使用NetApp備份和還原將本地ONTAP資料備份到 Amazon S3
建議變更
PDF
完成NetApp備份與復原中的幾個步驟,開始將磁碟區資料從本機ONTAP系統備份到二級儲存系統和 Amazon S3 雲端儲存。
|
「本地ONTAP系統」包括FAS、 AFF和ONTAP Select系統。 |
注意 若要切換至NetApp備份與復原工作負載,請參閱"切換到不同的NetApp備份與復原工作負載"。
識別連接方法
選擇在配置從本機ONTAP系統到 AWS S3 的備份時要使用的兩種連接方法中的哪一種。
-
公用連線 - 使用公用 S3 端點將ONTAP系統直接連接到 AWS S3。
-
私人連線 - 使用 VPN 或 AWS Direct Connect 並透過使用私人 IP 位址的 VPC Endpoint 介面路由流量。
或者,您也可以使用公用或私有連線連線到用於複製磁碟區的輔助ONTAP系統。
下圖顯示了*公共連接*方法以及您需要在組件之間準備的連接。您可以使用在您的場所安裝的控制台代理,或在 AWS VPC 中部署的控制台代理。
下圖顯示了*私有連接*方法以及您需要在元件之間準備的連接。您可以使用在您的場所安裝的控制台代理,或在 AWS VPC 中部署的控制台代理。
準備控制台代理
控制台代理程式是NetApp控制台功能的主要軟體。需要控制台代理程式來備份和還原您的ONTAP資料。
建立或切換控制台代理
如果您已經在 AWS VPC 或您的場所部署了控制台代理,那麼一切就緒了。
如果沒有,那麼您需要在其中一個位置建立控制台代理,以將ONTAP資料備份到 AWS S3 儲存。您不能使用部署在其他雲端提供者的控制台代理程式。
-
當控制台代理部署在雲端時(而不是安裝在您的場所中), NetApp備份和還原在 GovCloud 區域受支援。此外,您必須從 AWS Marketplace 部署控制台代理程式。您無法從NetApp Console SaaS 網站在政府區域部署控制台代理程式。
準備控制台代理網路要求
確保符合以下網路要求:
-
確保安裝控制台代理程式的網路啟用以下連線:
-
透過連接埠 443 建立到NetApp Backup and Recovery 以及 S3 物件儲存的 HTTPS 連接("查看端點列表")
-
透過連接埠 443 建立到ONTAP叢集管理 LIF 的 HTTPS 連接
-
AWS 和 AWS GovCloud 部署需要額外的入站和出站安全群組規則。看 "AWS 中的控制台代理程式規則"了解詳情。
-
-
如果您有從ONTAP叢集到 VPC 的 Direct Connect 或 VPN 連接,且您希望控制台代理程式和 S3 之間的通訊保持在 AWS 內部網路(*私有*連線)中,則需要啟用至 S3 的 VPC 端點介面。使用 VPC 終端節點介面配置系統以進行私有連接 。
驗證許可證要求
您需要驗證 AWS 和NetApp控制台的授權要求:
-
在為叢集啟動NetApp Backup and Recovery 之前,您需要訂閱 AWS 提供的即用即付 (PAYGO) NetApp Console Marketplace,或從NetApp購買並啟動NetApp Backup and Recovery BYOL 授權。這些許可證適用於您的帳戶,可以在多個系統中使用。
-
對於NetApp Backup and Recovery PAYGO 許可,您需要訂閱 "AWS Marketplace 提供的NetApp主機"。 NetApp Backup and Recovery 的計費透過此訂閱完成。
-
對於NetApp備份和還原 BYOL 許可,您需要NetApp提供的序號,以便您在許可證的有效期限和容量內使用該服務。
-
-
您需要訂閱用於儲存備份的物件儲存空間的 AWS。
支援地區
您可以在所有區域(包括 AWS GovCloud 區域)中從本機系統建立到 Amazon S3 的備份。您在設定服務時指定儲存備份的區域。
準備ONTAP集群
您需要準備來源本機ONTAP系統以及任何輔助本機ONTAP或Cloud Volumes ONTAP系統。
準備ONTAP集群涉及以下步驟:
-
在NetApp控制台中發現您的ONTAP系統
-
驗證ONTAP系統要求
-
驗證ONTAP網路要求以將資料備份到對象存儲
-
驗證ONTAP複製卷的網路要求
在NetApp控制台中發現您的ONTAP系統
您的來源本機ONTAP系統和任何輔助本機ONTAP或Cloud Volumes ONTAP系統都必須在NetApp控制台 系統 頁面上可用。
您需要知道叢集管理 IP 位址和管理員使用者帳戶的密碼才能新增叢集。https://docs.netapp.com/us-en/storage-management-ontap-onprem/task-discovering-ontap.html["了解如何發現集群"^] 。
驗證ONTAP系統要求
確保滿足以下ONTAP要求:
-
最低版本為ONTAP 9.8;建議使用ONTAP 9.8P13 及更高版本。
-
SnapMirror許可證(包含在高級捆綁包或資料保護捆綁包中)。
*注意:*使用NetApp備份和復原時不需要「混合雲端捆綁包」。
了解如何 "管理您的叢集許可證"。
-
時間和時區設定正確。了解如何 "配置叢集時間"。
-
如果要複製數據,則應在複製資料之前驗證來源系統和目標系統是否運行相容的ONTAP版本。
驗證ONTAP網路要求以將資料備份到對象存儲
您必須在連接到物件儲存的系統上配置以下要求。
-
對於扇出備份架構,請在主系統上配置以下設定。
-
對於級聯備份架構,請在_輔助_系統上設定下列設定。
需滿足以下ONTAP集群網路需求:
-
叢集需要從控制台代理到叢集管理 LIF 的入站 HTTPS 連線。
-
每個託管要備份的磁碟區的ONTAP節點上都需要一個叢集間 LIF。這些群集間 LIF 必須能夠存取物件儲存。
叢集透過連接埠 443 啟動從叢集間 LIF 到 Amazon S3 儲存的出站 HTTPS 連接,以執行備份和還原作業。ONTAP從物件儲存讀取和寫入資料 - 物件儲存從不啟動,它只是回應。
-
群集間 LIF 必須與ONTAP用於連接物件儲存的 IPspace 相關聯。 "了解有關 IP 空間的更多信息" 。
設定NetApp Backup and Recovery 時,系統會提示您輸入要使用的 IP 空間。您應該選擇與這些 LIF 關聯的 IP 空間。這可能是「預設」 IP 空間或您建立的自訂 IP 空間。
如果您使用的 IP 空間與「預設」不同,那麼您可能需要建立靜態路由來存取物件儲存。
IP 空間內的所有叢集間 LIF 都必須具有物件儲存的存取權限。如果您無法為目前 IP 空間配置此功能,則需要建立一個專用 IP 空間,其中所有群集間 LIF 都可以存取物件儲存。
-
必須為磁碟區所在的儲存虛擬機器設定 DNS 伺服器。了解如何 "為 SVM 配置 DNS 服務"。
-
如有必要,請更新防火牆規則,以允許NetApp Backup and Recovery 透過連接埠 443 從ONTAP連接到物件存儲,並透過連接埠 53(TCP/UDP)從儲存虛擬機器到 DNS 伺服器的名稱解析流量。
-
如果您在 AWS 中使用私有 VPC 介面端點進行 S3 連接,那麼為了使用 HTTPS/443,您需要將 S3 端點憑證載入到ONTAP叢集中。使用 VPC 終端節點介面配置系統以進行私有連接 。 *[確保您的ONTAP叢集有權存取 S3 儲存桶。
驗證ONTAP複製卷的網路要求
如果您打算使用NetApp Backup and Recovery 在輔助ONTAP系統上建立複製卷,請確保來源系統和目標系統符合下列網路需求。
本地ONTAP網路需求
-
如果叢集位於您的場所,您應該從公司網路連接到雲端提供者中的虛擬網路。這通常是 VPN 連線。
-
ONTAP叢集必須滿足額外的子網路、連接埠、防火牆和叢集要求。
由於您可以複製到Cloud Volumes ONTAP或本機系統,因此請查看本機ONTAP系統的對等需求。 "查看ONTAP文件中的叢集對等前提條件" 。
Cloud Volumes ONTAP網路需求
-
實例的安全性群組必須包含所需的入站和出站規則:具體來說,ICMP 和連接埠 11104 和 11105 的規則。這些規則包含在預先定義的安全性群組中。
準備 Amazon S3 作為備份目標
準備 Amazon S3 作為備份目標涉及以下步驟:
-
設定 S3 權限。
-
(可選)創建您自己的 S3 儲存桶。 (如果您願意,該服務將為您建立儲存桶。)
-
(可選)設定客戶管理的 AWS 金鑰以進行資料加密。
-
(可選)使用 VPC 終端節點介面配置系統以進行私人連接。
設定 S3 權限
您需要設定兩組權限:
-
控制台代理程式建立和管理 S3 儲存桶的權限。
-
本地ONTAP叢集的權限,以便它可以讀取和寫入 S3 儲存桶的資料。
-
確保控制台代理具有所需的權限。有關詳細信息,請參閱 "NetApp控制台策略權限"。
在 AWS 中國區域建立備份時,您需要將 IAM 政策中所有_Resource_部分下的 AWS 資源名稱「arn」從「aws」變更為「aws-cn」;例如 arn:aws-cn:s3:::netapp-backup-*。 -
當您啟動服務時,備份精靈會提示您輸入存取金鑰和金鑰。這些憑證會傳遞到ONTAP集群,以便ONTAP可以將資料備份和還原到 S3 儲存桶。為此,您需要建立具有以下權限的 IAM 使用者。
Details
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:PutEncryptionConfiguration" ], "Resource": "arn:aws:s3:::netapp-backup-*", "Effect": "Allow", "Sid": "backupPolicy" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::netapp-backup*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListAllMyBuckets", "s3:PutObjectTagging", "s3:GetObjectTagging", "s3:RestoreObject", "s3:GetBucketObjectLockConfiguration", "s3:GetObjectRetention", "s3:PutBucketObjectLockConfiguration", "s3:PutObjectRetention" ], "Resource": "arn:aws:s3:::netapp-backup*/*", "Effect": "Allow" } ] }
建立您自己的儲存桶
預設情況下,該服務會為您建立儲存桶。或者,如果您想使用自己的儲存桶,您可以在啟動備份啟動精靈之前建立它們,然後在精靈中選擇這些儲存桶。
如果您建立自己的儲存桶,則應使用儲存桶名稱「netapp-backup」。如果您需要使用自訂名稱,請編輯 `ontapcloud-instance-policy-netapp-backup`IAMRole 用於現有的 CVO,並將下列清單新增至 S3 權限。您需要包括 `"Resource": "arn:aws:s3:::*"`並分配與儲存桶關聯的所有必要權限。
Details
- 「操作」:[「S3:ListBucket」「S3:GetBucketLocation」]「資源」:「arn:aws:s3
-
*”,“效果”:“允許”},{“操作”:[“S3:GetObject”,“S3:PutObject”,“S3:DeleteObject”,“S3:ListAllMyBuckets”,“S3:PutObjectTagging”,“S3:GetObjectTagging”,“S3:RestoreOO bject”,“S3:GetBucketObjectLockConfiguration”,“S3:GetObjectRetention”,“S3:PutBucketObjectLockConfiguration”,“S3:PutObjectRetention”]“資源”:“arn:aws:s3 ::: *”,
設定客戶管理的 AWS 金鑰以進行資料加密
如果您想使用預設的 Amazon S3 加密金鑰來加密您的本機叢集和 S3 儲存桶之間傳遞的數據,那麼您已經完成了所有設置,因為預設安裝使用這種類型的加密。
如果您想使用自己的客戶管理金鑰進行資料加密而不是使用預設金鑰,那麼您需要在啟動NetApp備份和復原精靈之前設定加密管理金鑰。
使用 VPC 終端節點介面配置系統以進行私有連接
如果您想使用標準公共互聯網連接,那麼所有權限都由控制台代理設置,您無需執行任何其他操作。
如果您希望透過網路從本機資料中心到 VPC 建立更安全的連接,則可以在備份啟動精靈中選擇 AWS PrivateLink 連接。如果您打算使用 VPN 或 AWS Direct Connect 透過使用私人 IP 位址的 VPC 終端節點介面連接您的本機系統,則需要它。
-
使用 Amazon VPC 控制台或命令列建立介面終端節點配置。 "請參閱有關使用 AWS PrivateLink for Amazon S3 的詳細信息" 。
-
修改與控制台代理程式關聯的安全性群組配置。您必須將策略變更為“自訂”(從“完全存取”),並且您必須從備份策略新增 S3 權限如前所示。
如果您使用連接埠 80(HTTP)與私有端點進行通信,則一切就緒。現在您可以在叢集上啟用NetApp備份和復原。
如果您使用連接埠 443(HTTPS)與私有端點通信,則必須從 VPC S3 端點複製憑證並將其新增至您的ONTAP集群,如接下來的 4 個步驟所示。
-
從 AWS 控制台取得端點的 DNS 名稱。
-
從 VPC S3 端點取得憑證。你可以透過以下方式做到這一點 "登入託管控制台代理的虛擬機"並運行以下命令。輸入端點的 DNS 名稱時,在開頭新增“bucket”,取代“*”:
[ec2-user@ip-10-160-4-68 ~]$ openssl s_client -connect bucket.vpce-0ff5c15df7e00fbab-yxs7lt8v.s3.us-west-2.vpce.amazonaws.com:443 -showcerts -
從此指令的輸出中,複製 S3 憑證的資料(BEGIN / END CERTIFICATE 標籤之間(包括 BEGIN / END CERTIFICATE 標籤)的所有資料):
Certificate chain 0 s:/CN=s3.us-west-2.amazonaws.com` i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon -----BEGIN CERTIFICATE----- MIIM6zCCC9OgAwIBAgIQA7MGJ4FaDBR8uL0KR3oltTANBgkqhkiG9w0BAQsFADBG … … GqvbOz/oO2NWLLFCqI+xmkLcMiPrZy+/6Af+HH2mLCM4EsI2b+IpBmPkriWnnxo= -----END CERTIFICATE----- -
登入ONTAP叢集 CLI 並使用以下命令套用您複製的憑證(取代您自己的儲存虛擬機器名稱):
cluster1::> security certificate install -vserver cluster1 -type server-ca Please enter Certificate: Press <Enter> when done
啟動ONTAP磁碟區上的備份
隨時直接從您的本機系統啟動備份。
嚮導將引導您完成以下主要步驟:
您還可以顯示 API 命令在審查步驟中,您可以複製程式碼來自動為未來的系統啟動備份。
啟動精靈
-
使用以下方式之一存取啟動備份和復原精靈:
-
從控制台*系統*頁面中,選擇系統,然後選擇右側面板中備份和還原旁邊的*啟用>備份磁碟區*。
如果備份的 Amazon S3 目標作為系統存在於控制台*系統*頁面上,則可以將ONTAP叢集拖曳到 Amazon S3 物件儲存上。
-
在備份和復原欄中選擇*卷*。從磁碟區選項卡中,選擇*操作*
圖示並選擇單一磁碟區(尚未啟用複製或備份到物件儲存)的*啟動備份*。
精靈的介紹頁面顯示保護選項,包括本機快照、複製和備份。如果您在此步驟中選擇了第二個選項,則會出現「定義備份策略」頁面,其中選擇一個磁碟區。
-
-
繼續以下選項:
-
如果您已經有控制台代理,那麼一切就緒了。只需選擇*下一步*。
-
如果您還沒有控制台代理,則會出現「新增控制台代理」選項。請參閱準備控制台代理 。
-
選擇要備份的捲
選擇您想要保護的磁碟區。受保護的磁碟區是具有以下一項或多項的磁碟區:快照策略、複製策略、備份到物件策略。
您可以選擇保護FlexVol或FlexGroup磁碟區;但是,在啟動系統備份時不能選擇這些磁碟區的混合。了解如何"啟動系統中附加磁碟區的備份"(FlexVol或FlexGroup)在為初始磁碟區配置備份後。
|
|
|
如果您選擇的磁碟區已經套用了快照或複製策略,那麼您稍後選擇的策略將覆寫這些現有策略。
-
在「選擇卷」頁面中,選擇要保護的一個或多個磁碟區。
-
或者,過濾行以僅顯示具有特定卷類型、樣式等的捲,以便更輕鬆地進行選擇。
-
選擇第一個磁碟區後,您可以選擇所有FlexVol磁碟區(FlexGroup磁碟區一次只能選擇一個)。若要備份所有現有的FlexVol卷,請先選取一個卷,然後選取標題行中的框。
-
若要備份單一卷,請選取每個卷對應的複選框。
-
-
選擇“下一步”。
定義備份策略
定義備份策略涉及設定以下選項:
-
您是否需要一個或所有備份選項:本機快照、複製和備份到物件存儲
-
架構
-
本機快照策略
-
複製目標和策略
如果您選擇的磁碟區具有與您在此步驟中選擇的策略不同的快照和複製策略,則現有策略將被覆寫。 -
備份到物件儲存資訊(提供者、加密、網路、備份策略和匯出選項)。
-
在「定義備份策略」頁面中,選擇以下一項或全部。預設情況下,所有三個都被選中:
-
本機快照:如果您正在執行複製或備份到物件存儲,則必須建立本機快照。
-
複製:在另一個ONTAP儲存系統上建立複製磁碟區。
-
備份:將磁碟區備份到物件儲存。
-
-
架構:如果您選擇複製和備份,請選擇下列資訊流之一:
-
級聯:資訊從主存儲流向輔助存儲,再流向物件存儲,再從輔助存儲流向物件存儲。
-
扇出:資訊從主存儲流向輔助存儲,再從主存儲流向物件存儲。
有關這些架構的詳細信息,請參閱"規劃您的保育之旅"。
-
-
本機快照:選擇現有的快照原則或建立原則。
若要在啟動快照之前建立自訂策略,請參閱"創建策略"。 -
若要建立策略,請選擇「建立新策略」並執行下列操作:
-
輸入策略的名稱。
-
選擇最多五個時間表,通常頻率不同。
-
對於備份到物件策略,設定 DataLock 和勒索軟體保護設定。有關 DataLock 和勒索軟體保護的詳細信息,請參閱"備份到對象策略設置"。
-
-
選擇“創建”。
-
-
複製:設定以下選項:
-
複製目標:選擇目標系統和 SVM。或者,選擇將新增至複製磁碟區名稱的目標聚合或聚合以及前綴或後綴。
-
複製策略:選擇現有的複製策略或建立策略。
若要在啟動複製之前建立自訂策略,請參閱"創建策略"。 若要建立策略,請選擇「建立新策略」並執行下列操作:
-
輸入策略的名稱。
-
選擇最多五個時間表,通常頻率不同。
-
選擇“創建”。
-
-
-
備份到物件:如果您選擇了*備份*,請設定以下選項:
-
提供者:選擇*Amazon Web Services*。
-
提供者設定:輸入提供者詳細資訊和將儲存備份的 AWS 區域。
存取金鑰和金鑰適用於您建立的 IAM 用戶,用於授予ONTAP叢集對 S3 儲存桶的存取權限。
-
儲存桶:選擇現有的 S3 儲存桶或建立一個新的。參考 "添加 S3 存儲桶"。
-
加密金鑰:如果您建立了新的 S3 儲存桶,請輸入提供者提供給您的加密金鑰資訊。選擇是否使用預設的 Amazon S3 加密金鑰,或從您的 AWS 帳戶中選擇您自己的客戶管理金鑰來管理資料的加密。
如果您選擇了現有的儲存桶,加密資訊已經可用,因此您現在無需輸入。 -
網路:選擇 IP 空間,以及是否使用私有端點。預設情況下,私有端點是禁用的。
-
您要備份的磁碟區所在的ONTAP叢集中的 IP 空間。此 IP 空間的群集間 LIF 必須具有出站網際網路存取權限。
-
或者,選擇是否使用您先前配置的 AWS PrivateLink。 "查看有關將 AWS PrivateLink 用於 Amazon S3 的詳細信息" 。
-
-
備份策略:選擇現有的備份策略或建立策略。
若要在啟動備份之前建立自訂策略,請參閱"創建策略"。 若要建立策略,請選擇「建立新策略」並執行下列操作:
-
輸入策略的名稱。
-
選擇最多五個時間表,通常頻率不同。
-
選擇“創建”。
-
-
將現有的 Snapshot 副本匯出到物件儲存作為備份副本:如果此系統中有任何磁碟區的本機快照副本與您剛剛為此系統選擇的備份計畫標籤(例如,每日、每週等)相匹配,則會顯示此附加提示。選取此方塊可將所有歷史快照複製到物件儲存作為備份文件,以確保對您的磁碟區進行最全面的保護。
-
-
選擇“下一步”。
檢查您的選擇
這是審查您的選擇並在必要時進行調整的機會。
-
在「審核」頁面中,審核您的選擇。
-
(可選)選取核取方塊*自動將快照原則標籤與複製和備份策略標籤同步*。這將建立具有與複製和備份策略中的標籤相符的標籤的快照。
-
選擇*啟動備份*。
NetApp Backup and Recovery 開始對您的磁碟區進行初始備份。複製捲和備份檔案的基線傳輸包括主儲存系統資料的完整副本。後續傳輸包含 Snapshot 副本中所含主資料的差異副本。
在目標叢集中建立一個複製卷,該卷將與主儲存卷同步。
S3 儲存桶在您輸入的 S3 存取金鑰和金鑰指示的服務帳戶中創建,並且備份檔案儲存在那裡。顯示磁碟區備份儀表板,以便您可以監控備份的狀態。
您也可以使用"作業監控頁面"。
顯示 API 命令
您可能想要顯示並選擇性地複製啟動備份和還原精靈中使用的 API 命令。您可能希望這樣做以便在未來的系統中自動啟動備份。
-
從啟動備份和復原精靈中,選擇*查看 API 請求*。
-
若要將指令複製到剪貼簿,請選擇*複製*圖示。