日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

オンプレミスの ONTAP データの Amazon S3 へのバックアップ

寄稿者

オンプレミスのONTAP システムからAmazon S3ストレージへのボリュームデータのバックアップを開始するには、いくつかの手順を実行します。

「オンプレミス ONTAP システム」には、 FAS 、 AFF 、 ONTAP Select の各システムが含まれます。

クイックスタート

これらの手順を実行すると、すぐに作業を開始できます。各手順の詳細については、このトピックの以降のセクションを参照してください。

1つ 使用する構成方法を特定します

オンプレミスのONTAP クラスタをパブリックインターネット経由でAWS S3に直接接続するか、VPNとAWS Direct Connectのどちらを使用してトラフィックをAWS S3にルーティングするかを選択します。

使用可能な接続方法を参照してください。

2 つ BlueXPコネクタを準備します

AWS VPCまたはオンプレミスにすでにコネクタが導入されている場合は、すべて設定されます。ない場合は、ONTAP データをAWS S3ストレージにバックアップするためのコネクタを作成する必要があります。また、コネクタのネットワーク設定をカスタマイズして AWS S3 に接続できるようにする必要があります。

コネクタの作成方法および必要なネットワーク設定の定義方法を参照してください。

3つ オンプレミスのONTAP クラスタを準備

BlueXPのONTAP クラスタを検出し、クラスタが最小要件を満たしていることを確認し、クラスタがAWS S3に接続できるようにネットワーク設定をカスタマイズします。

オンプレミスの ONTAP クラスタを準備する方法をご確認ください。

4. バックアップターゲットとしてAmazon S3を準備します

ConnectorでS3バケットの作成と管理を行うための権限を設定します。また、オンプレミスのONTAP クラスタに対する権限を設定して、S3バケットに対してデータの読み取りと書き込みを行えるようにする必要があります。

必要に応じて、デフォルトの Amazon S3 暗号化キーを使用する代わりに、データ暗号化用に独自のカスタム管理キーを設定することもできます。 AWS S3 環境で ONTAP バックアップを受け取る準備を整える方法をご紹介します。

5 つ システムでBlueXPのバックアップとリカバリを有効にします

作業環境を選択し、右パネルのバックアップ/リカバリサービスの横にある*有効化>バックアップボリューム*をクリックします。次に、セットアップウィザードに従って、デフォルトのバックアップポリシーおよび保持するバックアップの数を定義し、バックアップするボリュームを選択します。

ボリュームでBlueXPのバックアップとリカバリをアクティブ化する方法をご覧ください。

接続オプションのネットワークダイアグラム

オンプレミスの ONTAP システムから AWS S3 へのバックアップを設定する際に使用できる接続方法は 2 つあります。

  • パブリック接続 - パブリック S3 エンドポイントを使用して、 ONTAP システムを AWS S3 に直接接続します。

  • プライベート接続 - VPN または AWS Direct Connect を使用して、プライベート IP アドレスを使用する VPC エンドポイントインターフェイス経由でトラフィックをルーティングします。

次の図は、*パブリック接続*メソッドと、コンポーネント間の準備に必要な接続を示しています。オンプレミスにインストールしたコネクタや、AWS VPCに導入したコネクタを使用できます。

BlueXPのバックアップ/リカバリが、クラスタ上のボリュームおよびバックアップファイルが配置されているAWS S3ストレージとのパブリック接続を介して通信する仕組みを示す図。

次の図は、*プライベート接続*メソッドと、コンポーネント間の準備に必要な接続を示しています。オンプレミスにインストールしたコネクタや、AWS VPCに導入したコネクタを使用できます。

BlueXPのバックアップ/リカバリが、クラスタ上のボリュームおよびバックアップファイルが配置されているAWS S3ストレージとのプライベート接続を介して通信する仕組みを示す図。

コネクタを準備します

BlueXPコネクタは’BlueXP機能の主要なソフトウェアですONTAP データのバックアップとリストアにはコネクタが必要です。

コネクタの作成または切り替え

AWS VPCまたはオンプレミスにすでにコネクタが導入されている場合は、すべて設定されます。ない場合は、ONTAP データをAWS S3ストレージにバックアップするために、これらのいずれかの場所にコネクタを作成する必要があります。別のクラウドプロバイダに導入されているコネクタは使用できません。

コネクタのネットワーク要件

ONTAP クラスタを準備

BlueXPでONTAP クラスタを検出します

ボリュームデータのバックアップを開始する前に、BlueXPでオンプレミスONTAP クラスタを検出する必要があります。クラスタを追加するには、クラスタ管理 IP アドレスと admin ユーザアカウントのパスワードが必要です。

"クラスタの検出方法について説明します"

ONTAP の要件

  • ONTAP 9.7P5以降を使用することを推奨します。ONTAP 9.8P13以降を使用することを推奨します。

  • SnapMirror ライセンス( Premium Bundle または Data Protection Bundle に含まれます)。

    注: BlueXPのバックアップとリカバリを使用する場合、「Hybrid Cloud Bundle」は必要ありません。

    方法を参照してください "クラスタライセンスを管理します"

  • 時間とタイムゾーンが正しく設定されている。

    方法を参照してください "クラスタ時間を設定します"

クラスタネットワークの要件

  • クラスタには、コネクタからクラスタ管理 LIF へのインバウンド HTTPS 接続が必要です。

  • クラスタ間 LIF は、バックアップ対象のボリュームをホストする各 ONTAP ノードに必要です。これらのクラスタ間 LIF がオブジェクトストアにアクセスできる必要があります。

    クラスタは、バックアップおよびリストア処理のために、インタークラスタ LIF から Amazon S3 ストレージへのポート 443 経由のアウトバウンド HTTPS 接続を開始します。ONTAP は、オブジェクトストレージとの間でデータの読み取りと書き込みを行います。オブジェクトストレージが開始されることはなく、応答するだけです。

  • クラスタ間 LIF は、 ONTAP がオブジェクトストレージへの接続に使用する IPspace に関連付けられている必要があります。 "IPspace の詳細については、こちらをご覧ください"

    BlueXPのバックアップとリカバリをセットアップするときに、使用するIPspaceを指定するように求められます。これらの LIF が関連付けられている IPspace を選択します。これは、「デフォルト」の IPspace または作成したカスタム IPspace です。

    「 default 」以外の IPspace を使用する場合は、オブジェクトストレージへのアクセスを取得するために静的ルートの作成が必要になることがあります。

    IPspace内のすべてのクラスタ間LIFがオブジェクトストアにアクセスできる必要があります。現在のIPspaceに対してこれを設定できない場合は、すべてのクラスタ間LIFがオブジェクトストアにアクセスできる専用のIPspaceを作成する必要があります。

  • ボリュームが配置されている Storage VM 用に DNS サーバが設定されている必要があります。方法を参照してください "SVM 用に DNS サービスを設定"

  • 必要に応じてファイアウォールルールを更新して、ONTAP からオブジェクトストレージへのBlueXPのバックアップおよびリカバリ接続(ポート443経由)、およびStorage VMからDNSサーバへの名前解決トラフィック(TCP / UDP)を許可します。

  • AWSでS3接続にプライベートVPCインターフェイスエンドポイントを使用している場合は、HTTPS / 443を使用するために、S3エンドポイント証明書をONTAP クラスタにロードする必要があります。 VPC エンドポイントインターフェイスのセットアップ方法を参照して、 S3 証明書をロードしてください。

  • "ONTAP クラスタにS3バケットへのアクセス権限があることを確認します"

ライセンス要件を確認

  • クラスタでBlueXPのバックアップとリカバリをアクティブ化するには、AWSから従量課金制(PAYGO)のBlueXP Marketplaceサービスに登録するか、ネットアップからBlueXPバックアップとリカバリのBYOLライセンスを購入してアクティブ化する必要があります。これらのライセンスはアカウント用であり、複数のシステムで使用できます。

  • バックアップを格納するオブジェクトストレージスペース用の AWS サブスクリプションが必要です。

    すべてのリージョンで、オンプレミスシステムから Amazon S3 へのバックアップを作成できます "Cloud Volumes ONTAP がサポートされている場合"AWS GovCloud リージョンを含む。サービスのセットアップ時にバックアップを保存するリージョンを指定します。

AWS 環境を準備

S3 権限をセットアップする

次の 2 つの権限セットを設定する必要があります。

  • S3バケットの作成と管理を行うコネクタの権限。

  • オンプレミスの ONTAP クラスタの権限。 S3 バケットに対してデータの読み取りと書き込みを行うことができます。

手順

  1. (最新のから)次の S3 権限を確認します "BlueXPポリシー")は、コネクタに権限を付与する IAM ロールの一部です。表示されていない場合は、を参照してください "AWS のドキュメント:「 Editing IAM policies"

    {
          "Sid": "backupPolicy",
          "Effect": "Allow",
          "Action": [
              "s3:DeleteBucket",
              "s3:GetLifecycleConfiguration",
              "s3:PutLifecycleConfiguration",
              "s3:PutBucketTagging",
              "s3:ListBucketVersions",
              "s3:GetObject",
              "s3:DeleteObject",
              "s3:PutObject",
              "s3:ListBucket",
              "s3:ListAllMyBuckets",
              "s3:GetBucketTagging",
              "s3:GetBucketLocation",
              "s3:GetBucketPolicyStatus",
              "s3:GetBucketPublicAccessBlock",
              "s3:GetBucketAcl",
              "s3:GetBucketPolicy",
              "s3:PutBucketPolicy",
              "s3:PutBucketOwnershipControls",
              "s3:PutBucketPublicAccessBlock",
              "s3:PutEncryptionConfiguration",
              "s3:GetObjectVersionTagging",
              "s3:GetBucketObjectLockConfiguration",
              "s3:GetObjectVersionAcl",
              "s3:PutObjectTagging",
              "s3:DeleteObjectTagging",
              "s3:GetObjectRetention",
              "s3:DeleteObjectVersionTagging",
              "s3:PutBucketObjectLockConfiguration",
              "s3:ListBucketByTags",
              "s3:DeleteObjectVersion",
              "s3:GetObjectTagging",
              "s3:PutBucketVersioning",
              "s3:PutObjectVersionTagging",
              "s3:GetBucketVersioning",
              "s3:BypassGovernanceRetention",
              "s3:PutObjectRetention",
              "s3:GetObjectVersion",
              "athena:StartQueryExecution",
              "athena:GetQueryResults",
              "athena:GetQueryExecution",
              "glue:GetDatabase",
              "glue:GetTable",
              "glue:CreateTable",
              "glue:CreateDatabase",
              "glue:GetPartitions",
              "glue:BatchCreatePartition",
              "glue:BatchDeletePartition"
          ],
          "Resource": [
              "arn:aws:s3:::netapp-backup-*"
          ]
      },
    注記 AWS Chinaリージョンでバックアップを作成する場合は、IAMポリシーのall_Resource_sectionsの下にあるAWSリソース名「arn」を「aws」から「aws-cn」に変更する必要があります arn:aws-cn:s3:::netapp-backup-*

  2. サービスをアクティブ化すると、バックアップウィザードにアクセスキーとシークレットキーの入力を求められます。これらのクレデンシャルは、 ONTAP がデータをバックアップして S3 バケットにリストアできるように ONTAP クラスタに渡されます。そのためには、次の権限を持つ IAM ユーザを作成する必要があります。

    {
    "Version": "2012-10-17",
     "Statement": [
        {
           "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": "arn:aws:s3:::netapp-backup-*",
            "Effect": "Allow",
            "Sid": "backupPolicy"
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::netapp-backup*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:ListAllMyBuckets",
                "s3:PutObjectTagging",
                "s3:GetObjectTagging",
                "s3:RestoreObject",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetObjectRetention",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutObjectRetention"
            ],
            "Resource": "arn:aws:s3:::netapp-backup*/*",
            "Effect": "Allow"
        }
    ]
}

    を参照してください "AWS ドキュメント:「 Creating a Role to Delegate Permissions to an IAM User" を参照してください。

データ暗号化用に、お客様が管理するAWSキーをセットアップ

デフォルトのAmazon S3暗号化キーを使用してオンプレミスクラスタとS3バケット間でやり取りされるデータを暗号化する場合は、デフォルトのインストールでそのタイプの暗号化が使用されるため、すべての暗号化キーが設定されます。

デフォルトのキーを使用するのではなく、お客様が管理する独自のキーをデータの暗号化に使用する場合は、BlueXPのバックアップとリカバリウィザードを開始する前に、暗号化に対応するキーをあらかじめ設定しておく必要があります。 "独自のキーの使用方法を参照してください"

VPCエンドポイントインターフェイスを使用して、システムにプライベート接続を設定します

標準のパブリックインターネット接続を使用する場合は、すべてのアクセス権がコネクタによって設定され、他に必要な操作はありません。このタイプの接続がに表示されます "最初のダイアグラム"

オンプレミスのデータセンターからVPCへのインターネット接続をよりセキュアにする場合は、バックアップアクティブ化ウィザードでAWS PrivateLink接続を選択できます。VPNまたはAWS Direct Connectを使用して、プライベートIPアドレスを使用するVPCエンドポイントインターフェイス経由でオンプレミスシステムに接続する場合は、この環境が必要です。このタイプの接続がに表示されます "2番目の図"

  1. Amazon VPC コンソールまたはコマンドラインを使用して、インターフェイスエンドポイント設定を作成します。 "AWS PrivateLink for Amazon S3 の使用に関する詳細を参照してください"

  2. BlueXPコネクタに関連付けられているセキュリティグループ設定を変更します。このポリシーを「 Custom 」(「 Full Access 」から)に変更する必要があります。また、変更する必要があります バックアップポリシーから S3 権限を追加します 前に示したように、

    コネクタに関連付けられている AWS セキュリティグループのスクリーンショット。

    プライベートエンドポイントとの通信にポート80(HTTP)を使用している場合は、すべて設定されています。クラスタでBlueXPのバックアップとリカバリを有効にすることができます。

    ポート443(HTTPS)を使用してプライベートエンドポイントと通信する場合は、VPC S3エンドポイントから証明書をコピーし、次の4つの手順でONTAP クラスタに追加する必要があります。

  3. AWS コンソールからエンドポイントの DNS 名を取得します。

    AWS コンソールから VPC エンドポイントの DNS 名のスクリーンショット。

  4. VPC S3 エンドポイントから証明書を取得します。これは、で行います "BlueXPコネクタをホストしているVMにログインします" 実行するコマンドエンドポイントの DNS 名を入力するときは、先頭に「 * 」を追加して、「 * 」を置き換えます。

    [ec2-user@ip-10-160-4-68 ~]$ openssl s_client -connect bucket.vpce-0ff5c15df7e00fbab-yxs7lt8v.s3.us-west-2.vpce.amazonaws.com:443 -showcerts

  5. このコマンドの出力から、 S3 証明書のデータ( BEGIN / END CERTIFICATE タグを含む、との間のすべてのデータ)をコピーします。

    Certificate chain
0 s:/CN=s3.us-west-2.amazonaws.com`
   i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
-----BEGIN CERTIFICATE-----
MIIM6zCCC9OgAwIBAgIQA7MGJ4FaDBR8uL0KR3oltTANBgkqhkiG9w0BAQsFADBG
…
…
GqvbOz/oO2NWLLFCqI+xmkLcMiPrZy+/6Af+HH2mLCM4EsI2b+IpBmPkriWnnxo=
-----END CERTIFICATE-----

  6. ONTAP クラスタの CLI にログインし、次のコマンドを使用してコピーした証明書を適用します(代わりに独自の Storage VM 名を指定します)。

    cluster1::> security certificate install -vserver cluster1 -type server-ca
Please enter Certificate: Press <Enter> when done

BlueXPのバックアップとリカバリを有効にする

BlueXPのバックアップとリカバリは、オンプレミスの作業環境からいつでも直接実行できます。

手順

  1. キャンバスから作業環境を選択し、右パネルのバックアップとリカバリサービスの横にある*Enable>Backup Volumes]をクリックします。

    バックアップのAmazon S3デスティネーションがCanvas上の作業環境として存在する場合は、クラスタをAmazon S3作業環境にドラッグしてセットアップウィザードを開始できます。

    "作業環境を選択した後に使用できる[バックアップとリカバリの有効化ボタンを示すスクリーンショット。"]

  2. プロバイダとして Amazon Web Services を選択し、 * Next * をクリックします。

  3. プロバイダの詳細を入力し、 * 次へ * をクリックします。

    1. バックアップの格納に使用する AWS アカウント、 AWS Access Key 、および Secret Key 。

      アクセスキーとシークレットキーは、 ONTAP クラスタに S3 バケットへのアクセスを付与するために作成した IAM ユーザ用のものです。

    2. バックアップを格納する AWS リージョン。

    3. デフォルトの Amazon S3 暗号化キーを使用するか、お客様が管理する独自のキーを AWS アカウントから選択して、データの暗号化を管理できます。 ("独自のキーの使用方法を参照してください")。

      ONTAP システムから AWS S3 にボリュームをバックアップする際のクラウドプロバイダの詳細を示すスクリーンショット。

  4. アカウントのBlueXPバックアップ/リカバリライセンスがない場合は、この時点で、使用する課金方法を選択するように求められます。AWSから従量課金制(PAYGO)のBlueXP Marketplaceサービスにサブスクライブするか(複数のサブスクリプションがある場合は1つ選択する必要があります)、ネットアップからBlueXPバックアップ/リカバリBYOLライセンスを購入してアクティブ化できます。 "BlueXPのバックアップ/リカバリライセンスのセットアップ方法をご紹介します。"

  5. ネットワークの詳細を入力し、 * 次へ * をクリックします。

    1. バックアップするボリュームが配置されている ONTAP クラスタ内の IPspace 。この IPspace のクラスタ間 LIF には、アウトバウンドのインターネットアクセスが必要です。

    2. 必要に応じて、以前に設定した AWS PrivateLink を使用するかどうかを選択します。 "AWS PrivateLink for Amazon S3 の使用に関する詳細を参照してください"

      ONTAP システムから AWS S3 にボリュームをバックアップする場合のネットワークの詳細を示すスクリーンショット。

  6. デフォルト・ポリシーに使用するバックアップ・ポリシーの詳細を入力し、[次へ]をクリックします。既存のポリシーを選択するか、各セクションで選択した内容を入力して新しいポリシーを作成できます。

    1. デフォルトポリシーの名前を入力します。名前を変更する必要はありません。

    2. バックアップスケジュールを定義し、保持するバックアップの数を選択します。 "選択可能な既存のポリシーのリストが表示されます"

    3. ONTAP 9.11.1以降を使用している場合、_DataLockとランサムウェアによる防御設定のいずれかを設定することで、バックアップを削除攻撃やランサムウェアによる攻撃から保護することもできます。_DataLock_はバックアップファイルの変更や削除を防止します。_Ransomware protection_scanはバックアップファイルをスキャンして、バックアップファイルにランサムウェア攻撃の痕跡がないかどうかを確認します。 "使用可能なDataLock設定の詳細については、こちらを参照してください"

    4. ONTAP 9.10.1以降を使用している場合は、S3 GlacierまたはS3 Glacier Deep Archiveストレージにバックアップを階層化して、コストをさらに最適化することもできます。 "アーカイブ階層の使用の詳細については、こちらをご覧ください"

      BlueXPのバックアップとリカバリの設定を示すスクリーンショットで、スケジュールとバックアップの保持を選択できます。

    重要: DataLockを使用する場合は、BlueXPのバックアップとリカバリをアクティブ化するときに最初のポリシーでDataLockを有効にする必要があります。

  7. Select Volumes(ボリュームの選択)ページで、定義済みのバックアップポリシーを使用してバックアップするボリュームを選択します。特定のボリュームに異なるバックアップポリシーを割り当てる場合は、追加のポリシーを作成し、それらのボリュームにあとから適用できます。

    • すべての既存ボリュームと今後追加されるすべてのボリュームをバックアップするには、[既存および将来のすべてのボリュームをバックアップ…​]チェックボックスをオンにします。このオプションは、すべてのボリュームをバックアップし、新しいボリュームのバックアップを有効にする必要がないようにすることを推奨します。

    • 既存のボリュームのみをバックアップする場合は、タイトル行()。

    • 個々のボリュームをバックアップするには、各ボリュームのボックス()。

      バックアップするボリュームを選択するスクリーンショット。

    • この作業環境に、この作業環境用に選択したバックアップスケジュールラベル(日次、週次など)に一致する読み取り/書き込みボリュームのローカルSnapshotコピーがある場合は、「Export existing Snapshot copies to object storage as backup copies」というプロンプトが追加で表示されます。ボリュームを完全に保護するために、履歴Snapshotをすべてバックアップファイルとしてオブジェクトストレージにコピーする場合は、このチェックボックスをオンにします。

  8. [バックアップをアクティブ化]*をクリックすると、BlueXPのバックアップとリカバリによってボリュームの初期バックアップの作成が開始されます。

結果

S3 バケットは、入力した S3 アクセスキーとシークレットキーで指定されたサービスアカウントに自動的に作成され、そこにバックアップファイルが格納されます。ボリュームバックアップダッシュボードが表示され、バックアップの状態を監視できます。を使用して、バックアップジョブとリストアジョブのステータスを監視することもできます "[ジョブ監視]パネル"

次の手順