简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

将内部 ONTAP 数据备份到 Amazon S3

05/31/2023 提供者

完成几个步骤、开始将卷数据从内部ONTAP 系统备份到Amazon S3存储。

请注意， " 内部 ONTAP 系统 " 包括 FAS ， AFF 和 ONTAP Select 系统。

快速入门

按照以下步骤快速入门。本主题的以下各节提供了每个步骤的详细信息。

确定要使用的配置方法

选择是通过公有 Internet将内部ONTAP 集群直接连接到AWS S3、还是使用VPN或AWS Direct Connect并通过专用VPC端点接口将流量路由到AWS S3。

请参见可用的连接方法。

准备您的BlueXP Connector

如果您已在AWS VPC或内部部署了Connector、则可以随时完成所有操作。如果没有、则需要创建一个连接器、将ONTAP 数据备份到AWS S3存储。您还需要自定义 Connector 的网络设置，以便它可以连接到 AWS S3 。

请参见如何创建 Connector 以及如何定义所需的网络设置。

准备内部ONTAP 集群

在BlueXP中发现您的ONTAP 集群、验证集群是否满足最低要求、并自定义网络设置、以便集群可以连接到AWS S3。

了解如何使内部 ONTAP 集群做好准备。

准备Amazon S3作为备份目标

为Connector设置创建和管理S3存储分段的权限。您还需要为内部ONTAP 集群设置权限、以便其可以向S3存储分段读取和写入数据。

或者，您也可以为数据加密设置自己的自定义管理密钥，而不是使用默认的 Amazon S3 加密密钥。了解如何让 AWS S3 环境做好接收 ONTAP 备份的准备。

在系统上启用BlueXP备份和恢复

选择工作环境、然后单击右侧面板中备份和恢复服务旁边的*启用>备份卷*。然后，按照设置向导定义默认备份策略和要保留的备份数，并选择要备份的卷。

了解如何在卷上激活BlueXP备份和恢复。

连接选项的网络图

在配置从内部 ONTAP 系统到 AWS S3 的备份时，您可以使用两种连接方法。

公有连接—使用公有 S3 端点将 ONTAP 系统直接连接到 AWS S3 。
专用连接—使用 VPN 或 AWS Direct Connect ，并通过使用专用 IP 地址的 VPC 端点接口路由流量。

下图显示了*公有 connection*方法以及组件之间需要准备的连接。您可以使用内部安装的Connector或AWS VPC中部署的Connector。

一个示意图、显示了BlueXP备份和恢复如何通过公共连接与集群上的卷以及备份文件所在的AWS S3存储进行通信。

下图显示了*专用连接*方法以及组件之间需要准备的连接。您可以使用内部安装的Connector或AWS VPC中部署的Connector。

一个示意图、显示了BlueXP备份和恢复如何通过专用连接与集群上的卷以及备份文件所在的AWS S3存储进行通信。

准备您的连接器

BlueXP Connector是BlueXP功能的主要软件。需要使用连接器来备份和还原 ONTAP 数据。

创建或切换连接器

如果您已在AWS VPC或内部部署了Connector、则可以随时完成所有操作。如果没有、则需要在其中任一位置创建一个连接器、以便将ONTAP 数据备份到AWS S3存储。您不能使用部署在其他云提供商中的Connector。

"了解连接器"
"在AWS中安装连接器"
"在内部安装Connector"
"在AWS GovCloud区域中安装Connector"

如果连接器部署在云中、则GovCloud地区支持BlueXP备份和恢复、而不是安装在您的内部环境中。此外、您还必须从AWS Marketplace部署Connector。您不能从BlueXP SaaS网站在政府区域部署Connector。

连接器网络连接要求

确保安装 Connector 的网络启用以下连接：
- 通过端口443与BlueXP备份和恢复服务以及S3对象存储建立HTTPS连接 ("请参见端点列表"）
- 通过端口 443 与 ONTAP 集群管理 LIF 建立 HTTPS 连接
- AWS和AWS GovCloud部署需要其他入站和出站安全组规则。请参见 "AWS 中连接器的规则" 了解详细信息。
"确保Connector具有管理S3存储分段的权限"。
如果从ONTAP 集群到VPC具有直接连接或VPN连接、并且您希望连接器和S3之间的通信保持在AWS内部网络中(*专用*连接)、则需要启用连接到S3的VPC端点接口。请参见如何设置 VPC 端点接口。

准备 ONTAP 集群

在BlueXP中发现您的ONTAP 集群

您需要先在BlueXP中发现内部ONTAP 集群、然后才能开始备份卷数据。要添加集群，您需要知道集群管理 IP 地址和管理员用户帐户的密码。

"了解如何发现集群"。

ONTAP 要求

建议至少使用ONTAP 9.7P5；ONTAP 9.8P13及更高版本。
SnapMirror 许可证（作为超值包或数据保护包的一部分提供）。

*注意：*使用BlueXP备份和恢复时、不需要"混合云捆绑包"。

请参见操作说明 "管理集群许可证"。
已正确设置时间和时区。

请参见操作说明 "配置集群时间"。

集群网络连接要求

集群需要从 Connector 到集群管理 LIF 的入站 HTTPS 连接。
托管要备份的卷的每个 ONTAP 节点都需要一个集群间 LIF 。这些集群间 LIF 必须能够访问对象存储。

集群通过端口 443 从集群间 LIF 启动出站 HTTPS 连接到 Amazon S3 存储，以执行备份和还原操作。ONTAP 在对象存储中读取和写入数据—对象存储从不启动，它只是响应。
集群间 LIF 必须与 _IP 空间 _ 关联， ONTAP 应使用此 _IP 空间 _ 连接到对象存储。 "了解有关 IP 空间的更多信息"。

设置BlueXP备份和恢复时、系统会提示您使用IP空间。您应选择与这些 LIF 关联的 IP 空间。这可能是您创建的 " 默认 "IP 空间或自定义 IP 空间。

如果您使用的 IP 空间与 " 默认 " 不同，则可能需要创建静态路由才能访问对象存储。

IP空间中的所有集群间LIF都必须能够访问对象存储。如果无法为当前IP空间配置此空间、则需要创建一个专用IP空间、其中所有集群间LIF都可以访问对象存储。
必须已为卷所在的 Storage VM 配置 DNS 服务器。请参见操作说明 "为 SVM 配置 DNS 服务"。
如有必要、请更新防火墙规则、以允许通过端口443从ONTAP 到对象存储的BlueXP备份和恢复连接、以及通过端口53 (TCP/UDP)从Storage VM到DNS服务器的名称解析流量。
如果在AWS中使用专用VPC接口端点进行S3连接、则要使用HTTPS/443、您需要将S3端点证书加载到ONTAP 集群中。请参见如何设置 VPC 端点接口并加载 S3 证书。
"确保ONTAP 集群具有访问S3存储分段的权限"。

验证许可证要求

在为集群激活BlueXP备份和恢复之前、您需要从AWS订阅按需购买(PAYGO) BlueXP Marketplace产品、或者从NetApp购买并激活BlueXP备份和恢复BYOL许可证。这些许可证适用于您的帐户，可在多个系统中使用。
- 对于BlueXP备份和恢复PAYGO许可、您需要订阅 "AWS Marketplace上的NetApp BlueXP产品"。BlueXP备份和恢复的计费通过此订阅完成。
- 对于BlueXP备份和恢复BYOL许可、您需要NetApp提供的序列号、以便在许可证有效期和容量内使用此服务。 "了解如何管理 BYOL 许可证"。
您需要为备份所在的对象存储空间订阅 AWS 。

您可以在所有地区创建从内部系统到 Amazon S3 的备份 "支持 Cloud Volumes ONTAP 的位置"；包括 AWS GovCloud 地区。您可以在设置服务时指定要存储备份的区域。

准备 AWS 环境

设置 S3 权限

您需要配置两组权限：

Connector创建和管理S3存储分段的权限。
内部 ONTAP 集群的权限，以便可以将数据读写到 S3 存储分段。

步骤

确认以下 S3 权限（从最新版本开始） "BlueXP策略"）是为 Connector 提供权限的 IAM 角色的一部分。如果不是、请参见 "AWS 文档：编辑 IAM 策略"。

{
          "Sid": "backupPolicy",
          "Effect": "Allow",
          "Action": [
              "s3:DeleteBucket",
              "s3:GetLifecycleConfiguration",
              "s3:PutLifecycleConfiguration",
              "s3:PutBucketTagging",
              "s3:ListBucketVersions",
              "s3:GetObject",
              "s3:DeleteObject",
              "s3:PutObject",
              "s3:ListBucket",
              "s3:ListAllMyBuckets",
              "s3:GetBucketTagging",
              "s3:GetBucketLocation",
              "s3:GetBucketPolicyStatus",
              "s3:GetBucketPublicAccessBlock",
              "s3:GetBucketAcl",
              "s3:GetBucketPolicy",
              "s3:PutBucketPolicy",
              "s3:PutBucketOwnershipControls",
              "s3:PutBucketPublicAccessBlock",
              "s3:PutEncryptionConfiguration",
              "s3:GetObjectVersionTagging",
              "s3:GetBucketObjectLockConfiguration",
              "s3:GetObjectVersionAcl",
              "s3:PutObjectTagging",
              "s3:DeleteObjectTagging",
              "s3:GetObjectRetention",
              "s3:DeleteObjectVersionTagging",
              "s3:PutBucketObjectLockConfiguration",
              "s3:ListBucketByTags",
              "s3:DeleteObjectVersion",
              "s3:GetObjectTagging",
              "s3:PutBucketVersioning",
              "s3:PutObjectVersionTagging",
              "s3:GetBucketVersioning",
              "s3:BypassGovernanceRetention",
              "s3:PutObjectRetention",
              "s3:GetObjectVersion",
              "athena:StartQueryExecution",
              "athena:GetQueryResults",
              "athena:GetQueryExecution",
              "glue:GetDatabase",
              "glue:GetTable",
              "glue:CreateTable",
              "glue:CreateDatabase",
              "glue:GetPartitions",
              "glue:BatchCreatePartition",
              "glue:BatchDeletePartition"
          ],
          "Resource": [
              "arn:aws:s3:::netapp-backup-*"
          ]
      },

在AWS中国地区创建备份时、您需要将IAM策略中所有_Resource_部分下的AWS资源名称"arn"从"aws"更改为"AAWS CN"；例如 arn:aws-cn:s3:::netapp-backup-*。

激活此服务时，备份向导将提示您输入访问密钥和机密密钥。这些凭据将传递到 ONTAP 集群，以便 ONTAP 可以将数据备份和还原到 S3 存储分段。为此，您需要创建具有以下权限的 IAM 用户：

{
    "Version": "2012-10-17",
     "Statement": [
        {
           "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": "arn:aws:s3:::netapp-backup-*",
            "Effect": "Allow",
            "Sid": "backupPolicy"
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::netapp-backup*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:ListAllMyBuckets",
                "s3:PutObjectTagging",
                "s3:GetObjectTagging",
                "s3:RestoreObject",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetObjectRetention",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutObjectRetention"
            ],
            "Resource": "arn:aws:s3:::netapp-backup*/*",
            "Effect": "Allow"
        }
    ]
}

请参见 "AWS 文档：创建角色以向 IAM 用户委派权限" 了解详细信息。

设置客户管理的AWS密钥以进行数据加密

如果您要使用默认Amazon S3加密密钥对内部集群和S3存储分段之间传递的数据进行加密、则会进行全部设置、因为默认安装会使用此类型的加密。

如果您要使用自己的客户管理密钥进行数据加密、而不是使用默认密钥、则在启动BlueXP备份和恢复向导之前、您需要先设置加密管理密钥。 "了解如何使用您自己的密钥"。

使用VPC端点接口为系统配置专用连接

如果您要使用标准公有 Internet连接、则所有权限均由Connector设置、无需执行任何其他操作。此类型的连接如中所示 "第一个图"。

如果您希望通过Internet从内部数据中心到VPC建立更安全的连接、可以在备份激活向导中选择AWS PrivateLink连接。如果您计划使用VPN或AWS Direct Connect通过使用专用IP地址的VPC端点接口连接内部系统、则必须使用此功能。此类型的连接如中所示 "第二个图"。

使用 Amazon VPC 控制台或命令行创建接口端点配置。 "请参见有关使用适用于 Amazon S3 的 AWS PrivateLink 的详细信息"。
修改与BlueXP Connector关联的安全组配置。您必须将此策略更改为 "Custom" （自定义）（从 "Full Access" ），并且必须将其更改为 "Custom" （自定义）从备份策略添加 S3 权限如前面所示。

如果您使用端口80 (HTTP)与专用端点进行通信、则已设置完毕。您现在可以在集群上启用BlueXP备份和恢复。

如果您使用端口443 (HTTPS)与专用端点进行通信、则必须从VPC S3端点复制证书并将其添加到ONTAP 集群中、如接下来的4个步骤所示。
从 AWS 控制台获取端点的 DNS 名称。
从 VPC S3 端点获取证书。您可以通过执行此操作 "登录到托管BlueXP Connector的虚拟机" 并运行以下命令。输入端点的 DNS 名称时，在开头添加 " 分段 " ，替换 "* " ：
```
[ec2-user@ip-10-160-4-68 ~]$ openssl s_client -connect bucket.vpce-0ff5c15df7e00fbab-yxs7lt8v.s3.us-west-2.vpce.amazonaws.com:443 -showcerts
```

从此命令的输出中，复制 S3 证书的数据（包括开始 / 结束证书标记之间的所有数据）：

Certificate chain
0 s:/CN=s3.us-west-2.amazonaws.com`
   i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
-----BEGIN CERTIFICATE-----
MIIM6zCCC9OgAwIBAgIQA7MGJ4FaDBR8uL0KR3oltTANBgkqhkiG9w0BAQsFADBG
…
…
GqvbOz/oO2NWLLFCqI+xmkLcMiPrZy+/6Af+HH2mLCM4EsI2b+IpBmPkriWnnxo=
-----END CERTIFICATE-----

登录到 ONTAP 集群命令行界面并使用以下命令应用您复制的证书（替换您自己的 Storage VM 名称）：
```
cluster1::> security certificate install -vserver cluster1 -type server-ca
Please enter Certificate: Press <Enter> when done
```

启用BlueXP备份和恢复

随时直接从内部工作环境启用BlueXP备份和恢复。

步骤

在Canvas中、选择工作环境、然后单击右侧面板中备份和恢复服务旁边的*启用>备份卷*。

如果您的备份的Amazon S3目标作为工作环境存在于Canvas上、您可以将集群拖动到Amazon S3工作环境中以启动设置向导。
选择 Amazon Web Services 作为您的提供商，然后单击 * 下一步 * 。
输入提供程序详细信息并单击 * 下一步 * 。
1. 用于存储备份的 AWS 帐户， AWS 访问密钥和机密密钥。
  
  访问密钥和机密密钥适用于您创建的 IAM 用户，用于为 ONTAP 集群授予对 S3 存储分段的访问权限。
2. 要存储备份的 AWS 区域。
3. 您是使用默认 Amazon S3 加密密钥，还是从 AWS 帐户中选择您自己的客户管理密钥来管理数据加密。 ("了解如何使用您自己的密钥"）。
如果您的帐户没有现有的BlueXP备份和恢复许可证、此时将提示您选择要使用的充电方法类型。您可以订阅AWS提供的按需购买(PAYGO) BlueXP Marketplace产品(如果您有多个订阅、则需要选择一个)、或者从NetApp购买并激活BlueXP备份和恢复BYOL许可证。 "了解如何设置BlueXP备份和恢复许可。"
输入网络连接详细信息并单击 * 下一步 * 。
1. 要备份的卷所在的 ONTAP 集群中的 IP 空间。此 IP 空间的集群间 LIF 必须具有出站 Internet 访问权限。
2. 或者，选择是否使用先前配置的 AWS PrivateLink 。 "请参见有关使用适用于 Amazon S3 的 AWS PrivateLink 的详细信息"。
输入要用于默认策略的备份策略详细信息、然后单击*下一步*。您可以选择现有策略、也可以通过在每个部分中输入所做的选择来创建新策略：
1. 输入默认策略的名称。您无需更改名称。
2. 定义备份计划并选择要保留的备份数。 "请参见您可以选择的现有策略列表"。
3. 或者、在使用ONTAP 9.11.1及更高版本时、您也可以选择通过配置_DataLock和勒索软件保护_设置之一来保护备份免受删除和勒索软件攻击。_DataLock_可防止您的备份文件被修改或删除、_勒索软件保护_会扫描您的备份文件、以在备份文件中查找勒索软件攻击的证据。 "详细了解可用的DataLock设置"。
4. 或者、在使用ONTAP 9.10.1及更高版本时、您也可以选择在一定天数后将备份分层到S3 Glacier或S3 Glacier深度归档存储、以进一步优化成本。 "了解有关使用归档层的更多信息"。
*重要信息：*如果您计划使用DataLock、则必须在激活BlueXP备份和恢复时在第一个策略中启用它。
在选择卷页面中、使用定义的备份策略选择要备份的卷。如果要为某些卷分配不同的备份策略，可以创建其他策略并稍后将其应用于这些卷。
- 要备份所有现有卷以及将来添加的任何卷、请选中"备份所有现有卷和未来卷…"框。我们建议使用此选项、以便备份所有卷、您不必记住为新卷启用备份。
- 要仅备份现有卷、请选中标题行(）。
- 要备份单个卷，请选中每个卷对应的框（）。
- 如果此工作环境中的读/写卷有任何本地Snapshot副本与您刚刚为此工作环境选择的备份计划标签(例如、每日、每周等)匹配、则会显示一条额外的提示"将现有Snapshot副本作为备份副本导出到对象存储"。如果要将所有历史快照作为备份文件复制到对象存储、请选中此框、以确保为卷提供最全面的保护。
单击*激活备份*、BlueXP备份和恢复将开始对卷进行初始备份。