オンプレミスの ONTAP データの Amazon S3 へのバックアップ
オンプレミスの ONTAP システムから Amazon S3 ストレージへのデータのバックアップを開始するには、いくつかの手順を実行します。
「オンプレミス ONTAP システム」には、 FAS 、 AFF 、 ONTAP Select の各システムが含まれます。
クイックスタート
これらの手順を実行すると、すぐに作業を開始できます。各手順の詳細については、このトピックの以降のセクションを参照してください。
オンプレミスのONTAP クラスタをパブリックインターネット経由でAWS S3に直接接続するか、VPNとAWS Direct Connectのどちらを使用してトラフィックをAWS S3にルーティングするかを選択します。
AWS VPC にすでにコネクタが導入されている場合は、すべてのポートが設定されます。ない場合は、 ONTAP データを AWS S3 ストレージにバックアップするために、 AWS でコネクタを作成する必要があります。また、コネクタのネットワーク設定をカスタマイズして AWS S3 に接続できるようにする必要があります。
Cloud Manager で ONTAP クラスタを検出し、クラスタが最小要件を満たしていることを確認し、クラスタが AWS S3 に接続できるようにネットワーク設定をカスタマイズします。
ConnectorでS3バケットの作成と管理を行うための権限を設定します。また、オンプレミスのONTAP クラスタに対する権限を設定して、S3バケットに対してデータの読み取りと書き込みを行えるようにする必要があります。
必要に応じて、デフォルトの Amazon S3 暗号化キーを使用する代わりに、データ暗号化用に独自のカスタム管理キーを設定することもできます。 AWS S3 環境で ONTAP バックアップを受け取る準備を整える方法をご紹介します。
作業環境を選択し、右パネルの [ バックアップと復元 ] サービスの横にある [*Enable] > [Backup Volumes] をクリックします。次に、セットアップウィザードに従って、デフォルトのバックアップポリシーおよび保持するバックアップの数を定義し、バックアップするボリュームを選択します。
接続オプションのネットワークダイアグラム
オンプレミスの ONTAP システムから AWS S3 へのバックアップを設定する際に使用できる接続方法は 2 つあります。
-
パブリック接続 - パブリック S3 エンドポイントを使用して、 ONTAP システムを AWS S3 に直接接続します。
-
プライベート接続 - VPN または AWS Direct Connect を使用して、プライベート IP アドレスを使用する VPC エンドポイントインターフェイス経由でトラフィックをルーティングします。
次の図は、*パブリック接続*メソッドと、コンポーネント間の準備に必要な接続を示しています。
次の図は、*プライベート接続*メソッドと、コンポーネント間の準備に必要な接続を示しています。
コネクタを準備します
Cloud Manager Connector は、 Cloud Manager 機能のメインソフトウェアです。ONTAP データのバックアップとリストアにはコネクタが必要です。
コネクタの作成または切り替え
AWS VPC にすでにコネクタが導入されている場合は、すべてのポートが設定されます。ない場合は、 AWS S3 ストレージに ONTAP データをバックアップするために、 AWS で新しいコネクタを作成する必要があります。オンプレミスに導入されているコネクタや、別のクラウドプロバイダに導入されているコネクタは使用できません。
コネクタのネットワーク要件
-
コネクタが取り付けられているネットワークで次の接続が有効になっていることを確認します。
-
ポート443経由でのCloud Backup Service およびS3オブジェクトストレージへのHTTPS接続(エンドポイントのリストを参照) "こちらをご覧ください")
-
ONTAP クラスタ管理 LIF へのポート 443 経由の HTTPS 接続
-
-
ONTAP クラスタからVPCへのDirect ConnectまたはVPN接続が確立されている状況で、コネクタとS3の間の通信をAWS内部ネットワークのままにする場合は、S3へのVPCエンドポイントインターフェイスを有効にする必要があります。 VPC エンドポイントインターフェイスの設定方法を参照してください。
ONTAP クラスタを準備
Cloud Manager で ONTAP クラスタを検出
ボリュームデータのバックアップを開始する前に、 Cloud Manager でオンプレミスの ONTAP クラスタを検出する必要があります。クラスタを追加するには、クラスタ管理 IP アドレスと admin ユーザアカウントのパスワードが必要です。
ONTAP の要件
-
ONTAP 9.7P5以降が必要です。ONTAP 9.8P11以降が推奨されます。
-
SnapMirror ライセンス( Premium Bundle または Data Protection Bundle に含まれます)。
-
注: * Cloud Backup を使用する場合、「 Hybrid Cloud Bundle 」は必要ありません。
方法を参照してください "クラスタライセンスを管理します"。
-
時間とタイムゾーンが正しく設定されている。
方法を参照してください "クラスタ時間を設定します"。
クラスタネットワークの要件
-
クラスタには、コネクタからクラスタ管理 LIF へのインバウンド HTTPS 接続が必要です。
-
クラスタ間 LIF は、バックアップ対象のボリュームをホストする各 ONTAP ノードに必要です。これらのクラスタ間 LIF がオブジェクトストアにアクセスできる必要があります。
クラスタは、バックアップおよびリストア処理のために、インタークラスタ LIF から Amazon S3 ストレージへのポート 443 経由のアウトバウンド HTTPS 接続を開始します。ONTAP は、オブジェクトストレージとの間でデータの読み取りと書き込みを行います。オブジェクトストレージが開始されることはなく、応答するだけです。
-
クラスタ間 LIF は、 ONTAP がオブジェクトストレージへの接続に使用する IPspace に関連付けられている必要があります。 "IPspace の詳細については、こちらをご覧ください"。
Cloud Backup をセットアップすると、 IPspace で使用するように求められます。これらの LIF が関連付けられている IPspace を選択します。これは、「デフォルト」の IPspace または作成したカスタム IPspace です。
「 default 」以外の IPspace を使用する場合は、オブジェクトストレージへのアクセスを取得するために静的ルートの作成が必要になることがあります。
IPspace内のすべてのクラスタ間LIFがオブジェクトストアにアクセスできる必要があります。現在のIPspaceに対してこれを設定できない場合は、すべてのクラスタ間LIFがオブジェクトストアにアクセスできる専用のIPspaceを作成する必要があります。
-
ボリュームが配置されている Storage VM 用に DNS サーバが設定されている必要があります。方法を参照してください "SVM 用に DNS サービスを設定"。
-
ファイアウォールルールを必要に応じて更新して、 ONTAP からオブジェクトストレージへのクラウドバックアップ接続をポート 443 経由で許可し、 Storage VM から DNS サーバへの名前解決トラフィックをポート 53 ( TCP / UDP )経由で許可します。
-
AWSでS3接続にプライベートVPCインターフェイスエンドポイントを使用している場合は、HTTPS / 443を使用するために、S3エンドポイント証明書をONTAP クラスタにロードする必要があります。 VPC エンドポイントインターフェイスのセットアップ方法を参照して、 S3 証明書をロードしてください。
ライセンス要件を確認
-
クラスタでCloud Backupをアクティブ化するには、事前に従量課金制(PAYGO)のCloud Manager MarketplaceでAWSから提供するか、ネットアップからCloud Backup BYOLライセンスを購入してアクティブ化する必要があります。これらのライセンスはアカウント用であり、複数のシステムで使用できます。
-
Cloud Backup PAYGO ライセンスの場合は、へのサブスクリプションが必要です "AWS Cloud Manager Marketplace のサービス" クラウドバックアップを使用できます。Cloud Backup の請求は、このサブスクリプションを通じて行われます。
-
Cloud Backup BYOL ライセンスを利用するには、ライセンスの期間と容量に応じてサービスを使用できるように、ネットアップから提供されたシリアル番号が必要です。 "BYOL ライセンスの管理方法について説明します"。
-
-
バックアップを格納するオブジェクトストレージスペース用の AWS サブスクリプションが必要です。
すべてのリージョンで、オンプレミスシステムから Amazon S3 へのバックアップを作成できます "Cloud Volumes ONTAP がサポートされている場合"AWS GovCloud リージョンを含む。サービスのセットアップ時にバックアップを保存するリージョンを指定します。
AWS 環境を準備
S3 権限をセットアップする
次の 2 つの権限セットを設定する必要があります。
-
S3バケットの作成と管理を行うコネクタの権限。
-
オンプレミスの ONTAP クラスタの権限。 S3 バケットに対してデータの読み取りと書き込みを行うことができます。
-
(最新のから)次の S3 権限を確認します "Cloud Manager ポリシー")は、コネクタに権限を付与する IAM ロールの一部です。
{ "Sid": "backupPolicy", "Effect": "Allow", "Action": [ "s3:DeleteBucket", "s3:GetLifecycleConfiguration", "s3:PutLifecycleConfiguration", "s3:PutBucketTagging", "s3:ListBucketVersions", "s3:GetObject", "s3:DeleteObject", "s3:PutObject", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketTagging", "s3:GetBucketLocation", "s3:GetBucketPolicyStatus", "s3:GetBucketPublicAccessBlock", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:PutBucketPublicAccessBlock", "s3:PutEncryptionConfiguration", "athena:StartQueryExecution", "athena:GetQueryResults", "athena:GetQueryExecution", "glue:GetDatabase", "glue:GetTable", "glue:CreateTable", "glue:CreateDatabase", "glue:GetPartitions", "glue:BatchCreatePartition", "glue:BatchDeletePartition" ], "Resource": [ "arn:aws:s3:::netapp-backup-*" ] },
バージョン 3.9.15 以降を使用してコネクタを導入した場合、これらの権限はすでに IAM ロールに含まれている必要があります。そうでない場合は、不足している権限を追加する必要があります。検索とリストアに必要な「アテナ」と「グルー」の権限を具体的に指定します。を参照してください "AWS のドキュメント:「 Editing IAM policies"。
-
サービスをアクティブ化すると、バックアップウィザードにアクセスキーとシークレットキーの入力を求められます。これらのクレデンシャルは、 ONTAP がデータをバックアップして S3 バケットにリストアできるように ONTAP クラスタに渡されます。そのためには、次の権限を持つ IAM ユーザを作成する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:PutEncryptionConfiguration" ], "Resource": "arn:aws:s3:::netapp-backup-*", "Effect": "Allow", "Sid": "backupPolicy" } ] }
を参照してください "AWS ドキュメント:「 Creating a Role to Delegate Permissions to an IAM User" を参照してください。
データ暗号化用に、お客様が管理するAWSキーをセットアップ
デフォルトのAmazon S3暗号化キーを使用してオンプレミスクラスタとS3バケット間でやり取りされるデータを暗号化する場合は、デフォルトのインストールでそのタイプの暗号化が使用されるため、すべての暗号化キーが設定されます。
デフォルトのキーではなく、お客様が管理する独自のキーを使用してデータ暗号化を行う場合は、クラウドバックアップウィザードを開始する前に、暗号化で管理されるキーがすでにセットアップされている必要があります。 "独自のキーの使用方法を参照してください"。
VPCエンドポイントインターフェイスを使用して、システムにプライベート接続を設定します
標準のパブリックインターネット接続を使用する場合は、すべてのアクセス権がコネクタによって設定され、他に必要な操作はありません。このタイプの接続がに表示されます "最初のダイアグラム"。
オンプレミスのデータセンターからVPCへのインターネット接続をよりセキュアにする場合は、バックアップアクティブ化ウィザードでAWS PrivateLink接続を選択できます。VPNまたはAWS Direct Connectを使用して、プライベートIPアドレスを使用するVPCエンドポイントインターフェイス経由でオンプレミスシステムに接続する場合は、この環境が必要です。このタイプの接続がに表示されます "2番目の図"。
-
Amazon VPC コンソールまたはコマンドラインを使用して、インターフェイスエンドポイント設定を作成します。 "AWS PrivateLink for Amazon S3 の使用に関する詳細を参照してください"。
-
Cloud Manager Connector に関連付けられているセキュリティグループの設定を変更します。このポリシーを「 Custom 」(「 Full Access 」から)に変更する必要があります。また、変更する必要があります バックアップポリシーから S3 権限を追加します 前に示したように、
プライベートエンドポイントとの通信にポート80(HTTP)を使用している場合は、すべて設定されます。クラスタで Cloud Backup を有効にすることができます。
ポート443(HTTPS)を使用してプライベートエンドポイントと通信する場合は、VPC S3エンドポイントから証明書をコピーし、次の4つの手順でONTAP クラスタに追加する必要があります。
-
AWS コンソールからエンドポイントの DNS 名を取得します。
-
VPC S3 エンドポイントから証明書を取得します。これは、で行います "Cloud Manager Connector をホストする VM にログインします" 実行するコマンドエンドポイントの DNS 名を入力するときは、先頭に「 * 」を追加して、「 * 」を置き換えます。
[ec2-user@ip-10-160-4-68 ~]$ openssl s_client -connect bucket.vpce-0ff5c15df7e00fbab-yxs7lt8v.s3.us-west-2.vpce.amazonaws.com:443 -showcerts
-
このコマンドの出力から、 S3 証明書のデータ( BEGIN / END CERTIFICATE タグを含む、との間のすべてのデータ)をコピーします。
Certificate chain 0 s:/CN=s3.us-west-2.amazonaws.com` i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon -----BEGIN CERTIFICATE----- MIIM6zCCC9OgAwIBAgIQA7MGJ4FaDBR8uL0KR3oltTANBgkqhkiG9w0BAQsFADBG … … GqvbOz/oO2NWLLFCqI+xmkLcMiPrZy+/6Af+HH2mLCM4EsI2b+IpBmPkriWnnxo= -----END CERTIFICATE-----
-
ONTAP クラスタの CLI にログインし、次のコマンドを使用してコピーした証明書を適用します(代わりに独自の Storage VM 名を指定します)。
cluster1::> security certificate install -vserver cluster1 -type server-ca Please enter Certificate: Press <Enter> when done
Cloud Backup を有効にします
Cloud Backup は、オンプレミスの作業環境からいつでも直接有効にできます。
-
キャンバスから作業環境を選択し、右パネルのバックアップと復元サービスの横にある *Enable>Backup Volumes * をクリックします。
バックアップのAmazon S3デスティネーションがCanvas上の作業環境として存在する場合は、クラスタをAmazon S3作業環境にドラッグしてセットアップウィザードを開始できます。
ボタンを示すスクリーンショット"]
-
プロバイダとして Amazon Web Services を選択し、 * Next * をクリックします。
-
プロバイダの詳細を入力し、 * 次へ * をクリックします。
-
バックアップの格納に使用する AWS アカウント、 AWS Access Key 、および Secret Key 。
アクセスキーとシークレットキーは、 ONTAP クラスタに S3 バケットへのアクセスを付与するために作成した IAM ユーザ用のものです。
-
バックアップを格納する AWS リージョン。
-
デフォルトの Amazon S3 暗号化キーを使用するか、お客様が管理する独自のキーを AWS アカウントから選択して、データの暗号化を管理できます。 ("独自のキーの使用方法を参照してください")。
-
-
アカウントにCloud Backupの既存のライセンスがない場合は、使用する課金方法を選択するよう求められます。AWSから従量課金制(PAYGO)のCloud Manager Marketplaceサービスにサブスクライブする(または複数のサブスクリプションを選択する必要がある場合)か、ネットアップからCloud Backup BYOLライセンスを購入してアクティブ化することができます。 "Cloud Backupライセンスの設定方法について説明します。"
-
ネットワークの詳細を入力し、 * 次へ * をクリックします。
-
バックアップするボリュームが配置されている ONTAP クラスタ内の IPspace 。この IPspace のクラスタ間 LIF には、アウトバウンドのインターネットアクセスが必要です。
-
必要に応じて、以前に設定した AWS PrivateLink を使用するかどうかを選択します。 "AWS PrivateLink for Amazon S3 の使用に関する詳細を参照してください"。
-
-
デフォルトのバックアップポリシーの詳細を入力し、 * Next * をクリックします。
-
バックアップスケジュールを定義し、保持するバックアップの数を選択します。 "選択可能な既存のポリシーのリストが表示されます"。
-
ONTAP 9.10.1 以降を使用している場合は、 S3 Glacier または S3 Glacier Deep Archive ストレージにバックアップを階層化して一定の日数後にコストを最適化することができます。 "アーカイブ階層の使用の詳細については、こちらをご覧ください"。
-
-
Select Volumes (ボリュームの選択)ページで、デフォルトのバックアップポリシーを使用してバックアップするボリュームを選択します。特定のボリュームに異なるバックアップポリシーを割り当てる場合は、追加のポリシーを作成し、それらのボリュームにあとから適用できます。
-
すべてのボリュームをバックアップするには、タイトル行(
)。
-
個々のボリュームをバックアップするには、各ボリュームのボックス(
)。
今後追加されるすべてのボリュームでバックアップを有効にする場合は、「今後のボリュームを自動的にバックアップ … 」チェックボックスをオンのままにします。この設定を無効にした場合は、以降のボリュームのバックアップを手動で有効にする必要があります。
-
-
Activate Backup * をクリックすると、ボリュームの初期バックアップの作成が開始されます。
Cloud Backup が起動し、選択した各ボリュームの初期バックアップの作成が開始されます。 Volume Backup Dashboard が表示され、バックアップの状態を監視できます。
可能です "ボリュームのバックアップを開始および停止したり、バックアップを変更したりできます スケジュール"。また可能です "ボリューム全体または個々のファイルをバックアップファイルからリストアする" AWS の Cloud Volumes ONTAP システムやオンプレミスの ONTAP システムに接続できます。