本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
SnapLock 的工作原理
SnapLock 可以防止您的文件被删除、更改或重命名,从而帮助您满足治理和监管目的。创建 SnapLock 卷时,将文件提交为“一次写入,多次读取”(WORM)存储,并为数据设置保留期。您的文件可以在指定时间内以不可擦除、不可写入的状态存储,也可以无限期存储。
重要
您必须在创建卷时指定卷是否使用 SnapLock 设置。非 SnapLock 卷在创建后无法转换为 SnapLock 卷。
保留模式
SnapLock 有两种保留模式:Compliance 模式和 Enterprise 模式。适用于 NetApp ONTAP 的 Amazon FSx 支持这两者。它们有不同的用例,有些功能也不同,但它们都使用 WORM 模型保护您的数据免遭修改或删除。下表说明了这些保留模式之间的一些相似之处和不同之处。
SnapLock 功能 | SnapLock Compliance | SnapLock Enterprise |
---|---|---|
描述 | 在 Compliance 卷上转换为 WORM 的文件在保留期到期之前无法删除。 | 在 Enterprise 卷上转换为 WORM 的文件可以由授权用户在保留期到期之前使用特权删除功能删除。 |
用例 |
|
|
自动提交 | 是 | 是 |
基于事件的保留(EBR)* | 是 | 是 |
依法保留* | 是 | 否 |
特权删除 | 否 | 是 |
卷附加模式 | 是 | 是 |
SnapLock 审计日志卷 | 是 | 是 |
* ONTAP CLI 和 REST API 支持 EBR 和依法保留操作。
SnapLock 管理员
您必须具有 SnapLock 管理员权限才能对 SnapLock 卷执行某些操作。SnapLock 管理员权限在 ONTAP CLI 中的 vsadmin-snaplock
角色中定义。只有集群管理员才能创建具有 SnapLock 管理员角色的存储虚拟机(SVM)管理员账户。
您可以在 ONTAP CLI 中使用该 vsadmin-snaplock
角色执行以下操作:
-
管理自己的用户账户、本地密码和密钥信息
-
管理卷,但移动卷除外
-
管理配额、qtree、快照副本和文件
-
执行 SnapLock 操作,包括特权删除和依法保留
-
配置网络文件系统(NFS)和服务器消息块(SMB)协议
-
配置域名系统(DNS)、轻型目录访问协议(LDAP)和网络信息服务(NIS)服务
-
监控作业
以下过程详细介绍了如何在 ONTAP CLI 中创建 SnapLock 管理员。要执行此任务,您必须以集群管理员的身份通过安全外壳协议(SSH)等安全连接登录。
要在 ONTAP CLI 中创建具有 vsadmin-snaplock 角色的 SVM 管理员账户,请执行以下操作
运行以下命令。将
svm_name
和SnapLockAdmin
替换为你自己的信息。cluster1::>
security login create -vserver
SVM_name
-user-or-group-nameSnapLockAdmin
-application ssh -authentication-method password -role vsadmin-snaplock
SnapLock 审计日志卷
SnapLock 审计日志卷包含 SnapLock 审计日志,其中包含事件的时间戳,例如何时创建 SnapLock 管理员、何时执行特权删除操作或何时对文件进行依法保留。SnapLock 审计日志卷是不可擦除的事件记录。
您必须在与 SnapLock 卷相同的 SVM 中创建 SnapLock 审计日志卷才能执行以下操作:
要在 SnapLock Enterprise 卷上开启或关闭特权删除,请执行以下操作。
对 SnapLock Compliance 卷中的文件应用依法保留。
警告
-
SnapLock 审计日志卷的最短保留期为六个月。在此保留期到期之前,即使 SnapLock 审计日志卷是在 SnapLock Enterprise 模式下创建的,也无法删除与之关联的 SVM 和文件系统。
-
如果使用特权删除功能删除文件,并且文件保留期长于该卷的保留期,则审计日志卷将继承该文件的保留期。例如,如果使用特权删除功能删除了保留期为 10 个月的文件,而审计日志卷的保留期为六个月,则审计日志卷的保留期将延长至 10 个月。
一个 SVM 中只能有一个活动的 SnapLock 审计日志卷,但可以由 SVM 中的多个 SnapLock 卷共享。要成功装入 SnapLock 审计日志卷,请将连接路径设置为 /snaplock_audit_log
。任何其他卷都不能使用此连接路径,包括不是审计日志卷的卷。
您可以在审计日志卷根目录下的 /snaplock_log
目录中找到 SnapLock 审计日志。特权删除操作记录在 privdel_log
子目录中。依法保留开始和结束操作记录在 /snaplock_log/legal_hold_logs/
中。所有其他日志都存储在 system_log
子目录中。
您可以使用 Amazon FSx 控制台、Amazon CLI、Amazon FSx API、以及 ONTAP CLI 和 REST API 创建 SnapLock 审计日志卷。
注意
数据保护(DP)卷不能用作 SnapLock 审计日志卷。
以下步骤介绍如何在 Amazon FSx 控制台上创建 SnapLock 审计日志卷。
要在 Amazon FSx 控制台上创建 SnapLock 审计日志卷,请采取以下操作
通过以下网址打开 Amazon FSx 控制台:https://console.aws.amazon.com/fsx/
。 -
按照以下部分中创建新卷的步骤进行操作:创建卷。
-
在 “高级” 部分的 “SnapLock 配置” 中,选择 “启用”。
选中该复选框以确认有关在卷上启用 SnapLock 的警告。
-
对于审计日志卷,选择已启用。
确保将连接路径设置为
/snaplock_audit_log
。 -
按照以下部分中创建新卷的剩余步骤进行操作:创建卷。
选择确认即可创建卷。
要使用 Amazon FSx API 打开 SnapLock 审计日志卷,请在 CreateSnaplockConfiguration
中使用 AuditLogVolume
。
访问 SnapLock 卷中的数据
您可以使用 NFS 和 SMB 等开放文件协议来访问 SnapLock 卷中的数据。向 SnapLock 卷写入数据或读取受 WORM 保护的数据不会对性能产生影响。
您可以使用 NFS 和 SMB 跨 SnapLock 卷复制文件,但它们不会在目标 SnapLock 卷上保留其 WORM 属性。您必须将复制的文件重新提交到 WORM,以防止它们被修改或删除。有关更多信息,请参阅 将文件提交到 WORM 状态。
您也可以使用 SnapMirror 复制 SnapLock 数据,但源卷和目标卷必须是相同保留模式的 SnapLock 卷(例如,两者都必须是 Compliance 卷或 Enterprise 卷)。