Amazon Web Services
Google Cloud
Microsoft Azure
请求文档变更
在 GitHub 上编辑
提供者指南
可用的 PDF
将内部 ONTAP 数据备份到 Azure Blob 存储
提供者
完成几个步骤、开始将卷数据从内部ONTAP 系统备份到Azure Blob存储。
请注意, " 内部 ONTAP 系统 " 包括 FAS , AFF 和 ONTAP Select 系统。
快速入门
按照以下步骤快速入门,或者向下滚动到其余部分以了解完整详细信息。
验证是否支持您的配置-
您已发现内部集群并将其添加到BlueXP中的工作环境中。请参见 "发现 ONTAP 集群" 了解详细信息。
-
集群运行的是ONTAP 9.7P5或更高版本(建议使用ONTAP 9.8P13及更高版本)。
-
集群具有 SnapMirror 许可证—它作为超值包或数据保护包的一部分提供。
-
集群必须与 Blob 存储和 Connector 建立所需的网络连接。
-
-
Connector 必须具有与 Blob 存储和集群的所需网络连接以及所需权限。
-
您已为备份所在的对象存储空间订阅有效的 Azure 。
在系统上启用BlueXP备份和恢复选择工作环境、然后单击右侧面板中备份和恢复服务旁边的*启用>备份卷*、然后按照设置向导进行操作。
选择云提供商并输入提供商详细信息选择 Microsoft Azure 作为您的提供程序,然后输入提供程序详细信息。您需要选择 Azure 订阅以及要创建备份的区域。您还可以选择自己的客户管理密钥进行数据加密,而不是使用默认的 Microsoft 管理的加密密钥。
选择集群 IP 空间以及可选使用专用 vNet 端点选择卷所在 ONTAP 集群中的 IP 空间。您还可以选择使用现有 Azure 私有端点,以便从内部数据中心更安全地连接到 vNet 。
定义默认备份策略默认策略每天备份卷,并保留每个卷的最新 30 个备份副本。更改为每小时、每天、每周、每月或每年备份、 或者、选择一个系统定义的策略以提供更多选项。您还可以更改要保留的备份副本数。
或者、在使用ONTAP 9.12.1及更高版本时、您也可以选择通过配置_DataLock和勒索软件保护_设置之一来保护备份免受删除和勒索软件攻击。 "详细了解可用的BlueXP备份和恢复策略配置设置"。
默认情况下,备份存储在冷访问层中。如果集群使用的是 ONTAP 9.10.1 或更高版本,则可以选择在一定天数后将备份分层到 Azure 归档存储,以便进一步优化成本。 "详细了解可用的BlueXP备份和恢复策略配置设置"。
选择要备份的卷在选择卷页面中,使用默认备份策略确定要备份的卷。如果要为某些卷分配不同的备份策略,可以创建其他策略并稍后将其应用于卷。
要求
在开始将内部卷备份到 Azure Blob 存储之前,请阅读以下要求,以确保您的配置受支持。
在配置从内部 ONTAP 系统到 Azure Blob 的备份时,您可以使用两种连接方法。
-
公有 连接—使用公有 Azure 端点将 ONTAP 系统直接连接到 Azure Blob 存储。
-
专用连接—使用 VPN 或 ExpressRoute ,并通过使用专用 IP 地址的 vNet 专用端点路由流量。
下图显示了*公有 connection*方法以及组件之间需要准备的连接。您可以使用内部安装的Connector或Azure vNet中部署的Connector。
下图显示了*专用连接*方法以及组件之间需要准备的连接。您可以使用内部安装的Connector或Azure vNet中部署的Connector。
准备 ONTAP 集群
您需要先在BlueXP中发现内部ONTAP 集群、然后才能开始备份卷数据。
- ONTAP 要求
- 集群网络连接要求
-
-
ONTAP 集群通过端口 443 从集群间 LIF 启动 HTTPS 连接到 Azure Blob 存储,以执行备份和还原操作。
ONTAP 可在对象存储之间读取和写入数据。对象存储永远不会启动,而只是响应。
-
ONTAP 需要从连接器到集群管理 LIF 的入站连接。此连接器可以驻留在 Azure vNet 中。
-
托管要备份的卷的每个 ONTAP 节点都需要一个集群间 LIF 。LIF 必须与 _IP 空间 _ 关联, ONTAP 应使用此 _IP 空间 _ 连接到对象存储。 "了解有关 IP 空间的更多信息"。
设置BlueXP备份和恢复时、系统会提示您使用IP空间。您应选择与每个 LIF 关联的 IP 空间。这可能是您创建的 " 默认 "IP 空间或自定义 IP 空间。
-
节点和集群间 LIF 能够访问对象存储。
-
已为卷所在的 Storage VM 配置 DNS 服务器。请参见操作说明 "为 SVM 配置 DNS 服务"。
-
请注意,如果您使用的 IP 空间与默认 IP 空间不同,则可能需要创建静态路由才能访问对象存储。
-
如有必要、请更新防火墙规则、以允许通过端口443从ONTAP 到对象存储的BlueXP备份和恢复服务连接、以及通过端口53 (TCP/UDP)从Storage VM到DNS服务器的名称解析流量。
-
创建或切换连接器
如果您已在Azure vNet或内部部署了Connector、则可以完全完成。如果没有、则需要在其中任一位置创建一个连接器、以便将ONTAP 数据备份到Azure Blob存储。您不能使用部署在其他云提供商中的Connector。
-
如果连接器部署在云中、则Azure政府区域支持BlueXP备份和恢复、而不是安装在您的内部环境中。此外、您还必须从Azure Marketplace部署Connector。您不能从BlueXP SaaS网站在政府区域部署Connector。
为连接器准备网络连接
确保此连接器具有所需的网络连接。
-
确保安装 Connector 的网络启用以下连接:
-
通过端口443与BlueXP备份和恢复服务以及Blob对象存储建立HTTPS连接 ("请参见端点列表")
-
通过端口 443 与 ONTAP 集群管理 LIF 建立 HTTPS 连接
-
要使BlueXP备份和恢复搜索和还原功能正常工作、必须打开端口1433、以便在Connector和Azure Synapse SQL服务之间进行通信。
-
Azure和Azure政府部署还需要其他入站安全组规则。请参见 "Azure 中连接器的规则" 了解详细信息。
-
-
为 Azure 存储启用 vNet 私有端点。如果您从ONTAP 集群到vNet具有ExpressRoute或VPN连接、并且希望Connector和Blob存储之间的通信保持在虚拟专用网络中(*专用*连接)、则需要此功能。
验证并向Connector添加权限
要使用BlueXP备份和恢复搜索和还原功能、您需要对Connector的角色拥有特定权限、以便它可以访问Azure Synapse Workspace和Data Lake存储帐户。请参见以下权限、如果需要修改策略、请按照以下步骤进行操作。
您必须在订阅中注册Azure Synapse分析资源提供程序(称为"microsoft.Synape")。 "了解如何为您的订阅注册此资源提供商"。您必须是订阅*所有者*或*贡献者*才能注册资源提供程序。
-
确定分配给 Connector 虚拟机的角色:
-
在 Azure 门户中,打开虚拟机服务。
-
选择 Connector 虚拟机。
-
在设置下,选择 * 身份 * 。
-
单击 * Azure 角色分配 * 。
-
记下分配给 Connector 虚拟机的自定义角色。
-
-
更新自定义角色:
-
在 Azure 门户中,打开 Azure 订阅。
-
单击 * 访问控制( IAM ) > 角色 * 。
-
单击自定义角色的省略号( … ),然后单击 * 编辑 * 。
-
单击 JSON 并添加以下权限:
"Microsoft.Compute/virtualMachines/read", "Microsoft.Compute/virtualMachines/start/action", "Microsoft.Compute/virtualMachines/deallocate/action", "Microsoft.Storage/storageAccounts/listkeys/action", "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/write", "Microsoft.Storage/storageAccounts/blobServices/containers/read", "Microsoft.Storage/storageAccounts/listAccountSas/action", "Microsoft.KeyVault/vaults/read", "Microsoft.KeyVault/vaults/accessPolicies/write", "Microsoft.Network/networkInterfaces/read", "Microsoft.Resources/subscriptions/locations/read", "Microsoft.Network/virtualNetworks/read", "Microsoft.Network/virtualNetworks/subnets/read", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.Resources/subscriptions/resourcegroups/resources/read", "Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Authorization/locks/*", "Microsoft.Network/privateEndpoints/write", "Microsoft.Network/privateEndpoints/read", "Microsoft.Network/privateDnsZones/virtualNetworkLinks/write", "Microsoft.Network/virtualNetworks/join/action", "Microsoft.Network/privateDnsZones/A/write", "Microsoft.Network/privateDnsZones/read", "Microsoft.Network/privateDnsZones/virtualNetworkLinks/read", "Microsoft.Compute/virtualMachines/extensions/delete", "Microsoft.Compute/virtualMachines/delete", "Microsoft.Network/networkInterfaces/delete", "Microsoft.Network/networkSecurityGroups/delete", "Microsoft.Resources/deployments/delete", "Microsoft.ManagedIdentity/userAssignedIdentities/assign/action", "Microsoft.Synapse/workspaces/write", "Microsoft.Synapse/workspaces/read", "Microsoft.Synapse/workspaces/delete", "Microsoft.Synapse/register/action", "Microsoft.Synapse/checkNameAvailability/action", "Microsoft.Synapse/workspaces/operationStatuses/read", "Microsoft.Synapse/workspaces/firewallRules/read", "Microsoft.Synapse/workspaces/replaceAllIpFirewallRules/action", "Microsoft.Synapse/workspaces/operationResults/read", "Microsoft.Synapse/workspaces/privateEndpointConnectionsApproval/action" -
单击 * 查看 + 更新 * ,然后单击 * 更新 * 。
-
支持的区域
您可以在所有区域创建从内部系统到 Azure Blob 的备份 "支持 Cloud Volumes ONTAP 的位置";包括 Azure 政府区域。您可以在设置服务时指定要存储备份的区域。
验证许可证要求
-
在为集群激活BlueXP备份和恢复之前、您需要从Azure订阅按需购买(PAYGO) BlueXP Marketplace产品、或者从NetApp购买并激活BlueXP备份和恢复BYOL许可证。这些许可证适用于您的帐户,可在多个系统中使用。
-
对于BlueXP备份和恢复PAYGO许可、您需要订阅 "Azure Marketplace中的NetApp BlueXP产品"。BlueXP备份和恢复的计费通过此订阅完成。
-
对于BlueXP备份和恢复BYOL许可、您需要NetApp提供的序列号、以便在许可证有效期和容量内使用此服务。 "了解如何管理 BYOL 许可证"。
-
-
您需要为备份所在的对象存储空间订阅 Azure 。
您可以在所有区域创建从内部系统到 Azure Blob 的备份 "支持 Cloud Volumes ONTAP 的位置";包括 Azure 政府区域。您可以在设置服务时指定要存储备份的区域。
为备份准备 Azure Blob 存储
-
您可以在激活向导中使用自己的自定义管理密钥进行数据加密、而不是使用默认的Microsoft管理的加密密钥。在这种情况下,您需要拥有 Azure 订阅,密钥存储名称和密钥。 "了解如何使用您自己的密钥"。
请注意、备份和恢复支持使用_Azure访问策略_作为权限模型。当前不支持_Azure基于角色的访问控制_(Azure RBAC)权限模型。
-
如果您希望通过公有 Internet 从内部数据中心更安全地连接到 vNet ,可以在激活向导中选择配置 Azure 私有端点。在这种情况下,您需要了解此连接的 vNet 和子网。 "请参见有关使用私有端点的详细信息"。
启用BlueXP备份和恢复
随时直接从内部工作环境启用BlueXP备份和恢复。
-
在Canvas中、选择工作环境、然后单击右侧面板中备份和恢复服务旁边的*启用>备份卷*。
如果您的备份的Azure Blob目标作为工作环境存在于Canvas上、您可以将集群拖动到Azure Blob工作环境中以启动设置向导。
-
选择 Microsoft Azure 作为提供程序,然后单击 * 下一步 * 。
-
输入提供程序详细信息并单击 * 下一步 * 。
-
用于备份的 Azure 订阅以及要存储备份的 Azure 区域。
-
用于管理 Blob 容器的资源组—您可以创建新资源组或选择现有资源组。
-
是使用默认的 Microsoft 管理的加密密钥,还是选择您自己的客户管理的密钥来管理数据加密。 ("了解如何使用您自己的密钥")。
-
-
如果您的帐户没有现有的BlueXP备份和恢复许可证、此时将提示您选择要使用的充电方法类型。您可以订阅Azure提供的按需购买(PAYGO) BlueXP Marketplace产品(如果您有多个订阅、则需要选择一个)、或者从NetApp购买并激活BlueXP备份和恢复BYOL许可证。 "了解如何设置BlueXP备份和恢复许可。"
-
输入网络连接详细信息并单击 * 下一步 * 。
-
要备份的卷所在的 ONTAP 集群中的 IP 空间。此 IP 空间的集群间 LIF 必须具有出站 Internet 访问权限。
-
(可选)选择是否要配置 Azure 私有端点。 "请参见有关使用私有端点的详细信息"。
-
-
输入要用于默认策略的备份策略详细信息、然后单击*下一步*。您可以选择现有策略、也可以通过在每个部分中输入所做的选择来创建新策略:
-
输入默认策略的名称。您无需更改名称。
-
定义备份计划并选择要保留的备份数。 "请参见您可以选择的现有策略列表"。
-
或者、在使用ONTAP 9.12.1及更高版本时、您也可以选择通过配置_DataLock和勒索软件保护_设置之一来保护备份免受删除和勒索软件攻击。_DataLock_可防止您的备份文件被修改或删除、_勒索 软件保护_会扫描您的备份文件、以在备份文件中查找勒索软件攻击的证据。 "详细了解可用的DataLock设置"。
-
使用 ONTAP 9.10.1 及更高版本时,您可以选择在一定天数后将备份分层到 Azure 归档存储,以进一步优化成本。 "了解有关使用归档层的更多信息"。
-
-
在选择卷页面中、使用定义的备份策略选择要备份的卷。如果要为某些卷分配不同的备份策略,可以创建其他策略并稍后将其应用于这些卷。
-
要备份所有现有卷以及将来添加的任何卷、请选中"备份所有现有卷和未来卷…"框。我们建议使用此选项、以便备份所有卷、您不必记住为新卷启用备份。
-
要仅备份现有卷、请选中标题行(
)。 -
要备份单个卷,请选中每个卷对应的框(
)。
-
如果此工作环境中的读/写卷有任何本地Snapshot副本与您刚刚为此工作环境选择的备份计划标签(例如、每日、每周等)匹配、则会显示一条额外的提示"将现有Snapshot副本作为备份副本导出到对象存储"。如果要将所有历史快照作为备份文件复制到对象存储、请选中此框、以确保为卷提供最全面的保护。
-
-
单击*激活备份*、BlueXP备份和恢复将开始对卷进行初始备份。
系统会在您输入的资源组中自动创建Blob存储容器、并且备份文件会存储在该资源组中。此时将显示卷备份信息板,以便您可以监控备份的状态。您还可以使用监控备份和还原作业的状态 "作业监控面板"。
下一步是什么?
-
您可以 "管理备份文件和备份策略"。其中包括启动和停止备份、删除备份、添加和更改备份计划等。
-
您可以 "管理集群级别的备份设置"。其中包括更改可用于将备份上传到对象存储的网络带宽、更改未来卷的自动备份设置等。
-
您也可以 "从备份文件还原卷、文件夹或单个文件" 连接到 Azure 中的 Cloud Volumes ONTAP 系统或内部 ONTAP 系统。