什么是 SnapLock
建议更改
PDF
SnapLock 是一款高性能合规解决方案,适用于使用 WORM 存储以未经修改的形式保留文件以满足监管要求的组织。
SnapLock有助于防止删除、更改或重命名数据、以满足SEC 17a-4 (f)、HIPAA、FIRA、CFTC和GDPR等法规的要求。借助SnapLock 、您可以创建专用卷、在这些卷中、可以在指定保留期限内或无限期地存储文件并将其提交到不可擦除、不可写入的状态。SnapLock 允许通过CIFS和NFS等标准开放文件协议在文件级别执行此保留。SnapLock 支持的打开文件协议包括NFS (版本2、3和4)和CIFS (SMB 1.0、2.0和3.0)。
使用SnapLock 、您可以将文件和Snapshot副本提交到WORM存储、并为受WORM保护的数据设置保留期限。SnapLock WORM存储使用NetApp Snapshot技术、并可利用SnapMirror复制和SnapVault 备份作为为数据提供备份恢复保护的基础技术。 详细了解WORM存储: "使用NetApp SnapLock 的合规WORM存储—TR-4526"。
您可以使用应用程序通过 NFS 或 CIFS 将文件提交到 WORM ,或者使用 SnapLock 自动提交功能将文件自动提交到 WORM 。您可以使用 _WORM 可附加文件 _ 来保留以增量方式写入的数据,例如日志信息。有关详细信息,请参见 "使用卷附加模式创建 WORM 可附加文件"。
SnapLock 支持应满足大多数合规性要求的数据保护方法:
-
您可以使用 SnapLock for SnapVault 对二级存储上的 Snapshot 副本进行 WORM 保护。请参见 "将 Snapshot 副本提交到 WORM"。
-
您可以使用 SnapMirror 将 WORM 文件复制到其他地理位置以进行灾难恢复。请参见 "镜像 WORM 文件"。
SnapLock 是NetApp ONTAP 的一项基于许可证的功能。只需一个许可证、您就可以在严格合规模式下使用来满足SEC规则17a-4 (f)等外部法规的要求、并在宽松企业模式下使用SnapLock来满足内部数字资产保护法规的要求。SnapLock许可证是软件套件的一部分"ONTAP One"。
所有AFF 和FAS 系统以及ONTAP Select 均支持SnapLock。SnapLock 不是纯软件解决方案 、而是集成的硬件和软件解决方案。这种区别对于SEC 17a-4 (f)等严格的WORM法规非常重要、因为此类法规需要集成的硬件和软件解决方案。有关详细信息,请参阅 "SEC就使用电子存储介质向经纪人提供指导"。
您可以使用SnapLock 执行什么操作
SnapLock 合规性和企业模式
SnapLock 合规性模式和企业模式主要在每个模式保护 WORM 文件的级别上有所不同:
SnapLock 模式 |
保护级别 |
在保留期间删除WORM文件 |
合规模式 |
在磁盘级别 |
无法删除 |
企业模式 |
在文件级别 |
合规性管理员可以使用经过审核的"特权删除"操作步骤 来删除 |
保留期限过后,您负责删除不再需要的任何文件。将文件提交到 WORM 后,无论是在合规模式下还是在企业模式下,都无法对其进行修改,即使保留期限已过也是如此。
不能在保留期限内或之后移动 WORM 文件。您可以复制 WORM 文件,但此副本不会保留其 WORM 特征。
下表显示了SnapLock 合规性模式和企业模式支持的功能差异:
功能 |
SnapLock 合规性 |
SnapLock 企业 |
使用特权删除启用和删除文件 |
否 |
是的。 |
重新初始化磁盘 |
否 |
是的。 |
在保留期限内销毁SnapLock 聚合和卷 |
否 |
是、但SnapLock 审核日志卷除外 |
重命名聚合或卷 |
否 |
是的。 |
使用非NetApp磁盘 |
否 |
是(使用 "FlexArray 虚拟化") |
使用SnapLock 卷进行审核日志记录 |
是的。 |
是、从ONTAP 9.5开始 |
SnapLock 支持和不支持的功能
下表显示了SnapLock 合规模式、SnapLock 企业模式或两者均支持的功能:
功能 |
支持SnapLock 合规性 |
受SnapLock Enterprise支持 |
一致性组 |
否 |
否 |
加密卷 |
是、从ONTAP 9.2开始。了解更多信息 加密和SnapLock。 |
是、从ONTAP 9.2开始。了解更多信息 加密和SnapLock。 |
SnapLock 聚合上的FabricPools |
否 |
是、从ONTAP 9.8开始。了解更多信息 SnapLock 企业聚合上的FabricPool。 |
Flash Pool 聚合 |
是、从ONTAP 9.1开始。 |
是、从ONTAP 9.1开始。 |
FlexClone |
您可以克隆 SnapLock 卷,但不能克隆 SnapLock 卷上的文件。 |
您可以克隆 SnapLock 卷,但不能克隆 SnapLock 卷上的文件。 |
FlexGroup 卷 |
是、从ONTAP 9.11.1开始。了解更多信息 [flexgroup]。 |
是、从ONTAP 9.11.1开始。了解更多信息 [flexgroup]。 |
LUN |
否了解更多信息 LUN支持 使用SnapLock。 |
否了解更多信息 LUN支持 使用SnapLock。 |
MetroCluster 配置 |
是、从ONTAP 9.3开始。了解更多信息 支持 MetroCluster。 |
是、从ONTAP 9.3开始。了解更多信息 支持 MetroCluster。 |
多管理员验证(MAV) |
是、从ONTAP 9.13.1开始。了解更多信息 MAV支持。 |
是、从ONTAP 9.13.1开始。了解更多信息 MAV支持。 |
SAN |
否 |
否 |
单文件 SnapRestore |
否 |
是的。 |
SnapMirror活动同步 |
否 |
否 |
SnapRestore |
否 |
是的。 |
SMTape |
否 |
否 |
SnapMirror 同步 |
否 |
否 |
SSD |
是、从ONTAP 9.1开始。 |
是、从ONTAP 9.1开始。 |
存储效率功能 |
是、从ONTAP 9.1.1开始。了解更多信息 存储效率支持。 |
是、从ONTAP 9.1.1开始。了解更多信息 存储效率支持。 |
SnapLock 企业聚合上的FabricPool
从ONTAP 9.8开始、SnapLock 企业聚合支持FabricPool。但是、您的客户团队需要创建一个产品差异请求、以记录您了解分层到公有 或私有云的FabricPool 数据不再受SnapLock 保护、因为云管理员可以删除这些数据。
|
FabricPool 分层到公共云或私有云的任何数据将不再受SnapLock 保护、因为云管理员可以删除这些数据。 |
FlexGroup 卷
SnapLock 支持从ONTAP 9.11.1开始的FlexGroup 卷、但不支持以下功能:
-
合法持有
-
基于事件的保留
-
SnapLock for SnapVault (从ONTAP 9.12.1开始支持)
您还应了解以下行为:
-
FlexGroup 卷的卷合规时钟(Volume Compliance Clock、VCC)由根成分卷的VCC确定。所有非根成分卷的VCC都将与根VCC紧密同步。
-
SnapLock 配置属性仅在整个FlexGroup 上设置。各个成分卷不能具有不同的配置属性、例如默认保留时间和自动提交期限。
LUN支持
只有当在非SnapLock卷上创建的Snapshot副本传输到SnapLock卷以在SnapLock存储关系中进行保护时、SnapLock卷才支持LUN。读/写SnapLock卷不支持LUN。但是、包含LUN的SnapMirror源卷和目标卷均支持防篡改Snapshot副本。
支持 MetroCluster
MetroCluster 配置中的SnapLock 支持在SnapLock 合规模式和SnapLock 企业模式之间有所不同。
-
从ONTAP 9.3开始、未镜像的MetroCluster 聚合支持SnapLock 合规性。
-
从ONTAP 9.3开始、镜像聚合支持SnapLock 合规性、但前提是使用该聚合托管SnapLock 审核日志卷。
-
可以使用MetroCluster 将SVM专用的SnapLock 配置复制到主站点和二级站点。
-
从ONTAP 9开始、支持SnapLock 企业聚合。
-
从ONTAP 9.3开始、支持具有特权删除的SnapLock 企业聚合。
-
可以使用MetroCluster 将SVM专用的SnapLock 配置复制到两个站点。
MetroCluster 配置使用两种合规时钟机制,即卷合规时钟( Volume Compliance Clock , VCC )和系统合规时钟( System Compliance Clock , SCC )。VCC 和 SCC 可用于所有 SnapLock 配置。在节点上创建新卷时,其 VCC 将使用该节点上的当前 SCC 值进行初始化。创建卷后,系统会始终使用 VCC 跟踪卷和文件保留时间。
将卷复制到另一站点时,也会复制其 VCC 。例如,在从站点 A 切换到站点 B 时, VCC 会继续在站点 B 上进行更新,而站点 A 上的 SCC 会在站点 A 脱机时暂停。
当站点 A 恢复联机并执行卷切回时,站点 A 的 SCC 时钟将重新启动,而卷的 VCC 将继续更新。由于无论切换和切回操作如何, VCC 都会持续更新,因此文件保留时间不取决于 SCC 时钟,也不会延长。
多管理员验证(MAV)支持
从ONTAP 9.13.1开始、集群管理员可以明确为集群启用多管理员验证、以便在执行某些SnapLock操作之前需要获得仲裁批准。启用MAV后、SnapLock卷属性(例如default-保留 时间、最小保留时间、最大保留时间、卷附加模式、自动提交期限和特权删除)将需要仲裁批准。了解更多信息 "最大"。
存储效率
从 ONTAP 9.1.1 开始, SnapLock 支持存储效率功能,例如数据缩减,跨卷重复数据删除以及 SnapLock 卷和聚合的自适应数据压缩。有关存储效率的详细信息、请参见 "ONTAP存储效率概述"。
加密
ONTAP 提供了基于软件和基于硬件的加密技术,可确保在存储介质被重新利用,退回,放置在不当位置或被盗时无法读取空闲数据。
-
免责声明: * NetApp 无法保证,如果身份验证密钥丢失或身份验证尝试失败次数超过指定限制并导致驱动器永久锁定,则自加密驱动器或卷上受 SnapLock 保护的 WORM 文件可以检索。您有责任确保身份验证不会失败。
|
|
从 ONTAP 9.2 开始, SnapLock 聚合支持加密卷。 |
7- 模式过渡
您可以使用7-模式过渡工具的基于副本的过渡(CBT)功能将SnapLock 卷从7-模式迁移到ONTAP。目标卷的 SnapLock 模式(合规性或企业)必须与源卷的 SnapLock 模式匹配。您不能使用无副本过渡( CFT )迁移 SnapLock 卷。