コンプライアンスクロックの初期化
変更を提案
PDF
SnapLockでは、_volumeコンプライアンスクロック_を使用して、改ざんによるWORMファイルの保持期間の変更を防止します。最初に、SnapLockアグリゲートをホストする各ノードで_system ComplianceClock_を初期化する必要があります。
ONTAP 9 14.1以降では、Snapshotコピーロックが有効になっているSnapLockボリュームがない場合やボリュームがない場合に、システムコンプライアンスクロックを初期化または再初期化できます。再初期化機能を使用すると、システム管理者は、システムコンプライアンスクロックが誤って初期化されたり、システムのクロックドリフトが修正されたりした場合に、システムコンプライアンスクロックをリセットできます。ONTAP 9 .13.1以前のリリースでは、ノードでコンプライアンスクロックを初期化すると、再度初期化することはできません。
コンプライアンスクロックを再初期化する手順は、次のとおりです。
-
クラスタ内のすべてのノードが正常な状態である必要があります。
-
すべてのボリュームがオンラインである必要があります。
-
どのボリュームもリカバリキューに含めることができません。
-
SnapLockボリュームが存在できません。
-
Snapshotコピーロックが有効になっているボリュームは存在できません。
コンプライアンスクロックを初期化するための一般的な要件:
-
このタスクを実行するには、クラスタ管理者である必要があります。
システムのコンプライアンスクロックの時間は_volumeコンプライアンスクロック_に継承され、ボリューム上のWORMファイルの保持期間はボリューム側で制御されます。ボリュームコンプライアンスクロックは、新しいSnapLockを作成すると自動的に初期化されます。
|
システムコンプライアンスクロックの初期設定は、現在のハードウェアシステムクロックに基づいています。そのため、各ノードでシステムコンプライアンスクロックを初期化する前に、システム時間とタイムゾーンが正しいことを確認する必要があります。ノードでシステムコンプライアンスクロックを初期化すると、ロックが有効なSnapLockボリュームまたはボリュームが存在する場合、再度初期化することはできません。 |
ONTAP CLIを使用してコンプライアンスクロックを初期化できます。ONTAP 9 12.1以降では、System Managerを使用してコンプライアンスクロックを初期化できます。
-
[Cluster]>[Overview]に移動します。
-
[ノード]セクションで、[Initialize SnapLock Compliance Clock*]をクリックします。
-
コンプライアンスクロック*列を表示してコンプライアンスクロックが初期化されたことを確認するには、[クラスタ]>[概要]>[ノード]*セクションで[表示/非表示]をクリックし、[ SnapLockコンプライアンスクロック]*を選択します。
-
システムコンプライアンスクロックを初期化します。
snaplock compliance-clock initialize -node node_name次のコマンドは、のシステムコンプライアンスクロックを初期化し `node1`ます。
cluster1::> snaplock compliance-clock initialize -node node1
-
プロンプトが表示されたら、システムクロックが正しいこと、およびコンプライアンスクロックを初期化することを確認します。
Warning: You are about to initialize the secure ComplianceClock of the node "node1" to the current value of the node's system clock. This procedure can be performed only once on a given node, so you should ensure that the system time is set correctly before proceeding. The current node's system clock is: Mon Apr 25 06:04:10 GMT 2016 Do you want to continue? (y|n): y
-
SnapLockアグリゲートをホストするノードごとに、この手順を繰り返します。
NTPが設定されたシステムでコンプライアンスクロックの再同期を有効にする
サーバが設定されている場合は、SnapLock Complianceクロック時間同期機能をイネーブルにできます。
-
この機能は、advanced権限レベルでのみ使用できます。
-
このタスクを実行するには、クラスタ管理者である必要があります。
-
この機能は、Cloud Volumes ONTAP、ONTAP Select、vsimの各プラットフォームでのみ使用できます。
SnapLockセキュアクロックデーモンがしきい値を超えたスキューを検出すると、ONTAPはシステム時間を使用してシステムクロックとボリュームコンプライアンスクロックの両方をリセットします。スキューしきい値として24時間の期間が設定されています。つまり、スキューが1日以上経過した場合にのみ、システムコンプライアンスクロックがシステムクロックに同期されます。
SnapLockセキュアクロックデーモンはスキューを検出し、コンプライアンスクロックをシステム時間に変更します。コンプライアンスクロックはシステム時間がNTP時間と同期されている場合にのみシステム時間と同期されるため、コンプライアンスクロックを強制的にシステム時間に変更しようとすると失敗します。
-
サーバが設定されている場合は、SnapLock Complianceクロック時刻同期機能をイネーブルにします。
snaplock compliance-clock ntp次のコマンドは、システムコンプライアンスクロック時間同期機能を有効にします。
cluster1::*> snaplock compliance-clock ntp modify -is-sync-enabled true
-
プロンプトが表示されたら、設定したNTPサーバが信頼できること、および通信チャネルがセキュアであることを確認して機能を有効にします。
-
機能が有効になっていることを確認します。
snaplock compliance-clock ntp show次のコマンドは、システムのコンプライアンス クロック時間同期機能が有効になっていることを確認します。
cluster1::*> snaplock compliance-clock ntp show Enable clock sync to NTP system time: true