本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

將內部部署ONTAP 的不全資料備份到Amazon S3

貢獻者

完成幾個步驟、開始將內部部署 ONTAP 系統的大量資料備份到 Amazon S3 儲存設備。

請注意、「內部部署ONTAP 的功能不只是指FAS 包含了功能不全的功能、AFF 包括了功能不全的功能、包括了功能不全的功能。ONTAP Select

快速入門

請依照下列步驟快速入門。每個步驟的詳細資料請參閱本主題的下列各節。

一 找出您要使用的組態方法

您可以選擇將內部部署ONTAP 的更新叢集直接連接至AWS S3(透過公用網際網路)、或是使用VPN或AWS Direct Connect、然後透過私有VPC端點介面將流量路由傳送至AWS S3。

請參閱可用的連線方法。

二 準備您的BlueXP Connector

如果您已在AWS VPC或內部部署部署了Connector、您就能輕鬆完成所有設定。如果沒有、則您需要建立連接器、以便將ONTAP 資訊備份到AWS S3儲存設備。您也需要自訂Connector的網路設定、以便連接至AWS S3。

瞭解如何建立連接器、以及如何定義必要的網路設定。

三 準備內部部署ONTAP 的叢集

在ONTAP BlueXP中探索您的叢集、確認叢集符合最低需求、並自訂網路設定、讓叢集可以連線至AWS S3。

瞭解如何ONTAP 準備好內部部署的叢集。

四 準備Amazon S3做為備份目標

設定Connector的權限、以建立及管理S3儲存區。您也需要設定內部部署ONTAP 的叢集權限、以便能夠讀取及寫入S3儲存區的資料。

或者、您可以設定自己的自訂管理金鑰來進行資料加密、而非使用預設的Amazon S3加密金鑰。 瞭解如何讓AWS S3環境準備好接收ONTAP 還原備份。

五 在系統上啟用 BlueXP 備份與還原

選取工作環境、然後按一下右窗格中「備份與還原」服務旁的*「啟用」>「備份磁碟區」*。然後依照設定精靈定義預設的備份原則和要保留的備份數目、並選取您要備份的磁碟區。

瞭解如何在磁碟區上啟動 BlueXP 備份與還原。

連線選項的網路圖表

從內部部署ONTAP 的支援系統設定備份到AWS S3時、您可以使用兩種連線方法。

  • 公共連線:使用ONTAP 公共S3端點、直接將整個系統連接至AWS S3。

  • 私有連線:使用VPN或AWS Direct Connect、並透過使用私有IP位址的VPC端點介面路由流量。

下圖顯示*公用連線*方法、以及元件之間需要準備的連線。您可以使用內部部署安裝的Connector、或是部署在AWS VPC中的Connector。

顯示 BlueXP 備份與還原如何透過公共連線與叢集上的磁碟區和備份檔案所在的 AWS S3 儲存設備進行通訊的圖表。

下圖顯示*私有連線*方法、以及元件之間需要準備的連線。您可以使用內部部署安裝的Connector、或是部署在AWS VPC中的Connector。

顯示 BlueXP 備份與還原如何透過私有連線與叢集上的磁碟區和備份檔案所在的 AWS S3 儲存區進行通訊的圖表。

準備好連接器

BlueXP Connector是用於BlueXP功能的主要軟體。需要連接器來備份及還原ONTAP 您的不必要資料。

建立或切換連接器

如果您已在AWS VPC或內部部署部署了Connector、您就能輕鬆完成所有設定。如果沒有、則您需要在上述任一位置建立連接器、以便將ONTAP 支援的資料備份到AWS S3儲存設備。您無法使用部署於其他雲端供應商的Connector。

連接器網路需求

  • 確保安裝 Connector 的網路啟用下列連線:

    • 透過連接埠 443 連接到 BlueXP 備份與還原服務、以及 S3 物件儲存設備的 HTTPS 連線 ("請參閱端點清單"

    • 透過連接埠443連線至ONTAP 您的SURF叢 集管理LIF的HTTPS連線

    • AWS和AWS GovCloud部署需要額外的傳入和傳出安全群組規則。請參閱 "AWS 中 Connector 的規則" 以取得詳細資料。

  • "確認Connector具有管理S3儲存區的權限"

  • 如果ONTAP 您有從您的叢集到VPC的直接連線或VPN連線、而且您想要連接器和S3之間的通訊保持在AWS內部網路(*私有*連線)中、您就必須啟用連接到S3的VPC端點介面。 瞭解如何設定VPC端點介面。

準備ONTAP 您的叢集

在ONTAP BlueXP中探索您的叢集

您必須先在ONTAP BlueXP中探索內部部署的叢集、才能開始備份Volume資料。您必須知道叢集管理IP位址和管理使用者帳戶的密碼、才能新增叢集。

"瞭解如何探索叢集"

需求 ONTAP

  • 最低ONTAP 版本為0、9、75;ONTAP 建議使用0、8P13及更新版本。

  • SnapMirror授權(包含在優質產品組合或資料保護產品組合中)。

  • 附註: * 使用 BlueXP 備份與還原時、不需要「混合雲套裝組合」。

    瞭解如何操作 "管理叢集授權"

  • 時間和時區設定正確。

    瞭解如何操作 "設定叢集時間"

叢集網路連線需求

  • 叢集需要連接器與叢集管理LIF之間的傳入HTTPS連線。

  • 裝載您要備份之磁碟區的 ONTAP 每個節點都需要叢集間 LIF 。這些叢集間生命體必須能夠存取物件存放區。

    叢集會透過連接埠443、從叢集間的LIF連線到Amazon S3儲存設備、以進行備份與還原作業。從物件儲存設備中讀取和寫入資料、物件儲存設備永遠不會啟動、只是回應而已。ONTAP

  • 叢集間生命體必須與_IPspacer_建立關聯、ONTAP 以便連接物件儲存設備。 "深入瞭解 IPspaces"

    當您設定 BlueXP 備份與還原時、系統會提示您輸入要使用的 IPspace 。您應該選擇這些生命區相關的IPspace。這可能是您建立的「預設」 IPspace 或自訂 IPspace 。

    如果您使用的IPspace與「預設」不同、則可能需要建立靜態路由才能存取物件儲存設備。

    IPspace內的所有叢集間生命體都必須擁有物件存放區的存取權。如果您無法針對目前的IPspace進行設定、則必須建立專屬的IPspace、讓所有叢集間生命週期都能存取物件存放區。

  • DNS伺服器必須已針對磁碟區所在的儲存VM進行設定。瞭解如何操作 "設定SVM的DNS服務"

  • 如有必要、請更新防火牆規則、以允許 BlueXP 從 ONTAP 備份和恢復連線、透過連接埠 443 、以及從儲存 VM 透過連接埠 53 ( TCP/UDP )到 DNS 伺服器的名稱解析流量。

  • 如果您使用AWS中的私有VPC介面端點進行S3連線、則為了使用https/443、您必須將S3端點憑證載入ONTAP 到叢集。 瞭解如何設定VPC端點介面並載入S3憑證。

  • "確保ONTAP 您的叢集擁有存取S3儲存區的權限"

驗證授權需求

  • 您必須先向 AWS 訂購隨用隨付( PAYGO ) BlueXP Marketplace 產品、或是向 NetApp 購買並啟動 BlueXP 備份與恢復 BYOL 授權、才能啟動叢集的 BlueXP 備份與還原。這些授權適用於您的帳戶、可在多個系統上使用。

  • 您需要訂閱AWS、以取得備份所在的物件儲存空間。

    您可以在所有地區、從內部部署系統建立備份到Amazon S3 "支援的地方 Cloud Volumes ONTAP";包括AWS GovCloud區域。您可以指定在設定服務時儲存備份的區域。

準備AWS環境

設定S3權限

您需要設定兩組權限:

  • 連接器建立及管理S3儲存區的權限。

  • 內部部署ONTAP 的內部資源集區的權限、讓IT能夠讀取資料並將資料寫入S3儲存區。

步驟

  1. 確認下列S3權限(從最新版本開始) "BlueXP原則")是IAM角色的一部分、可為Connector提供權限。如果沒有、請參閱 "AWS文件:編輯IAM原則"

    {
          "Sid": "backupPolicy",
          "Effect": "Allow",
          "Action": [
              "s3:DeleteBucket",
              "s3:GetLifecycleConfiguration",
              "s3:PutLifecycleConfiguration",
              "s3:PutBucketTagging",
              "s3:ListBucketVersions",
              "s3:GetObject",
              "s3:DeleteObject",
              "s3:PutObject",
              "s3:ListBucket",
              "s3:ListAllMyBuckets",
              "s3:GetBucketTagging",
              "s3:GetBucketLocation",
              "s3:GetBucketPolicyStatus",
              "s3:GetBucketPublicAccessBlock",
              "s3:GetBucketAcl",
              "s3:GetBucketPolicy",
              "s3:PutBucketPolicy",
              "s3:PutBucketOwnershipControls",
              "s3:PutBucketPublicAccessBlock",
              "s3:PutEncryptionConfiguration",
              "s3:GetObjectVersionTagging",
              "s3:GetBucketObjectLockConfiguration",
              "s3:GetObjectVersionAcl",
              "s3:PutObjectTagging",
              "s3:DeleteObjectTagging",
              "s3:GetObjectRetention",
              "s3:DeleteObjectVersionTagging",
              "s3:PutBucketObjectLockConfiguration",
              "s3:ListBucketByTags",
              "s3:DeleteObjectVersion",
              "s3:GetObjectTagging",
              "s3:PutBucketVersioning",
              "s3:PutObjectVersionTagging",
              "s3:GetBucketVersioning",
              "s3:BypassGovernanceRetention",
              "s3:PutObjectRetention",
              "s3:GetObjectVersion",
              "athena:StartQueryExecution",
              "athena:GetQueryResults",
              "athena:GetQueryExecution",
              "glue:GetDatabase",
              "glue:GetTable",
              "glue:CreateTable",
              "glue:CreateDatabase",
              "glue:GetPartitions",
              "glue:BatchCreatePartition",
              "glue:BatchDeletePartition"
          ],
          "Resource": [
              "arn:aws:s3:::netapp-backup-*"
          ]
      },
    附註 在 AWS 中國地區建立備份時、您需要將 IAM 原則中所有 Resource 區段下的 AWS 資源名稱「 arn 」從「 AWS 」變更為「 AWS-CN 」、例如 arn:aws-cn:s3:::netapp-backup-*

  2. 啟動服務時、備份精靈會提示您輸入存取金鑰和秘密金鑰。這些認證資料會傳遞ONTAP 給整個叢集、ONTAP 以便讓支援中心能夠將資料備份並還原至S3儲存區。因此、您需要建立具有下列權限的IAM使用者:

    {
    "Version": "2012-10-17",
     "Statement": [
        {
           "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": "arn:aws:s3:::netapp-backup-*",
            "Effect": "Allow",
            "Sid": "backupPolicy"
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::netapp-backup*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:ListAllMyBuckets",
                "s3:PutObjectTagging",
                "s3:GetObjectTagging",
                "s3:RestoreObject",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetObjectRetention",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutObjectRetention"
            ],
            "Resource": "arn:aws:s3:::netapp-backup*/*",
            "Effect": "Allow"
        }
    ]
}

    請參閱 "AWS 文件:建立角色、將權限委派給 IAM 使用者" 以取得詳細資料。

設定客戶管理的AWS金鑰以進行資料加密

如果您想要使用預設的Amazon S3加密金鑰來加密在內部叢集和S3儲存區之間傳輸的資料、那麼您就會被設定、因為預設安裝會使用該類型的加密。

如果您想要使用自己的客戶管理金鑰進行資料加密、而不是使用預設金鑰、則必須先設定加密託管金鑰、才能啟動 BlueXP 備份與還原精靈。 "瞭解如何使用您自己的金鑰"

使用VPC端點介面設定系統的私有連線

如果您要使用標準的公用網際網路連線、則所有權限都是由Connector設定、您無需執行其他任何操作。這種連線類型顯示於 "第一個圖表"

如果您想要透過網際網路從內部資料中心連線至VPC、可以在備份啟動精靈中選取AWS Private Link連線。如果您打算使用VPN或AWS Direct Connect、透過使用私有IP位址的VPC端點介面來連接內部部署系統、就必須使用此功能。這種連線類型顯示於 "第二個圖表"

  1. 使用Amazon VPC主控台或命令列建立介面端點組態。 "如需使用AWS Private Link for Amazon S3的詳細資訊、請參閱"

  2. 修改與BlueXP Connector相關的安全性群組組態。您必須將原則變更為「Custom(自訂)」(從「Full Access(完整存取)」)、而且您必須如此 從備份原則新增S3權限 如前所示。

    與Connector相關聯的AWS安全性群組快照。

    如果您使用連接埠80(HTTP)來與私有端點通訊、您就能輕鬆完成所有設定。您現在可以在叢集上啟用 BlueXP 備份與還原。

    如果您使用連接埠443(HTTPS)來與私有端點通訊、則必須從VPC S3端點複製憑證、並將其新增ONTAP 至您的故障叢集、如接下來的4個步驟所示。

  3. 從AWS主控台取得端點的DNS名稱。

    AWS主控台VPC端點的DNS名稱快照。

  4. 從VPC S3端點取得憑證。您的做法是 "登入裝載BlueXP Connector的VM" 並執行下列命令。輸入端點的DNS名稱時、請在開頭加入「pucket」、取代「*」:

    [ec2-user@ip-10-160-4-68 ~]$ openssl s_client -connect bucket.vpce-0ff5c15df7e00fbab-yxs7lt8v.s3.us-west-2.vpce.amazonaws.com:443 -showcerts

  5. 從這個命令的輸出中、複製S3憑證的資料(包括BEGIN / END憑證標記之間的所有資料):

    Certificate chain
0 s:/CN=s3.us-west-2.amazonaws.com`
   i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
-----BEGIN CERTIFICATE-----
MIIM6zCCC9OgAwIBAgIQA7MGJ4FaDBR8uL0KR3oltTANBgkqhkiG9w0BAQsFADBG
…
…
GqvbOz/oO2NWLLFCqI+xmkLcMiPrZy+/6Af+HH2mLCM4EsI2b+IpBmPkriWnnxo=
-----END CERTIFICATE-----

  6. 登入ONTAP 叢集式CLI、然後套用您使用下列命令複製的憑證(替代您自己的儲存VM名稱):

    cluster1::> security certificate install -vserver cluster1 -type server-ca
Please enter Certificate: Press <Enter> when done

啟用 BlueXP 備份與還原

隨時直接從內部部署工作環境啟用 BlueXP 備份與還原。

步驟

  1. 從「畫版」中選取工作環境、然後按一下右窗格中「備份與還原」服務旁的*「啟用」>「備份磁碟區」*。

    如果用於備份的Amazon S3目的地是在Canvas上的工作環境、您可以將叢集拖曳至Amazon S3工作環境、以啟動設定精靈。

    螢幕擷取畫面顯示「啟用備份與還原」按鈕、可在您選取工作環境之後使用。

  2. 選取Amazon Web Services做為您的供應商、然後按一下*「下一步*」。

  3. 輸入供應商詳細資料、然後按*下一步*。

    1. 用來儲存備份的AWS帳戶、AWS存取金鑰和秘密金鑰。

      存取金鑰和秘密金鑰適用於您所建立的IAM使用者、以便ONTAP 讓該叢集能夠存取S3儲存區。

    2. 儲存備份的AWS區域。

    3. 無論您是使用預設的Amazon S3加密金鑰、還是從AWS帳戶選擇自己的客戶管理金鑰、都能管理資料的加密。 ("瞭解如何使用您自己的金鑰")。

      快照顯示將磁碟區從ONTAP 某個系統備份到AWS S3時、雲端供應商的詳細資料。

  4. 如果您的帳戶沒有現有的 BlueXP 備份與還原授權、此時系統會提示您選擇要使用的充電方法類型。您可以從 AWS 訂閱隨用隨付( PAYGO ) BlueXP Marketplace 產品(或如果您有多個訂閱、則需要選擇一個)、或是從 NetApp 購買並啟動 BlueXP 備份與恢復 BYOL 授權。 "瞭解如何設定 BlueXP 備份與還原授權。"

  5. 輸入網路詳細資料、然後按*下一步*。

    1. 您要備份的磁碟區所在的叢集中的 IPspace ONTAP 。此IPspace的叢集間生命體必須具有傳出網際網路存取。

    2. 您也可以選擇是否要使用先前設定的AWS Private Link。 "如需使用AWS Private Link for Amazon S3的詳細資訊、請參閱"

      螢幕快照顯示將磁碟區從ONTAP 某個系統備份到AWS S3時的網路詳細資料。

  6. 輸入將用於預設原則的備份原則詳細資料、然後按一下「下一步」。您可以選取現有的原則、也可以在每個區段中輸入您的選擇來建立新原則:

    1. 輸入預設原則的名稱。您不需要變更名稱。

    2. 定義備份排程、並選擇要保留的備份數量。 "請參閱您可以選擇的現有原則清單"

    3. 您也可以選擇在使用ONTAP 更新版本的時、設定_DataLock和勒索軟體Protection _設定、保護備份免受刪除和勒索軟體攻擊。_DataLock_可保護您的備份檔案、避免遭到修改或刪除、而_勒索 軟體保護_會掃描您的備份檔案、尋找備份檔案中勒索軟體攻擊的證據。 "深入瞭解可用的DataLock設定"

    4. 您也可以選擇在使用ONTAP 更新版本的版本時、將備份分層至S3 Glacier或S3 Glacier Deep Archive儲存設備、經過一定天數之後、以進一步最佳化成本。 "深入瞭解如何使用歸檔層"

      顯示 BlueXP 備份與還原設定的螢幕擷取畫面、可供您選擇排程與備份保留。

      • 重要: * 如果您打算使用 DataLock 、則必須在啟動 BlueXP 備份與還原時、在第一個原則中啟用。

  7. 在「Select Volumes(選取磁碟區)」頁面中、使用定義的備份原則選取您要備份的磁碟區。如果您想要將不同的備份原則指派給特定磁碟區、可以建立其他原則、並於稍後將其套用至這些磁碟區。

    • 若要備份未來新增的所有現有磁碟區和任何磁碟區、請勾選「備份所有現有和未來的磁碟區…​」方塊。我們建議您使用此選項、以便備份所有的磁碟區、而且您永遠不需要記住為新的磁碟區啟用備份。

    • 若要僅備份現有磁碟區、請勾選標題列中的方塊()。

    • 若要備份個別磁碟區、請勾選每個磁碟區的方塊()。

      選取要備份之磁碟區的快照。

    • 如果此工作環境中有任何讀寫磁碟區的本機Snapshot複本符合您剛才為此工作環境所選取的備份排程標籤(例如每日、每週等)、則會顯示另一個提示:「Export existing Snapshot copies to object storage as Backup copies(匯出現有的Snapshot複本至物件儲存區做為備份複本)」。如果您想要將所有歷史Snapshot複製到物件儲存設備做為備份檔案、以確保為磁碟區提供最完整的保護、請勾選此方塊。

  8. 按一下 * 啟動備份 * 、然後 BlueXP 備份與還原就會開始為您的磁碟區進行初始備份。

結果

S3儲存區會自動建立在您輸入的S3存取金鑰和秘密金鑰所指示的服務帳戶中、並儲存備份檔案。Volume Backup Dashboard隨即顯示、以便您監控備份狀態。您也可以使用監控備份與還原工作的狀態 "「工作監控」面板"

接下來呢?