文書番号: 000079803
# mtree retention-lock enable mode governance mtree [mtree]
(ADMIN USER) # user add [username] role security
(SECURITY USER): # authorization policy set security-officer enabled
(ADMIN USER) # system retention-lock compliance configure
(ADMIN USER) # system retention-lock compliance enable
(ADMIN USER) # mtree retention-lock enable mode compliance mtree [mtree]
Як можна визначити, на яких MTrees увімкнено блокування утримання?
MTrees з увімкненим блокуванням утримання вказуються у виводі 'mtree list', наприклад:
sysadmin@ddxxxx# mtree list
Name Pre-Comp (GiB) Status Tenant-Unit
--------------------------------- -------------- ------- -----------
...
/data/col1/rich-retention-lock 0.0 RW/RLGE -
/data/col1/rl_test 0.0 RW/RLGD -
/data/col1/rl_test_comp 0.0 RW/RLCE -
/data/col1/test 3.1 RW/RLGE -
...
--------------------------------- -------------- ------- -----------
...
RLGE : Retention-Lock Governance Enabled
RLGD : Retention-Lock Governance Disabled
RLCE : Retention-Lock Compliance Enabled
Чи можна перетворити MTree з увімкненим керуванням замком утримання на відповідність вимогам Retention Lock?
Як зазначено в Керівництві з адміністрування DDOS, це неможливо.
Чи можна перетворити MTree з увімкненою відповідністю Retention Lock на Retention Lock Governance?
Як зазначено в Керівництві з адміністрування DDOS, це неможливо.
Як встановлюються періоди зберігання файлів або блокування?
Після ввімкнення блокування зберігання для MTree необхідно встановити мінімальний і максимальний період зберігання. Ці періоди визначають мінімальний і максимальний час, протягом якого файл може бути заблокований. Наприклад:
# mtree retention-lock set min-retention-period [period] mtree [mtree]
# mtree retention-lock set max-retention-period [period] mtree [mtree]
Періоди можуть бути наведені в різних одиницях наступним чином:
Як можна відобразити існуючі періоди зберігання?
Це можна зробити за допомогою наступних двох команд:
# mtree retention-lock show min-retention-period mtree [mtree] # mtree retention-lock show max-retention-period mtree [mtree]
Наприклад:
sysadmin@dd630# mtree retention-lock show min-retention-period mtree /data/col1/rl_test
Retention-lock min-retention-period of mtree /data/col1/rl_test is: 720 minutes.
sysadmin@dd630# mtree retention-lock show max-retention-period mtree /data/col1/rl_test
Retention-lock max-retention-period of mtree /data/col1/rl_test is: 30 days.
Як блокуються файли в MTree з увімкненим блокуванням збереження?
Час роботи файлу можна змінити в клієнті NFS або CIFS за допомогою команди 'touch':
# touch -a -t [expiry time] [file to be locked]
Наприклад, щоб встановити час /data/col1/rl_test/testfile на 07:05 8 червня:
# touch -a -t 06080705 /data/col1/rl_test/testfile
Період від поточного часу до майбутнього часу повинен бути в межах мінімального та максимального періодів зберігання для MTree. В іншому випадку при часовій зміні файлів генерується помилка:
# touch -a -t 08080705 /data/col1/rl_test/testfile
touch: setting times of `/data/col1/rl_test/testfile': Permission denied
У файлових файлових системах домену даних (DDFS) також відображається відповідне повідомлення:
06/07 13:44:57.197 (tid 0x2b28ee5258c0): Attempt to set atime of /data/col1/rl_test/testfile to larger than maximum retention period of mtree.
Клієнти CIFS (Windows) за замовчуванням не включають сенсорну команду або утиліту, однак кілька таких утиліт є у вільному доступі для завантаження з різних сторонніх веб-сайтів.
Які програми для резервного копіювання підтримують автоматичне блокування файлів після запису в DDR?
Блокування збереження домену даних сумісне зі стандартними протоколами запису (WORM) на базі NAS. Інтеграція кваліфікується з архівними додатками, такими як Symantec Enterprise Vault, SourceOne, Cloud Tiering Appliance або DiskXtender.
Для Dell NetWorker підтримуються режими управління та відповідності.
Станом на червень 2024 року, останні версії Avamar підтримують як дотримання вимог Data Domain Retention Lock, так і Governance) як частину функції Avamar «Незмінні резервні копії». Подробиці дивіться в статті нижче і в документації Avamar:
Avamar і Data Domain: Увімкнення незмінного резервного копіювання Avamar і блокування
збереження режиму відповідності домену данихДуже важливо, щоб кроки для ввімкнення функції «Незмінні резервні копії» Avamar суворо дотримувалися. Якщо цього не зробити, це може закінчитися тим, що в DD з'явиться Avamar MTree, на який не можна буде додатково записати, або який має проблеми з роботою, які змушують до тривалого відновлення. Avamar не працює з DD Automatic Retention Lock (ARL), і ARL не повинен бути включений для будь-якого Avamar MTree на DD.
Клієнти, які використовують інші програми для резервного копіювання, які не підтримують блокування збереження домену даних, також можуть розробляти власні сценарії для використання блокування збереження домену даних для ручного встановлення періодів зберігання файлів. У цьому сценарії переконайтеся, що користувацькі сценарії встановлюють час файлу таким чином, щоб вони були розблоковані, перш ніж програма резервного копіювання спробує видалити файл. Якщо цього не зробити, програма резервного копіювання може спробувати видалити заблоковані файли (що не вдається); Файл залишається на DDR нескінченно довго займаючи місце на диску. Перегляньте посібник із адміністрування домену даних.
Автоматичне блокування
утриманняДля програм резервного копіювання, які не підтримують функцію блокування збереження домену даних, для клієнтів завжди було проблемою використовувати цю функцію. Адміністратор резервної копії повинен налаштувати сценарії для встановлення блокування збереження нових файлів для MTree. Блокування має бути встановлено таким чином, щоб термін його дії закінчувався незадовго до того, як резервна копія має бути завершена (і видалена) адміністратором резервної копії.
ARL встановлює блокування для кожного файлу, записаного в MTree після включення функції, запобігаючи зміні або видаленню файлу протягом заданого періоду часу після закінчення налаштованого періоду охолодження. Це означає, що ARL не повинен бути включений для робочих навантажень або додатків резервного копіювання, які повинні багаторазово оновлювати деякі файли протягом певного часу, наприклад, у пулах VTL (файли стрічки VTL постійно записуються), або для програм резервного копіювання, які зберігають інформацію метаданих разом із самими файлами резервних копій клієнтів (наприклад, NetWorker або Avamar). Увімкнення ARL у цих випадках дозволяє заблокувати важливі файли на деякий час, і коли ці файли потрібно записати пізніше для інших резервних копій, запис не вдається, як і будь-які подальші резервні копії.
Щоб допомогти адміністраторам резервних копій зменшити тягар зберігання файлів блокування збереження та підняти DDOS на рівень паритету функцій з іншими постачальниками, починаючи з DDOS 6.2.0.20, існує функція, яку можна ввімкнути з CLI для кожного MTree з налаштованим Retention Lock, щоб встановити блокування на кожен прийнятий файл (на заданий період), після того, як пройде деякий заданий проміжок часу з моменту завершення запису файлу на диск. Таким чином, адміністраторам більше не доведеться турбуватися про ручне (або сценарнерове) налаштування блокування збереження, і це може відбуватися автоматично без співпраці програми резервного копіювання.
До DDOS 7.8 автоматичне блокування утримання не можна використовувати на логічних накопичувачах DD Boost (LSU), і спроба ввімкнути його повертає помилку про те, що він не підтримується.
Починаючи з версії 7.8, ARL підтримується для DD Boost LSU.
(ARL, що використовується на цільових DD для керованої реплікації файлів (MFR), як і клон NW, повинен мати достатньо довгий "automatic-lock-delay", щоб гарантувати, що операції клонування завершені для набору резервних копій до того, як буде встановлено блокування файлів. Приклад: Малий файл, який є частиною набору резервних копій, швидко завершує реплікацію, тоді як більший файл займає більше часу, тоді перший файл блокується до того моменту, коли більший файл закінчує реплікацію, і стикається з помилкою, коли NW намагається перемістити всі файли набору резервних копій до кінцевого архівного каталогу.)
Автоматичне блокування збереження не підтримується на VTL домену даних.
У відповідних версіях є додаткові опції в командному рядку "mtree retention-lock", як показано нижче. Цю функцію також можна налаштувати через інтерфейс користувача, вибравши «Автоматично» замість «Вручну» в опції «Використання»:
# mtree retention-lock set
{min-retention-period | max-retention-period |
automatic-retention-period | automatic-lock-delay} <period>
mtree <mtree-path>
Функція автоматичного блокування утримання блокує файл одразу після закінчення попередньо налаштованого періоду охолодження (автоматичне блокування-затримка). Після того, як файл записано в MTree з увімкненим блокуванням утримання, і блокування діє протягом "automatic-retention-period" з моменту його встановлення, якщо значення знаходиться в межах значень "min-retention-period" та "max-retention-period", встановлених для MTree, відбувається блокування.
Для отримання додаткової інформації про цю функцію та загальних відомостей зверніться до відповідного Посібника з адміністрування DDOS. Ця функція не дуже добре підходить для ситуацій, коли той самий MTree використовується як ціль для резервних копій, які повинні мати або набори блокування на різні періоди, або резервних копій, які повинні мати не встановлений блокування.
Що можна або не можна робити із заблокованим файлом?
Чи можна повністю зняти фіксатор з файлу або набору файлів?
"Скасувати" (зняти) блокування збереження файлів можна в MTrees за допомогою режиму управління - це робиться за допомогою наступної команди:
# mtree retention-lock revert [path]
Після зняття блокування збереження файлу його можна змінити або видалити як зазвичай. Якщо ця команда виконується з каталогом, то всі файли в цьому каталозі та всіх підкаталогах видаляються блокування збереження.
Скасувати блокування збереження файлів у MTrees за допомогою режиму відповідності неможливо - при спробі цього відображається відповідна помилка:
# mtree retention-lock revert /data/col1/rl_test_comp/testfile
This operation is not allowed. Mtree is in retention-lock compliance mode.
Що станеться, якщо файл, заблокований у збереженні, спробують змінити або видалити?
Будь-яка спроба змінити або видалити файл, заблокований на збереження, спричиняє відповідну помилку «відмовлено в дозволі»:
# echo " test2" >> /data/col1/rl_test/testfile
bash: testfile: Permission denied
# rm testfile
rm: remove write-protected regular file `testfile'? y
rm: cannot remove `testfile': Permission denied
Журнали DDFS вказують на те, що операцію не вдалося виконати через блокування збереження файлу:
06/07 07:06:59.756 (tid 0x2b5a77605d50): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.
06/07 07:07:42.504 (tid 0x2b5a79111390): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.
Чи можна вивести список усіх файлів, які заблоковано при зберіганні?
Так, це можна виконати за допомогою команди 'mtree retention-lock report generate retention-details':
mtree retention-lock report generate retention-details
mtrees {<mtree-list> | all}
[format {text | tsv | csv}]
[output-file <file-name>]
Report detailed information of
retention-lock files.
Наприклад, щоб вивести відомості про всі заблоковані файли в MTree /data/col1/rl_test, слід виконати наступне:
sysadmin@ddxxxx# mtree retention-lock report generate retention-details mtrees /data/col1/jftest
Report generated on: Fri Jul 1 14:19:31 2016
Report for mtree: /data/col1/jftest
File Path Mode Size(Bytes) Expiration Date
/data/col1/jftest/file1 governance 10521456 Sat Jul 2 22:35:48 2016
/data/col1/jftest/testdir/file2 governance 10521680 Sat Jul 2 22:35:42 2016
/data/col1/jftest/file3 governance 10521820 Sun Jul 10 22:36:09 2016
Total files: 3
Чи можна повністю відключити блокування утримання для MTree (після його включення)?
Так, для MTrees з використанням режиму управління, це виконується за допомогою команди 'mtree retention-lock disable':
# mtree retention-lock disable mtree [mtree]
For example:
sysadmin@xxxx# mtree retention-lock disable mtree /data/col1/rl_test
Retention-lock feature is disabled (previously enabled) for mtree /data/col1/rl_test.
Once disabled, MTree list indicates that retention lock was used against the MTree but has since been disabled, that is:
sysadmin@ddxxxx# mtree list
Name Pre-Comp (GiB) Status Tenant-Unit
--------------------------------- -------------- ------- -----------
...
/data/col1/rl_test 0.0 RW/RLGD -
...
sysadmin@ddxxxx# mtree retention-lock revert /data/col1/rl_test/testfile
**** Retention-lock feature is disabled (previously enabled) for mtree which contains the path /data/col1/rl_test/testfile.
sysadmin@ddxxxx# mtree retention-lock disable mtree /data/col1/rl_test_comp
**** Operation is not allowed because the system is a retention-lock compliance system
# replication break mtree://[destination system]/data/col1/[mtree]
# replication add source mtree://[source system]/data/col1/[mtree] destination mtree://[destination system/data/col1/[mtree]
# mtree retention-lock enable mode compliance mtree [mtree]
# replication resync mtree://[destination system/data/col1/[mtree]
# user reset
# filesys destroy
# filesys archive unit del [archive unit name]
Такі системи не можуть бути завантажені в однокористувацький режим для відновлення технічною підтримкою без використання USB-накопичувача та фізичного доступу до системи.
# mtree delete [mtree]
# mtree retention-lock reset [min-retention-period period | max-retention-period period] mtree [mtree]
# mtree retention-lock disable mtree [mtree]
# mtree retention-lock revert
Однак у DDOS 7.3 і пізніших версіях було передбачено можливість видаляти MTrees із підтримкою Retention Lock Compliance, якщо:
# cloud unit del <cloud unit name>
# filesys enable
Data Domain, Data Domain Retention Lock
Data Domain
18 7月 2024
17
Solution