简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

将内部 ONTAP 数据备份到 Amazon S3

提供者 netapp-tonacki 下载此页面的 PDF

完成几个步骤,开始将数据从内部 ONTAP 系统备份到 Amazon S3 存储。

提示

在大多数情况下,您将使用 Cloud Manager 执行所有备份和还原操作。但是,从 ONTAP 9.9.1 开始,您可以使用 ONTAP System Manager 对内部 ONTAP 集群启动卷备份操作。 "了解如何使用 System Manager 使用 Cloud Backup 将卷备份到云。"

通过 2021 年 1 月发布的测试版功能,您可以对内部系统中备份的卷运行合规扫描。通常,合规性扫描最多可释放 1 TB 的数据,然后对 1 TB 以上的数据应用服务成本。将内部卷的备份和数据感知相结合时,对这些内部卷进行扫描的成本是免费的。详细了解如何操作 "云数据感知" 可以让您的业务应用程序和云环境做好隐私准备。

快速入门

按照以下步骤快速入门,或者向下滚动到其余部分以了解完整详细信息。

验证是否支持您的配置

  • 您已发现内部集群并将其添加到 Cloud Manager 中的工作环境中。请参见 "发现 ONTAP 集群" 了解详细信息。

    • 此集群运行的是 ONTAP 9.7P5 或更高版本。

    • 集群具有 SnapMirror 许可证—它作为超值包或数据保护包的一部分提供。

    • 集群必须与 S3 存储和 Connector 建立所需的网络连接。

  • 连接器必须具有连接到 S3 存储和集群所需的网络连接以及所需的权限。

  • 您已为备份所在的对象存储空间订阅了有效的 AWS 。

  • 您有一个 AWS 帐户,其中包含访问密钥和机密密钥,以及 "所需权限" 以便 ONTAP 集群可以备份和还原数据。

在系统上启用 Cloud Backup

选择工作环境,然后单击右侧面板中备份和合规性服务旁边的 * 启用 * ,然后按照设置向导进行操作。

屏幕截图显示了 Backup & amp ; Compliance Enable 按钮,该按钮可在您选择内部工作环境后使用。

选择云提供商并输入提供商详细信息

选择 Amazon Web Services 作为您的提供商,然后输入提供商详细信息。您需要选择 AWS 帐户以及要创建备份的区域。您还可以选择自己的客户管理密钥进行数据加密,而不是使用默认的 Amazon S3 加密密钥。

显示将卷从 ONTAP 系统备份到 AWS S3 时云提供商详细信息的屏幕截图。

选择卷所在 ONTAP 集群中的 IP 空间。您还可以选择使用现有 AWS PrivateLink 配置,以便从内部数据中心更安全地连接到 VPC 。

屏幕截图显示了将卷从 ONTAP 系统备份到 AWS S3 时的网络连接详细信息。

定义备份策略

默认策略每天备份卷,并保留每个卷的最新 30 个备份副本。更改为每小时,每天,每周或每月备份,或者选择一个提供更多选项的系统定义策略。您还可以更改要保留的备份副本数。

显示 Cloud Backup 设置的屏幕截图,您可以在其中选择备份计划和保留期限。

选择要备份的卷

确定要从集群备份的卷。

对备份的卷激活合规性扫描(可选)

选择是否要让 Cloud Data sense 扫描在云中备份的卷。

根据需要还原数据

选择将整个备份还原到新卷,或者选择将单个文件从备份还原到现有卷。您可以将数据还原到 AWS 中的 Cloud Volumes ONTAP 系统或内部 ONTAP 系统。

请参见 "从备份文件还原卷数据" 了解详细信息。

要求

在开始将内部卷备份到 S3 存储之前,请阅读以下要求,以确保您的配置受支持。

下图显示了每个组件以及需要在它们之间准备的连接:

显示 Cloud Backup 如何与备份文件所在的源系统和目标存储上的卷进行通信的示意图。

请注意,在云中部署 Cloud Restore 实例时,它与 Connector 位于同一子网中。

准备 ONTAP 集群

您需要先在 Cloud Manager 中发现内部 ONTAP 集群,然后才能开始备份卷数据。

ONTAP 要求
  • ONTAP 9.7P5 及更高版本。

  • SnapMirror 许可证(作为超值包或数据保护包的一部分提供)。

  • 注意: * 使用 Cloud Backup Service 时不需要 " 混合云捆绑包 " 。

    请参见操作说明 "管理集群许可证"

  • 已正确设置时间和时区。

    请参见操作说明 "配置集群时间"

集群网络连接要求
  • ONTAP 集群通过端口 443 从集群间 LIF 启动 HTTPS 连接到 Amazon S3 存储,以执行备份和还原操作。

    ONTAP 可在对象存储之间读取和写入数据。对象存储永远不会启动,而只是响应。

  • ONTAP 需要从连接器到集群管理 LIF 的入站连接。此连接器可以驻留在 AWS VPC 中。

  • 托管要备份的卷的每个 ONTAP 节点都需要一个集群间 LIF 。LIF 必须与 _IP 空间 _ 关联, ONTAP 应使用此 _IP 空间 _ 连接到对象存储。 "了解有关 IP 空间的更多信息"

    设置 Cloud Backup 时,系统会提示您使用 IP 空间。您应选择与每个 LIF 关联的 IP 空间。这可能是您创建的 " 默认 "IP 空间或自定义 IP 空间。

  • 节点的集群间 LIF 可以访问 Internet 。

  • 已为卷所在的 Storage VM 配置 DNS 服务器。请参见操作说明 "为 SVM 配置 DNS 服务"

  • 请注意,如果您使用的 IP 空间与默认 IP 空间不同,则可能需要创建静态路由才能访问对象存储。

  • 如有必要,请更新防火墙规则,以允许通过端口 443 从 ONTAP 到对象存储的 Cloud Backup Service 连接,以及通过端口 53 ( TCP/UDP )从 Storage VM 到 DNS 服务器的名称解析流量。

创建或切换连接器

需要使用 Connector 将数据备份到云,在将数据备份到 AWS S3 存储时, Connector 必须位于 AWS VPC 中。您不能使用内部部署的 Connector 。您需要创建一个新的连接器,或者确保当前选定的连接器位于正确的提供程序中。

为连接器准备网络连接

确保此连接器具有所需的网络连接。

步骤
  1. 确保安装 Connector 的网络启用以下连接:

    • 通过端口 443 ( HTTPS )与 Cloud Backup Service 的出站 Internet 连接

    • 通过端口 443 与 S3 对象存储建立 HTTPS 连接

    • 通过端口 443 与 ONTAP 集群建立 HTTPS 连接

  2. 为 S3 启用 VPC 端点。如果从 ONTAP 集群到 VPC 具有直接连接或 VPN 连接,并且您希望连接器和 S3 之间的通信保持在 AWS 内部网络中,则需要此功能。

支持的区域

您可以在所有地区创建从内部系统到 Amazon S3 的备份 "支持 Cloud Volumes ONTAP 的位置"。您可以在设置服务时指定要存储备份的区域。

许可证要求

在 30 天免费试用 Cloud Backup Service 到期之前,您需要订阅 AWS 提供的按需购买( PAYGO ) Cloud Manager Marketplace 产品,或者从 NetApp 购买并激活 Cloud Backup BYOL 许可证。这些许可证适用于帐户,可在多个系统中使用。

  • 对于 Cloud Backup PAYGO 许可,您需要订阅 "AWS" Cloud Manager Marketplace 产品以继续使用 Cloud Backup 。Cloud Backup 的计费通过此订阅完成。

  • 对于 Cloud Backup BYOL 许可,您不需要订阅。您需要 NetApp 提供的序列号,以便在许可证有效期和容量内使用此服务。 "了解如何管理 BYOL 许可证"

您需要为备份所在的对象存储空间订阅 AWS 。

集群上需要 SnapMirror 许可证。请注意,使用 Cloud Backup 时不需要 " 混合云捆绑包 " 。

准备 Amazon S3 进行备份

在使用 Amazon S3 时,您必须为 Connector 配置权限以创建和管理 S3 存储分段,并且必须配置权限,以便内部 ONTAP 集群可以对 S3 存储分段进行读写。

步骤
  1. 确认以下 S3 权限(从最新版本开始) "Cloud Manager 策略")是 IAM 角色的一部分,此角色为 Connector 提供了以下权限:

    {
              "Sid": "backupPolicy",
              "Effect": "Allow",
              "Action": [
                  "s3:DeleteBucket",
                  "s3:GetLifecycleConfiguration",
                  "s3:PutLifecycleConfiguration",
                  "s3:PutBucketTagging",
                  "s3:ListBucketVersions",
                  "s3:GetObject",
                  "s3:ListBucket",
                  "s3:ListAllMyBuckets",
                  "s3:GetBucketTagging",
                  "s3:GetBucketLocation",
                  "s3:GetBucketPolicyStatus",
                  "s3:GetBucketPublicAccessBlock",
                  "s3:GetBucketAcl",
                  "s3:GetBucketPolicy",
                  "s3:PutBucketPublicAccessBlock"
              ],
              "Resource": [
                  "arn:aws:s3:::netapp-backup-*"
              ]
          },
  2. 将以下 EC2 权限添加到为 Connector 提供权限的 IAM 角色中,以便它可以启动,停止和终止 Cloud Restore 实例:

              "Action": [
                  "ec2:DescribeInstanceTypeOfferings",
                  "ec2:StartInstances",
                  "ec2:StopInstances",
                  "ec2:TerminateInstances"
              ],
  3. 在备份向导期间,系统将提示您输入访问密钥和机密密钥。为此,您需要创建具有以下权限的 IAM 用户。Cloud Backup 会将这些凭据传递到 ONTAP 集群,以便 ONTAP 可以将数据备份和还原到 S3 存储分段。

    "s3:ListAllMyBuckets",
    "s3:ListBucket",
    "s3:GetBucketLocation",
    "s3:GetObject",
    "s3:PutObject",
    "s3:DeleteObject"
  4. 如果您的虚拟或物理网络使用代理服务器访问 Internet ,请确保 Cloud Restore 实例具有出站 Internet 访问权限,以便与以下端点联系。

    端点 目的

    http://amazonlinux.us-east-1.amazonaws.com/2/extras/docker/stable/x86_64/4bf88ee77c395ffe1e0c3ca68530dfb3a683ec65a4a1ce9c0ff394be50e922b2/

    适用于 Cloud Restore 实例 AMI 的 CentOS 软件包。

    http://cloudmanagerinfraprod.azurecr.io https://cloudmanagerinfraprod.azurecr.io

    Cloud Restore 实例映像存储库。

  5. 您可以在激活向导中为数据加密选择自己的自定义管理密钥,而不是使用默认的 Amazon S3 加密密钥。在这种情况下,您需要已设置加密受管密钥。 "了解如何使用您自己的密钥"

  6. 如果您希望通过公有 Internet 从内部数据中心到 VPC 建立更安全的连接,可以选择在激活向导中选择 AWS PrivateLink 连接。如果您要通过 VPN/DirectConnect 连接内部系统,则必须提供此许可证。在这种情况下,您需要使用 Amazon VPC 控制台或命令行创建接口端点配置。 "请参见有关使用 AWS PrivateLink 的详细信息"

    请注意,您还需要修改与 Cloud Manager Connector 关联的安全组配置。您必须将此策略更改为 " 自定义 " (从 " 完全访问 " ),并且必须按照前面(上文)所示从备份策略添加权限。

    与 Connector 关联的 AWS 安全组的屏幕截图。

启用 Cloud Backup

可随时直接从内部工作环境启用 Cloud Backup 。

步骤
  1. 在 Canvas 中,选择工作环境,然后单击右侧面板中备份和合规性服务旁边的 * 启用 * 。

    屏幕截图显示了 Backup & amp ; Compliance Enable 按钮,该按钮可在您选择内部工作环境后使用。

  2. 选择 Amazon Web Services 作为您的提供商,然后单击 * 下一步 * 。

  3. 输入提供程序详细信息。请注意,服务启动后,您无法更改此信息。

    1. 用于存储备份的 AWS 帐户, AWS 访问密钥和机密密钥。

      访问密钥和机密密钥是为 ONTAP 集群授予对 S3 存储分段访问权限而创建的用户提供的。

    2. 要存储备份的 AWS 区域。

    3. 是使用默认 Amazon S3 加密密钥,还是从 AWS 帐户中选择您自己的客户管理密钥来管理数据加密。("了解如何使用您自己的密钥")。

      显示将卷从 ONTAP 系统备份到 AWS S3 时云提供商详细信息的屏幕截图。

  4. 输入提供程序详细信息后,单击 * 下一步 * 。

  5. 输入网络连接详细信息并单击 * 下一步 * 。

    1. 要备份的卷所在的 ONTAP 集群中的 IP 空间。此 IP 空间的集群间 LIF 必须具有出站 Internet 访问权限。

    2. 或者,选择是否使用先前配置的 AWS PrivateLink 。 "请参见有关使用 AWS PrivateLink 的详细信息"

      屏幕截图显示了将卷从 ONTAP 系统备份到 AWS S3 时的网络连接详细信息。

  6. 选择现有备份计划和保留值,或者定义新的备份策略,然后单击 * 下一步 * 。

    显示 Cloud Backup 设置的屏幕截图,您可以在其中选择备份计划和保留期限。

  7. 选择要备份的卷。

    • 要备份所有卷,请选中标题行()。

    • 要备份单个卷,请选中每个卷对应的框()。

      选择要备份的卷的屏幕截图。

  8. 单击 * 激活备份 * , Cloud Backup 将开始对卷进行初始备份。

    系统会提示您是否要对备份的卷运行合规扫描。在备份的卷上运行云数据感知扫描时,这些扫描可用(但除外 "已部署的 Cloud Data sense 实例的成本")。

    您可以选择在备份的卷上激活 Cloud Data sense 的页面的屏幕截图。

  9. 单击 * 转至合规性 * 以激活卷上的合规性扫描。(如果选择 * 关闭 * 而不扫描这些备份的卷,则可以始终执行此操作 "启用此功能" 稍后可从 Cloud Data sense 获得。)

    • 如果您的环境中已部署 Cloud Data sense 实例,则系统会定向到配置页面,选择要在每个具有备份的内部工作环境中扫描的卷。请参见 "如何选择卷"

      " 合规性 " 页面的屏幕截图,用于选择要扫描的卷。

    • 如果尚未部署 Cloud Data sense ,系统会将您定向到合规性页面,您可以在其中选择在云中或内部部署合规性。我们强烈建议将其部署在云中。开始 "此处" 了解安装要求和说明。

      " 合规性 " 页面的屏幕截图,用于选择要如何部署 Cloud Data sense 。

    部署 Compliance 后,您可以按上述说明选择要扫描的卷。

Cloud Backup 会从内部 ONTAP 系统备份卷, Cloud Data sense 也会对备份的卷运行合规性扫描。

您可以 "启动和停止卷备份或更改备份计划" 您可以做到 。

您也可以 "查看合规性扫描的结果" 并查看 Cloud Data sense 的其他功能,这些功能可以帮助您了解数据环境并识别组织中的敏感数据。

注 扫描结果不会立即显示,因为 Cloud Backup 必须先完成备份创建,然后 Cloud Data sense 才能启动合规性扫描。