Skip to main content
BlueXP backup and recovery
所有雲端供應商
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • 所有雲端供應商
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

備份至物件原則選項

貢獻者
PDF

BlueXP 備份與還原可讓您為內部部署 ONTAP 和 Cloud Volumes ONTAP 系統建立各種設定的備份原則。

註 這些原則設定僅適用於備份至物件儲存。這些設定都不會影響您的 Snapshot 或複寫原則。未來將會新增快照和複製的類似原則設定。

備份排程選項

BlueXP 備份與還原可讓您針對每個工作環境(叢集)建立多個備份原則、並設定獨特的排程。您可以將不同的備份原則指派給具有不同還原點目標(RPO)的磁碟區。

每個備份原則都會提供一個區段、說明您可以套用至備份檔案的_標籤與保留_。請注意、套用至磁碟區的 Snapshot 原則必須是 BlueXP 備份與還原所辨識的原則之一、否則將無法建立備份檔案。

建立備份原則時的備份排程設定快照。

排程分為兩部分:「標籤」和「保留值」:

  • *標籤*定義從磁碟區建立(或更新)備份檔案的頻率。您可以選擇下列類型的標籤:

    • 您可以選擇*每小時*、每日每週每月、 和*年*時間範圍。

    • 您可以選擇其中一個系統定義的原則、以提供3個月、1年或7年的備份與保留。

    • 如果您已在叢集上使用ONTAP 支援系統管理程式或ONTAP CLI建立自訂備份保護原則、則可以選取其中一個原則。

  • 保留」值會定義每個標籤(時間範圍)保留的備份檔案數量。一旦類別或時間間隔達到最大備份數、就會移除較舊的備份、讓您永遠擁有最新的備份。這也能節省儲存成本、因為過時的備份不會繼續佔用雲端空間。

例如、假設您建立的備份原則會建立7 *每週*和12 *每月*備份:

  • 每週和每月都會為磁碟區建立備份檔案

  • 在第8週、第一週備份會移除、並新增第8週的每週備份(每週最多保留7次備份)。

  • 在第13個月、第一個每月備份就會移除、並新增第13個月的每月備份(最多保留12個月備份)。

請注意、每年備份會在傳輸至物件儲存設備後、自動從來源系統刪除。此預設行為可以變更 "在「進階設定」頁面中" 適用於工作環境。

DataLock 和勒索軟體保護選項

BlueXP 備份與還原可為您的磁碟區備份提供 DataLock 和勒索軟體保護支援。這些功能可讓您鎖定備份檔案、並進行掃描、以偵測備份檔案上可能的勒索軟體。這是可選的設定、您可以在備份原則中定義、以便為叢集的磁碟區備份提供額外保護。

這兩項功能都能保護您的備份檔案、讓您隨時都能擁有有效的備份檔案、以便在發生勒索軟體攻擊時、從備份中恢復資料。此外、也有助於滿足某些法規要求、在某些情況下、備份必須鎖定並保留一段時間。啟用 DataLock 和勒索軟體保護選項時、配置為 BlueXP 備份和恢復啟動一部分的雲端儲存區將會啟用物件鎖定和物件版本控制。

"如需詳細資料、請參閱DataLock和勒索軟體保護部落格"

此功能無法為來源磁碟區提供保護、只能用於這些來源磁碟區的備份。使用 NetApp "資料基礎架構洞見與 Cloud Secure" 或部分 "提供來自VMware的反勒索軟體保護ONTAP"來保護來源磁碟區。

警告

  • 如果您計畫使用 DataLock 和勒索軟體保護、您可以在建立第一個備份原則、並為該叢集啟動 BlueXP 備份和還原時啟用。您可以稍後使用 BlueXP  備份與還原進階設定來啟用或停用勒索軟體掃描。

  • 當 BlueXP 在還原磁碟區資料時掃描備份檔案以取得勒索軟體時、您將需要向雲端供應商支付額外的出口成本、才能存取備份檔案的內容。

什麼是DataLock

DataLock 可保護您的備份檔案、避免在一段時間內遭到修改或刪除、也稱為 _immutable storage 。此功能使用物件儲存供應商的技術來「物件鎖定」。備份檔案被鎖定(並保留)的期間稱為DataLock保留期間。這是根據您定義的備份原則排程和保留設定、加上最多 31 天的緩衝區。任何少於31天的DataLock保留原則、最短四捨五入至31天。

請注意、舊備份會在DataLock保留期間到期後刪除、而非在備份原則保留期間到期後刪除。

讓我們來看看幾個例子、瞭解這項功能的運作方式:

  • 如果您建立每月備份排程、並保留 12 個保留、則每個備份在刪除前會鎖定 12 個月(加上最多 31 天的緩衝區)。

  • 如果您建立的備份原則每天建立30個、每週7個、每月12個備份、則會有三個鎖定的保留期間。「每日 30 次」備份將保留 44 天( 30 天加上最多 31 天的緩衝區)、「每週 7 次」備份將保留 9 週( 7 週加上最多 31 天的緩衝區)、「每月 12 次」備份將保留 12 個月(加上最多 31 天的緩衝區)。

  • 如果您建立24個保留項目的每小時備份排程、您可能會認為備份會鎖定24小時。不過、由於這少於 30 天、因此每個備份都會被鎖定並保留 44 天( 30 天加上最多 31 天的緩衝區)。

    您可以在最後一個案例中看到、如果每個備份檔案都鎖定 30 天(加上最多 31 天的緩衝區)、您將會得到比一般保留的每小時 /24 保留原則更多的備份檔案。通常、當 BlueXP 備份與還原建立第 25 個備份檔案時、它會刪除最舊的備份、以將最大保留保持在 24 (根據原則)。在這種情況下、DataLock保留設定會覆寫備份原則的原則保留設定。這可能會影響您的儲存成本、因為備份檔案將會儲存在物件存放區中一段較長的時間。

什麼是勒索軟體保護

勒索軟體保護功能會掃描您的備份檔案、尋找勒索軟體攻擊的證據。勒索軟體攻擊的偵測是使用Checksum比較來執行。如果在新備份檔案中識別出可能的勒索軟體、而先前的備份檔案則會將較新的備份檔案取代為最新的備份檔案、而該檔案不會顯示勒索軟體攻擊的任何跡象。(被識別為遭受勒索軟體攻擊的檔案、在被取代1天後即會刪除。)

勒索軟體掃描會在備份與還原程序的下列時間點進行:

  • 建立備份檔案時。

    您可以選擇啟用或停用勒索軟體掃描。

    第一次寫入雲端儲存設備時、並不會對備份檔案執行掃描、但會在寫入*下一次*備份檔案時執行掃描。例如、如果您已設定星期二的每週備份排程、則會在星期二14建立備份。然後在星期二建立另一個備份。此時勒索軟體掃描會在備份檔案上執行、從14開始執行。

  • 當您嘗試從備份檔案還原資料時

    您可以選擇在從備份檔案還原資料之前執行掃描、或跳過此掃描。

  • 手動

    您可以隨時執行隨需勒索軟體保護掃描、以驗證特定備份檔案的健全狀況。如果您在特定磁碟區上發生勒索軟體問題、而且想要驗證該磁碟區的備份是否不受影響、這項功能就很實用。

DataLock 和勒索軟體保護選項

每個備份原則都會提供一個區段、說明您可以套用至備份檔案的_DataLock和勒索軟體Protection。

建立備份原則時、AWS、Azure和StorageGRID VMware的DataLock和勒索軟體保護設定的快照。

依預設會啟用勒索軟體保護掃描。掃描頻率的預設設定為 7 天。只有最新的 Snapshot 複本才會執行掃描。您可以使用「進階設定」頁面上的選項、在最新的 Snapshot 複本上啟用或停用勒索軟體掃描。如果啟用、預設會每 7 天執行一次掃描。

您可以將排程變更為天或週、或停用、節省成本。

請參閱 "如何在「進階設定」頁面中更新勒索軟體保護選項"

您可以針對每個備份原則從下列設定中選擇:

AWS

  • (預設)

    DataLock保護和勒索軟體保護已停用。

  • 治理

    DataLock設為使用者使用的_Governance模式 s3:BypassGovernanceRetention 權限("請參閱以下內容")可在保留期間覆寫或刪除備份檔案。已啟用勒索軟體保護。

  • 法規遵循

    DataLock設為_Compliance模式、在保留期間內、任何使用者都無法覆寫或刪除備份檔案。已啟用勒索軟體保護。

Azure

  • (預設)

    DataLock保護和勒索軟體保護已停用。

  • 解除鎖定

    備份檔案在保留期間受到保護。保留期間可以增加或縮短。通常使用24小時來測試系統。已啟用勒索軟體保護。

  • 已鎖定

    備份檔案在保留期間受到保護。保留期間可以增加、但不能縮短。滿足完整的法規遵循要求。已啟用勒索軟體保護。

StorageGRID

  • (預設)

    DataLock保護和勒索軟體保護已停用。

  • 法規遵循

    DataLock設為_Compliance模式、在保留期間內、任何使用者都無法覆寫或刪除備份檔案。已啟用勒索軟體保護。

支援的工作環境與物件儲存供應商

在下列公有雲和私有雲供應商中使用物件儲存設備時、您可以從ONTAP 下列工作環境啟用下列功能中的「資料鎖定」和「勒索軟體」保護功能。未來版本將會新增其他雲端供應商。

來源工作環境 備份檔案目的地ifdef::AWS []

AWS 中的 Cloud Volumes ONTAP

Amazon S3 endif:::AWS[] ifdef::azure[]

Azure 中的 Cloud Volumes ONTAP

Azure Blob endif::azure[] ifdef::GCP[] endif::GCP[]

內部部署 ONTAP 的作業系統

ifdef::AWS:Amazon S3 endif::AWS [] ifdef::azure[] Azure Blob endif::azure[] ifdef::gcp[] endif::gcp[] NetApp StorageGRID

需求

  • 對於AWS:

    • 您的叢集必須執行ONTAP 版本不只是功能不穩定的版本

    • 連接器可部署在雲端或內部部署

    • 下列S3權限必須是為Connector提供權限的IAM角色的一部分。它們位於資源「arn:AWS:S3::::NetApp備份-*」的「backupS3Policy」區段:

      AWS S3 權限

      • S3:GetObjectVersion標記

      • S3:GetBucketObjectLockConfiguration

      • S3:GetObjectVerionAcl

      • S3:PuttObjectTagging

      • S3:刪除物件

      • S3:刪除ObjectTagging

      • S3:GetObjectRetention

      • S3:刪除ObjectVersion標記

      • S3:PuttObject

      • S3:GetObject

      • S3:PuttBucketObjectLockConfiguration

      • S3:Get生命 週期組態

      • S3:GetBucketting

      • S3:刪除ObjectVersion

      • S3:listBucketVerions

      • S3:清單庫

      • S3:PuttBucketting

      • S3:GetObjectTagging

      • S3:PuttBucketVersion

      • S3:PuttObjectVersion標記

      • S3:GetBucketVersion

      • S3:GetBucketAcl

      • S3:BypassGovernanceRetention

      • S3:PuttObjectRetention

      • S3:GetBucketLocation

      • S3:GetObjectVersion

      "檢視原則的完整Json格式、您可以在其中複製及貼上所需的權限"

  • 對於Azure:

    • 您的叢集必須執行 ONTAP 9.12.1 或更新版本

    • 連接器可部署在雲端或內部部署

  • 適用於下列項目:StorageGRID

    • 您的叢集必須執行ONTAP 版本不只是功能不穩定的版本

    • 您的 StorageGRID 系統必須執行 11.6.0.3 或更新版本

    • 連接器必須部署在內部部署環境中(可安裝在有或沒有網際網路存取的站台中)

    • 下列S3權限必須是為Connector提供權限的IAM角色的一部分:

      StorageGRID S3 權限

      • S3:GetObjectVersion標記

      • S3:GetBucketObjectLockConfiguration

      • S3:GetObjectVerionAcl

      • S3:PuttObjectTagging

      • S3:刪除物件

      • S3:刪除ObjectTagging

      • S3:GetObjectRetention

      • S3:刪除ObjectVersion標記

      • S3:PuttObject

      • S3:GetObject

      • S3:PuttBucketObjectLockConfiguration

      • S3:Get生命 週期組態

      • S3:GetBucketting

      • S3:刪除ObjectVersion

      • S3:listBucketVerions

      • S3:清單庫

      • S3:PuttBucketting

      • S3:GetObjectTagging

      • S3:PuttBucketVersion

      • S3:PuttObjectVersion標記

      • S3:GetBucketVersion

      • S3:GetBucketAcl

      • S3:PuttObjectRetention

      • S3:GetBucketLocation

      • S3:GetObjectVersion

限制

  • 如果您已在備份原則中設定歸檔儲存設備、則無法使用 DataLock 和勒索軟體保護功能。

  • 啟動 BlueXP 備份與還原時所選取的 DataLock 選項必須用於該叢集的所有備份原則。

  • 您無法在單一叢集上使用多個 DataLock 模式。

  • 如果啟用DataLock、所有Volume備份都會鎖定。您無法混合使用單一叢集的鎖定和非鎖定磁碟區備份。

  • DataLock和勒索軟體保護功能適用於使用備份原則(啟用DataLock和勒索軟體保護)的新Volume備份。您可以稍後使用「進階設定」選項來啟用或停用這些功能。

  • FlexGroup Volume 只有在使用 ONTAP 9.13.1 或更新版本時、才能使用 DataLock 和勒索軟體保護。

如何降低 DataLock 成本的秘訣

您可以啟用或停用勒索軟體掃描功能、同時保持啟用 DataLock 功能。為了避免額外費用、您可以停用排程的勒索軟體掃描。這可讓您自訂安全性設定、並避免雲端供應商帶來成本。

即使停用排程的勒索軟體掃描、仍可視需要執行隨需掃描。

您可以選擇不同的保護層級:

  • * DataLock _ 不含勒索軟體掃描 * :保護目的地儲存設備中的備份資料、該儲存設備可處於監管模式或法規遵循模式。

    • * 監管模式 * :讓系統管理員能夠靈活地覆寫或刪除受保護的資料。

    • * 法規遵循模式 * :在保留期限到期之前提供完整的不確定性。這有助於滿足高度管制環境中最嚴苛的資料安全需求。資料在生命週期內無法覆寫或修改、為您的備份複本提供最強大的保護層級。

      註 Microsoft Azure 改用「鎖定與解除鎖定」模式。

  • * DataLock _ 搭配 _ 勒索軟體掃描 * :為您的資料提供額外的安全層級。此功能有助於偵測任何變更備份複本的嘗試。如果有任何嘗試、則會謹慎建立新版本的資料。掃描頻率可變更為 1 、 2 、 3 、 4 、 5 、 6 天或 7 天。如果掃描設為每 7 天、成本就會大幅降低。

如需降低 DataLock 成本的更多秘訣、請參閱 https://community.netapp.com/t5/Tech-ONTAP-Blogs/Understanding-BlueXP-Backup-and-Recovery-DataLock-and-Ransomware-Feature-TCO/ba-p/453475

此外、您也可以造訪、取得與 DataLock 相關的成本預估值 "BlueXP 備份與恢復總體擁有成本( TCO )計算機"

歸檔儲存選項

使用 AWS 、 Azure 或 Google 雲端儲存設備時、您可以在一定天數後、將較舊的備份檔案移至較便宜的歸檔儲存類別或存取層。您也可以選擇立即將備份檔案傳送至歸檔儲存設備、而無需寫入標準雲端儲存設備。只要輸入 0 作為「歸檔日」、即可將備份檔案直接傳送至歸檔儲存設備。這對很少需要從雲端備份存取資料的使用者或是更換備份至磁帶解決方案的使用者而言特別有幫助。

歸檔層中的資料無法在需要時立即存取、而且需要較高的擷取成本、因此您必須考慮在決定歸檔備份檔案之前、從備份檔案還原資料的頻率。

註

  • 即使您選取「 0 」將所有資料區塊傳送至歸檔雲端儲存設備、中繼資料區塊也會一律寫入標準雲端儲存設備。

  • 如果您已啟用 DataLock 、則無法使用歸檔儲存設備。

  • 選擇 0 天後無法更改歸檔策略(立即歸檔)。

每個備份原則都會提供一節_Archival Policy_、您可以套用至備份檔案。

建立備份原則時的封存原則設定快照。

  • 在AWS中、備份是從_Standard_儲存類別開始、30天後轉換至_Standard-in頻繁 存取_儲存類別。

    如果您的叢集使用ONTAP 的是更新版本的版本、您可以將舊版備份分層至_S3 Glacier或_S3 Glacier Deep Archive_儲存設備。 "深入瞭解AWS歸檔儲存設備"

    • 如果您在啟動 BlueXP 備份與還原時、在第一個備份原則中選取「無歸檔層」、那麼 _S3 Glacier 將是您未來原則的唯一歸檔選項。

    • 如果您在第一個備份原則中選取 S3 Glacier 、則可以變更至 _S3 Glacier Deep Archive 層、以供該叢集未來的備份原則使用。

    • 如果您在第一個備份原則中選取 S3 Glacier Deep Archive 、則該層將是該叢集未來備份原則可用的唯一歸檔層。

  • 在Azure中、備份會與_cool存取層建立關聯。

    如果您的叢集使用ONTAP 的是版本為S還原9.10.1或更新版本、您可以將舊版備份分層保存至_Azure Archive_儲存設備。 "深入瞭解Azure歸檔儲存設備"

  • 在 GCP 中、備份會與 Standard 儲存類別相關聯。

    如果您的內部叢集使用 ONTAP 9.12.1 或更新版本、您可以選擇在特定天數後、將舊備份分層儲存至 BlueXP 備份與還原 UI 中的 Archive 儲存設備、以進一步最佳化成本。 "深入瞭解Google歸檔儲存設備"

  • 在本產品中、備份會與_Standard_儲存類別相關聯。StorageGRID

    如果您的內部叢集使用ONTAP 的是不含更新版本的版本、StorageGRID 而您的系統使用的是11.4版或更新版本、您可以將舊版備份檔案歸檔至公有雲歸檔儲存設備。

+*對於AWS、您可以將備份分層至AWS _S3 Glacier或_S3 Glacier Deep Archive_儲存設備。 "深入瞭解AWS歸檔儲存設備"

+*對於Azure、您可以將舊版備份分層至_Azure Archive_儲存設備。 "深入瞭解Azure歸檔儲存設備"

+
"深入瞭解StorageGRID 如何從還原歸檔備份檔案"