既存のバケットのミラー関係を作成する(リモートクラスタ)
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
既存の S3 バケットの保護はいつでも開始できます。たとえば、 S3 設定を ONTAP 9.10.1 より前のリリースからアップグレードした場合などです。
タスクはソースクラスタとデスティネーションクラスタの両方で実行する必要があります。
-
ONTAP のバージョン、ライセンス、 S3 サーバの設定に関する要件を満たしている必要があります。
-
ソースクラスタとデスティネーションクラスタの間にピア関係が存在し、ソース Storage VM とデスティネーション Storage VM の間にピア関係が存在します。
-
CA 証明書は、ソース VM とデスティネーション VM に必要です。自己署名 CA 証明書または外部 CA ベンダーが署名した証明書を使用できます。
ミラー関係は、System ManagerまたはONTAP CLIを使用して作成できます。
-
このStorage VMの最初のSnapMirror S3関係である場合は、ソースとデスティネーションの両方のStorage VMにrootユーザキーが存在することを確認し、存在しない場合は再生成します。
-
[ストレージ]>[Storage VM]*を選択し、Storage VMを選択します。
-
[設定]タブで、* S3 *タイル内をクリックします 。
-
[Users] タブで、 root ユーザのアクセスキーがあることを確認します。
-
表示されていない場合は、* root の横にあるをクリックし 、 Regenerate Key *をクリックします。*すでに存在するキーを再生成しないでください。
-
-
ソースとデスティネーションの両方のStorage VMに既存のユーザとグループが存在し、正しいアクセス権があることを確認します。[ストレージ]>[Storage VM]*を選択し、Storage VMを選択して[設定]タブを選択します。最後に、 S3 タイルを探し、を選択して Users タブを選択し、 Groups *タブを選択して、ユーザとグループのアクセス設定を表示します。
を参照してください " S3 ユーザとグループを追加" を参照してください。
-
既存のS3ポリシーがなく、デフォルトのポリシーを使用しない場合は、ソースクラスタでSnapMirror S3ポリシーを作成します。
-
[保護]>[概要]を選択し、[ローカルポリシー設定]*をクリックします。
-
の横にあるを選択し 、[追加]*をクリックします。
-
ポリシー名と概要を入力します。
-
ポリシースコープ(クラスタまたはSVM)を選択します。
-
SnapMirror S3関係の場合は*[Continuous]*を選択します。
-
スロットル値および * 目標復旧時点 * 値を入力します。
-
-
既存のバケットのバケットアクセスポリシーが引き続きニーズを満たしていることを確認します。
-
[ * ストレージ ] 、 [ バケット ] の順にクリックし、保護するバケットを選択します。
-
[権限]タブで*をクリックし 、[権限]の[追加]*をクリックします。
-
* 主な内容と効果 * :ユーザーグループの設定に対応する値を選択するか、デフォルト値をそのまま使用します。
-
アクション:次の値が表示されていることを確認します。
GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts
-
リソース:デフォルトを使用します
(bucketname, bucketname/*)
または必要なその他の値。を参照してください " バケットへのユーザアクセスを管理します" これらのフィールドの詳細については、を参照してください。
-
-
-
SnapMirror S3保護で既存のバケットを保護します。
-
[* Storage * > * Buckets] をクリックして、保護するバケットを選択します。
-
[*Protect] をクリックして、次の値を入力します。
-
デスティネーション
-
* ターゲット * : ONTAP システム
-
* cluster * :リモートクラスタを選択します。
-
* Storage VM * :リモートクラスタの Storage VM を選択します。
-
* S3 サーバ CA 証明書 * : _source_certificate の内容をコピーして貼り付けます。
-
-
ソース
-
* S3 サーバ CA 証明書 * : _destination_certificate の内容をコピーして貼り付けます。
-
-
-
-
チェック * 外部 CA ベンダーが署名した証明書を使用している場合は、宛先で同じ証明書を使用します。
-
[* Destination Settings] をクリックすると、バケット名、容量、およびパフォーマンスサービスレベルのデフォルト値の代わりに独自の値を入力することもできます。
-
[ 保存( Save ) ] をクリックします。既存のバケットがデスティネーションStorage VMの新しいバケットにミラーリングされます。
ONTAP 9.14.1以降では、ロックされたS3バケットをバックアップし、必要に応じてリストアできます。
新規または既存のバケットの保護設定を定義する際に、ソースクラスタとデスティネーションクラスタでONTAP 9.14.1以降を実行し、ソースバケットでオブジェクトのロックが有効になっている場合は、デスティネーションバケットでオブジェクトのロックを有効にすることができます。ソースバケットのオブジェクトロックモードとロックの保持期間が、デスティネーションバケットのレプリケートオブジェクトに適用されるようになります。また、*[Destination Settings]*セクションで、デスティネーションバケットに対して別のロック保持期間を定義することもできます。この保持期間は、ソースバケットとS3インターフェイスからレプリケートされたロックされていないオブジェクトにも適用されます。
バケットでオブジェクトロックを有効にする方法については、を参照してください。 "バケットを作成する"。
-
このSVMに対する最初のSnapMirror S3関係である場合は、ソースとデスティネーションの両方のSVMにrootユーザキーが存在することを確認し、存在しない場合は再生成します
vserver object-store-server user show
。+ rootユーザのアクセスキーがあることを確認します。存在しない場合は、「
vserver object-store-server user regenerate-keys -vserver svm_name -user root
+ Do not regenerate the key if one already exists」と入力します。 -
ミラーターゲットにするバケットをデスティネーション SVM 上に作成します。
vserver object-store-server bucket create -vserver svm_name -bucket dest_bucket_name [-size integer[KB|MB|GB|TB|PB]] [-comment text] [additional_options]
-
ソースとデスティネーションの両方のSVMで、デフォルトのバケットポリシーのアクセスルールが正しいことを確認します。
vserver object-store-server bucket policy add-statement -vserver svm_name -bucket bucket_name -effect {allow|deny} -action object_store_actions -principal user_and_group_names -resource object_store_resources [-sid text] [-index integer]
例src_cluster::> vserver object-store-server bucket policy add-statement -bucket test-bucket -effect allow -action GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts -principal - -resource test-bucket, test-bucket /*
-
ソースSVMで、SnapMirror S3ポリシーを作成します(既存のポリシーがなく、デフォルトのポリシーを使用しない場合)。
snapmirror policy create -vserver svm_name -policy policy_name -type continuous [-rpo integer] [-throttle throttle_type] [-comment text] [additional_options]
パラメータ
-
continuous
–SnapMirror S3関係の唯一のポリシータイプ(必須)。 -
-rpo
–目標復旧時点の時間を秒単位で指定します(オプション)。 -
-throttle
–スループット/帯域幅の上限をキロバイト/秒単位で指定します(オプション)。例src_cluster::> snapmirror policy create -vserver vs0 -type continuous -rpo 0 -policy test-policy
-
-
ソースクラスタとデスティネーションクラスタの管理 SVM に CA 証明書をインストールします。
-
ソースクラスタで、destination_S3サーバ証明書に署名したCA証明書をインストールします。
security certificate install -type server-ca -vserver _src_admin_svm
-cert-name dest_server_certificate -
デスティネーションクラスタで、source_S3サーバ証明書に署名したCA証明書をインストールします。
security certificate install -type server-ca -vserver _dest_admin_svm
-cert-name src_server_certificate
[+]
外部の CA ベンダーが署名した証明書を使用している場合は、ソースとデスティネーションの管理 SVM に同じ証明書をインストールします。を参照してください
security certificate install
のマニュアルページを参照してください。
-
-
ソースSVMで、SnapMirror S3関係を作成します。
snapmirror create -source-path src_svm_name:/bucket/bucket_name -destination-path dest_peer_svm_name:/bucket/bucket_name, …} [-policy policy_name]
作成したポリシーを使用することも、デフォルトのポリシーをそのまま使用することもできます。
例src_cluster::> snapmirror create -source-path vs0:/bucket/test-bucket -destination-path vs1:/bucket/test-bucket-mirror -policy test-policy
-
ミラーリングがアクティブであることを確認します。
snapmirror show -policy-type continuous -fields status