本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

將內部部署ONTAP 的不全資料備份到Amazon S3

請完成幾個步驟、開始將內部部署ONTAP 的資訊系統中的資料備份到Amazon S3儲存設備。

請注意、「內部部署ONTAP 的功能不只是指FAS 包含了功能不全的功能、AFF 包括了功能不全的功能、包括了功能不全的功能。ONTAP Select

快速入門

請依照下列步驟快速入門。每個步驟的詳細資料請參閱本主題的下列各節。

您可以選擇將內部部署ONTAP 的更新叢集直接連接至AWS S3(透過公用網際網路)、或是使用VPN或AWS Direct Connect、然後透過私有VPC端點介面將流量路由傳送至AWS S3。

如果您已在AWS VPC中部署Connector、您就能輕鬆完成所有設定。如果沒有、您需要在AWS中建立連接器、以便將ONTAP 支援的資料備份到AWS S3儲存設備。您也需要自訂Connector的網路設定、以便連接至AWS S3。

在ONTAP Cloud Manager中探索您的叢集、確認叢集符合最低需求、並自訂網路設定、讓叢集可以連線至AWS S3。

設定Connector的權限、以建立及管理S3儲存區。您也需要設定內部部署ONTAP 的叢集權限、以便能夠讀取及寫入S3儲存區的資料。

或者、您可以設定自己的自訂管理金鑰來進行資料加密、而非使用預設的Amazon S3加密金鑰。 瞭解如何讓AWS S3環境準備好接收ONTAP 還原備份。

選取工作環境、然後按一下右窗格中「Backup & Restore(備份與還原)」服務旁的*「Enable(啟用)」>「Backup Volumes(備份磁碟區)」*。然後依照設定精靈定義預設的備份原則和要保留的備份數目、並選取您要備份的磁碟區。

連線選項的網路圖表

從內部部署ONTAP 的支援系統設定備份到AWS S3時、您可以使用兩種連線方法。

  • 公共連線:使用ONTAP 公共S3端點、直接將整個系統連接至AWS S3。

  • 私有連線:使用VPN或AWS Direct Connect、並透過使用私有IP位址的VPC端點介面路由流量。

下圖顯示*公用連線*方法、以及元件之間需要準備的連線:

顯示Cloud Backup如何透過公共連線與來源系統上的磁碟區和備份檔案所在的目的地儲存設備進行通訊的圖表。

下圖顯示*私有連線*方法、以及元件之間需要準備的連線:

顯示Cloud Backup如何透過私有連線與來源系統上的磁碟區和備份檔案所在的目的地儲存設備進行通訊的圖表。

準備好連接器

Cloud Manager Connector是Cloud Manager功能的主要軟體。需要連接器來備份及還原ONTAP 您的不必要資料。

建立或切換連接器

如果您已在AWS VPC中部署了Connector、您就能輕鬆完成所有設定。如果沒有、您需要在AWS中建立新的Connector、才能將ONTAP 支援的資料備份到AWS S3儲存設備。您無法使用內部部署或部署於其他雲端供應商的Connector。

連接器網路需求

  • 確保安裝 Connector 的網路啟用下列連線:

    • 透過連接埠443連線至Cloud Backup Service 物件儲存區的HTTPS連線(請參閱端點清單) "請按這裡"

    • 透過連接埠443連線至ONTAP 您的SURF叢 集管理LIF的HTTPS連線

  • "確認Connector具有管理S3儲存區的權限"

  • 如果ONTAP 您有從您的叢集到VPC的直接連線或VPN連線、而且您想要連接器和S3之間的通訊保持在AWS內部網路中、則必須啟用連接到S3的VPC端點介面。 瞭解如何設定VPC端點介面。

準備ONTAP 您的叢集

在ONTAP Cloud Manager中探索您的叢集

您必須先在ONTAP Cloud Manager中探索內部部署的叢集、才能開始備份Volume資料。您必須知道叢集管理IP位址和管理使用者帳戶的密碼、才能新增叢集。

需求 ONTAP

  • 最低ONTAP 版本為《》(更新ONTAP 版本);建議使用《》(更新版本)。

  • SnapMirror授權(包含在優質產品組合或資料保護產品組合中)。

    *附註:*使用Cloud Backup時不需要「混合式雲端產品組合」。

    瞭解如何操作 "管理叢集授權"

  • 時間和時區設定正確。

    瞭解如何操作 "設定叢集時間"

叢集網路連線需求

  • 叢集需要連接器與叢集管理LIF之間的傳入HTTPS連線。

  • 裝載您要備份之磁碟區的 ONTAP 每個節點都需要叢集間 LIF 。這些叢集間生命體必須能夠存取物件存放區。

    叢集會透過連接埠443、從叢集間的LIF連線到Amazon S3儲存設備、以進行備份與還原作業。從物件儲存設備中讀取和寫入資料、物件儲存設備永遠不會啟動、只是回應而已。ONTAP

  • 叢集間生命體必須與_IPspacer_建立關聯、ONTAP 以便連接物件儲存設備。 "深入瞭解 IPspaces"

    設定Cloud Backup時、系統會提示您輸入要使用的IPspace。您應該選擇這些生命區相關的IPspace。這可能是您建立的「預設」 IPspace 或自訂 IPspace 。

    如果您使用的IPspace與「預設」不同、則可能需要建立靜態路由才能存取物件儲存設備。

    IPspace內的所有叢集間生命體都必須擁有物件存放區的存取權。如果您無法針對目前的IPspace進行設定、則必須建立專屬的IPspace、讓所有叢集間生命週期都能存取物件存放區。

  • DNS伺服器必須已針對磁碟區所在的儲存VM進行設定。瞭解如何操作 "設定SVM的DNS服務"

  • 如有必要、請更新防火牆規則、以便透過ONTAP 連接埠443、以及透過連接埠53(TCP/IP)、從儲存VM到DNS伺服器的名稱解析流量、從物件儲存設備進行Cloud Backup連線。

  • 如果您使用AWS中的私有VPC介面端點進行S3連線、則為了使用https/443、您必須將S3端點憑證載入ONTAP 到叢集。 瞭解如何設定VPC端點介面並載入S3憑證。

  • "確保ONTAP 您的叢集擁有存取S3儲存區的權限"

驗證授權需求

  • 若要為叢集啟動Cloud Backup、您必須先訂閱AWS的隨用隨付(PAYGO)Cloud Manager Marketplace產品、或向NetApp購買及啟動Cloud Backup BYOL授權。這些授權適用於您的帳戶、可在多個系統上使用。

  • 您需要訂閱AWS、以取得備份所在的物件儲存空間。

    您可以在所有地區、從內部部署系統建立備份到Amazon S3 "支援的地方 Cloud Volumes ONTAP";包括AWS GovCloud區域。您可以指定在設定服務時儲存備份的區域。

準備AWS環境

設定S3權限

您需要設定兩組權限:

  • 連接器建立及管理S3儲存區的權限。

  • 內部部署ONTAP 的內部資源集區的權限、讓IT能夠讀取資料並將資料寫入S3儲存區。

步驟
  1. 確認下列S3權限(從最新版本開始) "Cloud Manager 原則")是IAM角色的一部分、可為Connector提供權限。

    {
              "Sid": "backupPolicy",
              "Effect": "Allow",
              "Action": [
                  "s3:DeleteBucket",
                  "s3:GetLifecycleConfiguration",
                  "s3:PutLifecycleConfiguration",
                  "s3:PutBucketTagging",
                  "s3:ListBucketVersions",
                  "s3:GetObject",
                  "s3:DeleteObject",
                  "s3:PutObject",
                  "s3:ListBucket",
                  "s3:ListAllMyBuckets",
                  "s3:GetBucketTagging",
                  "s3:GetBucketLocation",
                  "s3:GetBucketPolicyStatus",
                  "s3:GetBucketPublicAccessBlock",
                  "s3:GetBucketAcl",
                  "s3:GetBucketPolicy",
                  "s3:PutBucketPublicAccessBlock",
                  "s3:PutEncryptionConfiguration",
                  "athena:StartQueryExecution",
                  "athena:GetQueryResults",
                  "athena:GetQueryExecution",
                  "glue:GetDatabase",
                  "glue:GetTable",
                  "glue:CreateTable",
                  "glue:CreateDatabase",
                  "glue:GetPartitions",
                  "glue:BatchCreatePartition",
                  "glue:BatchDeletePartition"
              ],
              "Resource": [
                  "arn:aws:s3:::netapp-backup-*"
              ]
          },

    如果您使用3.9.15版或更新版本部署Connector、則這些權限應已成為IAM角色的一部分。否則您必須新增遺失的權限。特別是「Athena」和「黏著」權限、因為它們是搜尋與還原所需的權限。請參閱 "AWS文件:編輯IAM原則"

  2. 啟動服務時、備份精靈會提示您輸入存取金鑰和秘密金鑰。這些認證資料會傳遞ONTAP 給整個叢集、ONTAP 以便讓支援中心能夠將資料備份並還原至S3儲存區。因此、您需要建立具有下列權限的IAM使用者:

    {
        "Version": "2012-10-17",
         "Statement": [
            {
               "Action": [
                    "s3:GetObject",
                    "s3:PutObject",
                    "s3:DeleteObject",
                    "s3:ListBucket",
                    "s3:ListAllMyBuckets",
                    "s3:GetBucketLocation",
                    "s3:PutEncryptionConfiguration"
                ],
                "Resource": "arn:aws:s3:::netapp-backup-*",
                "Effect": "Allow",
                "Sid": "backupPolicy"
            }
        ]
    }

設定客戶管理的AWS金鑰以進行資料加密

如果您想要使用預設的Amazon S3加密金鑰來加密在內部叢集和S3儲存區之間傳輸的資料、那麼您就會被設定、因為預設安裝會使用該類型的加密。

如果您想要使用自己的客戶管理金鑰進行資料加密、而非使用預設金鑰、則必須先設定加密管理金鑰、才能啟動Cloud Backup精靈。 "瞭解如何使用您自己的金鑰"

使用VPC端點介面設定系統的私有連線

如果您要使用標準的公用網際網路連線、則所有權限都是由Connector設定、您無需執行其他任何操作。這種連線類型顯示於 "第一個圖表"

如果您想要透過網際網路從內部資料中心連線至VPC、可以在備份啟動精靈中選取AWS Private Link連線。如果您打算使用VPN或AWS Direct Connect、透過使用私有IP位址的VPC端點介面來連接內部部署系統、就必須使用此功能。這種連線類型顯示於 "第二個圖表"

  1. 使用Amazon VPC主控台或命令列建立介面端點組態。 "如需使用AWS Private Link for Amazon S3的詳細資訊、請參閱"

  2. 修改與Cloud Manager Connector相關的安全群組組組態。您必須將原則變更為「Custom(自訂)」(從「Full Access(完整存取)」)、而且您必須如此 從備份原則新增S3權限 如前所示。

    與Connector相關聯的AWS安全性群組快照。

    如果您使用連接埠80(HTTP)來與私有端點通訊、就會設定好。您現在可以在叢集上啟用Cloud Backup。

    如果您使用連接埠443(HTTPS)來與私有端點通訊、則必須從VPC S3端點複製憑證、並將其新增ONTAP 至您的故障叢集、如接下來的4個步驟所示。

  3. 從AWS主控台取得端點的DNS名稱。

    AWS主控台VPC端點的DNS名稱快照。

  4. 從VPC S3端點取得憑證。您的做法是 "登入裝載Cloud Manager Connector的VM" 並執行下列命令。輸入端點的DNS名稱時、請在開頭加入「pucket」、取代「*」:

    [ec2-user@ip-10-160-4-68 ~]$ openssl s_client -connect bucket.vpce-0ff5c15df7e00fbab-yxs7lt8v.s3.us-west-2.vpce.amazonaws.com:443 -showcerts
  5. 從這個命令的輸出中、複製S3憑證的資料(包括BEGIN / END憑證標記之間的所有資料):

    Certificate chain
    0 s:/CN=s3.us-west-2.amazonaws.com`
       i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
    -----BEGIN CERTIFICATE-----
    MIIM6zCCC9OgAwIBAgIQA7MGJ4FaDBR8uL0KR3oltTANBgkqhkiG9w0BAQsFADBG
    …
    …
    GqvbOz/oO2NWLLFCqI+xmkLcMiPrZy+/6Af+HH2mLCM4EsI2b+IpBmPkriWnnxo=
    -----END CERTIFICATE-----
  6. 登入ONTAP 叢集式CLI、然後套用您使用下列命令複製的憑證(替代您自己的儲存VM名稱):

    cluster1::> security certificate install -vserver cluster1 -type server-ca
    Please enter Certificate: Press <Enter> when done

啟用雲端備份

可隨時直接從內部部署工作環境啟用雲端備份。

步驟
  1. 從「畫版」中選取工作環境、然後按一下右窗格中「備份與還原」服務旁的*「啟用」>「備份磁碟區」*。

    如果用於備份的Amazon S3目的地是在Canvas上的工作環境、您可以將叢集拖曳至Amazon S3工作環境、以啟動設定精靈。

    螢幕擷取畫面會顯示「備份與安培」;「啟用還原」按鈕、可在您選取工作環境之後使用。

  2. 選取Amazon Web Services做為您的供應商、然後按一下*「下一步*」。

  3. 輸入供應商詳細資料、然後按*下一步*。

    1. 用來儲存備份的AWS帳戶、AWS存取金鑰和秘密金鑰。

      存取金鑰和秘密金鑰適用於您所建立的IAM使用者、以便ONTAP 讓該叢集能夠存取S3儲存區。

    2. 儲存備份的AWS區域。

    3. 無論您是使用預設的Amazon S3加密金鑰、還是從AWS帳戶選擇自己的客戶管理金鑰、都能管理資料的加密。 ("瞭解如何使用您自己的金鑰")。

      快照顯示將磁碟區從ONTAP 某個系統備份到AWS S3時、雲端供應商的詳細資料。

  4. 如果您的帳戶沒有現有的Cloud Backup授權、此時系統會提示您選擇要使用的收費方法類型。您可以訂閱AWS提供的隨用隨付(PAYGO)Cloud Manager Marketplace服務(或如果您有多個訂閱、則需要選擇一個)、或向NetApp購買並啟動Cloud Backup BYOL授權。 "瞭解如何設定Cloud Backup授權。"

  5. 輸入網路詳細資料、然後按*下一步*。

    1. 您要備份的磁碟區所在的叢集中的 IPspace ONTAP 。此IPspace的叢集間生命體必須具有傳出網際網路存取。

    2. 您也可以選擇是否要使用先前設定的AWS Private Link。 "如需使用AWS Private Link for Amazon S3的詳細資訊、請參閱"

      螢幕快照顯示將磁碟區從ONTAP 某個系統備份到AWS S3時的網路詳細資料。

  6. 輸入預設的備份原則詳細資料、然後按一下「下一步」。

    1. 定義備份排程、並選擇要保留的備份數量。 "請參閱您可以選擇的現有原則清單"

    2. 若使用ONTAP 的是版本不含更新版本的版本、您可以選擇在數天後將備份分層至S3 Glacier或S3 Glacier Deep Archive儲存設備、以進一步最佳化成本。 "深入瞭解如何使用歸檔層"

      顯示Cloud Backup設定的快照、您可在其中選擇排程和備份保留。

  7. 在「Select Volumes(選取磁碟區)」頁面中、使用預設備份原則選取您要備份的磁碟區。如果您想要將不同的備份原則指派給特定磁碟區、可以建立其他原則、並於稍後將其套用至這些磁碟區。

    • 若要備份所有磁碟區、請勾選標題列中的方塊()。

    • 若要備份個別磁碟區、請勾選每個磁碟區的方塊()。

      選取要備份之磁碟區的快照。

    如果您希望未來新增的所有磁碟區都啟用備份、只要勾選「自動備份未來磁碟區…​」核取方塊即可。如果停用此設定、您將需要手動啟用未來磁碟區的備份。

  8. 按一下「啟動備份」、「雲端備份」就會開始進行磁碟區的初始備份。

Cloud Backup會開始對每個選取的磁碟區進行初始備份、並顯示Volume Backup Dashboard、以便您監控備份狀態。

您可以 "開始和停止磁碟區備份、或變更備份排程"。您也可以 "從備份檔案還原整個磁碟區或個別檔案" 到Cloud Volumes ONTAP AWS的某個系統、或內部部署ONTAP 的某個系統。