简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

将内部 ONTAP 数据备份到 Google 云存储

提供者

完成几个步骤、开始将卷数据从内部ONTAP 系统备份到Google云存储。

请注意, " 内部 ONTAP 系统 " 包括 FAS , AFF 和 ONTAP Select 系统。

快速入门

按照以下步骤快速入门,或者向下滚动到其余部分以了解完整详细信息。

一个 验证是否支持您的配置
  • 您已发现内部集群并将其添加为BlueXP中的工作环境。请参见 "发现 ONTAP 集群" 了解详细信息。

    • 集群运行的是ONTAP 9.7P5或更高版本(建议使用ONTAP 9.8P13及更高版本)。

    • 集群具有 SnapMirror 许可证—它作为超值包或数据保护包的一部分提供。

    • 集群必须与 Google 存储和 Connector 建立所需的网络连接。

  • Connector 必须与 Google 存储和集群建立所需的网络连接。

  • 您已为备份所在的对象存储空间订阅有效的 Google 。

  • 您的 Google 帐户具有访问密钥和机密密钥,因此 ONTAP 集群可以备份和还原数据。

两个 在系统上启用BlueXP备份和恢复

选择工作环境、然后单击右侧面板中备份和恢复服务旁边的*启用>备份卷*、然后按照设置向导进行操作。

屏幕截图显示了"启用备份和恢复"按钮、该按钮可在您选择工作环境后使用。

三个 选择云提供商并输入提供商详细信息

选择 Google Cloud 作为提供商,然后输入提供商详细信息。您需要在卷所在的ONTAP 集群中指定IP空间。您还可以选择自己的客户管理密钥进行数据加密、而不是使用默认的Google管理的加密密钥。

显示将卷从内部ONTAP 系统备份到Google云存储分段时云提供商详细信息的屏幕截图。

四个 定义默认备份策略

默认策略每天备份卷,并保留每个卷的最新 30 个备份副本。更改为每小时、每天、每周、每月或每年备份、 或者、选择一个系统定义的策略以提供更多选项。您还可以更改要保留的备份副本数。

默认情况下、备份存储在标准存储中。如果集群使用的是ONTAP 9.12.1或更高版本、则可以选择在一定天数后将备份分层到Google Archive存储、以便进一步优化成本。 "详细了解可用的BlueXP备份和恢复策略配置设置"

屏幕截图显示了BlueXP备份和恢复设置、您可以在其中选择备份计划和保留期限。

五个 选择要备份的卷

在选择卷页面中,使用默认备份策略确定要备份的卷。如果要为某些卷分配不同的备份策略,可以创建其他策略并稍后将其应用于卷。

要求

在开始将内部卷备份到 Google Cloud 存储之前,请阅读以下要求,以确保您的配置受支持。

在配置从内部 ONTAP 系统到 Google 云存储的备份时,您可以使用两种连接方法。

  • 公有 连接—使用公有 Google 端点将 ONTAP 系统直接连接到 Google 云存储。

  • 专用连接—使用VPN或Google Cloud Interconnect、并通过使用专用IP地址的专用Google访问接口路由流量。

下图显示了*公有 connection*方法以及组件之间需要准备的连接。连接器必须部署在Google Cloud Platform VPC中。

一个示意图、显示了BlueXP备份和恢复如何通过公共连接与集群上的卷以及备份文件所在的Google Cloud存储进行通信。

下图显示了*专用连接*方法以及组件之间需要准备的连接。连接器必须部署在Google Cloud Platform VPC中。

一个示意图、显示了BlueXP备份和恢复如何通过专用连接与集群上的卷以及备份文件所在的Google Cloud存储进行通信。

准备 ONTAP 集群

您需要先在BlueXP中发现内部ONTAP 集群、然后才能开始备份卷数据。

ONTAP 要求
  • 建议至少使用ONTAP 9.7P5;ONTAP 9.8P13及更高版本。

  • SnapMirror 许可证(作为超值包或数据保护包的一部分提供)。

    *注意:*使用BlueXP备份和恢复时、不需要"混合云捆绑包"。

    请参见操作说明 "管理集群许可证"

  • 已正确设置时间和时区。

    请参见操作说明 "配置集群时间"

集群网络连接要求
  • ONTAP 集群通过端口 443 从集群间 LIF 启动 HTTPS 连接到 Google Cloud 存储,以执行备份和还原操作。

    ONTAP 可在对象存储之间读取和写入数据。对象存储永远不会启动,而只是响应。

  • ONTAP 需要从连接器到集群管理 LIF 的入站连接。连接器可以位于 Google Cloud Platform VPC 中。

  • 托管要备份的卷的每个 ONTAP 节点都需要一个集群间 LIF 。LIF 必须与 _IP 空间 _ 关联, ONTAP 应使用此 _IP 空间 _ 连接到对象存储。 "了解有关 IP 空间的更多信息"

    设置BlueXP备份和恢复时、系统会提示您使用IP空间。您应选择与每个 LIF 关联的 IP 空间。这可能是您创建的 " 默认 "IP 空间或自定义 IP 空间。

  • 节点的集群间 LIF 能够访问对象存储。

  • 已为卷所在的 Storage VM 配置 DNS 服务器。请参见操作说明 "为 SVM 配置 DNS 服务"

    如果您使用的是专用Google访问或专用服务连接、请确保已将DNS服务器配置为指向 storage.googleapis.com 正确的内部(专用) IP地址。

  • 请注意,如果您使用的 IP 空间与默认 IP 空间不同,则可能需要创建静态路由才能访问对象存储。

  • 如有必要、请更新防火墙规则、以允许通过端口443从ONTAP 到对象存储的BlueXP备份和恢复连接、以及通过端口53 (TCP/UDP)从Storage VM到DNS服务器的名称解析流量。

创建或切换连接器

如果您已在Google Cloud Platform VPC中部署了Connector、则可以随时完成所有操作。如果没有、则需要在该位置创建一个连接器、将ONTAP 数据备份到Google Cloud存储。您不能使用部署在其他云提供商或内部环境中的Connector。

为连接器准备网络连接

确保此连接器具有所需的网络连接。

步骤
  1. 确保安装 Connector 的网络启用以下连接:

    • 通过端口443与BlueXP备份和恢复服务以及Google Cloud存储建立HTTPS连接 ("请参见端点列表"

    • 通过端口 443 与 ONTAP 集群管理 LIF 建立 HTTPS 连接

  2. 在计划部署Connector的子网上启用专用Google访问(或专用服务连接)。 "私有 Google 访问""专用服务连接" 如果您从ONTAP 集群直接连接到VPC、并且希望连接器和Google Cloud Storage之间的通信保持在虚拟专用网络中(*专用*连接)、则需要此连接。

    按照Google说明设置这些私有访问选项。确保已将DNS服务器配置为指向 www.googleapis.comstorage.googleapis.com 正确的内部(专用) IP地址。

验证并向Connector添加权限

要使用BlueXP备份和恢复"搜索和还原"功能、您需要对Connector的角色拥有特定权限、以便它可以访问Google Cloud BigQuery服务。请参见以下权限、如果需要修改策略、请按照以下步骤进行操作。

步骤
  1. 在中 "Google Cloud Console"下,转到 * 角色 * 页面。

  2. 使用页面顶部的下拉列表,选择包含要编辑的角色的项目或组织。

  3. 单击一个自定义角色。

  4. 单击 * 编辑角色 * 以更新角色的权限。

  5. 单击 * 添加权限 * 向角色添加以下新权限。

    bigquery.jobs.get
    bigquery.jobs.list
    bigquery.jobs.listAll
    bigquery.datasets.create
    bigquery.datasets.get
    bigquery.jobs.create
    bigquery.tables.get
    bigquery.tables.getData
    bigquery.tables.list
    bigquery.tables.create
  6. 单击 * 更新 * 以保存已编辑的角色。

准备用于备份的 Google Cloud Storage

设置备份时、您需要为具有特定权限的服务帐户提供存储访问密钥。通过服务帐户、BlueXP备份和恢复功能可以对用于存储备份的云存储分段进行身份验证和访问。需要提供密钥,以便 Google Cloud Storage 知道谁在发出请求。

步骤
  1. 在中 "Google Cloud Console"下,转到 * 角色 * 页面。

  2. "创建新角色" 具有以下权限:

    storage.buckets.create
    storage.buckets.delete
    storage.buckets.get
    storage.buckets.list
    storage.buckets.update
    storage.buckets.getIamPolicy
    storage.multipartUploads.create
    storage.objects.create
    storage.objects.delete
    storage.objects.get
    storage.objects.list
    storage.objects.update
  3. 在 Google Cloud 控制台中, "转到服务帐户页面"

  4. 选择您的云项目。

  5. 单击*创建服务帐户*并提供所需信息:

    1. * 服务帐户详细信息 * :输入名称和问题描述。

    2. 授予此服务帐户对项目的访问权限:选择您刚刚创建的自定义角色。

    3. 单击 * 完成 * 。

  6. 转至 "GCP 存储设置" 并为服务帐户创建访问密钥:

    1. 选择一个项目,然后单击 * 互操作性 * 。如果尚未启用互操作性访问,请单击 * 启用互操作性访问 * 。

    2. 在 * 服务帐户的访问密钥 * 下,单击 * 为服务帐户创建密钥 * ,选择刚刚创建的服务帐户,然后单击 * 创建密钥 * 。

      稍后在配置备份服务时、您需要在BlueXP备份和恢复中输入密钥。

使用客户管理的加密密钥(CMEK)

您可以使用自己由客户管理的密钥进行数据加密、而不是使用默认的Google管理的加密密钥。跨区域键和跨项目键均受支持、因此您可以为与CMDK键项目不同的分段选择项目。如果您计划使用自己的客户管理密钥:

  • 您需要具有密钥环和密钥名称、才能在激活向导中添加此信息。 "详细了解客户管理的加密密钥"

  • 您需要验证连接器的角色是否包含以下所需权限:

    cloudkms.cryptoKeys.get
    cloudkms.cryptoKeys.getIamPolicy
    cloudkms.cryptoKeys.list
    cloudkms.cryptoKeys.setIamPolicy
    cloudkms.keyRings.get
    cloudkms.keyRings.getIamPolicy
    cloudkms.keyRings.list
    cloudkms.keyRings.setIamPolicy
  • 您需要验证是否已在项目中启用Google "云密钥管理服务(KMS)"API。请参见 "Google Cloud文档:启用API" 了解详细信息。

  • CMEE注意事项:*

  • 支持HSM (硬件支持的)和软件生成的密钥。

  • 新创建的或导入的Cloud KMS密钥均受支持。

  • 仅支持区域密钥、不支持全局密钥。

  • 目前、仅支持"对称加密/解密"目的。

  • 与存储帐户关联的服务代理将通过BlueXP备份和恢复为"CryptoKey Encrypter/ Decrypter (roles/cloudkms.CryptoKeyEncrypterDecrypter)" IAM角色分配"CryptoKey Encrypter/Decrypter (角色/cloudkms.CryptoKeyEncrypterDecrypter)"。

验证许可证要求

  • 在为集群激活BlueXP备份和恢复之前、您需要从Google订阅按需购买(PAYGO) BlueXP Marketplace产品、或者从NetApp购买并激活BlueXP备份和恢复BYOL许可证。这些许可证适用于您的帐户,可在多个系统中使用。

  • 您需要为备份所在的对象存储空间订阅 Google 。

    您可以在所有区域创建从内部系统到Google Cloud Storage的备份 "支持 Cloud Volumes ONTAP 的位置"。您可以在设置服务时指定要存储备份的区域。

启用BlueXP备份和恢复

随时直接从内部工作环境启用BlueXP备份和恢复。

步骤
  1. 在Canvas中、选择工作环境、然后单击右侧面板中备份和恢复服务旁边的*启用>备份卷*。

    如果用于备份的Google Cloud Storage目标作为工作环境存在于Canvas上、则可以将集群拖动到Google Cloud Storage工作环境中以启动设置向导。

    屏幕截图显示了"启用备份和恢复"按钮、该按钮可在您选择工作环境后使用。

  2. 选择 Google Cloud 作为您的提供商,然后单击 * 下一步 * 。

  3. 输入提供程序详细信息并单击 * 下一步 * 。

    1. 您希望在其中创建用于备份的 Google Cloud Storage 存储分段的 Google Cloud Project 。(项目必须具有具有具有特定权限的自定义角色的服务帐户- 如此处所述

    2. 用于存储备份的 Google 访问密钥和机密密钥。

    3. 要存储备份的 Google 区域。

    4. 要备份的卷所在的 ONTAP 集群中的 IP 空间。此 IP 空间的集群间 LIF 必须具有出站 Internet 访问权限。

    5. 无论您是使用默认的Google管理的加密密钥、还是选择您自己的客户管理的密钥来管理数据加密。要使用CMEE、您需要具有密钥环和密钥名称。 "详细了解客户管理的加密密钥"

      显示将卷从内部集群备份到 Google Cloud Storage 时云提供商详细信息的屏幕截图。

  4. 如果您的帐户没有现有的BlueXP备份和恢复许可证、此时将提示您选择要使用的充电方法类型。您可以订阅Google提供的按需购买(PAYGO) BlueXP Marketplace产品(如果您有多个订阅、则需要选择一个)、或者从NetApp购买并激活BlueXP备份和恢复BYOL许可证。 "了解如何设置BlueXP备份和恢复许可。"

  5. 输入要用于默认策略的备份策略详细信息、然后单击*下一步*。您可以选择现有策略、也可以通过在每个部分中输入所做的选择来创建新策略:

    1. 输入默认策略的名称。您无需更改名称。

    2. 定义备份计划并选择要保留的备份数。 "请参见您可以选择的现有策略列表"

    3. 使用ONTAP 9.12.1或更高版本时、您可以选择在一定天数后将备份分层到归档存储、以便进一步优化成本。 "详细了解可用的BlueXP备份和恢复策略配置设置"

      屏幕截图显示了BlueXP备份和恢复设置、您可以在其中选择备份计划和保留期限。

  6. 在选择卷页面中、使用定义的备份策略选择要备份的卷。如果要为某些卷分配不同的备份策略,可以创建其他策略并稍后将其应用于这些卷。

    • 要备份所有现有卷以及将来添加的任何卷、请选中"备份所有现有卷和未来卷…​"框。我们建议使用此选项、以便备份所有卷、您不必记住为新卷启用备份。

    • 要仅备份现有卷、请选中标题行()。

    • 要备份单个卷,请选中每个卷对应的框()。

      选择要备份的卷的屏幕截图。

    • 如果此工作环境中的读/写卷有任何本地Snapshot副本与您刚刚为此工作环境选择的备份计划标签(例如、每日、每周等)匹配、则会显示一条额外的提示"将现有Snapshot副本作为备份副本导出到对象存储"。如果要将所有历史快照作为备份文件复制到对象存储、请选中此框、以确保为卷提供最全面的保护。

  7. 单击*激活备份*、BlueXP备份和恢复将开始对卷进行初始备份。

结果

Google Cloud Storage存储分段会在您输入的Google访问密钥和机密密钥指示的服务帐户中自动创建、并且备份文件会存储在该服务帐户中。此时将显示卷备份信息板,以便您可以监控备份的状态。您还可以使用监控备份和还原作业的状态 "作业监控面板"

下一步是什么?