ONTAP SnapMirror S3の詳細
変更を提案
PDF
ONTAP 9 .10.1以降では、SnapMirrorのミラーリングとバックアップの機能を使用してONTAP S3オブジェクトストアのバケットを保護できます。標準のSnapMirrorとは異なり、SnapMirror S3では、AWS S3などのNetApp以外のデスティネーションへのミラーリングとバックアップが可能です。
SnapMirror S3では、ONTAP S3バケットから次のデスティネーションへのアクティブなミラー階層とバックアップ階層がサポートされます。
| ターゲット | アクティブなミラーとテイクオーバーのサポート | バックアップとリストアのサポート |
|---|---|---|
ONTAP S3
|
〇 |
〇 |
StorageGRID |
いいえ |
〇 |
AWS S3 |
いいえ |
〇 |
Cloud Volumes ONTAP for Azure |
〇 |
〇 |
Cloud Volumes ONTAP for AWS |
〇 |
〇 |
Cloud Volumes ONTAP for Google Cloud |
〇 |
〇 |
ONTAP S3サーバ上の既存のバケットを保護することも、新しく作成したバケットですぐにデータ保護を有効にすることもできます。
SnapMirror S3の要件
-
ONTAPのバージョン
ソースクラスタとデスティネーションクラスタでONTAP 9 .10.1以降が実行されている必要があります。
SnapMirror S3はMetroCluster構成ではサポートされません。 -
ライセンス
のアクセスを提供するには、ONTAPソースシステムとデスティネーションシステムに次のライセンスがソフトウェアスイートに含まれている"ONTAP One"必要があります。
-
ONTAP S3プロトコルとストレージ
-
他のNetAppオブジェクトストアターゲット(ONTAP S3、StorageGRID、Cloud Volumes ONTAP)をターゲットにするためのSnapMirror S3
-
AWS S3などのサードパーティのオブジェクトストアをターゲットとするSnapMirror S3(で使用可能"ONTAP One互換バンドル")
-
クラスタでONTAP 9.10.1が実行されている場合は、が"FabricPool ライセンス"必要です。
-
-
ONTAP S3
-
ONTAP S3サーバでソースとデスティネーションのSVMが実行されている必要があります。
-
TLSアクセス用のCA証明書をS3サーバをホストするシステムにインストールすることを推奨しますが、必須ではありません。
-
S3サーバの証明書への署名に使用したCA証明書が、S3サーバをホストするクラスタの管理Storage VMにインストールされている必要があります。
-
自己署名CA証明書または外部CAベンダーが署名した証明書を使用できます。
-
ソースまたはデスティネーションのStorage VMがHTTPSをリスンしていない場合は、CA証明書をインストールする必要はありません。
-
-
-
ピアリング(ONTAP S3ターゲット用)
-
クラスタ間LIFが設定されている(リモートONTAPターゲット用)必要があり、ソースクラスタとデスティネーションクラスタのクラスタ間LIFが、ソースとデスティネーションのS3サーバのデータLIFに接続できるようになります。
-
ソースクラスタとデスティネーションクラスタがピア関係にある(リモートONTAPターゲットの場合)。
-
ソースとデスティネーションのStorage VMがピア関係にある(すべてのONTAPターゲットに対して)。
-
-
SnapMirrorポリシー
-
すべてのSnapMirror S3関係にS3固有のSnapMirrorポリシーが必要ですが、複数の関係に同じポリシーを使用できます。
-
独自のポリシーを作成するか、次の値を含むデフォルトの * Continuous * ポリシーをそのまま使用できます。
-
Throttle(スループット/帯域幅の上限)-無制限。
-
目標復旧時点までの時間: 1 時間( 3600 秒)
-
-
|
|
2つのS3バケットがSnapMirror関係にある場合、オブジェクトの現在のバージョンが期限切れになる(削除される)ようにライフサイクルポリシーが設定されていると、同じ処理がパートナーバケットにレプリケートされることに注意してください。これは、パートナーバケットが読み取り専用またはパッシブの場合でも同様です。 |
-
rootユーザキーSnapMirror S3関係にはStorage VMのrootユーザアクセスキーが必要です。ONTAPではデフォルトで割り当てられません。SnapMirror S3関係を初めて作成する際は、ソースとターゲットの両方のストレージVMにキーが存在することを確認し、存在しない場合は再生成する必要があります。再生成が必要な場合は、アクセスキーとシークレットキーのペアを使用するすべてのクライアントとすべてのSnapMirrorオブジェクトストア設定が新しいキーに更新されていることを確認する必要があります。
S3サーバの設定については、次のトピックを参照してください。
クラスタとStorage VMのピアリングについては、次のトピックを参照してください。
サポートされるSnapMirror関係
SnapMirror S3は、ファンアウト関係とカスケード関係をサポートしています。概要については、 "ファンアウト構成およびカスケード構成のデータ保護" 。
SnapMirror S3は、ファンイン環境(複数のソースバケットと1つのデスティネーションバケット間のデータ保護関係)をサポートしていません。SnapMirror S3では、複数のクラスタから単一のセカンダリクラスタへの複数のバケットミラーをサポートできますが、各ソースバケットにセカンダリクラスタ上の専用のデスティネーションバケットが必要です。
SnapMirror S3はMetroCluster環境ではサポートされていません。
S3バケットへのアクセスを制御
新しいバケットを作成するときに、ユーザとグループを作成してアクセスを制御できます。
SnapMirror S3はソースバケットからデスティネーションバケットにオブジェクトをレプリケートしますが、ユーザ、グループ、およびポリシーをソースオブジェクトストアからデスティネーションオブジェクトストアにレプリケートすることはありません。
フェイルオーバー時にクライアントがデスティネーションバケットにアクセスできるように、デスティネーションオブジェクトストアでユーザ、グループポリシー、権限などのコンポーネントを設定する必要があります。
ユーザがデスティネーションクラスタで作成されたときにソースキーを手動で指定していれば、ソースユーザとデスティネーションユーザで同じアクセスキーとシークレットキーを使用できます。例:
vserver object-store-server user create -vserver svm1 -user user1 -access-key "20-characters" -secret-key "40-characters"
詳細については、次のトピックを参照してください。
SnapMirror S3でS3オブジェクトのロックとバージョン管理を使用
オブジェクトロックおよびバージョン管理が有効なONTAPバケットではSnapMirror S3を使用できますが、次の点を考慮する必要があります。
-
オブジェクトロックが有効なソースバケットをレプリケートするには、デスティネーションバケットでもオブジェクトロックが有効になっている必要があります。また、ソースとデスティネーションの両方でバージョン管理を有効にする必要があります。これにより、両方のバケットでデフォルトの保持ポリシーが異なる場合にデスティネーションバケットに削除がミラーリングされる問題を回避できます。
-
S3 SnapMirrorでは、オブジェクトの履歴バージョンはレプリケートされません。オブジェクトの現在のバージョンのみがレプリケートされます。
Object Lockedオブジェクトがデスティネーションバケットにミラーリングされると、元の保持期限が維持されます。ロック解除されたオブジェクトがレプリケートされた場合、デスティネーションバケットのデフォルトの保持期間が適用されます。例:
-
バケットAのデフォルトの保持期間は30日、バケットBのデフォルトの保持期間は60日です。バケットAからバケットBにレプリケートされたオブジェクトは、デフォルトの保持期間であるバケットBよりも短い場合でも、30日間の保持期間が維持されます。
-
バケットAにはデフォルトの保持期間はなく、バケットBにはデフォルトの保持期間が60日です。ロック解除されたオブジェクトがバケットAからバケットBにレプリケートされると、60日間の保持期間が適用されます。バケットAでオブジェクトが手動でロックされている場合、バケットBにレプリケートされても元の保持期間が維持されます。
-
バケットAのデフォルトの保持期間は30日ですが、バケットBにはデフォルトの保持期間はありません。バケットAからバケットBにレプリケートされたオブジェクトは30日間の保持期間が維持されます。