato per 44 giorni, si otterranno molti più file di backup di quelli che in genere vengono conservati con una policy oraria/24 ritentions. Di solito, quando il backup e ripristino di BlueXP crea il 25° file di backup, il backup più vecchio viene eliminato per mantenere le trattenute massime a 24 (in base al criterio). In questo caso, l'impostazione di conservazione DataLock sovrascrive l'impostazione di conservazione dei criteri dal criterio di backup. Ciò potrebbe influire sui costi di storage, in quanto i file di backup verranno salvati nell'archivio di oggetti per un periodo di tempo più lungo.

Cos'è la protezione ransomware

La protezione ransomware esegue la scansione dei file di backup per cercare la prova di un attacco ransomware. Il rilevamento di attacchi ransomware viene eseguito utilizzando un confronto checksum. Se viene identificato un potenziale ransomware in un nuovo file di backup rispetto al file di backup precedente, il file di backup più recente viene sostituito dal file di backup più recente che non mostra segni di un attacco ransomware. (Il file identificato come un attacco ransomware viene cancellato 1 giorno dopo la sua sostituzione).

Le scansioni ransomware avvengono in 3 punti del processo di backup e ripristino:

  • Quando viene creato un file di backup.

    Puoi facoltativamente abilitare o disabilitare le scansioni ransomware.

    La scansione non viene eseguita sul file di backup quando viene scritto per la prima volta sullo storage cloud, ma quando viene scritto il file di backup successivo. Ad esempio, se si dispone di una pianificazione di backup settimanale impostata per martedì, martedì 14 viene creato un backup. Martedì 21 viene creato un altro backup. La scansione ransomware viene eseguita sul file di backup a partire dal 14.

  • Quando si tenta di ripristinare i dati da un file di backup

    È possibile scegliere di eseguire una scansione prima di ripristinare i dati da un file di backup oppure saltare questa scansione.

  • Manualmente

    È possibile eseguire una scansione di protezione ransomware on-demand in qualsiasi momento per verificare lo stato di salute di un file di backup specifico. Questo può essere utile se si è verificato un problema ransomware su un volume specifico e si desidera verificare che i backup di quel volume non siano interessati.

Opzioni di protezione DataLock e ransomware

Ogni policy di backup fornisce una sezione per DataLock e ransomware Protection che è possibile applicare ai file di backup.

Una schermata delle impostazioni DataLock e protezione ransomware per AWS, Azure e StorageGRID durante la creazione di un criterio di backup.

Le scansioni di protezione ransomware sono abilitate per impostazione predefinita. L'impostazione predefinita per la frequenza di scansione è di 7 giorni. La scansione viene eseguita solo sull'ultima copia Snapshot. Puoi abilitare o disabilitare le scansioni ransomware sull'ultima copia Snapshot utilizzando l'opzione nella pagina Impostazioni avanzate. Se si attiva, le scansioni vengono eseguite ogni 7 giorni per impostazione predefinita.

Fare riferimento a. "Come aggiornare le opzioni di protezione dal ransomware nella pagina Impostazioni avanzate".

È possibile scegliere tra le seguenti impostazioni per ciascun criterio di backup:

AWS

  • Nessuno (impostazione predefinita)

    La protezione DataLock e la protezione ransomware sono disattivate.

  • Governance

    DataLock è impostato sulla modalità Governance in cui gli utenti dispongono di s3:BypassGovernanceRetention permesso ("vedere di seguito") può sovrascrivere o eliminare i file di backup durante il periodo di conservazione. La protezione ransomware è attivata.

  • Compliance

    DataLock è impostato sulla modalità Compliance, in cui nessun utente può sovrascrivere o eliminare i file di backup durante il periodo di conservazione. La protezione ransomware è attivata.

Azure

  • Nessuno (impostazione predefinita)

    La protezione DataLock e la protezione ransomware sono disattivate.

  • Sbloccato

    I file di backup sono protetti durante il periodo di conservazione. Il periodo di conservazione può essere aumentato o diminuito. Generalmente utilizzato per 24 ore per testare il sistema. La protezione ransomware è attivata.

  • Bloccato

    I file di backup sono protetti durante il periodo di conservazione. Il periodo di conservazione può essere aumentato, ma non può essere diminuito. Soddisfa la piena conformità alle normative. La protezione ransomware è attivata.

StorageGRID

  • Nessuno (impostazione predefinita)

    La protezione DataLock e la protezione ransomware sono disattivate.

  • Compliance

    DataLock è impostato sulla modalità Compliance, in cui nessun utente può sovrascrivere o eliminare i file di backup durante il periodo di conservazione. La protezione ransomware è attivata.

Ambienti di lavoro supportati e provider di storage a oggetti

È possibile attivare la protezione DataLock e ransomware sui volumi ONTAP dai seguenti ambienti di lavoro quando si utilizza lo storage a oggetti nei seguenti provider di cloud pubblico e privato. Ulteriori cloud provider verranno aggiunti nelle versioni future.

Ambiente di lavoro di origine Destinazione del file di backup ifdef::aws[]

Cloud Volumes ONTAP in AWS

Amazon S3 endif::aws[] ifdef::Azure[]

Cloud Volumes ONTAP in Azure

Azure Blob endif::Azure[] ifdef::gcp[] endif::gcp[]

Sistema ONTAP on-premise

Ifdef::aws[] Amazzonia S3 endif::aws[] ifdef::Azure[] Azure Blob endif::Azure[] ifdef::gcp[] endif::gcp[] NetApp StorageGRID

Requisiti

  • Per AWS:

    • I cluster devono eseguire ONTAP 9.11.1 o versione successiva

    • Il connettore può essere implementato nel cloud o on-premise

    • Le seguenti autorizzazioni S3 devono far parte del ruolo IAM che fornisce al connettore le autorizzazioni. Si trovano nella sezione "backupS3Policy" per la risorsa "arn:aws:s3:::netapp-backup-*":

      Autorizzazioni di AWS S3

      • s3:GetObjectVersionTagging

      • s3:GetBucketObjectLockConfiguration

      • s3:GetObjectVersionAcl

      • s3:PutObjectTagging

      • s3:DeleteObject

      • s3:DeleteObjectTagging

      • s3:GetObjectRetention

      • s3:DeleteObjectVersionTagging

      • s3:PutObject

      • s3:GetObject

      • s3:PutBucketObjectLockConfiguration

      • s3:GetLifecycleConfiguration

      • s3:GetBucketTagging

      • s3:DeleteObjectVersion

      • s3:ListBucketVersions

      • s3:ListBucket

      • s3:PutBucketTagging

      • s3:GetObjectTagging

      • s3:PutBucketVersioning

      • s3:PutObjectVersionTagging

      • s3:GetBucketVersioning

      • s3:GetBucketAcl

      • s3:BypassGovernanceRetention

      • s3:PutObjectRetention

      • s3:GetBucketLocation

      • s3:GetObjectVersion

      "Visualizza il formato JSON completo per la policy in cui è possibile copiare e incollare le autorizzazioni richieste".

  • Per Azure:

    • I cluster devono eseguire ONTAP 9.12.1 o versione successiva

    • Il connettore può essere implementato nel cloud o on-premise

  • Per StorageGRID:

    • I cluster devono eseguire ONTAP 9.11.1 o versione successiva

    • I sistemi StorageGRID devono eseguire la versione 11.6.0.3 o superiore

    • Il connettore deve essere implementato in sede (può essere installato in un sito con o senza accesso a Internet)

    • Le seguenti autorizzazioni S3 devono far parte del ruolo IAM che fornisce al connettore le autorizzazioni:

      Autorizzazioni di StorageGRID S3

      • s3:GetObjectVersionTagging

      • s3:GetBucketObjectLockConfiguration

      • s3:GetObjectVersionAcl

      • s3:PutObjectTagging

      • s3:DeleteObject

      • s3:DeleteObjectTagging

      • s3:GetObjectRetention

      • s3:DeleteObjectVersionTagging

      • s3:PutObject

      • s3:GetObject

      • s3:PutBucketObjectLockConfiguration

      • s3:GetLifecycleConfiguration

      • s3:GetBucketTagging

      • s3:DeleteObjectVersion

      • s3:ListBucketVersions

      • s3:ListBucket

      • s3:PutBucketTagging

      • s3:GetObjectTagging

      • s3:PutBucketVersioning

      • s3:PutObjectVersionTagging

      • s3:GetBucketVersioning

      • s3:GetBucketAcl

      • s3:PutObjectRetention

      • s3:GetBucketLocation

      • s3:GetObjectVersion

Restrizioni

  • La funzionalità di protezione DataLock e ransomware non è disponibile se è stato configurato lo storage di archivio nel criterio di backup.

  • L'opzione DataLock selezionata quando si attiva il backup e il ripristino BlueXP deve essere utilizzata per tutti i criteri di backup per quel cluster.

  • Non è possibile utilizzare più modalità DataLock su un singolo cluster.

  • Se si attiva DataLock, tutti i backup dei volumi verranno bloccati. Non è possibile combinare backup di volumi bloccati e non bloccati per un singolo cluster.

  • La protezione DataLock e ransomware è applicabile per i nuovi backup dei volumi utilizzando una policy di backup con DataLock e la protezione ransomware attivata. È possibile attivare o disattivare questa funzione in un secondo momento utilizzando l'opzione Impostazioni avanzate.

  • I volumi FlexGroup possono utilizzare la protezione DataLock e ransomware solo quando si utilizza ONTAP 9.13.1 o superiore.

Opzioni di archiviazione

Quando si utilizza il cloud storage AWS, Azure o Google, dopo un certo numero di giorni è possibile spostare i file di backup meno recenti in una classe di archiviazione o un Tier di accesso meno costosi. Puoi anche scegliere di inviare immediatamente i file di backup allo storage di archivio senza essere scritti su cloud storage standard. È sufficiente inserire 0 come "Archivia dopo giorni" per inviare il file di backup direttamente all'archivio. Ciò può risultare particolarmente utile per gli utenti che raramente hanno bisogno di accedere ai dati da backup del cloud o per gli utenti che stanno sostituendo una soluzione di backup su nastro.

Non è possibile accedere immediatamente ai dati nei livelli di archiviazione quando necessario e richiede un costo di recupero più elevato, pertanto è necessario considerare la frequenza con cui potrebbe essere necessario ripristinare i dati dai file di backup prima di decidere di archiviare i file di backup.

Nota

  • Anche se selezioni "0" per inviare tutti i blocchi di dati al cloud storage di archiviazione, i blocchi di metadati vengono sempre scritti nel cloud storage standard.

  • Non è possibile utilizzare lo storage di archiviazione se è stato attivato DataLock.

  • Non è possibile modificare il criterio di archiviazione dopo aver selezionato 0 giorni (archiviare immediatamente).

Ogni policy di backup fornisce una sezione per Archival Policy che è possibile applicare ai file di backup.

Una schermata delle impostazioni di Archival Policy (Criteri di archiviazione) durante la creazione di un criterio di backup.

  • In AWS, i backup iniziano nella classe di storage Standard e passano alla classe di storage Standard-infrequent Access dopo 30 giorni.

    Se il cluster utilizza ONTAP 9.10.1 o versione successiva, è possibile eseguire il tiering dei backup più vecchi nello storage S3 Glacier o S3 Glacier Deep Archive. "Scopri di più sullo storage di archiviazione AWS".

    • Se non si seleziona alcun livello di archiviazione nella prima policy di backup quando si attiva il backup e ripristino BlueXP, S3 Glacier sarà l'unica opzione di archiviazione per le policy future.

    • Se si seleziona S3 Glacier nella prima policy di backup, è possibile passare al livello S3 Glacier Deep Archive per le policy di backup future per quel cluster.

    • Se si seleziona S3 Glacier Deep Archive nella prima policy di backup, tale Tier sarà l'unico Tier di archiviazione disponibile per future policy di backup per quel cluster.

  • In Azure, i backup sono associati al Tier di accesso Cool.

    Se il cluster utilizza ONTAP 9.10.1 o versione successiva, è possibile eseguire il tiering dei backup più vecchi allo storage Azure Archive. "Scopri di più sullo storage di archivio Azure".

  • In GCP, i backup sono associati alla classe di storage Standard.

    Se il cluster on-premise utilizza ONTAP 9.12.1 o versione successiva, è possibile scegliere di raggruppare i backup più vecchi in storage Archive nell'interfaccia utente di backup e ripristino BlueXP dopo un certo numero di giorni per un'ulteriore ottimizzazione dei costi. "Scopri di più sullo storage di archivio di Google".

  • In StorageGRID, i backup sono associati alla classe di storage Standard.

    Se il cluster on-premise utilizza ONTAP 9.12.1 o versione successiva e il sistema StorageGRID utilizza 11.4 o versione successiva, è possibile archiviare i file di backup meno recenti nello storage di archiviazione del cloud pubblico.

+ ** per AWS, è possibile eseguire il tiering dei backup nello storage AWS S3 Glacier o S3 Glacier Deep Archive. "Scopri di più sullo storage di archiviazione AWS".

+ ** per Azure, è possibile eseguire il tiering dei backup più vecchi sullo storage Azure Archive. "Scopri di più sullo storage di archivio Azure".

+"Scopri di più sull'archiviazione dei file di backup da StorageGRID".