Skip to main content
NetApp Data Classification
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用NetApp数据分类扫描Amazon FSx for ONTAP卷

贡献者 netapp-ahibbard
PDF

完成几个步骤即可开始使用NetApp数据分类扫描Amazon FSx for ONTAP卷。

开始之前

  • 您需要 AWS 中一个活动的控制台代理来部署和管理数据分类。

  • 创建系统时选择的安全组必须允许来自数据分类实例的流量。您可以使用连接到 FSx for ONTAP文件系统的 ENI 找到关联的安全组,并使用 AWS 管理控制台对其进行编辑。

    "Linux 实例的 AWS 安全组"

    "Windows 实例的 AWS 安全组"

    "AWS 弹性网络接口 (ENI)"

  • 确保以下端口对数据分类实例开放:

    • 对于 NFS – 端口 111 和 2049。

    • 对于 CIFS – 端口 139 和 445。

部署数据分类实例

"部署数据分类"如果尚未部署实例。

您应该在与 AWS 控制台代理和要扫描的 FSx 卷相同的 AWS 网络中部署数据分类。

*注意:*扫描 FSx 卷时,当前不支持在本地位置部署数据分类。

只要实例具有互联网连接,数据分类软件的升级就会自动进行。

在您的系统中启用数据分类

您可以为 FSx for ONTAP卷启用数据分类。

  1. 从NetApp控制台,治理 > 分类

  2. 从数据分类菜单中,选择*配置*。

    部署数据分类实例后立即显示的“配置”选项卡的屏幕截图。

  3. 选择如何扫描每个系统中的卷。"了解映射和分类扫描"

    • 要映射所有卷,请选择*映射所有卷*。

    • 要映射和分类所有卷,请选择*映射和分类所有卷*。

    • 要自定义每个卷的扫描,请选择*或选择每个卷的扫描类型*,然后选择要映射和/或分类的卷。

  4. 在确认对话框中,选择“批准”以使数据分类开始扫描您的卷。

结果

数据分类开始扫描您在系统中选择的卷。一旦数据分类完成初始扫描,结果将在合规性仪表板中提供。所需时间取决于数据量——可能是几分钟或几小时。您可以通过导航到配置菜单然后选择系统配置来跟踪初始扫描的进度。每次扫描的进度都显示为进度条。您还可以将鼠标悬停在进度条上,查看相对于卷中总文件数的已扫描文件数。

备注

  • 默认情况下,如果数据分类在 CIFS 中没有写入属性权限,或者在 NFS 中没有写入权限,系统将不会扫描卷中的文件,因为数据分类无法将“上次访问时间”恢复为原始时间戳。如果您不介意上次访问时间是否重置,请选择*或为每个卷选择扫描类型*。结果页面有一个您可以启用的设置,以便数据分类可以扫描卷,而不管权限如何。

  • 数据分类仅扫描卷下的一个文件共享。如果您的卷中有多个共享,则需要将这些其他共享作为共享组单独扫描。"查看有关此数据分类限制的更多详细信息"

验证数据分类是否有权访问卷

通过检查网络、安全组和导出策略,确保数据分类可以访问卷。

您需要向数据分类提供 CIFS 凭据,以便它可以访问 CIFS 卷。

步骤

  1. 从数据分类菜单中,选择*配置*。

  2. 在配置页面上,选择*查看详细信息*以查看状态并纠正任何错误。

    例如,下图显示由于数据分类实例和卷之间的网络连接问题,数据分类无法扫描卷。

    扫描配置中的“查看详细信息”页面的屏幕截图显示,由于数据分类和卷之间的网络连接,卷未被扫描。

  3. 确保数据分类实例与包含 FSx for ONTAP卷的每个网络之间存在网络连接。

    备注 对于 FSx for ONTAP,数据分类只能扫描与控制台位于同一区域的卷。

  4. 确保 NFS 卷导出策略包含数据分类实例的 IP 地址,以便它可以访问每个卷上的数据。

  5. 如果您使用 CIFS,请向数据分类提供 Active Directory 凭据,以便它可以扫描 CIFS 卷。

    1. 从数据分类菜单中,选择*配置*。

    2. 对于每个系统,选择*编辑 CIFS 凭据*并输入数据分类访问系统上的 CIFS 卷所需的用户名和密码。

      凭据可以是只读的,但提供管理员凭据可确保数据分类可以读取任何需要提升权限的数据。凭证存储在数据分类实例上。

      如果您想确保文件的“上次访问时间”不会因数据分类扫描而改变,建议用户在 CIFS 中具有写入属性权限或在 NFS 中具有写入权限。如果可能,请将 Active Directory 用户配置为组织中具有所有文件权限的父组的一部分。

    输入凭据后,您应该会看到一条消息,表明所有 CIFS 卷均已成功验证。

启用和禁用卷上的合规性扫描

您可以随时从配置页面启动或停止系统中的仅映射扫描或映射和分类扫描。您还可以从仅映射扫描更改为映射和分类扫描,反之亦然。我们建议您扫描所有卷。

页面顶部的“缺少“写入属性”权限时扫描”开关默认处于禁用状态。这意味着,如果数据分类在 CIFS 中没有写属性权限,或者在 NFS 中没有写权限,系统将不会扫描文件,因为数据分类无法将“上次访问时间”恢复为原始时间戳。如果您不介意是否重置上次访问时间,请打开开关,无论权限如何,都会扫描所有文件。"了解更多"

配置页面的屏幕截图,您可以在其中启用或禁用对单个卷的扫描。

  1. 从数据分类菜单中,选择*配置*。

  2. 在配置页面中,找到要扫描的卷的系统。

  3. 执行以下操作之一:

    • 要在卷上启用仅映射扫描,请在卷区域中选择 Map。或者,要在所有卷上启用,请在标题区域中选择*地图*。要对卷启用完整扫描,请在卷区域中选择*映射和分类*。或者,要在所有卷上启用,请在标题区域中选择*Map & Classify*。

    • 要禁用对卷的扫描,请在卷区域中选择“关闭”。要禁用对所有卷的扫描,请在标题区域中选择“关闭”。

备注 仅当您在标题区域中设置了 MapMap & Classify 设置时,才会自动扫描添加到系统的新卷。当在标题区域设置为*自定义*或*关闭*时,您需要在系统中添加的每个新卷上激活映射和/或完整扫描。

扫描数据保护卷

默认情况下,不会扫描数据保护 (DP) 卷,因为它们未暴露在外部,并且数据分类无法访问它们。这些是来自 FSx for ONTAP文件系统的SnapMirror操作的目标卷。

最初,卷列表将这些卷标识为_类型_ DP,其_状态_ 未扫描*和_所需操作_ *启用对 DP 卷的访问

屏幕截图显示了“启用对 DP 卷的访问”按钮,您可以选择该按钮来扫描数据保护卷。

步骤

如果要扫描这些数据保护卷:

  1. 从数据分类菜单中,选择*配置*。

  2. 选择页面顶部的“启用对 DP 卷的访问”*。

  3. 查看确认消息并再次选择*启用对 DP 卷的访问*。

    • 最初在源 FSx for ONTAP文件系统中创建为 NFS 卷的卷已启用。

    • 最初在源 FSx for ONTAP文件系统中创建为 CIFS 卷的卷要求您输入 CIFS 凭据来扫描这些 DP 卷。如果您已经输入了 Active Directory 凭据,以便数据分类可以扫描 CIFS 卷,您可以使用这些凭据,或者您可以指定一组不同的管理员凭据。

      启用 CIFS 数据保护卷的两个选项的屏幕截图。

  4. 激活您想要扫描的每个 DP 卷。

结果

一旦启用,数据分类将从每个激活扫描的 DP 卷创建一个 NFS 共享。共享导出策略仅允许从数据分类实例进行访问。

如果您在最初启用对 DP 卷的访问时没有 CIFS 数据保护卷,后来又添加了一些,则按钮 启用对 CIFS DP 的访问 将出现在配置页面的顶部。选择此按钮并添加 CIFS 凭据以启用对这些 CIFS DP 卷的访问。

备注 Active Directory 凭据仅在第一个 CIFS DP 卷的存储 VM 中注册,因此该 SVM 上的所有 DP 卷都将被扫描。驻留在其他 SVM 上的任何卷都不会注册 Active Directory 凭据,因此不会扫描这些 DP 卷。