Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

リモート クラスタ上の既存の ONTAP S3 バケットのミラー関係を作成します

共同作成者 netapp-aherbin netapp-aaron-holt netapp-forry netapp-lenida netapp-barbe netapp-manini netapp-dbagwell netapp-bhouser netapp-ahibbard
PDF

既存のS3バケットの保護は、たとえばONTAP 9.10.1よりも前のリリースからS3の設定をアップグレードした場合など、いつでも開始できます。

タスク概要

このタスクはソースとデスティネーションの両方のクラスタで実行する必要があります。

開始する前に

  • ONTAPのバージョン、ライセンス、S3サーバの設定に関する要件を満たしている必要があります。

  • ソースとデスティネーションのクラスタ間にピア関係が、ソースとデスティネーションのStorage VM間にピア関係がそれぞれ確立されている必要があります。

  • ソースとデスティネーションのVMのCA証明書が必要です。自己署名CA証明書または外部CAベンダーが署名した証明書を使用できます。

手順

ミラー関係は、System ManagerまたはONTAP CLIを使用して作成できます。

System Manager

  1. このStorage VMに対する最初のSnapMirror S3関係を作成する場合は、ソースとデスティネーションの両方のStorage VMに対するrootユーザのキーがあることを確認し、ない場合は再生成します。

    1. *ストレージ > ストレージVM*を選択し、ストレージVMを選択します。

    2. *設定*タブで、*S3*タイルの編集アイコンをクリックします。

    3. *ユーザー*タブで、rootユーザーのアクセスキーがあることを確認します。

    4. ない場合は、root の横にある メニューオプションアイコン をクリックし、*キーの再生成*をクリックします。すでにキーが存在する場合は、キーを再生成しないでください。

  2. 既存のユーザーとグループがソースとターゲットの両方のストレージVMに存在し、適切なアクセス権を持っていることを確認します。*ストレージ > ストレージVM*を選択し、ストレージVMを選択して*設定*タブを開きます。最後に*S3*タイルを見つけて編集アイコンを選択し、*ユーザー*タブ、*グループ*タブの順に選択して、ユーザーとグループのアクセス設定を表示します。

    詳細については、"S3のユーザとグループの追加"を参照してください。

  3. ソースクラスタで、既存のものがなくデフォルトポリシーを使用したくない場合は、SnapMirror S3ポリシーを作成してください:

    1. *Protection > Overview*を選択し、*Local Policy Settings*をクリックします。

    2. *保護ポリシー*の横にある矢印アイコンを選択し、*追加*をクリックします。

    3. ポリシーの名前と説明を入力します。

    4. ポリシーの対象として、クラスタとSVMのいずれかを選択します。

    5. SnapMirror S3 関係には 継続 を選択します。

    6. *Throttle*と*Recovery Point Objective*の値を入力します。

  4. 既存のバケットのバケット アクセス ポリシーが引き続き要件を満たしていることを確認します。

    1. Storage > Buckets をクリックし、保護するバケットを選択します。

    2. *権限*タブで、編集アイコン*編集*をクリックし、*権限*の下の*追加*をクリックします。

      • Principal と Effect:ユーザーグループの設定に対応する値を選択するか、デフォルトを受け入れます。

      • Actions:次の値が表示されていることを確認します:

        GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts

      • Resources:デフォルト値 `(bucketname, bucketname/*)`または必要なその他の値を使用します。

        これらのフィールドの詳細については、"バケットへのユーザ アクセスの管理"を参照してください。

  5. SnapMirror S3保護を使用して既存のバケットを保護します。

    1. ストレージ > バケット をクリックし、保護するバケットを選択します。

    2. *Protect*をクリックし、次の値を入力します:

      • デスティネーション

        • TARGET:ONTAPシステム

        • CLUSTER:リモート クラスターを選択します。

        • STORAGE VM:リモートクラスタ上のストレージVMを選択します。

        • S3 SERVER CA CERTIFICATEsource 証明書の内容をコピーして貼り付けます。

      • ソース

        • S3 SERVER CA CERTIFICATE:_宛先_証明書の内容をコピーして貼り付けます。

  6. 外部 CA ベンダーによって署名された証明書を使用している場合は、* 宛先で同じ証明書を使用する * をオンにします。

  7. *宛先設定*をクリックすると、バケット名、容量、パフォーマンスサービスレベルのデフォルトの代わりに独自の値を入力することもできます。

  8. *保存*をクリックします。既存のバケットが、宛先ストレージVMの新しいバケットにミラーリングされます。

ロックされたバケットのバックアップ

ONTAP 9.14.1以降では、ロックされたS3バケットをバックアップし、必要に応じてリストアできます。

新規または既存のバケットの保護設定を定義する際に、ソース クラスタとデスティネーション クラスタがONTAP 9.14.1以降を実行し、ソース バケットでオブジェクト ロックが有効になっている場合、デスティネーション バケットでオブジェクト ロックを有効にできます。ソース バケットのオブジェクト ロック モードとロック保持期間は、デスティネーション バケットにレプリケートされたオブジェクトに適用されます。また、*デスティネーション設定*セクションで、デスティネーション バケットに異なるロック保持期間を定義することもできます。この保持期間は、ソース バケットとS3インターフェースからレプリケートされた、ロックされていないオブジェクトにも適用されます。

バケットでオブジェクト ロックを有効にする方法については、"バケットの作成"を参照してください。

CLI

  1. このSVMに対する最初のSnapMirror S3関係の場合、ソースSVMとデスティネーションSVMの両方にルートユーザーキーが存在することを確認し、存在しない場合は再生成してください:
    vserver object-store-server user show + ルートユーザーのアクセスキーが存在することを確認してください。存在しない場合は、以下を入力してください:
    vserver object-store-server user regenerate-keys -vserver svm_name -user root + キーが既に存在する場合は再生成しないでください。

  2. デスティネーションSVMにミラー ターゲットにするバケットを作成します。

    vserver object-store-server bucket create -vserver svm_name -bucket dest_bucket_name [-size integer[KB|MB|GB|TB|PB]] [-comment text] [additional_options]

  3. ソースとデスティネーションの両方のSVMで、デフォルトのバケット ポリシーのアクセス ルールが正しいことを確認します。

    vserver object-store-server bucket policy add-statement -vserver svm_name -bucket bucket_name -effect {allow|deny} -action object_store_actions -principal user_and_group_names -resource object_store_resources [-sid text] [-index integer]

    src_cluster::> vserver object-store-server bucket policy add-statement -bucket test-bucket -effect allow -action GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl,ListBucketMultipartUploads,ListMultipartUploadParts -principal - -resource test-bucket, test-bucket /*

  4. ソースSVMで、既存のものがなくデフォルトポリシーを使用したくない場合は、SnapMirror S3ポリシーを作成してください:

    snapmirror policy create -vserver svm_name -policy policy_name -type continuous [-rpo integer] [-throttle throttle_type] [-comment text] [additional_options]

    パラメータ:

    • continuous – SnapMirror S3 関係の唯一のポリシータイプ(必須)。

    • -rpo – 回復ポイント目標の時間を秒単位で指定します(オプション)。

    • -throttle – スループット/帯域幅の上限をキロバイト/秒単位で指定します(オプション)。

      src_cluster::> snapmirror policy create -vserver vs0 -type continuous -rpo 0 -policy test-policy

  5. ソースとデスティネーションのクラスタの管理SVMに、CA証明書をインストールします。

    1. ソース クラスタで、デスティネーション S3サーバ証明書に署名したCA証明書をインストールします:
      security certificate install -type server-ca -vserver src_admin_svm -cert-name dest_server_certificate

    2. デスティネーション クラスタに、ソース S3サーバ証明書に署名したCA証明書をインストールします:
      security certificate install -type server-ca -vserver dest_admin_svm -cert-name src_server_certificate + 外部CAベンダーによって署名された証明書を使用している場合は、ソースおよびデスティネーションの管理SVMに同じ証明書をインストールします。

      `security certificate install`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-certificate-install.html["ONTAPコマンド リファレンス"^]をご覧ください。

  6. ソース SVM で、SnapMirror S3 関係を作成します:

    snapmirror create -source-path src_svm_name:/bucket/bucket_name -destination-path dest_peer_svm_name:/bucket/bucket_name, …​} [-policy policy_name]

    作成したポリシーを使用することも、デフォルトのポリシーをそのまま使用することもできます。

    src_cluster::> snapmirror create -source-path vs0:/bucket/test-bucket -destination-path vs1:/bucket/test-bucket-mirror -policy test-policy

  7. ミラーリングがアクティブであることを確認します:
    snapmirror show -policy-type continuous -fields status

関連情報