본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

클라우드 백업 정책 구성 설정

기여자

이 문서에서는 Cloud Backup Service를 사용할 때 사내 ONTAP 시스템 및 Cloud Volumes ONTAP 시스템에 대한 백업 정책 구성 설정에 대해 설명합니다.

백업 스케줄

Cloud Backup을 사용하면 각 작업 환경(클러스터)에 대해 고유한 스케줄로 여러 백업 정책을 생성할 수 있습니다. RPO(복구 시점 목표)가 다른 볼륨에 서로 다른 백업 정책을 할당할 수 있습니다.

각 백업 정책은 백업 파일에 적용할 수 있는 Labels & Retention 섹션을 제공합니다.

백업 정책을 생성할 때의 백업 일정 설정 스크린샷

스케줄에는 Label 및 Retention 값의 두 가지 부분이 있습니다.

  • 레이블 * 은 볼륨에서 백업 파일이 생성(또는 업데이트)되는 빈도를 정의합니다. 다음 유형의 라벨 중에서 선택할 수 있습니다.

    • hourly *, * daily *, * weekly *, * monthly *, * monthly *, * monthly *, * hourly * 중 하나 또는 그 조합을 선택할 수 있습니다. 및 * 연간 * 기간.

    • 3개월, 1년 또는 7년 동안 백업 및 보존을 제공하는 시스템 정의 정책 중 하나를 선택할 수 있습니다.

    • ONTAP System Manager 또는 ONTAP CLI를 사용하여 클러스터에서 맞춤형 백업 보호 정책을 생성한 경우 해당 정책 중 하나를 선택할 수 있습니다.

  • retention * 값은 각 레이블(기간)의 백업 파일 수를 정의합니다. 범주 또는 간격에서 최대 백업 수에 도달하면 오래된 백업이 제거되므로 항상 최신 백업이 유지됩니다. 또한, 폐기된 백업이 클라우드에서 공간을 차지하지 않기 때문에 스토리지 비용이 절감됩니다.

예를 들어 7 * weekly * 및 12 * monthly * 백업을 생성하는 백업 정책을 생성한다고 가정해 보겠습니다.

  • 매주 및 매월 볼륨에 대한 백업 파일이 생성됩니다

  • 8번째 주에 첫 번째 주별 백업이 제거되고 8번째 주에 대한 새 주별 백업이 추가됩니다(최대 7개의 주별 백업 유지).

  • 13번째 달에는 첫 번째 월별 백업이 제거되고 13번째 달의 새 월별 백업이 추가됩니다(최대 12개의 월별 백업 유지).

연간 백업은 객체 스토리지로 전송된 후 소스 시스템에서 자동으로 삭제됩니다. 이 기본 동작은 변경할 수 있습니다 "고급 설정 페이지에서 선택합니다" 작업 환경을 위한

DataLock 및 랜섬웨어 보호

Cloud Backup은 볼륨 백업을 위한 DataLock 및 랜섬웨어 보호를 지원합니다. 이러한 기능을 사용하여 백업 파일을 잠그고 검색하여 백업 파일에서 잠재적인 랜섬웨어를 감지할 수 있습니다. 이 설정은 클러스터에 대한 볼륨 백업에 대한 추가 보호를 원할 때 백업 정책에 정의할 수 있는 선택적 설정입니다.

이 두 기능 모두 백업 파일을 보호하므로 소스 데이터에 대한 랜섬웨어 공격의 경우 언제든지 유효한 백업 파일을 사용하여 데이터를 복구할 수 있습니다. 백업을 일정 기간 동안 잠그고 유지해야 하는 특정 규정 요구 사항을 충족하는 것도 도움이 됩니다. DataLock 및 랜섬웨어 보호가 활성화되면 Cloud Backup 활성화에 따라 프로비저닝되는 클라우드 버킷에서 오브젝트 잠금 및 오브젝트 버전 관리가 활성화됩니다.

이 기능은 소스 볼륨에 대한 보호 기능을 제공하지 않으며 해당 소스 볼륨의 백업에만 사용됩니다. NetApp 사용 "Cloud Insights and Cloud Secure를 참조하십시오"또는 일부 를 누릅니다 "ONTAP에서 제공하는 랜섬웨어 방지 보호" 소스 볼륨을 보호합니다.

주의
  • DataLock 및 랜섬웨어 보호를 사용하려는 경우 첫 번째 백업 정책을 생성하고 해당 클러스터에 대한 Cloud Backup을 활성화할 때 활성화해야 합니다.

  • DataLock 및 랜섬웨어 보호는 구성된 후에는 클러스터에 대해 비활성화할 수 없습니다. 클러스터에서 이 기능을 활성화하지 마십시오.

DataLock이란 무엇입니까

DataLock은 백업 파일이 특정 기간 동안 수정 또는 삭제되지 않도록 보호합니다. 이 기능은 오브젝트 스토리지 공급자의 기술을 '오브젝트 잠금’에 사용합니다. 백업 파일이 잠기고 유지되는 기간을 DataLock 보존 기간이라고 합니다. 이 값은 사용자가 정의한 백업 정책 스케줄 및 보존 설정과 14일 버퍼를 기반으로 합니다. 30일 미만의 모든 DataLock 보존 정책은 최소 30일로 반올림됩니다.

이전 백업은 백업 정책 보존 기간이 만료된 후가 아니라 DataLock 보존 기간이 만료된 후에 삭제됩니다.

이 작동 방식에 대한 몇 가지 예를 살펴보겠습니다.

  • 12개의 보존 기간을 사용하여 월별 백업 스케줄을 생성하는 경우 각 백업은 삭제하기 전에 12개월(14일 추가) 동안 잠깁니다.

  • 매일 30회, 매주 7회, 12회 월별 백업을 생성하는 백업 정책을 생성하는 경우 3회의 잠금 보존 기간이 있습니다. "30일" 백업은 44일(30일 + 14일 버퍼) 동안 유지되고 "7주" 백업은 9주(7주 + 14일) 동안 보존되며 "12개월" 백업은 12개월(14일 추가)동안 보존됩니다.

  • 24개의 보존 기간을 사용하여 시간별 백업 일정을 생성하는 경우 백업이 24시간 동안 잠겨 있다고 생각할 수 있습니다. 그러나 이 기간이 최소 30일 미만이므로 각 백업은 44일(30일 + 14일 버퍼) 동안 잠기고 보존됩니다.

    이 마지막 사례에서는 각 백업 파일이 44일 동안 잠겨 있는 경우, 일반적으로 1시간/24시간 보존 정책으로 보존되는 것보다 더 많은 백업 파일이 포함됩니다. 일반적으로 Cloud Backup은 25번째 백업 파일을 생성할 때 가장 오래된 백업을 삭제하여 최대 보존 한도를 24로 유지합니다(정책에 따라). DataLock 보존 설정은 이 경우 백업 정책의 정책 보존 설정을 재정의합니다. 이 경우 백업 파일이 개체 저장소에 장기간 저장되므로 스토리지 비용이 영향을 받을 수 있습니다.

랜섬웨어 보호란 무엇입니까

랜섬웨어 차단 기능은 백업 파일을 검사하여 랜섬웨어 공격의 증거를 찾습니다. 랜섬웨어 공격 탐지 작업은 체크섬 비교를 통해 수행됩니다. 잠재적인 랜섬웨어가 백업 파일에서 이전 백업 파일과 비교하여 식별되면, 최신 백업 파일이 랜섬웨어 공격의 징후를 보이지 않는 최신 백업 파일로 대체됩니다. (랜섬웨어 공격이 발생한 것으로 확인된 파일은 교체후 1일 후에 삭제됩니다.)

랜섬웨어 스캔은 백업 및 복원 프로세스의 3지점에서 수행됩니다.

  • 백업 파일이 생성된 경우

    클라우드 스토리지에 처음 기록될 때는 백업 파일에 대해 검사가 수행되지 않지만 * next * 백업 파일이 기록될 때는 검사가 수행됩니다. 예를 들어 화요일의 주별 백업 스케줄이 설정되어 있는 경우 14일 화요일에 백업이 생성됩니다. 그리고 화요일에 또 다른 백업이 생성됩니다. 랜섬웨어 스캔은 현재 14번째 백업 파일에서 실행됩니다.

  • 백업 파일에서 데이터를 복원하려고 할 때

    백업 파일에서 데이터를 복원하기 전에 스캔을 실행하도록 선택하거나 이 검사를 건너뛸 수 있습니다.

  • 수동

    언제든지 온디맨드로 랜섬웨어 보호 스캔을 실행하여 특정 백업 파일의 상태를 확인할 수 있습니다. 이 기능은 특정 볼륨의 랜섬웨어 문제가 발생한 경우 해당 볼륨의 백업이 영향을 받지 않는지 확인하려는 경우에 유용합니다.

주의 랜섬웨어 스캔을 수행하려면 백업 파일을 BlueXP 환경(Connector가 설치된 환경)에 다운로드해야 합니다. 따라서 Connector를 사내에 구축한 경우 클라우드 공급자로부터 추가 송신 비용이 발생할 수 있습니다. 따라서 Connector를 클라우드에 구축하고 백업이 저장되는 버킷과 동일한 영역에 두는 것이 좋습니다.

DataLock 및 랜섬웨어 보호 설정

각 백업 정책은 백업 파일에 적용할 수 있는 DataLock 및 랜섬웨어 방지 섹션을 제공합니다.

백업 정책을 생성할 때의 DataLock 및 랜섬웨어 보호 설정 스크린샷

각 백업 정책에 대해 다음 설정 중에서 선택할 수 있습니다.

  • 없음(기본값)

    DataLock 보호 및 랜섬웨어 보호가 비활성화됩니다.

  • 거버넌스(StorageGRID에서는 사용할 수 없음)

    DataLock은 특정 권한이 있는 사용자("아래를 참조하십시오")는 보존 기간 동안 백업 파일을 덮어쓰거나 삭제할 수 있습니다. 랜섬웨어 보호가 활성화됩니다.

  • 규정 준수

    DataLock은 보존 기간 동안 사용자가 백업 파일을 덮어쓰거나 삭제할 수 없는 _Compliance_mode로 설정됩니다. 랜섬웨어 보호가 활성화됩니다.

참고 StorageGRID S3 오브젝트 잠금 기능은 규정 준수 모드에 해당하는 단일 데이터 잠금 모드를 제공합니다. 동일한 거버넌스 모드는 지원되지 않으므로 사용자는 보존 설정을 무시하거나, 보호된 백업을 덮어쓰거나, 잠긴 백업을 삭제할 수 없습니다.

지원되는 작업 환경 및 오브젝트 스토리지 공급자

다음 퍼블릭 및 프라이빗 클라우드 공급자가 오브젝트 스토리지를 사용하는 경우, 다음과 같은 작업 환경에서 ONTAP 볼륨의 DataLock 및 랜섬웨어 보호를 활성화할 수 있습니다. 향후 릴리즈에서는 클라우드 공급자를 더 추가할 예정입니다.

소스 작업 환경 백업 파일 대상 ifdef::AWS[]

AWS의 Cloud Volumes ONTAP

Amazon S3 endif::AWS [] ifdef::Azure []endif::Azure []ifdef::GCP[]endif::GCP[]

사내 ONTAP 시스템

ifdef::AWS[]Amazon S3 endif::AWS[]ifdef::Azure[]endif::Azure[]ifdef::GCP[]endif::GCP[]NetApp StorageGRID

요구 사항

  • 클러스터는 ONTAP 9.11.1 이상을 실행해야 합니다

  • BlueXP 3.9.21 이상을 사용해야 합니다

  • AWS의 경우:

    • Connector는 클라우드에 배포해야 합니다

    • 다음 S3 권한은 Connector에 권한을 제공하는 IAM 역할의 일부여야 합니다. 이러한 리소스는 리소스 "arn:AWS:S3::NetApp-backup- *"의 "backupS3Policy" 섹션에 있습니다.

      • S3:GetObjectVersionTagging

      • S3:GetBuckketObjectLockConfiguration

      • S3:GetObjectVersionAcl

      • S3:PutObjectTagging

      • S3:DeleteObject 를 선택합니다

      • S3:삭제 ObjectTagging

      • S3:GetObjectRetention

      • S3:DeleteObjectVersionTagging

      • S3:PutObject

      • S3:GetObject

      • S3:PutBucketObjectLockConfiguration

      • S3:GetLifecycleConfiguration

      • S3:ListBucketByTags

      • S3:GetBucketTagging

      • S3:DeleteObjectVersion

      • S3:목록 BuckketVersions

      • S3:목록 버킷

      • S3: PutBucketTagging

      • S3:GetObjectTagging

      • S3: PutBucketVersioning

      • S3:PutObjectVersionTagging

      • S3:GetBucketVersioning

      • S3:GetBuckketAcl

      • S3:BypassGovernanceRetention

      • S3:PutObjectRetention

      • S3:GetBucketLocation

      • S3:GetObjectVersion

        "S3:BypassGovernanceRetention"은 관리 사용자가 Governance 모드를 사용하여 잠긴 백업 파일을 덮어쓰거나 삭제할 수 있도록 하려는 경우에만 추가해야 합니다.

  • StorageGRID의 경우:

    • Connector를 사내에 구축해야 합니다(인터넷 접속 유무에 관계없이 사이트에 설치할 수 있음).

    • DataLock 기능을 완벽하게 지원하려면 StorageGRID 11.6.0.3 이상이 필요합니다

제한 사항

  • 백업 정책에 아카이브 스토리지를 구성한 경우 DataLock 및 랜섬웨어 보호를 사용할 수 없습니다.

  • Cloud Backup을 활성화할 때 선택한 DataLock 옵션(Governance 또는 Compliance)은 해당 클러스터의 모든 백업 정책에 사용해야 합니다. 단일 클러스터에서는 거버넌스 및 규정 준수 모드 잠금을 모두 사용할 수 없습니다.

  • DataLock을 활성화하면 모든 볼륨 백업이 잠깁니다. 단일 클러스터에 대해 잠긴 볼륨 백업과 잠기지 않은 볼륨 백업을 혼합하여 사용할 수 없습니다.

  • DataLock 및 랜섬웨어 보호는 DataLock 및 랜섬웨어 보호가 활성화된 백업 정책을 사용하여 새 볼륨 백업에 적용됩니다. Cloud Backup을 활성화한 후에는 이 기능을 활성화할 수 없습니다.

보관 저장 설정

특정 클라우드 스토리지를 사용할 경우 특정 기간 동안 오래된 백업 파일을 보다 저렴한 스토리지 클래스/액세스 계층으로 이동할 수 있습니다. DataLock을 설정한 경우에는 아카이브 스토리지를 사용할 수 없습니다.

아카이브 계층의 데이터는 필요할 때 즉시 액세스할 수 없으며 검색 비용이 더 많이 소요되므로 아카이빙된 백업 파일에서 데이터를 복원해야 하는 빈도를 고려해야 합니다.

AWS 또는 Azure에서 백업 파일을 생성할 때 각 백업 정책은 백업 파일에 적용할 수 있는 _Archival Policy_에 대한 섹션을 제공합니다.

백업 정책을 생성할 때의 아카이브 정책 설정 스크린샷

  • AWS에서는 백업이 _Standard_storage 클래스에서 시작되고 30일 후에 _Standard - Infrequent Access_storage 클래스로 전환됩니다.

    클러스터에서 ONTAP 9.10.1 이상을 사용하는 경우 추가 비용 최적화를 위해 일정 일 후에 이전 백업을 _S3 Glacier_또는 _S3 Glacier Deep Archive_storage에 계층화하도록 선택할 수 있습니다. "AWS 아카이브 스토리지에 대해 자세히 알아보십시오".

    Cloud Backup을 활성화할 때 첫 번째 백업 정책에서 _S3 Glacier_또는 _S3 Glacier Deep Archive_를 선택한 경우 해당 계층은 해당 클러스터에 대한 향후 백업 정책에 사용할 수 있는 유일한 아카이브 계층이 됩니다. 첫 번째 백업 정책에서 아카이브 계층을 선택하지 않으면 _S3 Glacier_는 이후 정책에 대한 유일한 보관 옵션입니다.

  • Azure에서 백업은 _Cool_access 계층과 연결됩니다.

    클러스터에서 ONTAP 9.10.1 이상을 사용하는 경우 추가 비용 최적화를 위해 일정 일 후에 이전 백업을 _Azure Archive_storage에 계층화하도록 선택할 수 있습니다. "Azure 아카이브 스토리지에 대해 자세히 알아보십시오".

  • GCP에서 백업은 기본적으로 _Standard_storage 클래스와 연결됩니다.

    저비용 _Nearline_storage 클래스 또는 _Coldline_or_Archive_storage 클래스를 사용할 수 있습니다. 그러나 Cloud Backup UI가 아니라 Google을 통해 이러한 다른 스토리지 클래스를 구성합니다. Google 항목을 참조하십시오 "스토리지 클래스" Google Cloud Storage 버킷의 기본 스토리지 클래스 변경에 대한 자세한 내용은 을 참조하십시오.

  • StorageGRID에서 백업은 _Standard_storage 클래스와 연결됩니다.

    현재 사용 가능한 아카이브 계층이 없습니다.