了解ONTAP SnapMirror S3
建议更改
PDF
从ONTAP 9.10.1开始、您可以使用SnapMirror镜像和备份功能保护ONTAP S3对象存储中的分段。与标准SnapMirror不同、SnapMirror S3支持镜像和备份到非NetApp目标、如AWS S3。
SnapMirror S3支持从ONTAP S3存储分段到以下目标的活动镜像和备份层:
| target | 是否支持活动镜像和接管? | 是否支持备份和还原? |
|---|---|---|
ONTAP S3
|
是的。 |
是的。 |
StorageGRID |
否 |
是的。 |
AWS S3 |
否 |
是的。 |
适用于 Azure 的 Cloud Volumes ONTAP |
是的。 |
是的。 |
适用于 AWS 的 Cloud Volumes ONTAP |
是的。 |
是的。 |
适用于 Google Cloud 的 Cloud Volumes ONTAP |
是的。 |
是的。 |
您可以保护 ONTAP S3 服务器上的现有存储分段,也可以在立即启用数据保护的情况下创建新存储分段。
SnapMirror S3要求
-
ONTAP 版本
源集群和目标集群上必须运行ONTAP 9.10.1或更高版本。
MetroCluster配置不支持SnapMirror S3。 -
许可
中提供了以下许可证 "ONTAP One" ONTAP源系统和目标系统上需要使用软件套件才能访问:
-
ONTAP S3协议和存储
-
SnapMirror S3以其他NetApp对象存储目标(ONTAP S3、StorageGRID和Cloud Volumes ONTAP)为目标
-
SnapMirror S3以目标第三方对象存储为目标,包括AWS S3 (可在中找到"ONTAP One兼容包")
-
如果集群运行的是ONTAP 9.10.1、"FabricPool 许可证"则需要。
-
-
ONTAP S3
-
ONTAP S3 服务器必须运行源和目标 SVM 。
-
建议但不要求在托管 S3 服务器的系统上安装用于 TLS 访问的 CA 证书。
-
用于签署S3服务器证书的CA证书必须安装在托管S3服务器的集群的管理Storage VM上。
-
您可以使用自签名 CA 证书或由外部 CA 供应商签名的证书。
-
如果源或目标 Storage VM 未侦听 HTTPS ,则无需安装 CA 证书。
-
-
-
对等(对于 ONTAP S3 目标)
-
必须配置集群间(对于远程ONTAP目标)、并且源集群和目标集群的集群间LUN可以连接到源和目标S3服务器数据LUN。
-
源集群和目标集群已建立对等关系(对于远程 ONTAP 目标)。
-
源和目标 Storage VM 已建立对等关系(对于所有 ONTAP 目标)。
-
-
SnapMirror 策略
-
所有SnapMirror S3关系都需要使用特定于S3的SnapMirror策略、但您可以对多个关系使用同一策略。
-
您可以创建自己的策略或接受默认的 * 持续 * 策略,其中包含以下值:
-
限制(吞吐量 / 带宽的上限)—无限制。
-
恢复点目标的时间: 1 小时( 3600 秒)。
-
-
|
|
请注意、如果SnapMirror关系中有两个S3存储分段、并且配置了生命周期策略、使对象的当前版本过期(即被删除)、则同一操作会复制到配对存储分段。即使配对存储分段为只读或被动存储、也是如此。 |
-
root用户密钥SnapMirror S3关系需要Storage VM root用户访问密钥;默认情况下、ONTAP不会分配这些密钥。首次创建SnapMirror S3关系时、您必须验证这些密钥是否同时位于源Storage VM和目标Storage VM上、如果不存在、则重新生成它们。如果需要重新生成这些密钥,则必须确保使用访问密钥和机密密钥对的所有客户端和所有 SnapMirror 对象存储配置都使用新密钥进行更新。
有关 S3 服务器配置的信息,请参见以下主题:
有关集群和 Storage VM 对等的信息,请参见以下主题:
支持的SnapMirror关系
SnapMirror S3支持扇出和级联关系。有关概述,请参见"扇出和级联数据保护部署"。
SnapMirror S3不支持扇入部署(多个源分段与单个目标分段之间的数据保护关系)。SnapMirror S3可以支持将多个存储分段镜像从多个集群镜像到一个二级集群、但每个源存储分段必须在二级集群上具有自己的目标存储分段。
MetroCluster环境不支持SnapMirror S3。
控制对S3存储分段的访问
创建新存储分段时,您可以通过创建用户和组来控制访问。
虽然SnapMirror S3会将对象从源存储分段复制到目标存储分段、但它不会将用户、组和策略从源对象存储复制到目标对象存储。
必须在目标对象存储上配置用户、组策略、权限和类似组件、以便客户端可以在故障转移事件期间访问目标存储分段。
源用户和目标用户可以使用相同的访问密钥和机密密钥、但前提是在目标集群上创建用户时手动提供了源密钥。例如:
vserver object-store-server user create -vserver svm1 -user user1 -access-key "20-characters" -secret-key "40-characters"
有关详细信息,请参见以下主题:
在SnapMirror S3中使用S3对象锁定和版本控制
您可以对启用了对象锁定和版本控制的ONTAP分段使用SnapMirror S3、但需要注意以下几点:
-
要在启用对象锁定的情况下复制源分段、目标分段还必须启用对象锁定。此外、源和目标都必须启用版本控制。这样可以避免在两个存储分段具有不同的默认保留策略时将删除操作镜像到目标存储分段时出现问题。
-
S3 SnapMirror不会复制对象的历史版本。仅复制对象的当前版本。
当对象锁定对象镜像到目标存储分段时、它们会保留其原始保留时间。如果复制了未锁定的对象、它们将采用目标存储分段的默认保留期限。例如:
-
分段A的默认保留期限为30天、分段B的默认保留期限为60天。从存储分段A复制到存储分段B的对象将保持其30天的保留期限、即使该保留期限小于存储分段B的默认保留期限
-
分段A没有默认保留期限、分段B的默认保留期限为60天。当解除锁定的对象从存储分段A复制到存储分段B时、它们将采用60天的保留期限。如果在存储分段A中手动锁定对象、则在复制到存储分段B时、该对象将保持其原始保留期限
-
分段A的默认保留期限为30天、分段B的默认保留期限为无。从存储分段A复制到存储分段B的对象将保持30天的保留期限。