文書番号: 000079803
# mtree retention-lock enable mode governance mtree [mtree]
(ADMIN USER) # user add [username] role security
(SECURITY USER): # authorization policy set security-officer enabled
(ADMIN USER) # system retention-lock compliance configure
(ADMIN USER) # system retention-lock compliance enable
(ADMIN USER) # mtree retention-lock enable mode compliance mtree [mtree]
Як можна визначити, на яких MTrees увімкнено блокування збереження?
MTrees з увімкненим блокуванням утримання вказується у виводі 'mtree list', наприклад:
sysadmin@ddxxxx# mtree list
Name Pre-Comp (GiB) Status Tenant-Unit
--------------------------------- -------------- ------- -----------
...
/data/col1/rich-retention-lock 0.0 RW/RLGE -
/data/col1/rl_test 0.0 RW/RLGD -
/data/col1/rl_test_comp 0.0 RW/RLCE -
/data/col1/test 3.1 RW/RLGE -
...
--------------------------------- -------------- ------- -----------
...
RLGE : Retention-Lock Governance Enabled
RLGD : Retention-Lock Governance Disabled
RLCE : Retention-Lock Compliance Enabled
Чи можна MTree з увімкненим Retention Lock Governance перетворити на Retention Lock Compliance?
Як зазначено в Керівництві з адміністрування DDOS, це неможливо.
Чи можна MTree з увімкненим Retention Lock Compliance на Retention Lock Governance?
Як зазначено в Керівництві з адміністрування DDOS, це неможливо.
Як встановлюються періоди збереження файлів або блокування?
Після ввімкнення блокування утримання для MTree необхідно встановити мінімальний і максимальний період зберігання. Ці періоди визначають мінімальний і максимальний час, протягом якого файл може бути заблокований. Наприклад:
# mtree retention-lock set min-retention-period [period] mtree [mtree]
# mtree retention-lock set max-retention-period [period] mtree [mtree]
Періоди можуть бути наведені в різних одиницях наступним чином:
Як можна відобразити існуючі періоди зберігання?
Це можна зробити за допомогою наступних двох команд:
# mtree retention-lock show min-retention-period mtree [mtree] # mtree retention-lock show max-retention-period mtree [mtree]
Наприклад:
sysadmin@dd630# mtree retention-lock show min-retention-period mtree /data/col1/rl_test
Retention-lock min-retention-period of mtree /data/col1/rl_test is: 720 minutes.
sysadmin@dd630# mtree retention-lock show max-retention-period mtree /data/col1/rl_test
Retention-lock max-retention-period of mtree /data/col1/rl_test is: 30 days.
Як блокуються файли в MTree з увімкненим блокуванням збереження?
Час файлу можна змінити з клієнта NFS або CIFS за допомогою команди 'touch':
# touch -a -t [expiry time] [file to be locked]
Наприклад, щоб встановити час /data/col1/rl_test/testfile на 07:05 8 червня:
# touch -a -t 06080705 /data/col1/rl_test/testfile
Період від поточного часу до майбутнього часу повинен бути в межах мінімального та максимального періодів зберігання для MTree. В іншому випадку при зміні файлів час генерується помилка:
# touch -a -t 08080705 /data/col1/rl_test/testfile
touch: setting times of `/data/col1/rl_test/testfile': Permission denied
Відповідне повідомлення також відображається у файлових файлових системах домену даних (DDFS):
06/07 13:44:57.197 (tid 0x2b28ee5258c0): Attempt to set atime of /data/col1/rl_test/testfile to larger than maximum retention period of mtree.
Клієнти CIFS (Windows) за замовчуванням не включають сенсорну команду або утиліту, однак деякі такі утиліти є у вільному доступі для завантаження з різних сторонніх веб-сайтів.
Які програми для резервного копіювання підтримують автоматичне збереження файлів після їх запису в DDR?
Data Domain Retention Lock сумісний зі стандартними протоколами NAS Write-Once-Read-Many (WORM). Інтеграція кваліфікується з архівними додатками, такими як Symantec Enterprise Vault, SourceOne, Cloud Tiering Appliance або DiskXtender.
Для Dell NetWorker підтримуються як режими управління, так і відповідності.
Станом на червень 2024 року останні версії Avamar підтримують як дотримання вимог Data Domain Retention Lock, так і Governance) як частину функції Avamar «Незмінні резервні копії». Подробиці дивіться в статті нижче і в документації Avamar:
Avamar і Data Domain: Увімкнення незмінного резервного копіювання Avamar і блокування
збереження режиму відповідності домену данихДуже важливо, щоб кроки для ввімкнення функції «Незмінні резервні копії» Avamar суворо дотримувалися. Якщо цього не зробити, це може призвести до появи Avamar MTree в DD, до якого не можна буде додатково записати, або який має операційні проблеми, які змушують до тривалого відновлення. Avamar не працює з DD Automatic Retention Lock (ARL), і ARL не повинен бути включений для будь-якого Avamar MTree на DD.
Клієнти, які використовують інші програми для резервного копіювання, які не підтримують блокування збереження домену даних, також можуть розробити власні сценарії для використання блокування збереження домену даних для ручного встановлення періодів зберігання файлів. У цьому сценарії переконайтеся, що користувацькі сценарії встановлюють час файлу таким чином, щоб його було розблоковано до того, як програма резервного копіювання спробує видалити файл. Якщо цього не зробити, програма резервного копіювання може спробувати видалити заблоковані файли (що не вдається); Файл залишається на DDR на невизначений термін, займаючи місце на диску. Перегляньте посібник із адміністрування домену даних.
Автоматичне блокування
утриманняДля програм резервного копіювання, які не підтримують функцію блокування збереження домену даних, для клієнтів завжди було проблемою використання цієї функції. Адміністратор резервного копіювання повинен налаштувати скрипти для встановлення блокування збереження нових файлів для MTree. Блокування має бути встановлено таким чином, щоб термін його дії закінчувався незадовго до того, як резервна копія буде завершена (і видалена) адміністратором резервної копії.
ARL встановлює блокування для кожного файлу, записаного в MTree після включення функції, запобігаючи зміні або видаленню файлу протягом певного періоду часу після закінчення налаштованого періоду охолодження. Це означає, що ARL не можна вмикати для робочих навантажень або програм резервного копіювання, які повинні оновлювати деякі файли багаторазово протягом певного часу, наприклад, у пулах VTL (файли стрічки VTL записуються багаторазово), або для програм резервного копіювання, які зберігають інформацію про метадані разом із самими файлами резервних копій клієнтів (наприклад, NetWorker або Avamar). Увімкнення ARL у таких випадках блокування важливих файлів на деякий час, і коли ці файли потрібно записати пізніше для інших резервних копій, запис не вдається, як і будь-які подальші резервні копії.
Щоб допомогти адміністраторам резервного копіювання зменшити тягар збереження блокування файлів резервних копій і підвищити паритет функцій DDOS з іншими постачальниками, починаючи з DDOS 6.2.0.20, існує функція, яку можна ввімкнути з інтерфейсу командного рядка для кожного MTree з налаштованим Retention Lock, щоб встановити блокування для кожного файлу, що приймається всередину (на певний період), після того, як пройде деякий заздалегідь визначений проміжок часу з моменту завершення запису файлу на диск. Таким чином, адміністраторам більше не доведеться турбуватися про ручне (або сценарне) налаштування блокування збереження, і це може відбуватися автоматично без співпраці програми резервного копіювання.
До DDOS 7.8 автоматичне блокування утримання не можна використовувати на логічних запам'ятовуючих пристроях DD Boost (LSU), і спроба ввімкнути його повертає помилку про те, що вона не підтримується.
Починаючи з версії 7.8, ARL підтримується для DD Boost LSU.
(ARL, що використовується на цільових DD для керованої реплікації файлів (MFR), як і NW clone, повинен мати достатньо довгу «автоматичну затримку-затримку», щоб гарантувати, що операції клонування для набору резервних копій завершені до того, як буде встановлено блокування файлів. Приклад: Невеликий файл, який є частиною набору резервних копій, швидко завершує реплікацію, тоді як більший файл займає більше часу, тоді перший файл блокується до того моменту, коли більший файл закінчує реплікацію, і стикається з помилкою, коли NW намагається перемістити всі файли набору резервних копій до остаточного каталогу архіву.)
Автоматичне блокування утримання не підтримується на VTL домену даних.
У відповідних версіях є додаткові опції в командному рядку "mtree retention-lock", як показано нижче. Цю функцію також можна налаштувати через інтерфейс користувача, вибравши «Автоматично» замість «Вручну» в опції «Використання»:
# mtree retention-lock set
{min-retention-period | max-retention-period |
automatic-retention-period | automatic-lock-delay} <period>
mtree <mtree-path>
Функція автоматичного блокування утримання блокує файл одразу після завершення попередньо налаштованого періоду відновлення (автоматичне блокування-затримка). Після того, як файл буде записано до MTree з увімкненим блокуванням збереження, і блокування дійсне для "autoic-retention-period" з моменту його встановлення, якщо значення знаходиться в межах значень "min-retention-period" та "max-retention-period", встановлених для MTree, відбувається блокування.
Щоб дізнатися більше про цю функцію, ознайомтеся з відповідним посібником з адміністрування DDOS. Ця функція не дуже підходить для ситуацій, коли один і той же MTree використовується як ціль для резервних копій, які повинні мати або набори блокування на різні періоди, або резервні копії, які повинні і резервні копії, які не повинні мати блокування для початку.
Що можна або не можна робити із заблокованим файлом?
Чи можна повністю зняти блокування утримання з файлу або набору файлів?
Скасувати (зняти) блокування збереження файлів в MTrees можна за допомогою режиму управління - це робиться наступною командою:
# mtree retention-lock revert [path]
Після того, як блокування збереження файлу знято, його можна змінити або видалити як зазвичай. Якщо цю команду запущено з каталогом, блокування збереження буде знято з усіх файлів у цьому каталозі та всіх підкаталогах.
Скасувати блокування збереження файлів у MTrees за допомогою режиму відповідності неможливо - при спробі такої спроби виводиться відповідна помилка:
# mtree retention-lock revert /data/col1/rl_test_comp/testfile
This operation is not allowed. Mtree is in retention-lock compliance mode.
Що станеться, якщо файл із заблокованим збереженням спробувати змінити або видалити?
Будь-яка спроба змінити або видалити файл, заблокований під час збереження, спричиняє відповідну помилку «відмовлено в дозволі»:
# echo " test2" >> /data/col1/rl_test/testfile
bash: testfile: Permission denied
# rm testfile
rm: remove write-protected regular file `testfile'? y
rm: cannot remove `testfile': Permission denied
Журнали DDFS вказують на те, що операція не вдалася через те, що файл було заблоковано:
06/07 07:06:59.756 (tid 0x2b5a77605d50): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.
06/07 07:07:42.504 (tid 0x2b5a79111390): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.
Чи можна вивести список усіх файлів, які заблоковано при зберіганні?
Так, це можна зробити за допомогою команди 'mtree retention-lock report generate retention-details':
mtree retention-lock report generate retention-details
mtrees {<mtree-list> | all}
[format {text | tsv | csv}]
[output-file <file-name>]
Report detailed information of
retention-lock files.
Наприклад, щоб вивести список докладних відомостей про всі заблоковані файли в /data/col1/rl_test MTree, слід виконати наступне:
sysadmin@ddxxxx# mtree retention-lock report generate retention-details mtrees /data/col1/jftest
Report generated on: Fri Jul 1 14:19:31 2016
Report for mtree: /data/col1/jftest
File Path Mode Size(Bytes) Expiration Date
/data/col1/jftest/file1 governance 10521456 Sat Jul 2 22:35:48 2016
/data/col1/jftest/testdir/file2 governance 10521680 Sat Jul 2 22:35:42 2016
/data/col1/jftest/file3 governance 10521820 Sun Jul 10 22:36:09 2016
Total files: 3
Чи можна повністю відключити блокування утримання для MTree (після його включення)?
Так, для MTrees з використанням режиму управління, це виконується за допомогою команди 'mtree retention-lock disable':
# mtree retention-lock disable mtree [mtree]
For example:
sysadmin@xxxx# mtree retention-lock disable mtree /data/col1/rl_test
Retention-lock feature is disabled (previously enabled) for mtree /data/col1/rl_test.
Once disabled, MTree list indicates that retention lock was used against the MTree but has since been disabled, that is:
sysadmin@ddxxxx# mtree list
Name Pre-Comp (GiB) Status Tenant-Unit
--------------------------------- -------------- ------- -----------
...
/data/col1/rl_test 0.0 RW/RLGD -
...
sysadmin@ddxxxx# mtree retention-lock revert /data/col1/rl_test/testfile
**** Retention-lock feature is disabled (previously enabled) for mtree which contains the path /data/col1/rl_test/testfile.
sysadmin@ddxxxx# mtree retention-lock disable mtree /data/col1/rl_test_comp
**** Operation is not allowed because the system is a retention-lock compliance system
# replication break mtree://[destination system]/data/col1/[mtree]
# replication add source mtree://[source system]/data/col1/[mtree] destination mtree://[destination system/data/col1/[mtree]
# mtree retention-lock enable mode compliance mtree [mtree]
# replication resync mtree://[destination system/data/col1/[mtree]
# user reset
# filesys destroy
# filesys archive unit del [archive unit name]
Такі системи не можуть бути завантажені в однокористувацькому режимі для відновлення технічною підтримкою без використання USB-накопичувача та фізичного доступу до системи.
# mtree delete [mtree]
# mtree retention-lock reset [min-retention-period period | max-retention-period period] mtree [mtree]
# mtree retention-lock disable mtree [mtree]
# mtree retention-lock revert
Однак у DDOS 7.3 і пізніших версіях було передбачено можливість для клієнтів видаляти MTrees із підтримкою Retention Lock Compliance, якщо:
# cloud unit del <cloud unit name>
# filesys enable
Data Domain, Data Domain Retention Lock
Data Domain
04 6月 2024
16
Solution