简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

NetApp备份和恢复中的备份到对象策略选项

10/07/2025 贡献者

PDF

NetApp Backup and Recovery 使您能够为本地ONTAP和Cloud Volumes ONTAP系统创建具有各种设置的备份策略。

这些策略设置仅与备份到对象存储相关。这些设置都不会影响您的快照或复制策略。

注意要切换到NetApp备份和恢复工作负载，请参阅"切换到不同的NetApp备份和恢复工作负载"。

备份计划选项

NetApp Backup and Recovery 使您能够为每个系统（集群）创建具有唯一计划的多个备份策略。您可以为具有不同恢复点目标 (RPO) 的卷分配不同的备份策略。

每个备份策略都提供了一个“标签和保留”部分，您可以将其应用于备份文件。请注意，应用于卷的 Snapshot 策略必须是NetApp Backup and Recovery 识别的策略之一，否则将不会创建备份文件。

该计划分为两部分：标签和保留值：

标签定义了从卷创建（或更新）备份文件的频率。您可以从以下标签类型中进行选择：
- 您可以选择*每小时*、每天、每周、*每月*和*每年*时间范围中的一个或多个组合。
- 您可以选择系统定义的策略之一，提供 3 个月、1 年或 7 年的备份和保留。
- 如果您已使用ONTAP System Manager 或ONTAP CLI 在集群上创建了自定义备份保护策略，则可以选择其中一个策略。
*保留*值定义每个标签（时间范围）保留多少个备份文件。一旦达到某个类别或间隔内的最大备份数量，较旧的备份就会被删除，以便您始终拥有最新的备份。这还可以节省您的存储成本，因为过时的备份不会继续占用云中的空间。

例如，假设您创建一个备份策略，该策略创建 7 个每周备份和 12 个每月备份：

每周和每月都会为卷创建一个备份文件
在第 8 周，删除第一个每周备份，并添加第 8 周的新每周备份（最多保留 7 个每周备份）
在第 13 个月，删除第一个月度备份，并添加第 13 个月的新月度备份（最多保留 12 个月度备份）

年度备份在传输到对象存储后会自动从源系统中删除。可以在系统的高级设置页面中更改此默认行为。

DataLock 和勒索软件保护选项

NetApp Backup and Recovery 为您的卷备份提供 DataLock 和勒索软件保护支持。这些功能使您能够锁定备份文件并对其进行扫描以检测备份文件上可能存在的勒索软件。这是一个可选设置，当您希望为集群的卷备份提供额外保护时，可以在备份策略中定义它。

这两个功能都可以保护您的备份文件，以便在您的备份遭受勒索软件攻击时，您始终拥有一个有效的备份文件来恢复数据。满足某些监管要求也很有帮助，在这些要求中，备份需要被锁定并保留一段时间。启用 DataLock 和勒索软件恢复选项后，作为NetApp Backup 和 Recovery 激活的一部分配置的云存储桶将启用对象锁定和对象版本控制。

"请参阅 DataLock 和勒索软件保护博客以了解更多详细信息" 。

此功能不为您的源卷提供保护；仅为这些源卷的备份提供保护。使用一些 "ONTAP提供的反勒索软件保护"保护您的源卷。

如果您计划使用 DataLock 和勒索软件保护，则可以在创建第一个备份策略并为该集群激活NetApp Backup and Recovery 时启用它。您可以稍后使用NetApp Backup and Recovery 高级设置启用或禁用勒索软件扫描。
当控制台在恢复卷数据时扫描备份文件中的勒索软件时，您将产生来自云提供商的额外出口成本以访问备份文件的内容。

什么是DataLock

使用此功能，您可以将通过SnapMirror复制到云的云快照锁定，还可以启用该功能来检测勒索软件攻击并恢复对象存储上快照的一致副本。 AWS、Azure 和StorageGRID支持此功能。

DataLock 可保护您的备份文件在一定时间内不被修改或删除 - 也称为_不可变存储_。此功能使用对象存储提供商的技术进行“对象锁定”。

云提供商使用保留截止日期 (RUD)，该日期是根据快照保留期计算的。快照保留期是根据备份策略中定义的标签和保留计数计算的。

最短快照保留期为 30 天。让我们看一些例子来了解它的工作原理：

如果您选择保留计数为 20 的 Daily 标签，则快照保留期为 20 天，默认为最短 30 天。
如果您选择保留计数为 4 的每周标签，则快照保留期为 28 天，默认为最短 30 天。
如果您选择保留计数为 3 的“每月”标签，则快照保留期为 90 天。
如果您选择保留计数为 1 的每年标签，则快照保留期为 365 天。

什么是保留截止日期 (RUD)？如何计算？

保留截止日期 (RUD) 根据快照保留期确定。保留截止日期是通过将快照保留期与缓冲区相加来计算的。

缓冲为转移时间缓冲（3天）+成本优化缓冲（28天），总计31天。
最短保留截止日期为 30 天 + 31 天缓冲期 = 61 天。

以下是一些示例：

如果您创建具有 12 个保留的每月备份计划，则您的备份将被锁定 12 个月（加 31 天），然后才会被删除（由下一个备份文件替换）。
如果您创建的备份策略创建了 30 个每日备份、7 个每周备份和 12 个每月备份，则有三个锁定保留期：
- “每日 30 次”备份将保留 61 天（30 天加上 31 天缓冲），
- “每周 7 次”备份保留 11 周（7 周加 31 天），并且
- “12 个月”备份将保留 12 个月（加 31 天）。
如果您创建具有 24 个保留的每小时备份计划，您可能会认为备份被锁定 24 小时。但是，由于该时间少于 30 天的最低限制，因此每个备份将被锁定并保留 61 天（30 天加上 31 天的缓冲时间）。

旧备份将在 DataLock 保留期到期后删除，而不是在备份策略保留期到期后删除。

DataLock 保留设置将覆盖备份策略中的策略保留设置。这可能会影响您的存储成本，因为您的备份文件将在对象存储中保存更长时间。

启用 DataLock 和勒索软件保护

您可以在创建策略时启用 DataLock 和勒索软件保护。创建策略后，您无法启用、修改或禁用此功能。

创建策略时，展开“DataLock 和勒索软件弹性”部分。
选择下列选项之一：
- 无：DataLock 保护和勒索软件恢复功能已禁用。
- 已解锁：DataLock 保护和勒索软件恢复功能已启用。具有特定权限的用户可以在保留期内覆盖或删除受保护的备份文件。
- 已锁定：DataLock 保护和勒索软件恢复功能已启用。在保留期内，任何用户都不能覆盖或删除受保护的备份文件。这满足了完全的监管合规性。

请参阅"如何在“高级设置”页面中更新勒索软件防护选项" 。

什么是勒索软件保护

勒索软件防护会扫描您的备份文件以寻找勒索软件攻击的证据。勒索软件攻击的检测是使用校验和比较来执行的。如果在新的备份文件与之前的备份文件中发现潜在的勒索软件，则该较新的备份文件将被未显示任何勒索软件攻击迹象的最新备份文件替换。（被判定为遭受勒索软件攻击的文件在被替换1天后被删除。）

扫描发生在以下情况下：

云备份对象传输到云对象存储后，很快就会启动对云备份对象的扫描。当备份文件首次写入云存储时，不会执行扫描，而是在写入下一个备份文件时执行。
当选择备份进行恢复过程时，可以启动勒索软件扫描。
可以随时按需进行扫描。

恢复过程如何进行？

当检测到勒索软件攻击时，该服务使用 Active Data Console 代理 Integrity Checker REST API 来启动恢复过程。数据对象的最旧版本是事实来源，并作为恢复过程的一部分转化为当前版本。

让我们看看它是如何工作的：

如果发生勒索软件攻击，该服务会尝试覆盖或删除存储桶中的对象。
由于云存储支持版本控制，它会自动创建备份对象的新版本。如果在启用版本控制的情况下删除对象，则会将其标记为已删除，但仍可检索。如果对象被覆盖，则会存储并标记以前的版本。
当启动勒索软件扫描时，将验证两个对象版本的校验和并进行比较。如果校验和不一致，则表示检测到了潜在的勒索软件。
恢复过程涉及恢复到最后一个已知的良好副本。

支持的系统和对象存储提供商

在以下公共和私有云提供商中使用对象存储时，您可以从以下系统在ONTAP卷上启用 DataLock 和勒索软件保护。

源系统	备份文件目标 ifdef::aws[]
AWS 中的Cloud Volumes ONTAP	亚马逊 S3 endif::aws[] ifdef::azure[]
Azure 中的Cloud Volumes ONTAP	Azure Blob endif::azure[] ifdef::gcp[]
Google Cloud 中的Cloud Volumes ONTAP	谷歌云 endif::gcp[]
本地ONTAP系统	ifdef::aws[] Amazon S3 endif::aws[] ifdef::azure[] Azure Blob endif::azure[] ifdef::gcp[] Google Cloud endif::gcp[] NetApp StorageGRID

源系统

备份文件目标 ifdef::aws[]

AWS 中的Cloud Volumes ONTAP

亚马逊 S3 endif::aws[] ifdef::azure[]

Azure 中的Cloud Volumes ONTAP

Azure Blob endif::azure[] ifdef::gcp[]

Google Cloud 中的Cloud Volumes ONTAP

谷歌云 endif::gcp[]

本地ONTAP系统

ifdef::aws[] Amazon S3 endif::aws[] ifdef::azure[] Azure Blob endif::azure[] ifdef::gcp[] Google Cloud endif::gcp[] NetApp StorageGRID

要求

对于 AWS：
- 您的集群必须运行ONTAP 9.11.1 或更高版本
- 控制台代理可以部署在云端或您的本地
- 以下 S3 权限必须是向控制台代理提供权限的 IAM 角色的一部分。它们位于资源“arn:aws:s3:::netapp-backup-*”的“backupS3Policy”部分：
  AWS S3 权限
  s3:获取对象版本标记
  
  s3：获取存储桶对象锁配置
  
  s3:获取对象版本Acl
  
  s3：PutObjectTagging
  
  s3：删除对象
  
  s3：删除对象标记
  
  s3：获取对象保留
  
  s3：删除对象版本标记
  
  s3：Put对象
  
  s3：获取对象
  
  s3:PutBucketObjectLock配置
  
  s3:获取生命周期配置
  
  s3：获取存储桶标记
  
  s3：删除对象版本
  
  s3：列出存储桶版本
  
  s3：列表桶
  
  s3：PutBucket标记
  
  s3:获取对象标记
  
  s3：PutBucket版本控制
  
  s3：PutObjectVersionTagging
  
  s3：获取存储桶版本
  
  s3：获取存储桶Acl
  
  s3：绕过治理保留
  
  s3：PutObjectRetention
  
  s3：获取存储桶位置
  
  s3：获取对象版本
  "查看策略的完整 JSON 格式，您可以在其中复制并粘贴所需的权限" 。
对于 Azure：
- 您的集群必须运行ONTAP 9.12.1 或更高版本
- 控制台代理可以部署在云端或您的本地
对于 Google Cloud：
- 您的集群必须运行ONTAP 9.17.1 或更高版本
- 控制台代理可以部署在云端或您的本地
对于StorageGRID：
- 您的集群必须运行ONTAP 9.11.1 或更高版本
- 您的StorageGRID系统必须运行 11.6.0.3 或更高版本
- 控制台代理必须部署在您的场所（可以安装在有或没有互联网访问的站点）
- 以下 S3 权限必须是向控制台代理提供权限的 IAM 角色的一部分：
  StorageGRID S3 权限
  s3:获取对象版本标记
  
  s3：获取存储桶对象锁配置
  
  s3:获取对象版本Acl
  
  s3：PutObjectTagging
  
  s3：删除对象
  
  s3：删除对象标记
  
  s3：获取对象保留
  
  s3：删除对象版本标记
  
  s3：Put对象
  
  s3：获取对象
  
  s3:PutBucketObjectLock配置
  
  s3:获取生命周期配置
  
  s3：获取存储桶标记
  
  s3：删除对象版本
  
  s3：列出存储桶版本
  
  s3：列表桶
  
  s3：PutBucket标记
  
  s3:获取对象标记
  
  s3：PutBucket版本控制
  
  s3：PutObjectVersionTagging
  
  s3：获取存储桶版本
  
  s3：获取存储桶Acl
  
  s3：PutObjectRetention
  
  s3：获取存储桶位置
  
  s3：获取对象版本

限制

如果您在备份策略中配置了档案存储，则 DataLock 和勒索软件保护功能不可用。
激活NetApp Backup and Recovery 时选择的 DataLock 选项必须用于该集群的所有备份策略。
您不能在单个集群上使用多种 DataLock 模式。
如果启用 DataLock，所有卷备份都将被锁定。您不能为单个集群混合锁定和非锁定卷备份。
DataLock 和勒索软件保护适用于使用启用了 DataLock 和勒索软件保护的备份策略的新卷备份。您可以稍后使用高级设置选项启用或禁用这些功能。
只有在使用ONTAP 9.13.1 或更高版本时， FlexGroup卷才能使用 DataLock 和勒索软件保护。

如何降低 DataLock 成本的技巧

您可以启用或禁用勒索软件扫描功能，同时保持 DataLock 功能处于活动状态。为了避免额外费用，您可以禁用计划的勒索软件扫描。这使您可以自定义安全设置并避免产生云提供商的费用。

即使禁用了计划的勒索软件扫描，您仍然可以在需要时执行按需扫描。

您可以选择不同级别的保护：

无需勒索软件扫描的 DataLock：为目标存储中的备份数据提供保护，可以处于治理模式或合规模式。
- 治理模式：为管理员提供覆盖或删除受保护数据的灵活性。
- 合规模式：在保留期到期之前提供完全不可磨灭性。这有助于满足严格监管环境中最严格的数据安全要求。数据在其生命周期内无法被覆盖或修改，为您的备份副本提供最强大的保护级别。
  
  Microsoft Azure 使用锁定和解锁模式。
带有勒索软件扫描的 DataLock：为您的数据提供额外的安全保护。此功能有助于检测任何更改备份副本的尝试。如果进行任何尝试，则会谨慎地创建新版本的数据。扫描频率可以更改为 1、2、3、4、5、6 或 7 天。如果将扫描设置为每 7 天一次，则成本会显著降低。

有关降低 DataLock 成本的更多提示，请参阅https://community.netapp.com/t5/Tech-ONTAP-Blogs/Understanding-NetApp-Backup-and-Recovery-DataLock-and-Ransomware-Feature-TCO/ba-p/453475[]

此外，您还可以访问以下网站获取与 DataLock 相关成本的估算： "NetApp备份和恢复总拥有成本 (TCO) 计算器" 。

档案存储选项

使用 AWS、Azure 或 Google 云存储时，您可以在一定天数后将较旧的备份文件移动到较便宜的存档存储类或访问层。您还可以选择立即将备份文件发送到档案存储，而无需写入标准云存储。只需输入 0 作为“几天后存档”即可将备份文件直接发送到档案存储。对于很少需要访问云备份数据的用户或正在替换磁带备份解决方案的用户来说，这尤其有用。

存档层中的数据在需要时无法立即访问，并且需要更高的检索成本，因此在决定存档备份文件之前，您需要考虑需要多久从备份文件中恢复一次数据。

即使您选择“0”将所有数据块发送到档案云存储，元数据块也始终写入标准云存储。
如果您启用了 DataLock，则无法使用档案存储。
选择 0 天（立即存档）后，您无法更改存档策略。

每个备份策略都提供了一个“存档策略”部分，您可以将其应用于备份文件。

在 AWS 中，备份从“标准”存储类开始，并在 30 天后转换到“标准-不频繁访问”存储类。

如果您的集群使用的是ONTAP 9.10.1 或更高版本，您可以将较旧的备份分层到 S3 Glacier 或 S3 Glacier Deep Archive 存储。"了解有关 AWS 档案存储的更多信息" 。
- 如果您在激活NetApp Backup and Recovery 时在第一个备份策略中未选择任何存档层，那么 S3 Glacier 将是您未来策略的唯一存档选项。
- 如果您在第一个备份策略中选择了“S3 Glacier”，那么您可以将该集群的未来备份策略更改为“S3 Glacier Deep Archive”层。
- 如果您在第一个备份策略中选择“S3 Glacier Deep Archive”，则该层将是该集群未来备份策略唯一可用的存档层。
在 Azure 中，备份与 Cool 访问层相关联。

如果您的集群使用的是ONTAP 9.10.1 或更高版本，则可以将旧备份分层到_Azure Archive_存储。"了解有关 Azure 档案存储的更多信息" 。
在 GCP 中，备份与 Standard 存储类相关联。

如果您的本地集群使用的是ONTAP 9.12.1 或更高版本，您可以选择在一定天数后将旧备份分层到NetApp Backup and Recovery UI 中的“Archive”存储中，以进一步优化成本。"详细了解 Google 归档存储" 。
在StorageGRID中，备份与 Standard 存储类相关联。

如果您的本地集群使用ONTAP 9.12.1 或更高版本，并且您的StorageGRID系统使用 11.4 或更高版本，则可以将较旧的备份文件存档到公共云档案存储。

+ ** 对于 AWS，您可以将备份分层到 AWS S3 Glacier 或 S3 Glacier Deep Archive 存储。"了解有关 AWS 档案存储的更多信息" 。

+ ** 对于 Azure，您可以将旧备份分层到_Azure Archive_存储。"了解有关 Azure 档案存储的更多信息" 。