使用NetApp备份和恢复将本地ONTAP数据备份到 Amazon S3
建议更改
PDF
完成NetApp备份和恢复中的几个步骤,开始将卷数据从本地ONTAP系统备份到二级存储系统和 Amazon S3 云存储。
|
“本地ONTAP系统”包括FAS、 AFF和ONTAP Select系统。 |
注意 要切换到NetApp备份和恢复工作负载,请参阅"切换到不同的NetApp备份和恢复工作负载"。
识别连接方法
选择在配置从本地ONTAP系统到 AWS S3 的备份时要使用的两种连接方法中的哪一种。
-
公共连接 - 使用公共 S3 端点将ONTAP系统直接连接到 AWS S3。
-
私人连接 - 使用 VPN 或 AWS Direct Connect 并通过使用私人 IP 地址的 VPC Endpoint 接口路由流量。
或者,您也可以使用公共或私有连接连接到用于复制卷的辅助ONTAP系统。
下图显示了*公共连接*方法以及您需要在组件之间准备的连接。您可以使用在您的场所安装的控制台代理,或者在 AWS VPC 中部署的控制台代理。
下图显示了*私有连接*方法以及您需要在组件之间准备的连接。您可以使用在您的场所安装的控制台代理,或者在 AWS VPC 中部署的控制台代理。
准备控制台代理
控制台代理是NetApp控制台功能的主要软件。需要控制台代理来备份和恢复您的ONTAP数据。
创建或切换控制台代理
如果您已经在 AWS VPC 或您的场所部署了控制台代理,那么一切就绪了。
如果没有,那么您需要在其中一个位置创建一个控制台代理,以将ONTAP数据备份到 AWS S3 存储。您不能使用部署在其他云提供商的控制台代理。
-
当控制台代理部署在云中时(而不是安装在您的场所中时), NetApp备份和恢复在 GovCloud 区域受支持。此外,您必须从 AWS Marketplace 部署控制台代理。您无法从NetApp Console SaaS 网站在政府区域部署控制台代理。
准备控制台代理网络要求
确保满足以下网络要求:
-
确保安装控制台代理的网络启用以下连接:
-
通过端口 443 建立到NetApp Backup and Recovery 以及 S3 对象存储的 HTTPS 连接("查看端点列表")
-
通过端口 443 建立到ONTAP集群管理 LIF 的 HTTPS 连接
-
AWS 和 AWS GovCloud 部署需要额外的入站和出站安全组规则。看 "AWS 中的控制台代理规则"了解详情。
-
-
如果您有从ONTAP集群到 VPC 的 Direct Connect 或 VPN 连接,并且您希望控制台代理和 S3 之间的通信保持在 AWS 内部网络(*私有*连接)中,则需要启用到 S3 的 VPC 端点接口。使用 VPC 终端节点接口配置系统以进行私有连接 。
验证许可证要求
您需要验证 AWS 和NetApp控制台的许可证要求:
-
在为集群激活NetApp Backup and Recovery 之前,您需要订阅 AWS 提供的即用即付 (PAYGO) NetApp Console Marketplace,或者从NetApp购买并激活NetApp Backup and Recovery BYOL 许可证。这些许可证适用于您的帐户,可以在多个系统中使用。
-
对于NetApp Backup and Recovery PAYGO 许可,您需要订阅 "AWS Marketplace 提供的NetApp控制台"。 NetApp Backup and Recovery 的计费通过此订阅完成。
-
对于NetApp备份和恢复 BYOL 许可,您需要NetApp提供的序列号,以便您在许可证的有效期和容量内使用该服务。
-
-
您需要订阅用于存储备份的对象存储空间的 AWS。
支持地区
您可以在所有区域(包括 AWS GovCloud 区域)中从本地系统创建到 Amazon S3 的备份。您在设置服务时指定存储备份的区域。
准备ONTAP集群
您需要准备源本地ONTAP系统以及任何辅助本地ONTAP或Cloud Volumes ONTAP系统。
准备ONTAP集群涉及以下步骤:
-
在NetApp控制台中发现您的ONTAP系统
-
验证ONTAP系统要求
-
验证ONTAP网络要求以将数据备份到对象存储
-
验证ONTAP复制卷的网络要求
在NetApp控制台中发现您的ONTAP系统
您的源本地ONTAP系统和任何辅助本地ONTAP或Cloud Volumes ONTAP系统都必须在NetApp控制台 系统 页面上可用。
您需要知道集群管理 IP 地址和管理员用户帐户的密码才能添加集群。https://docs.netapp.com/us-en/storage-management-ontap-onprem/task-discovering-ontap.html["了解如何发现集群"^] 。
验证ONTAP系统要求
确保满足以下ONTAP要求:
-
最低版本为ONTAP 9.8;建议使用ONTAP 9.8P13 及更高版本。
-
SnapMirror许可证(包含在高级捆绑包或数据保护捆绑包中)。
*注意:*使用NetApp备份和恢复时不需要“混合云捆绑包”。
了解如何 "管理您的集群许可证"。
-
时间和时区设置正确。了解如何 "配置集群时间"。
-
如果要复制数据,则应在复制数据之前验证源系统和目标系统是否运行兼容的ONTAP版本。
验证ONTAP网络要求以将数据备份到对象存储
您必须在连接到对象存储的系统上配置以下要求。
-
对于扇出备份架构,请在主系统上配置以下设置。
-
对于级联备份架构,请在_辅助_系统上配置以下设置。
需要满足以下ONTAP集群网络要求:
-
集群需要从控制台代理到集群管理 LIF 的入站 HTTPS 连接。
-
每个托管要备份的卷的ONTAP节点上都需要一个集群间 LIF。这些集群间 LIF 必须能够访问对象存储。
集群通过端口 443 启动从集群间 LIF 到 Amazon S3 存储的出站 HTTPS 连接,以执行备份和还原操作。ONTAP从对象存储读取和写入数据 - 对象存储从不启动,它只是响应。
-
集群间 LIF 必须与ONTAP用于连接对象存储的 IPspace 相关联。 "了解有关 IP 空间的更多信息" 。
设置NetApp Backup and Recovery 时,系统会提示您输入要使用的 IP 空间。您应该选择与这些 LIF 关联的 IP 空间。这可能是“默认” IP 空间或您创建的自定义 IP 空间。
如果您使用的 IP 空间与“默认”不同,那么您可能需要创建静态路由来访问对象存储。
IP 空间内的所有集群间 LIF 都必须具有对象存储的访问权限。如果您无法为当前 IP 空间配置此功能,则需要创建一个专用 IP 空间,其中所有集群间 LIF 都可以访问对象存储。
-
必须为卷所在的存储虚拟机配置 DNS 服务器。了解如何 "为 SVM 配置 DNS 服务"。
-
如有必要,请更新防火墙规则,以允许NetApp Backup and Recovery 通过端口 443 从ONTAP连接到对象存储,并通过端口 53(TCP/UDP)从存储虚拟机到 DNS 服务器的名称解析流量。
-
如果您在 AWS 中使用私有 VPC 接口端点进行 S3 连接,那么为了使用 HTTPS/443,您需要将 S3 端点证书加载到ONTAP集群中。使用 VPC 终端节点接口配置系统以进行私有连接 。 *[确保您的ONTAP集群有权访问 S3 存储桶。
验证ONTAP复制卷的网络要求
如果您计划使用NetApp Backup and Recovery 在辅助ONTAP系统上创建复制卷,请确保源系统和目标系统满足以下网络要求。
本地ONTAP网络要求
-
如果集群位于您的场所,您应该从公司网络连接到云提供商中的虚拟网络。这通常是 VPN 连接。
-
ONTAP集群必须满足额外的子网、端口、防火墙和集群要求。
由于您可以复制到Cloud Volumes ONTAP或本地系统,因此请查看本地ONTAP系统的对等要求。 "查看ONTAP文档中的集群对等前提条件" 。
Cloud Volumes ONTAP网络要求
-
实例的安全组必须包含所需的入站和出站规则:具体来说,ICMP 和端口 11104 和 11105 的规则。这些规则包含在预定义的安全组中。
准备 Amazon S3 作为备份目标
准备 Amazon S3 作为备份目标涉及以下步骤:
-
设置 S3 权限。
-
(可选)创建您自己的 S3 存储桶。 (如果您愿意,该服务将为您创建存储桶。)
-
(可选)设置客户管理的 AWS 密钥以进行数据加密。
-
(可选)使用 VPC 终端节点接口配置系统以进行私有连接。
设置 S3 权限
您需要配置两组权限:
-
控制台代理创建和管理 S3 存储桶的权限。
-
本地ONTAP集群的权限,以便它可以读取和写入 S3 存储桶的数据。
-
确保控制台代理具有所需的权限。有关详细信息,请参阅 "NetApp控制台策略权限"。
在 AWS 中国区域创建备份时,您需要将 IAM 策略中所有_Resource_部分下的 AWS 资源名称“arn”从“aws”更改为“aws-cn”;例如 arn:aws-cn:s3:::netapp-backup-*。 -
当您激活该服务时,备份向导将提示您输入访问密钥和密钥。这些凭证被传递到ONTAP集群,以便ONTAP可以将数据备份和恢复到 S3 存储桶。为此,您需要创建具有以下权限的 IAM 用户。
Details
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:PutEncryptionConfiguration" ], "Resource": "arn:aws:s3:::netapp-backup-*", "Effect": "Allow", "Sid": "backupPolicy" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::netapp-backup*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListAllMyBuckets", "s3:PutObjectTagging", "s3:GetObjectTagging", "s3:RestoreObject", "s3:GetBucketObjectLockConfiguration", "s3:GetObjectRetention", "s3:PutBucketObjectLockConfiguration", "s3:PutObjectRetention" ], "Resource": "arn:aws:s3:::netapp-backup*/*", "Effect": "Allow" } ] }
创建您自己的存储桶
默认情况下,该服务会为您创建存储桶。或者,如果您想使用自己的存储桶,您可以在启动备份激活向导之前创建它们,然后在向导中选择这些存储桶。
如果您创建自己的存储桶,则应使用存储桶名称“netapp-backup”。如果您需要使用自定义名称,请编辑 `ontapcloud-instance-policy-netapp-backup`IAMRole 用于现有的 CVO,并将以下列表添加到 S3 权限。您需要包括 `"Resource": "arn:aws:s3:::*"`并分配与存储桶关联的所有必要权限。
Details
- “操作”:[“S3:ListBucket”“S3:GetBucketLocation”]“资源”:“arn:aws:s3
-
*”,“效果”:“允许”},{“操作”:[“S3:GetObject”,“S3:PutObject”,“S3:DeleteObject”,“S3:ListAllMyBuckets”,“S3:PutObjectTagging”,“S3:GetObjectTagging”,“S3:RestoreObject”,“S3:GetBucketObjectLockConfiguration”,“S3:GetObjectRetention”,“S3:PutBucketObjectLockConfiguration”,“S3:PutObjectRetention”]“资源”:“arn:aws:s3 ::: *”,
设置客户管理的 AWS 密钥以进行数据加密
如果您想使用默认的 Amazon S3 加密密钥来加密您的本地集群和 S3 存储桶之间传递的数据,那么您已经完成了所有设置,因为默认安装使用这种类型的加密。
如果您想使用自己的客户管理密钥进行数据加密而不是使用默认密钥,那么您需要在启动NetApp备份和恢复向导之前设置加密管理密钥。
使用 VPC 终端节点接口配置系统以进行私有连接
如果您想使用标准公共互联网连接,那么所有权限都由控制台代理设置,您无需执行任何其他操作。
如果您希望通过互联网从本地数据中心到 VPC 建立更安全的连接,则可以在备份激活向导中选择 AWS PrivateLink 连接。如果您计划使用 VPN 或 AWS Direct Connect 通过使用私有 IP 地址的 VPC 终端节点接口连接您的本地系统,则需要它。
-
使用 Amazon VPC 控制台或命令行创建接口终端节点配置。 "请参阅有关使用 AWS PrivateLink for Amazon S3 的详细信息" 。
-
修改与控制台代理关联的安全组配置。您必须将策略更改为“自定义”(从“完全访问”),并且您必须从备份策略添加 S3 权限如前所示。
如果您使用端口 80(HTTP)与私有端点进行通信,则一切就绪。您现在可以在集群上启用NetApp备份和恢复。
如果您使用端口 443(HTTPS)与私有端点通信,则必须从 VPC S3 端点复制证书并将其添加到您的ONTAP集群,如接下来的 4 个步骤所示。
-
从 AWS 控制台获取端点的 DNS 名称。
-
从 VPC S3 端点获取证书。你可以通过以下方式做到这一点 "登录到托管控制台代理的虚拟机"并运行以下命令。输入端点的 DNS 名称时,在开头添加“bucket”,替换“*”:
[ec2-user@ip-10-160-4-68 ~]$ openssl s_client -connect bucket.vpce-0ff5c15df7e00fbab-yxs7lt8v.s3.us-west-2.vpce.amazonaws.com:443 -showcerts -
从此命令的输出中,复制 S3 证书的数据(BEGIN / END CERTIFICATE 标签之间(包括 BEGIN / END CERTIFICATE 标签)的所有数据):
Certificate chain 0 s:/CN=s3.us-west-2.amazonaws.com` i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon -----BEGIN CERTIFICATE----- MIIM6zCCC9OgAwIBAgIQA7MGJ4FaDBR8uL0KR3oltTANBgkqhkiG9w0BAQsFADBG … … GqvbOz/oO2NWLLFCqI+xmkLcMiPrZy+/6Af+HH2mLCM4EsI2b+IpBmPkriWnnxo= -----END CERTIFICATE----- -
登录ONTAP集群 CLI 并使用以下命令应用您复制的证书(替换您自己的存储虚拟机名称):
cluster1::> security certificate install -vserver cluster1 -type server-ca Please enter Certificate: Press <Enter> when done
激活ONTAP卷上的备份
随时直接从您的本地系统激活备份。
向导将引导您完成以下主要步骤:
您还可以显示 API 命令在审查步骤中,您可以复制代码来自动为未来的系统激活备份。
启动向导
-
使用以下方式之一访问激活备份和恢复向导:
-
从控制台*系统*页面中,选择系统,然后选择右侧面板中备份和恢复旁边的*启用>备份卷*。
如果备份的 Amazon S3 目标作为系统存在于控制台*系统*页面上,则可以将ONTAP集群拖到 Amazon S3 对象存储上。
-
在备份和恢复栏中选择*卷*。从卷选项卡中,选择*操作*
图标并选择单个卷(尚未启用复制或备份到对象存储)的*激活备份*。
向导的介绍页面显示保护选项,包括本地快照、复制和备份。如果您在此步骤中选择了第二个选项,则会出现“定义备份策略”页面,其中选择一个卷。
-
-
继续以下选项:
-
如果您已经有控制台代理,那么一切就绪了。只需选择*下一步*。
-
如果您还没有控制台代理,则会出现“添加控制台代理”选项。请参阅准备控制台代理 。
-
选择要备份的卷
选择您想要保护的卷。受保护的卷是具有以下一项或多项的卷:快照策略、复制策略、备份到对象策略。
您可以选择保护FlexVol或FlexGroup卷;但是,在激活系统备份时不能选择这些卷的混合。了解如何"激活系统中附加卷的备份"(FlexVol或FlexGroup)在为初始卷配置备份后。
|
|
|
如果您选择的卷已经应用了快照或复制策略,那么您稍后选择的策略将覆盖这些现有策略。
-
在“选择卷”页面中,选择要保护的一个或多个卷。
-
或者,过滤行以仅显示具有特定卷类型、样式等的卷,以便更轻松地进行选择。
-
选择第一个卷后,您可以选择所有FlexVol卷(FlexGroup卷一次只能选择一个)。要备份所有现有的FlexVol卷,请先选中一个卷,然后选中标题行中的框。
-
要备份单个卷,请选中每个卷对应的复选框。
-
-
选择“下一步”。
定义备份策略
定义备份策略涉及设置以下选项:
-
您是否需要一个或所有备份选项:本地快照、复制和备份到对象存储
-
架构
-
本地快照策略
-
复制目标和策略
如果您选择的卷具有与您在此步骤中选择的策略不同的快照和复制策略,则现有策略将被覆盖。 -
备份到对象存储信息(提供商、加密、网络、备份策略和导出选项)。
-
在“定义备份策略”页面中,选择以下一项或全部。默认情况下,所有三个都被选中:
-
本地快照:如果您正在执行复制或备份到对象存储,则必须创建本地快照。
-
复制:在另一个ONTAP存储系统上创建复制卷。
-
备份:将卷备份到对象存储。
-
-
架构:如果您选择复制和备份,请选择以下信息流之一:
-
级联:信息从主存储流向辅助存储,再流向对象存储,再从辅助存储流向对象存储。
-
扇出:信息从主存储流向辅助存储,再从主存储流向对象存储。
有关这些架构的详细信息,请参阅"规划您的保护之旅"。
-
-
本地快照:选择现有的快照策略或创建策略。
要在激活快照之前创建自定义策略,请参阅"创建策略"。 -
要创建策略,请选择“创建新策略”并执行以下操作:
-
输入策略的名称。
-
选择最多五个时间表,通常频率不同。
-
对于备份到对象策略,设置 DataLock 和 Ransomware Resilience 设置。有关 DataLock 和勒索软件恢复的详细信息,请参阅"备份到对象策略设置"。
-
-
选择“创建”。
-
-
复制:设置以下选项:
-
复制目标:选择目标系统和 SVM。或者,选择将添加到复制卷名称的目标聚合或聚合以及前缀或后缀。
-
复制策略:选择现有的复制策略或创建策略。
要在激活复制之前创建自定义策略,请参阅"创建策略"。 要创建策略,请选择“创建新策略”并执行以下操作:
-
输入策略的名称。
-
选择最多五个时间表,通常频率不同。
-
选择“创建”。
-
-
-
备份到对象:如果您选择了*备份*,请设置以下选项:
-
提供商:选择*Amazon Web Services*。
-
提供商设置:输入提供商详细信息和将存储备份的 AWS 区域。
访问密钥和密钥适用于您创建的 IAM 用户,用于授予ONTAP集群对 S3 存储桶的访问权限。
-
存储桶:选择现有的 S3 存储桶或创建一个新的。参考 "添加 S3 存储桶"。
-
加密密钥:如果您创建了新的 S3 存储桶,请输入提供商提供给您的加密密钥信息。选择是否使用默认的 Amazon S3 加密密钥,或者从您的 AWS 账户中选择您自己的客户管理密钥来管理数据的加密。
如果您选择了现有的存储桶,则加密信息已经可用,因此您现在无需输入。 -
网络:选择 IP 空间,以及是否使用私有端点。默认情况下,私有端点是禁用的。
-
您要备份的卷所在的ONTAP集群中的 IP 空间。此 IP 空间的集群间 LIF 必须具有出站互联网访问权限。
-
或者,选择是否使用您之前配置的 AWS PrivateLink。 "查看有关将 AWS PrivateLink 用于 Amazon S3 的详细信息" 。
-
-
备份策略:选择现有的备份策略或创建策略。
要在激活备份之前创建自定义策略,请参阅"创建策略"。 要创建策略,请选择“创建新策略”并执行以下操作:
-
输入策略的名称。
-
选择最多五个时间表,通常频率不同。
-
选择“创建”。
-
-
将现有的 Snapshot 副本导出到对象存储作为备份副本:如果此系统中有任何卷的本地快照副本与您刚刚为此系统选择的备份计划标签(例如,每日、每周等)相匹配,则会显示此附加提示。选中此框可将所有历史快照复制到对象存储作为备份文件,以确保对您的卷进行最全面的保护。
-
-
选择“下一步”。
检查您的选择
这是审查您的选择并在必要时进行调整的机会。
-
在“审核”页面中,审核您的选择。
-
(可选)选中复选框*自动将快照策略标签与复制和备份策略标签同步*。这将创建具有与复制和备份策略中的标签匹配的标签的快照。
-
选择*激活备份*。
NetApp Backup and Recovery 开始对您的卷进行初始备份。复制卷和备份文件的基线传输包括主存储系统数据的完整副本。后续传输包含 Snapshot 副本中所含主数据的差异副本。
在目标集群中创建一个复制卷,该卷将与主存储卷同步。
S3 存储桶在您输入的 S3 访问密钥和密钥指示的服务帐户中创建,并且备份文件存储在那里。显示卷备份仪表板,以便您可以监控备份的状态。
您还可以使用"作业监控页面"。
显示 API 命令
您可能想要显示并选择性地复制激活备份和恢复向导中使用的 API 命令。您可能希望这样做以便在未来的系统中自动激活备份。
-
从激活备份和恢复向导中,选择*查看 API 请求*。
-
要将命令复制到剪贴板,请选择*复制*图标。