SnapLock 的工作原理 - FSx 适用于 ONTAP
保留模式SnapLock 管理员SnapLock 审计日志卷访问 SnapLock 卷中的数据SnapLock而且 SSD 容量会减少操作
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SnapLock 的工作原理

SnapLock 可以防止您的文件被删除、更改或重命名,从而帮助您满足治理和监管目的。创建 SnapLock 卷时,将文件提交为“一次写入,多次读取”(WORM)存储,并为数据设置保留期。您的文件可以在指定时间内以不可擦除、不可写入的状态存储,也可以无限期存储。

重要

您必须在创建卷时指定卷是否使用 SnapLock 设置。非 SnapLock 卷在创建后无法转换为 SnapLock 卷。

保留模式

SnapLock 有两种保留模式:Compliance 模式和 Enterprise 模式。Amazon FSx f NetApp or ONTAP 支持这两者。它们有不同的用例,有些功能也不同,但它们都使用 WORM 模型保护您的数据免遭修改或删除。下表说明了这些保留模式之间的一些相似之处和不同之处。

SnapLock 功能 了解SnapLock合规性 了解SnapLock企业
描述 在 Compliance 卷上转换为 WORM 的文件在保留期到期之前无法删除。 在 Enterprise 卷上转换为 WORM 的文件可以由授权用户在保留期到期之前使用特权删除功能删除。
使用案例

  • 满足政府或行业特定要求,例如美国证券交易委员会(SEC)第 17a-4(f)条、金融业管理局(FINRA)第 4511 条和商品期货交易委员会(CFTC)第 1.31 条。

  • 防范勒索软件攻击。

  • 提高组织的数据完整性和内部合规性。

  • 在使用 SnapLock Compliance 模式之前测试保留设置。
自动提交 支持
基于事件的保留(EBR)1
依法保留1
使用特权删除
卷附加模式
SnapLock 审计日志卷
注意

1 CLI 和 REST AP ONTAP I 支持 EBR 和 Legal Hold 操作。

注意

FSx for ONTAP 支持将数据分层到所有SnapLock卷上的容量池,无论其类型如何。SnapLock有关更多信息,请参阅 卷数据分层

SnapLock 管理员

您必须具有 SnapLock 管理员权限才能对 SnapLock 卷执行某些操作。SnapLock 管理员权限在 ONTAP CLI 中的 vsadmin-snaplock 角色中定义。只有集群管理员才能创建具有 SnapLock 管理员角色的存储虚拟机(SVM)管理员账户。

您可以在 ONTAP CLI 中使用该 vsadmin-snaplock 角色执行以下操作:

  • 管理自己的用户账户、本地密码和密钥信息

  • 管理卷,但移动卷除外

  • 管理配额、qtree、快照副本和文件

  • 执行 SnapLock 操作,包括特权删除和依法保留

  • 配置网络文件系统(NFS)和服务器消息块(SMB)协议

  • 配置域名系统(DNS)、轻型目录访问协议(LDAP)和网络信息服务(NIS)服务

  • 监控作业

以下过程详细介绍了如何在 ONTAP CLI 中创建 SnapLock 管理员。要执行此任务,您必须以集群管理员的身份通过安全外壳协议(SSH)等安全连接登录。

要在 ONTAP CLI 中创建具有 vsadmin-snaplock 角色的 SVM 管理员账户,请执行以下操作

  • 运行以下命令。将 SVM_nameSnapLockAdmin 替换为您自己的信息。

    cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

有关更多信息,请参阅 ONTAP 用户和角色

SnapLock 审计日志卷

SnapLock 审计日志卷包含 SnapLock 审计日志,其中包含事件的时间戳,例如何时创建 SnapLock 管理员、何时执行特权删除操作或何时对文件进行依法保留。SnapLock 审计日志卷是不可擦除的事件记录。

您必须在与 SnapLock 卷相同的 SVM 中创建 SnapLock 审计日志卷才能执行以下操作:

  • 要在 SnapLock Enterprise 卷上开启或关闭特权删除,请执行以下操作。

  • 对 SnapLock Compliance 卷中的文件应用依法保留。

警告

  • SnapLock 审计日志卷的最短保留期为六个月。在此保留期到期之前,即使 SnapLock 审计日志卷是在 SnapLock Enterprise 模式下创建的,也无法删除与之关联的 SVM 和文件系统。

  • 如果使用特权删除功能删除文件,并且文件保留期长于该卷的保留期,则审计日志卷将继承该文件的保留期。例如,如果使用特权删除功能删除了保留期为 10 个月的文件,而审计日志卷的保留期为六个月,则审计日志卷的保留期将延长至 10 个月。

一个 SVM 中只能有一个活动的 SnapLock 审计日志卷,但可以由 SVM 中的多个 SnapLock 卷共享。要成功装入 SnapLock 审计日志卷,请将连接路径设置为 /snaplock_audit_log。任何其他卷都不能使用此连接路径,包括不是审计日志卷的卷。

您可以在审计日志卷根目录下的 /snaplock_log 目录中找到 SnapLock 审计日志。特权删除操作记录在 privdel_log 子目录中。依法保留开始和结束操作记录在 /snaplock_log/legal_hold_logs/ 中。所有其他日志都存储在 system_log 子目录中。

您可以使用亚马逊 FSx 控制台、亚马逊 API 以及 ONTAP CLI 和 REST FSx API 创建SnapLock审核日志卷。 Amazon CLI

注意

数据保护(DP)卷不能用作 SnapLock 审计日志卷。

要使用 Amazon FSx API 打开SnapLock审核日志卷,请在AuditLogVolume中使用CreateSnaplockConfiguration。在 Amazon FSx 控制台中,对于 “审核日志量”,选择 “启用”。确保将连接路径设置为 /snaplock_audit_log

访问 SnapLock 卷中的数据

您可以使用 NFS 和 SMB 等开放文件协议来访问 SnapLock 卷中的数据。向 SnapLock 卷写入数据或读取受 WORM 保护的数据不会对性能产生影响。

您可以使用 NFS 和 SMB 跨 SnapLock 卷复制文件,但它们不会在目标 SnapLock 卷上保留其 WORM 属性。您必须将复制的文件重新提交到 WORM,以防止它们被修改或删除。有关更多信息,请参阅 将文件提交到 WORM 状态

您也可以使用 SnapMirror 复制 SnapLock 数据,但源卷和目标卷必须是相同保留模式的 SnapLock 卷(例如,两者都必须是 Compliance 卷或 Enterprise 卷)。

SnapLock而且 SSD 容量会减少操作

在创建SnapLock卷之前,请考虑以下关于 SSD 减小的几点:

  • Amazon FSx 将拒绝对包含SnapLock卷的文件系统提出的减少固态硬盘容量的请求。

  • 在 SSD 容SnapLock量减少操作期间,您无法创建卷。

之所以存在这些限制ONTAP,是因为SnapLock审计日志卷的最低保留期限为 6 个月,如果在 SSD 缩减操作中移动了SnapLock卷,这将防止在此期间删除文件系统。

如果您需要减少带有SnapLock卷的文件系统上的 SSD 容量,则需要将数据迁移到 SSD 容量较小的新文件系统。有关 SSD 容量减少操作的更多信息,包括限制和注意事项,请参阅更新文件系统 SSD 存储和 IOPS