Skip to main content
すべてのクラウドプロバイダ
  • Amazon Web Services の
  • Google Cloud
  • Microsoft Azure
  • すべてのクラウドプロバイダ
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

オブジェクトへのバックアップポリシーのオプション

共同作成者
PDF

BlueXPのバックアップとリカバリでは、オンプレミスのONTAPシステムとCloud Volumes ONTAPシステムのさまざまな設定を使用してバックアップポリシーを作成できます。

メモ これらのポリシー設定は、オブジェクトストレージへのバックアップにのみ関連します。これらの設定は、Snapshotポリシーやレプリケーションポリシーには影響しません。Snapshotとレプリケーションについても、今後同様のポリシー設定が追加される予定です。

バックアップスケジュールのオプション

BlueXPのバックアップとリカバリでは、作業環境(クラスタ)ごとに一意のスケジュールで複数のバックアップポリシーを作成できます。RPO(目標復旧時点)が異なるボリュームには、異なるバックアップポリシーを割り当てることができます。

各バックアップポリシーには、バックアップファイルに適用可能な_Labels & Retention__というセクションがあります。ボリュームに適用されるSnapshotポリシーは、BlueXPのバックアップとリカバリで認識されるポリシーのいずれかである必要があります。そうでない場合、バックアップファイルは作成されません。

バックアップポリシー作成時のバックアップスケジュール設定のスクリーンショット。

スケジュールには、ラベルと保持の値の2つの部分があります。

  • 「* label *」は、ボリュームからバックアップファイルを作成(または更新)する頻度を定義します。次のタイプのラベルを選択できます。

    • 1つまたは* hourly daily weekly monthly *の組み合わせを選択できます。 および*年単位*の期間。

    • システム定義のポリシーの中から、3カ月、1年、7年のバックアップと保持を提供するポリシーを1つ選択できます。

    • ONTAP System ManagerまたはONTAP CLIを使用してクラスタにカスタムのバックアップ保護ポリシーを作成した場合は、作成したポリシーを1つ選択できます。

  • 「* retention *」の値は、各ラベル(期間)に保持するバックアップ・ファイルの数を定義します。カテゴリまたは間隔内で最大数のバックアップに達すると、古いバックアップは削除されるため、常に最新のバックアップが保持されます。これにより、廃止されたバックアップではクラウドのスペースが消費され続けることがないため、ストレージコストも削減されます。

たとえば、週7回*、月12回*のバックアップを作成するバックアップ・ポリシーを作成したとします。

  • ボリュームのバックアップファイルは、週ごと、月ごとに1つずつ作成されます

  • 8週間目には、最初の週次バックアップが削除され、8週間の新しい週次バックアップが追加されます(最大7週間ごとのバックアップを保持)。

  • 13カ月目には、最初の月単位のバックアップが削除され、13カ月分に新しい月単位のバックアップが追加されます(最大12個の月単位のバックアップを保持)。

毎年のバックアップは、オブジェクトストレージに転送されたあとにソースシステムから自動的に削除されます。このデフォルト動作は変更できます "[詳細設定ページで設定します"] を参照してください。

DataLockとランサムウェア対策のオプション

BlueXPのバックアップとリカバリは、DataLockとランサムウェア対策をボリュームのバックアップに提供します。これらの機能を使用すると、バックアップファイルをロックしてスキャンし、バックアップファイルでランサムウェアの可能性を検出できます。この設定はオプションで、クラスタのボリュームバックアップの保護を強化する場合にバックアップポリシーで定義できます。

これらの機能はどちらもバックアップファイルを保護するため、ランサムウェア攻撃がバックアップに試みられた場合にデータをリカバリするための有効なバックアップファイルを常に保持できます。また、バックアップを一定期間ロックして保持する必要がある規制要件にも対応すると便利です。[DataLock and Ransomware Protection]オプションを有効にすると、BlueXPのバックアップとリカバリのアクティブ化でプロビジョニングされるクラウドバケットでオブジェクトのロックとオブジェクトのバージョン管理が有効になります。

"詳細については、DataLockとRansomwareによる保護ブログをご覧ください"

この機能では、ソースボリュームは保護されません。保護されるのは、ソースボリュームのバックアップのみです。NetAppまたは一部のを "ONTAP が提供するアンチランサムウェア防御"使用して "データインフラの分析情報とCloud Secure"ソースボリュームを保護します。

注意

  • DataLockとRansomware Protectionを使用する場合は、最初のバックアップポリシーを作成し、そのクラスタに対してBlueXPのバックアップとリカバリをアクティブ化するときに有効にすることができます。ランサムウェアスキャンは、BlueXP  のバックアップとリカバリの詳細設定を使用してあとから有効または無効にすることができます。

  • BlueXPがボリュームデータをリストアするときにバックアップファイルをスキャンしてランサムウェアを検出すると、クラウドプロバイダからバックアップファイルの内容にアクセスするための追加の出力コストが発生します。

DataLockとは

DataLockは、バックアップファイルが一定期間変更または削除されないように保護します。これは_不変ストレージ_とも呼ばれます。この機能では、オブジェクトストレージプロバイダのテクノロジを「オブジェクトロック」に使用します。バックアップ・ファイルがロック(および保持)される期間をDataLockの保持期間と呼びます定義したバックアップポリシーのスケジュールと保持設定に加え、最大31日間のバッファに基づいて設定されます。31日未満のDataLock保持ポリシーは、最小31日に切り上げられます。

古いバックアップは、バックアップポリシーの保持期間が終了した後ではなく、DataLockの保持期間が終了した後に削除されることに注意してください。

この機能の例をいくつか見てみましょう。

  • 保持期間を12回に設定した月次バックアップスケジュールを作成すると、各バックアップが12カ月間ロックされ(さらに最大31日間のバッファ)、削除されます。

  • 30日ごと、7週間ごと、12カ月ごとのバックアップを作成するバックアップポリシーを作成すると、ロックされた保持期間が3つになります。「30日」のバックアップは44日間(30日+最大31日のバッファ)保持され、「7週間」のバックアップは9週間(7週間+最大31日のバッファ)保持され、「12か月」のバックアップは12か月(最大31日のバッファ)保持されます。

  • 保持期間が24回の毎時バックアップスケジュールを作成する場合、バックアップは24時間ロックされると考えられることがあります。ただし、最小30日未満であるため、各バックアップは44日間ロックされ、保持されます(30日+最大31日のバッファ)。

    この最後のケースでは、各バックアップファイルが30日間ロックされている場合(および最大31日間のバッファ)、通常は毎時/24保持ポリシーで保持されるバックアップファイル数よりも多くのバックアップファイルが作成されることがわかります。通常、BlueXPのバックアップとリカバリで25番目のバックアップファイルが作成されると、最大保持数が24に維持されるように最も古いバックアップが削除されます(ポリシーに基づく)。この場合、DataLockの保持設定は、バックアップポリシーの保持設定よりも優先されます。これにより、バックアップファイルがオブジェクトストアに長期間保存されるため、ストレージのコストに影響する可能性があります。

ランサムウェアからの保護

ランサムウェア防御は、バックアップファイルをスキャンしてランサムウェア攻撃の兆候を探します。ランサムウェア攻撃の検出は、チェックサム比較を使用して実行されます。ランサムウェアの可能性が以前のバックアップファイルではなく新しいバックアップファイルで特定された場合、その新しいバックアップファイルはランサムウェア攻撃の兆候を示さない最新のバックアップファイルに置き換えられます。(ランサムウェア攻撃を受けていると特定されたファイルは、置き換えられてから1日後に削除されます)。

ランサムウェアスキャンは、バックアップとリストアのプロセスの次のポイントで実行されます。

  • バックアップファイルが作成されたとき。

    必要に応じてランサムウェアスキャンを有効または無効にすることができます。

    スキャンは、クラウドストレージに初めて書き込まれたとき、*次の*バックアップファイルが書き込まれたときに、バックアップファイルに対しては実行されません。たとえば、火曜日に週次バックアップのスケジュールが設定されている場合は、火曜日に14日にバックアップが作成されます。火曜日にもう1つバックアップが作成されます。ランサムウェアスキャンは、現時点で14日目からバックアップファイルで実行されています。

  • バックアップファイルからデータをリストアする場合

    バックアップファイルからデータをリストアする前にスキャンを実行するか、このスキャンをスキップするかを選択できます。

  • 手動で実行する

    ランサムウェア攻撃からの保護スキャンは、いつでもオンデマンドで実行して、特定のバックアップファイルの健全性を確認できます。これは、特定のボリュームでランサムウェア問題 が実行されている場合に、そのボリュームのバックアップが影響を受けないことを確認するのに役立ちます。

DataLockとRansomware Protectionのオプション

各バックアップポリシーには、バックアップファイルに適用可能な_DataLockとRansomware Protection_に関する セクションが用意されています。

バックアップポリシー作成時のAWS、Azure、StorageGRID のDataLockとRansProtectionの設定のスクリーンショット

ランサムウェア対策スキャンはデフォルトで有効になっています。スキャン頻度のデフォルト設定は7日間です。スキャンは最新のSnapshotコピーに対してのみ実行されます。[Advanced Settings]ページのオプションを使用して、最新のSnapshotコピーに対するランサムウェアスキャンを有効または無効にできます。有効にすると、スキャンはデフォルトで7日ごとに実行されます。

このスケジュールを数日または数週間に変更したり、無効にしたりすることで、コストを節約できます。

を参照してください "[Advanced Settingsページでランサムウェア対策オプションを更新する方法"]。

各バックアップポリシーについて、次の設定から選択できます。

AWS

  • なし(デフォルト)

    DataLock保護とランサムウェア防御は無効になっています。

  • ガバナンス

    DataLockは_Governanceモードに設定されています。このモードでは、を使用します s3:BypassGovernanceRetention 権限("以下を参照してください")を使用すると、保持期間中にバックアップファイルを上書きまたは削除できます。ランサムウェア攻撃からの保護が有効

  • コンプライアンス

    DataLockは_Compliion_modeに設定されており、保持期間中にユーザがバックアップファイルを上書きしたり削除したりすることはできません。ランサムウェア攻撃からの保護が有効

Azure

  • なし(デフォルト)

    DataLock保護とランサムウェア防御は無効になっています。

  • ロック解除

    バックアップファイルは保持期間中に保護されます。保持期間は増減できます。通常、システムのテストに24時間使用されます。ランサムウェア攻撃からの保護が有効

  • ロックされています

    バックアップファイルは保持期間中に保護されます。保持期間は長くすることはできますが、短くすることはできません。完全なコンプライアンスを実現します。ランサムウェア攻撃からの保護が有効

StorageGRID

  • なし(デフォルト)

    DataLock保護とランサムウェア防御は無効になっています。

  • コンプライアンス

    DataLockは_Compliion_modeに設定されており、保持期間中にユーザがバックアップファイルを上書きしたり削除したりすることはできません。ランサムウェア攻撃からの保護が有効

サポートされている作業環境とオブジェクトストレージプロバイダ

以下のパブリッククラウドプロバイダとプライベートクラウドプロバイダでオブジェクトストレージを使用する際に、ONTAP ボリュームに対するDataLock保護とRansomware保護を有効にすることができます。クラウドプロバイダは今後のリリースで追加される予定です。

ソースの作業環境

バックアップファイルの保存先


ifdef:aws []

AWS の Cloud Volumes ONTAP

Amazon S3

endif::aws[]


ifdef:Azure []

Azure の Cloud Volumes ONTAP

Azure Blob の略

endif::azure[]

ifdef ::gcp[]

endif:GCP []

オンプレミスの ONTAP システム

ifdef:aws []

Amazon S3

endif::aws[]


ifdef:Azure []

Azure Blob の略

endif::azure[]

ifdef ::gcp[]

endif:GCP []

NetApp StorageGRID

要件

  • AWSの場合:

    • クラスタでONTAP 9.11.1以降が実行されている必要があります

    • コネクタは、クラウドまたはオンプレミスに導入できます

    • 次のS3権限は、コネクタに権限を付与するIAMロールに含まれている必要があります。これらは、リソースarn:aws:s3:::NetApp-backup-*」の「backupS3Policy」セクションに含まれています。

      AWS S3権限

      • S3 : GetObjectVersionTagging

      • S3 : GetBucketObjectLockConfiguration

      • S3:GetObjectVersionAcl

      • S3 : PutObjectTagging

      • S3 : DeleteObject

      • S3 : DeleteObjectTagging

      • S3 : GetObjectRetention

      • S3 : DeleteObjectVersionTagging

      • S3 : PutObject

      • S3 : GetObject

      • S3 : PutBucketObjectLockConfiguration

      • S3 : GetLifecycleConfiguration

      • S3 : GetBucketTagging

      • S3 : DeleteObjectVersion

      • S3 : ListBucketVersions

      • S3 : ListBucket

      • S3 : PutBucketTagging

      • S3 : GetObjectTagging

      • S3 : PutBucketVersioning

      • S3 : PutObjectVersionTagging

      • S3 : GetBucketVersioning

      • S3 : GetBucketAcl

      • S3:Bypassガバナー 保持

      • S3 : PutObjectRetention

      • S3 : GetBucketLocation

      • S3 : GetObjectVersion

      "必要な権限をコピーして貼り付けることができる、ポリシーの完全なJSON形式を表示します"

  • Azureの場合:

    • クラスタでONTAP 9.12.1以降が実行されている必要があります。

    • コネクタは、クラウドまたはオンプレミスに導入できます

  • StorageGRID の場合:

    • クラスタでONTAP 9.11.1以降が実行されている必要があります

    • StorageGRID システムで11.6.0.3以降が実行されている必要があります

    • コネクタは、オンプレミスに導入する必要があります(インターネットにアクセスできるサイトまたはインターネットにアクセスできないサイトにインストールできます)。

    • 次のS3権限は、コネクタに権限を提供するIAMロールに含める必要があります。

      StorageGRID S3権限

      • S3 : GetObjectVersionTagging

      • S3 : GetBucketObjectLockConfiguration

      • S3:GetObjectVersionAcl

      • S3 : PutObjectTagging

      • S3 : DeleteObject

      • S3 : DeleteObjectTagging

      • S3 : GetObjectRetention

      • S3 : DeleteObjectVersionTagging

      • S3 : PutObject

      • S3 : GetObject

      • S3 : PutBucketObjectLockConfiguration

      • S3 : GetLifecycleConfiguration

      • S3 : GetBucketTagging

      • S3 : DeleteObjectVersion

      • S3 : ListBucketVersions

      • S3 : ListBucket

      • S3 : PutBucketTagging

      • S3 : GetObjectTagging

      • S3 : PutBucketVersioning

      • S3 : PutObjectVersionTagging

      • S3 : GetBucketVersioning

      • S3 : GetBucketAcl

      • S3 : PutObjectRetention

      • S3 : GetBucketLocation

      • S3 : GetObjectVersion

制限事項

  • バックアップポリシーでアーカイブストレージを設定している場合、DataLockとランサムウェアからの保護機能は使用できません。

  • BlueXPのバックアップとリカバリをアクティブ化するときに選択するDataLockオプションを、そのクラスタのすべてのバックアップポリシーに使用する必要があります。

  • 1つのクラスタで複数のDataLockモードを使用することはできません。

  • DataLockを有効にすると、すべてのボリュームバックアップがロックされます。1つのクラスタに、ロックされたボリュームバックアップとロックされていないボリュームバックアップを混在させることはできません。

  • DataLockとRansomwareによる保護は、DataLockとRansomwareによる保護が有効なバックアップポリシーを使用した新しいボリュームバックアップに適用されます。これらの機能は、[詳細設定]オプションを使用してあとで有効または無効にすることができます。

  • FlexGroupボリュームでDataLockとランサムウェア対策を使用できるのは、ONTAP 9.13.1以降を使用している場合のみです。

DataLockのコストを削減する方法のヒント

DataLock機能をアクティブにしたまま、ランサムウェアスキャン機能を有効または無効にすることができます。追加料金を回避するために、定期的なランサムウェアスキャンを無効にすることができます。これにより、セキュリティ設定をカスタマイズし、クラウドプロバイダからのコストを回避できます。

スケジュールされたランサムウェアスキャンが無効になっていても、必要に応じてオンデマンドスキャンを実行できます。

さまざまな保護レベルを選択できます。

  • * DataLock_without_ransomwareスキャン*:デスティネーションストレージのバックアップデータを、ガバナンスモードまたはコンプライアンスモードのいずれかで保護します。

    • ガバナンスモード:管理者は、保護されたデータの上書きや削除を柔軟に行うことができます。

    • 準拠モード:保持期間が終了するまで完全に消去できません。これにより、規制の厳しい環境で最も厳しいデータセキュリティ要件を満たすことができます。データのライフサイクル中は上書きや変更を行うことができないため、バックアップコピーを最も強力に保護できます。

      メモ Microsoft Azureでは、代わりにロックとロック解除モードが使用されます。

  • * DataLock_with_ransomwareスキャン*:データのセキュリティを強化します。この機能は、バックアップコピーの変更を検出するのに役立ちます。何らかの試行が行われると、新しいバージョンのデータが慎重に作成されます。スキャン周波数は1、2、3、4、5に変更できます。 六日又は七日スキャンを7日ごとに設定すると、コストが大幅に削減されます。

DataLockコストを軽減するためのその他のヒントについては、を参照してください。 https://community.netapp.com/t5/Tech-ONTAP-Blogs/Understanding-BlueXP-Backup-and-Recovery-DataLock-and-Ransomware-Feature-TCO/ba-p/453475

さらに、にアクセスして、DataLockに関連するコストの見積もりを取得できます "BlueXPのバックアップ/リカバリ用Total Cost of Ownership(TCO;総所有コスト)試算ツール"

アーカイブストレージのオプション

AWS、Azure、Googleのクラウドストレージを使用している場合は、一定の日数が経過したら、古いバックアップファイルを低コストのアーカイブストレージクラスまたはアクセス階層に移動できます。また、標準のクラウドストレージに書き込まれることなく、バックアップファイルをすぐにアーカイブストレージに送信することもできます。「Archive after days」に「* 0 *」と入力するだけで、バックアップファイルをアーカイブストレージに直接送信できます。これは、クラウドバックアップからデータにアクセスする必要がほとんどないユーザや、テープの解決策にバックアップを取って代わるユーザに特に役立ちます。

アーカイブ層のデータには、必要なときにすぐにアクセスできないため、読み出しコストが高くなるため、バックアップファイルのアーカイブを決定する前に、バックアップファイルからデータをリストアする頻度を検討する必要があります。

メモ

  • すべてのデータブロックをアーカイブクラウドストレージに送信するために「0」を選択した場合でも、メタデータブロックは常に標準のクラウドストレージに書き込まれます。

  • DataLockを有効にしている場合、アーカイブストレージは使用できません。

  • 「* 0 *日」(すぐにアーカイブ)を選択した後、アーカイブポリシーを変更することはできません。

各バックアップポリシーには、バックアップファイルに適用できる_Archival Policy_に関するセクションがあります。

バックアップポリシーを作成するときのアーカイブポリシーの設定のスクリーンショット。

  • AWS では、バックアップは _Standard_storage クラスから開始し、 30 日後に _Standard-Infrequent Access_storage クラスに移行します。

    クラスタがONTAP 9.10.1以降を使用している場合は、古いバックアップをS3 Glacier Deep Archive_storageに階層化できます。 "AWS アーカイブストレージの詳細は、こちらをご覧ください"

    • BlueXPのバックアップとリカバリをアクティブ化するときに最初のバックアップポリシーでアーカイブ階層を選択しない場合は、以降のポリシーでは_S3 Glacier_のみがアーカイブオプションになります。

    • 最初のバックアップポリシーで_S3 Glacier_を選択した場合は、そのクラスタの以降のバックアップポリシー用に_S3 Glacier Deep Archive_tierに変更できます。

    • 最初のバックアップポリシーで_S3 Glacier Deep Archive_を 選択した場合は、その階層がそのクラスタの今後のバックアップポリシーで使用できる唯一のアーカイブ階層になります。

  • Azure では、バックアップは _COOL アクセス層に関連付けられます。

    ONTAP 9.10.1以降を使用しているクラスタでは、古いバックアップを_Azure Archive_storageに階層化できます。 "Azure アーカイブストレージの詳細については、こちらをご覧ください"

  • GCP では、バックアップは _Standard_storage クラスに関連付けられます。

    オンプレミスクラスタでONTAP 9.12.1以降を使用している場合は、コストをさらに最適化するために、BlueXPのバックアップとリカバリのUIで、古いバックアップを_Archive_storageに階層化することができます。 "Googleアーカイブストレージの詳細をご覧ください"

  • StorageGRID では、バックアップは _Standard_storage クラスに関連付けられます。

    オンプレミスクラスタがONTAP 9.12.1以降を使用しており、StorageGRID システムが11.4以降を使用している場合は、古いバックアップファイルをパブリッククラウドアーカイブストレージにアーカイブできます。

[+]
** AWSの場合、バックアップをAWS_S3 Glacier_or_S3 Glacier Deep Archive_storageに階層化できます。 "AWS アーカイブストレージの詳細は、こちらをご覧ください"

[+]
** Azureの場合、古いバックアップを_Azure Archive_storageに階層化できます。 "Azure アーカイブストレージの詳細については、こちらをご覧ください"

[+]
"StorageGRID からバックアップファイルをアーカイブする方法の詳細については、こちらをご覧ください"