ONTAP Compliance Clockを初期化する
変更を提案
PDF
SnapLockは、WORMファイルの保存期間を変更する可能性のある改ざんを防止するため、_volume Compliance Clock_を使用します。まず、SnapLockアグリゲートをホストする各ノードで_system ComplianceClock_を初期化する必要があります。
ONTAP 9.14.1以降では、SnapLockボリュームがない場合、またはSnapshotロックが有効になっているボリュームがない場合に、システムCompliance Clockを初期化または再初期化できます。再初期化機能により、システム管理者は、システムCompliance Clockが正しく初期化されていない場合や、システムのクロックドリフトを修正する必要がある場合に、システムCompliance Clockをリセットできます。ONTAP 9.13.1以前のリリースでは、ノードでCompliance Clockを初期化すると、再度初期化することはできません。
コンプライアンス クロックを再初期化するには:
-
クラスタ内のすべてのノードが正常な状態になっている必要があります。
-
すべてのボリュームがオンラインになっている必要があります。
-
リカバリキューにボリュームが存在していないこと。
-
SnapLockボリュームが存在してはいけません。
-
Snapshot ロックが有効になっているボリュームは存在できません。
コンプライアンス クロックを初期化するための一般的な要件:
-
このタスクを実行するには、クラスタ管理者である必要があります。
システムCompliance Clockの時刻は_ボリュームCompliance Clock_に継承されます。ボリュームCompliance Clockは、ボリューム上のWORMファイルの保存期間を制御します。ボリュームCompliance Clockは、新しいSnapLockボリュームを作成すると自動的に初期化されます。
|
システムコンプライアンスクロックの初期設定は、現在のハードウェアシステムクロックに基づいています。そのため、各ノードでシステムコンプライアンスクロックを初期化する前に、システム時刻とタイムゾーンが正しいことを確認する必要があります。ノードでシステムコンプライアンスクロックを初期化した後、SnapLockボリュームまたはロックが有効になっているボリュームが存在する場合は、再度初期化することはできません。 |
ONTAP CLIを使用してコンプライアンス クロックを初期化できます。また、ONTAP 9.12.1以降では、System Managerを使用してコンプライアンス クロックを初期化できます。
-
Cluster > Overview に移動します。
-
*Nodes*セクションで、*Initialize SnapLock Compliance Clock*を選択します。
-
*コンプライアンスクロック*列を表示し、コンプライアンスクロックが初期化されていることを確認するには、*クラスタ > 概要 > ノード*セクションで、*表示/非表示*を選択し、*SnapLock Compliance Clock*を選択します。
-
システム コンプライアンス クロックを初期化します。
snaplock compliance-clock initialize -node node_name次のコマンドは、 `node1`のシステムのコンプライアンス クロックを初期化します:
cluster1::> snaplock compliance-clock initialize -node node1
`snaplock compliance-clock initialize`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/snaplock-compliance-clock-initialize.html["ONTAPコマンド リファレンス"^]を参照してください。
-
確認のプロンプトで、システム クロックが正しいこととコンプライアンス クロックの初期化を実行することを確認します。
Warning: You are about to initialize the secure ComplianceClock of the node "node1" to the current value of the node's system clock. This procedure can be performed only once on a given node, so you should ensure that the system time is set correctly before proceeding. The current node's system clock is: Mon Apr 25 06:04:10 GMT 2016 Do you want to continue? (y|n): y
-
SnapLockアグリゲートをホストする各ノードについて、同じ手順を繰り返します。
NTPが設定されたシステムのコンプライアンス クロック再同期の有効化
NTP サーバーが構成されている場合、SnapLock コンプライアンス クロックの同期機能を有効にできます。
-
この機能は、advanced権限レベルでのみ使用できます。
-
このタスクを実行するには、クラスタ管理者である必要があります。
-
この機能は、Cloud Volumes ONTAP、ONTAP Select、およびVSIMのプラットフォームでのみ使用できます。
SnapLockセキュアクロックデーモンがしきい値を超えるスキューを検出すると、ONTAPはシステム時刻を使用して、システムおよびボリュームのComplianceクロックの両方をリセットします。24時間の期間がスキューしきい値として設定されます。システムComplianceクロックは、スキューが1日以上経過している場合にのみ、システムクロックと同期します。
SnapLockセキュアクロックデーモンは、クロックのずれを検出し、コンプライアンスクロックをシステム時刻に変更します。システム時刻を変更してコンプライアンスクロックをシステム時刻に同期させようとする試みはすべて失敗します。なぜなら、コンプライアンスクロックは、システム時刻がNTP時刻と同期している場合にのみシステム時刻に同期するからです。
-
NTP サーバーが構成されている場合は、SnapLock Compliance Clock 同期機能を有効にします:
snaplock compliance-clock ntp次のコマンドは、システムの Compliance Clock 同期機能を有効にします。
cluster1::*> snaplock compliance-clock ntp modify -is-sync-enabled true
`snaplock compliance-clock ntp modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/snaplock-compliance-clock-ntp-modify.html["ONTAPコマンド リファレンス"^]を参照してください。
-
確認のプロンプトで、設定されているNTPサーバが信頼できることと通信チャネルがセキュアであることを確認して機能を有効にします。
-
機能が有効になっていることを確認します。
snaplock compliance-clock ntp show次のコマンドは、システムの Compliance Clock 同期機能が有効になっているかどうかを確認します:
cluster1::*> snaplock compliance-clock ntp show Enable clock sync to NTP system time: true
`snaplock compliance-clock ntp show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/snaplock-compliance-clock-ntp-show.html["ONTAPコマンド リファレンス"^]を参照してください。