将内部 ONTAP 数据备份到 Google 云存储
提供者
完成几个步骤、开始将卷数据从内部ONTAP 系统备份到Google云存储。
请注意, " 内部 ONTAP 系统 " 包括 FAS , AFF 和 ONTAP Select 系统。
快速入门
按照以下步骤快速入门,或者向下滚动到其余部分以了解完整详细信息。

-
您已发现内部集群并将其添加为BlueXP中的工作环境。请参见 "发现 ONTAP 集群" 了解详细信息。
-
集群运行的是ONTAP 9.7P5或更高版本(建议使用ONTAP 9.8P13及更高版本)。
-
集群具有 SnapMirror 许可证—它作为超值包或数据保护包的一部分提供。
-
集群必须与 Google 存储和 Connector 建立所需的网络连接。
-
-
Connector 必须与 Google 存储和集群建立所需的网络连接。
-
您已为备份所在的对象存储空间订阅有效的 Google 。
-
您的 Google 帐户具有访问密钥和机密密钥,因此 ONTAP 集群可以备份和还原数据。

选择工作环境、然后单击右侧面板中备份和恢复服务旁边的*启用>备份卷*、然后按照设置向导进行操作。

选择 Google Cloud 作为提供商,然后输入提供商详细信息。您需要在卷所在的ONTAP 集群中指定IP空间。您还可以选择自己的客户管理密钥进行数据加密、而不是使用默认的Google管理的加密密钥。

默认策略每天备份卷,并保留每个卷的最新 30 个备份副本。更改为每小时、每天、每周、每月或每年备份、 或者、选择一个系统定义的策略以提供更多选项。您还可以更改要保留的备份副本数。
默认情况下、备份存储在标准存储中。如果集群使用的是ONTAP 9.12.1或更高版本、则可以选择在一定天数后将备份分层到Google Archive存储、以便进一步优化成本。 "详细了解可用的BlueXP备份和恢复策略配置设置"。

在选择卷页面中,使用默认备份策略确定要备份的卷。如果要为某些卷分配不同的备份策略,可以创建其他策略并稍后将其应用于卷。
要求
在开始将内部卷备份到 Google Cloud 存储之前,请阅读以下要求,以确保您的配置受支持。
在配置从内部 ONTAP 系统到 Google 云存储的备份时,您可以使用两种连接方法。
-
公有 连接—使用公有 Google 端点将 ONTAP 系统直接连接到 Google 云存储。
-
专用连接—使用VPN或Google Cloud Interconnect、并通过使用专用IP地址的专用Google访问接口路由流量。
下图显示了*公有 connection*方法以及组件之间需要准备的连接。连接器必须部署在Google Cloud Platform VPC中。
下图显示了*专用连接*方法以及组件之间需要准备的连接。连接器必须部署在Google Cloud Platform VPC中。
准备 ONTAP 集群
您需要先在BlueXP中发现内部ONTAP 集群、然后才能开始备份卷数据。
- ONTAP 要求
- 集群网络连接要求
-
-
ONTAP 集群通过端口 443 从集群间 LIF 启动 HTTPS 连接到 Google Cloud 存储,以执行备份和还原操作。
ONTAP 可在对象存储之间读取和写入数据。对象存储永远不会启动,而只是响应。
-
ONTAP 需要从连接器到集群管理 LIF 的入站连接。连接器可以位于 Google Cloud Platform VPC 中。
-
托管要备份的卷的每个 ONTAP 节点都需要一个集群间 LIF 。LIF 必须与 _IP 空间 _ 关联, ONTAP 应使用此 _IP 空间 _ 连接到对象存储。 "了解有关 IP 空间的更多信息"。
设置BlueXP备份和恢复时、系统会提示您使用IP空间。您应选择与每个 LIF 关联的 IP 空间。这可能是您创建的 " 默认 "IP 空间或自定义 IP 空间。
-
节点的集群间 LIF 能够访问对象存储。
-
已为卷所在的 Storage VM 配置 DNS 服务器。请参见操作说明 "为 SVM 配置 DNS 服务"。
如果您使用的是专用Google访问或专用服务连接、请确保已将DNS服务器配置为指向
storage.googleapis.com
正确的内部(专用) IP地址。 -
请注意,如果您使用的 IP 空间与默认 IP 空间不同,则可能需要创建静态路由才能访问对象存储。
-
如有必要、请更新防火墙规则、以允许通过端口443从ONTAP 到对象存储的BlueXP备份和恢复连接、以及通过端口53 (TCP/UDP)从Storage VM到DNS服务器的名称解析流量。
-
创建或切换连接器
如果您已在Google Cloud Platform VPC中部署了Connector、则可以随时完成所有操作。如果没有、则需要在该位置创建一个连接器、将ONTAP 数据备份到Google Cloud存储。您不能使用部署在其他云提供商或内部环境中的Connector。
为连接器准备网络连接
确保此连接器具有所需的网络连接。
-
确保安装 Connector 的网络启用以下连接:
-
通过端口443与BlueXP备份和恢复服务以及Google Cloud存储建立HTTPS连接 ("请参见端点列表")
-
通过端口 443 与 ONTAP 集群管理 LIF 建立 HTTPS 连接
-
-
在计划部署Connector的子网上启用专用Google访问(或专用服务连接)。 "私有 Google 访问" 或 "专用服务连接" 如果您从ONTAP 集群直接连接到VPC、并且希望连接器和Google Cloud Storage之间的通信保持在虚拟专用网络中(*专用*连接)、则需要此连接。
按照Google说明设置这些私有访问选项。确保已将DNS服务器配置为指向
www.googleapis.com
和storage.googleapis.com
正确的内部(专用) IP地址。
验证并向Connector添加权限
要使用BlueXP备份和恢复"搜索和还原"功能、您需要对Connector的角色拥有特定权限、以便它可以访问Google Cloud BigQuery服务。请参见以下权限、如果需要修改策略、请按照以下步骤进行操作。
-
在中 "Google Cloud Console"下,转到 * 角色 * 页面。
-
使用页面顶部的下拉列表,选择包含要编辑的角色的项目或组织。
-
单击一个自定义角色。
-
单击 * 编辑角色 * 以更新角色的权限。
-
单击 * 添加权限 * 向角色添加以下新权限。
bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.datasets.create bigquery.datasets.get bigquery.jobs.create bigquery.tables.get bigquery.tables.getData bigquery.tables.list bigquery.tables.create
-
单击 * 更新 * 以保存已编辑的角色。
准备用于备份的 Google Cloud Storage
设置备份时、您需要为具有特定权限的服务帐户提供存储访问密钥。通过服务帐户、BlueXP备份和恢复功能可以对用于存储备份的云存储分段进行身份验证和访问。需要提供密钥,以便 Google Cloud Storage 知道谁在发出请求。
-
在中 "Google Cloud Console"下,转到 * 角色 * 页面。
-
"创建新角色" 具有以下权限:
storage.buckets.create storage.buckets.delete storage.buckets.get storage.buckets.list storage.buckets.update storage.buckets.getIamPolicy storage.multipartUploads.create storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.update
-
在 Google Cloud 控制台中, "转到服务帐户页面"。
-
选择您的云项目。
-
单击*创建服务帐户*并提供所需信息:
-
* 服务帐户详细信息 * :输入名称和问题描述。
-
授予此服务帐户对项目的访问权限:选择您刚刚创建的自定义角色。
-
单击 * 完成 * 。
-
-
转至 "GCP 存储设置" 并为服务帐户创建访问密钥:
-
选择一个项目,然后单击 * 互操作性 * 。如果尚未启用互操作性访问,请单击 * 启用互操作性访问 * 。
-
在 * 服务帐户的访问密钥 * 下,单击 * 为服务帐户创建密钥 * ,选择刚刚创建的服务帐户,然后单击 * 创建密钥 * 。
稍后在配置备份服务时、您需要在BlueXP备份和恢复中输入密钥。
-
使用客户管理的加密密钥(CMEK)
您可以使用自己由客户管理的密钥进行数据加密、而不是使用默认的Google管理的加密密钥。跨区域键和跨项目键均受支持、因此您可以为与CMDK键项目不同的分段选择项目。如果您计划使用自己的客户管理密钥:
-
您需要具有密钥环和密钥名称、才能在激活向导中添加此信息。 "详细了解客户管理的加密密钥"。
-
您需要验证连接器的角色是否包含以下所需权限:
cloudkms.cryptoKeys.get cloudkms.cryptoKeys.getIamPolicy cloudkms.cryptoKeys.list cloudkms.cryptoKeys.setIamPolicy cloudkms.keyRings.get cloudkms.keyRings.getIamPolicy cloudkms.keyRings.list cloudkms.keyRings.setIamPolicy
-
您需要验证是否已在项目中启用Google "云密钥管理服务(KMS)"API。请参见 "Google Cloud文档:启用API" 了解详细信息。
-
CMEE注意事项:*
-
支持HSM (硬件支持的)和软件生成的密钥。
-
新创建的或导入的Cloud KMS密钥均受支持。
-
仅支持区域密钥、不支持全局密钥。
-
目前、仅支持"对称加密/解密"目的。
-
与存储帐户关联的服务代理将通过BlueXP备份和恢复为"CryptoKey Encrypter/ Decrypter (roles/cloudkms.CryptoKeyEncrypterDecrypter)" IAM角色分配"CryptoKey Encrypter/Decrypter (角色/cloudkms.CryptoKeyEncrypterDecrypter)"。
验证许可证要求
-
在为集群激活BlueXP备份和恢复之前、您需要从Google订阅按需购买(PAYGO) BlueXP Marketplace产品、或者从NetApp购买并激活BlueXP备份和恢复BYOL许可证。这些许可证适用于您的帐户,可在多个系统中使用。
-
对于BlueXP备份和恢复PAYGO许可、您需要订阅 "Google Marketplace上的NetApp BlueXP产品"。BlueXP备份和恢复的计费通过此订阅完成。
-
对于BlueXP备份和恢复BYOL许可、您需要NetApp提供的序列号、以便在许可证有效期和容量内使用此服务。 "了解如何管理 BYOL 许可证"。
-
-
您需要为备份所在的对象存储空间订阅 Google 。
您可以在所有区域创建从内部系统到Google Cloud Storage的备份 "支持 Cloud Volumes ONTAP 的位置"。您可以在设置服务时指定要存储备份的区域。
启用BlueXP备份和恢复
随时直接从内部工作环境启用BlueXP备份和恢复。
-
在Canvas中、选择工作环境、然后单击右侧面板中备份和恢复服务旁边的*启用>备份卷*。
如果用于备份的Google Cloud Storage目标作为工作环境存在于Canvas上、则可以将集群拖动到Google Cloud Storage工作环境中以启动设置向导。
-
选择 Google Cloud 作为您的提供商,然后单击 * 下一步 * 。
-
输入提供程序详细信息并单击 * 下一步 * 。
-
您希望在其中创建用于备份的 Google Cloud Storage 存储分段的 Google Cloud Project 。(项目必须具有具有具有特定权限的自定义角色的服务帐户- 如此处所述)
-
用于存储备份的 Google 访问密钥和机密密钥。
-
要存储备份的 Google 区域。
-
要备份的卷所在的 ONTAP 集群中的 IP 空间。此 IP 空间的集群间 LIF 必须具有出站 Internet 访问权限。
-
无论您是使用默认的Google管理的加密密钥、还是选择您自己的客户管理的密钥来管理数据加密。要使用CMEE、您需要具有密钥环和密钥名称。 "详细了解客户管理的加密密钥"。
-
-
如果您的帐户没有现有的BlueXP备份和恢复许可证、此时将提示您选择要使用的充电方法类型。您可以订阅Google提供的按需购买(PAYGO) BlueXP Marketplace产品(如果您有多个订阅、则需要选择一个)、或者从NetApp购买并激活BlueXP备份和恢复BYOL许可证。 "了解如何设置BlueXP备份和恢复许可。"
-
输入要用于默认策略的备份策略详细信息、然后单击*下一步*。您可以选择现有策略、也可以通过在每个部分中输入所做的选择来创建新策略:
-
输入默认策略的名称。您无需更改名称。
-
定义备份计划并选择要保留的备份数。 "请参见您可以选择的现有策略列表"。
-
使用ONTAP 9.12.1或更高版本时、您可以选择在一定天数后将备份分层到归档存储、以便进一步优化成本。 "详细了解可用的BlueXP备份和恢复策略配置设置"。
-
-
在选择卷页面中、使用定义的备份策略选择要备份的卷。如果要为某些卷分配不同的备份策略,可以创建其他策略并稍后将其应用于这些卷。
-
要备份所有现有卷以及将来添加的任何卷、请选中"备份所有现有卷和未来卷…"框。我们建议使用此选项、以便备份所有卷、您不必记住为新卷启用备份。
-
要仅备份现有卷、请选中标题行(
)。
-
要备份单个卷,请选中每个卷对应的框(
)。
-
如果此工作环境中的读/写卷有任何本地Snapshot副本与您刚刚为此工作环境选择的备份计划标签(例如、每日、每周等)匹配、则会显示一条额外的提示"将现有Snapshot副本作为备份副本导出到对象存储"。如果要将所有历史快照作为备份文件复制到对象存储、请选中此框、以确保为卷提供最全面的保护。
-
-
单击*激活备份*、BlueXP备份和恢复将开始对卷进行初始备份。
Google Cloud Storage存储分段会在您输入的Google访问密钥和机密密钥指示的服务帐户中自动创建、并且备份文件会存储在该服务帐户中。此时将显示卷备份信息板,以便您可以监控备份的状态。您还可以使用监控备份和还原作业的状态 "作业监控面板"。
下一步是什么?
-
您可以 "管理备份文件和备份策略"。其中包括启动和停止备份、删除备份、添加和更改备份计划等。
-
您可以 "管理集群级别的备份设置"。其中包括更改ONTAP 用于访问云存储的存储密钥、更改可用于将备份上传到对象存储的网络带宽、更改未来卷的自动备份设置等。
-
您也可以 "从备份文件还原卷、文件夹或单个文件" 连接到 Google 中的 Cloud Volumes ONTAP 系统或内部 ONTAP 系统。