Домен даних: Retention Lock Поширені запитання

• Управління: Менш сувора з двох функцій блокування збереження (тобто блокування проти файлів може бути скасована, якщо це необхідно).
• Відповідності: Більш сувора з двох функцій, які дотримуються декількох загальних нормативних стандартів. Тобто, блокування проти файлів не можуть бути скасовані. У DDR має бути налаштований користувач «офіцер безпеки», який повинен автентифікувати певні команди. Існують різні обмеження на інші функції, щоб запобігти видаленню заблокованих даних або достроковому скасуванню блокувань.

• Протоколи NFS, CIFS і DD Boost повністю підтримуються проти MTrees за допомогою управління замком утримання або режиму відповідності.
• Протокол Virtual Tape Library (VTL) підтримується лише для MTrees у режимі керування блокуванням збереження. Автоматичне блокування утримання не підтримується на VTL домену даних. Перегляньте Посібник з адміністрування домену даних, щоб дізнатися, як розблокувати стрічки із заблокованим утриманням таким чином, щоб на них можна було записувати.

• SEC 17a-4(f)
• Правило CFTC 1.31b
• FDA 21 CFR Частина 11
• Закон Сарбейнса-Окслі
• IRS 98025 і 97-22
• Стандарт ISO 15489-1
• MoREQ2010

• Ліцензія на керування замком зберігання додається до DDR.
• Режим керування замком збереження вмикається для будь-яких необхідних MTree:     

# mtree retention-lock enable mode governance mtree [mtree]

• Існують конкретні інструкції для деяких нових моделей домену даних з iDRAC.
• До DDR додається ліцензія на відповідність замку утримання.
• Слід створити користувача з роллю 'security' (за умови, що такого користувача не існує):     

(ADMIN USER) # user add [username] role security

•  Користувач з роллю «безпека» повинен увійти в DDR і включити авторизацію користувача:     

(SECURITY USER): # authorization policy set security-officer enabled

• Система повинна бути налаштована на режим відповідності замку утримання. Як тільки наступна команда виконується до завершення, система автоматично перезавантажується:     

(ADMIN USER) # system retention-lock compliance configure

• Після перезавантаження системи в системі має бути ввімкнено режим відповідності блокування утримання:     

(ADMIN USER) # system retention-lock compliance enable

• Режим відповідності замку утримання вмикається для будь-якого необхідного MTree:

(ADMIN USER) # mtree retention-lock enable mode compliance mtree [mtree]

Як можна визначити, на яких MTrees увімкнено блокування збереження?
MTrees з увімкненим блокуванням утримання вказується у виводі 'mtree list', наприклад:      

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rich-retention-lock                 0.0   RW/RLGE   -
/data/col1/rl_test                             0.0   RW/RLGD   -
/data/col1/rl_test_comp                        0.0   RW/RLCE   -
/data/col1/test                                3.1   RW/RLGE   -
...
---------------------------------   --------------   -------   -----------
...
 RLGE : Retention-Lock Governance Enabled
 RLGD : Retention-Lock Governance Disabled
 RLCE : Retention-Lock Compliance Enabled

Чи можна MTree з увімкненим Retention Lock Governance перетворити на Retention Lock Compliance?
Як зазначено в Керівництві з адміністрування DDOS, це неможливо.

Чи можна MTree з увімкненим Retention Lock Compliance на Retention Lock Governance?
Як зазначено в Керівництві з адміністрування DDOS, це неможливо.

Як встановлюються періоди збереження файлів або блокування?
Після ввімкнення блокування утримання для MTree необхідно встановити мінімальний і максимальний період зберігання. Ці періоди визначають мінімальний і максимальний час, протягом якого файл може бути заблокований. Наприклад:     

# mtree retention-lock set min-retention-period [period] mtree [mtree]
# mtree retention-lock set max-retention-period [period] mtree [mtree]

Періоди можуть бути наведені в різних одиницях наступним чином:     

• 1 хв
• 1 год.
• 1 доб.
• 1 міс.
• 1 рік

Як можна відобразити існуючі періоди зберігання?
Це можна зробити за допомогою наступних двох команд:     

# mtree retention-lock show min-retention-period mtree [mtree]
# mtree retention-lock show max-retention-period mtree [mtree]

Наприклад:     

sysadmin@dd630# mtree retention-lock show min-retention-period mtree /data/col1/rl_test
Retention-lock min-retention-period of mtree /data/col1/rl_test is: 720 minutes.
sysadmin@dd630# mtree retention-lock show max-retention-period mtree /data/col1/rl_test
Retention-lock max-retention-period of mtree /data/col1/rl_test is: 30 days.

Як блокуються файли в MTree з увімкненим блокуванням збереження?

• Якщо на MTree увімкнено блокування збереження, наявні файли в MTree не блокуються автоматично (тобто всі попередньо існуючі файли залишаються прочитаними або записаними).
• Коли новий файл записується на MTree з увімкненим блокуванням збереження, файл не блокується автоматично. Тобто новий файл залишається як прочитаним, так і записаним.

• Щоб заблокувати певний файл, час збереження файлу має бути змінено відповідно до дати, а час збереження файлу має бути заблоковано. Це дата та час, до яких файл має залишатися доступним лише для читання. Доки час не буде змінено таким чином, файл не можна буде заблокувати (і його можна змінити або видалити).

Час файлу можна змінити з клієнта NFS або CIFS за допомогою команди 'touch':

# touch -a -t [expiry time] [file to be locked]

Наприклад, щоб встановити час /data/col1/rl_test/testfile на 07:05 8 червня: 

# touch -a -t 06080705 /data/col1/rl_test/testfile

Період від поточного часу до майбутнього часу повинен бути в межах мінімального та максимального періодів зберігання для MTree. В іншому випадку при зміні файлів час генерується помилка: 

# touch -a -t 08080705 /data/col1/rl_test/testfile
touch: setting times of `/data/col1/rl_test/testfile': Permission denied

Відповідне повідомлення також відображається у файлових файлових системах домену даних (DDFS):     

06/07 13:44:57.197 (tid 0x2b28ee5258c0): Attempt to set atime of /data/col1/rl_test/testfile to larger than maximum retention period of mtree.

Клієнти CIFS (Windows) за замовчуванням не включають сенсорну команду або утиліту, однак деякі такі утиліти є у вільному доступі для завантаження з різних сторонніх веб-сайтів.

Які програми для резервного копіювання підтримують автоматичне збереження файлів після їх запису в DDR?
Data Domain Retention Lock сумісний зі стандартними протоколами NAS Write-Once-Read-Many (WORM). Інтеграція кваліфікується з архівними додатками, такими як Symantec Enterprise Vault, SourceOne, Cloud Tiering Appliance або DiskXtender.

Для Dell NetWorker підтримуються як режими управління, так і відповідності.

Станом на червень 2024 року останні версії Avamar підтримують як дотримання вимог Data Domain Retention Lock, так і Governance) як частину функції Avamar «Незмінні резервні копії». Подробиці дивіться в статті нижче і в документації Avamar:
Avamar і Data Domain: Увімкнення незмінного резервного копіювання Avamar і блокування

збереження режиму відповідності домену данихДуже важливо, щоб кроки для ввімкнення функції «Незмінні резервні копії» Avamar суворо дотримувалися. Якщо цього не зробити, це може призвести до появи Avamar MTree в DD, до якого не можна буде додатково записати, або який має операційні проблеми, які змушують до тривалого відновлення. Avamar не працює з DD Automatic Retention Lock (ARL), і ARL не повинен бути включений для будь-якого Avamar MTree на DD.

Клієнти, які використовують інші програми для резервного копіювання, які не підтримують блокування збереження домену даних, також можуть розробити власні сценарії для використання блокування збереження домену даних для ручного встановлення періодів зберігання файлів. У цьому сценарії переконайтеся, що користувацькі сценарії встановлюють час файлу таким чином, щоб його було розблоковано до того, як програма резервного копіювання спробує видалити файл. Якщо цього не зробити, програма резервного копіювання може спробувати видалити заблоковані файли (що не вдається); Файл залишається на DDR на невизначений термін, займаючи місце на диску. Перегляньте посібник із адміністрування домену даних.

Автоматичне блокування
утриманняДля програм резервного копіювання, які не підтримують функцію блокування збереження домену даних, для клієнтів завжди було проблемою використання цієї функції. Адміністратор резервного копіювання повинен налаштувати скрипти для встановлення блокування збереження нових файлів для MTree. Блокування має бути встановлено таким чином, щоб термін його дії закінчувався незадовго до того, як резервна копія буде завершена (і видалена) адміністратором резервної копії.

ARL встановлює блокування для кожного файлу, записаного в MTree після включення функції, запобігаючи зміні або видаленню файлу протягом певного періоду часу після закінчення налаштованого періоду охолодження. Це означає, що ARL не можна вмикати для робочих навантажень або програм резервного копіювання, які повинні оновлювати деякі файли багаторазово протягом певного часу, наприклад, у пулах VTL (файли стрічки VTL записуються багаторазово), або для програм резервного копіювання, які зберігають інформацію про метадані разом із самими файлами резервних копій клієнтів (наприклад, NetWorker або Avamar). Увімкнення ARL у таких випадках блокування важливих файлів на деякий час, і коли ці файли потрібно записати пізніше для інших резервних копій, запис не вдається, як і будь-які подальші резервні копії.

Щоб допомогти адміністраторам резервного копіювання зменшити тягар збереження блокування файлів резервних копій і підвищити паритет функцій DDOS з іншими постачальниками, починаючи з DDOS 6.2.0.20, існує функція, яку можна ввімкнути з інтерфейсу командного рядка для кожного MTree з налаштованим Retention Lock, щоб встановити блокування для кожного файлу, що приймається всередину (на певний період), після того, як пройде деякий заздалегідь визначений проміжок часу з моменту завершення запису файлу на диск. Таким чином, адміністраторам більше не доведеться турбуватися про ручне (або сценарне) налаштування блокування збереження, і це може відбуватися автоматично без співпраці програми резервного копіювання. 
До DDOS 7.8 автоматичне блокування утримання не можна використовувати на логічних запам'ятовуючих пристроях DD Boost (LSU), і спроба ввімкнути його повертає помилку про те, що вона не підтримується.
Починаючи з версії 7.8, ARL підтримується для DD Boost LSU.

(ARL, що використовується на цільових DD для керованої реплікації файлів (MFR), як і NW clone, повинен мати достатньо довгу «автоматичну затримку-затримку», щоб гарантувати, що операції клонування для набору резервних копій завершені до того, як буде встановлено блокування файлів. Приклад: Невеликий файл, який є частиною набору резервних копій, швидко завершує реплікацію, тоді як більший файл займає більше часу, тоді перший файл блокується до того моменту, коли більший файл закінчує реплікацію, і стикається з помилкою, коли NW намагається перемістити всі файли набору резервних копій до остаточного каталогу архіву.)

Автоматичне блокування утримання не підтримується на VTL домену даних.

У відповідних версіях є додаткові опції в командному рядку "mtree retention-lock", як показано нижче. Цю функцію також можна налаштувати через інтерфейс користувача, вибравши «Автоматично» замість «Вручну» в опції «Використання»:     

# mtree retention-lock set
{min-retention-period | max-retention-period |
automatic-retention-period | automatic-lock-delay} <period>
mtree <mtree-path>

Функція автоматичного блокування утримання блокує файл одразу після завершення попередньо налаштованого періоду відновлення (автоматичне блокування-затримка). Після того, як файл буде записано до MTree з увімкненим блокуванням збереження, і блокування дійсне для "autoic-retention-period" з моменту його встановлення, якщо значення знаходиться в межах значень "min-retention-period" та "max-retention-period", встановлених для MTree, відбувається блокування.

Щоб дізнатися більше про цю функцію, ознайомтеся з відповідним посібником з адміністрування DDOS. Ця функція не дуже підходить для ситуацій, коли один і той же MTree використовується як ціль для резервних копій, які повинні мати або набори блокування на різні періоди, або резервні копії, які повинні і резервні копії, які не повинні мати блокування для початку.

Що можна або не можна робити із заблокованим файлом?

• Файли, заблоковані під час збереження, доступні лише для читання та не можуть бути змінені або видалені.
• Після закінчення терміну зберігання файлу він стає «розблокованим» — у розблокованому стані файл все одно не можна змінити, але його можна видалити. DDR не видаляє файл автоматично після закінчення терміну його зберігання (подальше видалення має бути виконано з клієнтської системи або програми резервного копіювання).
• Після встановлення період зберігання для певного файлу не може бути скорочений (тобто файли не можуть бути перенесені вперед).
• Однак періоди зберігання можуть бути збільшені (час може бути збільшений до максимального терміну зберігання для MTree).
• Налаштування права власності та дозволів для файлу можна змінювати, коли файл заблоковано
• Перейменувати або видалити каталог можна лише в MTree з увімкненим блокуванням збереження, лише якщо цей каталог не містить файлів. Якщо каталог містить файли (навіть якщо ці файли не заблоковано), перейменування або видалення каталогу не вдається
• Навіть якщо він не змінює сам вміст файла, не дозволяється змінювати назви (перейменовувати) файли, для яких встановлено блокування, але перейменування також буде заборонено після завершення терміну блокування файла. Для файлів, які більше не блокуються, єдиною дозволеною операцією є видалення. Це змінюється в DDOS 7.7.4, коли для файлів, які більше не блокуються, дозволено перейменування файла.

Чи можна повністю зняти блокування утримання з файлу або набору файлів?
Скасувати (зняти) блокування збереження файлів в MTrees можна за допомогою режиму управління - це робиться наступною командою:     

# mtree retention-lock revert [path]

Після того, як блокування збереження файлу знято, його можна змінити або видалити як зазвичай. Якщо цю команду запущено з каталогом, блокування збереження буде знято з усіх файлів у цьому каталозі та всіх підкаталогах.

Скасувати блокування збереження файлів у MTrees за допомогою режиму відповідності неможливо - при спробі такої спроби виводиться відповідна помилка:     

# mtree retention-lock revert /data/col1/rl_test_comp/testfile
This operation is not allowed. Mtree is in retention-lock compliance mode.

Що станеться, якщо файл із заблокованим збереженням спробувати змінити або видалити?
Будь-яка спроба змінити або видалити файл, заблокований під час збереження, спричиняє відповідну помилку «відмовлено в дозволі»:     

# echo " test2" >> /data/col1/rl_test/testfile
bash: testfile: Permission denied
# rm testfile
rm: remove write-protected regular file `testfile'? y
rm: cannot remove `testfile': Permission denied

Журнали DDFS вказують на те, що операція не вдалася через те, що файл було заблоковано:     

06/07 07:06:59.756 (tid 0x2b5a77605d50): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.
06/07 07:07:42.504 (tid 0x2b5a79111390): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.

Чи можна вивести список усіх файлів, які заблоковано при зберіганні?
Так, це можна зробити за допомогою команди 'mtree retention-lock report generate retention-details':     

mtree retention-lock report generate retention-details
mtrees {<mtree-list> | all}
[format {text | tsv | csv}]
[output-file <file-name>]
               Report detailed information of
               retention-lock files.

Наприклад, щоб вивести список докладних відомостей про всі заблоковані файли в /data/col1/rl_test MTree, слід виконати наступне:     

sysadmin@ddxxxx# mtree retention-lock report generate retention-details mtrees /data/col1/jftest
Report generated on: Fri Jul  1 14:19:31 2016

Report for mtree: /data/col1/jftest
File Path        Mode        Size(Bytes)        Expiration Date
/data/col1/jftest/file1 governance 10521456 Sat Jul  2 22:35:48 2016
/data/col1/jftest/testdir/file2 governance 10521680 Sat Jul  2 22:35:42 2016
/data/col1/jftest/file3 governance 10521820 Sun Jul 10 22:36:09 2016
Total files: 3

Чи можна повністю відключити блокування утримання для MTree (після його включення)?
Так, для MTrees з використанням режиму управління, це виконується за допомогою команди 'mtree retention-lock disable':    

# mtree retention-lock disable mtree [mtree]

For example:     
sysadmin@xxxx# mtree retention-lock disable mtree /data/col1/rl_test
Retention-lock feature is disabled (previously enabled) for mtree /data/col1/rl_test.

Once disabled, MTree list indicates that retention lock was used against the MTree but has since been disabled, that is: 
sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rl_test                             0.0   RW/RLGD   -
...

sysadmin@ddxxxx# mtree retention-lock revert /data/col1/rl_test/testfile
**** Retention-lock feature is disabled (previously enabled) for mtree which contains the path /data/col1/rl_test/testfile.

• Блокування утримання не можна відключити для MTree в режимі відповідності:     

sysadmin@ddxxxx# mtree retention-lock disable mtree /data/col1/rl_test_comp
**** Operation is not allowed because the system is a retention-lock compliance system

• Реплікація каталогів — підтримується лише для файлів, що використовують режим керування, — не реплікує мінімальні та максимальні періоди зберігання в цільову систему.
• Реплікація MTree - може використовуватися як для даних, так і для даних режиму відповідності, і реплікує мінімальні та максимальні періоди зберігання в цільовій системі.
• Реплікація колекції - може використовуватися як для даних про управління, так і для даних режиму відповідності, а також реплікує мінімальні та максимальні періоди зберігання в цільову систему.

# replication break mtree://[destination system]/data/col1/[mtree]

# replication add source mtree://[source system]/data/col1/[mtree] destination mtree://[destination system/data/col1/[mtree]

# mtree retention-lock enable mode compliance mtree [mtree]

# replication resync mtree://[destination system/data/col1/[mtree]

# user reset
# filesys destroy
# filesys archive unit del [archive unit name]

# mtree delete [mtree]
# mtree retention-lock reset [min-retention-period period | max-retention-period period] mtree [mtree]
# mtree retention-lock disable mtree [mtree]
# mtree retention-lock revert

# cloud unit del <cloud unit name>