使用 BlueXP 备份和恢复将本地 ONTAP 数据备份到 Azure Blob 存储
建议更改
PDF
完成 BlueXP 备份和恢复中的几个步骤,开始将卷数据从本地 ONTAP 系统备份到二级存储系统和 Azure Blob 存储。
|
"内部ONTAP系统"包括FAS、AFF和ONTAP Select系统。 |
快速入门
按照以下步骤快速入门。本主题的以下各节提供了每个步骤的详细信息。
确定要使用的连接方法选择是通过公共Internet将内部ONTAP集群直接连接到Azure、还是使用VPN或Azure ExpressRoute并通过专用VPC端点接口将流量路由到Azure。
准备您的BlueXP Connector如果您已在Azure vNet或内部部署了Connector、则可以完全完成。如果没有、则需要创建BlueXP连接器、将ONTAP数据备份到Azure Blb存储。您还需要自定义Connector的网络设置、以便它可以连接到Azure。
验证许可证要求您需要检查Azure和BlueXP的许可证要求。
请参见 验证许可证要求。
准备ONTAP集群在BlueXP中发现ONTAP集群、验证这些集群是否满足最低要求、以及自定义网络设置、以便这些集群可以连接到Azure。
准备Azure Blb作为备份目标为Connector设置创建和管理Azure存储分段的权限。您还需要为内部ONTAP集群设置权限、以便它可以向Azure存储分段读取和写入数据。
或者、您也可以设置自己的自定义托管密钥来进行数据加密、而不是使用默认的Azure加密密钥。 了解如何让您的Azure环境做好接收ONTAP备份的准备。
激活ONTAP卷上的备份选择工作环境、然后单击右侧面板中备份和恢复服务旁边的*启用>备份卷*。然后、按照设置向导选择要使用的复制和备份策略以及要备份的卷。
确定连接方法
选择在配置从内部ONTAP系统到Azure Blb的备份时将使用以下两种连接方法中的哪一种。
-
公共连接-使用公共Azure端点将ONTAP系统直接连接到Azure Blob存储。
-
专用连接-使用VPN或ExpressRoute并通过使用专用IP地址的vNet专用端点路由流量。
或者、您也可以使用公共或专用连接连接到二级ONTAP系统以存储复制的卷。
下图显示了*公有 connection*方法以及组件之间需要准备的连接。您可以使用内部安装的Connector或Azure vNet中部署的Connector。
下图显示了*专用连接*方法以及组件之间需要准备的连接。您可以使用内部安装的Connector或Azure vNet中部署的Connector。
准备您的BlueXP Connector
BlueXP Connector是BlueXP功能的主要软件。需要使用连接器来备份和还原 ONTAP 数据。
创建或切换连接器
如果您已在Azure vNet或内部部署了Connector、则可以完全完成。
如果没有、则需要在其中一个位置创建一个连接器、将ONTAP数据备份到Azure Blb存储。您不能使用部署在其他云提供商中的Connector。
-
如果连接器部署在云中、则Azure政府区域支持BlueXP备份和恢复、而不是安装在您的内部环境中。此外、您还必须从Azure Marketplace部署Connector。您不能从BlueXP SaaS网站在政府区域部署Connector。
为连接器准备网络连接
确保此连接器具有所需的网络连接。
-
确保安装 Connector 的网络启用以下连接:
-
通过端口443与BlueXP备份和恢复服务以及Blob对象存储建立HTTPS连接 ("请参见端点列表")
-
通过端口 443 与 ONTAP 集群管理 LIF 建立 HTTPS 连接
-
要使BlueXP备份和恢复搜索和还原功能正常工作、必须打开端口1433、以便在Connector和Azure Synapse SQL服务之间进行通信。
-
Azure和Azure政府部署还需要其他入站安全组规则。请参见 "Azure 中连接器的规则" 了解详细信息。
-
-
为 Azure 存储启用 vNet 私有端点。如果您从ONTAP 集群到vNet具有ExpressRoute或VPN连接、并且希望Connector和Blob存储之间的通信保持在虚拟专用网络中(*专用*连接)、则需要此功能。
验证并向Connector添加权限
要使用BlueXP备份和恢复搜索和还原功能、您需要对Connector的角色拥有特定权限、以便它可以访问Azure Synapse Workspace和Data Lake存储帐户。请参见以下权限、如果需要修改策略、请按照以下步骤进行操作。
您必须在订阅中注册Azure Synapse分析资源提供程序(称为"microsoft.Synape")。 "了解如何为您的订阅注册此资源提供商"。您必须是订阅*所有者*或*贡献者*才能注册资源提供程序。
-
确定分配给 Connector 虚拟机的角色:
-
在 Azure 门户中,打开虚拟机服务。
-
选择 Connector 虚拟机。
-
在*Settings*下,选择*Identity *。
-
选择*Azure角色分配*。
-
记下分配给 Connector 虚拟机的自定义角色。
-
-
更新自定义角色:
-
在 Azure 门户中,打开 Azure 订阅。
-
选择*访问控制(IAM)>角色*。
-
选择自定义角色的省略号(…),然后选择*Edit*。
-
选择*JSX*并添加以下权限:
Details
"Microsoft.Storage/storageAccounts/listkeys/action", "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/write", "Microsoft.Storage/storageAccounts/blobServices/containers/read", "Microsoft.Storage/storageAccounts/listAccountSas/action", "Microsoft.KeyVault/vaults/read", "Microsoft.KeyVault/vaults/accessPolicies/write", "Microsoft.Network/networkInterfaces/read", "Microsoft.Resources/subscriptions/locations/read", "Microsoft.Network/virtualNetworks/read", "Microsoft.Network/virtualNetworks/subnets/read", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.Resources/subscriptions/resourcegroups/resources/read", "Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Authorization/locks/*", "Microsoft.Network/privateEndpoints/write", "Microsoft.Network/privateEndpoints/read", "Microsoft.Network/privateDnsZones/virtualNetworkLinks/write", "Microsoft.Network/virtualNetworks/join/action", "Microsoft.Network/privateDnsZones/A/write", "Microsoft.Network/privateDnsZones/read", "Microsoft.Network/privateDnsZones/virtualNetworkLinks/read", "Microsoft.Network/networkInterfaces/delete", "Microsoft.Network/networkSecurityGroups/delete", "Microsoft.Resources/deployments/delete", "Microsoft.ManagedIdentity/userAssignedIdentities/assign/action", "Microsoft.Synapse/workspaces/write", "Microsoft.Synapse/workspaces/read", "Microsoft.Synapse/workspaces/delete", "Microsoft.Synapse/register/action", "Microsoft.Synapse/checkNameAvailability/action", "Microsoft.Synapse/workspaces/operationStatuses/read", "Microsoft.Synapse/workspaces/firewallRules/read", "Microsoft.Synapse/workspaces/replaceAllIpFirewallRules/action", "Microsoft.Synapse/workspaces/operationResults/read", "Microsoft.Synapse/workspaces/privateEndpointConnectionsApproval/action" -
选择*查看+更新*,然后选择*更新*。
-
验证许可证要求
您需要验证Azure和BlueXP的许可证要求:
-
在为集群激活BlueXP备份和恢复之前、您需要从Azure订阅按需购买(PAYGO) BlueXP Marketplace产品、或者从NetApp购买并激活BlueXP备份和恢复BYOL许可证。这些许可证适用于您的帐户,可在多个系统中使用。
-
对于BlueXP备份和恢复PAYGO许可、您需要订阅 "Azure Marketplace中的NetApp BlueXP产品"。BlueXP备份和恢复的计费通过此订阅完成。
-
对于BlueXP备份和恢复BYOL许可、您需要NetApp提供的序列号、以便在许可证有效期和容量内使用此服务。 "了解如何管理 BYOL 许可证"。
-
-
您需要为备份所在的对象存储空间订阅 Azure 。
支持的地区
您可以在所有区域(包括 Azure 政府区域)中创建从本地系统到 Azure Blob 的备份。您可以在设置服务时指定要存储备份的区域。
准备ONTAP集群
您需要准备源内部ONTAP系统和任何二级内部ONTAP或Cloud Volumes ONTAP系统。
准备ONTAP集群包括以下步骤:
-
在BlueXP中发现ONTAP系统
-
验证ONTAP系统要求
-
验证将数据备份到对象存储时的ONTAP网络要求
-
验证复制卷的ONTAP网络要求
在BlueXP中发现ONTAP系统
BlueXP Canvas上必须提供源内部ONTAP系统和任何二级内部ONTAP或Cloud Volumes ONTAP系统。
要添加集群,您需要知道集群管理 IP 地址和管理员用户帐户的密码。
"了解如何发现集群"。
验证ONTAP系统要求
确保满足以下ONTAP要求:
验证将数据备份到对象存储时的ONTAP网络要求
您必须在连接到对象存储的系统上配置以下要求。
-
对于扇出备份架构、请在_primar因_系统上配置以下设置。
-
对于级联备份架构、请在_Secondary _系统上配置以下设置。
需要满足以下ONTAP集群网络连接要求:
-
ONTAP 集群通过端口 443 从集群间 LIF 启动 HTTPS 连接到 Azure Blob 存储,以执行备份和还原操作。
ONTAP 可在对象存储之间读取和写入数据。对象存储永远不会启动,而只是响应。
-
ONTAP 需要从连接器到集群管理 LIF 的入站连接。此连接器可以驻留在 Azure vNet 中。
-
托管要备份的卷的每个 ONTAP 节点都需要一个集群间 LIF 。LIF 必须与 _IP 空间 _ 关联, ONTAP 应使用此 _IP 空间 _ 连接到对象存储。 "了解有关 IP 空间的更多信息"。
设置BlueXP备份和恢复时、系统会提示您使用IP空间。您应选择与每个 LIF 关联的 IP 空间。这可能是您创建的 " 默认 "IP 空间或自定义 IP 空间。
-
节点和集群间 LIF 能够访问对象存储。
-
已为卷所在的 Storage VM 配置 DNS 服务器。请参见操作说明 "为 SVM 配置 DNS 服务"。
-
如果您使用的IP空间与默认IP空间不同、则可能需要创建静态路由才能访问对象存储。
-
如有必要、请更新防火墙规则、以允许通过端口443从ONTAP 到对象存储的BlueXP备份和恢复服务连接、以及通过端口53 (TCP/UDP)从Storage VM到DNS服务器的名称解析流量。
验证复制卷的ONTAP网络要求
如果您计划使用BlueXP备份和恢复在二级ONTAP系统上创建复制的卷、请确保源系统和目标系统满足以下网络连接要求。
内部ONTAP网络要求
-
如果集群位于您的内部环境中、则您应在企业网络与云提供商中的虚拟网络之间建立连接。这通常是一个 VPN 连接。
-
ONTAP 集群必须满足其他子网、端口、防火墙和集群要求。
由于您可以复制到Cloud Volumes ONTAP或内部系统、因此请查看内部ONTAP系统的对等要求。 "在 ONTAP 文档中查看集群对等的前提条件"。
Cloud Volumes ONTAP网络连接要求
-
实例的安全组必须包含所需的入站和出站规则:具体来说,是 ICMP 以及端口 11104 和 11105 的规则。这些规则包括在预定义的安全组中。
准备Azure Blb作为备份目标
-
您可以在激活向导中使用自己的自定义管理密钥进行数据加密、而不是使用默认的Microsoft管理的加密密钥。在这种情况下,您需要拥有 Azure 订阅,密钥存储名称和密钥。 "了解如何使用您自己的密钥"。
请注意、备份和恢复支持使用_Azure访问策略_作为权限模型。当前不支持_Azure基于角色的访问控制_(Azure RBAC)权限模型。
-
如果您希望通过公有 Internet 从内部数据中心更安全地连接到 vNet ,可以在激活向导中选择配置 Azure 私有端点。在这种情况下,您需要了解此连接的 vNet 和子网。 "请参见有关使用专用端点的详细信息"。
创建您的Azure Blb存储帐户
默认情况下、该服务会为您创建存储帐户。如果要使用自己的存储帐户、您可以在启动备份激活向导之前创建这些帐户、然后在向导中选择这些存储帐户。
激活ONTAP卷上的备份
随时直接从内部工作环境激活备份。
向导将引导您完成以下主要步骤:
您也可以 显示API命令 在审核步骤中、这样您就可以复制代码、以便为未来的工作环境自动激活备份。
启动向导
-
使用以下方式之一访问激活备份和恢复向导:
-
从BlueXP画布中、选择工作环境、然后在右侧面板中的备份和恢复服务旁边选择*启用>备份卷*。
如果备份的Azure目标在Canvas上以工作环境的形式存在、则可以将ONTAP集群拖动到Azure Blb对象存储上。
-
在备份和恢复栏中选择*卷*。从卷选项卡中,选择*操作*
图标并为单个卷(尚未启用复制或备份到对象存储)选择*激活备份*。
向导的"简介"页面显示了保护选项、包括本地Snapshot、复制和备份。如果您执行了此步骤中的第二个选项、则会显示Define Backup Strategy"页面、并选择一个卷。
-
-
继续执行以下选项:
-
如果您已经拥有BlueXP Connector、则一切都已准备就绪。只需选择*下一步*。
-
如果您还没有BlueXP Connector,将显示*Add a Connecter*选项。请参见 准备您的BlueXP Connector。
-
选择要备份的卷
选择要保护的卷。受保护卷是指具有以下一项或多项内容的卷:Snapshot策略、复制策略、备份到对象策略。
您可以选择保护FlexVol或FlexGroup卷;但是、在为工作环境激活备份时、不能混合选择这些卷。请参见操作说明 "为工作环境中的其他卷激活备份" (FlexVol或FlexGroup)。
|
|
|
请注意、如果您选择的卷已应用Snapshot或复制策略、则您稍后选择的策略将覆盖这些现有策略。
-
在选择卷页面中、选择要保护的一个或多个卷。
-
(可选)筛选行以仅显示具有特定卷类型、样式等的卷、以便于选择。
-
选择第一个卷后、您可以选择所有FlexVol卷(一次只能选择一个FlexGroup卷)。要备份所有现有FlexVol卷、请先选中一个卷、然后选中标题行中的框。(
)。 -
要备份单个卷,请选中每个卷对应的框(
)。
-
-
选择 * 下一步 * 。
定义备份策略
定义备份策略包括设置以下选项:
-
是需要一个还是所有备份选项:本地快照、复制和备份到对象存储
-
架构
-
本地Snapshot策略
-
复制目标和策略
如果您选择的卷具有与此步骤中选择的策略不同的Snapshot和复制策略、则现有策略将被覆盖。 -
备份到对象存储信息(提供程序、加密、网络连接、备份策略和导出选项)。
-
在"Define backup stry"页面中、选择以下一项或全部。默认情况下、所有这三个选项均处于选中状态:
-
本地快照:如果要执行复制或备份到对象存储、则必须创建本地快照。
-
复制:在另一个ONTAP存储系统上创建复制的卷。
-
Backup:将卷备份到对象存储。
-
-
*Architecture *:如果选择复制和备份,请选择以下信息流之一:
-
级联:信息从主存储流向二级存储、从二级存储流向对象存储。
-
扇出:从主存储到二级存储的信息从主存储到对象存储。
有关这些架构的详细信息、请参见 "规划您的保护之旅"。
-
-
本地Snap照:选择现有Snapshot策略或创建新的Snapshot策略。
要在激活Snapshot之前创建自定义策略、请参见 "创建策略"。 要创建策略,请选择*创建新策略*并执行以下操作:
-
输入策略的名称。
-
最多可选择5个计划、通常频率不同。
-
选择 * 创建 * 。
-
-
*Replication *:设置以下选项:
-
复制目标:选择目标工作环境和SVM。或者、选择要添加到复制的卷名称中的一个或多个目标聚合以及前缀或后缀。
-
复制策略:选择现有复制策略或创建新复制策略。
要在激活复制之前创建自定义策略、请参见 "创建策略"。 要创建策略,请选择*创建新策略*并执行以下操作:
-
输入策略的名称。
-
最多可选择5个计划、通常频率不同。
-
选择 * 创建 * 。
-
-
-
备份到对象:如果选择了*Backup*,请设置以下选项:
-
Provider:选择*Microsoft Azure"。
-
提供商设置:输入要存储备份的提供商详细信息和区域。
创建新存储帐户或选择现有帐户。
您可以创建自己的资源组来管理Blb容器,也可以选择资源组类型和组。
如果要防止备份文件被修改或删除、请确保在创建存储帐户时启用了不可变存储、保留期限为30天。
如果要将较早的备份文件分层到Azure归档存储以进一步优化成本、请确保存储帐户具有适当的生命周期规则。 -
加密密钥:如果您创建了新的Azure存储帐户、请输入提供商提供给您的加密密钥信息。选择是使用默认Azure加密密钥、还是从Azure帐户中选择您自己的客户管理密钥来管理数据加密。
如果选择使用自己的客户管理密钥、请输入密钥库和密钥信息。
如果您选择了现有的Microsoft存储帐户、则加密信息已可用、因此您现在无需输入。 -
联网:选择IP空间,以及是否使用专用端点。默认情况下、专用端点处于禁用状态。
-
要备份的卷所在的 ONTAP 集群中的 IP 空间。此 IP 空间的集群间 LIF 必须具有出站 Internet 访问权限。
-
(可选)选择是否使用先前配置的Azure私有端点。 "了解如何使用Azure私有端点"。
-
-
备份策略:选择现有备份到对象存储策略或创建新策略。
要在激活备份之前创建自定义策略、请参见 "创建策略"。 要创建策略,请选择*创建新策略*并执行以下操作:
-
输入策略的名称。
-
最多可选择5个计划、通常频率不同。
-
对于备份到对象策略、请设置DataLock和防兰森保护设置。有关DataLock和防抱死系统保护的详细信息、请参阅 "备份到对象策略设置"。
-
选择 * 创建 * 。
-
-
将现有Snapshot副本作为备份副本导出到对象存储:如果此工作环境中的卷具有与您刚刚为此工作环境选择的备份计划标签(例如每日、每周等)匹配的任何本地Snapshot副本、则会显示此附加提示。选中此框可将所有历史Snapshot作为备份文件复制到对象存储、以确保对卷进行最全面的保护。
-
-
选择 * 下一步 * 。
查看您的选择
您可以借此机会查看所做的选择、并在必要时进行调整。
-
在Review页面中、查看所做的选择。
-
(可选)选中*自动将Snapshot策略标签与复制和备份策略标签同步*复选框。此操作将创建具有与复制和备份策略中的标签匹配的标签的Snapshot。
-
选择*激活备份*。
BlueXP备份和恢复开始对卷进行初始备份。复制的卷和备份文件的基线传输包括主存储系统数据的完整副本。后续传输会包含Snapshot副本中所含主存储系统数据的差异副本。
此时将在目标集群中创建一个复制的卷、该卷将与主卷同步。
此时将在您输入的资源组中创建Blb存储帐户、并在该资源组中存储备份文件。此时将显示卷备份信息板,以便您可以监控备份的状态。
您还可以使用监控备份和还原作业的状态 "作业监控面板"。
显示API命令
您可能希望显示并(可选)复制激活备份和恢复向导中使用的API命令。您可能希望执行此操作、以便在未来工作环境中自动激活备份。
-
从激活备份和恢复向导中,选择*View API Request*。
-
要将命令复制到剪贴板,请选择*复制*图标。
下一步是什么?
-
您可以 "管理备份文件和备份策略"。其中包括启动和停止备份、删除备份、添加和更改备份计划等。
-
您可以 "管理集群级别的备份设置"。其中包括更改可用于将备份上传到对象存储的网络带宽、更改未来卷的自动备份设置等。
-
您也可以 "从备份文件还原卷、文件夹或单个文件" 连接到 Azure 中的 Cloud Volumes ONTAP 系统或内部 ONTAP 系统。