Skip to main content
BlueXP backup and recovery
所有雲端供應商
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • 所有雲端供應商
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

BlueXP 備份和還原中的備份到物件原則選項

貢獻者 amgrissino
PDF

BlueXP backup and recovery可讓您為本機ONTAP和Cloud Volumes ONTAP系統建立具有各種設定的備份策略。

註 這些原則設定僅適用於備份至物件儲存。這些設定都不會影響您的快照或複製策略。

注意 若要切換到BlueXP backup and recovery工作負載,請參閱"切換到不同的BlueXP backup and recovery工作負載"

備份排程選項

BlueXP 備份與還原可讓您針對每個工作環境(叢集)建立多個備份原則、並設定獨特的排程。您可以將不同的備份原則指派給具有不同還原點目標(RPO)的磁碟區。

每個備份原則都會提供一個區段、說明您可以套用至備份檔案的_標籤與保留_。請注意、套用至磁碟區的 Snapshot 原則必須是 BlueXP 備份與還原所辨識的原則之一、否則將無法建立備份檔案。

建立備份原則時的備份排程設定快照。

排程分為兩部分:「標籤」和「保留值」:

  • *標籤*定義從磁碟區建立(或更新)備份檔案的頻率。您可以選擇下列類型的標籤:

    • 您可以選擇*每小時*、每日每週每月、 和*年*時間範圍。

    • 您可以選擇其中一個系統定義的原則、以提供3個月、1年或7年的備份與保留。

    • 如果您已在叢集上使用ONTAP 支援系統管理程式或ONTAP CLI建立自訂備份保護原則、則可以選取其中一個原則。

  • 保留」值會定義每個標籤(時間範圍)保留的備份檔案數量。一旦類別或時間間隔達到最大備份數、就會移除較舊的備份、讓您永遠擁有最新的備份。這也能節省儲存成本、因為過時的備份不會繼續佔用雲端空間。

例如、假設您建立的備份原則會建立7 *每週*和12 *每月*備份:

  • 每週和每月都會為磁碟區建立備份檔案

  • 在第8週、第一週備份會移除、並新增第8週的每週備份(每週最多保留7次備份)。

  • 在第13個月、第一個每月備份就會移除、並新增第13個月的每月備份(最多保留12個月備份)。

年度備份傳輸到物件儲存後,會自動從來源系統刪除。您可以在工作環境的「進階設定」頁面中變更此預設行為。

DataLock 和勒索軟體保護選項

BlueXP 備份與還原可為您的磁碟區備份提供 DataLock 和勒索軟體保護支援。這些功能可讓您鎖定備份檔案、並進行掃描、以偵測備份檔案上可能的勒索軟體。這是可選的設定、您可以在備份原則中定義、以便為叢集的磁碟區備份提供額外保護。

這兩項功能都能保護您的備份檔案、讓您隨時都能擁有有效的備份檔案、以便在發生勒索軟體攻擊時、從備份中恢復資料。此外、也有助於滿足某些法規要求、在某些情況下、備份必須鎖定並保留一段時間。啟用 DataLock 和勒索軟體保護選項時、配置為 BlueXP 備份和恢復啟動一部分的雲端儲存區將會啟用物件鎖定和物件版本控制。

"如需詳細資料、請參閱DataLock和勒索軟體保護部落格"

此功能無法為來源磁碟區提供保護、只能用於這些來源磁碟區的備份。使用一些 "提供來自VMware的反勒索軟體保護ONTAP"保護您的來源磁碟區。

警告

  • 如果您打算使用 DataLock 和勒索軟體保護,則可以在建立第一個備份策略並為該叢集啟動BlueXP backup and recovery時啟用它。您可以稍後使用BlueXP backup and recovery進階設定啟用或停用勒索軟體掃描。

  • 當 BlueXP 在還原磁碟區資料時掃描備份檔案以取得勒索軟體時、您將需要向雲端供應商支付額外的出口成本、才能存取備份檔案的內容。

什麼是DataLock

借助此功能,您可以鎖定透過SnapMirror複製到雲端的雲端快照,並啟用該功能來偵測勒索軟體攻擊並在物件儲存上恢復快照的一致副本。 AWS、Azure 和StorageGRID均支援此功能。

DataLock 可保護您的備份檔案、避免在一段時間內遭到修改或刪除、也稱為 _immutable storage 。此功能使用物件儲存供應商的技術來「物件鎖定」。

雲端提供者使用「保留截止日期」(RUD),該日期根據快照保留期計算。快照保留期根據備份策略中定義的標籤和保留計數計算。

最短快照保留期為 30 天。讓我們來看看幾個例子、瞭解這項功能的運作方式:

  • 如果您選擇保留計數為 20 的 Daily 標籤,則快照保留期為 20 天,預設為最短 30 天。

  • 如果您選擇保留計數為 4 的 每週 標籤,則快照保留期為 28 天,預設為最短 30 天。

  • 如果您選擇保留計數為 3 的「每月」標籤,則快照保留期為 90 天。

  • 如果您選擇保留計數為 1 的 每年 標籤,則快照保留期為 365 天。

什麼是保留截止日期 (RUD) 以及如何計算?

保留截止日期 (RUD) 根據快照保留期確定。保留截止日期是透過將快照保留期與緩衝區相加來計算的。

  • 緩衝為轉移時間緩衝(3天)+成本最佳化緩衝(28天),共31天。

  • 最短保留截止日期為 30 天 + 31 天緩衝期 = 61 天。

以下是一些範例:

  • 如果您建立的每月備份排程有12個保留項目、則備份會在刪除之前鎖定12個月(加上31天)(由下一個備份檔案取代)。

  • 如果您建立的備份策略會建立 30 個每日備份、7 個每週備份和 12 個每月備份,則有三個鎖定的保留期:

    • 「每日 30 次」備份將保留 61 天(30 天加上 31 天緩衝期),

    • 「7 週」備份保留 11 週(7 週加 31 天),且

    • 「12 個月」備份將保留 12 個月(加 31 天)。

  • 如果您建立24個保留項目的每小時備份排程、您可能會認為備份會鎖定24小時。不過、由於這低於30天的最少時間、因此每個備份都會被鎖定並保留61天(30天加上31天的緩衝)。

警告 舊備份將在 DataLock 保留期到期後刪除,而不是在備份策略保留期到期後刪除。

DataLock 保留設定將覆蓋備份策略中的策略保留設定。這可能會影響您的儲存成本、因為備份檔案將會儲存在物件存放區中一段較長的時間。

啟用 DataLock 和勒索軟體保護

您可以在建立策略時啟用 DataLock 和勒索軟體保護。政策建立後,您將無法啟用、修改或停用此功能。

  1. 建立策略時,展開「DataLock 和勒索軟體保護」部分。

  2. 請選擇下列其中一項:

    • :DataLock 保護和勒索軟體保護被停用。

    • 解鎖:DataLock 保護和勒索軟體保護已啟用。擁有特定權限的使用者可以在保留期內覆蓋或刪除受保護的備份檔案。

    • 已鎖定:DataLock 保護和勒索軟體保護已啟用。在保留期內,任何使用者都無法覆蓋或刪除受保護的備份檔案。這完全符合法規要求。

請參閱 "如何在「進階設定」頁面中更新勒索軟體保護選項"

NetApp備份與復原中的勒索軟體防護是什麼

NetApp Backup and Recovery 中的勒索軟體防護選項會掃描您的備份檔案以尋找勒索軟體攻擊的證據。勒索軟體攻擊的偵測是使用校驗和比較來執行的。如果在新的備份檔案與先前的備份檔案中發現潛在的勒索軟體,則該較新的備份檔案將被未顯示任何勒索軟體攻擊跡象的最新備份檔案取代。 (被判定為遭受勒索軟體攻擊的檔案在被替換1天後被刪除。)

掃描發生在以下情況:

  • 雲端備份物件傳輸到雲端物件儲存後不久就會啟動雲端備份物件的掃描。第一次寫入雲端儲存設備、但寫入下一個備份檔案時、不會對備份檔案執行掃描。

  • 當選擇備份進行復原程序時,可以啟動勒索軟體掃描。

  • 可以隨時按需進行掃描。

*恢復過程是怎樣的? *

當偵測到勒索軟體攻擊時,本服務會使用 Active Data Connector 完整性檢查器 REST API 啟動復原程序。資料物件最舊的版本是真實來源,並作為復原過程的一部分轉換為目前版本。

讓我們看看它是如何運作的:

  • 如果發生勒索軟體攻擊,該服務會嘗試覆蓋或刪除儲存桶中的物件。

  • 由於雲端儲存啟用了版本控制功能,它會自動建立備份物件的新版本。如果在啟用版本控制的情況下刪除對象,則該對象會被標記為已刪除,但仍可檢索。如果物件被覆蓋,則會儲存並標記先前的版本。

  • 啟動勒索軟體掃描時,系統會驗證兩個物件版本的校驗和並進行比較。如果校驗和不一致,則表示偵測到了潛在的勒索軟體。

  • 恢復過程涉及恢復到最後一個已知的良好副本。

支援的工作環境與物件儲存供應商

在下列公有雲和私有雲供應商中使用物件儲存設備時、您可以從ONTAP 下列工作環境啟用下列功能中的「資料鎖定」和「勒索軟體」保護功能。未來版本將會新增其他雲端供應商。

來源工作環境 備份檔案目的地ifdef::AWS []

AWS 中的 Cloud Volumes ONTAP

Amazon S3 endif:::AWS[] ifdef::azure[]

Azure 中的 Cloud Volumes ONTAP

Azure Blob endif::azure[] ifdef::GCP[] endif::GCP[]

內部部署 ONTAP 的作業系統

ifdef::AWS:Amazon S3 endif::AWS [] ifdef::azure[] Azure Blob endif::azure[] ifdef::gcp[] endif::gcp[] NetApp StorageGRID

需求

  • 對於AWS:

    • 您的叢集必須執行ONTAP 版本不只是功能不穩定的版本

    • 連接器可部署在雲端或內部部署

    • 下列S3權限必須是為Connector提供權限的IAM角色的一部分。它們位於資源「arn:AWS:S3::::NetApp備份-*」的「backupS3Policy」區段:

      AWS S3 權限

      • S3:GetObjectVersion標記

      • S3:GetBucketObjectLockConfiguration

      • S3:GetObjectVerionAcl

      • S3:PuttObjectTagging

      • S3:刪除物件

      • S3:刪除ObjectTagging

      • S3:GetObjectRetention

      • S3:刪除ObjectVersion標記

      • S3:PuttObject

      • S3:GetObject

      • S3:PuttBucketObjectLockConfiguration

      • S3:Get生命 週期組態

      • S3:GetBucketting

      • S3:刪除ObjectVersion

      • S3:listBucketVerions

      • S3:清單庫

      • S3:PuttBucketting

      • S3:GetObjectTagging

      • S3:PuttBucketVersion

      • S3:PuttObjectVersion標記

      • S3:GetBucketVersion

      • S3:GetBucketAcl

      • S3:BypassGovernanceRetention

      • S3:PuttObjectRetention

      • S3:GetBucketLocation

      • S3:GetObjectVersion

      "檢視原則的完整Json格式、您可以在其中複製及貼上所需的權限"

  • 對於Azure:

    • 您的叢集必須執行 ONTAP 9.12.1 或更新版本

    • 連接器可部署在雲端或內部部署

  • 適用於下列項目:StorageGRID

    • 您的叢集必須執行ONTAP 版本不只是功能不穩定的版本

    • 您的 StorageGRID 系統必須執行 11.6.0.3 或更新版本

    • 連接器必須部署在內部部署環境中(可安裝在有或沒有網際網路存取的站台中)

    • 下列S3權限必須是為Connector提供權限的IAM角色的一部分:

      StorageGRID S3 權限

      • S3:GetObjectVersion標記

      • S3:GetBucketObjectLockConfiguration

      • S3:GetObjectVerionAcl

      • S3:PuttObjectTagging

      • S3:刪除物件

      • S3:刪除ObjectTagging

      • S3:GetObjectRetention

      • S3:刪除ObjectVersion標記

      • S3:PuttObject

      • S3:GetObject

      • S3:PuttBucketObjectLockConfiguration

      • S3:Get生命 週期組態

      • S3:GetBucketting

      • S3:刪除ObjectVersion

      • S3:listBucketVerions

      • S3:清單庫

      • S3:PuttBucketting

      • S3:GetObjectTagging

      • S3:PuttBucketVersion

      • S3:PuttObjectVersion標記

      • S3:GetBucketVersion

      • S3:GetBucketAcl

      • S3:PuttObjectRetention

      • S3:GetBucketLocation

      • S3:GetObjectVersion

限制

  • 如果您已在備份原則中設定歸檔儲存設備、則無法使用 DataLock 和勒索軟體保護功能。

  • 啟動 BlueXP 備份與還原時所選取的 DataLock 選項必須用於該叢集的所有備份原則。

  • 您無法在單一叢集上使用多個 DataLock 模式。

  • 如果啟用DataLock、所有Volume備份都會鎖定。您無法混合使用單一叢集的鎖定和非鎖定磁碟區備份。

  • DataLock 和勒索軟體保護適用於使用啟用了 DataLock 和勒索軟體保護的備份策略的新磁碟區備份。您可以稍後使用進階設定選項啟用或停用勒索軟體掃描選項。

  • FlexGroup Volume 只有在使用 ONTAP 9.13.1 或更新版本時、才能使用 DataLock 和勒索軟體保護。

如何降低 DataLock 成本的秘訣

您可以啟用或停用勒索軟體掃描功能、同時保持啟用 DataLock 功能。為了避免額外費用、您可以停用排程的勒索軟體掃描。這可讓您自訂安全性設定、並避免雲端供應商帶來成本。

即使停用排程的勒索軟體掃描、仍可視需要執行隨需掃描。

您可以選擇不同的保護層級:

  • * DataLock _ 不含勒索軟體掃描 * :保護目的地儲存設備中的備份資料、該儲存設備可處於監管模式或法規遵循模式。

    • * 監管模式 * :讓系統管理員能夠靈活地覆寫或刪除受保護的資料。

    • * 法規遵循模式 * :在保留期限到期之前提供完整的不確定性。這有助於滿足高度管制環境中最嚴苛的資料安全需求。資料在生命週期內無法覆寫或修改、為您的備份複本提供最強大的保護層級。

      註 Microsoft Azure 改用「鎖定與解除鎖定」模式。

  • * DataLock _ 搭配 _ 勒索軟體掃描 * :為您的資料提供額外的安全層級。此功能有助於偵測任何變更備份複本的嘗試。如果有任何嘗試、則會謹慎建立新版本的資料。掃描頻率可變更為 1 、 2 、 3 、 4 、 5 、 6 天或 7 天。如果掃描設為每 7 天、成本就會大幅降低。

如需降低 DataLock 成本的更多秘訣、請參閱 https://community.netapp.com/t5/Tech-ONTAP-Blogs/Understanding-BlueXP-Backup-and-Recovery-DataLock-and-Ransomware-Feature-TCO/ba-p/453475

此外、您也可以造訪、取得與 DataLock 相關的成本預估值 "BlueXP 備份與恢復總體擁有成本( TCO )計算機"

歸檔儲存選項

使用 AWS 、 Azure 或 Google 雲端儲存設備時、您可以在一定天數後、將較舊的備份檔案移至較便宜的歸檔儲存類別或存取層。您也可以選擇立即將備份檔案傳送至歸檔儲存設備、而無需寫入標準雲端儲存設備。只要輸入 0 作為「歸檔日」、即可將備份檔案直接傳送至歸檔儲存設備。這對很少需要從雲端備份存取資料的使用者或是更換備份至磁帶解決方案的使用者而言特別有幫助。

歸檔層中的資料無法在需要時立即存取、而且需要較高的擷取成本、因此您必須考慮在決定歸檔備份檔案之前、從備份檔案還原資料的頻率。

註

  • 即使您選取「 0 」將所有資料區塊傳送至歸檔雲端儲存設備、中繼資料區塊也會一律寫入標準雲端儲存設備。

  • 如果您已啟用 DataLock 、則無法使用歸檔儲存設備。

  • 選擇 0 天後無法更改歸檔策略(立即歸檔)。

每個備份原則都會提供一節_Archival Policy_、您可以套用至備份檔案。

建立備份原則時的封存原則設定快照。

  • 在AWS中、備份是從_Standard_儲存類別開始、30天後轉換至_Standard-in頻繁 存取_儲存類別。

    如果您的叢集使用ONTAP 的是更新版本的版本、您可以將舊版備份分層至_S3 Glacier或_S3 Glacier Deep Archive_儲存設備。"深入瞭解AWS歸檔儲存設備"

    • 如果您在啟動 BlueXP 備份與還原時、在第一個備份原則中選取「無歸檔層」、那麼 _S3 Glacier 將是您未來原則的唯一歸檔選項。

    • 如果您在第一個備份原則中選取 S3 Glacier 、則可以變更至 _S3 Glacier Deep Archive 層、以供該叢集未來的備份原則使用。

    • 如果您在第一個備份原則中選取 S3 Glacier Deep Archive 、則該層將是該叢集未來備份原則可用的唯一歸檔層。

  • 在Azure中、備份會與_cool存取層建立關聯。

    如果您的叢集使用ONTAP 的是版本為S還原9.10.1或更新版本、您可以將舊版備份分層保存至_Azure Archive_儲存設備。"深入瞭解Azure歸檔儲存設備"

  • 在 GCP 中、備份會與 Standard 儲存類別相關聯。

    如果您的內部叢集使用 ONTAP 9.12.1 或更新版本、您可以選擇在特定天數後、將舊備份分層儲存至 BlueXP 備份與還原 UI 中的 Archive 儲存設備、以進一步最佳化成本。"深入瞭解Google歸檔儲存設備"

  • 在本產品中、備份會與_Standard_儲存類別相關聯。StorageGRID

    如果您的內部叢集使用ONTAP 的是不含更新版本的版本、StorageGRID 而您的系統使用的是11.4版或更新版本、您可以將舊版備份檔案歸檔至公有雲歸檔儲存設備。

+*對於AWS、您可以將備份分層至AWS _S3 Glacier或_S3 Glacier Deep Archive_儲存設備。"深入瞭解AWS歸檔儲存設備"

+*對於Azure、您可以將舊版備份分層至_Azure Archive_儲存設備。"深入瞭解Azure歸檔儲存設備"