使用NetApp備份和還原將本地ONTAP資料備份到 Google Cloud Storage
完成NetApp備份和復原中的幾個步驟,開始將磁碟區資料從本機主ONTAP系統備份到二級儲存系統和 Google Cloud Storage。
|
「本地ONTAP系統」包括FAS、 AFF和ONTAP Select系統。 |
注意 若要切換至NetApp備份與復原工作負載,請參閱"切換到不同的NetApp備份與復原工作負載"。
識別連接方法
選擇在設定從本機ONTAP系統到 Google Cloud Storage 的備份時要使用的兩種連接方法中的哪一種。
-
公共連線 - 使用公共 Google 端點將ONTAP系統直接連接到 Google Cloud Storage。
-
私人連接 - 使用 VPN 或 Google Cloud Interconnect 並透過使用私人 IP 位址的私人 Google Access 介面路由流量。
或者,您也可以使用公用或私有連線連線到用於複製磁碟區的輔助ONTAP系統。
下圖顯示了*公共連接*方法以及您需要在組件之間準備的連接。控制台代理程式必須部署在 Google Cloud Platform VPC 中。
下圖顯示了*私有連接*方法以及您需要在元件之間準備的連接。控制台代理程式必須部署在 Google Cloud Platform VPC 中。
準備控制台代理
控制台代理程式是控制台功能的主要軟體。需要控制台代理程式來備份和還原您的ONTAP資料。
建立或切換控制台代理
如果您已經在 Google Cloud Platform VPC 中部署了控制台代理,那麼一切就緒了。
如果沒有,那麼您需要在該位置建立一個控制台代理,以將ONTAP資料備份到 Google Cloud Storage。您不能使用部署在其他雲端提供者或本機的控制台代理程式。
為控制台代理準備網絡
確保控制台代理程式具有所需的網路連線。
-
確保安裝控制台代理程式的網路啟用以下連線:
-
透過連接埠 443 建立到NetApp Backup and Recovery 以及您的 Google Cloud 儲存的 HTTPS 連接("查看端點列表")
-
透過連接埠 443 建立到ONTAP叢集管理 LIF 的 HTTPS 連接
-
-
在您規劃部署控制台代理程式的子網路上啟用私人 Google Access(或私人服務連線)。 "私人 Google 存取權限"或者 "私人服務連接"如果您有從ONTAP叢集到 VPC 的直接連接,並且希望控制台代理程式和 Google Cloud Storage 之間的通訊保持在虛擬專用網路(*專用*連接)中,則需要。
請按照 Google 說明設定這些私人存取選項。確保您的 DNS 伺服器已配置為指向 `www.googleapis.com`和 `storage.googleapis.com`到正確的內部(私有)IP 位址。
驗證或新增控制台代理的權限
要使用NetApp備份和還原的「搜尋和復原」功能,您需要在控制台代理的角色中擁有特定權限,以便它可以存取 Google Cloud BigQuery 服務。查看以下權限,如果需要修改策略,請依照下列步驟操作。
-
在 "Google 雲端控制台",轉到*角色*頁面。
-
使用頁面頂部的下拉列表,選擇包含要編輯的角色的項目或組織。
-
選擇自訂角色。
-
選擇*編輯角色*來更新角色的權限。
-
選擇*新增權限*為角色新增下列新權限。
bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.datasets.create bigquery.datasets.get bigquery.jobs.create bigquery.tables.get bigquery.tables.getData bigquery.tables.list bigquery.tables.create
-
選擇*更新*以儲存編輯的角色。
驗證許可證要求
-
在為叢集啟動NetApp Backup and Recovery 之前,您需要訂閱 Google 提供的即用即付 (PAYGO) 控制台市場,或從NetApp購買並啟動NetApp Backup and Recovery BYOL 授權。這些許可證適用於您的帳戶,可以在多個系統中使用。
-
對於NetApp Backup and Recovery PAYGO 許可,您需要訂閱 "Google Marketplace 提供的NetApp Console"。 NetApp Backup and Recovery 的計費透過此訂閱完成。
-
對於NetApp備份和還原 BYOL 許可,您需要NetApp提供的序號,以便您在許可證的有效期限和容量內使用該服務。"了解如何管理您的 BYOL 許可證" 。
-
-
您需要向 Google 訂閱用於儲存備份的物件儲存空間。
支援地區
您可以從本機系統建立備份到所有地區的 Google Cloud Storage。您在設定服務時指定儲存備份的區域。
準備ONTAP集群
您需要準備來源本機ONTAP系統以及任何輔助本機ONTAP或Cloud Volumes ONTAP系統。
準備ONTAP集群涉及以下步驟:
-
在NetApp控制台中發現您的ONTAP系統
-
驗證ONTAP系統要求
-
驗證ONTAP網路要求以將資料備份到對象存儲
-
驗證ONTAP複製卷的網路要求
在NetApp控制台中發現您的ONTAP系統
您的來源本機ONTAP系統和任何輔助本機ONTAP或Cloud Volumes ONTAP系統都必須在NetApp控制台 系統 頁面上可用。
您需要知道叢集管理 IP 位址和管理員使用者帳戶的密碼才能新增叢集。https://docs.netapp.com/us-en/storage-management-ontap-onprem/task-discovering-ontap.html["了解如何發現集群"^] 。
驗證ONTAP系統要求
確保滿足以下ONTAP要求:
-
最低版本為ONTAP 9.8;建議使用ONTAP 9.8P13 及更高版本。
-
SnapMirror許可證(包含在高級捆綁包或資料保護捆綁包中)。
*注意:*使用NetApp備份和復原時不需要「混合雲端捆綁包」。
了解如何 "管理您的叢集許可證"。
-
時間和時區設定正確。了解如何 "配置叢集時間"。
-
如果要複製數據,則應在複製資料之前驗證來源系統和目標系統是否運行相容的ONTAP版本。
驗證ONTAP網路要求以將資料備份到對象存儲
您必須在連接到物件儲存的系統上配置以下要求。
-
對於扇出備份架構,請在主系統上配置以下設定。
-
對於級聯備份架構,請在_輔助_系統上設定下列設定。
需滿足以下ONTAP集群網路需求:
-
ONTAP叢集透過連接埠 443 啟動從叢集間 LIF 到 Google Cloud Storage 的 HTTPS 連接,以進行備份和還原作業。
ONTAP從物件儲存讀取和寫入資料。物件儲存從不啟動,它只是響應。
-
ONTAP需要從控制台代理到叢集管理 LIF 的入站連線。控制台代理可以駐留在 Google Cloud Platform VPC 中。
-
每個託管要備份的磁碟區的ONTAP節點上都需要一個叢集間 LIF。 LIF 必須與ONTAP用於連接物件儲存的 IPspace 相關聯。 "了解有關 IP 空間的更多信息" 。
設定NetApp Backup and Recovery 時,系統會提示您輸入要使用的 IP 空間。您應該選擇與每個 LIF 關聯的 IP 空間。這可能是「預設」 IP 空間或您建立的自訂 IP 空間。
-
節點的叢集間 LIF 能夠存取物件儲存。
-
已為磁碟區所在的儲存虛擬機器設定 DNS 伺服器。了解如何 "為 SVM 配置 DNS 服務"。
如果您使用的是 Private Google Access 或 Private Service Connect,請確保您的 DNS 伺服器已設定為指向 `storage.googleapis.com`到正確的內部(私有)IP 位址。
-
請注意,如果您使用的 IP 空間與預設 IP 空間不同,則可能需要建立靜態路由才能存取物件儲存。
-
如有必要,請更新防火牆規則,以允許NetApp Backup and Recovery 透過連接埠 443 從ONTAP連接到物件存儲,並透過連接埠 53(TCP/UDP)從儲存虛擬機器到 DNS 伺服器的名稱解析流量。
驗證ONTAP複製卷的網路要求
如果您打算使用NetApp Backup and Recovery 在輔助ONTAP系統上建立複製卷,請確保來源系統和目標系統符合下列網路需求。
本地ONTAP網路需求
-
如果叢集位於您的場所,您應該從公司網路連接到雲端提供者中的虛擬網路。這通常是 VPN 連線。
-
ONTAP叢集必須滿足額外的子網路、連接埠、防火牆和叢集要求。
由於您可以複製到Cloud Volumes ONTAP或本機系統,因此請查看本機ONTAP系統的對等需求。 "查看ONTAP文件中的叢集對等前提條件" 。
Cloud Volumes ONTAP網路需求
-
實例的安全性群組必須包含所需的入站和出站規則:具體來說,ICMP 和連接埠 11104 和 11105 的規則。這些規則包含在預先定義的安全性群組中。
準備 Google Cloud Storage 作為備份目標
準備 Google Cloud Storage 作為備份目標涉及以下步驟:
-
設定權限。
-
(可選)創建您自己的儲存桶。 (如果您願意,該服務將為您建立儲存桶。)
-
(可選)設定客戶管理的金鑰以進行資料加密
設定權限
您需要使用自訂角色為具有特定權限的服務帳戶提供儲存存取金鑰。服務帳戶使NetApp Backup and Recovery 能夠驗證和存取用於儲存備份的 Cloud Storage 儲存桶。需要金鑰,以便 Google Cloud Storage 知道誰在發出請求。
-
在 "Google 雲端控制台",轉到*角色*頁面。
-
"創建新角色"具有以下權限:
storage.buckets.create storage.buckets.delete storage.buckets.get storage.buckets.list storage.buckets.update storage.buckets.getIamPolicy storage.multipartUploads.create storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.update
-
在 Google Cloud 控制台中, "前往服務帳戶頁面" 。
-
選擇您的雲端項目。
-
選擇*建立服務帳戶*並提供所需資訊:
-
服務帳戶詳細資料:輸入名稱和描述。
-
授予此服務帳戶存取項目的權限:選擇您剛剛建立的自訂角色。
-
選擇*完成*。
-
-
前往 "GCP 儲存設定"並為服務帳戶建立存取金鑰:
-
選擇一個項目,然後選擇*互通性*。如果您還沒有這樣做,請選擇*啟用互通性存取*。
-
在*服務帳戶的存取金鑰*下,選擇*為服務帳戶建立金鑰*,選擇剛剛建立的服務帳戶,然後按一下*建立金鑰*。
稍後設定備份服務時,您需要在NetApp Backup and Recovery 中輸入金鑰。
-
建立您自己的儲存桶
預設情況下,該服務會為您建立儲存桶。或者,如果您想使用自己的儲存桶,您可以在啟動備份啟動精靈之前建立它們,然後在精靈中選擇這些儲存桶。
設定客戶管理的加密金鑰 (CMEK) 以進行資料加密
您可以使用自己的客戶管理金鑰進行資料加密,而不是使用預設的 Google 管理加密金鑰。跨區域和跨項目密鑰均受支持,因此您可以為存儲桶選擇與 CMEK 密鑰的項目不同的項目。
如果您打算使用自己的客戶管理金鑰:
-
您需要有密鑰環和密鑰名稱,以便可以在啟動精靈中新增此資訊。 "了解有關客戶管理加密金鑰的更多信息" 。
-
您需要驗證控制台代理程式的角色是否包含這些必要的權限:
cloudkms.cryptoKeys.get cloudkms.cryptoKeys.getIamPolicy cloudkms.cryptoKeys.list cloudkms.cryptoKeys.setIamPolicy cloudkms.keyRings.get cloudkms.keyRings.getIamPolicy cloudkms.keyRings.list cloudkms.keyRings.setIamPolicy
-
您需要驗證您的專案中是否啟用了 Google「雲端金鑰管理服務 (KMS)」API。查看 "Google Cloud 文件:啟用 API"了解詳情。
CMEK 注意事項:
-
支援 HSM(硬體支援)和軟體產生的金鑰。
-
支援新建立或匯入的 Cloud KMS 金鑰。
-
僅支援區域密鑰,不支援全域密鑰。
-
目前僅支援“對稱加密/解密”目的。
-
NetApp Backup and Recovery 為與儲存帳戶關聯的服務代理程式指派了「CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter)」IAM 角色。
啟動ONTAP磁碟區上的備份
隨時直接從您的本機系統啟動備份。
嚮導將引導您完成以下主要步驟:
您還可以顯示 API 命令在審查步驟中,您可以複製程式碼來自動為未來的系統啟動備份。
啟動精靈
-
使用以下方式之一存取啟動備份和復原精靈:
-
從控制台*系統*頁面中,選擇系統,然後選擇右側面板中備份和還原旁邊的*啟用>備份磁碟區*。
如果您的備份的 Google Cloud Storage 目標存在於控制台 系統 頁面上,則可以將ONTAP叢集拖曳到 Google Cloud 物件儲存上。
-
在備份和復原欄中選擇*卷*。從磁碟區選項卡中,選擇*操作*
圖示並選擇單一磁碟區(尚未啟用複製或備份到物件儲存)的*啟動備份*。
精靈的介紹頁面顯示保護選項,包括本機快照、複製和備份。如果您在此步驟中選擇了第二個選項,則會出現「定義備份策略」頁面,其中選擇一個磁碟區。
-
-
繼續以下選項:
-
如果您已經有控制台代理,那麼一切就緒了。只需選擇*下一步*。
-
如果您還沒有控制台代理,則會出現「新增控制台代理」選項。請參閱準備控制台代理 。
-
選擇要備份的捲
選擇您想要保護的磁碟區。受保護的磁碟區是具有以下一項或多項的磁碟區:快照策略、複製策略、備份到物件策略。
您可以選擇保護FlexVol或FlexGroup磁碟區;但是,在啟動系統備份時不能選擇這些磁碟區的混合。了解如何"啟動系統中附加磁碟區的備份"(FlexVol或FlexGroup)在為初始磁碟區配置備份後。
|
|
如果您選擇的磁碟區已經套用了快照或複製策略,那麼您稍後選擇的策略將覆寫這些現有策略。
-
在「選擇卷」頁面中,選擇要保護的一個或多個磁碟區。
-
或者,過濾行以僅顯示具有特定卷類型、樣式等的捲,以便更輕鬆地進行選擇。
-
選擇第一個磁碟區後,您可以選擇所有FlexVol磁碟區(FlexGroup磁碟區一次只能選擇一個)。若要備份所有現有的FlexVol卷,請先選取一個卷,然後選取標題行中的框。
-
若要備份單一卷,請選取每個卷對應的複選框。
-
-
選擇“下一步”。
定義備份策略
定義備份策略涉及設定以下選項:
-
您是否需要一個或所有備份選項:本機快照、複製和備份到物件存儲
-
架構
-
本機快照策略
-
複製目標和策略
如果您選擇的磁碟區具有與您在此步驟中選擇的策略不同的快照和複製策略,則現有策略將被覆寫。 -
備份到物件儲存資訊(提供者、加密、網路、備份策略和匯出選項)。
-
在「定義備份策略」頁面中,選擇以下一項或全部。預設情況下,所有三個都被選中:
-
本機快照:如果您正在執行複製或備份到物件存儲,則必須建立本機快照。
-
複製:在另一個ONTAP儲存系統上建立複製磁碟區。
-
備份:將磁碟區備份到物件儲存。
-
-
架構:如果您選擇複製和備份,請選擇下列資訊流之一:
-
級聯:資訊從主存儲流向輔助存儲,再從輔助存儲流向物件存儲。
-
扇出:資訊從主存儲流向輔助存儲,再從主存儲流向物件存儲。
有關這些架構的詳細信息,請參閱"規劃您的保育之旅"。
-
-
本機快照:選擇現有的快照原則或建立新的快照策略。
若要建立自訂策略,請參閱"創建策略"。 若要建立策略,請選擇「建立新策略」並執行下列操作:
-
輸入策略的名稱。
-
選擇最多五個時間表,通常頻率不同。
-
選擇“創建”。
-
-
複製:設定以下選項:
-
複製目標:選擇目標系統和 SVM。或者,選擇將新增至複製磁碟區名稱的目標聚合或聚合以及前綴或後綴。
-
複製策略:選擇現有的複製策略或建立新的複製策略。
若要建立自訂策略,請參閱"創建策略"。 若要建立策略,請選擇「建立新策略」並執行下列操作:
-
輸入策略的名稱。
-
選擇最多五個時間表,通常頻率不同。
-
選擇“創建”。
-
-
-
備份到物件:如果您選擇了*備份*,請設定以下選項:
-
提供者:選擇*Google Cloud*。
-
提供者設定:輸入提供者詳細資料和儲存備份的區域。
建立一個新儲存桶或選擇您已經建立的儲存桶。
如果您希望將較舊的備份檔案分層到 Google Cloud Archive 儲存空間以進一步優化成本,請確保儲存桶具有適當的生命週期規則。 輸入 Google Cloud 存取金鑰和金鑰。
-
加密金鑰:如果您建立了新的 Google Cloud 儲存帳戶,請輸入提供者提供給您的加密金鑰資訊。選擇是否使用預設的 Google Cloud 加密金鑰,或從您的 Google Cloud 帳戶中選擇您自己的客戶管理金鑰來管理您的資料加密。
如果您選擇了現有的 Google Cloud 儲存帳戶,加密資訊已經可用,因此您現在無需輸入。 如果您選擇使用自己的客戶管理金鑰,請輸入金鑰環和金鑰名稱。 "了解有關客戶管理加密金鑰的更多信息" 。
-
網路:選擇 IP 空間。
您要備份的磁碟區所在的ONTAP叢集中的 IP 空間。此 IP 空間的群集間 LIF 必須具有出站網際網路存取權限。
-
備份策略:選擇現有的備份到物件儲存策略或建立新的策略。
若要建立自訂策略,請參閱"創建策略"。 若要建立策略,請選擇「建立新策略」並執行下列操作:
-
輸入策略的名稱。
-
選擇最多五個時間表,通常頻率不同。
-
選擇“創建”。
-
-
將現有的 Snapshot 副本匯出到物件儲存作為備份副本:如果此系統中有任何磁碟區的本機快照副本與您剛剛為此系統選擇的備份計畫標籤(例如,每日、每週等)相匹配,則會顯示此附加提示。選取此方塊可將所有歷史快照複製到物件儲存作為備份文件,以確保對您的磁碟區進行最全面的保護。
-
-
選擇“下一步”。
檢查您的選擇
這是審查您的選擇並在必要時進行調整的機會。
-
在「審核」頁面中,審核您的選擇。
-
(可選)選取核取方塊*自動將快照原則標籤與複製和備份策略標籤同步*。這將建立具有與複製和備份策略中的標籤相符的標籤的快照。
-
選擇*啟動備份*。
NetApp Backup and Recovery 開始對您的磁碟區進行初始備份。複製捲和備份檔案的基線傳輸包括主儲存系統資料的完整副本。後續傳輸包含 Snapshot 副本中包含的主儲存系統資料的差異副本。
在目標群集中建立一個複製卷,該卷將與來源卷同步。
系統會在您輸入的 Google 存取金鑰和金鑰所指示的服務帳戶中自動建立 Google Cloud Storage 儲存桶,並將備份檔案儲存在那裡。顯示磁碟區備份儀表板,以便您可以監控備份的狀態。
您也可以使用"作業監控頁面"。
顯示 API 命令
您可能想要顯示並選擇性地複製啟動備份和還原精靈中使用的 API 命令。您可能希望這樣做以便在未來的系統中自動啟動備份。
-
從啟動備份和復原精靈中,選擇*查看 API 請求*。
-
若要將指令複製到剪貼簿,請選擇*複製*圖示。