Data Domain: Retention Lock Hakkında Sıkça Sorulan Sorular (SSS)

• Yönetim: İki tutma kilidi işlevinden daha az sıkı olanıdır (dosya kilitleri gerekirse geri açılabilir).
• Compliance (Uyumluluk): İki tutma kilidi işlevinden daha sıkı olanıdır; yaygın kullanılan birçok düzenleyici standartla uyumludur. Bu işlevde dosya kilitleri geri açılamaz. DDR, belirli komutları doğrulaması gereken bir "güvenlik görevlisi" kullanıcısıyla yapılandırılmalıdır. Kilitli verilerin kaldırılmasını veya kilitlerin vaktinden önce geri açılmasını önlemek amacıyla diğer işlevlere yönelik çeşitli kısıtlamalar vardır.

• NFS, CIFS ve DD Boost protokolleri, tutma kilidi işlevinin yönetim veya uyumluluk modlarını kullanan MTree'lerde tam olarak desteklenmektedir.
• Sanal Teyp Kitaplığı (VTL) protokolü yalnızca tutma kilidinin yönetim modu kullanılan MTree'lerde desteklenir. Otomatik tutma kilidi Data Domain VTL'de desteklenmez. Tutma kilidi uygulanmış teyplerin kilidinin nasıl açılıp üzerine nasıl yazılabileceğini belirlemek için Data Domain Yönetim Kılavuzu'na bakın.

• SEC 17a-4(f)
• CFTC Kural 1.31b
• FDA 21 CFR Bölüm 11
• Sarbanes-Oxley Act
• IRS 98025 ve 97-22
• ISO Standardı 15489-1
• MoREQ2010

• DDR'ye bir tutma kilidi yönetim lisansı eklenir.
• Tutma kilidi yönetim modu, gerekli tüm MTree'ler için etkinleştirilir:     

# mtree retention-lock enable mode governance mtree [mtree]

• iDRAC bulunan daha yeni Data Domain modelleri için özel talimatlar bulunur.
• DDR'ye bir tutma kilidi uyumluluk lisansı eklenir.
• "Güvenlik" rolüne sahip bir kullanıcı oluşturulmalıdır (böyle bir kullanıcının mevcut olmadığı varsayılarak):     

(ADMIN USER) # user add [username] role security

•  “Güvenlik" rolüne sahip olan kullanıcı DDR'de oturum açmalı ve güvenlik kullanıcısı yetkisini etkinleştirmelidir:     

(SECURITY USER): # authorization policy set security-officer enabled

• Sistem, tutma kilidi uyumluluk modu için yapılandırılmalıdır. Aşağıdaki komutun çalıştırılması tamamlandıktan sonra sistem otomatik olarak yeniden başlatılır:     

(ADMIN USER) # system retention-lock compliance configure

• Sistem yeniden başlatıldıktan sonra, sistemde tutma kilidi uyumluluk modu etkinleştirilmelidir:     

(ADMIN USER) # system retention-lock compliance enable

• Tutma kilidi uyumluluk modu, gerekli tüm MTree'ler için etkinleştirilir:

(ADMIN USER) # mtree retention-lock enable mode compliance mtree [mtree]

Tutma kilidinin hangi MTree'lerde etkin olduğu nasıl belirlenebilir?
Tutma kilidinin etkin olduğu MTree'ler "mtree list" komutunun çıktısında belirtilir. Örneğin:     

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rich-retention-lock                 0.0   RW/RLGE   -
/data/col1/rl_test                             0.0   RW/RLGD   -
/data/col1/rl_test_comp                        0.0   RW/RLCE   -
/data/col1/test                                3.1   RW/RLGE   -
...
---------------------------------   --------------   -------   -----------
...
 RLGE : Retention-Lock Governance Enabled
 RLGD : Retention-Lock Governance Disabled
 RLCE : Retention-Lock Compliance Enabled

Tutma Kilidi Yönetimi etkinleştirilmiş bir MTree, Tutma Kilidi Uyumluluğuna dönüştürülebilir mi?
DDOS Yönetim Kılavuzu'nda belirtildiği gibi bu mümkün değildir.

Tutma Kilidi Uyumluluğu etkinleştirilmiş bir MTree, Tutma Kilidi Yönetimine dönüştürülebilir mi?
DDOS Yönetim Kılavuzu'nda belirtildiği gibi bu mümkün değildir.

Dosya tutma veya kilitleme süreleri nasıl ayarlanır?
MTree'ye karşı bir tutma kilidi etkinleştirildiğinde minimum ve maksimum tutma süresi ayarlanmalıdır. Bu süreler, MTree'deki bir dosyanın kilitlenebileceği minimum ve maksimum süreyi ifade eder. Örneğin:     

# mtree retention-lock set min-retention-period [period] mtree [mtree]
# mtree retention-lock set max-retention-period [period] mtree [mtree]

Süreler aşağıdaki gibi çeşitli birimlerde belirtilebilir:     

• 1 dakika
• 1 saat
• 1 gün
• 1 ay
• 1 yıl

Mevcut tutma süresi nasıl görüntülenebilir?
Aşağıdaki iki komutu kullanarak bunu yapabilirsiniz:     

# mtree retention-lock show min-retention-period mtree [mtree]
# mtree retention-lock show max-retention-period mtree [mtree]

Örneğin:     

sysadmin@dd630# mtree retention-lock show min-retention-period mtree /data/col1/rl_test
Retention-lock min-retention-period of mtree /data/col1/rl_test is: 720 minutes.
sysadmin@dd630# mtree retention-lock show max-retention-period mtree /data/col1/rl_test
Retention-lock max-retention-period of mtree /data/col1/rl_test is: 30 days.

Tutma kilidi etkinleştirilmiş bir MTree içindeki dosyalar nasıl kilitlenir?

• Bir MTree'de tutma kilidi etkinleştirildiğinde, MTree'deki mevcut dosyalar otomatik olarak kilitlenmez (önceden var olan tüm dosyalar okuma veya yazma durumunu korur).
• Tutma kilidi etkin olan bir MTree'ye yeni bir dosya yazıldığında dosyaya otomatik olarak tutma kilidi uygulanmaz. Diğer bir ifadeyle, yeni dosya okuma veya yazma durumunda kalır.

• Belirli bir dosyaya tutma kilidi uygulamak için dosyanın atime değerinin, dosyaya tutma kilidi uygulanması gereken tarih ve zamanla eşleşmesi gerekir. Bu tarih ve saat değeri, dosyanın hangi tarih ve saate kadar salt okunur kalacağını belirtir. Süre bu şekilde değiştirilene kadar dosyaya tutma kilidi uygulanamaz (dosya değiştirilebilir veya kaldırılabilir).

Bir dosyanın atime değeri, "touch" komutu kullanılarak NFS veya CIFS istemcisinden değiştirilebilir:

# touch -a -t [expiry time] [file to be locked]

Örneğin, /data/col1/rl_test/testfile dosyasının atime değerini 8 Haziran saat 07.05'e ayarlamak için: 

# touch -a -t 06080705 /data/col1/rl_test/testfile

Şu anki saatten gelecekteki atime değerine kadar olan süre, MTree'nin minimum ve maksimum saklama süreleri içinde olmalıdır. Aksi takdirde, dosyanın atime değeri değiştirildiğinde bir hata verilir: 

# touch -a -t 08080705 /data/col1/rl_test/testfile
touch: setting times of `/data/col1/rl_test/testfile': Permission denied

Data Domain Dosya Sistemi (DDFS) günlük dosyalarında da konuyla ilgili bir mesaj gösterilir:     

06/07 13:44:57.197 (tid 0x2b28ee5258c0): Attempt to set atime of /data/col1/rl_test/testfile to larger than maximum retention period of mtree.

CIFS (Windows) istemcileri varsayılan olarak touch komutu veya yardımcı programı içermez ancak bu tür bazı yardımcı programlar çeşitli üçüncü taraf web sitelerinden ücretsiz olarak indirilebilir.

Hangi yedekleme uygulamaları, dosyaları DDR'ye yazdıktan sonra tutma kilidi ile otomatik olarak kilitlemeyi destekler?
Data Domain Retention Lock özelliği, endüstri standardı ve NAS tabanlı Bir Kez Yaz - Çok Kez Oku (WORM) protokolleri ile uyumludur. Entegrasyon; Symantec Enterprise Vault, SourceOne, Cloud Tiering Appliance veya DiskXtender gibi arşiv uygulamalarıyla kullanıma uygundur.

Dell NetWorker için hem yönetim hem de uyumluluk modları desteklenir.

Haziran 2024 itibarıyla yakın zamanda çıkan Avamar sürümleri, Avamar "Sabit Yedeklemeler" özelliğinin bir parçası olarak Data Domain Retention Lock Uyumluluğunu ve Yönetimini destekler. Ayrıntılar için aşağıdaki makaleye ve Avamar belgelerine bakın:
Avamar ve Data Domain: Avamar Sabit Yedeklemeler ve Data Domain Uyumluluk Modu Tutma Kilidini Etkinleştirme

Avamar "Sabit Yedeklemeler" özelliğini etkinleştirme adımlarının sıkı bir şekilde takip edilmesi kritik önem taşır. Bu adımların takip edilmemesi, Avamar MTree'nin DD'de daha fazla yazılamamasına veya zorunlu uzun süreli kurtarmaya neden olan operasyonel sorunlara sahip olmasına yol açabilir. Avamar, DD Otomatik Tutma Kilidi (ARL) ile çalışmaz ve ARL, DD'deki herhangi bir Avamar MTree için etkinleştirilmemelidir.

Data Domain tutma kilidini yerel olarak desteklemeyen diğer yedekleme uygulamalarını kullanan müşteriler, dosyaların tutulma sürelerini manuel olarak ayarlamak için Data Domain Retention Lock'ı kullanmak üzere özel komut dosyaları da geliştirebilirler. Bu senaryoda özel komut dosyalarını kullanırken, yedekleme uygulaması dosyayı silmeye çalışmadan önce dosyanın kilidi açılacak şekilde bir atime değeri ayarlandığından emin olun. Bunu yapmazsanız yedekleme uygulaması kilitli dosyaları silmeye çalışabilir (bu deneme başarısız olur) ve ilgili dosyalar, DDR'de süresiz olarak kalarak disk alanı kullanır. Data Domain yönetim kılavuzuna bakın.

Otomatik Tutma Kilidi
Data Domain Retention Lock özelliğini yerel olarak desteklemeyen yedekleme uygulamalarını kullanan müşterilerin bu özelliği kullanması her zaman sorun oluşturmuştur. Yedekleme yöneticisinin, MTree için yeni alınan dosyalarda tutma kilidini ayarlamak üzere komut dosyalarını yapılandırması gerekir. Kilit, yedeğin süresi dolmadan (ve silinmeden) kısa bir süre önce sona erecek şekilde yedekleme yöneticisi tarafından ayarlanmalıdır.

ARL, özellik etkinleştirildikten sonra MTree'ye yazılan her dosya için bir kilit ayarlar ve yapılandırılan bekleme süresi geçtikten sonra dosyanın belirli bir süre boyunca değiştirilmesini veya kaldırılmasını önler. Bu, bazı dosyaların zaman içinde tekrar tekrar güncelleştirilmesi gerektiği iş yükleri veya yedekleme uygulamaları için örneğin VTL havuzlarında (VTL teyp dosyalarına tekrar tekrar yazılır) veya meta veri bilgilerini müşteri yedekleme dosyalarının yanında tutan (NetWorker veya Avamar gibi) yedekleme uygulamaları için ARL'nin etkinleştirilmemesi gerektiği anlamına gelir. Bu örneklerde ARL'nin etkinleştirilmesi önemli dosyaların bir süreliğine kilitlenmesine neden olur. Bu dosyaların diğer yedeklemeler için daha sonra yazılması gerektiğinde yazma işlemi ve sonraki yedeklemeler başarısız olur.

Yedekleme yöneticisinin tutma kilidi işleviyle yedek dosyaları koruma yükünü azaltmaya yardımcı olmak ve DDOS'un özelliklerini diğer satıcılarla eş hale getirmek amacıyla DDOS 6.2.0.20 sürümünden itibaren, diske dosya yazma işleminin tamamlanmasının üzerinden önceden belirlenmiş bir süre geçtikten sonra alınan her dosyaya (belirli bir süre için) kilit ayarlamak üzere Tutma Kilidi yapılandırılmış her MTree için CLI'dan etkinleştirilebilecek bir özellik mevcuttur. Bu sayede yöneticilerin tutma kilidini manuel olarak (veya komut dosyası yoluyla) ayarlaması gerekmez ve bu işlev, yedekleme uygulamasında herhangi bir işlem yapılmadan otomatik olarak ayarlanabilir. 
DDOS 7.8 öncesi sürümlerde Otomatik Tutma Kilidi, DD Boost Mantıksal Depolama Birimlerinde (LSU) kullanılamaz ve etkinleştirilmeye çalışıldığında desteklenmediğini belirten bir hata verilir.
7.8'den itibaren ARL, DD Boost LSU'lar için desteklenir.

NW klonu gibi Yönetilen Dosya Çoğaltma (MFR) için Hedef DD'lerde kullanılan ARL'nin, dosyalarda kilit ayarlanmadan önce yedekleme seti için klon işlemlerinin tamamlanmasını sağlamak üzere yeterince uzun bir "automatic-lock-delay" (otomatik kilit gecikmesi) öğesine sahip olmalıdır. Example: Bir yedekleme setinin parçası olan küçük bir dosyanın çoğaltması hızlı bir şekilde tamamlanırken daha büyük bir dosyada bu işlem daha uzun sürer. Daha sonra, büyük dosya çoğaltmayı bitirene kadar ilk dosyaya tutma kilidi uygulanır ve NW, yedekleme setinin tüm dosyalarını son arşiv dizinine taşımaya çalıştığında bir hatayla karşılaşılır.

Otomatik tutma kilidi, Data Domain VTL'de desteklenmez.

Geçerli sürümlerde, "mtree retention-lock" CLI'da aşağıda gösterildiği gibi ek seçenekler vardır. Bu özellik, "Use" (Kullanım) seçeneğinde "Manual" (Manuel) yerine "Automatic" (Otomatik) seçeneği belirlenerek kullanıcı arayüzü üzerinden de yapılandırılabilir:     

# mtree retention-lock set
{min-retention-period | max-retention-period |
automatic-retention-period | automatic-lock-delay} <period>
mtree <mtree-path>

Otomatik tutma kilidi özelliği, önceden yapılandırılmış bir bekleme süresi sona erdikten hemen sonra dosyayı kilitler (automatic-lock-delay). Dosya, tutma kilidi etkin bir MTree'ye yazıldıktan ve kilit, ayarlandığı andan itibaren "automatic-retention-period" boyunca geçerli olduktan sonra, değer MTree için ayarlanmış "min-retention-period" ve "max-retention-period" değerleri içinde ise kilit uygulanır.

Özelliğin kullanımı hakkında daha fazla bilgi ve genel ayrıntılar için ilgili DDOS Yönetim Kılavuzu'na bakın. Bu özellik, farklı zaman dilimlerinde geçerli kilit gruplarına sahip olması gereken yedeklemeler veya başlangıçta kilit grubuna sahip olması gerekmeyen yedeklemeler için hedef olarak aynı MTree'nin kullanıldığı durumlar için uygun değildir.

Kilitli bir dosya için hangi işlemler yapılabilir veya yapılamaz?

• Tutma kilidi uygulanmış dosyalar salt okunurdur, değiştirilemez veya silinemez.
• Bir dosyanın saklama süresi sona erdiğinde dosya durumu "unlocked" (kilidi açık) olur. Kilidi açık durumda olan dosyalar değiştirilemez ancak silinebilir. DDR, bir dosyanın saklama süresi dolduğunda dosyayı otomatik olarak silmez (silme işlemi bir istemci sistemi veya yedekleme uygulaması tarafından gerçekleştirilmelidir).
• Belirli bir dosya için saklama süresi ayarlandıktan sonra bu süre kısaltılamaz (yani dosyaların atime değeri ileri alınamaz).
• Bununla birlikte, tutma süreleri artırılabilir (atime değeri MTree'nin maksimum saklama süresi değerine kadar yükseltilebilir).
• Bir dosya kilitliyken dosyanın sahiplik ve izin ayarları değiştirilebilir
• Tutma kilidi etkin bir MTree'deki bir dizinde herhangi bir dosya yoksa söz konusu dizini yeniden adlandırmak veya silmek mümkündür. Dizinde dosya varsa söz konusu dosyalar tutma kilitli olmasa bile dizini yeniden adlandırma veya silme işlemi başarısız olur
• Dosya içeriğini kendisi değiştirmese bile kilit seti olan dosyaların adının değiştirilmesine (yeniden adlandırılmasına) izin verilmez ancak dosyanın kilidi sona erdiğinde yeniden adlandırmaya da izin verilmez. Artık kilitli olmayan dosyalar için yalnızca silme işlemine izin verilir. Bu, DDOS 7.7.4'te değişmiştir ve kilitli olmayan dosyalar için artık dosyanın yeniden adlandırılmasına izin verilir.

Bir dosya veya dosya grubunun tutma kilidini tamamen kaldırmak mümkün mü?
Yönetim modunu kullanan MTree'lerdeki dosyaların tutma kilidini "geri almak" (kaldırmak) mümkündür. Bu işlem şu komutla yapılır:     

# mtree retention-lock revert [path]

Bir dosyanın tutma kilidi kaldırıldıktan sonra, dosya normal şekilde değiştirilebilir veya silinebilir. Bu komut bir dizin için çalıştırılırsa ilgili dizindeki tüm dosyaların ve alt dizinlerin tutma kilitleri kaldırılır.

Uyumluluk modu kullanılan MTree'lerdeki dosyalar için tutma kilidini geri almak mümkün değildir. Bu işlem denenirse ilgili bir hata görüntülenir:     

# mtree retention-lock revert /data/col1/rl_test_comp/testfile
This operation is not allowed. Mtree is in retention-lock compliance mode.

Tutma kilidi uygulanmış bir dosya değiştirilmeye veya kaldırılmaya çalışılırsa ne olur?
Tutma kilidi uygulanmış dosyayı değiştirmeye veya silmeye yönelik herhangi bir girişim ilgili bir "izin reddedildi” hatasına neden olur:     

# echo " test2" >> /data/col1/rl_test/testfile
bash: testfile: Permission denied
# rm testfile
rm: remove write-protected regular file `testfile'? y
rm: cannot remove `testfile': Permission denied

DDFS günlüklerinde, dosyaya tutma kilidi uygulanmış olması nedeniyle işlemin başarısız olduğu belirtilir:     

06/07 07:06:59.756 (tid 0x2b5a77605d50): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.
06/07 07:07:42.504 (tid 0x2b5a79111390): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.

Tutma kilidi uygulanmış tüm dosyaları listelemek mümkün müdür?
Evet, bu işlem "mtree retention-lock report generate retention-details" komutu kullanılarak gerçekleştirilebilir:     

mtree retention-lock report generate retention-details
mtrees {<mtree-list> | all}
[format {text | tsv | csv}]
[output-file <file-name>]
               Report detailed information of
               retention-lock files.

Örneğin, /data/col1/rl_test MTree içindeki kilitli tüm dosyaların ayrıntılarını listelemek için şu komut yürütülebilir:     

sysadmin@ddxxxx# mtree retention-lock report generate retention-details mtrees /data/col1/jftest
Report generated on: Fri Jul  1 14:19:31 2016

Report for mtree: /data/col1/jftest
File Path        Mode        Size(Bytes)        Expiration Date
/data/col1/jftest/file1 governance 10521456 Sat Jul  2 22:35:48 2016
/data/col1/jftest/testdir/file2 governance 10521680 Sat Jul  2 22:35:42 2016
/data/col1/jftest/file3 governance 10521820 Sun Jul 10 22:36:09 2016
Total files: 3

Bir MTree için tutma kilidini tamamen devre dışı bırakmak (etkinleştirildikten sonra) mümkün müdür?
Evet, yönetim modu kullanılan MTree'ler için mümkündür; bu işlem "mtree retention-lock disable" komutu kullanılarak gerçekleştirilir:    

# mtree retention-lock disable mtree [mtree]

For example:     
sysadmin@xxxx# mtree retention-lock disable mtree /data/col1/rl_test
Retention-lock feature is disabled (previously enabled) for mtree /data/col1/rl_test.

Once disabled, MTree list indicates that retention lock was used against the MTree but has since been disabled, that is: 
sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rl_test                             0.0   RW/RLGD   -
...

sysadmin@ddxxxx# mtree retention-lock revert /data/col1/rl_test/testfile
**** Retention-lock feature is disabled (previously enabled) for mtree which contains the path /data/col1/rl_test/testfile.

• Uyumluluk modu kullanılan MTree'ler için tutma kilidi devre dışı bırakılamaz:     

sysadmin@ddxxxx# mtree retention-lock disable mtree /data/col1/rl_test_comp
**** Operation is not allowed because the system is a retention-lock compliance system

• Dizin çoğaltma - Yalnızca yönetim modu kullanılan dosyalar için desteklenir; minimum ve maksimum saklama sürelerini hedef sisteme çoğaltmaz.
• MTree çoğaltma - Yönetim veya uyumluluk modu verileri için kullanılabilir; minimum ve maksimum saklama sürelerini hedef sisteme çoğaltır.
• Koleksiyon çoğaltma - Yönetim veya uyumluluk modu verileri için kullanılabilir; minimum ve maksimum saklama sürelerini hedef sisteme çoğaltır.

# replication break mtree://[destination system]/data/col1/[mtree]

# replication add source mtree://[source system]/data/col1/[mtree] destination mtree://[destination system/data/col1/[mtree]

# mtree retention-lock enable mode compliance mtree [mtree]

# replication resync mtree://[destination system/data/col1/[mtree]

# user reset
# filesys destroy
# filesys archive unit del [archive unit name]

# mtree delete [mtree]
# mtree retention-lock reset [min-retention-period period | max-retention-period period] mtree [mtree]
# mtree retention-lock disable mtree [mtree]
# mtree retention-lock revert

# cloud unit del <cloud unit name>