BlueXP 备份和恢复中的备份到对象策略选项
建议更改
PDF
BlueXP backup and recovery使您能够为本地ONTAP和Cloud Volumes ONTAP系统创建具有各种设置的备份策略。
|
这些策略设置仅与备份到对象存储相关。这些设置都不会影响您的快照或复制策略。 |
注意 要切换到BlueXP backup and recovery工作负载,请参阅"切换到不同的BlueXP backup and recovery工作负载" 。
备份计划选项
通过BlueXP备份和恢复功能、您可以为每个工作环境(集群)创建多个备份策略、并为其创建唯一的计划。您可以为具有不同恢复点目标(RPO)的卷分配不同的备份策略。
每个备份策略都为_Labels & Retenation_s提供了一个部分、您可以将其应用于备份文件。请注意、应用于卷的Snapshot策略必须是BlueXP备份和恢复可识别的策略之一、否则不会创建备份文件。
计划分为两部分:标签和保留值:
-
*标签*用于定义从卷创建(或更新)备份文件的频率。您可以选择以下类型的标签:
-
您可以选择一个或多个选项:每小时、每日、每周、每月、 和*每年*的时间范围。
-
您可以选择系统定义的策略之一、这些策略可提供3个月、1年或7年的备份和保留。
-
如果您已使用ONTAP 系统管理器或ONTAP 命令行界面在集群上创建自定义备份保护策略、则可以选择其中一个策略。
-
-
"保留"值用于定义每个标签的备份文件数量(时间范围)。在一个类别或间隔内达到最大备份数后、较早的备份将被删除、以便始终拥有最新的备份。这还可以节省存储成本、因为过时的备份不会继续占用云中的空间。
例如、假设您创建了一个备份策略、用于创建7个*每周*备份和12个*每月*备份:
-
每周和每月都会为卷创建一个备份文件
-
在第8周删除第一个每周备份、并添加第8周的新每周备份(最多保留7个每周备份)
-
在第13个月、删除了第一个每月备份、并添加了第13个月的新每月备份(最多保留12个每月备份)
年度备份传输到对象存储后,会自动从源系统删除。您可以在工作环境的“高级设置”页面中更改此默认行为。
DataLock和Ransam用 保护选项
BlueXP备份和恢复支持为卷备份提供DataLock和勒索软件保护。通过这些功能、您可以锁定备份文件并对其进行扫描、以检测备份文件上可能存在的勒索软件。这是一个可选设置、当您希望为集群的卷备份提供额外保护时、可以在备份策略中定义此设置。
这两项功能都可以保护您的备份文件、以便在您的备份受到勒索软件攻击时、您始终拥有一个有效的备份文件来恢复数据。如果备份需要锁定并保留一段时间、则满足某些法规要求也会很有帮助。启用DataLock和防兰软件保护选项后、在BlueXP备份和恢复激活过程中配置的云分段将启用对象锁定和对象版本控制。
此功能不会为源卷提供保护;仅适用于这些源卷的备份。使用一些 "ONTAP 提供的反勒索软件保护"保护您的源卷。
|
|
什么是DataLock
借助此功能,您可以锁定通过SnapMirror复制到云的云快照,并启用该功能来检测勒索软件攻击并在对象存储上恢复快照的一致副本。AWS、Azure 和StorageGRID均支持此功能。
DataLock可保护您的备份文件在一段时间内不会被修改或删除、也称为_immutable storage_。此功能使用对象存储提供程序的技术进行"对象锁定"。
云提供商使用“保留截止日期”(RUD),该日期根据快照保留期计算。快照保留期根据备份策略中定义的标签和保留计数计算。
最短快照保留期为 30 天。下面我们来看看这种方法的一些示例:
-
如果您选择保留计数为 20 的 Daily 标签,则快照保留期为 20 天,默认为最短 30 天。
-
如果您选择保留计数为 4 的 每周 标签,则快照保留期为 28 天,默认为最短 30 天。
-
如果您选择保留计数为 3 的“每月”标签,则快照保留期为 90 天。
-
如果您选择保留计数为 1 的 每年 标签,则快照保留期为 365 天。
什么是保留截止日期 (RUD) 以及如何计算?
保留截止日期 (RUD) 根据快照保留期确定。保留截止日期是通过将快照保留期与缓冲区相加来计算的。
-
缓冲为转移时间缓冲(3天)+成本优化缓冲(28天),共计31天。
-
最短保留截止日期为 30 天 + 31 天缓冲期 = 61 天。
下面是一些示例:
-
如果您创建包含12个保留项的每月备份计划、则备份将锁定12个月(加上31天)、然后才会被删除(替换为下一个备份文件)。
-
如果您创建的备份策略创建 30 个每日备份、7 个每周备份和 12 个每月备份,则有三个锁定的保留期:
-
“30 天每日”备份将保留 61 天(30 天加上 31 天缓冲),
-
“7 周”备份保留 11 周(7 周加 31 天),并且
-
“12 个月”备份将保留 12 个月(加 31 天)。
-
-
如果您创建一个保留24个保留项的每小时备份计划、则可能会认为备份会锁定24小时。但是、由于此时间少于最短30天、因此每个备份将被锁定并保留61天(30天加上31天缓冲区)。
|
|
旧备份将在 DataLock 保留期到期后删除,而不是在备份策略保留期到期后删除。 |
DataLock 保留设置将覆盖备份策略中的策略保留设置。这可能会影响存储成本、因为备份文件将保存在对象存储中较长时间。
启用 DataLock 和勒索软件保护
您可以在创建策略时启用 DataLock 和勒索软件保护。策略创建后,您将无法启用、修改或禁用此功能。
-
创建策略时,展开“DataLock 和勒索软件保护”部分。
-
选择下列选项之一:
-
无:DataLock 保护和勒索软件保护被禁用。
-
解锁:DataLock 保护和勒索软件保护已启用。拥有特定权限的用户可以在保留期内覆盖或删除受保护的备份文件。
-
已锁定:DataLock 保护和勒索软件保护已启用。在保留期内,任何用户都无法覆盖或删除受保护的备份文件。这完全符合法规要求。
-
NetApp备份和恢复中的勒索软件防护是什么
NetApp Backup and Recovery 中的勒索软件防护选项会扫描您的备份文件以查找勒索软件攻击的证据。勒索软件攻击的检测是使用校验和比较来执行的。如果在新的备份文件与之前的备份文件中发现潜在的勒索软件,则该较新的备份文件将被未显示任何勒索软件攻击迹象的最新备份文件替换。 (被判定为遭受勒索软件攻击的文件在被替换1天后被删除。)
扫描发生在以下情况下:
-
云备份对象传输到云对象存储后不久就会启动对云备份对象的扫描。首次将备份文件写入云存储时、不会对该备份文件执行扫描、而是在写入下一个备份文件时执行扫描。
-
当选择备份进行恢复过程时,可以启动勒索软件扫描。
-
可以随时按需进行扫描。
恢复过程是怎样的?
当检测到勒索软件攻击时,该服务会使用 Active Data Connector 完整性检查器 REST API 启动恢复过程。数据对象的最旧版本是真实来源,并作为恢复过程的一部分转换为当前版本。
让我们看看它是如何工作的:
-
如果发生勒索软件攻击,该服务会尝试覆盖或删除存储桶中的对象。
-
由于云存储启用了版本控制功能,它会自动创建备份对象的新版本。如果在启用版本控制的情况下删除对象,该对象会被标记为已删除,但仍可检索。如果对象被覆盖,则会存储并标记先前的版本。
-
启动勒索软件扫描时,系统会验证两个对象版本的校验和并进行比较。如果校验和不一致,则表示检测到了潜在的勒索软件。
-
恢复过程涉及恢复到最后一个已知的良好副本。
支持的工作环境和对象存储提供程序
在以下公有 和私有云提供商中使用对象存储时、您可以在以下工作环境中对ONTAP 卷启用DataLock和勒索软件保护。未来版本将添加更多云提供商。
| 源工作环境 | 备份文件目标ifdef::AWS]] |
|---|---|
AWS 中的 Cloud Volumes ONTAP |
Amazon S3 endif::AWS]] ifdef::azure[] |
Azure 中的 Cloud Volumes ONTAP |
Azure Blob endf::azure[] ifdef::gcp[] endf::gcp[] |
内部部署 ONTAP 系统 |
ifdef:::AWS]] Amazon S3 endf::AWS]] ifdef::azure[] Azure Blob endf::azure[] ifdef::GCP () endf::GCP () NetApp StorageGRID |
要求
-
对于AWS:
-
集群必须运行ONTAP 9.11.1或更高版本
-
连接器可以部署在云中或内部环境中
-
以下S3权限必须属于为Connector提供权限的IAM角色。它们位于资源"arn:AWS:s3::::netapp-backup-*"的"backupS3Policy"部分中:
AWS S3权限
-
S3 : GetObjectVersionTagging
-
S3 : GetBucketObjectLockConfiguration
-
S3:GetObjectVersionAcl
-
S3 : PutObjectTagging
-
S3 : DeleteObject
-
S3 : DeleteObjectTagging
-
S3 : GetObjectRetention
-
S3 : DeleteObjectVersionTagging
-
S3 : PutObject
-
S3 : GetObject
-
S3 : PutBucketObjectLockConfiguration
-
S3 : GetLifeycleConfiguration
-
S3 : GetBucketTagging
-
S3 : DeleteObjectVersion
-
S3 : ListBucketVersions
-
S3 : ListBucket
-
S3 : PutBucketTagging
-
S3 : GetObjectTagging
-
S3 : PutBucketVersioning
-
S3 : PutObjectVersionTagging
-
S3 : GetBucketVersioning
-
S3 : GetBucketAcl
-
S3:BypassGovernanceRetention
-
S3 : PutObjectRetention
-
S3 : GetBucketLocation
-
S3 : GetObjectVersion
-
-
-
对于Azure:
-
集群必须运行ONTAP 9.12.1或更高版本
-
连接器可以部署在云中或内部环境中
-
-
对于StorageGRID :
-
集群必须运行ONTAP 9.11.1或更高版本
-
StorageGRID 系统必须运行11.6.0.3或更高版本
-
连接器必须部署在您的内部环境中(可以安装在可访问Internet或不可访问Internet的站点中)
-
以下S3权限必须属于为Connector提供权限的IAM角色:
StorageGRID S3权限
-
S3 : GetObjectVersionTagging
-
S3 : GetBucketObjectLockConfiguration
-
S3:GetObjectVersionAcl
-
S3 : PutObjectTagging
-
S3 : DeleteObject
-
S3 : DeleteObjectTagging
-
S3 : GetObjectRetention
-
S3 : DeleteObjectVersionTagging
-
S3 : PutObject
-
S3 : GetObject
-
S3 : PutBucketObjectLockConfiguration
-
S3 : GetLifeycleConfiguration
-
S3 : GetBucketTagging
-
S3 : DeleteObjectVersion
-
S3 : ListBucketVersions
-
S3 : ListBucket
-
S3 : PutBucketTagging
-
S3 : GetObjectTagging
-
S3 : PutBucketVersioning
-
S3 : PutObjectVersionTagging
-
S3 : GetBucketVersioning
-
S3 : GetBucketAcl
-
S3 : PutObjectRetention
-
S3 : GetBucketLocation
-
S3 : GetObjectVersion
-
-
限制
-
如果已在备份策略中配置归档存储、则DataLock和防抱死系统保护功能不可用。
-
激活BlueXP备份和恢复时选择的DataLock选项必须用于该集群的所有备份策略。
-
不能在一个集群上使用多个DataLock模式。
-
如果启用DataLock、则所有卷备份都将被锁定。不能在一个集群中混用锁定卷备份和非锁定卷备份。
-
DataLock 和勒索软件保护适用于使用启用了 DataLock 和勒索软件保护的备份策略的新卷备份。您可以稍后使用高级设置选项启用或禁用勒索软件扫描选项。
-
只有在使用ONTAP 9.13.1或更高版本时、FlexGroup卷才能使用DataLock和防抱死软件保护。
有关如何降低DataLock成本的提示
您可以在启用或禁用"防兰森扫描"功能的同时保持DataLock功能处于活动状态。为了避免额外费用、您可以禁用计划内勒索软件扫描。这样、您可以自定义安全设置、避免云提供商产生成本。
即使禁用了计划内勒索软件扫描、您仍然可以在需要时执行按需扫描。
您可以选择不同的保护级别:
-
DataLock _Without _勒索软件扫描:为目标存储中的备份数据提供保护、此备份数据可以处于监管模式或合规模式。
-
监管模式:为管理员提供覆盖或删除受保护数据的灵活性。
-
兼容模式:在保留期限到期之前提供完全不可识别性。这有助于满足严格监管的环境中最严格的数据安全要求。数据在其生命周期内无法覆盖或修改、从而为备份副本提供最强的保护级别。
Microsoft Azure改用锁定和解锁模式。
-
-
DataLock _With _勒索软件扫描:为数据提供额外的安全保护层。此功能有助于检测任何更改备份副本的尝试。如果进行了任何尝试、则会谨慎地创建新版本的数据。扫描频率可更改为1、2、3、4、5、 6天或7天。如果将扫描设置为每7天进行一次、则成本会显著降低。
有关降低DataLock成本的更多提示、请参见 https://community.netapp.com/t5/Tech-ONTAP-Blogs/Understanding-BlueXP-Backup-and-Recovery-DataLock-and-Ransomware-Feature-TCO/ba-p/453475
此外,您还可以通过访问来估算与DataLock相关的成本 "BlueXP备份和恢复总拥有成本(TCO)计算器"。
归档存储选项
使用AWS、Azure或Google云存储时、您可以在一段时间后将旧备份文件移至成本较低的归档存储类或访问层。您还可以选择立即将备份文件发送到归档存储、而不将其写入标准云存储。只需输入*0*作为"Archive after days"(天数后归档),即可将备份文件直接发送到归档存储。对于很少需要从云备份访问数据的用户或要将备份替换为磁带解决方案的用户来说、这一点尤其有用。
归档层中的数据无法在需要时立即访问、并且需要较高的检索成本、因此您需要考虑在决定归档备份文件之前、可能需要多久从备份文件中恢复一次数据。
|
|
|
每个备份策略都为_Archival Policy_提供了一个部分、您可以将其应用于备份文件。
-
在 AWS 中,备份从 Standard 存储类开始,并在 30 天后过渡到 Standard-Infrequent Access 存储类。
如果集群使用的是ONTAP 9.10.1或更高版本、则可以将较早的备份分层到_S3 Glacer_或_S3 Glacier Deep Archive_存储。"了解有关 AWS 归档存储的更多信息"(英文)
-
如果在激活BlueXP备份和恢复时在第一个备份策略中未选择任何归档层、则_S3 Glacier_将是未来策略的唯一归档选项。
-
如果您在第一个备份策略中选择_S3 Glacier_、则可以更改为_S3 Glacierdeep Archive_Tier、以供该集群未来的备份策略使用。
-
如果在第一个备份策略中选择_S3 Glacierdeep Archive_、则该层将是该集群未来备份策略唯一可用的归档层。
-
-
在 Azure 中,备份与 cool 访问层关联。
如果集群使用的是ONTAP 9.10.1或更高版本、则可以将较早的备份分层到_Azure Archive_存储。"详细了解 Azure 归档存储"(英文)
-
在 GCP 中,备份与 Standard 存储类关联。
如果您的内部集群使用的是ONTAP 9.12.1或更高版本、您可以选择在一定天数后将旧备份分层到BlueXP备份和恢复UI中的_Archive_存储、以便进一步优化成本。"了解有关Google归档存储的更多信息"(英文)
-
在 StorageGRID 中,备份与 Standard 存储类关联。
如果您的内部集群使用的是ONTAP 9.12.1或更高版本、而您的StorageGRID 系统使用的是11.4或更高版本、则可以将较早的备份文件归档到公共云归档存储。
+*对于AWS、您可以将备份分层到AWS _S3 Glacer_或_S3 Glacier Deep Archive_存储。"了解有关 AWS 归档存储的更多信息"(英文)
+*对于Azure、您可以将较早的备份分层到_Azure Archive_存储。"详细了解 Azure 归档存储"(英文)