SnapLock 的工作原理 - FSx for ONTAP
保留模式SnapLock 管理员SnapLock 审计日志卷访问 SnapLock 卷中的数据SnapLock 和 SSD 容量缩减操作
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

SnapLock 的工作原理

SnapLock 可以防止您的文件被删除、更改或重命名,从而帮助您满足治理和监管目的。创建 SnapLock 卷时,将文件提交为“一次写入,多次读取”(WORM)存储,并为数据设置保留期。您的文件可以在指定时间内以不可擦除、不可写入的状态存储,也可以无限期存储。

重要

您必须在创建卷时指定卷是否使用 SnapLock 设置。非 SnapLock 卷在创建后无法转换为 SnapLock 卷。

保留模式

SnapLock 有两种保留模式:Compliance 模式和 Enterprise 模式。适用于 NetApp ONTAP 的 Amazon FSx 同时支持这两种模式。它们有不同的用例,有些功能也不同,但它们都使用 WORM 模型保护您的数据免遭修改或删除。下表说明了这些保留模式之间的一些相似之处和不同之处。

SnapLock 功能 了解 SnapLock Compliance 了解 SnapLock Enterprise
描述 在 Compliance 卷上转换为 WORM 的文件在保留期到期之前无法删除。 在 Enterprise 卷上转换为 WORM 的文件可以由授权用户在保留期到期之前使用特权删除功能删除。
使用案例

  • 满足政府或行业特定要求,例如美国证券交易委员会(SEC)第 17a-4(f)条、金融业管理局(FINRA)第 4511 条和商品期货交易委员会(CFTC)第 1.31 条。

  • 防范勒索软件攻击。

  • 提高组织的数据完整性和内部合规性。

  • 在使用 SnapLock Compliance 模式之前测试保留设置。
自动提交
基于事件的保留(EBR)1
依法保留1
使用特权删除
卷附加模式
SnapLock 审计日志卷
注意

1 ONTAP CLI 和 REST API 支持 EBR 和依法保留操作。

注意

FSx for ONTAP 支持将数据分层到所有 SnapLock 卷上的容量池,无论 SnapLock 类型如何。有关更多信息,请参阅 卷数据分层

SnapLock 管理员

您必须具有 SnapLock 管理员权限才能对 SnapLock 卷执行某些操作。SnapLock 管理员权限在 ONTAP CLI 中的 vsadmin-snaplock 角色中定义。只有集群管理员才能创建具有 SnapLock 管理员角色的存储虚拟机(SVM)管理员账户。

您可以在 ONTAP CLI 中使用该 vsadmin-snaplock 角色执行以下操作:

  • 管理自己的用户账户、本地密码和密钥信息

  • 管理卷,但移动卷除外

  • 管理配额、qtree、快照副本和文件

  • 执行 SnapLock 操作,包括特权删除和依法保留

  • 配置网络文件系统(NFS)和服务器消息块(SMB)协议

  • 配置域名系统(DNS)、轻型目录访问协议(LDAP)和网络信息服务(NIS)服务

  • 监控作业

以下过程详细介绍了如何在 ONTAP CLI 中创建 SnapLock 管理员。要执行此任务,您必须以集群管理员的身份通过安全外壳协议(SSH)等安全连接登录。

要在 ONTAP CLI 中创建具有 vsadmin-snaplock 角色的 SVM 管理员账户,请执行以下操作

  • 运行以下命令。将 SVM_nameSnapLockAdmin 替换为您自己的信息。

    cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

有关更多信息,请参阅 ONTAP 用户和角色

SnapLock 审计日志卷

SnapLock 审计日志卷包含 SnapLock 审计日志,其中包含事件的时间戳,例如何时创建 SnapLock 管理员、何时执行特权删除操作或何时对文件进行依法保留。SnapLock 审计日志卷是不可擦除的事件记录。

您必须在与 SnapLock 卷相同的 SVM 中创建 SnapLock 审计日志卷才能执行以下操作:

  • 要在 SnapLock Enterprise 卷上开启或关闭特权删除,请执行以下操作。

  • 对 SnapLock Compliance 卷中的文件应用依法保留。

警告

  • SnapLock 审计日志卷的最短保留期为六个月。在此保留期到期之前,即使 SnapLock 审计日志卷是在 SnapLock Enterprise 模式下创建的,也无法删除与之关联的 SVM 和文件系统。

  • 如果使用特权删除功能删除文件,并且文件保留期长于该卷的保留期,则审计日志卷将继承该文件的保留期。例如,如果使用特权删除功能删除了保留期为 10 个月的文件,而审计日志卷的保留期为六个月,则审计日志卷的保留期将延长至 10 个月。

一个 SVM 中只能有一个活动的 SnapLock 审计日志卷,但可以由 SVM 中的多个 SnapLock 卷共享。要成功装入 SnapLock 审计日志卷,请将连接路径设置为 /snaplock_audit_log。任何其他卷都不能使用此连接路径,包括不是审计日志卷的卷。

您可以在审计日志卷根目录下的 /snaplock_log 目录中找到 SnapLock 审计日志。特权删除操作记录在 privdel_log 子目录中。依法保留开始和结束操作记录在 /snaplock_log/legal_hold_logs/ 中。所有其他日志都存储在 system_log 子目录中。

您可以使用 Amazon FSx 控制台、Amazon CLI、Amazon FSx API、以及 ONTAP CLI 和 REST API 创建 SnapLock 审计日志卷。

注意

数据保护(DP)卷不能用作 SnapLock 审计日志卷。

要使用 Amazon FSx API 打开 SnapLock 审计日志卷,请在 CreateSnaplockConfiguration 中使用 AuditLogVolume。在 Amazon FSx 控制台中,对于审计日志卷,选择启用。确保将连接路径设置为 /snaplock_audit_log

访问 SnapLock 卷中的数据

您可以使用 NFS 和 SMB 等开放文件协议来访问 SnapLock 卷中的数据。向 SnapLock 卷写入数据或读取受 WORM 保护的数据不会对性能产生影响。

您可以使用 NFS 和 SMB 跨 SnapLock 卷复制文件,但它们不会在目标 SnapLock 卷上保留其 WORM 属性。您必须将复制的文件重新提交到 WORM,以防止它们被修改或删除。有关更多信息,请参阅 将文件提交到 WORM 状态

您也可以使用 SnapMirror 复制 SnapLock 数据,但源卷和目标卷必须是相同保留模式的 SnapLock 卷(例如,两者都必须是 Compliance 卷或 Enterprise 卷)。

SnapLock 和 SSD 容量缩减操作

创建 SnapLock 卷之前,请考虑以下关于 SSD 容量减少的注意事项:

  • Amazon FSx 将拒绝针对包含 SnapLock 卷的文件系统提出的 SSD 容量缩减请求。

  • 在 SSD 容量缩减操作期间,无法创建 SnapLock 卷。

这些限制存在的原因在于 ONTAP 强制要求 SnapLock 审计日志卷最少保留 6 个月,如果在 SSD 缩减操作中移动了 SnapLock 卷,这将阻止在该期间内删除文件系统。

如果需缩减带 SnapLock 卷文件系统中的 SSD 容量,则需将数据迁移至 SSD 容量较小的新文件系统。有关 SSD 容量缩减操作的更多信息,包括限制和注意事项,请参阅 更新文件系统 SSD 存储和 IOPS