Skip to main content
BlueXP backup and recovery
所有云提供商
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • 所有云提供商
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

备份到对象策略选项

贡献者

通过BlueXP备份和恢复、您可以为您的ONTAP和Cloud Volumes ONTAP系统创建具有各种设置的备份策略。

备注 这些策略设置仅与备份到对象存储相关。这些设置均不会影响您的Snapshot或复制策略。将来会为快照和复制添加类似的策略设置。

备份计划选项

通过BlueXP备份和恢复功能、您可以为每个工作环境(集群)创建多个备份策略、并为其创建唯一的计划。您可以为具有不同恢复点目标(RPO)的卷分配不同的备份策略。

每个备份策略都为_Labels & Retenation_s提供了一个部分、您可以将其应用于备份文件。请注意、应用于卷的Snapshot策略必须是BlueXP备份和恢复可识别的策略之一、否则不会创建备份文件。

创建备份策略时的备份计划设置的屏幕截图。

计划分为两部分:标签和保留值:

  • *标签*用于定义从卷创建(或更新)备份文件的频率。您可以选择以下类型的标签:

    • 您可以选择一个或多个选项:每小时每日每周每月、 和*每年*的时间范围。

    • 您可以选择系统定义的策略之一、这些策略可提供3个月、1年或7年的备份和保留。

    • 如果您已使用ONTAP 系统管理器或ONTAP 命令行界面在集群上创建自定义备份保护策略、则可以选择其中一个策略。

  • "保留"值用于定义每个标签的备份文件数量(时间范围)。在一个类别或间隔内达到最大备份数后、较早的备份将被删除、以便始终拥有最新的备份。这还可以节省存储成本、因为过时的备份不会继续占用云中的空间。

例如、假设您创建了一个备份策略、用于创建7个*每周*备份和12个*每月*备份:

  • 每周和每月都会为卷创建一个备份文件

  • 在第8周删除第一个每周备份、并添加第8周的新每周备份(最多保留7个每周备份)

  • 在第13个月、删除了第一个每月备份、并添加了第13个月的新每月备份(最多保留12个每月备份)

请注意、在将年度备份传输到对象存储后、系统会自动从源系统中删除此备份。可以更改此默认行为 "在高级设置页面中" 适用于工作环境。

DataLock和Ransam用 保护选项

BlueXP备份和恢复支持为卷备份提供DataLock和勒索软件保护。通过这些功能、您可以锁定备份文件并对其进行扫描、以检测备份文件上可能存在的勒索软件。这是一个可选设置、当您希望为集群的卷备份提供额外保护时、可以在备份策略中定义此设置。

这两项功能都可以保护您的备份文件、以便在您的备份受到勒索软件攻击时、您始终拥有一个有效的备份文件来恢复数据。如果备份需要锁定并保留一段时间、则满足某些法规要求也会很有帮助。启用DataLock和防兰软件保护选项后、在BlueXP备份和恢复激活过程中配置的云分段将启用对象锁定和对象版本控制。

"有关详细信息、请参见DataLock和勒索软件保护博客"

此功能不会为源卷提供保护;仅适用于这些源卷的备份。使用NetApp "Cloud Insights 和Cloud Secure"或部分 "ONTAP 提供的反勒索软件保护" 以保护源卷。

注意

  • 如果您计划使用DataLock和防兰软件保护、则可以在创建第一个备份策略并为该集群激活BlueXP备份和恢复时启用它。您可以稍后使用BlueXP备份和恢复高级设置来启用它。

  • 配置集群以节省成本后、可以对其禁用DataLock和防抱死软件保护。

  • 如果BlueXP在还原卷数据时扫描备份文件中的勒索软件、则您将承担云提供商为访问备份文件内容而支付的额外传出成本。

什么是DataLock

DataLock可保护您的备份文件在一段时间内不会被修改或删除、也称为_immutable storage_。此功能使用对象存储提供程序的技术进行"对象锁定"。 锁定(和保留)备份文件的时间段称为DataLock保留期限。它基于您定义的备份策略计划和保留设置、外加14天的缓冲区。任何少于30天的DataLock保留策略将取整为最短30天。

请注意、旧备份会在DataLock保留期限到期后删除、而不是在备份策略保留期限到期后删除。

下面我们来看看这种方法的一些示例:

  • 如果您创建包含12个保留项的每月备份计划、则每个备份将在删除前锁定12个月(外加14天)。

  • 如果您创建的备份策略创建30个每日备份、7个每周备份、12个每月备份、则会有三个锁定的保留期限。"30个每日"备份将保留44天(30天加上14天缓冲)、"7个每周"备份将保留9周(7周加14天)、"12个每月"备份将保留12个月(加上14天)。

  • 如果您创建一个保留24个保留项的每小时备份计划、则可能会认为备份会锁定24小时。但是、由于此时间少于最短30天、因此每个备份将被锁定并保留44天(30天加上14天缓冲区)。

    在最后一个案例中、您可以看到、如果每个备份文件锁定44天、则最终备份文件的数量将比使用每小时/24小时保留策略通常保留的备份文件数量多。通常、在BlueXP备份和恢复创建第25个备份文件时、它会删除最旧的备份、以使最大保留值保持为24 (根据策略)。在这种情况下、DataLock保留设置会覆盖备份策略中的策略保留设置。这可能会影响存储成本、因为备份文件将保存在对象存储中较长时间。

什么是勒索软件保护

勒索软件保护会扫描您的备份文件、以查找勒索软件攻击的证据。通过校验和比较来检测勒索软件攻击。如果在新备份文件中发现潜在的勒索软件、而不是在以前的备份文件中发现、则新备份文件将替换为不显示任何勒索软件攻击迹象的最新备份文件。(已确定发生勒索软件攻击的文件将在替换后1天被删除。)

勒索软件扫描在备份和还原过程的3个时间点进行:

  • 创建备份文件时。

    您可以选择启用或禁用勒索软件扫描。

    首次将备份文件写入云存储时、不会对该备份文件执行扫描、而是在写入*下一个*备份文件时执行扫描。例如、如果为星期二设置了每周备份计划、则在星期二14创建备份。然后、在星期二21日创建另一个备份。此时、勒索软件扫描将从14号开始对备份文件运行。

  • 尝试从备份文件还原数据时

    您可以选择在从备份文件还原数据之前运行扫描、也可以跳过此扫描。

  • 手动

    您可以随时运行按需勒索软件保护扫描来验证特定备份文件的运行状况。如果您在特定卷上安装了勒索软件问题描述 、并且您希望验证该卷的备份是否不受影响、则此功能非常有用。

DataLock和防兰索保护选项

每个备份策略都为_DataLock和勒索软件保护_提供了一个部分、您可以将其应用于备份文件。

创建备份策略时AWS、Azure和StorageGRID 的DataLock和勒索软件保护设置的屏幕截图。

默认情况下、勒索软件保护扫描处于启用状态。扫描频率的默认设置为7天。扫描仅在最新的Snapshot副本上进行。您可以使用高级设置页面上的选项对最新Snapshot副本启用或禁用勒索软件扫描。如果启用此功能、则默认情况下每7天执行一次扫描。

请参见 "如何在"高级设置"页面中更新"反向软件"保护选项"

您可以为每个备份策略选择以下设置:

AWS

  • (默认)

    已禁用DataLock保护和勒索软件保护。

  • 监管

    DataLock设置为_Governance_模式、其中用户使用 s3:BypassGovernanceRetention 权限("请参见下文")可以在保留期间覆盖或删除备份文件。已启用勒索软件保护。

  • 合规性

    DataLock设置为_Compliance"模式、在此保留期间、任何用户都无法覆盖或删除备份文件。已启用勒索软件保护。

Azure 酒店

  • (默认)

    已禁用DataLock保护和勒索软件保护。

  • 已解锁

    备份文件会在保留期限内受到保护。保留期限可以增加或缩短。通常需要24小时来测试系统。已启用勒索软件保护。

  • 已锁定

    备份文件会在保留期限内受到保护。保留期限可以增加、但不能缩短。满足完全合规性要求。已启用勒索软件保护。

StorageGRID

  • (默认)

    已禁用DataLock保护和勒索软件保护。

  • 合规性

    DataLock设置为_Compliance"模式、在此保留期间、任何用户都无法覆盖或删除备份文件。已启用勒索软件保护。

支持的工作环境和对象存储提供程序

在以下公有 和私有云提供商中使用对象存储时、您可以在以下工作环境中对ONTAP 卷启用DataLock和勒索软件保护。未来版本将添加更多云提供商。

源工作环境 备份文件目标ifdef::AWS]]

AWS 中的 Cloud Volumes ONTAP

Amazon S3 endif::AWS]] ifdef::azure[]

Azure 中的 Cloud Volumes ONTAP

Azure Blob endf::azure[] ifdef::gcp[] endf::gcp[]

内部部署 ONTAP 系统

ifdef:::AWS]] Amazon S3 endf::AWS]] ifdef::azure[] Azure Blob endf::azure[] ifdef::GCP () endf::GCP () NetApp StorageGRID

要求

  • 对于AWS:

    • 集群必须运行ONTAP 9.11.1或更高版本

    • 连接器可以部署在云中或内部环境中

    • 以下S3权限必须属于为Connector提供权限的IAM角色。它们位于资源"arn:AWS:s3::::netapp-backup-*"的"backupS3Policy"部分中:

      AWS S3权限

      • S3 : GetObjectVersionTagging

      • S3 : GetBucketObjectLockConfiguration

      • S3:GetObjectVersionAcl

      • S3 : PutObjectTagging

      • S3 : DeleteObject

      • S3 : DeleteObjectTagging

      • S3 : GetObjectRetention

      • S3 : DeleteObjectVersionTagging

      • S3 : PutObject

      • S3 : GetObject

      • S3 : PutBucketObjectLockConfiguration

      • S3 : GetLifeycleConfiguration

      • S3 : GetBucketTagging

      • S3 : DeleteObjectVersion

      • S3 : ListBucketVersions

      • S3 : ListBucket

      • S3 : PutBucketTagging

      • S3 : GetObjectTagging

      • S3 : PutBucketVersioning

      • S3 : PutObjectVersionTagging

      • S3 : GetBucketVersioning

      • S3 : GetBucketAcl

      • S3:BypassGovernanceRetention

      • S3 : PutObjectRetention

      • S3 : GetBucketLocation

      • S3 : GetObjectVersion

      "查看策略的完整JSON格式、在此可以复制和粘贴所需权限"

  • 对于Azure:

    • 集群必须运行ONTAP 9.12.1或更高版本

    • 连接器可以部署在云中或内部环境中

  • 对于StorageGRID :

    • 集群必须运行ONTAP 9.11.1或更高版本

    • StorageGRID 系统必须运行11.6.0.3或更高版本

    • 连接器必须部署在您的内部环境中(可以安装在可访问Internet或不可访问Internet的站点中)

    • 以下S3权限必须属于为Connector提供权限的IAM角色:

      StorageGRID S3权限

      • S3 : GetObjectVersionTagging

      • S3 : GetBucketObjectLockConfiguration

      • S3:GetObjectVersionAcl

      • S3 : PutObjectTagging

      • S3 : DeleteObject

      • S3 : DeleteObjectTagging

      • S3 : GetObjectRetention

      • S3 : DeleteObjectVersionTagging

      • S3 : PutObject

      • S3 : GetObject

      • S3 : PutBucketObjectLockConfiguration

      • S3 : GetLifeycleConfiguration

      • S3 : GetBucketTagging

      • S3 : DeleteObjectVersion

      • S3 : ListBucketVersions

      • S3 : ListBucket

      • S3 : PutBucketTagging

      • S3 : GetObjectTagging

      • S3 : PutBucketVersioning

      • S3 : PutObjectVersionTagging

      • S3 : GetBucketVersioning

      • S3 : GetBucketAcl

      • S3 : PutObjectRetention

      • S3 : GetBucketLocation

      • S3 : GetObjectVersion

限制

  • 如果已在备份策略中配置归档存储、则DataLock和防抱死系统保护功能不可用。

  • 激活BlueXP备份和恢复时选择的DataLock选项必须用于该集群的所有备份策略。

  • 不能在一个集群上使用多个DataLock模式。

  • 如果启用DataLock、则所有卷备份都将被锁定。不能在一个集群中混用锁定卷备份和非锁定卷备份。

  • DataLock和勒索软件保护适用于使用启用了DataLock和勒索软件保护的备份策略的新卷备份。您可以稍后使用高级设置选项启用或禁用此功能。

  • 只有在使用ONTAP 9.13.1或更高版本时、FlexGroup卷才能使用DataLock和防抱死软件保护。

归档存储选项

使用AWS、Azure或Google云存储时、您可以在一段时间后将旧备份文件移至成本较低的归档存储类或访问层。您还可以选择立即将备份文件发送到归档存储、而不将其写入标准云存储。只需输入*0*作为"Archive after days"(天数后归档),即可将备份文件直接发送到归档存储。对于很少需要从云备份访问数据的用户或要将备份替换为磁带解决方案的用户来说、这一点尤其有用。

归档层中的数据无法在需要时立即访问、并且需要较高的检索成本、因此您需要考虑在决定归档备份文件之前、可能需要多久从备份文件中恢复一次数据。

备注

  • 即使选择"0"将所有数据块发送到归档云存储、元数据块也始终写入标准云存储。

  • 如果启用了DataLock、则无法使用归档存储。

  • 在选择*0*天(立即归档)后,无法更改归档策略。

每个备份策略都为_Archival Policy_提供了一个部分、您可以将其应用于备份文件。

创建备份策略时归档策略设置的屏幕截图。

  • 在 AWS 中,备份从 Standard 存储类开始,并在 30 天后过渡到 Standard-Infrequent Access 存储类。

    如果集群使用的是ONTAP 9.10.1或更高版本、则可以将较早的备份分层到_S3 Glacer_或_S3 Glacier Deep Archive_存储。 "了解有关 AWS 归档存储的更多信息"

    • 如果在激活BlueXP备份和恢复时在第一个备份策略中未选择任何归档层、则_S3 Glacier_将是未来策略的唯一归档选项。

    • 如果您在第一个备份策略中选择_S3 Glacier_、则可以更改为_S3 Glacierdeep Archive_Tier、以供该集群未来的备份策略使用。

    • 如果在第一个备份策略中选择_S3 Glacierdeep Archive_、则该层将是该集群未来备份策略唯一可用的归档层。

  • 在 Azure 中,备份与 cool 访问层关联。

    如果集群使用的是ONTAP 9.10.1或更高版本、则可以将较早的备份分层到_Azure Archive_存储。 "详细了解 Azure 归档存储"

  • 在 GCP 中,备份与 Standard 存储类关联。

    如果您的内部集群使用的是ONTAP 9.12.1或更高版本、您可以选择在一定天数后将旧备份分层到BlueXP备份和恢复UI中的_Archive_存储、以便进一步优化成本。 "了解有关Google归档存储的更多信息"

  • 在 StorageGRID 中,备份与 Standard 存储类关联。

    如果您的内部集群使用的是ONTAP 9.12.1或更高版本、而您的StorageGRID 系统使用的是11.4或更高版本、则可以将较早的备份文件归档到公共云归档存储。

+*对于AWS、您可以将备份分层到AWS _S3 Glacer_或_S3 Glacier Deep Archive_存储。 "了解有关 AWS 归档存储的更多信息"

+*对于Azure、您可以将较早的备份分层到_Azure Archive_存储。 "详细了解 Azure 归档存储"

+"了解有关从StorageGRID 归档备份文件的更多信息"