日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

クラウドバックアップポリシーの設定

寄稿者

このドキュメントでは、Cloud Backup Service を使用する場合のオンプレミスONTAP システムとCloud Volumes ONTAP システムのバックアップポリシーの構成設定について説明します。

バックアップスケジュール

Cloud Backupでは、作業環境(クラスタ)ごとに固有のスケジュールを設定して複数のバックアップポリシーを作成できます。RPO(目標復旧時点)が異なるボリュームには、異なるバックアップポリシーを割り当てることができます。

各バックアップポリシーには、バックアップファイルに適用可能な_Labels & Retention__というセクションがあります。

バックアップポリシー作成時のバックアップスケジュール設定のスクリーンショット。

スケジュールには、ラベルと保持の値の2つの部分があります。

  • 「* label *」は、ボリュームからバックアップファイルを作成(または更新)する頻度を定義します。次のタイプのラベルを選択できます。

    • 1つまたは* hourly daily weekly monthly *の組み合わせを選択できます。 および*年単位*の期間。

    • システム定義のポリシーの中から、3カ月、1年、7年のバックアップと保持を提供するポリシーを1つ選択できます。

    • ONTAP System ManagerまたはONTAP CLIを使用してクラスタにカスタムのバックアップ保護ポリシーを作成した場合は、作成したポリシーを1つ選択できます。

  • 「* retention *」の値は、各ラベル(期間)に保持するバックアップ・ファイルの数を定義します。カテゴリまたは間隔内で最大数のバックアップに達すると、古いバックアップは削除されるため、常に最新のバックアップが保持されます。これにより、廃止されたバックアップではクラウドのスペースが消費され続けることがないため、ストレージコストも削減されます。

たとえば、週7回*、月12回*のバックアップを作成するバックアップ・ポリシーを作成したとします。

  • ボリュームのバックアップファイルは、週ごと、月ごとに1つずつ作成されます

  • 8週間目には、最初の週次バックアップが削除され、8週間の新しい週次バックアップが追加されます(最大7週間ごとのバックアップを保持)。

  • 13カ月目には、最初の月単位のバックアップが削除され、13カ月分に新しい月単位のバックアップが追加されます(最大12個の月単位のバックアップを保持)。

毎年のバックアップは、オブジェクトストレージに転送されたあとにソースシステムから自動的に削除されます。このデフォルト動作は変更できます "[詳細設定ページで設定します"] を参照してください。

DataLockとランサムウェアによる保護

Cloud Backupは、ボリュームバックアップに対するDataLockやRansomwareによる保護をサポートします。これらの機能を使用すると、バックアップファイルをロックしてスキャンし、バックアップファイルでランサムウェアの可能性を検出できます。この設定はオプションで、クラスタのボリュームバックアップの保護を強化する場合にバックアップポリシーで定義できます。

これらの機能はどちらもバックアップファイルを保護するため、ソースデータがランサムウェア攻撃を受けた場合にデータをリカバリするための有効なバックアップファイルを常に用意しています。また、バックアップを一定期間ロックして保持する必要がある規制要件にも対応すると便利です。DataLockとRansomware Protectionが有効な場合、クラウドバックアップのアクティブ化の一環としてプロビジョニングされるクラウドバケットでオブジェクトのロックとオブジェクトのバージョン管理が有効になります。

この機能では、ソースボリュームは保護されません。保護されるのは、ソースボリュームのバックアップのみです。ネットアップのソリューションを使用 "Cloud Insights およびCloud Secure"、またはの一部 "ONTAP が提供するアンチランサムウェア防御" ソースボリュームを保護します。

注意
  • DataLockとRansomwareによる保護を使用する場合は、最初のバックアップポリシーを作成し、そのクラスタに対してCloud Backupをアクティブ化するときにDataLockを有効にする必要があります。

  • 設定後は、クラスタのDataLock保護とRansomware保護を無効にすることはできません。この機能は、クラスタでは有効にしないでください。

DataLockとは

DataLockは、バックアップファイルが一定期間変更または削除されないように保護します。この機能は、オブジェクトストレージプロバイダのテクノロジを「オブジェクトロック」に使用します。バックアップ・ファイルがロック(および保持)される期間をDataLockの保持期間と呼びますこの値は、定義したバックアップポリシーのスケジュールと保持の設定に加え、14日間のバッファに基づきます。30日未満のDataLock保持ポリシーは、最小30日に切り上げられます。

古いバックアップは、バックアップポリシーの保持期間が過ぎても、DataLockの保持期間が過ぎると削除されるのではなく、注意してください。

この機能の例をいくつか見てみましょう。

  • 月単位のバックアップスケジュールを、保持期間が12の場合、各バックアップは、削除される12カ月(14日を足したもの)だけロックされます。

  • 30日ごと、7週間ごと、12カ月ごとのバックアップを作成するバックアップポリシーを作成すると、ロックされた保持期間が3つになります。「30日ごと」のバックアップを44日間(30日と14日のバッファ)保持し、「7週間ごと」のバックアップを9週間(7週間と14日)保持し、「12カ月ごと」のバックアップを12カ月(さらに14日)保持します。

  • 保持期間が24回の毎時バックアップスケジュールを作成する場合、バックアップは24時間ロックされると考えられることがあります。ただし、最低30日未満のため、各バックアップは44日間(30日と14日のバッファ)ロックされ、保持されます。

    この最後の例では、各バックアップファイルが44日間ロックされた場合、保持期間が時間あたり24回、保持ポリシーよりも多くのバックアップファイルが作成されます。通常、Cloud Backupで25番目のバックアップファイルが作成されると、ポリシーに基づいて、最大保持期間が24になるように最も古いバックアップが削除されます。この場合、DataLockの保持設定は、バックアップポリシーの保持設定よりも優先されます。これにより、バックアップファイルがオブジェクトストアに長期間保存されるため、ストレージのコストに影響する可能性があります。

ランサムウェアからの保護

ランサムウェア防御は、バックアップファイルをスキャンしてランサムウェア攻撃の兆候を探します。ランサムウェア攻撃の検出は、チェックサム比較を使用して実行されます。以前のバックアップファイルではなく、バックアップファイルでランサムウェアの可能性が特定されている場合、その新しいバックアップファイルはランサムウェア攻撃の兆候が見られない最新のバックアップファイルに置き換えられます。(ランサムウェア攻撃を受けていると特定されたファイルは、置き換えられてから1日後に削除されます)。

ランサムウェアスキャンは、バックアップとリストアのプロセスで3ポイント実行されます。

  • バックアップファイルが作成されたとき

    スキャンは、クラウドストレージに初めて書き込まれたとき、*次の*バックアップファイルが書き込まれたときに、バックアップファイルに対しては実行されません。たとえば、火曜日に週次バックアップのスケジュールが設定されている場合は、火曜日に14日にバックアップが作成されます。火曜日にもう1つバックアップが作成されます。ランサムウェアスキャンは、現時点で14日目からバックアップファイルで実行されています。

  • バックアップファイルからデータをリストアする場合

    バックアップファイルからデータをリストアする前にスキャンを実行するか、このスキャンをスキップするかを選択できます。

  • 手動で実行する

    ランサムウェア攻撃からの保護スキャンは、いつでもオンデマンドで実行して、特定のバックアップファイルの健全性を確認できます。これは、特定のボリュームでランサムウェア問題 が実行されている場合に、そのボリュームのバックアップが影響を受けないことを確認するのに役立ちます。

注意 ランサムウェアスキャンを実行するには、バックアップファイルをBlueXP環境(コネクタがインストールされている環境)にダウンロードする必要があります。オンプレミスにコネクタを導入している場合、これによってクラウドプロバイダからの出力コストが増加することがあります。したがって、クラウドにConnectorを導入し、バックアップの保存先のバケットと同じリージョンに配置することを推奨します。

DataLockとRansomware Protectionの設定

各バックアップポリシーには、バックアップファイルに適用可能な_DataLockとRansomware Protection_に関する セクションが用意されています。

バックアップポリシー作成時のDataLockとRansomware Protectionの設定のスクリーンショット

各バックアップポリシーについて、次の設定から選択できます。

  • なし(デフォルト)

    DataLock保護とランサムウェア防御は無効になっています。

  • ガバナンス(StorageGRID では使用不可)

    DataLockは_Governanceモードに設定されています。特定の権限を持つユーザーです("以下を参照してください")を使用すると、保持期間中にバックアップファイルを上書きまたは削除できます。ランサムウェア攻撃からの保護が有効

  • コンプライアンス

    DataLockは_Compliion_modeに設定されており、保持期間中にユーザがバックアップファイルを上書きしたり削除したりすることはできません。ランサムウェア攻撃からの保護が有効

注記 StorageGRID S3オブジェクトロック機能は、Complianceモードに相当する単一のDataLockモードを提供します。同等のガバナンスモードはサポートされないため、保持設定を省略したり、保護されたバックアップを上書きしたり、ロックされたバックアップを削除したりする機能はユーザにはありません。

サポートされている作業環境とオブジェクトストレージプロバイダ

以下のパブリッククラウドプロバイダとプライベートクラウドプロバイダでオブジェクトストレージを使用する際に、ONTAP ボリュームに対するDataLock保護とRansomware保護を有効にすることができます。クラウドプロバイダは今後のリリースで追加される予定です。

ソースの作業環境 バックアップファイルデスティネーションifdef:aws []

AWS の Cloud Volumes ONTAP

Amazon S3 endif:aws [] ifdef:azure[] endif:azure [] ifdef:GCP [] endif:gcp []

オンプレミスの ONTAP システム

ifdef:aws [] Amazon S3 endif:aws [] ifdef:azure[] endif:azure[] ifdef:gCP[] endif:GCP [] NetApp StorageGRID

要件

  • クラスタでONTAP 9.11.1以降が実行されている必要があります

  • BlueXP 3.9.21以上を使用している必要があります

  • AWSの場合:

    • コネクタはクラウドに導入する必要があります

    • 次のS3権限は、コネクタに権限を付与するIAMロールに含まれている必要があります。これらは、リソースarn:aws:s3:::NetApp-backup-*」の「backupS3Policy」セクションに含まれています。

      • S3 : GetObjectVersionTagging

      • S3 : GetBucketObjectLockConfiguration

      • S3:GetObjectVersionAcl

      • S3 : PutObjectTagging

      • S3 : DeleteObject

      • S3 : DeleteObjectTagging

      • S3 : GetObjectRetention

      • S3 : DeleteObjectVersionTagging

      • S3 : PutObject

      • S3 : GetObject

      • S3 : PutBucketObjectLockConfiguration

      • S3 : GetLifecycleConfiguration

      • S3:ListBucketByTags

      • S3 : GetBucketTagging

      • S3 : DeleteObjectVersion

      • S3 : ListBucketVersions

      • S3 : ListBucket

      • S3 : PutBucketTagging

      • S3 : GetObjectTagging

      • S3 : PutBucketVersioning

      • S3 : PutObjectVersionTagging

      • S3 : GetBucketVersioning

      • S3 : GetBucketAcl

      • S3:Bypassガバナー 保持

      • S3 : PutObjectRetention

      • S3 : GetBucketLocation

      • S3 : GetObjectVersion

        「s3:Bypassガバナー 保持」は、管理者ユーザがGovernanceモードでロックされているバックアップファイルを上書きまたは削除できるようにする場合にのみ追加する必要があります。

  • StorageGRID の場合:

    • コネクタは、オンプレミスに導入する必要があります(インターネットにアクセスできるサイトまたはインターネットにアクセスできないサイトにインストールできます)。

    • DataLock機能を完全にサポートするには、StorageGRID 11.6.0.3以降が必要です

制限事項

  • バックアップポリシーでアーカイブストレージを設定している場合、DataLockとRansomwareによる保護は利用できません。

  • クラウドバックアップ(ガバナンスまたはコンプライアンス)をアクティブ化する際に選択するDataLockオプションは、そのクラスタのすべてのバックアップポリシーに使用する必要があります。1つのクラスタでガバナンスモードとコンプライアンスモードの両方のロックを使用することはできません。

  • DataLockを有効にすると、すべてのボリュームバックアップがロックされます。1つのクラスタに、ロックされたボリュームバックアップとロックされていないボリュームバックアップを混在させることはできません。

  • DataLockとRansomwareによる保護は、DataLockとRansomwareによる保護が有効なバックアップポリシーを使用した新しいボリュームバックアップに適用されます。Cloud Backupをアクティブ化したあとは、この機能を有効にできません。

アーカイブストレージの設定

特定のクラウドストレージを使用している場合、一定期間経過した古いバックアップファイルを低コストのストレージクラス/アクセス階層に移動できます。DataLockを有効にした場合は、アーカイブストレージを使用できません。

アーカイブ階層内のデータは、必要なときはすぐにアクセスできず、取得コストが高くなるため、アーカイブされたバックアップファイルからデータを復元する頻度を考慮する必要があります。

AWSまたはAzureでバックアップファイルを作成する場合、各バックアップポリシーには、バックアップファイルに適用できる_Archival Policy_というセクションがあります。

バックアップポリシーを作成するときのアーカイブポリシーの設定のスクリーンショット。

  • AWS では、バックアップは _Standard_storage クラスから開始し、 30 日後に _Standard-Infrequent Access_storage クラスに移行します。

    クラスタが ONTAP 9.10.1 以降を使用している場合は、古いバックアップを S3 Glacier Deep Archive_storage のいずれかに階層化して、特定の日数が経過したらコストをさらに最適化することができます。 "AWS アーカイブストレージの詳細は、こちらをご覧ください"

    クラウドバックアップをアクティブ化するときに最初のバックアップポリシーで_S3 Glacier Deep Archive_inを選択した場合、その階層は、そのクラスタの今後のバックアップポリシーで使用できる唯一のアーカイブ階層になります。最初のバックアップポリシーでアーカイブ階層を選択しなかった場合、以降のポリシーでは_S3 Glacierが唯一のアーカイブオプションになります。

  • Azure では、バックアップは _COOL アクセス層に関連付けられます。

    クラスタが ONTAP 9.10.1 以降を使用している場合は、特定の日数が経過した古いバックアップを Azure Archive_storage に階層化して、コストをさらに最適化することができます。 "Azure アーカイブストレージの詳細については、こちらをご覧ください"

  • GCP では、バックアップはデフォルトで _Standard_storage クラスに関連付けられています。

    低コストのNearline_storageクラスまたは_Coldline_or_Archive_storageクラスを使用できます。ただし、これらの他のストレージクラスについては、Cloud BackupのUIではなくGoogleで設定します。Google のトピックを参照してください "ストレージクラス" Google Cloud Storageバケットのデフォルトストレージクラスの変更については、を参照してください。

  • StorageGRID では、バックアップは _Standard_storage クラスに関連付けられます。

    現在使用できるアーカイブ階層はありません。