BlueXPのバックアップ/リカバリポリシーの設定
BlueXPのバックアップとリカバリでは、オンプレミスのONTAP システムとCloud Volumes ONTAP システムのさまざまな設定を使用してバックアップポリシーを作成できます。
これらのポリシー設定は、オブジェクトストレージへのバックアップにのみ関連します。これらの設定は、Snapshotポリシーやレプリケーションポリシーには影響しません。Snapshotとレプリケーションについても、今後同様のポリシー設定が追加される予定です。 |
バックアップスケジュール
BlueXPのバックアップとリカバリでは、作業環境(クラスタ)ごとに一意のスケジュールで複数のバックアップポリシーを作成できます。RPO(目標復旧時点)が異なるボリュームには、異なるバックアップポリシーを割り当てることができます。
各バックアップポリシーには、バックアップファイルに適用可能な_Labels & Retention__というセクションがあります。ボリュームに適用されるSnapshotポリシーは、BlueXPのバックアップとリカバリで認識されるポリシーのいずれかである必要があります。そうでない場合、バックアップファイルは作成されません。
スケジュールには、ラベルと保持の値の2つの部分があります。
-
「* label *」は、ボリュームからバックアップファイルを作成(または更新)する頻度を定義します。次のタイプのラベルを選択できます。
-
1つまたは* hourly 、 daily 、 weekly 、 monthly *の組み合わせを選択できます。 および*年単位*の期間。
-
システム定義のポリシーの中から、3カ月、1年、7年のバックアップと保持を提供するポリシーを1つ選択できます。
-
ONTAP System ManagerまたはONTAP CLIを使用してクラスタにカスタムのバックアップ保護ポリシーを作成した場合は、作成したポリシーを1つ選択できます。
-
-
「* retention *」の値は、各ラベル(期間)に保持するバックアップ・ファイルの数を定義します。カテゴリまたは間隔内で最大数のバックアップに達すると、古いバックアップは削除されるため、常に最新のバックアップが保持されます。これにより、廃止されたバックアップではクラウドのスペースが消費され続けることがないため、ストレージコストも削減されます。
たとえば、週7回*、月12回*のバックアップを作成するバックアップ・ポリシーを作成したとします。
-
ボリュームのバックアップファイルは、週ごと、月ごとに1つずつ作成されます
-
8週間目には、最初の週次バックアップが削除され、8週間の新しい週次バックアップが追加されます(最大7週間ごとのバックアップを保持)。
-
13カ月目には、最初の月単位のバックアップが削除され、13カ月分に新しい月単位のバックアップが追加されます(最大12個の月単位のバックアップを保持)。
毎年のバックアップは、オブジェクトストレージに転送されたあとにソースシステムから自動的に削除されます。このデフォルト動作は変更できます "[詳細設定ページで設定します"] を参照してください。
DataLockとランサムウェアによる保護
BlueXPのバックアップとリカバリは、DataLockとランサムウェア対策をボリュームのバックアップに提供します。これらの機能を使用すると、バックアップファイルをロックしてスキャンし、バックアップファイルでランサムウェアの可能性を検出できます。この設定はオプションで、クラスタのボリュームバックアップの保護を強化する場合にバックアップポリシーで定義できます。
これらの機能はどちらもバックアップファイルを保護するため、ランサムウェア攻撃がバックアップに試みられた場合にデータをリカバリするための有効なバックアップファイルを常に保持できます。また、バックアップを一定期間ロックして保持する必要がある規制要件にも対応すると便利です。[DataLock and Ransomware Protection]オプションを有効にすると、BlueXPのバックアップとリカバリのアクティブ化でプロビジョニングされるクラウドバケットでオブジェクトのロックとオブジェクトのバージョン管理が有効になります。
この機能では、ソースボリュームは保護されません。保護されるのは、ソースボリュームのバックアップのみです。ネットアップのソリューションを使用 "Cloud Insights およびCloud Secure"、またはの一部 "ONTAP が提供するアンチランサムウェア防御" ソースボリュームを保護します。
|
DataLockとは
DataLockは、バックアップファイルが一定期間変更または削除されないように保護します。これは_不変ストレージ_とも呼ばれます。この機能では、オブジェクトストレージプロバイダのテクノロジを「オブジェクトロック」に使用します。 バックアップファイルがロック(および保持)される期間は、DataLock保持期間と呼ばれます。定義したバックアップポリシーのスケジュールと保持設定に加え、14日間のバッファに基づいて設定されます。30日未満のDataLock保持ポリシーは、最小30日に切り上げられます。
古いバックアップは、バックアップポリシーの保持期間が終了した後ではなく、DataLockの保持期間が終了した後に削除されることに注意してください。
この機能の例をいくつか見てみましょう。
-
月単位のバックアップスケジュールを、保持期間が12の場合、各バックアップは、削除される12カ月(14日を足したもの)だけロックされます。
-
30日ごと、7週間ごと、12カ月ごとのバックアップを作成するバックアップポリシーを作成すると、ロックされた保持期間が3つになります。「30日ごと」のバックアップを44日間(30日と14日のバッファ)保持し、「7週間ごと」のバックアップを9週間(7週間と14日)保持し、「12カ月ごと」のバックアップを12カ月(さらに14日)保持します。
-
保持期間が24回の毎時バックアップスケジュールを作成する場合、バックアップは24時間ロックされると考えられることがあります。ただし、最低30日未満のため、各バックアップは44日間(30日と14日のバッファ)ロックされ、保持されます。
この最後の例では、各バックアップファイルが44日間ロックされた場合、保持期間が時間あたり24回、保持ポリシーよりも多くのバックアップファイルが作成されます。通常、BlueXPのバックアップとリカバリで25番目のバックアップファイルが作成されると、最大保持数が24に維持されるように最も古いバックアップが削除されます(ポリシーに基づく)。この場合、DataLockの保持設定は、バックアップポリシーの保持設定よりも優先されます。これにより、バックアップファイルがオブジェクトストアに長期間保存されるため、ストレージのコストに影響する可能性があります。
ランサムウェアからの保護
ランサムウェア防御は、バックアップファイルをスキャンしてランサムウェア攻撃の兆候を探します。ランサムウェア攻撃の検出は、チェックサム比較を使用して実行されます。ランサムウェアの可能性が以前のバックアップファイルではなく新しいバックアップファイルで特定された場合、その新しいバックアップファイルはランサムウェア攻撃の兆候を示さない最新のバックアップファイルに置き換えられます。(ランサムウェア攻撃を受けていると特定されたファイルは、置き換えられてから1日後に削除されます)。
ランサムウェアスキャンは、バックアップとリストアのプロセスで3ポイント実行されます。
-
バックアップファイルが作成されたとき
スキャンは、クラウドストレージに初めて書き込まれたとき、*次の*バックアップファイルが書き込まれたときに、バックアップファイルに対しては実行されません。たとえば、火曜日に週次バックアップのスケジュールが設定されている場合は、火曜日に14日にバックアップが作成されます。火曜日にもう1つバックアップが作成されます。ランサムウェアスキャンは、現時点で14日目からバックアップファイルで実行されています。
-
バックアップファイルからデータをリストアする場合
バックアップファイルからデータをリストアする前にスキャンを実行するか、このスキャンをスキップするかを選択できます。
-
手動で実行する
ランサムウェア攻撃からの保護スキャンは、いつでもオンデマンドで実行して、特定のバックアップファイルの健全性を確認できます。これは、特定のボリュームでランサムウェア問題 が実行されている場合に、そのボリュームのバックアップが影響を受けないことを確認するのに役立ちます。
DataLockとRansomware Protectionの設定
各バックアップポリシーには、バックアップファイルに適用可能な_DataLockとRansomware Protection_に関する セクションが用意されています。
各バックアップポリシーについて、次の設定から選択できます。
-
なし(デフォルト)
DataLock保護とランサムウェア防御は無効になっています。
-
ガバナンス
DataLockは_Governanceモードに設定されています。このモードでは、を使用します
s3:BypassGovernanceRetention
権限("以下を参照してください")を使用すると、保持期間中にバックアップファイルを上書きまたは削除できます。ランサムウェア攻撃からの保護が有効 -
コンプライアンス
DataLockは_Compliion_modeに設定されており、保持期間中にユーザがバックアップファイルを上書きしたり削除したりすることはできません。ランサムウェア攻撃からの保護が有効
-
なし(デフォルト)
DataLock保護とランサムウェア防御は無効になっています。
-
ロック解除
バックアップファイルは保持期間中に保護されます。保持期間は増減できます。通常、システムのテストに24時間使用されます。ランサムウェア攻撃からの保護が有効
-
ロックされています
バックアップファイルは保持期間中に保護されます。保持期間は長くすることはできますが、短くすることはできません。完全なコンプライアンスを実現します。ランサムウェア攻撃からの保護が有効
-
なし(デフォルト)
DataLock保護とランサムウェア防御は無効になっています。
-
コンプライアンス
DataLockは_Compliion_modeに設定されており、保持期間中にユーザがバックアップファイルを上書きしたり削除したりすることはできません。ランサムウェア攻撃からの保護が有効
サポートされている作業環境とオブジェクトストレージプロバイダ
以下のパブリッククラウドプロバイダとプライベートクラウドプロバイダでオブジェクトストレージを使用する際に、ONTAP ボリュームに対するDataLock保護とRansomware保護を有効にすることができます。クラウドプロバイダは今後のリリースで追加される予定です。
ソースの作業環境 |
バックアップファイルの保存先 |
AWS の Cloud Volumes ONTAP |
Amazon S3 |
Azure の Cloud Volumes ONTAP |
Azure Blob の略 |
オンプレミスの ONTAP システム |
ifdef:aws [] |
要件
-
AWSの場合:
-
クラスタでONTAP 9.11.1以降が実行されている必要があります
-
コネクタは、クラウドまたはオンプレミスに導入できます
-
次のS3権限は、コネクタに権限を付与するIAMロールに含まれている必要があります。これらは、リソースarn:aws:s3:::NetApp-backup-*」の「backupS3Policy」セクションに含まれています。
-
S3 : GetObjectVersionTagging
-
S3 : GetBucketObjectLockConfiguration
-
S3:GetObjectVersionAcl
-
S3 : PutObjectTagging
-
S3 : DeleteObject
-
S3 : DeleteObjectTagging
-
S3 : GetObjectRetention
-
S3 : DeleteObjectVersionTagging
-
S3 : PutObject
-
S3 : GetObject
-
S3 : PutBucketObjectLockConfiguration
-
S3 : GetLifecycleConfiguration
-
S3 : GetBucketTagging
-
S3 : DeleteObjectVersion
-
S3 : ListBucketVersions
-
S3 : ListBucket
-
S3 : PutBucketTagging
-
S3 : GetObjectTagging
-
S3 : PutBucketVersioning
-
S3 : PutObjectVersionTagging
-
S3 : GetBucketVersioning
-
S3 : GetBucketAcl
-
S3:Bypassガバナー 保持
-
S3 : PutObjectRetention
-
S3 : GetBucketLocation
-
S3 : GetObjectVersion
-
-
-
Azureの場合:
-
クラスタでONTAP 9.12.1以降が実行されている必要があります。
-
コネクタは、クラウドまたはオンプレミスに導入できます
-
-
StorageGRID の場合:
-
クラスタでONTAP 9.11.1以降が実行されている必要があります
-
StorageGRID システムで11.6.0.3以降が実行されている必要があります
-
コネクタは、オンプレミスに導入する必要があります(インターネットにアクセスできるサイトまたはインターネットにアクセスできないサイトにインストールできます)。
-
次のS3権限は、コネクタに権限を提供するIAMロールに含める必要があります。
-
S3 : GetObjectVersionTagging
-
S3 : GetBucketObjectLockConfiguration
-
S3:GetObjectVersionAcl
-
S3 : PutObjectTagging
-
S3 : DeleteObject
-
S3 : DeleteObjectTagging
-
S3 : GetObjectRetention
-
S3 : DeleteObjectVersionTagging
-
S3 : PutObject
-
S3 : GetObject
-
S3 : PutBucketObjectLockConfiguration
-
S3 : GetLifecycleConfiguration
-
S3 : GetBucketTagging
-
S3 : DeleteObjectVersion
-
S3 : ListBucketVersions
-
S3 : ListBucket
-
S3 : PutBucketTagging
-
S3 : GetObjectTagging
-
S3 : PutBucketVersioning
-
S3 : PutObjectVersionTagging
-
S3 : GetBucketVersioning
-
S3 : GetBucketAcl
-
S3 : PutObjectRetention
-
S3 : GetBucketLocation
-
S3 : GetObjectVersion
-
-
制限事項
-
バックアップポリシーでアーカイブストレージを設定している場合、DataLockとランサムウェアからの保護機能は使用できません。
-
BlueXPのバックアップとリカバリをアクティブ化するときに選択するDataLockオプションを、そのクラスタのすべてのバックアップポリシーに使用する必要があります。
-
1つのクラスタで複数のDataLockモードを使用することはできません。
-
DataLockを有効にすると、すべてのボリュームバックアップがロックされます。1つのクラスタに、ロックされたボリュームバックアップとロックされていないボリュームバックアップを混在させることはできません。
-
DataLockとRansomwareによる保護は、DataLockとRansomwareによる保護が有効なバックアップポリシーを使用した新しいボリュームバックアップに適用されます。BlueXPのバックアップとリカバリをアクティブ化したあとにこの機能を有効にすることはできません。
-
FlexGroupボリュームでDataLockとランサムウェア対策を使用できるのは、ONTAP 9.13.1以降を使用している場合のみです。
アーカイブストレージの設定
AWS、Azure、Googleのクラウドストレージを使用している場合は、一定の日数が経過したら、古いバックアップファイルを低コストのアーカイブストレージクラスまたはアクセス階層に移動できます。また、標準のクラウドストレージに書き込まれることなく、バックアップファイルをすぐにアーカイブストレージに送信することもできます。「Archive after days」に「* 0 *」と入力するだけで、バックアップファイルをアーカイブストレージに直接送信できます。これは、クラウドバックアップからデータにアクセスする必要がほとんどないユーザや、テープの解決策にバックアップを取って代わるユーザに特に役立ちます。
アーカイブ層のデータには、必要なときにすぐにアクセスできないため、読み出しコストが高くなるため、バックアップファイルのアーカイブを決定する前に、バックアップファイルからデータをリストアする頻度を検討する必要があります。
|
各バックアップポリシーには、バックアップファイルに適用できる_Archival Policy_に関するセクションがあります。
-
AWS では、バックアップは _Standard_storage クラスから開始し、 30 日後に _Standard-Infrequent Access_storage クラスに移行します。
クラスタがONTAP 9.10.1以降を使用している場合は、古いバックアップをS3 Glacier Deep Archive_storageに階層化できます。 "AWS アーカイブストレージの詳細は、こちらをご覧ください"。
-
BlueXPのバックアップとリカバリをアクティブ化するときに最初のバックアップポリシーでアーカイブ階層を選択しない場合は、以降のポリシーでは_S3 Glacier_のみがアーカイブオプションになります。
-
最初のバックアップポリシーで_S3 Glacier_を選択した場合は、そのクラスタの以降のバックアップポリシー用に_S3 Glacier Deep Archive_tierに変更できます。
-
最初のバックアップポリシーで_S3 Glacier Deep Archive_を 選択した場合は、その階層がそのクラスタの今後のバックアップポリシーで使用できる唯一のアーカイブ階層になります。
-
-
Azure では、バックアップは _COOL アクセス層に関連付けられます。
ONTAP 9.10.1以降を使用しているクラスタでは、古いバックアップを_Azure Archive_storageに階層化できます。 "Azure アーカイブストレージの詳細については、こちらをご覧ください"。
-
GCP では、バックアップは _Standard_storage クラスに関連付けられます。
オンプレミスクラスタでONTAP 9.12.1以降を使用している場合は、コストをさらに最適化するために、BlueXPのバックアップとリカバリのUIで、古いバックアップを_Archive_storageに階層化することができます。 "Googleアーカイブストレージの詳細をご覧ください"。
-
StorageGRID では、バックアップは _Standard_storage クラスに関連付けられます。
オンプレミスクラスタがONTAP 9.12.1以降を使用しており、StorageGRID システムが11.4以降を使用している場合は、古いバックアップファイルをパブリッククラウドアーカイブストレージにアーカイブできます。
[+]
** AWSの場合、バックアップをAWS_S3 Glacier_or_S3 Glacier Deep Archive_storageに階層化できます。 "AWS アーカイブストレージの詳細は、こちらをご覧ください"。
[+]
** Azureの場合、古いバックアップを_Azure Archive_storageに階層化できます。 "Azure アーカイブストレージの詳細については、こちらをご覧ください"。