使用NetApp Backup and Recovery將Cloud Volumes ONTAP資料備份到 Amazon S3
建議變更
PDF
完成NetApp Backup and Recovery中的幾個步驟即可開始將磁碟區資料從Cloud Volumes ONTAP系統備份到 Amazon S3。
注意 若要切換至NetApp Backup and Recovery工作負載,請參閱"切換到不同的NetApp Backup and Recovery工作負載"。
驗證對您的配置的支持
在開始將磁碟區備份到 S3 之前,請閱讀以下要求以確保您具有受支援的配置。
下圖顯示了每個組件以及您需要在它們之間準備的連接。
或者,您也可以使用公用或私有連線連線到用於複製磁碟區的輔助ONTAP系統。
VPC 閘道端點必須已經存在於您的 VPC 中。 "了解有關網關端點的更多信息" 。
- 支援的 ONTAP 版本
-
最低版本為ONTAP 9.8;建議使用ONTAP 9.8P13 及更高版本。
- 使用客戶管理的密鑰進行資料加密所需的信息
-
您可以在啟動精靈中選擇自己的客戶管理金鑰進行資料加密,而不是使用預設的 Amazon S3 加密金鑰。在這種情況下,您需要設定加密管理金鑰。 "了解如何使用自己的密鑰" 。
驗證許可證要求
對於NetApp Backup and Recovery PAYGO 許可,可在 AWS Marketplace 中訂閱控制台,從而支援部署Cloud Volumes ONTAP和NetApp Backup and Recovery。你需要 "訂閱此NetApp Console"在啟用NetApp Backup and Recovery之前。 NetApp Backup and Recovery的計費透過此訂閱完成。
對於允許您備份Cloud Volumes ONTAP資料和本地ONTAP資料的年度合同,您需要從 "AWS Marketplace 頁面"進而 "將訂閱與您的 AWS 憑證關聯"。
對於允許您捆綁Cloud Volumes ONTAP和NetApp Backup and Recovery 的年度合同,您必須在建立Cloud Volumes ONTAP系統時設定年度合約。此選項不允許您備份本機資料。
對於NetApp Backup and RecoveryBYOL 許可,您需要NetApp提供的序號,以便您在許可證的有效期限和容量內使用該服務。"了解如何管理您的 BYOL 許可證"。當控制台代理程式和Cloud Volumes ONTAP系統部署在暗站時,您必須使用 BYOL 授權。
並且您需要有一個 AWS 帳戶,用於儲存備份所在的儲存空間。
準備控制台代理
控制台代理必須安裝在具有完全或有限網路存取權限(「標準」或「受限」模式)的 AWS 區域。 "有關詳細信息,請參閱NetApp Console部署模式" 。
驗證或新增控制台代理的權限
為控制台提供權限的 IAM 角色必須包含最新的 S3 權限 "控制台策略"。如果策略不包含所有這些權限,請參閱 "AWS 文件:編輯 IAM 原則"。
以下是該政策的具體權限:
Details
{
"Sid": "backupPolicy",
"Effect": "Allow",
"Action": [
"s3:DeleteBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions",
"s3:GetObject",
"s3:DeleteObject",
"s3:PutObject",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutBucketOwnershipControls"
"s3:PutBucketPublicAccessBlock",
"s3:PutEncryptionConfiguration",
"s3:GetObjectVersionTagging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetObjectVersionAcl",
"s3:PutObjectTagging",
"s3:DeleteObjectTagging",
"s3:GetObjectRetention",
"s3:DeleteObjectVersionTagging",
"s3:PutBucketObjectLockConfiguration",
"s3:DeleteObjectVersion",
"s3:GetObjectTagging",
"s3:PutBucketVersioning",
"s3:PutObjectVersionTagging",
"s3:GetBucketVersioning",
"s3:BypassGovernanceRetention",
"s3:PutObjectRetention",
"s3:GetObjectVersion",
"athena:StartQueryExecution",
"athena:GetQueryResults",
"athena:GetQueryExecution",
"glue:GetDatabase",
"glue:GetTable",
"glue:CreateTable",
"glue:CreateDatabase",
"glue:GetPartitions",
"glue:BatchCreatePartition",
"glue:BatchDeletePartition"
],
"Resource": [
"arn:aws:s3:::netapp-backup-*"
]
},
|
在 AWS 中國區域建立備份時,您需要將 IAM 政策中所有_Resource_部分下的 AWS 資源名稱「arn」從「aws」變更為「aws-cn」;例如 arn:aws-cn:s3:::netapp-backup-*。
|
- 所需的 AWS Cloud Volumes ONTAP權限
-
當您的Cloud Volumes ONTAP系統執行ONTAP 9.12.1 或更高版本的軟體時,為該系統提供權限的 IAM 角色必須包含一組新的 S3 權限,專門用於NetApp Backup and Recovery,從最新的 "Cloud Volumes ONTAP策略"。
如果您使用控制台版本 3.9.23 或更高版本建立了Cloud Volumes ONTAP系統,則這些權限應該已經是 IAM 角色的一部分。否則您將需要新增缺少的權限。
- 支援的 AWS 區域
-
所有 AWS 區域(包括 AWS GovCloud 區域)均支援NetApp Backup and Recovery 。
- 在不同的 AWS 帳戶中建立備份所需的設置
-
預設情況下,使用與Cloud Volumes ONTAP系統相同的帳戶建立備份。如果您想要使用不同的 AWS 帳戶進行備份,則必須:
-
驗證權限「s3:PutBucketPolicy」和「s3:PutBucketOwnershipControls」是否屬於為控制台代理提供權限的 IAM 角色的一部分。
-
在控制台中新增目標 AWS 帳戶憑證。 "了解如何操作" 。
-
在第二個帳戶的使用者憑證中新增下列權限:
"athena:StartQueryExecution", "athena:GetQueryResults", "athena:GetQueryExecution", "glue:GetDatabase", "glue:GetTable", "glue:CreateTable", "glue:CreateDatabase", "glue:GetPartitions", "glue:BatchCreatePartition", "glue:BatchDeletePartition"
-
- 建立您自己的儲存桶
-
預設情況下,該服務會為您建立儲存桶。如果您想使用自己的儲存桶,您可以在啟動備份啟動精靈之前建立它們,然後在精靈中選擇這些儲存桶。
驗證ONTAP複製卷的網路要求
如果您打算使用NetApp Backup and Recovery在輔助ONTAP系統上建立複製卷,請確保來源系統和目標系統符合下列網路需求。
本地ONTAP網路需求
-
如果叢集位於本機,則您應該從公司網路連接到雲端提供者中的虛擬網路。這通常是 VPN 連線。
-
ONTAP叢集必須滿足額外的子網路、連接埠、防火牆和叢集要求。
由於您可以複製到Cloud Volumes ONTAP或本機系統,因此請查看本機ONTAP系統的對等需求。 "查看ONTAP文件中的叢集對等前提條件" 。
Cloud Volumes ONTAP網路需求
-
實例的安全性群組必須包含所需的入站和出站規則:具體來說,ICMP 和連接埠 11104 和 11105 的規則。這些規則包含在預先定義的安全性群組中。
-
要在不同子網路中的兩個Cloud Volumes ONTAP系統之間複製數據,子網路必須一起路由(這是預設)。
在Cloud Volumes ONTAP上啟用NetApp Backup and Recovery
啟用NetApp Backup and Recovery非常簡單。根據您擁有的是現有Cloud Volumes ONTAP系統還是新系統,步驟略有不同。
在新系統上啟用NetApp Backup and Recovery
NetApp Backup and Recovery在系統精靈中預設為啟用。確保該選項保持啟用狀態。
看 "在 AWS 中啟動Cloud Volumes ONTAP"了解建立Cloud Volumes ONTAP系統的需求和詳細資訊。
-
從控制台*系統*頁面,選擇*新增系統*,選擇雲端提供者,然後選擇*新增*。選擇「建立Cloud Volumes ONTAP」。
-
選擇*Amazon Web Services*作為雲端提供者,然後選擇單節點或 HA 系統。
-
填寫詳細資料和憑證頁面。
-
在服務頁面上,保持服務啟用並選擇*繼續*。
-
完成精靈中的頁面以部署系統。
系統上已啟用NetApp Backup and Recovery 。在這些Cloud Volumes ONTAP系統上建立磁碟區後,啟動NetApp Backup and Recovery和"在您想要保護的每個磁碟區上啟動備份"。
在現有系統上啟用NetApp Backup and Recovery
隨時直接從控制台在現有系統上啟用NetApp Backup and Recovery。
-
從控制台*系統*頁面中,選擇叢集並選擇右側面板中備份和還原旁邊的*啟用*。
如果備份的 Amazon S3 目標在 系統 頁面上以叢集形式存在,則可以將該叢集拖曳到 Amazon S3 系統上以啟動設定精靈。
啟動ONTAP磁碟區上的備份
隨時直接從您的本機系統啟動備份。
嚮導將引導您完成以下主要步驟:
您還可以顯示 API 命令在審查步驟中,您可以複製程式碼來自動為未來的系統啟動備份。
啟動精靈
-
使用以下方式之一存取啟動備份和復原精靈:
-
從控制台*系統*頁面中,選擇系統,然後選擇右側面板中備份和還原旁邊的*啟用>備份磁碟區*。
如果備份的 AWS 目標作為系統存在於控制台 系統 頁面上,則可以將ONTAP叢集拖曳到 AWS 物件儲存上。
-
在備份和復原欄中選擇*卷*。從磁碟區選項卡中,選擇*操作*
圖示選項並選擇單一磁碟區(尚未啟用複製或備份到物件儲存)的*啟動備份*。
精靈的介紹頁面顯示保護選項,包括本機快照、複製和備份。如果您在此步驟中選擇了第二個選項,則會出現「定義備份策略」頁面,其中選擇一個磁碟區。
-
-
繼續以下選項:
-
如果您已經有控制台代理,那麼一切就緒了。只需選擇*下一步*。
-
如果您還沒有控制台代理,則會出現「新增控制台代理」選項。參考準備控制台代理。
-
選擇要備份的捲
選擇您想要保護的磁碟區。受保護的磁碟區是具有以下一項或多項的磁碟區:快照策略、複製策略、備份到物件策略。
您可以選擇保護FlexVol或FlexGroup磁碟區;但是,在啟動系統備份時不能選擇這些磁碟區的混合。了解如何"啟動系統中附加磁碟區的備份"(FlexVol或FlexGroup)在為初始磁碟區配置備份後。
|
|
|
如果您選擇的磁碟區已經套用了快照或複製策略,那麼您稍後選擇的策略將覆寫這些現有策略。
-
在「選擇卷」頁面中,選擇要保護的一個或多個磁碟區。
-
或者,過濾行以僅顯示具有特定卷類型、樣式等的捲,以便更輕鬆地進行選擇。
-
選擇第一個磁碟區後,您可以選擇所有FlexVol磁碟區(FlexGroup磁碟區一次只能選擇一個)。若要備份所有現有的FlexVol卷,請先選取一個卷,然後選取標題行中的框。
-
若要備份單一卷,請選取每個卷對應的複選框。
-
-
選擇“下一步”。
定義備份策略
定義備份策略涉及設定以下選項:
-
您是否需要一個或所有備份選項:本機快照、複製和備份到物件存儲
-
架構
-
本機快照策略
-
複製目標和策略
如果您選擇的磁碟區具有與您在此步驟中選擇的策略不同的快照和複製策略,則現有策略將被覆寫。 -
備份到物件儲存資訊(提供者、加密、網路、備份策略和匯出選項)。
-
在「定義備份策略」頁面中,選擇以下一項或全部。預設情況下,所有三個都被選中:
-
本機快照:如果您正在執行複製或備份到物件存儲,則必須建立本機快照。
-
複製:在另一個ONTAP儲存系統上建立複製磁碟區。
-
備份:將磁碟區備份到物件儲存。
-
-
架構:如果您選擇複製和備份,請選擇下列資訊流之一:
-
級聯:資訊從主儲存系統流向輔助儲存系統,再從輔助儲存系統流向物件儲存。
-
扇出:資訊從主儲存系統流向輔助儲存系統,再從主儲存系統流向物件儲存。
有關這些架構的詳細信息,請參閱"規劃您的保育之旅"。
-
-
本機快照:選擇現有的快照原則或建立新的快照策略。
若要在啟動快照之前建立自訂策略,請參閱"創建策略"。 若要建立策略,請選擇「建立新策略」並執行下列操作:
-
輸入策略的名稱。
-
選擇最多五個時間表,通常頻率不同。
-
選擇“創建”。
-
-
複製:設定以下選項:
-
複製目標:選擇目標系統和 SVM。或者,選擇將新增至複製磁碟區名稱的目標聚合或聚合以及前綴或後綴。
-
複製策略:選擇現有的複製策略或建立一個。
若要建立自訂策略,請參閱"創建策略"。 若要建立策略,請選擇「建立新策略」並執行下列操作:
-
輸入策略的名稱。
-
選擇最多五個時間表,通常頻率不同。
-
選擇“創建”。
-
-
-
備份到物件:如果您選擇了*備份*,請設定以下選項:
-
提供者:選擇*Amazon Web Services*。
-
提供者設定:輸入提供者詳細資料和儲存備份的區域。
輸入用於儲存備份的 AWS 帳戶。這可以是與Cloud Volumes ONTAP系統所在的帳戶不同的帳戶。
如果您想要使用不同的 AWS 帳戶進行備份,則必須在控制台中新增目標 AWS 帳戶憑證,並將權限「s3:PutBucketPolicy」和「s3:PutBucketOwnershipControls」新增至為控制台提供權限的 IAM 角色。
選擇儲存備份的區域。這可能與Cloud Volumes ONTAP系統所在的區域不同。
建立新儲存桶或選擇現有儲存桶。
-
加密金鑰:如果您建立了新的儲存桶,請輸入提供者提供給您的加密金鑰資訊。選擇是否使用預設 AWS 加密金鑰,或從您的 AWS 帳戶中選擇您自己的客戶管理金鑰來管理資料加密。("了解如何使用您自己的加密金鑰" )。
如果您選擇使用自己的客戶管理金鑰,請輸入金鑰保管庫和金鑰資訊。
如果您選擇了現有的儲存桶,加密資訊已經可用,因此您現在無需輸入。 -
備份策略:選擇現有的備份到物件儲存策略或建立一個。
若要在啟動備份之前建立自訂策略,請參閱"創建策略"。 若要建立策略,請選擇「建立新策略」並執行下列操作:
-
輸入策略的名稱。
-
選擇最多五個時間表,通常頻率不同。
-
對於備份到物件策略,設定 DataLock 和 Ransomware Resilience 設定。有關 DataLock 和勒索軟體恢復的詳細信息,請參閱"備份到對象策略設置"。
-
選擇“創建”。
-
-
將現有的 Snapshot 副本匯出到物件儲存作為備份副本:如果此系統中磁碟區的任何本機 Snapshot 副本與您剛剛為此系統選擇的備份計畫標籤(例如,每日、每週等)相匹配,則會顯示此附加提示。選取此方塊可將所有歷史快照複製到物件儲存作為備份文件,以確保對您的磁碟區進行最全面的保護。
-
-
選擇“下一步”。
檢查您的選擇
這是審查您的選擇並在必要時進行調整的機會。
-
在「審核」頁面中,審核您的選擇。
-
(可選)選取核取方塊*自動將快照原則標籤與複製和備份策略標籤同步*。這將建立具有與複製和備份策略中的標籤相符的標籤的快照。
-
選擇*啟動備份*。
NetApp Backup and Recovery開始對您的磁碟區進行初始備份。複製捲和備份檔案的基線傳輸包括主儲存系統資料的完整副本。後續傳輸包含 Snapshot 副本中包含的主儲存系統資料的差異副本。
在目標叢集中建立一個複製卷,該卷將與主儲存卷同步。
在您輸入的 S3 存取金鑰和金鑰指示的服務帳戶中建立一個 S3 儲存桶,並將備份檔案儲存在那裡。
顯示磁碟區備份儀表板,以便您可以監控備份的狀態。
您也可以使用"作業監控頁面"。
顯示 API 命令
您可能想要顯示並選擇性地複製啟動備份和還原精靈中使用的 API 命令。您可能希望這樣做以便在未來的系統中自動啟動備份。
-
從啟動備份和復原精靈中,選擇*查看 API 請求*。
-
若要將指令複製到剪貼簿,請選擇*複製*圖示。