本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
SnapLock 的運作方式
SnapLock可防止檔案遭到刪除、變更或重新命名,協助您符合法規與管理目的。當您建立SnapLock磁碟區時,您會提交檔案以便寫入一次、讀取多個 (WORM) 儲存空間,以及設定資料的保留期限。您的文件可以在指定的時間段內以不可擦除,不可寫入的狀態存儲,也可以無限期地存儲。
重要
您必須指定磁碟區是否要在建立時使用SnapLock設定。非SnapLock磁碟區在建立之後無法轉換為SnapLock磁碟區。
保留模式
SnapLock具有兩種保留模式:合規性和企業。Amazon FSx 支 NetApp ONTAP持他們兩個。它們具有不同的用例,並且某些功能不同,但它們都可以保護您的數據免受使用WORM模型進行修改或刪除。下表說明這些保留模式之間的一些相似性和差異。
SnapLock 功能 | SnapLock 合規 | SnapLock企業 |
---|---|---|
描述 | 在合規性磁碟區WORM上轉移到的檔案必須等到保留期過期後才能刪除。 | 授權使用者可以使用授權刪除功能,WORM在其保留期到期之前刪除轉換為企業磁碟區上的檔案。 |
使用案例 |
|
|
自動提交 | 是 | 是 |
事件型保留 () EBR* | 是 | 是 |
合法持有* | 是 | 否 |
特權刪除 | 否 | 是 |
卷追加模式 | 是 | 是 |
SnapLock稽核記錄磁碟區 | 是 | 是 |
* EBR 和支援「法律保留」作ONTAPCLI業RESTAPI。
注意
FSx支ONTAP援將資料分層至所有SnapLock磁碟區上的容量集區,無論其類SnapLock型為何。如需詳細資訊,請參閱磁碟區資料分層。
SnapLock 管理員
您必須擁有SnapLock管理員權限才能對SnapLock磁碟區執行某些動作。 SnapLock管理員權限可在中的vsadmin-snaplock
角色中定義ONTAPCLI。您必須是叢集管理員才能建立具有管理員角色的儲存區虛擬機器 (SVM) 管SnapLock理員帳戶。
您可以使用中的vsadmin-snaplock
角色執行下列動作 ONTAPCLI:
-
管理您自己的使用者帳戶、本機密碼和金鑰資訊
-
管理磁碟區,移動磁碟區除外
-
管理配額、Q 樹狀結構、快照複本和檔案
-
執行SnapLock動作,包括特權刪除和法律保留
-
設定網路檔案系統 (NFS) 和伺服器訊息區 (SMB) 通訊協定
-
設定網域名稱系統 (DNS)、輕量型目錄存取通訊協定 (LDAP) 及網路資訊服務 (NIS) 服務
-
監控作業
下列程序詳細說明如何在中建立SnapLock管理員ONTAPCLI。您必須以叢集管理員身分登入安全連線,例如安全殼層通訊協定 (SSH),才能執行此工作。
若要建立具有 vsadmin-Snaplock 角色的SVM系統管理員帳戶 ONTAP CLI
執行下列命令。Replace (取代)
SVM_name
以及SnapLockAdmin
使用您自己的信息。cluster1::>
security login create -vserver
SVM_name
-user-or-group-nameSnapLockAdmin
-application ssh -authentication-method password -role vsadmin-snaplock
SnapLock稽核記錄磁碟區
SnapLock稽核記錄磁碟區包含SnapLock稽核記錄,其中包含事件的時間戳記,例如建立SnapLock系統管理員的時間、執行授權刪除作業的時間,或在檔案上設定「合法保留」時。SnapLock稽核記錄磁碟區是不可清除的事件記錄。
您必須建立與磁碟區相同SVM的SnapLock稽核記錄SnapLock磁碟區,才能執行下列動作:
開啟或關閉SnapLock企業磁碟區上的授權刪除。
對SnapLock合規性磁碟區中的檔案套用「法律保留」。
警告
-
SnapLock稽核記錄磁碟區的最短保留期限為六個月。在此保留期間到期之前,即使磁碟區是在 SnapLock Enterprise 模式下建立,也無法刪除SnapLock稽核記錄磁碟區SVM和與其相關聯的檔案系統。
-
如果使用授權刪除檔案刪除,且其保留期間超過磁碟區的保留期限,則稽核記錄磁碟區會繼承檔案的保留期間。例如,如果使用授權刪除保留期為 10 個月的檔案,而稽核記錄磁碟區的保留期限為六個月,則稽核記錄磁碟區的保留期會延長至 10 個月。
在一個中只能有一個使用中的SnapLock稽核記錄磁碟區SVM,但是中的多個SnapLock磁碟區可以共用該磁碟區SVM。若要成功掛接SnapLock稽核記錄磁碟區,請將結合路徑設定為/snaplock_audit_log
。沒有其他磁碟區可以使用此結合路徑,包括不是稽核記錄磁碟區的磁碟區。
您可以在SnapLock稽核記錄磁碟區根/snaplock_log
目錄下的目錄中找到稽核記錄。授權刪除作業會記錄在privdel_log
子目錄中。會登入「合法保留」開始與結束作業/snaplock_log/legal_hold_logs/
。所有其他記錄檔都儲存在system_log
子目錄中。
您可以使用 Amazon FSx 主控台、Amazon 和和和建立SnapLock稽核日誌磁碟區RESTAPI。 AWS CLI FSx API ONTAP CLI
注意
資料保護 (DP) 磁碟區無法用作SnapLock稽核記錄磁碟區。
若要透過 Amazon 開啟SnapLock稽核日誌磁碟區 FSxAPI,請AuditLogVolume
在中使用 CreateSnaplockConfiguration
. 在 Amazon 主FSx控台中,對於稽核日誌磁碟區,選擇啟用。請確定「結合」路徑已設定為/snaplock_audit_log
。
存取SnapLock磁碟區中的資料
您可以使用開放式檔案通訊協定 (例如NFS和) SMB 來存取SnapLock磁碟區中的資料。將資料寫入SnapLock磁碟區或讀取受保護的資料不會影響效能WORM。
您可以使用NFS和跨SnapLock磁碟區複製檔案SMB,但它們不會在目標磁SnapLock碟區上保留其WORM屬性。您必須重新認可複製的檔案,WORM以防止它們遭到修改或刪除。如需詳細資訊,請參閱將檔案提交至WORM狀態。
您也可以使用複寫SnapLock資料SnapMirror,但來源磁碟區和目的地磁碟區必須是具有相同保留模式的SnapLock磁碟區 (例如,兩者都必須為 [相容性] 或 [企業])。