本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

雲端備份原則組態設定

貢獻者

本文件說明ONTAP 使用時、內部作業系統及Cloud Volumes ONTAP 支援系統的備份原則組態設定Cloud Backup Service 。

備份排程

Cloud Backup可讓您針對每個工作環境(叢集)建立多個備份原則、並提供獨特的排程。您可以將不同的備份原則指派給具有不同還原點目標(RPO)的磁碟區。

每個備份原則都會提供一個區段、說明您可以套用至備份檔案的_標籤與保留_。

建立備份原則時的備份排程設定快照。

排程分為兩部分:「標籤」和「保留值」:

  • *標籤*定義從磁碟區建立(或更新)備份檔案的頻率。您可以選擇下列類型的標籤:

    • 您可以選擇*每小時*、每日每週每月、 和*年*時間範圍。

    • 您可以選擇其中一個系統定義的原則、以提供3個月、1年或7年的備份與保留。

    • 如果您已在叢集上使用ONTAP 支援系統管理程式或ONTAP CLI建立自訂備份保護原則、則可以選取其中一個原則。

  • 保留」值會定義每個標籤(時間範圍)保留的備份檔案數量。一旦類別或時間間隔達到最大備份數、就會移除較舊的備份、讓您永遠擁有最新的備份。這也能節省儲存成本、因為過時的備份不會繼續佔用雲端空間。

例如、假設您建立的備份原則會建立7 *每週*和12 *每月*備份:

  • 每週和每月都會為磁碟區建立備份檔案

  • 在第8週、第一週備份會移除、並新增第8週的每週備份(每週最多保留7次備份)。

  • 在第13個月、第一個每月備份就會移除、並新增第13個月的每月備份(最多保留12個月備份)。

請注意、每年備份會在傳輸至物件儲存設備後、自動從來源系統刪除。此預設行為可以變更 "在「進階設定」頁面中" 適用於工作環境。

DataLock和勒索軟體保護

Cloud Backup支援DataLock和勒索軟體保護功能、可用於磁碟區備份。這些功能可讓您鎖定備份檔案、並加以掃描、以偵測備份檔案上可能的勒索軟體。這是可選的設定、您可以在備份原則中定義、以便為叢集的磁碟區備份提供額外保護。

這兩項功能都能保護您的備份檔案、因此當勒索軟體攻擊來源資料時、您永遠都能擁有有效的備份檔案來還原資料。此外、也有助於滿足某些法規要求、在某些情況下、備份必須鎖定並保留一段時間。啟用DataLock和勒索軟體保護後、隨附於Cloud Backup啟動的雲端儲存區將會啟用物件鎖定和物件版本管理功能。

此功能無法為來源磁碟區提供保護、只能用於這些來源磁碟區的備份。使用NetApp "不再是不一樣的Cloud Insights Cloud Secure"或部分 "提供來自VMware的反勒索軟體保護ONTAP" 保護來源磁碟區。

注意
  • 如果您計畫使用DataLock和勒索軟體保護、則在建立第一個備份原則並啟動該叢集的Cloud Backup時、必須啟用此功能。

  • 資料鎖定和勒索軟體保護功能一旦設定完成、就無法針對叢集停用。請勿在叢集上啟用此功能以試用。

什麼是DataLock

DataLock可保護您的備份檔案、避免在一段時間內遭到修改或刪除。此功能使用物件儲存供應商的技術來「物件鎖定」。備份檔案被鎖定(並保留)的期間稱為DataLock保留期間。它是根據您定義的備份原則排程和保留設定、加上14天的緩衝區。任何少於30天的DataLock保留原則、最短四捨五入至30天。

請注意、舊備份會在DataLock保留期間到期後刪除、而非在備份原則保留期間到期後刪除。

讓我們來看看幾個例子、瞭解這項功能的運作方式:

  • 如果您建立的每月備份排程有12個保留項目、則每個備份都會在刪除之前鎖定12個月(加上14天)。

  • 如果您建立的備份原則每天建立30個、每週7個、每月12個備份、則會有三個鎖定的保留期間。「30天」備份將保留44天(30天加上14天緩衝)、「7週」備份保留9週(7週加上14天)、「12個月」備份則保留12個月(加上14天)。

  • 如果您建立24個保留項目的每小時備份排程、您可能會認為備份會鎖定24小時。不過、由於這低於30天的最少時間、因此每個備份都會被鎖定並保留44天(30天加上14天的緩衝)。

    您可以在最後一次看到、如果每個備份檔案被鎖定44天、您將會有更多的備份檔案、而不是通常以每小時24小時保留原則來保留。通常、當Cloud Backup建立第25個備份檔案時、它會刪除最舊的備份、以將保留上限維持在24(根據原則)。在這種情況下、DataLock保留設定會覆寫備份原則的原則保留設定。這可能會影響您的儲存成本、因為備份檔案將會儲存在物件存放區中一段較長的時間。

什麼是勒索軟體保護

勒索軟體保護功能會掃描您的備份檔案、尋找勒索軟體攻擊的證據。勒索軟體攻擊的偵測是使用Checksum比較來執行。如果在備份檔案中識別出潛在的勒索軟體、而在先前的備份檔案中、則新的備份檔案會被最新的備份檔案取代、而該檔案不會顯示任何勒索軟體攻擊的跡象。(被識別為遭受勒索軟體攻擊的檔案、在被取代1天後即會刪除。)

勒索軟體掃描會在備份與還原程序的3點執行:

  • 建立備份檔案時

    第一次寫入雲端儲存設備時、並不會對備份檔案執行掃描、但會在寫入*下一次*備份檔案時執行掃描。例如、如果您已設定星期二的每週備份排程、則會在星期二14建立備份。然後在星期二建立另一個備份。此時勒索軟體掃描會在備份檔案上執行、從14開始執行。

  • 當您嘗試從備份檔案還原資料時

    您可以選擇在從備份檔案還原資料之前執行掃描、或跳過此掃描。

  • 手動

    您可以隨時執行隨需勒索軟體保護掃描、以驗證特定備份檔案的健全狀況。如果您在特定磁碟區上發生勒索軟體問題、而且想要驗證該磁碟區的備份是否不受影響、這項功能就很實用。

注意 勒索軟體掃描需要將備份檔案下載到您的BlueXP環境(安裝Connector的環境)。如果您已在內部部署Connector、雲端供應商可能會產生額外的出口成本。因此、我們建議您將Connector部署在雲端、而且它與儲存備份的儲存庫位於同一個區域。

DataLock和勒索軟體保護設定

每個備份原則都會提供一個區段、說明您可以套用至備份檔案的_DataLock和勒索軟體Protection。

建立備份原則時、DataLock和勒索軟體保護設定的快照。

您可以針對每個備份原則從下列設定中選擇:

  • 無(預設)

    DataLock保護和勒索軟體保護已停用。

  • 治理(StorageGRID 不適用於此產品)

    DataLock設定為_Governance模式、其中使用者具有特定權限("請參閱以下內容")可在保留期間覆寫或刪除備份檔案。已啟用勒索軟體保護。

  • 法規遵循

    DataLock設為_Compliance模式、在保留期間內、任何使用者都無法覆寫或刪除備份檔案。已啟用勒索軟體保護。

附註 「支援物件鎖定」功能提供單一DataLock模式、相當於StorageGRID 「符合法規」模式。不支援等效的治理模式、因此沒有使用者能夠略過保留設定、覆寫受保護的備份、或刪除鎖定的備份。

支援的工作環境與物件儲存供應商

在下列公有雲和私有雲供應商中使用物件儲存設備時、您可以從ONTAP 下列工作環境啟用下列功能中的「資料鎖定」和「勒索軟體」保護功能。未來版本將會新增其他雲端供應商。

來源工作環境 備份檔案目的地ifdef::AWS []

AWS 中的 Cloud Volumes ONTAP

Amazon S3 endif..:AWS:ifdef::azure[] endif::azure[] ifdef::GCP [] endiff:GCP []

內部部署 ONTAP 的作業系統

ifdef::AWS:Amazon S3 endif::AWS [] ifdef::azure[] endif::azure[] ifdef::Gcp[] endif::GCP[] NetApp StorageGRID Rside

需求

  • 您的叢集必須執行ONTAP 版本不只是功能不穩定的版本

  • 您必須使用的是BlueXP 3.9.21或更新版本

  • 對於AWS:

    • 連接器必須部署在雲端

    • 下列S3權限必須是為Connector提供權限的IAM角色的一部分。它們位於資源「arn:AWS:S3::::NetApp備份-*」的「backupS3Policy」區段:

      • S3:GetObjectVersion標記

      • S3:GetBucketObjectLockConfiguration

      • S3:GetObjectVerionAcl

      • S3:PuttObjectTagging

      • S3:刪除物件

      • S3:刪除ObjectTagging

      • S3:GetObjectRetention

      • S3:刪除ObjectVersion標記

      • S3:PuttObject

      • S3:GetObject

      • S3:PuttBucketObjectLockConfiguration

      • S3:Get生命 週期組態

      • S3:listBucketByTags

      • S3:GetBucketting

      • S3:刪除ObjectVersion

      • S3:listBucketVerions

      • S3:清單庫

      • S3:PuttBucketting

      • S3:GetObjectTagging

      • S3:PuttBucketVersion

      • S3:PuttObjectVersion標記

      • S3:GetBucketVersion

      • S3:GetBucketAcl

      • S3:BypassGovernanceRetention

      • S3:PuttObjectRetention

      • S3:GetBucketLocation

      • S3:GetObjectVersion

        「S3:BypassGovernanceRetention」僅在您希望管理員使用者能夠覆寫/刪除使用「管理模式」鎖定的備份檔案時才必須新增。

  • 適用於下列項目:StorageGRID

    • 連接器必須部署在內部部署環境中(可安裝在有或沒有網際網路存取的站台中)

    • 若要完全支援DataLock功能、需要使用支援11.6.0.3及更高版本StorageGRID

限制

  • 如果您已在備份原則中設定歸檔儲存設備、則無法使用DataLock和勒索軟體保護功能。

  • 您在啟動Cloud Backup時所選取的DataLock選項(監管或法規遵循)、必須用於該叢集的所有備份原則。您無法在單一叢集上同時使用「治理」和「法規遵循」模式鎖定。

  • 如果啟用DataLock、所有Volume備份都會鎖定。您無法混合使用單一叢集的鎖定和非鎖定磁碟區備份。

  • DataLock和勒索軟體保護功能適用於使用備份原則(啟用DataLock和勒索軟體保護)的新Volume備份。雲端備份已啟動之後、您就無法啟用此功能。

歸檔儲存設定

使用特定雲端儲存設備時、您可以在一定天數後、將舊的備份檔案移至較便宜的儲存類別/存取層。請注意、如果您已啟用DataLock、則無法使用歸檔儲存設備。

檔案層中的資料無法在需要時立即存取、而且需要較高的擷取成本、因此您必須考慮從歸檔備份檔案還原資料的頻率。

每個備份原則都會提供一節_Archival Policy_、您可以套用至備份檔案。

建立備份原則時的封存原則設定快照。

  • 在AWS中、備份是從_Standard_儲存類別開始、30天後轉換至_Standard-in頻繁 存取_儲存類別。

    如果您的叢集使用ONTAP 的是版本號為S還原9.10.1或更新版本、您可以選擇在特定天數後、將舊版備份分層至_S3 Glacier或_S3 Glacier Deep Archive_儲存設備、以進一步最佳化成本。 "深入瞭解AWS歸檔儲存設備"

    請注意、如果您在啟動Cloud Backup時、在第一個備份原則中選擇「S3 Glacier」或「_S3 Glacier Deep Archive」、則該層將是該叢集未來備份原則唯一可用的歸檔層。如果您在第一次備份原則中選取「無歸檔層」、那麼_S3 Glacier將是您未來政策的唯一歸檔選項。

  • 在Azure中、備份會與_cool存取層建立關聯。

    如果您的叢集使用ONTAP 的是版本號為S還原9.10.1或更新版本、您可以選擇在特定天數後、將舊版備份分層至_Azure Archive_儲存設備、以進一步最佳化成本。 "深入瞭解Azure歸檔儲存設備"

  • 在GCP中、預設會將備份與_Standard_儲存類別相關聯。

    如果您的內部叢集使用ONTAP 的是更新版本的版本、您可以選擇在特定天數後、將舊版備份分層至Cloud Backup UI中的_Archive_儲存設備、以進一步最佳化成本。(Cloud Volumes ONTAP 此功能目前不適用於不支援的系統。) "深入瞭解Google歸檔儲存設備"

  • 在本產品中、備份會與_Standard_儲存類別相關聯。StorageGRID

    目前沒有可用的歸檔層。