本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
SnapLock 的運作方式
SnapLock可防止檔案遭到刪除、變更或重新命名,協助您符合法規與管理目的。當您建立SnapLock磁碟區時,您會認可檔案寫入一次、讀取多個 (WORM) 儲存空間,並設定資料的保留期限。您的文件可以在指定的時間段內以不可擦除,不可寫入的狀態存儲,也可以無限期地存儲。
重要
您必須指定磁碟區是否要在建立時使用SnapLock設定。非SnapLock磁碟區在建立之後無法轉換為SnapLock磁碟區。
保留模式
SnapLock具有兩種保留模式:合規性和企業。適用於 NetApp ONTAP 的 Amazon FSx 支持它們。它們具有不同的使用案例,並且某些功能不同,但它們都可以使用 WORM 模型保護您的資料不被修改或刪除。下表說明這些保留模式之間的一些相似性和差異。
SnapLock 功能 | SnapLock 合規 | SnapLock企業 |
---|---|---|
描述 | 在合規性磁碟區上轉換為 WORM 的檔案,直到其保留期過期才能刪除。 | 授權使用者可以使用授權刪除功能,在其保留期到期之前刪除企業磁碟區上轉換為 WORM 的檔案。 |
使用案例 |
|
|
自動提交 | 是 | 是 |
事件型保留 (EBR)* | 是 | 是 |
合法持有* | 是 | 否 |
特權刪除 | 否 | 是 |
卷追加模式 | 是 | 是 |
SnapLock稽核記錄磁碟區 | 是 | 是 |
* ONTAP CLI 和 REST API 支援 EBR 和法律保留作業。
SnapLock 管理員
您必須擁有SnapLock管理員權限才能對SnapLock磁碟區執行某些動作。 SnapLock管理員權限是在 ONTAP CLI 中的vsadmin-snaplock
角色中定義的。您必須是叢集管理員,才能建立具有管理員角色的儲存區虛擬機器 (SVM) 管SnapLock理員帳戶。
您可以使用 ONTAP CLI 中的vsadmin-snaplock
角色執行下列動作:
-
管理您自己的使用者帳戶、本機密碼和金鑰資訊
-
管理磁碟區,移動磁碟區除外
-
管理配額、Q 樹狀結構、快照複本和檔案
-
執行SnapLock動作,包括特權刪除和法律保留
-
設定網路檔案系統 (NFS) 和伺服器訊息區 (SMB) 通訊協定
-
設定網域名稱系統 (DNS)、輕量型目錄存取通訊協定 (LDAP) 及網路資訊服務 (NIS) 服務
-
監控作業
下列程序詳細說明如何在 ONTAP CLI 中建立SnapLock系統管理員。您必須以叢集管理員身分登入安全連線,例如安全殼層通訊協定 (SSH),才能執行此工作。
在 CLI 中使用 vsadmin 快照鎖定角色建立 SVM 管理員帳戶 ONTAP
執行下列命令。替換
SVM_name
並SnapLockAdmin
用您自己的信息。cluster1::>
security login create -vserver
SVM_name
-user-or-group-nameSnapLockAdmin
-application ssh -authentication-method password -role vsadmin-snaplock
SnapLock稽核記錄磁碟區
SnapLock稽核記錄磁碟區包含SnapLock稽核記錄,其中包含事件的時間戳記,例如建立SnapLock系統管理員的時間、執行授權刪除作業的時間,或在檔案上設定「合法保留」時。SnapLock稽核記錄磁碟區是不可清除的事件記錄。
您必須在與磁碟區相同的 SVM 中建立SnapLock稽核記錄SnapLock磁碟區,才能執行下列動作:
開啟或關閉SnapLock企業磁碟區上的授權刪除。
對SnapLock合規性磁碟區中的檔案套用「法律保留」。
警告
-
SnapLock稽核記錄磁碟區的最短保留期限為六個月。在此保留期到期之前,即使磁碟區是在 SnapLock Enterprise 模式下建立,也無法刪除SnapLock稽核記錄磁碟區以及與其相關聯的 SVM 和檔案系統。
-
如果使用授權刪除檔案刪除,且其保留期間超過磁碟區的保留期限,則稽核記錄磁碟區會繼承檔案的保留期間。例如,如果使用授權刪除保留期為 10 個月的檔案,而稽核記錄磁碟區的保留期限為六個月,則稽核記錄磁碟區的保留期會延長至 10 個月。
SVM 中只能有一個使用中的SnapLock稽核記錄磁碟區,但 SVM 中的多個SnapLock磁碟區可共用該磁碟區。若要成功掛接SnapLock稽核記錄磁碟區,請將結合路徑設定為/snaplock_audit_log
。沒有其他磁碟區可以使用此結合路徑,包括不是稽核記錄磁碟區的磁碟區。
您可以在SnapLock稽核記錄磁碟區根/snaplock_log
目錄下的目錄中找到稽核記錄。有權限的刪除作業會記錄在privdel_log
子目錄中。會登入「合法保留」開始與結束作業/snaplock_log/legal_hold_logs/
。所有其他記錄檔都儲存在system_log
子目錄中。
您可以使用 Amazon FSx 主控台、Amazon FSx API 以及 ONTAP CLI 和 REST API 建立SnapLock稽核日誌磁碟區。AWS CLI
注意
資料保護 (DP) 磁碟區無法做為SnapLock稽核記錄磁碟區使用。
下列程序說明如何在 Amazon FSx 主控台上建立SnapLock稽核日誌磁碟區。
若要建立SnapLock稽核日誌磁碟區,請使用 Amazon FSx 主控台
開啟 Amazon FSx 主控台,網址為 https://console.aws.amazon.com/fsx/
。 -
請遵循中建立新磁碟區的程序建立磁碟區。
-
在「進階」段落中,對於「SnapLock 組態」,選擇啟用。
選取此核取方塊以確認有關在磁碟區SnapLock上啟用的警告。
-
針對 [稽核記錄檔量],選擇 [啟用]
請確定「結合」路徑已設定為
/snaplock_audit_log
。 -
請遵循中建立新磁碟區的程序的其餘步驟建立磁碟區。
選擇 [確認] 以建立磁碟區。
若要使用 Amazon FSx API 開啟SnapLock稽核日誌磁碟區,請AuditLogVolume
在中使用. CreateSnaplockConfiguration
存取SnapLock磁碟區中的資料
您可以使用開放式檔案通訊協定 (例如 NFS 和 SMB) 來存取SnapLock磁碟區中的資料。將資料寫入SnapLock磁碟區或讀取受 WORM 保護的資料不會造成效能影響。
您可以在具有 NFS 和 SMB 的SnapLock磁碟區之間複製檔案,但它們不會在目的磁SnapLock碟區上保留其 WORM 屬性。您必須將複製的檔案重新提交至 WORM,以防止它們遭到修改或刪除。如需詳細資訊,請參閱 將檔案提交至 WORM 狀態。
您也可以使用複寫SnapLock資料SnapMirror,但來源磁碟區和目的地磁碟區必須是具有相同保留模式的SnapLock磁碟區 (例如,兩者都必須為 [相容性] 或 [企業])。