Funzionamento di SnapLock - FSx per ONTAP
Modalità di conservazioneAmministratore di SnapLockSnapLockvolumi dei registri di controlloAccesso ai dati in un SnapLock volumeSnapLocke le operazioni di riduzione della capacità degli SSD

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Funzionamento di SnapLock

SnapLockpuò aiutarti a soddisfare gli obiettivi normativi e di governance impedendo che i tuoi file vengano eliminati, modificati o rinominati. Quando si crea un SnapLock volume, si affidano i file allo storage WORM (Write Once, Read Many) e si impostano periodi di conservazione dei dati. I file possono essere archiviati in uno stato non cancellabile e non scrivibile per un periodo prestabilito o a tempo indeterminato.

Importante

È necessario specificare se un volume utilizzerà SnapLock le impostazioni al momento della creazione. Un non SnapLock volume non può essere convertito in SnapLock volume dopo la creazione.

Modalità di conservazione

SnapLockdispone di due modalità di conservazione: Compliance ed Enterprise. Amazon FSx for NetApp ONTAP li supporta entrambi. Hanno casi d'uso diversi e alcune funzionalità sono diverse, ma entrambe proteggono i dati dalla modifica o dall'eliminazione utilizzando il modello WORM. Nella tabella seguente vengono illustrate alcune delle somiglianze e delle differenze tra queste modalità di conservazione.

Caratteristica SnapLock Comprendere la conformità SnapLock Comprendere SnapLock Enterprise
Descrizione I file trasferiti a WORM su un volume Compliance non possono essere eliminati fino alla scadenza dei relativi periodi di conservazione. I file trasferiti a WORM su un volume Enterprise possono essere eliminati dagli utenti autorizzati prima della scadenza dei periodi di conservazione utilizzando l'eliminazione privilegiata.
Casi d'uso

  • Per soddisfare mandati governativi o specifici del settore, come la regola SEC 17a-4 (f), la regola FINRA 4511 e il regolamento CFTC 1.31.

  • Per proteggersi dagli attacchi di ransomware.

  • Promuovere l'integrità dei dati e la conformità interna di un'organizzazione.

  • Per testare le impostazioni di conservazione prima di utilizzare SnapLock Compliance.

Commit automatico
Conservazione basata sugli eventi (EBR)1
Conservazione legale1 No
Utilizzo dell'eliminazione privilegiata No
modalità Volume-append
SnapLockvolumi dei registri di controllo
Nota

1 Le operazioni EBR e Legal Hold sono supportate nella ONTAP CLI e nell'API REST.

Nota

FSx for ONTAP supporta il tiering dei dati nel pool di capacità su tutti i SnapLock volumi, indipendentemente dal tipo. SnapLock Per ulteriori informazioni, consulta Suddivisione dei volumi di dati su più livelli.

Amministratore di SnapLock

È necessario disporre dei privilegi di SnapLock amministratore per eseguire determinate azioni sui volumi. SnapLock SnapLocki privilegi di amministratore sono definiti nel vsadmin-snaplock ruolo nella ONTAP CLI. È necessario essere un amministratore del cluster per creare un account di amministratore di una macchina virtuale di archiviazione (SVM) con il SnapLock ruolo di amministratore.

È possibile eseguire le seguenti azioni con il vsadmin-snaplock ruolo nella ONTAP CLI:

  • Gestisci il tuo account utente, la password locale e le informazioni chiave

  • Gestisci i volumi, tranne lo spostamento dei volumi

  • Gestisci quote, qtree, copie istantanee e file

  • Esegui SnapLock azioni, tra cui l'eliminazione con privilegi e la conservazione a fini legali

  • Configura i protocolli Network File System (NFS) e Server Message Block (SMB)

  • Configura i servizi Domain Name System (DNS), Lightweight Directory Access Protocol (LDAP) e Network Information Service (NIS)

  • Monitoraggio dei lavori

La procedura seguente descrive in dettaglio come creare un SnapLock amministratore nella ONTAP CLI. È necessario accedere come amministratore del cluster su una connessione sicura, ad esempio Secure Shell Protocol (SSH) per eseguire questa attività.

Per creare un account amministratore SVM con il ruolo vsadmin-snaplock nella CLI ONTAP

  • Esegui il comando seguente. Sostituisci e con le tue informazioni. SVM_name SnapLockAdmin

    cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock

Per ulteriori informazioni, consulta ONTAPruoli e utenti.

SnapLockvolumi dei registri di controllo

Un SnapLock volume di log di SnapLock controllo contiene registri di controllo, che contengono i timestamp di eventi, ad esempio quando è stato creato un SnapLock amministratore, quando sono state eseguite operazioni di eliminazione con privilegi o quando è stato inserito un blocco a fini legali sui file. Il volume del registro SnapLock di controllo è un record di eventi non cancellabile.

È necessario creare un volume di registro di SnapLock controllo nella stessa SVM del SnapLock volume per le seguenti azioni:

  • Per attivare o disattivare l'eliminazione con privilegi su un volume SnapLock Enterprise.

  • Per applicare la conservazione a fini legali a un file in un volume SnapLock Compliance.

avvertimento

  • Il periodo minimo di conservazione per un volume SnapLock di log di controllo è di sei mesi. Fino alla scadenza di questo periodo di conservazione, il volume del registro di SnapLock controllo, la SVM e il file system ad esso associati non possono essere eliminati anche se il volume è stato creato in modalità SnapLock Enterprise.

  • Se un file viene eliminato utilizzando l'eliminazione privilegiata e il periodo di conservazione è più lungo del periodo di conservazione del volume, il volume del registro di controllo eredita il periodo di conservazione del file. Ad esempio, se un file con un periodo di conservazione di 10 mesi viene eliminato utilizzando l'eliminazione privilegiata e il periodo di conservazione del volume del registro di controllo è di sei mesi, il periodo di conservazione del volume del registro di controllo viene esteso a 10 mesi.

È possibile avere un solo volume di log di SnapLock controllo attivo in una SVM, ma può essere condiviso da più SnapLock volumi nella SVM. Per montare correttamente un volume SnapLock di log di controllo, impostate il percorso di giunzione su. /snaplock_audit_log Nessun altro volume può utilizzare questo percorso di giunzione, compresi i volumi che non sono volumi di registro di controllo.

È possibile trovare i log di SnapLock controllo nella /snaplock_log directory sotto la radice del volume del registro di controllo. Le operazioni di eliminazione con privilegi vengono registrate nella sottodirectory. privdel_log Le operazioni di inizio e fine di Legal Hold vengono registrate. /snaplock_log/legal_hold_logs/ Tutti gli altri registri vengono archiviati nella sottodirectory. system_log

Puoi creare un volume di log di SnapLock controllo con la FSx console Amazon, l' FSx API Amazon AWS CLI, l'interfaccia a riga di ONTAP comando e l'API REST.

Nota

Un volume di protezione dei dati (DP) non può essere utilizzato come volume di log di SnapLock controllo.

Per attivare il volume del registro di SnapLock controllo con l' FSx API Amazon, usa AuditLogVolume in CreateSnaplockConfiguration. Nella FSx console Amazon, per Audit log volume, scegli Enabled. Assicurati che il percorso di giunzione sia impostato su/snaplock_audit_log.

Accesso ai dati in un SnapLock volume

È possibile utilizzare protocolli di file aperti come NFS e SMB per accedere ai dati in un SnapLock volume. La scrittura di dati su un SnapLock volume o la lettura di dati protetti da WORM non hanno alcun impatto sulle prestazioni.

È possibile copiare file tra SnapLock volumi con NFS e SMB, ma questi non manterranno le proprietà WORM sul volume di destinazione. SnapLock È necessario raccomandare nuovamente i file copiati in WORM per evitare che vengano modificati o eliminati. Per ulteriori informazioni, consulta Immissione dei file nello stato WORM.

È inoltre possibile replicare SnapLock i dati conSnapMirror, ma i volumi di origine e di destinazione devono essere SnapLock volumi con la stessa modalità di conservazione (ad esempio, entrambi devono essere Compliance o Enterprise).

SnapLocke le operazioni di riduzione della capacità degli SSD

Prima di creare un SnapLock volume, considera questi punti sulle riduzioni degli SSD:

  • Amazon FSx rifiuterà le richieste di riduzione della capacità SSD sui file system che contengono SnapLock volumi.

  • Non è possibile creare SnapLock volumi durante un'operazione di riduzione della capacità SSD.

Queste limitazioni esistono perché ONTAP impone un periodo di conservazione minimo di 6 mesi per il volume del registro di SnapLock controllo, il che impedirebbe l'eliminazione del file system durante tale periodo se un SnapLock volume venisse spostato come parte di un'operazione di riduzione dell'SSD.

Se è necessario ridurre la capacità SSD su un file system con SnapLock volumi, è necessario migrare i dati su un nuovo file system con una capacità SSD inferiore. Per ulteriori informazioni sulle operazioni di riduzione della capacità degli SSD, comprese le limitazioni e le considerazioni, consulta. Aggiornamento dello storage SSD e degli IOPS del file system