备份到对象策略选项
通过BlueXP备份和恢复、您可以为您的ONTAP和Cloud Volumes ONTAP系统创建具有各种设置的备份策略。
这些策略设置仅与备份到对象存储相关。这些设置均不会影响您的Snapshot或复制策略。将来会为快照和复制添加类似的策略设置。 |
备份计划选项
通过BlueXP备份和恢复功能、您可以为每个工作环境(集群)创建多个备份策略、并为其创建唯一的计划。您可以为具有不同恢复点目标(RPO)的卷分配不同的备份策略。
每个备份策略都为_Labels & Retenation_s提供了一个部分、您可以将其应用于备份文件。请注意、应用于卷的Snapshot策略必须是BlueXP备份和恢复可识别的策略之一、否则不会创建备份文件。
计划分为两部分:标签和保留值:
-
*标签*用于定义从卷创建(或更新)备份文件的频率。您可以选择以下类型的标签:
-
您可以选择一个或多个选项:每小时、每日、每周、每月、 和*每年*的时间范围。
-
您可以选择系统定义的策略之一、这些策略可提供3个月、1年或7年的备份和保留。
-
如果您已使用ONTAP 系统管理器或ONTAP 命令行界面在集群上创建自定义备份保护策略、则可以选择其中一个策略。
-
-
"保留"值用于定义每个标签的备份文件数量(时间范围)。在一个类别或间隔内达到最大备份数后、较早的备份将被删除、以便始终拥有最新的备份。这还可以节省存储成本、因为过时的备份不会继续占用云中的空间。
例如、假设您创建了一个备份策略、用于创建7个*每周*备份和12个*每月*备份:
-
每周和每月都会为卷创建一个备份文件
-
在第8周删除第一个每周备份、并添加第8周的新每周备份(最多保留7个每周备份)
-
在第13个月、删除了第一个每月备份、并添加了第13个月的新每月备份(最多保留12个每月备份)
请注意、在将年度备份传输到对象存储后、系统会自动从源系统中删除此备份。可以更改此默认行为 "在高级设置页面中" 适用于工作环境。
DataLock和Ransam用 保护选项
BlueXP备份和恢复支持为卷备份提供DataLock和勒索软件保护。通过这些功能、您可以锁定备份文件并对其进行扫描、以检测备份文件上可能存在的勒索软件。这是一个可选设置、当您希望为集群的卷备份提供额外保护时、可以在备份策略中定义此设置。
这两项功能都可以保护您的备份文件、以便在您的备份受到勒索软件攻击时、您始终拥有一个有效的备份文件来恢复数据。如果备份需要锁定并保留一段时间、则满足某些法规要求也会很有帮助。启用DataLock和防兰软件保护选项后、在BlueXP备份和恢复激活过程中配置的云分段将启用对象锁定和对象版本控制。
此功能不会为源卷提供保护;仅适用于这些源卷的备份。使用NetApp "数据基础架构洞察力和Cloud Secure"或某些 "ONTAP 提供的反勒索软件保护"来保护源卷。
|
什么是DataLock
DataLock可保护您的备份文件在一段时间内不会被修改或删除、也称为_immutable storage_。此功能使用对象存储提供程序的技术进行"对象锁定"。备份文件锁定(并保留)的时间段称为DataLock保留期限。它基于您定义的备份策略计划和保留设置以及最长31天的缓冲区。任何少于31天的DataLock保留策略将取整为最短31天。
请注意、旧备份会在DataLock保留期限到期后删除、而不是在备份策略保留期限到期后删除。
下面我们来看看这种方法的一些示例:
-
如果您创建一个包含12个保留的每月备份计划、则每个备份在被删除之前都会锁定12个月(加上最多31天的缓冲区)。
-
如果您创建的备份策略创建30个每日备份、7个每周备份、12个每月备份、则会有三个锁定的保留期限。"30 daily"备份将保留44天(30天加上最多31天的缓冲区)、"7 Weekly"备份将保留9周(7周加上最多31天的缓冲区)、"12 monthly"备份将保留12个月(加上最多31天的缓冲区)。
-
如果您创建一个保留24个保留项的每小时备份计划、则可能会认为备份会锁定24小时。但是、由于此期限少于最少30天、因此每个备份将锁定并保留44天(30天加上最多31天的缓冲区)。
在最后一个案例中、您可以看到、如果每个备份文件锁定30天(加上最多31天的缓冲区)、您最终将拥有比每小时/24保留策略通常保留的备份文件更多的备份文件。通常、在BlueXP备份和恢复创建第25个备份文件时、它会删除最旧的备份、以使最大保留值保持为24 (根据策略)。在这种情况下、DataLock保留设置会覆盖备份策略中的策略保留设置。这可能会影响存储成本、因为备份文件将保存在对象存储中较长时间。
什么是勒索软件保护
勒索软件保护会扫描您的备份文件、以查找勒索软件攻击的证据。通过校验和比较来检测勒索软件攻击。如果在新备份文件中发现潜在的勒索软件、而不是在以前的备份文件中发现、则新备份文件将替换为不显示任何勒索软件攻击迹象的最新备份文件。(已确定发生勒索软件攻击的文件将在替换后1天被删除。)
勒索软件扫描在备份和还原过程的以下几个时间点进行:
-
创建备份文件时。
您可以选择启用或禁用勒索软件扫描。
首次将备份文件写入云存储时、不会对该备份文件执行扫描、而是在写入*下一个*备份文件时执行扫描。例如、如果为星期二设置了每周备份计划、则在星期二14创建备份。然后、在星期二21日创建另一个备份。此时、勒索软件扫描将从14号开始对备份文件运行。
-
尝试从备份文件还原数据时
您可以选择在从备份文件还原数据之前运行扫描、也可以跳过此扫描。
-
手动
您可以随时运行按需勒索软件保护扫描来验证特定备份文件的运行状况。如果您在特定卷上安装了勒索软件问题描述 、并且您希望验证该卷的备份是否不受影响、则此功能非常有用。
DataLock和防兰索保护选项
每个备份策略都为_DataLock和勒索软件保护_提供了一个部分、您可以将其应用于备份文件。
默认情况下、勒索软件保护扫描处于启用状态。扫描频率的默认设置为7天。扫描仅在最新的Snapshot副本上进行。您可以使用高级设置页面上的选项对最新Snapshot副本启用或禁用勒索软件扫描。如果启用此功能、则默认情况下每7天执行一次扫描。
您可以将该计划更改为天数或周数、也可以将其禁用、从而节省成本。
您可以为每个备份策略选择以下设置:
-
无(默认)
已禁用DataLock保护和勒索软件保护。
-
监管
DataLock设置为_Governance_模式、其中用户使用
s3:BypassGovernanceRetention
权限("请参见下文")可以在保留期间覆盖或删除备份文件。已启用勒索软件保护。 -
合规性
DataLock设置为_Compliance"模式、在此保留期间、任何用户都无法覆盖或删除备份文件。已启用勒索软件保护。
-
无(默认)
已禁用DataLock保护和勒索软件保护。
-
已解锁
备份文件会在保留期限内受到保护。保留期限可以增加或缩短。通常需要24小时来测试系统。已启用勒索软件保护。
-
已锁定
备份文件会在保留期限内受到保护。保留期限可以增加、但不能缩短。满足完全合规性要求。已启用勒索软件保护。
-
无(默认)
已禁用DataLock保护和勒索软件保护。
-
合规性
DataLock设置为_Compliance"模式、在此保留期间、任何用户都无法覆盖或删除备份文件。已启用勒索软件保护。
支持的工作环境和对象存储提供程序
在以下公有 和私有云提供商中使用对象存储时、您可以在以下工作环境中对ONTAP 卷启用DataLock和勒索软件保护。未来版本将添加更多云提供商。
源工作环境 | 备份文件目标ifdef::AWS]] |
---|---|
AWS 中的 Cloud Volumes ONTAP |
Amazon S3 endif::AWS]] ifdef::azure[] |
Azure 中的 Cloud Volumes ONTAP |
Azure Blob endf::azure[] ifdef::gcp[] endf::gcp[] |
内部部署 ONTAP 系统 |
ifdef:::AWS]] Amazon S3 endf::AWS]] ifdef::azure[] Azure Blob endf::azure[] ifdef::GCP () endf::GCP () NetApp StorageGRID |
要求
-
对于AWS:
-
集群必须运行ONTAP 9.11.1或更高版本
-
连接器可以部署在云中或内部环境中
-
以下S3权限必须属于为Connector提供权限的IAM角色。它们位于资源"arn:AWS:s3::::netapp-backup-*"的"backupS3Policy"部分中:
AWS S3权限
-
S3 : GetObjectVersionTagging
-
S3 : GetBucketObjectLockConfiguration
-
S3:GetObjectVersionAcl
-
S3 : PutObjectTagging
-
S3 : DeleteObject
-
S3 : DeleteObjectTagging
-
S3 : GetObjectRetention
-
S3 : DeleteObjectVersionTagging
-
S3 : PutObject
-
S3 : GetObject
-
S3 : PutBucketObjectLockConfiguration
-
S3 : GetLifeycleConfiguration
-
S3 : GetBucketTagging
-
S3 : DeleteObjectVersion
-
S3 : ListBucketVersions
-
S3 : ListBucket
-
S3 : PutBucketTagging
-
S3 : GetObjectTagging
-
S3 : PutBucketVersioning
-
S3 : PutObjectVersionTagging
-
S3 : GetBucketVersioning
-
S3 : GetBucketAcl
-
S3:BypassGovernanceRetention
-
S3 : PutObjectRetention
-
S3 : GetBucketLocation
-
S3 : GetObjectVersion
-
-
-
对于Azure:
-
集群必须运行ONTAP 9.12.1或更高版本
-
连接器可以部署在云中或内部环境中
-
-
对于StorageGRID :
-
集群必须运行ONTAP 9.11.1或更高版本
-
StorageGRID 系统必须运行11.6.0.3或更高版本
-
连接器必须部署在您的内部环境中(可以安装在可访问Internet或不可访问Internet的站点中)
-
以下S3权限必须属于为Connector提供权限的IAM角色:
StorageGRID S3权限
-
S3 : GetObjectVersionTagging
-
S3 : GetBucketObjectLockConfiguration
-
S3:GetObjectVersionAcl
-
S3 : PutObjectTagging
-
S3 : DeleteObject
-
S3 : DeleteObjectTagging
-
S3 : GetObjectRetention
-
S3 : DeleteObjectVersionTagging
-
S3 : PutObject
-
S3 : GetObject
-
S3 : PutBucketObjectLockConfiguration
-
S3 : GetLifeycleConfiguration
-
S3 : GetBucketTagging
-
S3 : DeleteObjectVersion
-
S3 : ListBucketVersions
-
S3 : ListBucket
-
S3 : PutBucketTagging
-
S3 : GetObjectTagging
-
S3 : PutBucketVersioning
-
S3 : PutObjectVersionTagging
-
S3 : GetBucketVersioning
-
S3 : GetBucketAcl
-
S3 : PutObjectRetention
-
S3 : GetBucketLocation
-
S3 : GetObjectVersion
-
-
限制
-
如果已在备份策略中配置归档存储、则DataLock和防抱死系统保护功能不可用。
-
激活BlueXP备份和恢复时选择的DataLock选项必须用于该集群的所有备份策略。
-
不能在一个集群上使用多个DataLock模式。
-
如果启用DataLock、则所有卷备份都将被锁定。不能在一个集群中混用锁定卷备份和非锁定卷备份。
-
DataLock和勒索软件保护适用于使用启用了DataLock和勒索软件保护的备份策略的新卷备份。您可以稍后使用高级设置选项启用或禁用这些功能。
-
只有在使用ONTAP 9.13.1或更高版本时、FlexGroup卷才能使用DataLock和防抱死软件保护。
有关如何降低DataLock成本的提示
您可以在启用或禁用"防兰森扫描"功能的同时保持DataLock功能处于活动状态。为了避免额外费用、您可以禁用计划内勒索软件扫描。这样、您可以自定义安全设置、避免云提供商产生成本。
即使禁用了计划内勒索软件扫描、您仍然可以在需要时执行按需扫描。
您可以选择不同的保护级别:
-
DataLock _Without _勒索软件扫描:为目标存储中的备份数据提供保护、此备份数据可以处于监管模式或合规模式。
-
监管模式:为管理员提供覆盖或删除受保护数据的灵活性。
-
兼容模式:在保留期限到期之前提供完全不可识别性。这有助于满足严格监管的环境中最严格的数据安全要求。数据在其生命周期内无法覆盖或修改、从而为备份副本提供最强的保护级别。
Microsoft Azure改用锁定和解锁模式。
-
-
DataLock _With _勒索软件扫描:为数据提供额外的安全保护层。此功能有助于检测任何更改备份副本的尝试。如果进行了任何尝试、则会谨慎地创建新版本的数据。扫描频率可更改为1、2、3、4、5、 6天或7天。如果将扫描设置为每7天进行一次、则成本会显著降低。
有关降低DataLock成本的更多提示、请参见 https://community.netapp.com/t5/Tech-ONTAP-Blogs/Understanding-BlueXP-Backup-and-Recovery-DataLock-and-Ransomware-Feature-TCO/ba-p/453475
此外,您还可以通过访问来估算与DataLock相关的成本 "BlueXP备份和恢复总拥有成本(TCO)计算器"。
归档存储选项
使用AWS、Azure或Google云存储时、您可以在一段时间后将旧备份文件移至成本较低的归档存储类或访问层。您还可以选择立即将备份文件发送到归档存储、而不将其写入标准云存储。只需输入*0*作为"Archive after days"(天数后归档),即可将备份文件直接发送到归档存储。对于很少需要从云备份访问数据的用户或要将备份替换为磁带解决方案的用户来说、这一点尤其有用。
归档层中的数据无法在需要时立即访问、并且需要较高的检索成本、因此您需要考虑在决定归档备份文件之前、可能需要多久从备份文件中恢复一次数据。
|
每个备份策略都为_Archival Policy_提供了一个部分、您可以将其应用于备份文件。
-
在 AWS 中,备份从 Standard 存储类开始,并在 30 天后过渡到 Standard-Infrequent Access 存储类。
如果集群使用的是ONTAP 9.10.1或更高版本、则可以将较早的备份分层到_S3 Glacer_或_S3 Glacier Deep Archive_存储。 "了解有关 AWS 归档存储的更多信息"。
-
如果在激活BlueXP备份和恢复时在第一个备份策略中未选择任何归档层、则_S3 Glacier_将是未来策略的唯一归档选项。
-
如果您在第一个备份策略中选择_S3 Glacier_、则可以更改为_S3 Glacierdeep Archive_Tier、以供该集群未来的备份策略使用。
-
如果在第一个备份策略中选择_S3 Glacierdeep Archive_、则该层将是该集群未来备份策略唯一可用的归档层。
-
-
在 Azure 中,备份与 cool 访问层关联。
如果集群使用的是ONTAP 9.10.1或更高版本、则可以将较早的备份分层到_Azure Archive_存储。 "详细了解 Azure 归档存储"。
-
在 GCP 中,备份与 Standard 存储类关联。
如果您的内部集群使用的是ONTAP 9.12.1或更高版本、您可以选择在一定天数后将旧备份分层到BlueXP备份和恢复UI中的_Archive_存储、以便进一步优化成本。 "了解有关Google归档存储的更多信息"。
-
在 StorageGRID 中,备份与 Standard 存储类关联。
如果您的内部集群使用的是ONTAP 9.12.1或更高版本、而您的StorageGRID 系统使用的是11.4或更高版本、则可以将较早的备份文件归档到公共云归档存储。
+*对于AWS、您可以将备份分层到AWS _S3 Glacer_或_S3 Glacier Deep Archive_存储。 "了解有关 AWS 归档存储的更多信息"。
+*对于Azure、您可以将较早的备份分层到_Azure Archive_存储。 "详细了解 Azure 归档存储"。