Skip to main content
NetApp Data Classification
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用NetApp Data Classification扫描Amazon FSx for ONTAP卷

贡献者 netapp-ahibbard
PDF

完成几个步骤即可使用NetApp Data Classification扫描Amazon FSx for ONTAP卷。

开始之前

  • 您需要 AWS 中一个活动的控制台代理来部署和管理数据分类。

  • 创建系统时选择的安全组必须允许来自数据分类实例的流量。您可以使用连接到 FSx for ONTAP文件系统的 ENI 找到关联的安全组,并使用 AWS 管理控制台对其进行编辑。

    "Linux 实例的 AWS 安全组"

    "Windows 实例的 AWS 安全组"

    "AWS 弹性网络接口 (ENI)"

  • 确保以下端口对数据分类实例开放:

    • 对于 NFS – 端口 111 和 2049。

    • 对于 CIFS – 端口 139 和 445。

部署数据分类实例

"部署数据分类"如果尚未部署实例。

您应该在与 AWS 控制台代理和要扫描的 FSx 卷相同的 AWS 网络中部署数据分类。

*注意:*扫描 FSx 卷时,当前不支持在本地位置部署数据分类。

只要实例具有互联网连接,数据分类软件的升级就会自动进行。

在您的系统中启用数据分类

您可以为 FSx for ONTAP卷启用数据分类。

  1. 从NetApp Console,治理 > 分类

  2. 从数据分类菜单中,选择*配置*。

  3. 标识要为其启用扫描的系统。

  4. 确定要如何扫描卷。"映射和分类扫描之间有什么区别?"

  5. 要启用对系统中所有卷的扫描,请选择 激活扫描,然后选择 仅映射所有卷完全扫描所有卷

    要仅管理对选定卷的扫描,请选择 激活扫描,然后选择 管理。在系统概述中,确定要扫描的资源。选择每个卷的扫描类型,然后将其设置为所需的扫描类型:完全或仅映射。

    启用和禁用卷上的扫描了解详情。

结果

Data Classification 开始扫描您在系统中选择的卷。Data Classification 完成初始扫描后,结果将立即在 Compliance 仪表板中显示。所需时间取决于数据量—​可能需要几分钟或几小时。您可以通过导航到 Configuration 菜单,然后选择 Manage 按钮来跟踪初始扫描的进度。在进度条中跟踪每次扫描的进度;您可以将鼠标悬停在进度条上,以查看相对于卷中总文件数扫描的文件数。

备注

  • 默认情况下,如果数据分类在 CIFS 中没有写入属性权限,或者在 NFS 中没有写入权限,系统将不会扫描卷中的文件,因为数据分类无法将“上次访问时间”恢复为原始时间戳。如果您不介意上次访问时间是否重置,请选择*或为每个卷选择扫描类型*。结果页面有一个您可以启用的设置,以便数据分类可以扫描卷,而不管权限如何。

  • 数据分类仅扫描卷下的一个文件共享。如果您的卷中有多个共享,则需要将这些其他共享作为共享组单独扫描。"查看有关此数据分类限制的更多详细信息"

验证数据分类是否有权访问卷

通过检查网络、安全组和导出策略,确保数据分类可以访问卷。

您需要向数据分类提供 CIFS 凭据,以便它可以访问 CIFS 卷。

步骤

  1. 从数据分类菜单中,选择*配置*。

  2. 找到要验证的系统。在系统概述中,如果存在任何错误,Data Classification 会显示这些错误。选择 查看错误 以查看错误,或选择 管理 以查看系统概况。

  3. 确保数据分类实例与包含 FSx for ONTAP卷的每个网络之间存在网络连接。

    备注 对于 FSx for ONTAP,数据分类只能扫描与控制台位于同一区域的卷。

  4. 确保 NFS 卷导出策略包含数据分类实例的 IP 地址,以便它可以访问每个卷上的数据。

  5. 如果您使用 CIFS,请向数据分类提供 Active Directory 凭据,以便它可以扫描 CIFS 卷。

    1. 从数据分类菜单中,选择*配置*。

    2. 对于每个系统,选择 管理,然后在系统概述页面上选择 编辑 CIFS 凭据。输入 Data Classification 访问系统上 CIFS 卷所需的用户名和密码。

      凭据可以是只读的,但提供管理员凭据可确保数据分类可以读取任何需要提升权限的数据。凭证存储在数据分类实例上。

      如果您想确保文件的“上次访问时间”不会因数据分类扫描而改变,建议用户在 CIFS 中具有写入属性权限或在 NFS 中具有写入权限。如果可能,请将 Active Directory 用户配置为组织中具有所有文件权限的父组的一部分。

    输入凭据后,您应该会看到一条消息,表明所有 CIFS 卷均已成功验证。

启用和禁用卷上的扫描

您可以随时从配置页面开始或停止对任何系统的扫描。您还可以将扫描从仅映射扫描切换到映射和分类扫描,反之亦然。建议扫描系统中的所有卷。

默认情况下,页面顶部的 无写入权限扫描 开关处于禁用状态。这意味着,如果 Data Classification 在 CIFS 中没有写属性权限,或者在 NFS 中没有写权限,系统将不会扫描文件,因为 Data Classification 无法将"上次访问时间"还原为原始时间戳。如果您不在乎上次访问时间是否重置,请打开开关,无论权限如何,都会扫描所有文件。"了解更多"

备注 仅当您启用了对所有卷的扫描时,才会自动扫描添加到系统中的新卷。如果您仅在特定卷上启用了扫描,则必须在新添加的卷上手动启用扫描。

配置页面的屏幕截图,您可以在其中启用或禁用对单个卷的扫描。

步骤

  1. 从数据分类菜单中,选择*配置*。

  2. 识别要扫描的系统。选择 激活扫描。在下拉列表中,选择 扫描所有卷:完全扫描扫描所有卷:仅映射管理扫描 以打开系统菜单并在特定卷上配置扫描。

    要启用或禁用单个卷的扫描,请在列表中查找卷。在扫描类型列中,选择 仅映射完全扫描

结果

当您启用扫描时,数据分类将开始扫描您在系统中选择的卷。一旦数据分类开始扫描,结果就会开始出现在合规性仪表板中。扫描完成时间取决于数据量,从几分钟到几小时不等。

扫描数据保护卷

默认情况下,不会扫描数据保护 (DP) 卷,因为它们未暴露在外部,并且数据分类无法访问它们。这些是来自 FSx for ONTAP文件系统的SnapMirror操作的目标卷。

最初,卷列表将这些卷标识为_类型_ DP,其_状态_ 未扫描*和_所需操作_ *启用对 DP 卷的访问

步骤

如果要扫描这些数据保护卷:

  1. 从数据分类菜单中,选择*配置*。

  2. 选择页面顶部的“启用对 DP 卷的访问”*。

  3. 查看确认消息并再次选择*启用对 DP 卷的访问*。

    • 最初在源 FSx for ONTAP文件系统中创建为 NFS 卷的卷已启用。

    • 最初在源 FSx for ONTAP文件系统中创建为 CIFS 卷的卷要求您输入 CIFS 凭据来扫描这些 DP 卷。如果您已经输入了 Active Directory 凭据,以便数据分类可以扫描 CIFS 卷,您可以使用这些凭据,或者您可以指定一组不同的管理员凭据。

      启用 CIFS 数据保护卷的两个选项的屏幕截图。

  4. 激活您想要扫描的每个 DP 卷。

结果

一旦启用,数据分类将从每个激活扫描的 DP 卷创建一个 NFS 共享。共享导出策略仅允许从数据分类实例进行访问。

如果您在最初启用对 DP 卷的访问时没有 CIFS 数据保护卷,后来又添加了一些,则按钮 启用对 CIFS DP 的访问 将出现在配置页面的顶部。选择此按钮并添加 CIFS 凭据以启用对这些 CIFS DP 卷的访问。

备注 Active Directory 凭据仅在第一个 CIFS DP 卷的存储 VM 中注册,因此该 SVM 上的所有 DP 卷都将被扫描。驻留在其他 SVM 上的任何卷都不会注册 Active Directory 凭据,因此不会扫描这些 DP 卷。