Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

將本地ONTAP叢集中的資料分層到NetApp Cloud Tiering中的 Amazon S3

貢獻者 amgrissino
PDF

透過將非活動資料分層到NetApp Cloud Tiering中的 Amazon S3,釋放本地ONTAP叢集上的空間。

快速啟動

請按照以下步驟快速開始。本主題的以下部分提供了每個步驟的詳細資訊。

一確定您將使用的配置方法

選擇是否透過公用網際網路將本機ONTAP叢集直接連接到 AWS S3,或是否使用 VPN 或 AWS Direct Connect 並透過私人 VPC 終端節點介面將流量路由至 AWS S3。

查看可用的連接方法。

二準備控制台代理

如果您已經在 AWS VPC 或您的場所部署了控制台代理,那麼一切就緒了。如果沒有,那麼您將需要建立代理以將ONTAP資料分層到 AWS S3 儲存。您還需要自訂代理的網路設置,以便它可以連接到 AWS S3。

了解如何建立代理以及如何定義所需的網路設定。

三準備本地ONTAP集群

在NetApp Console中發現您的ONTAP集群,驗證集群是否滿足最低要求,並自訂網路設置,以便集群可以連接到 AWS S3。

了解如何準備好您的本地ONTAP叢集。

四準備 Amazon S3 作為分層目標

設定代理程式建立和管理 S3 儲存桶的權限。您還需要為本機ONTAP叢集設定權限,以便它可以讀取和寫入 S3 儲存桶的資料。

了解如何為代理程式和本地叢集設定權限。

五在系統上啟用雲端分層

選擇一個本機系統,為雲端分層服務選擇*啟用*,然後依照指示將資料分層到 Amazon S3。

了解如何為您的磁碟區啟用分層。

六設定許可

免費試用結束後,您可以透過即用即付訂閱、 ONTAP Cloud Tiering BYOL 授權或兩者結合的方式支付 Cloud Tiering 費用:

連線選項的網路圖

配置從本機ONTAP系統到 AWS S3 的分層時,可以使用兩種連線方法。

  • 公用連線 - 使用公用 S3 端點將ONTAP系統直接連接到 AWS S3。

  • 私有連線 - 使用 VPN 或 AWS Direct Connect 並透過使用私人 IP 位址的 VPC Endpoint 介面路由流量。

下圖顯示了*公共連接*方法以及您需要在組件之間準備的連接。您可以使用在您的場所安裝的控制台代理,或在 AWS VPC 中部署的代理程式。

此圖表顯示了 Cloud Tiering 如何透過公用連線與叢集上的磁碟區以及非活動資料所在的 AWS S3 儲存進行通訊。

下圖顯示了*私有連接*方法以及您需要在元件之間準備的連接。您可以使用在您的場所安裝的控制台代理,或在 AWS VPC 中部署的代理程式。

此圖表顯示了 Cloud Tiering 如何透過私有連線與叢集上的磁碟區以及非活動資料所在的 AWS S3 儲存進行通訊。

註 代理程式和 S3 之間的通訊僅用於物件儲存設定。

準備控制台代理

此代理程式可透過NetApp Console啟用分層功能。需要代理程式來對非活動ONTAP資料進行分層。

建立或切換代理

如果您已經在 AWS VPC 或您的場所部署了代理,那麼一切就緒了。如果沒有,那麼您需要在任一位置建立代理,以將ONTAP資料分層到 AWS S3 儲存。您不能使用部署在其他雲端提供者中的代理程式。

代理網路要求

準備ONTAP集群

將資料分層到 Amazon S3 時,您的ONTAP叢集必須符合以下要求。

ONTAP 需求

支援的ONTAP平台

  • 使用ONTAP 9.8 及更高版本時:您可以從AFF系統或具有全 SSD 聚合或全 HDD 聚合的FAS系統分層資料。

  • 使用ONTAP 9.7 及更早版本時:您可以從AFF系統或具有全 SSD 聚合的FAS系統分層資料。

支援的 ONTAP 版本

  • ONTAP 9.2 或更高版本

  • 如果您打算使用 AWS PrivateLink 連接物件存儲,則需要ONTAP 9.7 或更高版本

支援的捲和聚合

Cloud Tiering 可以分層的磁碟區總數可能少於ONTAP系統上的磁碟區數。這是因為磁碟區不能從某些聚合中分層。請參閱ONTAP文檔 "FabricPool不支援的功能或特性"

註 從ONTAP 9.5 開始,Cloud Tiering 支援FlexGroup卷。設定方式與任何其他磁碟區相同。

叢集網路需求

  • 叢集需要從控制台代理到叢集管理 LIF 的入站 HTTPS 連線。

    叢集和 Cloud Tiering 之間不需要連接。

  • 每個託管要分層的磁碟區的ONTAP節點上都需要一個叢集間 LIF。這些群集間 LIF 必須能夠存取物件儲存。

    叢集透過連接埠 443 啟動從叢集間 LIF 到 Amazon S3 儲存的出站 HTTPS 連接,以執行分層操作。 ONTAP從物件儲存讀取和寫入資料 - 物件儲存從不啟動,它只是回應。

  • 群集間 LIF 必須與ONTAP用於連接物件儲存的 IPspace 相關聯。 "了解有關 IP 空間的更多信息"

    當您設定 Cloud Tiering 時,系統會提示您輸入要使用的 IP 空間。您應該選擇與這些 LIF 關聯的 IP 空間。這可能是「預設」 IP 空間或您建立的自訂 IP 空間。

    如果您使用的 IP 空間與「預設」不同,那麼您可能需要建立靜態路由來存取物件儲存。

    IP 空間內的所有叢集間 LIF 都必須具有物件儲存的存取權限。如果您無法為目前 IP 空間配置此功能,則需要建立一個專用 IP 空間,其中所有群集間 LIF 都可以存取物件儲存。

  • 如果您在 AWS 中使用私有 VPC 介面端點進行 S3 連接,那麼為了使用 HTTPS/443,您需要將 S3 端點憑證載入到ONTAP叢集中。了解如何設定 VPC 端點介面並載入 S3 憑證。

  • 確保您的ONTAP叢集有權存取 S3 儲存桶。

在NetApp Console中發現您的ONTAP集群

您需要先在NetApp Console中發現您的本機ONTAP集群,然後才能開始將冷資料分層到物件儲存。您需要知道叢集管理 IP 位址和管理員使用者帳戶的密碼才能新增叢集。

"了解如何發現集群"

準備您的 AWS 環境

當您為新叢集設定資料分層時,系統會提示您是否希望服務建立 S3 儲存桶,或是否要在設定代理程式的 AWS 帳戶中選擇現有的 S3 儲存桶。 AWS 帳戶必須具有您可以在 Cloud Tiering 中輸入的權限和存取金鑰。 ONTAP叢集使用存取金鑰將資料分層到 S3 中和從 S3 中分層。

預設情況下,雲端分層會為您建立儲存桶。如果您想使用自己的儲存桶,您可以在啟動分層啟動精靈之前建立儲存桶,然後在精靈中選擇該儲存桶。 "了解如何從NetApp Console建立 S3 儲存桶" 。此儲存桶必須專門用於儲存磁碟區中的非活動資料 - 不能用於任何其他目的。 S3 bucket 必須位於"支持 Cloud Tiering 的區域"

註 如果您打算將 Cloud Tiering 配置為使用成本較低的儲存類,您的分層資料將在一定天數後轉換到該儲存類,則在 AWS 帳戶中設定儲存桶時不得選擇任何生命週期規則。 Cloud Tiering 管理生命週期轉換。

設定 S3 權限

您需要設定兩組權限:

  • 代理的權限,以便它可以建立和管理 S3 儲存桶。

  • 本地ONTAP叢集的權限,以便它可以讀取和寫入 S3 儲存桶的資料。

步驟

  1. 控制台代理權限

    • 確認 "這些 S3 權限"是向代理提供權限的 IAM 角色的一部分。當您首次部署代理程式時,它們應該預設包含在內。如果沒有,您將需要添加任何缺少的權限。查看 "AWS 文件:編輯 IAM 原則"以取得說明。

    • Cloud Tiering 建立的預設儲存桶具有「fabric-pool」前綴。如果您想為您的儲存桶使用不同的前綴,您需要使用您想要使用的名稱來自訂權限。在 S3 權限中,你會看到一行 "Resource": ["arn:aws:s3:::fabric-pool*"]。您需要將“fabric-pool”更改為您想要使用的前綴。例如,如果您想使用“tiering-1”作為儲存桶的前綴,則將此行變更為 "Resource": ["arn:aws:s3:::tiering-1*"]

      如果您想要對同一NetApp Console組織中其他叢集使用的儲存桶使用不同的前綴,則可以新增另一行帶有其他儲存桶前綴的前綴。例如:

      "Resource": ["arn:aws:s3:::tiering-1*"]
      "Resource": ["arn:aws:s3:::tiering-2*"]

    如果您正在建立自己的儲存桶並且不使用標準前綴,則應將此行變更為 `"Resource": ["arn:aws:s3:::*"]`這樣任何桶子都可以被辨識。但是,這可能會暴露您的所有儲存桶,而不是那些您設計用來保存磁碟區中非活動資料的儲存桶。

  2. 集群權限

    • 當您啟動服務時,分層精靈會提示您輸入存取金鑰和金鑰。這些憑證會傳遞到ONTAP集群,以便ONTAP可以將資料分層到 S3 儲存桶。為此,您需要建立具有以下權限的 IAM 使用者:

      "s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"

      查看 "AWS 文件:建立角色以將權限委託給 IAM 用戶"了解詳情。

  3. 建立或找到存取密鑰。

    Cloud Tiering 將存取金鑰傳遞給ONTAP叢集。憑證未儲存在 Cloud Tiering 服務中。

    "AWS 文件:管理 IAM 使用者的存取金鑰"

使用 VPC 終端節點介面配置系統以進行私有連接

如果您打算使用標準公共互聯網連接,則所有權限均由代理設置,您無需執行任何其他操作。此類連接顯示在上面的第一張圖

如果您希望透過網際網路從本機資料中心到 VPC 建立更安全的連接,則可以在分層啟動精靈中選擇 AWS PrivateLink 連接。如果您打算使用 VPN 或 AWS Direct Connect 透過使用私人 IP 位址的 VPC 終端節點介面連接您的本機系統,則需要它。這種連接類型顯示在上面的第二張圖。如果您希望透過網際網路從本機資料中心到 VPC 建立更安全的連接,則可以在分層啟動精靈中選擇 AWS PrivateLink 連接。如果您打算使用 VPN 或 AWS Direct Connect 透過使用私人 IP 位址的 VPC 終端節點介面連接您的本機系統,則需要它。這種連接類型顯示在上面的第二張圖

  1. 使用 Amazon VPC 控制台或命令列建立介面終端節點配置。 "查看有關將 AWS PrivateLink 用於 Amazon S3 的詳細信息"

  2. 修改與代理程式關聯的安全性群組配置。您必須將策略變更為“自訂”(從“完全存取”),並且您必須新增所需的 S3 代理權限如前所示。

    與代理程式關聯的 AWS 安全性群組的螢幕截圖。

    如果您使用連接埠 80(HTTP)與私有端點進行通信,則一切就緒。現在您可以在叢集上啟用 Cloud Tiering。

    如果您使用連接埠 443(HTTPS)與私有端點通信,則必須從 VPC S3 端點複製憑證並將其新增至您的ONTAP集群,如接下來的 4 個步驟所示。

  3. 從 AWS 控制台取得端點的 DNS 名稱。

    來自 AWS 控制台的 VPC 端點的 DNS 名稱的螢幕截圖。

  4. 從 VPC S3 端點取得憑證。你可以透過以下方式做到這一點 "登入託管代理的虛擬機"並運行以下命令。輸入端點的 DNS 名稱時,在開頭新增“bucket”,取代“*”:

    [ec2-user@ip-10-160-4-68 ~]$ openssl s_client -connect bucket.vpce-0ff5c15df7e00fbab-yxs7lt8v.s3.us-west-2.vpce.amazonaws.com:443 -showcerts

  5. 從此指令的輸出中,複製 S3 憑證的資料(BEGIN / END CERTIFICATE 標籤之間(包括 BEGIN / END CERTIFICATE 標籤)的所有資料):

    Certificate chain
0 s:/CN=s3.us-west-2.amazonaws.com`
   i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
-----BEGIN CERTIFICATE-----
MIIM6zCCC9OgAwIBAgIQA7MGJ4FaDBR8uL0KR3oltTANBgkqhkiG9w0BAQsFADBG
…
…
GqvbOz/oO2NWLLFCqI+xmkLcMiPrZy+/6Af+HH2mLCM4EsI2b+IpBmPkriWnnxo=
-----END CERTIFICATE-----

  6. 登入ONTAP叢集 CLI 並使用以下命令套用您複製的憑證(取代您自己的儲存虛擬機器名稱):

    cluster1::> security certificate install -vserver <svm_name> -type server-ca
Please enter Certificate: Press <Enter> when done

將第一個叢集中的非活動資料分層到 Amazon S3

準備好 AWS 環境後,開始從第一個叢集分層非活動資料。

你需要什麼
步驟

  1. 選擇本地ONTAP系統。

  2. 點擊右側面板中的“啟用雲端分層”**。

    如果 Amazon S3 分層目標作為系統存在於系統頁面上,則可以將叢集拖曳到系統上以啟動設定精靈。

    螢幕截圖顯示了選擇本機ONTAP系統後螢幕右側出現的啟用選項。

  3. 定義物件儲存名稱:輸入此物件儲存的名稱。它必須與您可能在此叢集上與聚合一起使用的任何其他物件儲存不同。

  4. 選擇提供者:選擇*Amazon Web Services*並選擇*繼續*。

  5. 選擇提供者:選擇*Amazon Web Services*並選擇*繼續*。

    螢幕截圖顯示了設定 S3 儲存桶分層必須提供的資料。

  6. 完成「分層設定」頁面中的部分:

    1. S3 儲存桶:新增新的 S3 儲存桶或選擇現有的 S3 儲存桶,選擇儲存桶區域,然後選擇*繼續*。

    2. S3 儲存桶:新增新的 S3 儲存桶或選擇現有的 S3 儲存桶,選擇儲存桶區域,然後選擇*繼續*。

      使用本機代理程式時,您必須輸入可存取現有 S3 儲存桶或將要建立的新 S3 儲存桶的 AWS 帳戶 ID。

      預設使用 fabric-pool 前綴,因為代理程式的 IAM 策略允許實例對以該精確前綴命名的儲存桶執行 S3 操作。例如,您可以將 S3 儲存桶命名為 fabric-pool-AFF1,其中 AFF1 是叢集的名稱。您也可以定義用於分層的儲存桶的前綴。看設定 S3 權限確保您具有可識別您計劃使用的任何自訂前綴的 AWS 權限。

    3. 儲存類別:雲端分層管理分層資料的生命週期轉換。資料從_Standard_類別開始,但您可以建立規則,在一定天數後將不同的儲存類別套用至資料。

      選擇要將分層資料轉換到的 S3 儲存類別以及將資料分配到該類別之前的天數,然後選擇*繼續*。例如,下面的螢幕截圖顯示,分層資料在物件儲存中儲存 45 天後從 Standard 類別分配給 Standard-IA 類別。

      如果您選擇“將資料保留在此儲存類別中”,則資料將保留在“標準”儲存類別中,並且不套用任何規則。"查看支援的儲存類別"

      此螢幕截圖顯示如何選擇在一定天數後分配給您的資料的另一個儲存類別。

      請注意,生命週期規則適用於所選儲存桶中的所有物件。

    4. 憑證:輸入具有所需 S3 權限的 IAM 使用者的存取金鑰 ID 和金鑰,然後選擇*繼續*。

      IAM 使用者必須與您在 S3 Bucket 頁面上選擇或建立的儲存桶位於相同 AWS 帳戶中。

    5. 網路:輸入網路詳細資料並選擇*繼續*。

      選擇要分層的磁碟區所在的ONTAP叢集中的 IP 空間。此 IP 空間的群集間 LIF 必須具有出站互聯網存取權限,以便它們可以連接到您的雲端供應商的物件儲存。

      或者,選擇是否使用您先前配置的 AWS PrivateLink。請參閱上面的設定資訊。將顯示一個對話方塊來幫助指導您完成端點配置。

    您也可以透過定義「最大傳輸速率」來設定可用於將非活動資料上傳到物件儲存的網路頻寬。選擇*Limited*單選按鈕並輸入可使用的最大頻寬,或選擇*Unlimited*表示沒有限制。

  7. 在「Tier Volumes」頁面上,選擇要設定分層的磁碟區並啟動「Tiering Policy」頁面:

    • 若要選取所有捲,請選取標題行中的複選框( ) 並選擇 配置磁碟區

    • 若要選擇多個卷,請選取每個卷對應的複選框( ) 並選擇 配置磁碟區

    • 若要選擇單一卷,請選擇行(或編輯鉛筆圖標圖示)來表示音量。

      螢幕截圖顯示如何選擇單一磁碟區、多個磁碟區或所有磁碟區以及修改選定磁碟區按鈕。

  8. 在「分層策略」對話方塊中,選擇分層策略,選擇性地調整所選卷的冷卻天數,然後選擇「應用」。

    "了解有關容量分層策略和冷卻天數的更多信息"

    顯示可設定分層策略設定的螢幕截圖。

結果

您已成功設定從叢集上的磁碟區到 S3 物件儲存的資料分層。

下一步是什麼?

"請務必訂閱 Cloud Tiering 服務"

您可以查看有關集群上活動和非活動資料的資訊。"了解有關管理分層設定的更多信息"

如果您希望將資料從叢集上的某些聚合分層到不同的物件存儲,您還可以建立額外的物件儲存。或者,如果您打算使用FabricPool Mirroring,將分層資料複製到其他物件儲存。"了解有關管理對象存儲的更多信息"