简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

将内部 ONTAP 数据备份到 Amazon S3

完成几个步骤,开始将数据从内部 ONTAP 系统备份到 Amazon S3 存储。

请注意, " 内部 ONTAP 系统 " 包括 FAS , AFF 和 ONTAP Select 系统。

快速入门

按照以下步骤快速入门。本主题的以下各节提供了每个步骤的详细信息。

选择是通过公有 Internet将内部ONTAP 集群直接连接到AWS S3、还是使用VPN或AWS Direct Connect并通过专用VPC端点接口将流量路由到AWS S3。

如果您已在 AWS VPC 中部署了 Connector ,则可以随时完成所有操作。如果没有,则需要在 AWS 中创建连接器,以便将 ONTAP 数据备份到 AWS S3 存储。您还需要自定义 Connector 的网络设置,以便它可以连接到 AWS S3 。

在 Cloud Manager 中发现您的 ONTAP 集群,验证集群是否满足最低要求,并自定义网络设置,以便集群可以连接到 AWS S3 。

为Connector设置创建和管理S3存储分段的权限。您还需要为内部ONTAP 集群设置权限、以便其可以向S3存储分段读取和写入数据。

或者,您也可以为数据加密设置自己的自定义管理密钥,而不是使用默认的 Amazon S3 加密密钥。 了解如何让 AWS S3 环境做好接收 ONTAP 备份的准备。

选择工作环境,然后单击右侧面板中备份和还原服务旁边的 * 启用 > 备份卷 * 。然后,按照设置向导定义默认备份策略和要保留的备份数,并选择要备份的卷。

连接选项的网络图

在配置从内部 ONTAP 系统到 AWS S3 的备份时,您可以使用两种连接方法。

  • 公有 连接—使用公有 S3 端点将 ONTAP 系统直接连接到 AWS S3 。

  • 专用连接—使用 VPN 或 AWS Direct Connect ,并通过使用专用 IP 地址的 VPC 端点接口路由流量。

下图显示了*公有 connection*方法以及组件之间需要准备的连接:

显示Cloud Backup如何通过公有 连接与备份文件所在的源系统和目标存储上的卷进行通信的示意图。

下图显示了*专用连接*方法以及组件之间需要准备的连接:

显示Cloud Backup如何通过专用连接与源系统上的卷以及备份文件所在的目标存储进行通信的图表。

准备您的连接器

Cloud Manager Connector 是 Cloud Manager 功能的主要软件。需要使用连接器来备份和还原 ONTAP 数据。

创建或切换连接器

如果您已在 AWS VPC 中部署了 Connector ,则可以随时完成所有操作。如果没有,则需要在 AWS 中创建新的连接器,以便将 ONTAP 数据备份到 AWS S3 存储。您不能使用部署在内部或部署在其他云提供商中的 Connector 。

连接器网络连接要求

  • 确保安装 Connector 的网络启用以下连接:

    • 通过端口443与Cloud Backup Service 和S3对象存储建立HTTPS连接(请参见端点列表 "此处"

    • 通过端口 443 与 ONTAP 集群管理 LIF 建立 HTTPS 连接

  • "确保Connector具有管理S3存储分段的权限"

  • 如果从ONTAP 集群到VPC具有直接连接或VPN连接、并且您希望连接器和S3之间的通信保持在AWS内部网络中、则需要启用连接到S3的VPC端点接口。 请参见如何设置 VPC 端点接口。

准备 ONTAP 集群

在 Cloud Manager 中发现您的 ONTAP 集群

您需要先在 Cloud Manager 中发现内部 ONTAP 集群,然后才能开始备份卷数据。要添加集群,您需要知道集群管理 IP 地址和管理员用户帐户的密码。

ONTAP 要求

  • 建议至少使用ONTAP 9.7P5;ONTAP 9.8P11及更高版本。

  • SnapMirror 许可证(作为超值包或数据保护包的一部分提供)。

  • 注意: * 使用 Cloud Backup 时不需要 " 混合云捆绑包 " 。

    请参见操作说明 "管理集群许可证"

  • 已正确设置时间和时区。

    请参见操作说明 "配置集群时间"

集群网络连接要求

  • 集群需要从 Connector 到集群管理 LIF 的入站 HTTPS 连接。

  • 托管要备份的卷的每个 ONTAP 节点都需要一个集群间 LIF 。这些集群间 LIF 必须能够访问对象存储。

    集群通过端口 443 从集群间 LIF 启动出站 HTTPS 连接到 Amazon S3 存储,以执行备份和还原操作。ONTAP 在对象存储中读取和写入数据—对象存储从不启动,它只是响应。

  • 集群间 LIF 必须与 _IP 空间 _ 关联, ONTAP 应使用此 _IP 空间 _ 连接到对象存储。 "了解有关 IP 空间的更多信息"

    设置 Cloud Backup 时,系统会提示您使用 IP 空间。您应选择与这些 LIF 关联的 IP 空间。这可能是您创建的 " 默认 "IP 空间或自定义 IP 空间。

    如果您使用的 IP 空间与 " 默认 " 不同,则可能需要创建静态路由才能访问对象存储。

    IP空间中的所有集群间LIF都必须能够访问对象存储。如果无法为当前IP空间配置此空间、则需要创建一个专用IP空间、其中所有集群间LIF都可以访问对象存储。

  • 必须已为卷所在的 Storage VM 配置 DNS 服务器。请参见操作说明 "为 SVM 配置 DNS 服务"

  • 如有必要,请更新防火墙规则,以允许通过端口 443 从 ONTAP 到对象存储的 Cloud Backup 连接以及通过端口 53 ( TCP/UDP )从 Storage VM 到 DNS 服务器的名称解析流量。

  • 如果在AWS中使用专用VPC接口端点进行S3连接、则要使用HTTPS/443、您需要将S3端点证书加载到ONTAP 集群中。 请参见如何设置 VPC 端点接口并加载 S3 证书。

  • "确保ONTAP 集群具有访问S3存储分段的权限"

验证许可证要求

  • 在为集群激活Cloud Backup之前、您需要从AWS订阅按需购买(PAYGO) Cloud Manager Marketplace产品、或者从NetApp购买并激活Cloud Backup BYOL许可证。这些许可证适用于您的帐户,可在多个系统中使用。

  • 您需要为备份所在的对象存储空间订阅 AWS 。

    您可以在所有地区创建从内部系统到 Amazon S3 的备份 "支持 Cloud Volumes ONTAP 的位置";包括 AWS GovCloud 地区。您可以在设置服务时指定要存储备份的区域。

准备 AWS 环境

设置 S3 权限

您需要配置两组权限:

  • Connector创建和管理S3存储分段的权限。

  • 内部 ONTAP 集群的权限,以便可以将数据读写到 S3 存储分段。

步骤
  1. 确认以下 S3 权限(从最新版本开始) "Cloud Manager 策略")是为 Connector 提供权限的 IAM 角色的一部分。

    {
              "Sid": "backupPolicy",
              "Effect": "Allow",
              "Action": [
                  "s3:DeleteBucket",
                  "s3:GetLifecycleConfiguration",
                  "s3:PutLifecycleConfiguration",
                  "s3:PutBucketTagging",
                  "s3:ListBucketVersions",
                  "s3:GetObject",
                  "s3:DeleteObject",
                  "s3:PutObject",
                  "s3:ListBucket",
                  "s3:ListAllMyBuckets",
                  "s3:GetBucketTagging",
                  "s3:GetBucketLocation",
                  "s3:GetBucketPolicyStatus",
                  "s3:GetBucketPublicAccessBlock",
                  "s3:GetBucketAcl",
                  "s3:GetBucketPolicy",
                  "s3:PutBucketPublicAccessBlock",
                  "s3:PutEncryptionConfiguration",
                  "athena:StartQueryExecution",
                  "athena:GetQueryResults",
                  "athena:GetQueryExecution",
                  "glue:GetDatabase",
                  "glue:GetTable",
                  "glue:CreateTable",
                  "glue:CreateDatabase",
                  "glue:GetPartitions",
                  "glue:BatchCreatePartition",
                  "glue:BatchDeletePartition"
              ],
              "Resource": [
                  "arn:aws:s3:::netapp-backup-*"
              ]
          },

    如果您使用 3.9.15 或更高版本部署了 Connector ,则这些权限应已属于 IAM 角色。否则,您需要添加缺少的权限。具体来说就是 "Athena" 和 "glue" 权限,因为它们是搜索和还原所必需的。请参见 "AWS 文档:编辑 IAM 策略"

  2. 激活此服务时,备份向导将提示您输入访问密钥和机密密钥。这些凭据将传递到 ONTAP 集群,以便 ONTAP 可以将数据备份和还原到 S3 存储分段。为此,您需要创建具有以下权限的 IAM 用户:

    {
        "Version": "2012-10-17",
         "Statement": [
            {
               "Action": [
                    "s3:GetObject",
                    "s3:PutObject",
                    "s3:DeleteObject",
                    "s3:ListBucket",
                    "s3:ListAllMyBuckets",
                    "s3:GetBucketLocation",
                    "s3:PutEncryptionConfiguration"
                ],
                "Resource": "arn:aws:s3:::netapp-backup-*",
                "Effect": "Allow",
                "Sid": "backupPolicy"
            }
        ]
    }

设置客户管理的AWS密钥以进行数据加密

如果您要使用默认Amazon S3加密密钥对内部集群和S3存储分段之间传递的数据进行加密、则会进行全部设置、因为默认安装会使用此类型的加密。

如果您要使用自己的客户管理密钥进行数据加密、而不是使用默认密钥、则在启动Cloud Backup向导之前、您需要先设置加密管理密钥。 "了解如何使用您自己的密钥"

使用VPC端点接口为系统配置专用连接

如果您要使用标准公有 Internet连接、则所有权限均由Connector设置、无需执行任何其他操作。此类型的连接如中所示 "第一个图"

如果您希望通过Internet从内部数据中心到VPC建立更安全的连接、可以在备份激活向导中选择AWS PrivateLink连接。如果您计划使用VPN或AWS Direct Connect通过使用专用IP地址的VPC端点接口连接内部系统、则必须使用此功能。此类型的连接如中所示 "第二个图"

  1. 使用 Amazon VPC 控制台或命令行创建接口端点配置。 "请参见有关使用适用于 Amazon S3 的 AWS PrivateLink 的详细信息"

  2. 修改与 Cloud Manager Connector 关联的安全组配置。您必须将此策略更改为 "Custom" (自定义)(从 "Full Access" ),并且必须将其更改为 "Custom" (自定义) 从备份策略添加 S3 权限 如前面所示。

    与 Connector 关联的 AWS 安全组的屏幕截图。

    如果您使用端口80 (HTTP)与专用端点进行通信、则表示您已设置完毕。您现在可以在集群上启用 Cloud Backup 。

    如果您使用端口443 (HTTPS)与专用端点进行通信、则必须从VPC S3端点复制证书并将其添加到ONTAP 集群中、如接下来的4个步骤所示。

  3. 从 AWS 控制台获取端点的 DNS 名称。

    AWS 控制台中 VPC 端点的 DNS 名称的屏幕截图。

  4. 从 VPC S3 端点获取证书。您可以通过执行此操作 "登录到托管 Cloud Manager Connector 的 VM" 并运行以下命令。输入端点的 DNS 名称时,在开头添加 " 分段 " ,替换 "* " :

    [ec2-user@ip-10-160-4-68 ~]$ openssl s_client -connect bucket.vpce-0ff5c15df7e00fbab-yxs7lt8v.s3.us-west-2.vpce.amazonaws.com:443 -showcerts
  5. 从此命令的输出中,复制 S3 证书的数据(包括开始 / 结束证书标记之间的所有数据):

    Certificate chain
    0 s:/CN=s3.us-west-2.amazonaws.com`
       i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
    -----BEGIN CERTIFICATE-----
    MIIM6zCCC9OgAwIBAgIQA7MGJ4FaDBR8uL0KR3oltTANBgkqhkiG9w0BAQsFADBG
    …
    …
    GqvbOz/oO2NWLLFCqI+xmkLcMiPrZy+/6Af+HH2mLCM4EsI2b+IpBmPkriWnnxo=
    -----END CERTIFICATE-----
  6. 登录到 ONTAP 集群命令行界面并使用以下命令应用您复制的证书(替换您自己的 Storage VM 名称):

    cluster1::> security certificate install -vserver cluster1 -type server-ca
    Please enter Certificate: Press <Enter> when done

启用 Cloud Backup

可随时直接从内部工作环境启用 Cloud Backup 。

步骤
  1. 在 Canvas 中,选择工作环境,然后单击右侧面板中备份和还原服务旁边的 * 启用 > 备份卷 * 。

    如果您的备份的Amazon S3目标作为工作环境存在于Canvas上、您可以将集群拖动到Amazon S3工作环境中以启动设置向导。

    屏幕截图显示了 Backup & amp ; Restore Enable 按钮,该按钮可在您选择工作环境后使用。

  2. 选择 Amazon Web Services 作为您的提供商,然后单击 * 下一步 * 。

  3. 输入提供程序详细信息并单击 * 下一步 * 。

    1. 用于存储备份的 AWS 帐户, AWS 访问密钥和机密密钥。

      访问密钥和机密密钥适用于您创建的 IAM 用户,用于为 ONTAP 集群授予对 S3 存储分段的访问权限。

    2. 要存储备份的 AWS 区域。

    3. 您是使用默认 Amazon S3 加密密钥,还是从 AWS 帐户中选择您自己的客户管理密钥来管理数据加密。 ("了解如何使用您自己的密钥")。

      显示将卷从 ONTAP 系统备份到 AWS S3 时云提供商详细信息的屏幕截图。

  4. 如果您的帐户没有Cloud Backup许可证、此时将提示您选择要使用的充电方法类型。您可以订阅AWS提供的按需购买(PAYGO) Cloud Manager Marketplace产品(如果您有多个订阅、则需要选择一个)、或者从NetApp购买并激活Cloud Backup BYOL许可证。 "了解如何设置Cloud Backup许可。"

  5. 输入网络连接详细信息并单击 * 下一步 * 。

    1. 要备份的卷所在的 ONTAP 集群中的 IP 空间。此 IP 空间的集群间 LIF 必须具有出站 Internet 访问权限。

    2. 或者,选择是否使用先前配置的 AWS PrivateLink 。 "请参见有关使用适用于 Amazon S3 的 AWS PrivateLink 的详细信息"

      屏幕截图显示了将卷从 ONTAP 系统备份到 AWS S3 时的网络连接详细信息。

  6. 输入默认备份策略详细信息,然后单击 * 下一步 * 。

    1. 定义备份计划并选择要保留的备份数。 "请参见您可以选择的现有策略列表"

    2. 使用 ONTAP 9.10.1 及更高版本时,您可以选择在一定天数后将备份分层到 S3 Glacier 或 S3 Glacier 深度归档存储,以进一步优化成本。 "了解有关使用归档层的更多信息"

      显示 Cloud Backup 设置的屏幕截图,您可以在其中选择计划和备份保留。

  7. 在选择卷页面中,使用默认备份策略选择要备份的卷。如果要为某些卷分配不同的备份策略,可以创建其他策略并稍后将其应用于这些卷。

    • 要备份所有卷,请选中标题行()。

    • 要备份单个卷,请选中每个卷对应的框()。

      选择要备份的卷的屏幕截图。

    如果希望将来添加的所有卷都启用备份,只需选中 " 自动备份未来卷 …​" 复选框即可。如果禁用此设置,则需要手动为未来的卷启用备份。

  8. 单击 * 激活备份 * , Cloud Backup 将开始对卷进行初始备份。

Cloud Backup 将开始对每个选定卷进行初始备份,此时将显示卷备份信息板,以便您可以监控备份的状态。

您可以 "启动和停止卷备份或更改备份计划"。您也可以 "从备份文件还原整个卷或单个文件" 连接到 AWS 中的 Cloud Volumes ONTAP 系统或内部 ONTAP 系统。