本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
操作方法 SnapLock 工作
SnapLock 可以防止您的文件被删除、更改或重命名,从而帮助您满足监管和监管目的。当你创建一个 SnapLock volume,您可以将文件提交为一次写入,读取多个 (WORM) 存储空间并设置数据的保留期。您的文件可以在指定时间内以不可擦除、不可写入的状态存储,也可以无限期存储。
重要
您必须指定卷是否将使用 SnapLock 创建时的设置。一个非-SnapLock 无法将音量转换为 SnapLock 创建后的音量。
保留模式
SnapLock 有两种保留模式:合规模式和企业模式。Amazon FSx for NetApp ONTAP 支持这两者。它们有不同的用例,有些功能也不同,但它们都使用WORM模型保护您的数据不被修改或删除。下表说明了这些保留模式之间的一些相似之处和不同之处。
SnapLock feature | SnapLock Compliance | SnapLock 企业 |
---|---|---|
描述 | 过渡到合规卷WORM上的文件只有在保留期到期后才能删除。 | WORM在保留期到期之前,授权用户可以使用特权删除功能删除已过渡到企业卷上的文件。 |
使用案例 |
|
|
自动提交 | 是 | 是 |
基于事件的保留 () EBR* | 是 | 是 |
依法保留* | 是 | 否 |
特权删除 | 否 | 是 |
卷附加模式 | 是 | 是 |
SnapLock 审核日志量 | 是 | Yes |
* EBR 和 Legal Hold 操作支持在 ONTAP CLI和RESTAPI。
注意
FSxfo ONTAP r 支持将数据分层到所有容量池 SnapLock 音量,不管是多少 SnapLock 。有关更多信息,请参阅 卷数据分层。
SnapLock 管理员
您必须具有…… SnapLock 可对其执行某些操作的管理员权限 SnapLock 卷。SnapLock 管理员权限是在vsadmin-snaplock
角色中定义的 ONTAP CLI。 您必须是集群管理员才能使用创建存储虚拟机 (SVM) 管理员帐户 SnapLock 管理员角色。
您可以使用中的vsadmin-snaplock
角色执行以下操作 ONTAP CLI:
-
管理自己的用户账户、本地密码和密钥信息
-
管理卷,但移动卷除外
-
管理配额、qtree、快照副本和文件
-
执行 SnapLock 操作,包括特权删除和合法保留
-
配置网络文件系统 (NFS) 和服务器消息块 (SMB) 协议
-
配置域名系统 (DNS)、轻型目录访问协议 (LDAP) 和网络信息服务 (NIS) 服务
-
监控作业
以下过程详细说明了如何创建 SnapLock 管理员在 ONTAP CLI。 要执行此任务,您必须以集群管理员身份通过安全连接(例如 Secure Shell 协议 (SSH))进行登录。
要在中创建具有 vsadmin-snaplock 角色的SVM管理员帐户 ONTAP CLI
运行以下命令。将
SVM_name
和SnapLockAdmin
替换为您自己的信息。cluster1::>
security login create -vserver
SVM_name
-user-or-group-nameSnapLockAdmin
-application ssh -authentication-method password -role vsadmin-snaplock
SnapLock 审核日志量
A SnapLock 审核日志卷包含 SnapLock 审计日志,其中包含事件的时间戳,例如当 SnapLock 管理员是在执行特权删除操作或对文件进行合法保留时创建的。这些区域有:SnapLock 审核日志量是不可擦除的事件记录。
你必须创建一个 SnapLock 审核日志量SVM与 SnapLock 以下操作的音量:
要在上打开或关闭特权删除 SnapLock 企业音量。
对文件中的文件应用法律封存 SnapLock 合规量。
警告
-
的最短保留期 SnapLock 审核日志量为六个月。在此保留期到期之前,SnapLock 审核日志卷SVM以及与之关联的和文件系统无法删除,即使该卷是在中创建的 SnapLock 企业模式。
-
如果使用特权删除功能删除文件,并且文件保留期长于该卷的保留期,则审计日志卷将继承该文件的保留期。例如,如果使用特权删除功能删除了保留期为 10 个月的文件,而审计日志卷的保留期为六个月,则审计日志卷的保留期将延长至 10 个月。
您只能激活一个 SnapLock 审核日志量在SVM,但可以由多个用户共享 SnapLock 中的音量SVM。要装载 SnapLock 成功审核日志量,将接合路径设置为/snaplock_audit_log
。任何其他卷都不能使用此连接路径,包括不是审计日志卷的卷。
你可以找到 SnapLock 审计日志位于审计日志卷根/snaplock_log
目录下的目录中。特权删除操作记录在 privdel_log
子目录中。依法保留开始和结束操作记录在 /snaplock_log/legal_hold_logs/
中。所有其他日志都存储在 system_log
子目录中。
你可以创建一个 SnapLock 使用亚马逊FSx控制台、 Amazon CLI、Amazon FSx API 和 ONTAP CLI和RESTAPI。
注意
数据保护 (DP) 卷不能用作 SnapLock 审核日志量。
要打开 SnapLock 使用 Amazon 审核日志量 FSxAPI,AuditLogVolume
在CreateSnaplockConfiguration
。在 Amazon FSx 控制台中,对于 “审核日志量”,选择 “启用”。确保将连接路径设置为 /snaplock_audit_log
。
在 a 中访问您的数据 SnapLock volume
您可以使用打开文件协议(例如NFS和)SMB来访问您的数据 SnapLock 音量。将数据写入不会对性能产生影响 SnapLock 音量或读取受保护的数据WORM。
您可以跨跨复制文件 SnapLock 带有NFS和的卷SMB,但它们不会在目标上保留其WORM属性 SnapLock 音量。您必须将复制的文件重新提交到,WORM以防止它们被修改或删除。有关更多信息,请参阅 将文件提交到WORM状态。
你也可以复制 SnapLock 数据与 SnapMirror,但源卷和目标卷必须是 SnapLock 保留模式相同的卷(例如,两者都必须为合规性或企业版)。