將內部部署的 ONTAP 資料備份至 Amazon S3
請完成幾個步驟、開始將內部部署 ONTAP 系統的大量資料備份到次要儲存系統和 Amazon S3 雲端儲存設備。
「內部部署 ONTAP 系統」包括 FAS 、 AFF 和 ONTAP Select 系統。 |
快速入門
請依照下列步驟快速入門。每個步驟的詳細資料請參閱本主題的下列各節。
您可以選擇將內部部署ONTAP 的更新叢集直接連接至AWS S3(透過公用網際網路)、或是使用VPN或AWS Direct Connect、然後透過私有VPC端點介面將流量路由傳送至AWS S3。
如果您已在AWS VPC或內部部署部署了Connector、您就能輕鬆完成所有設定。如果沒有、則需要建立 BlueXP Connector 、將 ONTAP 資料備份到 AWS S3 儲存設備。您也需要自訂Connector的網路設定、以便連接至AWS S3。
您必須檢查 AWS 和 BlueXP 的授權要求。
請參閱 驗證授權需求。
探索 BlueXP 中的 ONTAP 叢集、確認叢集符合最低需求、並自訂網路設定、讓叢集能夠連線至 AWS S3 。
設定Connector的權限、以建立及管理S3儲存區。您也需要設定內部部署ONTAP 的叢集權限、以便能夠讀取及寫入S3儲存區的資料。
或者、您可以設定自己的自訂管理金鑰來進行資料加密、而非使用預設的Amazon S3加密金鑰。 瞭解如何讓 AWS S3 環境準備好接收 ONTAP 備份。
選取工作環境、然後按一下右窗格中「備份與還原」服務旁的*「啟用」>「備份磁碟區」*。然後按照安裝精靈的指示、選取您要使用的複寫和備份原則、以及您要備份的磁碟區。
識別連線方法
從內部部署 ONTAP 系統設定備份至 AWS S3 時、請選擇兩種連線方法中的哪一種。
-
* 公共連線 * :使用公共 S3 端點、將 ONTAP 系統直接連線至 AWS S3 。
-
* 私有連線 * :使用 VPN 或 AWS Direct Connect 、並透過使用私有 IP 位址的 VPC 端點介面路由流量。
或者、您也可以使用公用或私有連線、連線至複寫磁碟區的次要 ONTAP 系統。
下圖顯示*公用連線*方法、以及元件之間需要準備的連線。您可以使用內部部署安裝的Connector、或是部署在AWS VPC中的Connector。
下圖顯示*私有連線*方法、以及元件之間需要準備的連線。您可以使用內部部署安裝的Connector、或是部署在AWS VPC中的Connector。
準備您的BlueXP Connector
BlueXP Connector是用於BlueXP功能的主要軟體。需要連接器來備份及還原ONTAP 您的不必要資料。
建立或切換連接器
如果您已在AWS VPC或內部部署部署了Connector、您就能輕鬆完成所有設定。
如果沒有、則您需要在其中一個位置建立連接器、以便將 ONTAP 資料備份到 AWS S3 儲存設備。您無法使用部署於其他雲端供應商的Connector。
-
"在 AWS GovCloud 區域安裝 Connector"
當 Connector 部署在雲端時、 GovCloud 地區支援 BlueXP 備份與還原、而非安裝在內部部署時。此外、您必須從AWS Marketplace部署Connector。您無法從 BlueXP SaaS 網站在政府區域部署 Connector 。
準備 Connector 網路連線需求
確保符合下列網路需求:
-
確保安裝 Connector 的網路啟用下列連線:
-
透過連接埠 443 連接到 BlueXP 備份與還原服務、以及 S3 物件儲存設備的 HTTPS 連線 ("請參閱端點清單")
-
透過連接埠443連線至ONTAP 您的SURF叢 集管理LIF的HTTPS連線
-
AWS和AWS GovCloud部署需要額外的傳入和傳出安全群組規則。請參閱 "AWS 中 Connector 的規則" 以取得詳細資料。
-
-
如果ONTAP 您有從您的叢集到VPC的直接連線或VPN連線、而且您想要連接器和S3之間的通訊保持在AWS內部網路(*私有*連線)中、您就必須啟用連接到S3的VPC端點介面。 瞭解如何設定VPC端點介面。
驗證授權需求
您需要驗證 AWS 和 BlueXP 的授權要求:
-
您必須先向 AWS 訂購隨用隨付( PAYGO ) BlueXP Marketplace 產品、或是向 NetApp 購買並啟動 BlueXP 備份與恢復 BYOL 授權、才能啟動叢集的 BlueXP 備份與還原。這些授權適用於您的帳戶、可在多個系統上使用。
-
如需 BlueXP 備份與還原 PAYGO 授權、您需要訂閱 "AWS Marketplace 提供的 NetApp BlueXP 產品"。BlueXP 備份與還原的帳單是透過此訂閱完成。
-
對於 BlueXP 備份與恢復 BYOL 授權、您需要 NetApp 的序號、以便在授權期間和容量內使用服務。 "瞭解如何管理BYOL授權"。
-
-
您需要訂閱AWS、以取得備份所在的物件儲存空間。
-
支援地區 *
您可以在所有地區、從內部部署系統建立備份到Amazon S3 "支援的地方 Cloud Volumes ONTAP";包括AWS GovCloud區域。您可以指定在設定服務時儲存備份的區域。
準備 ONTAP 叢集
您需要準備來源內部部署 ONTAP 系統和任何次要內部部署 ONTAP 或 Cloud Volumes ONTAP 系統。
準備 ONTAP 叢集包括下列步驟:
-
探索 BlueXP 中的 ONTAP 系統
-
驗證 ONTAP 系統需求
-
驗證 ONTAP 網路連線需求、以將資料備份到物件儲存設備
-
驗證複寫磁碟區的 ONTAP 網路需求
探索 BlueXP 中的 ONTAP 系統
您的來源內部部署 ONTAP 系統和任何次要內部部署 ONTAP 或 Cloud Volumes ONTAP 系統都必須在 BlueXP Canvas 上提供。
您必須知道叢集管理IP位址和管理使用者帳戶的密碼、才能新增叢集。
"瞭解如何探索叢集"。
驗證 ONTAP 系統需求
確保符合下列 ONTAP 需求:
驗證 ONTAP 網路連線需求、以將資料備份到物件儲存設備
您必須在連線至物件儲存設備的系統上設定下列需求。
-
對於扇出備份架構、請在 _ 主要 _ 系統上設定下列設定。
-
對於串聯備份架構、請在 _secondary 系統上設定下列設定。
需要下列 ONTAP 叢集網路需求:
-
叢集需要連接器與叢集管理LIF之間的傳入HTTPS連線。
-
裝載您要備份之磁碟區的 ONTAP 每個節點都需要叢集間 LIF 。這些叢集間生命體必須能夠存取物件存放區。
叢集會透過連接埠443、從叢集間的LIF連線到Amazon S3儲存設備、以進行備份與還原作業。從物件儲存設備中讀取和寫入資料、物件儲存設備永遠不會啟動、只是回應而已。ONTAP
-
叢集間生命體必須與_IPspacer_建立關聯、ONTAP 以便連接物件儲存設備。 "深入瞭解 IPspaces"。
當您設定 BlueXP 備份與還原時、系統會提示您輸入要使用的 IPspace 。您應該選擇這些生命區相關的IPspace。這可能是您建立的「預設」 IPspace 或自訂 IPspace 。
如果您使用的IPspace與「預設」不同、則可能需要建立靜態路由才能存取物件儲存設備。
IPspace內的所有叢集間生命體都必須擁有物件存放區的存取權。如果您無法針對目前的IPspace進行設定、則必須建立專屬的IPspace、讓所有叢集間生命週期都能存取物件存放區。
-
DNS伺服器必須已針對磁碟區所在的儲存VM進行設定。瞭解如何操作 "設定SVM的DNS服務"。
-
如有必要、請更新防火牆規則、以允許 BlueXP 從 ONTAP 備份和恢復連線、透過連接埠 443 、以及從儲存 VM 透過連接埠 53 ( TCP/UDP )到 DNS 伺服器的名稱解析流量。
-
如果您使用AWS中的私有VPC介面端點進行S3連線、則為了使用https/443、您必須將S3端點憑證載入ONTAP 到叢集。 瞭解如何設定VPC端點介面並載入S3憑證。
驗證複寫磁碟區的 ONTAP 網路需求
如果您打算使用 BlueXP 備份與還原在次要 ONTAP 系統上建立複寫的磁碟區、請確定來源和目的地系統符合下列網路需求。
內部部署 ONTAP 網路需求
-
如果叢集位於內部部署、您應該要在雲端供應商中、從公司網路連線到虛擬網路。這通常是VPN連線。
-
叢集必須符合額外的子網路、連接埠、防火牆和叢集需求。 ONTAP
由於您可以複寫到 Cloud Volumes ONTAP 或內部部署系統、因此請檢閱內部部署 ONTAP 系統的對等關係要求。 "請參閱ONTAP 《知識庫》文件中的叢集對等條件"。
Cloud Volumes ONTAP 網路需求
-
執行個體的安全性群組必須包含必要的傳入和傳出規則:特別是 ICMP 和連接埠 11104 和 11105 的規則。這些規則包含在預先定義的安全性群組中。
準備Amazon S3做為備份目標
準備 Amazon S3 做為備份目標涉及下列步驟:
-
設定 S3 權限。
-
(選擇性)建立您自己的 S3 儲存區。(如果需要、服務會為您建立貯體。)
-
(選用)設定客戶管理的 AWS 金鑰以進行資料加密。
-
(選用)使用 VPC 端點介面將您的系統設定為私有連線。
設定S3權限
您需要設定兩組權限:
-
連接器建立及管理S3儲存區的權限。
-
內部部署ONTAP 的內部資源集區的權限、讓IT能夠讀取資料並將資料寫入S3儲存區。
-
確保 Connector 具有必要的權限。如需詳細資訊、請參閱 "BlueXP 原則權限"。
在 AWS 中國地區建立備份時、您需要將 IAM 原則中所有 Resource 區段下的 AWS 資源名稱「 arn 」從「 AWS 」變更為「 AWS-CN 」、例如 arn:aws-cn:s3:::netapp-backup-*
。 -
當您啟動服務時、備份精靈會提示您輸入存取金鑰和秘密金鑰。這些認證資料會傳遞ONTAP 給整個叢集、ONTAP 以便讓支援中心能夠將資料備份並還原至S3儲存區。因此、您必須建立具有下列權限的 IAM 使用者。
Details
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:PutEncryptionConfiguration" ], "Resource": "arn:aws:s3:::netapp-backup-*", "Effect": "Allow", "Sid": "backupPolicy" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::netapp-backup*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListAllMyBuckets", "s3:PutObjectTagging", "s3:GetObjectTagging", "s3:RestoreObject", "s3:GetBucketObjectLockConfiguration", "s3:GetObjectRetention", "s3:PutBucketObjectLockConfiguration", "s3:PutObjectRetention" ], "Resource": "arn:aws:s3:::netapp-backup*/*", "Effect": "Allow" } ] }
建立您自己的儲存庫
依預設、服務會為您建立儲存區。或者、如果您想要使用自己的貯體、您可以在啟動備份啟動精靈之前建立它們、然後在精靈中選取這些貯體。
如果您建立自己的儲存區、則應使用儲存區名稱「 NetApp-backup 」。如果您需要使用自訂名稱、請編輯 ontapcloud-instance-policy-netapp-backup
現有 CVO 的 IAMRole 、並將下列清單新增至 S3 權限。您必須納入 “Resource”: “arn:aws:s3:::*”
並指派所有需要與儲存庫相關聯的必要權限。
Details
" 行動 " : [
"S3 : ListBucket "
"S3 : GetBucketLocation"
]
「資源」:「 arn:AWS : S3 :: * 」、
「效果」:「允許」
} 、
{
" 行動 " : [
"S3:GetObject" 、
"S3 : PutObject" 、
"S3 :刪除物件 " 、
"S3 : ListAllMyb鏟 斗 " 、
"S3 :推桿標籤 " 、
"S3 : GetObjectTagging" 、
"S3 : RestoreObject" 、
"S3 : GetBucketObjectLockConfiguration 、
"S3 : GetObjectRetention " 、
"S3 : PuttBucketObjectLockConfiguration 、
"S3 : PutObjectRetention "
]
「資源」:「 arn:AWS : S3 :: * 」、
設定客戶管理的AWS金鑰以進行資料加密
如果您想要使用預設的Amazon S3加密金鑰來加密在內部叢集和S3儲存區之間傳輸的資料、那麼您就會被設定、因為預設安裝會使用該類型的加密。
如果您想要使用自己的客戶託管金鑰進行資料加密、而不是使用預設金鑰、則必須先設定加密託管金鑰、才能啟動 BlueXP 備份與還原精靈。 "請參閱如何使用您自己的金鑰"。
使用VPC端點介面設定系統的私有連線
如果您要使用標準的公用網際網路連線、則所有權限都是由Connector設定、您無需執行其他任何操作。這種連線類型顯示於 "第一個圖表"。
如果您想要透過網際網路從內部資料中心連線至VPC、可以在備份啟動精靈中選取AWS Private Link連線。如果您打算使用VPN或AWS Direct Connect、透過使用私有IP位址的VPC端點介面來連接內部部署系統、就必須使用此功能。這種連線類型顯示於 "第二個圖表"。
-
使用Amazon VPC主控台或命令列建立介面端點組態。 "請參閱 Amazon S3 使用 AWS Private Link 的詳細資料"。
-
修改與BlueXP Connector相關的安全性群組組態。您必須將原則變更為「Custom(自訂)」(從「Full Access(完整存取)」)、而且您必須如此 從備份原則新增S3權限 如前所示。
如果您使用連接埠80(HTTP)來與私有端點通訊、您就能輕鬆完成所有設定。您現在可以在叢集上啟用 BlueXP 備份與還原。
如果您使用連接埠443(HTTPS)來與私有端點通訊、則必須從VPC S3端點複製憑證、並將其新增ONTAP 至您的故障叢集、如接下來的4個步驟所示。
-
從AWS主控台取得端點的DNS名稱。
-
從VPC S3端點取得憑證。您的做法是 "登入裝載BlueXP Connector的VM" 並執行下列命令。輸入端點的DNS名稱時、請在開頭加入「pucket」、取代「*」:
[ec2-user@ip-10-160-4-68 ~]$ openssl s_client -connect bucket.vpce-0ff5c15df7e00fbab-yxs7lt8v.s3.us-west-2.vpce.amazonaws.com:443 -showcerts
-
從這個命令的輸出中、複製S3憑證的資料(包括BEGIN / END憑證標記之間的所有資料):
Certificate chain 0 s:/CN=s3.us-west-2.amazonaws.com` i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon -----BEGIN CERTIFICATE----- MIIM6zCCC9OgAwIBAgIQA7MGJ4FaDBR8uL0KR3oltTANBgkqhkiG9w0BAQsFADBG … … GqvbOz/oO2NWLLFCqI+xmkLcMiPrZy+/6Af+HH2mLCM4EsI2b+IpBmPkriWnnxo= -----END CERTIFICATE-----
-
登入ONTAP 叢集式CLI、然後套用您使用下列命令複製的憑證(替代您自己的儲存VM名稱):
cluster1::> security certificate install -vserver cluster1 -type server-ca Please enter Certificate: Press <Enter> when done
啟動 ONTAP 磁碟區上的備份
隨時直接從內部部署工作環境啟動備份。
精靈會引導您完成下列主要步驟:
您也可以 顯示 API 命令 在審查步驟中、您可以複製程式碼、以便在未來的工作環境中自動啟用備份。
啟動精靈
-
使用下列其中一種方法存取啟動備份與還原精靈:
-
在 BlueXP 畫布中、選取工作環境、然後在右側面板的備份與還原服務旁選取 * 啟用 > 備份磁碟區 * 。
如果您備份的 Amazon S3 目的地在 Canvas 上作為工作環境存在、您可以將 ONTAP 叢集拖曳到 Amazon S3 物件儲存設備上。
-
在備份和恢復欄中選擇 * Volumes (卷) * 。從 Volumes (卷)選項卡中,選擇 Actions 圖示並選取 * 啟動單一磁碟區的備份 * (尚未啟用複寫或備份至物件儲存設備的磁碟區)。
精靈的「簡介」頁面會顯示保護選項、包括本機快照、複寫和備份。如果您在此步驟中選擇了第二個選項、則會顯示「定義備份策略」頁面、並選取一個磁碟區。
-
-
繼續執行下列選項:
-
如果您已經有 BlueXP Connector 、您就可以設定好。只要選擇 * 下一步 * 即可。
-
如果您尚未安裝 BlueXP Connector 、則會出現 * 新增 Connector * 選項。請參閱 準備您的BlueXP Connector。
-
選取您要備份的磁碟區
選擇您要保護的磁碟區。受保護的磁碟區具有下列一項或多項: Snapshot 原則、複寫原則、備份至物件原則。
您可以選擇保護 FlexVol 或 FlexGroup 磁碟區、但是在為工作環境啟動備份時、您無法選擇這些磁碟區的混合。瞭解如何操作 "啟動工作環境中其他磁碟區的備份" ( FlexVol 或 FlexGroup )。
|
請注意、如果您選擇的磁碟區已套用 Snapshot 或複寫原則、稍後您選取的原則將會覆寫這些現有原則。
-
在「選取磁碟區」頁面中、選取您要保護的磁碟區。
-
您也可以篩選資料列、僅顯示具有特定 Volume 類型、樣式等的 Volume 、以便更輕鬆地進行選擇。
-
選取第一個磁碟區之後、您可以選取所有 FlexVol 磁碟區( FlexGroup 磁碟區一次只能選取一個)。若要備份所有現有的 FlexVol Volume 、請先勾選一個 Volume 、然後勾選標題列中的方塊。()。
-
若要備份個別磁碟區、請勾選每個磁碟區的方塊()。
-
-
選擇*下一步*。
定義備份策略
定義備份策略包括設定下列選項:
-
無論您想要一個或全部備份選項:本機快照、複寫及備份至物件儲存設備
-
架構
-
本機 Snapshot 原則
-
複寫目標和原則
如果您選擇的磁碟區具有不同於您在此步驟中選取的原則的 Snapshot 和複寫原則、則現有原則將會遭到覆寫。 -
備份至物件儲存資訊(提供者、加密、網路、備份原則和匯出選項)。
-
在「定義備份策略」頁面中、選擇下列其中一項或全部。依預設會選取這三個選項:
-
* 本機快照 * :如果您要執行複寫或備份至物件儲存設備、則必須建立本機快照。
-
* 複寫 * :在另一個 ONTAP 儲存系統上建立複寫的磁碟區。
-
* 備份 * :將磁碟區備份至物件儲存。
-
-
* 架構 * :如果您選擇複寫與備份、請選擇下列其中一種資訊流程:
-
* 層疊 * :資訊從主要儲存設備流向次要儲存設備、再從次要儲存設備流向物件儲存設備、從次要儲存設備流向物件儲存設備。
-
* 扇出 * :資訊會從主要儲存設備流向次要儲存設備(及)。
如需這些架構的詳細資訊、請參閱 "規劃您的保護旅程"。
-
-
* 本機 Snapshot * :選擇現有的 Snapshot 原則或建立原則。
若要在啟動 Snapshot 之前建立自訂原則、請參閱 "建立原則"。 -
若要建立原則、請選取 * 建立新原則 * 、然後執行下列步驟:
-
輸入原則名稱。
-
最多可選取 5 個排程、通常是不同的頻率。
-
針對備份至物件原則、請設定 DataLock 和勒索軟體保護設定。如需 DataLock 和勒索軟體保護的詳細資訊、請參閱 "備份至物件原則設定"。
-
-
選擇* Create (建立)。
-
-
* 複寫 * :設定下列選項:
-
* 複寫目標 * :選取目的地工作環境和 SVM 。您也可以選擇要新增至複寫磁碟區名稱的目的地集合體、集合體和前置詞或尾碼。
-
* 複寫原則 * :選擇現有的複寫原則或建立原則。
若要在啟動複寫之前建立自訂原則、請參閱 "建立原則"。 若要建立原則、請選取 * 建立新原則 * 、然後執行下列步驟:
-
輸入原則名稱。
-
最多可選取 5 個排程、通常是不同的頻率。
-
選擇* Create (建立)。
-
-
-
* 備份到物件 * :如果您選取 * 備份 * 、請設定下列選項:
-
* 供應商 * :選擇 * Amazon Web Services* 。
-
* 供應商設定 * :輸入儲存備份的供應商詳細資料和 AWS 區域。
存取金鑰和秘密金鑰適用於您所建立的IAM使用者、以便ONTAP 讓該叢集能夠存取S3儲存區。
-
* 儲存庫 * :選擇現有的 S3 儲存庫或建立新的儲存庫。請參閱 "新增S3儲存區"。
-
* 加密金鑰 * :如果您建立了新的 S3 儲存區、請輸入供應商提供給您的加密金鑰資訊。選擇您要使用預設的 Amazon S3 加密金鑰、還是從 AWS 帳戶選擇自己的客戶管理金鑰來管理資料加密。
如果您選擇現有的儲存區、則加密資訊已可供使用、因此您不需要立即輸入。 -
* 網路連線 * :選擇 IPspace 、以及是否要使用私有端點。「私有端點」預設為停用。
-
您要備份的磁碟區所在的叢集中的 IPspace ONTAP 。此IPspace的叢集間生命體必須具有傳出網際網路存取。
-
您也可以選擇是否要使用先前設定的AWS Private Link。 "如需使用AWS Private Link for Amazon S3的詳細資訊、請參閱"。
-
-
* 備份原則 * :選取現有的備份原則或建立原則。
若要在啟動備份之前建立自訂原則、請參閱 "建立原則"。 若要建立原則、請選取 * 建立新原則 * 、然後執行下列步驟:
-
輸入原則名稱。
-
最多可選取 5 個排程、通常是不同的頻率。
-
選擇* Create (建立)。
-
-
* 將現有的 Snapshot 複本匯出至物件儲存區做為備份複本 * :如果此工作環境中有任何本機 Snapshot 複本符合您剛為此工作環境選取的備份排程標籤(例如每日、每週等)、則會顯示此額外提示。核取此方塊、將所有歷史快照複製到物件儲存區做為備份檔案、以確保磁碟區獲得最完整的保護。
-
-
選擇*下一步*。
檢閱您的選擇
這是檢視您的選擇並視需要進行調整的機會。
-
在「審查」頁面中、檢閱您的選擇。
-
(可選)選中此複選框以 * 自動將 Snapshot 策略標籤與複製和備份策略標籤同步 * 。這會建立具有標籤的 Snapshot 、該標籤與複寫和備份原則中的標籤相符。
-
選取 * 啟動備份 * 。
BlueXP 備份與還原會開始為您的磁碟區進行初始備份。複寫磁碟區和備份檔案的基礎傳輸包含主要儲存系統資料的完整複本。後續傳輸會包含 Snapshot 複本所含主要資料的差異複本。
複寫的磁碟區會建立在目的地叢集中、並與主要儲存磁碟區同步。
S3 儲存區是以您輸入的 S3 存取金鑰和秘密金鑰所指示的服務帳戶建立、備份檔案則儲存在該處。Volume Backup Dashboard隨即顯示、以便您監控備份狀態。
您也可以使用監控備份與還原工作的狀態 "「工作監控」面板"。
顯示 API 命令
您可能想要顯示並選擇性複製在啟動備份與還原精靈中使用的 API 命令。您可能想要在未來的工作環境中自動啟用備份。
-
從啟動備份與還原精靈中、選取 * 檢視 API 要求 * 。
-
若要將命令複製到剪貼簿、請選取 * 複製 * 圖示。
接下來呢?
-
您可以 "管理備份檔案與備份原則"。這包括開始和停止備份、刪除備份、新增和變更備份排程等。
-
您可以 "管理叢集層級的備份設定"。這包括變更ONTAP 用來存取雲端儲存設備的儲存金鑰、變更可將備份上傳至物件儲存設備的網路頻寬、變更未來磁碟區的自動備份設定等。
-
您也可以 "從備份檔案還原磁碟區、資料夾或個別檔案" 到Cloud Volumes ONTAP AWS的某個系統、或內部部署ONTAP 的某個系統。