本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

NetApp備份與復原中的備份到物件原則選項

10/06/2025 貢獻者

PDF

NetApp Backup and Recovery 讓您能夠為本機ONTAP和Cloud Volumes ONTAP系統建立具有各種設定的備份策略。

這些策略設定僅與備份到物件儲存相關。這些設定都不會影響您的快照或複製策略。

注意若要切換至NetApp備份與復原工作負載，請參閱"切換到不同的NetApp備份與復原工作負載"。

備份計畫選項

NetApp Backup and Recovery 讓您能夠為每個系統（叢集）建立具有唯一方案的多個備份策略。您可以為具有不同復原點目標 (RPO) 的磁碟區指派不同的備份策略。

每個備份策略都提供了一個「標籤和保留」部分，您可以將其套用至備份檔案。請注意，應用於磁碟區的 Snapshot 策略必須是NetApp Backup and Recovery 識別的策略之一，否則將不會建立備份檔案。

該計劃分為兩部分：標籤和保留值：

標籤定義了從磁碟區建立（或更新）備份檔案的頻率。您可以從以下標籤類型中進行選擇：
- 您可以選擇*每小時*、每天、每週、*每月*和*每年*時間範圍中的一個或多個組合。
- 您可以選擇系統定義的策略之一，提供 3 個月、1 年或 7 年的備份和保留。
- 如果您已使用ONTAP System Manager 或ONTAP CLI 在叢集上建立了自訂備份保護策略，則可以選擇其中一個原則。
*保留*值定義每個標籤（時間範圍）保留多少個備份檔案。一旦達到某個類別或間隔內的最大備份數量，較舊的備份就會被刪除，以便您始終擁有最新的備份。這還可以節省您的儲存成本，因為過時的備份不會繼續佔用雲端中的空間。

例如，假設您建立備份策略，該策略會建立 7 個每週備份和 12 個每月備份：

每周和每月都會為卷創建一個備份文件
在第 8 週，刪除第一個每週備份，並新增第 8 週的新每週備份（最多保留 7 個每週備份）
在第 13 個月，刪除第一個月度備份，並新增第 13 個月的新月度備份（最多保留 12 個月度備份）

年度備份在傳輸到物件儲存後會自動從來源系統中刪除。可以在系統的進階設定頁面中變更此預設行為。

DataLock 和勒索軟體保護選項

NetApp Backup and Recovery 為您的磁碟區備份提供 DataLock 和勒索軟體保護支援。這些功能使您能夠鎖定備份檔案並對其進行掃描以偵測備份檔案上可能存在的勒索軟體。這是一個可選設置，當您希望為叢集的磁碟區備份提供額外保護時，可以在備份策略中定義它。

這兩個功能都可以保護您的備份文件，以便在您的備份遭受勒索軟體攻擊時，您始終擁有一個有效的備份文件來恢復資料。滿足某些監管要求也很有幫助，在這些要求中，備份需要被鎖定並保留一段時間。啟用 DataLock 和勒索軟體保護選項後，作為NetApp Backup 和 Recovery 啟動的一部分配置的雲端儲存桶將啟用物件鎖定和物件版本控制。

"請參閱 DataLock 和勒索軟體保護部落格以了解更多詳細信息" 。

此功能不會為您的來源磁碟區提供保護；僅為這些來源磁碟區的備份提供保護。使用一些 "ONTAP提供的反勒索軟體保護"保護您的來源磁碟區。

如果您打算使用 DataLock 和勒索軟體保護，則可以在建立第一個備份策略並為該叢集啟動NetApp Backup and Recovery 時啟用它。您可以稍後使用NetApp Backup and Recovery 進階設定啟用或停用勒索軟體掃描。
當控制台在恢復磁碟區資料時掃描備份檔案中的勒索軟體時，您將產生來自雲端提供者的額外出口成本以存取備份檔案的內容。

什麼是DataLock

使用此功能，您可以將透過SnapMirror複製到雲端的雲端快照鎖定，還可以啟用該功能來偵測勒索軟體攻擊並恢復物件儲存上快照的一致副本。 AWS、Azure 和StorageGRID支援此功能。

DataLock 可保護您的備份檔案在一定時間內不被修改或刪除 - 也稱為_不可變儲存_。此功能使用物件儲存提供者的技術進行「物件鎖定」。

雲端提供者使用保留截止日期 (RUD)，該日期是根據快照保留期計算的。快照保留期是根據備份策略中定義的標籤和保留計數計算的。

最短快照保留期為 30 天。讓我們看一些例子來了解它的工作原理：

如果您選擇保留計數為 20 的 Daily 標籤，則快照保留期為 20 天，預設為最短 30 天。
如果您選擇保留計數為 4 的每週標籤，則快照保留期為 28 天，預設為最短 30 天。
如果您選擇保留計數為 3 的「每月」標籤，則快照保留期為 90 天。
如果您選擇保留計數為 1 的每年標籤，則快照保留期為 365 天。

什麼是保留截止日期 (RUD)？如何計算？

保留截止日期 (RUD) 根據快照保留期確定。保留截止日期是透過將快照保留期與緩衝區相加來計算的。

緩衝為轉移時間緩衝（3天）+成本最佳化緩衝（28天），總計31天。
最短保留截止日期為 30 天 + 31 天緩衝期 = 61 天。

以下是一些範例：

如果您建立具有 12 個保留的每月備份計劃，則您的備份將被鎖定 12 個月（加 31 天），然後才會被刪除（由下一個備份檔案取代）。
如果您建立的備份策略建立了 30 個每日備份、7 個每週備份和 12 個每月備份，則有三個鎖定保留期：
- 「每日 30 次」備份將保留 61 天（30 天加上 31 天緩衝），
- 「每週 7 次」備份保留 11 週（7 週加 31 天），且
- 「12 個月」備份將保留 12 個月（加 31 天）。
如果您建立具有 24 個保留的每小時備份計劃，您可能會認為備份已鎖定 24 小時。但是，由於該時間少於 30 天的最低限制，因此每個備份將被鎖定並保留 61 天（30 天加上 31 天的緩衝時間）。

舊備份將在 DataLock 保留期到期後刪除，而不是在備份策略保留期到期後刪除。

DataLock 保留設定將覆蓋備份策略中的策略保留設定。這可能會影響您的儲存成本，因為您的備份檔案將在物件儲存中保存更長時間。

啟用 DataLock 和勒索軟體保護

您可以在建立策略時啟用 DataLock 和勒索軟體保護。建立策略後，您無法啟用、修改或停用此功能。

建立策略時，展開「DataLock 和勒索軟體保護」部分。
選擇下列選項之一：
- 無：DataLock 保護和勒索軟體復原功能已停用。
- 已解鎖：DataLock 保護和勒索軟體復原功能已啟用。具有特定權限的使用者可以在保留期內覆蓋或刪除受保護的備份檔案。
- 已鎖定：DataLock 保護和勒索軟體復原功能已啟用。在保留期內，任何使用者都不能覆蓋或刪除受保護的備份檔案。這滿足了完全的監管合規性。

請參閱"如何在「進階設定」頁面中更新勒索軟體防護選項" 。

什麼是勒索軟體保護

勒索軟體防護會掃描您的備份檔案以尋找勒索軟體攻擊的證據。勒索軟體攻擊的偵測是使用校驗和比較來執行的。如果在新的備份檔案與先前的備份檔案中發現潛在的勒索軟體，則該較新的備份檔案將被未顯示任何勒索軟體攻擊跡象的最新備份檔案取代。（被判定為遭受勒索軟體攻擊的檔案在被替換1天後被刪除。）

掃描發生在以下情況：

雲端備份物件傳輸到雲端物件儲存後，很快就會啟動雲端備份物件的掃描。當備份檔案首次寫入雲端儲存時，不會執行掃描，而是在寫入下一個備份檔案時執行。
當選擇備份進行復原程序時，可以啟動勒索軟體掃描。
可以隨時按需進行掃描。

*恢復過程如何進行？ *

當偵測到勒索軟體攻擊時，該服務使用 Active Data Console 代理 Integrity Checker REST API 來啟動復原程序。資料物件最舊的版本是事實來源，並作為復原過程的一部分轉換為當前版本。

讓我們看看它是如何運作的：

如果發生勒索軟體攻擊，該服務會嘗試覆蓋或刪除儲存桶中的物件。
由於雲端儲存支援版本控制，它會自動建立備份物件的新版本。如果在啟用版本控制的情況下刪除對象，則會將其標記為已刪除，但仍可檢索。如果物件被覆蓋，則會儲存並標記先前的版本。
當啟動勒索軟體掃描時，將驗證兩個物件版本的校驗和並進行比較。如果校驗和不一致，則表示偵測到了潛在的勒索軟體。
恢復過程涉及恢復到最後一個已知的良好副本。

支援的系統和對象儲存提供者

在下列公有和私有雲供應商中使用物件儲存時，您可以從下列系統在ONTAP磁碟區上啟用 DataLock 和勒索軟體保護。未來版本中將新增更多雲端提供者。

來源系統	備份檔案目標 ifdef::aws[]
AWS 中的Cloud Volumes ONTAP	亞馬遜 S3 endif::aws[] ifdef::azure[]
Azure 中的Cloud Volumes ONTAP	Azure Blob endif::azure[] ifdef::gcp[] endif::gcp[]
本地ONTAP系統	ifdef::aws[] Amazon S3 endif::aws[] ifdef::azure[] Azure Blob endif::azure[] ifdef::gcp[] endif::gcp[] NetApp StorageGRID

來源系統

備份檔案目標 ifdef::aws[]

AWS 中的Cloud Volumes ONTAP

亞馬遜 S3 endif::aws[] ifdef::azure[]

Azure 中的Cloud Volumes ONTAP

Azure Blob endif::azure[] ifdef::gcp[] endif::gcp[]

本地ONTAP系統

ifdef::aws[] Amazon S3 endif::aws[] ifdef::azure[] Azure Blob endif::azure[] ifdef::gcp[] endif::gcp[] NetApp StorageGRID

要求

對於 AWS：
- 您的叢集必須執行ONTAP 9.11.1 或更高版本
- 控制台代理可以部署在雲端或您的本地
- 以下 S3 權限必須是提供控制台代理權限的 IAM 角色的一部分。它們位於資源「arn:aws:s3:::netapp-backup-*」的「backupS3Policy」部分：
  AWS S3 權限
  s3:取得物件版本標記
  
  s3：取得儲存桶物件鎖配置
  
  s3:取得物件版本Acl
  
  s3：PutObjectTagging
  
  s3：刪除對象
  
  s3：刪除物件標記
  
  s3：取得對象保留
  
  s3：刪除物件版本標記
  
  s3：Put對象
  
  s3：獲取對象
  
  s3:PutBucketObjectLock配置
  
  s3:獲取生命週期配置
  
  s3：取得儲存桶標記
  
  s3：刪除物件版本
  
  s3：列出儲存桶版本
  
  s3：列表桶
  
  s3：PutBucket標記
  
  s3:取得物件標記
  
  s3：PutBucket版本控制
  
  s3：PutObjectVersionTagging
  
  s3：取得儲存桶版本
  
  s3：取得儲存桶Acl
  
  s3：繞過治理保留
  
  s3：PutObjectRetention
  
  s3：取得儲存桶位置
  
  s3：取得物件版本
  "查看策略的完整 JSON 格式，您可以在其中複製並貼上所需的權限" 。
對於 Azure：
- 您的叢集必須執行ONTAP 9.12.1 或更高版本
- 控制台代理可以部署在雲端或您的本地
對於StorageGRID：
- 您的叢集必須執行ONTAP 9.11.1 或更高版本
- 您的StorageGRID系統必須執行 11.6.0.3 或更高版本
- 控制台代理必須部署在您的場所（可以安裝在有或沒有網路存取的網站）
- 以下 S3 權限必須是提供控制台代理權限的 IAM 角色的一部分：
  StorageGRID S3 權限
  s3:取得物件版本標記
  
  s3：取得儲存桶物件鎖配置
  
  s3:取得物件版本Acl
  
  s3：PutObjectTagging
  
  s3：刪除對象
  
  s3：刪除物件標記
  
  s3：取得對象保留
  
  s3：刪除物件版本標記
  
  s3：Put對象
  
  s3：獲取對象
  
  s3:PutBucketObjectLock配置
  
  s3:獲取生命週期配置
  
  s3：取得儲存桶標記
  
  s3：刪除物件版本
  
  s3：列出儲存桶版本
  
  s3：列表桶
  
  s3：PutBucket標記
  
  s3:取得物件標記
  
  s3：PutBucket版本控制
  
  s3：PutObjectVersionTagging
  
  s3：取得儲存桶版本
  
  s3：取得儲存桶Acl
  
  s3：PutObjectRetention
  
  s3：取得儲存桶位置
  
  s3：取得物件版本

限制

如果您在備份策略中配置了檔案存儲，則 DataLock 和勒索軟體保護功能不可用。
啟動NetApp Backup and Recovery 時選擇的 DataLock 選項必須用於該叢集的所有備份策略。
您無法在單一叢集上使用多種 DataLock 模式。
如果啟用 DataLock，所有磁碟區備份都將被鎖定。您不能為單一叢集混合鎖定和非鎖定磁碟區備份。
DataLock 和勒索軟體保護適用於使用啟用了 DataLock 和勒索軟體保護的備份策略的新磁碟區備份。您可以稍後使用進階設定選項啟用或停用這些功能。
只有在使用ONTAP 9.13.1 或更高版本時， FlexGroup磁碟區才能使用 DataLock 和勒索軟體保護。

如何降低 DataLock 成本的技巧

您可以啟用或停用勒索軟體掃描功能，同時保持 DataLock 功能處於活動狀態。為了避免額外費用，您可以停用計劃的勒索軟體掃描。這使您可以自訂安全設定並避免產生雲端提供者的費用。

即使停用了計劃的勒索軟體掃描，您仍然可以在需要時執行按需掃描。

您可以選擇不同等級的保護：

無需勒索軟體掃描的 DataLock：為目標儲存中的備份資料提供保護，可以處於治理模式或合規模式。
- 治理模式：為管理員提供覆蓋或刪除受保護資料的彈性。
- 合規模式：在保留期到期之前提供完全不可磨滅性。這有助於滿足嚴格監管環境中最嚴格的資料安全要求。資料在其生命週期內無法被覆蓋或修改，為您的備份副本提供最強大的保護等級。
  
  Microsoft Azure 使用鎖定和解鎖模式。
具有勒索軟體掃描的 DataLock：為您的資料提供額外的安全保護。此功能有助於檢測任何更改備份副本的嘗試。如果有任何嘗試，則會謹慎地建立新版本的資料。掃描頻率可以變更為 1、2、3、4、5、6 或 7 天。如果將掃描設定為每 7 天一次，則成本會顯著降低。

有關降低 DataLock 成本的更多提示，請參閱https://community.netapp.com/t5/Tech-ONTAP-Blogs/Understanding-NetApp-Backup-and-Recovery-DataLock-and-Ransomware-Feature-TCO/ba-p/453475[]

此外，您還可以造訪以下網站以取得與 DataLock 相關成本的估算： "NetApp備份與還原總擁有成本 (TCO) 計算器" 。

檔案存儲選項

使用 AWS、Azure 或 Google 雲端儲存時，您可以在一定天數後將較舊的備份檔案移至較便宜的存檔儲存類別或存取層。您也可以選擇立即將備份檔案傳送到檔案存儲，而無需寫入標準雲端儲存。只需輸入 0 作為「幾天後存檔」即可將備份檔案直接傳送到檔案儲存。對於很少需要存取雲端備份資料的用戶或正在替換磁帶備份解決方案的用戶來說，這尤其有用。

存檔層中的資料在需要時無法立即訪問，並且需要更高的檢索成本，因此在決定存檔備份檔案之前，您需要考慮需要多久從備份檔案中還原一次資料。

即使您選擇「0」將所有資料區塊傳送到檔案雲端存儲，元資料區塊也始終寫入標準雲端儲存。
如果您啟用了 DataLock，則無法使用檔案儲存。
選擇 0 天（立即存檔）後，您無法變更存檔策略。

每個備份策略都提供了一個「存檔策略」部分，您可以將其套用至備份檔案。

在 AWS 中，備份從「標準」儲存類別開始，並在 30 天後轉換到「標準-不頻繁存取」儲存類別。

如果您的叢集使用的是ONTAP 9.10.1 或更高版本，您可以將較舊的備份分層到 S3 Glacier 或 S3 Glacier Deep Archive 儲存。"了解有關 AWS 檔案儲存的更多信息" 。
- 如果您在啟動NetApp Backup and Recovery 時在第一個備份策略中未選擇任何存檔層，那麼 S3 Glacier 將是您未來策略的唯一存檔選項。
- 如果您在第一個備份策略中選擇了“S3 Glacier”，那麼您可以將該叢集的未來備份策略變更為“S3 Glacier Deep Archive”層。
- 如果您在第一個備份策略中選擇“S3 Glacier Deep Archive”，則該層將是該叢集未來備份策略唯一可用的存檔層。
在 Azure 中，備份與 Cool 存取層相關聯。

如果您的叢集使用的是ONTAP 9.10.1 或更高版本，則可以將舊備份分層到_Azure Archive_儲存。"了解有關 Azure 檔案儲存的更多信息" 。
在 GCP 中，備份與 Standard 儲存類別相關聯。

如果您的本地叢集使用的是ONTAP 9.12.1 或更高版本，您可以選擇在一定天數後將舊備份分層到NetApp Backup and Recovery UI 中的「Archive」儲存中，以進一步最佳化成本。"詳細了解 Google 歸檔存儲" 。
在StorageGRID中，備份與 Standard 儲存類別相關聯。

如果您的本地叢集使用ONTAP 9.12.1 或更高版本，並且您的StorageGRID系統使用 11.4 或更高版本，則可以將較舊的備份檔案存檔到公有雲檔案儲存。

+ ** 對於 AWS，您可以將備份分層到 AWS S3 Glacier 或 S3 Glacier Deep Archive 儲存。"了解有關 AWS 檔案儲存的更多信息" 。

+ ** 對於 Azure，您可以將舊備份分層到_Azure Archive_儲存體。"了解有關 Azure 檔案儲存的更多信息" 。