ONTAP Compliance Clockを初期化する
変更を提案
PDF
SnapLockは、WORMファイルの保存期間を変更する可能性のある改ざんを防止するため、_volume Compliance Clock_を使用します。まず、SnapLockアグリゲートをホストする各ノードで_system ComplianceClock_を初期化する必要があります。
ONTAP 9.14.1以降では、SnapLockボリュームがない場合、またはSnapshotロックが有効になっているボリュームがない場合に、システムCompliance Clockを初期化または再初期化できます。再初期化機能により、システム管理者は、システムCompliance Clockが誤って初期化された場合にリセットしたり、システムのクロックドリフトを修正したりできます。ONTAP 9.13.1以前のリリースでは、ノード上でCompliance Clockを一度初期化すると、再度初期化することはできません。
コンプライアンス クロックを再初期化するには:
-
クラスタ内のすべてのノードが正常な状態になっている必要があります。
-
すべてのボリュームがオンラインになっている必要があります。
-
リカバリ キューにボリュームが存在してはいけません。
-
SnapLockボリュームが存在してはいけません。
-
Snapshot ロックが有効になっているボリュームは存在できません。
コンプライアンス クロックを初期化するための一般的な要件:
-
このタスクを実行するには、クラスタ管理者である必要があります。
システムCompliance Clockの時刻は_ボリュームCompliance Clock_に継承されます。ボリュームCompliance Clockは、ボリューム上のWORMファイルの保存期間を制御します。ボリュームCompliance Clockは、新しいSnapLockボリュームを作成すると自動的に初期化されます。
|
システム コンプライアンス クロックの初期設定は、現在のハードウェア システム クロックに基づきます。そのため、各ノードでシステム コンプライアンス クロックを初期化する前に、システム時間とタイムゾーンが正しいことを確認する必要があります。ノードでシステム コンプライアンス クロックを初期化したあとに、ロックが有効になっているSnapLockボリュームが存在する場合、再度初期化することはできません。 |
ONTAP CLIを使用してコンプライアンス クロックを初期化できます。また、ONTAP 9.12.1以降では、System Managerを使用してコンプライアンス クロックを初期化できます。
-
Cluster > Overview に移動します。
-
*ノード*セクションで、*SnapLock Complianceクロックの初期化*をクリックします。
-
コンプライアンス クロック 列を表示し、コンプライアンス クロックが初期化されていることを確認するには、クラスタ > 概要 > ノード セクションで、表示 / 非表示 をクリックし、SnapLock コンプライアンス クロック を選択します。
-
システム コンプライアンス クロックを初期化します。
snaplock compliance-clock initialize -node node_name次のコマンドは、 `node1`のシステムのコンプライアンス クロックを初期化します:
cluster1::> snaplock compliance-clock initialize -node node1
`snaplock compliance-clock initialize`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/snaplock-compliance-clock-initialize.html["ONTAPコマンド リファレンス"^]を参照してください。
-
確認のプロンプトで、システム クロックが正しいこととコンプライアンス クロックの初期化を実行することを確認します。
Warning: You are about to initialize the secure ComplianceClock of the node "node1" to the current value of the node's system clock. This procedure can be performed only once on a given node, so you should ensure that the system time is set correctly before proceeding. The current node's system clock is: Mon Apr 25 06:04:10 GMT 2016 Do you want to continue? (y|n): y
-
SnapLockアグリゲートをホストする各ノードについて、同じ手順を繰り返します。
NTPが設定されたシステムのコンプライアンス クロック再同期の有効化
NTP サーバーが構成されている場合、SnapLock コンプライアンス クロックの同期機能を有効にできます。
-
この機能は、advanced権限レベルでのみ使用できます。
-
このタスクを実行するには、クラスタ管理者である必要があります。
-
この機能は、Cloud Volumes ONTAP、ONTAP Select、およびVSIMのプラットフォームでのみ使用できます。
SnapLockのセキュア クロック デーモンがしきい値を超えるスキューを検出すると、システム時間を使用してシステムとボリュームの両方のコンプライアンス クロックがリセットされます。スキューのしきい値は24時間に設定されています。つまり、システム コンプライアンス クロックはスキューが1日を超えた場合にのみシステム クロックに同期されます。
スキューの検出とシステム時間へのコンプライアンス クロックの変更は、SnapLockのセキュア クロック デーモンによって行われます。コンプライアンス クロックはシステム時間がNTPの時間と同期されている場合しかシステム時間と同期されないため、システム時間を変更してコンプライアンス クロックをシステム時間に強制的に同期しようとしても失敗します。
-
NTP サーバーが構成されている場合は、SnapLock Compliance Clock 同期機能を有効にします:
snaplock compliance-clock ntp次のコマンドは、システムの Compliance Clock 同期機能を有効にします。
cluster1::*> snaplock compliance-clock ntp modify -is-sync-enabled true
`snaplock compliance-clock ntp modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/snaplock-compliance-clock-ntp-modify.html["ONTAPコマンド リファレンス"^]を参照してください。
-
確認のプロンプトで、設定されているNTPサーバが信頼できることと通信チャネルがセキュアであることを確認して機能を有効にします。
-
機能が有効になっていることを確認します。
snaplock compliance-clock ntp show次のコマンドは、システムの Compliance Clock 同期機能が有効になっているかどうかを確認します:
cluster1::*> snaplock compliance-clock ntp show Enable clock sync to NTP system time: true
`snaplock compliance-clock ntp show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/snaplock-compliance-clock-ntp-show.html["ONTAPコマンド リファレンス"^]を参照してください。