メイン コンテンツに進む
ログアウト

Dellへようこそ

マイアカウント
  • すばやく簡単にご注文が可能
  • 注文内容の表示、配送状況をトラック
  • 会員限定の特典や割引のご利用
  • 製品リストの作成とアクセスが可能
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。
ログイン アカウントの新規作成 プレミアログイン パートナー プログラム サインイン
お問い合わせ

Dell.comカート

文書番号: 000079803

Data Domain: Często zadawane pytania dotyczące blokady retencji

概要: Ten artykuł zawiera przegląd funkcji blokady retencji (RL) Data Domain i objaśnia różnice między konfiguracją a używaniem trybu governance i compliance.

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容

現象

Ten artykuł zawiera zwięzły przegląd funkcji Data Domain Retention Lock (RL) i odpowiedzi na powiązane często zadawane pytania (FAQ).

原因

Ten artykuł zawiera zwięzły przegląd funkcji Data Domain Retention Lock (RL) i odpowiedzi na powiązane często zadawane pytania (FAQ).

解決方法

Co to jest blokada retencji?
Blokada retencji to funkcja używana w systemach Data Domain Restorer (DDR) w celu zapobiegania modyfikacji lub usunięciu określonych zestawów plików przez wstępnie ustalony okres. Oznacza to, że pliki z blokadą retencji są tylko do odczytu do upływu okresu retencji.

Jakie są wersje blokady retencji?
Blokada retencji jest dostępna dla dwóch różnych funkcji:
  • Governance: Mniej rygorystyczna z dwóch funkcji blokady retencji (tzn. blokada plików może zostać cofnięta w razie potrzeby).
  • Compliance: Bardziej rygorystyczna z dwóch funkcji, która spełnia wymogi wielu standardowych standardów prawnych. Oznacza to, że blokada plików nie może zostać cofnięta. Konfiguracja systemu DDR musi uwzględniać użytkownika „dyrektor ds. zabezpieczeń”, który musi uwierzytelniać określone polecenia. Ta druga funkcja obejmuje wiele ograniczeń zapobiegających usunięciu zablokowanych danych ub przedwczesnemu cofnięciu blokad.
Uwaga:
  • tryb compliance jest dostępny tylko w wersji DDOS 5.3 (i nowszych).
  • Każda funkcja blokady retencji wymaga oddzielnego klucza licencyjnego.
  • Funkcja blokady retencji jest włączona dla każdego drzewa MTree.
  • Jeden system może korzystać zarówno z trybu governance, jak i zgodności, w oddzielnych drzewach MTree. Musi jednak mieć zainstalowane oddzielne licencje governance i compliance.
  • W ramach uruchamiania tej funkcji w systemie Avamar nie należy włączać żadnego rodzaju blokady retencji DD na MTrees używanych do przechowywania danych Avamar, chyba że jest to wymagane w dokumentacji Avamar. Włączenie funkcji DD RL w takim MTree bez przeprowadzenia właściwego procesu Avamar może uniemożliwić korzystanie z MTree na potrzeby tworzenia kopii zapasowych i wiązać się z koniecznością długotrwałego odzyskiwania. Jest to szczególnie ważne w przypadku włączania automatycznej blokady retencji (ARL) dla Avamar MTree.
  • Funkcja blokady retencji może nie być obsługiwana w przypadku MTrees używanych do przechowywania danych przy użyciu starszych wersji danych Avamar lub Protection Software w urządzeniu Integration Data Protection Appliance lub PowerProtect serii Data Protection. Może to uniemożliwić działanie Avamar lub Protection Software w urządzeniu Integrated Data Protection Appliance działanie zgodnie z oczekiwaniami i przejście w stan READONLY.
Które protokoły dostępu do danych są obsługiwane przez blokadę retencji?
  • Protokoły NFS, CIFS i DD Boost są w pełni obsługiwane w przypadku MTrees korzystających z blokady retencji w trybie governance lub compliance.
  • Protokół Virtual Tape Library (VTL) jest obsługiwany tylko w przypadku drzew MTree korzystających z blokady retencji w trybie governance. Automatyczna blokada retencji nie jest obsługiwana w Data Domain VTL. Podręcznik administracyjny Data Domain zawiera informacje na temat odblokowywania taśm z blokadą retencji w celu umożliwienia zapisu na nich.
Blokada retencji w trybie compliance jest zgodna ze standardami prawnymi:
Lista standardów prawnych, które spełnia blokada retencji w trybie zgodności, obejmuje następujące:     
  • SEC 17a-4(f)
  • CFTC Rule 1.31b
  • FDA 21 CFR Part 11
  • Sarbanes-Oxley Act
  • IRS 98025 i 97-22
  • ISO Standard 15489-1
  • MoREQ2010
Aby uzyskać pełne informacje na temat certyfikatów, należy skontaktować się z dostawcą umowy pomocy technicznej.

Jak włączyć blokadę retencji w trybie governance?
  • Licencja governance blokady retencji zostanie dodana do DDR.
  • Tryb governance blokady retencji zostanie włączony dla każdego wymaganego drzewa MTree:     
# mtree retention-lock enable mode governance mtree [mtree]

Jak włączyć blokadę retencji w trybie compliance?
  • Istnieją szczegółowe instrukcje dla niektórych nowszych modeli Data Domain z kontrolerem iDRAC.
  • Licencja compliance blokady retencji zostanie dodana do DDR.
  • Należy utworzyć użytkownika z rolą „security” (zakładając, że taki użytkownik nie istnieje):     
(ADMIN USER) # user add [username] role security
  •  Użytkownik z rolą „security” powinien zalogować się do DDR i włączyć autoryzację użytkownika „security”:     
(SECURITY USER): # authorization policy set security-officer enabled
  • System powinien być skonfigurowany pod kątem trybu zgodności blokady retencji. Po wykonaniu następującego polecenia do konta system zostanie automatycznie uruchomiony ponownie:     
(ADMIN USER) # system retention-lock compliance configure
  • Po ponownym uruchomieniu systemu należy włączyć blokadę retencji w trybie compliance w systemie:     
(ADMIN USER) # system retention-lock compliance enable
Uwaga: w przypadku nowszych wersji DDOS to zadanie należy wykonać za pomocą interfejsu użytkownika Data Domain. Administration > Compliance
  • Tryb compliance blokady retencji zostanie włączony dla każdego wymaganego drzewa MTree:
(ADMIN USER) # mtree retention-lock enable mode compliance mtree [mtree]


Jak określić, które drzewa MTree mają włączoną blokadę retencji?
Drzewa MTree z włączoną blokadą retencji są wskazane w danych wyjściowych polecenia „mtree list”, na przykład:     

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rich-retention-lock                 0.0   RW/RLGE   -
/data/col1/rl_test                             0.0   RW/RLGD   -
/data/col1/rl_test_comp                        0.0   RW/RLCE   -
/data/col1/test                                3.1   RW/RLGE   -
...
---------------------------------   --------------   -------   -----------
...
 RLGE : Retention-Lock Governance Enabled
 RLGD : Retention-Lock Governance Disabled
 RLCE : Retention-Lock Compliance Enabled


Czy MTree z włączoną funkcją Retention Lock Governance można przekształcić w funkcję Retention Lock Compliance?
Jak wskazano w podręczniku administratora DDOS, nie jest to możliwe.

Czy MTree z włączoną funkcją Retention Lock Compliance można przekształcić w funkcję Retention Lock Governance?
Jak wskazano w podręczniku administratora DDOS, nie jest to możliwe.

W jaki sposób konfigurowane są okresy przechowywania plików lub blokady?
Po włączeniu blokady retencji dla MTree należy ustawić minimalny i maksymalny okres przechowywania. Okresy te dyktują minimalny i maksymalny czas zablokowania pliku w drzewie MTree. Na przykład:     

# mtree retention-lock set min-retention-period [period] mtree [mtree]
# mtree retention-lock set max-retention-period [period] mtree [mtree]

Okresy mogą być podawane w następujących jednostkach:     

  • 1 min.
  • 1 godz.
  • 1 dzień
  • 1 mies.
  • 1 rok
Uwaga:
  • minimalny okres retencji nie może być krótszy niż 12 godz.
  • Minimalny okres retencji nie może być dłuższy niż 70 lat.
  • Minimalny okres retencji musi być krótszy niż maksymalny okres retencji.
  • Okresy retencji dla każdego drzewa MTree są ustawiane w taki sam sposób niezależnie od używanej blokady retencji.

Jak wyświetlić istniejące okresy retencji?
Można to zrobić przy użyciu następujących dwóch poleceń:     

# mtree retention-lock show min-retention-period mtree [mtree]
# mtree retention-lock show max-retention-period mtree [mtree]

Na przykład:     

sysadmin@dd630# mtree retention-lock show min-retention-period mtree /data/col1/rl_test
Retention-lock min-retention-period of mtree /data/col1/rl_test is: 720 minutes.
sysadmin@dd630# mtree retention-lock show max-retention-period mtree /data/col1/rl_test
Retention-lock max-retention-period of mtree /data/col1/rl_test is: 30 days.


Jak blokować pliki w MTree z włączoną blokadą retencji?

  • Po włączeniu blokady retencji dla drzewa MTree istniejące pliki w drzewie MTree nie są automatycznie blokowane (oznacza to, wszystkie istniejące pliki pozostaną plikami do odczytu lub zapisu).
  • Po zapisaniu nowego pliku w drzewie MTree z włączoną blokadą retencji plik nie zostanie automatycznie objęty blokadą retencji. Oznacza to, że nowy plik pozostanie plikiem do odczytu lub zapisu.
Uwaga: począwszy od wersji DDOS 6.2.0.20 w DDOS jest funkcja o nazwie „automatyczna blokada retencji”, która umożliwia automatyczne ustawianie blokady wszystkich zapisywanych plików. Więcej informacji można znaleźć w sekcji „Automatyczna blokada retencji”, poniżej w tym artykule z bazy wiedzy.
  • Aby ustawić blokadę retencji określonego pliku, należy zmodyfikować parametr atime pliku zgodnie z datą i godziną, gdy plik powinien być objęty blokadą retencji. Jest to data i godzina, do której plik powinien pozostać plikiem tylko do odczytu. Do chwili zmodyfikowania czasu w ten sposób nie można objąć pliku blokadą retencji (i można go zmodyfikować lub usunąć).

Parametr atime pliku można zmienić z poziomu klienta NFS lub CIFS przy użyciu polecenia „touch”.

# touch -a -t [expiry time] [file to be locked]

Na przykład aby ustawić parametr atime dla pliku /data/col1/rl_test/testfile na 07:05 w dniu 8 czerwca: 

# touch -a -t 06080705 /data/col1/rl_test/testfile

Okres od bieżącego czasu do czasu atime w przyszłości musi być w zakresie od minimalnego do maksymalnego okresu retencji dla drzewa MTree. W przeciwnym razie podczas modyfikowania parametru atime plików zostanie wygenerowany błąd: 

# touch -a -t 08080705 /data/col1/rl_test/testfile
touch: setting times of `/data/col1/rl_test/testfile': Permission denied

Odpowiedni komunikat będzie wyświetlany także w plikach dziennika systemu plików Data Domain (DDFS):     

06/07 13:44:57.197 (tid 0x2b28ee5258c0): Attempt to set atime of /data/col1/rl_test/testfile to larger than maximum retention period of mtree.

Klienty CIFS (Windows) domyślnie nie obejmują polecenia lub narzędzia touch, ale wiele tego typu narzędzi jest dostępnych bezpłatnie do pobrania z witryn internetowych innych producentów.

Uwaga: nie można objąć plików blokadą retencji do chwili zapisania w DDR. Nie jest możliwe utworzenie pustego pliku, objęcie tego pliku blokadą retencji, a następnie zapisanie danych w pliku.

Które aplikacje do tworzenia kopii zapasowych obsługują automatyczne obejmowanie plików blokadą retencji do zapisania w DDR?
Funkcja Data Domain Retention Lock jest zgodna ze stanowiącymi standard branżowy protokołami WORM (Write-Once-Read-Many) opartymi na NAS. Integracja jest możliwa z aplikacjami do archiwizacji, takimi jak Symantec Enterprise Vault, SourceOne, Cloud Tiering Appliance lub DiskXtender.

W przypadku rozwiązania Dell NetWorker obsługiwane są tryby governance i compliance.

Od czerwca 2024 r. najnowsze wersje Avamar obsługują zarówno tryb compliance funkcji Data Domain Retention Lock, jak i governance w ramach funkcji niezamiennych kopii zapasowych „Immutable Backups” Avamar. Szczegółowe informacje można znaleźć w poniższym artykule i dokumentacji Avamar:
Avamar i Data Domain: Włączanie niezmiennych kopii zapasowych Avamar i blokady retencji w trybie compliance Data Domain

Bardzo ważne jest, aby ściśle przestrzegać kroków umożliwiających włączenie funkcji „niezmiennych kopii zapasowych” Avamar. W przeciwnym razie w DD pojawi się obiekt Avamar MTree, w którym nie będzie można już niczego zapisać lub w którym wystąpią problemy operacyjne wymuszające czasochłonne odzyskiwanie. Avamar nie działa z DD Automatic Retention Lock (ARL), a ARL nie może być włączony dla żadnego Avamar MTree na DD.

Klienci korzystający z innych aplikacji do tworzenia kopii zapasowych, które nie obsługują natywnie Data Domain Retention Lock, mogą również opracowywać niestandardowe skrypty umożliwiające ręczne ustawianie okresów retencji plików za pomocą tej funkcji. W tym scenariuszu należy upewnić się, że niestandardowe skrypty ustawiają parametr atime pliku w taki sposób, aby został odblokowany przed próbą usunięcia pliku przez aplikację do tworzenia kopii zapasowych. W przeciwnym razie aplikacja do tworzenia kopii zapasowych może podjąć próbę usunięcia zablokowanych plików (która nie powiedzie się). Plik pozostanie w DDR na czas nieokreślony i będzie zajmować miejsce na dysku. Należy zapoznać się z podręcznikiem administracyjnym Data Domain.

Automatyczna blokada retencji
W przypadku aplikacji do tworzenia kopii zapasowych bez natywnej obsługi funkcji blokady retencji Data Domain korzystanie z tej funkcji zawsze było problemem dla klientów. Administrator kopii zapasowej musi skonfigurować skrypty, aby ustawić blokadę retencji na nowo przyswojonych plikach dla MTree. Blokada musi być ustawiona w taki sposób, aby wygasała na krótko przed wygaśnięciem (i usunięciem) kopii zapasowej przez administratora kopii zapasowych.

ARL nakłada blokadę na każdy plik zapisany w MTree po włączeniu funkcji, uniemożliwiając zmianę lub usunięcie pliku przez określony czas po upływie skonfigurowanego okresu karencji. Oznacza to, że funkcja ARL nie może być włączona dla obciążeń roboczych lub aplikacji do tworzenia kopii zapasowych, które muszą z czasem wielokrotnie aktualizować niektóre pliki, na przykład w pulach VTL (VTL, na których pliki taśmy są wielokrotnie zapisywane) lub dla aplikacji do tworzenia kopii zapasowych, które przechowują informacje o metadanych wraz z samymi plikami kopii zapasowych klienta (np. NetWorker lub Avamar). Włączenie ARL w tych przykładach, aby zablokować na jakiś czas ważne pliki lub dodać je do innych kopii zapasowych, spowoduje, że zapis kończy się niepowodzeniem, podobnie jak wszelkie kolejne kopie zapasowe.

Aby pomóc administratorom kopii zapasowych zmniejszyć obciążenie związane z kontrolą blokady retencji na plikach kopii zapasowych i uczynić DDOS równorzędnym z funkcjami innych dostawców, od wersji DDOS 6.2.0.20 istnieje funkcja, którą można włączyć z poziomu interfejsu CLI dla każdego drzewa MTree ze skonfigurowaną blokadą retencji, aby ustawić blokadę dla każdego wczytywanego pliku (na dany okres) po określonym czasie od wykonania zapisu pliku na dysku. W ten sposób administratorzy nie muszą już martwić się o ręczne (lub skryptowe) ustawianie blokady retencji i może to następować automatycznie bez współpracy z aplikacją do tworzenia kopii zapasowych. 
Przed wprowadzeniem systemu DDOS 7.8 nie można używać automatycznej blokady retencji na logicznych jednostkach pamięci masowej (LSU) DD Boost, a próba włączenia tej funkcji powoduje błąd informujący, że nie jest ona obsługiwana.
Od wersji 7.8 funkcja ARL jest obsługiwana przez jednostki LSU DD Boost.

(Protokół ARL używany w docelowych systemach DD dla Managed File Replication (MFR), takich jak klon NW, powinien mieć wystarczająco dużo czasu „automatycznego opóźnienia blokady”, aby upewnić się, że operacje klonowania zostały zakończone dla zestawu kopii zapasowych przed ustawieniem blokady w plikach. Example: mały plik, który jest częścią zestawu kopii zapasowej, kończy replikację szybko, podczas gdy dla większego pliku trwa to dłużej. Pierwszy plik jest blokowany do czasu zakończenia replikacji większego pliku i napotyka błąd podczas próby przeniesienia przez NW wszystkich plików kopii zapasowej do ostatecznego katalogu archiwum.

Automatyczna blokada retencji nie jest obsługiwana przez Data Domain VTL.

W odpowiednich wersjach w wierszu poleceń dostępne są dodatkowe opcje „mtree retention-lock”, jak pokazano poniżej. Funkcję tę można skonfigurować za pośrednictwem interfejsu użytkownika, wybierając opcję „Automatic” zamiast „Manual” w opcji „Use”:     

# mtree retention-lock set
{min-retention-period | max-retention-period |
automatic-retention-period | automatic-lock-delay} <period>
mtree <mtree-path>

Funkcja automatycznej blokady retencji blokuje plik natychmiast po upływie wstępnie skonfigurowanego okresu (opóźnienie automatycznej blokady). Po zapisaniu pliku w drzewie MTree z obsługą blokady retencji blokada obowiązuje przez „automatyczny czas retencji” od momentu ustawienia. Jeśli wartość mieści się w zakresie od „min. czasu retencji” do „maks. czasu retencji” ustawionym dla drzewa MTree, następuje blokada.

Więcej informacji użytkowych i ogólnych na temat funkcji można znaleźć w odpowiednim przewodnikiem administracyjnym DDOS. Funkcja ta nie jest dobrze przystosowana do sytuacji, gdzie to samo drzewo MTree jest używane jako punkt docelowy dla kopii zapasowych, które powinny mieć zestawy blokad dla różnych przedziałów czasowych oraz które powinny mieć blokadę od początku lub które nie powinny jej mieć wcale.

Co można, a czego nie można zrobić z zablokowanym plikiem?

  • Pliki z blokadą retencji są tylko do odczytu i nie można ich modyfikować ani usuwać.
  • Po upływie okresu retencji pliku zostanie on „odblokowany” — w stanie odblokowanym plik nadal nie może zostać zmodyfikowany, ale może zostać usunięty. DDR nie usuwa automatycznie pliku po upływie okresu retencji (kolejne usunięcie musi zostać wykonane z systemu klienckiego lub aplikacji kopii zapasowych).
  • Po ustawieniu okresu retencji dla konkretnego pliku nie można zmniejszyć (oznacza to, że nie można przesunąć czasu atime plikow).
  • Można jednak zwiększyć okres retencji (parametr atime można zwiększyć do maksymalnego okresu retencji dla drzewa MTree).
  • Ustawienia tytułu własności i uprawnień dla pliku można nadal modyfikować, gdy plik jest zablokowany.
  • Zmiana nazwy lub usunięcie katalogu w drzewie MTree z obsługą blokady retencji są możliwe tylko, jeśli katalog ten nie zawiera plików. Jeśli katalog zawiera pliki (nawet jeśli pliki te nie są objęte blokadą retencji), zmiana nazwy lub usunięcie katalogu nie powiodą się
  • Nawet jeśli nie zmieni to samej zawartości pliku, nie można zmieniać nazw plików z ustawioną blokadą, ale zmiana nazwy jest niedozwolona również po wygaśnięciu blokady pliku. W przypadku już niezablokowanych plików jedynym działaniem, które jest dozwolone, jest usunięcie. Zmienia się to w DDOS 7.7.4, gdzie w przypadku niezablokowanych plików można zmienić nazwę pliku.

Czy możliwe jest całkowite usunięcie blokady retencji pliku lub zestawu plików?
„Cofnięcie” (usunięcie) blokady retencji plików w drzewach MTree jest możliwe w trybie governance — odbywa się to przy użyciu następującego polecenia:     

# mtree retention-lock revert [path]

Po usunięciu blokady retencji plik można zmodyfikować lub usunąć w standardowy sposób. Jeśli to polecenie zostanie wykonane na katalogu, wszystkie pliki w tym katalogu i wszystkie podkatalogi zostaną pozbawione blokady retencji.

Nie jest możliwe cofnięcie blokady retencji plików w drzewie MTree przy użyciu trybu compliance — próba spowoduje wyświetlenie odpowiedniego błędu:     

# mtree retention-lock revert /data/col1/rl_test_comp/testfile
This operation is not allowed. Mtree is in retention-lock compliance mode.


Co się stanie w przypadku próby zmodyfikowania lub usunięcia pliku objętego blokadą retencji?
Wszelkie próby zmodyfikowania lub usunięcia spowodują odpowiedni błąd „odmowy uprawnień”:     

# echo " test2" >> /data/col1/rl_test/testfile
bash: testfile: Permission denied
# rm testfile
rm: remove write-protected regular file `testfile'? y
rm: cannot remove `testfile': Permission denied

Dzienniki DDFS wskazują, że operacja nie powiodła się z powodu blokady retencji pliku:     

06/07 07:06:59.756 (tid 0x2b5a77605d50): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.
06/07 07:07:42.504 (tid 0x2b5a79111390): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.


Czy możliwe jest wyświetlenie listy wszystkich plików objętych blokadą retencji?
Tak, można to zrobić przy użyciu polecenia „mtree retention-lock report generate retention-details”:     

mtree retention-lock report generate retention-details
mtrees {<mtree-list> | all}
[format {text | tsv | csv}]
[output-file <file-name>]
               Report detailed information of
               retention-lock files.

Na przykład aby wyświetlić szczegółowe informacje o wszystkich zablokowanych plikach w katalogu /data/coll1/rl_test MTree, należy wykonać następujące czynności:     

sysadmin@ddxxxx# mtree retention-lock report generate retention-details mtrees /data/col1/jftest
Report generated on: Fri Jul  1 14:19:31 2016

Report for mtree: /data/col1/jftest
File Path        Mode        Size(Bytes)        Expiration Date
/data/col1/jftest/file1 governance 10521456 Sat Jul  2 22:35:48 2016
/data/col1/jftest/testdir/file2 governance 10521680 Sat Jul  2 22:35:42 2016
/data/col1/jftest/file3 governance 10521820 Sun Jul 10 22:36:09 2016
Total files: 3


Czy możliwe jest całkowite wyłączenie blokady retencji dla MTree (po włączeniu)?
Tak, w przypadku drzew MTree korzystających z trybu governance można to zrobić przy użyciu polecenia „mtree retention-lock disable”:    

# mtree retention-lock disable mtree [mtree]

For example:     
sysadmin@xxxx# mtree retention-lock disable mtree /data/col1/rl_test
Retention-lock feature is disabled (previously enabled) for mtree /data/col1/rl_test.

Once disabled, MTree list indicates that retention lock was used against the MTree but has since been disabled, that is: 
sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rl_test                             0.0   RW/RLGD   -
...
Uwaga: po wyłączeniu blokady retencji dla drzewa MTree:
  • Nowe pliki zapisane w drzewie MTree nie mogą być objęte blokadą retencji.
  • Pliki, które są już zablokowane, pozostają zablokowane przez uprzednio zdefiniowany okres retencji (oznacza to, że wszystkie blokady zostaną automatycznie cofnięte, gdy blokada retencji zostanie wyłączona dla drzewa MTree).
  • Istniejących blokad plików w drzewie MTree, w którym blokada retencji została wyłączona, nie można przywrócić. Przed wyłączeniem blokady retencji należy wykonać wszelkie niezbędne czynności cofnięcia:
sysadmin@ddxxxx# mtree retention-lock revert /data/col1/rl_test/testfile
**** Retention-lock feature is disabled (previously enabled) for mtree which contains the path /data/col1/rl_test/testfile.
  • Nie można wyłączyć blokady retencji dla drzewa MTree korzystającego z trybu compliance:     
sysadmin@ddxxxx# mtree retention-lock disable mtree /data/col1/rl_test_comp
**** Operation is not allowed because the system is a retention-lock compliance system

Czy replikacja może być używana wobec drzew MTree z włączoną blokadą retencji?
Tak, drzewa MTree lub pliki objęte blokadą retencji mogą być replikowane przy użyciu różnych topologii replikacji:     
  • Replikacja katalogów — obsługiwana tylko w przypadku plików korzystających z trybu governance — nie replikuje minimalnych i maksymalnych okresów retencji do systemu docelowego.
  • Replikacja MTree — możliwa w przypadku danych w trybie governance lub compliance, replikuje minimalne i maksymalne okresy przechowywania do systemu docelowego.
  • Replikacja kolekcji — możliwa w przypadku danych w trybie governance lub compliance, replikuje minimalne i maksymalne okresy przechowywania do systemu docelowego.
Uwaga: aby blokady retencji zostały zachowane w systemach docelowych:
  • Systemy źródłowe i docelowe muszą mieć zainstalowane odpowiednie licencje blokady retencji.
  • Konteksty replikacji MTree muszą mieć polecenie „Replication propagate-retention-lock” ustawione na Enabled.
  • W przypadku plików replikowanych przez replikację katalogów minimalne i maksymalne okresy retencji odpowiednich drzew MTree muszą być ustawione ręcznie w systemie docelowym.
Czy podczas replikacji plików objętych blokadą retencji istnieją inne ograniczenia?
Tak, ponowne synchronizacje kontekstów replikacji (czyli próby odtworzenia skonfigurowanego wcześniej, ale uszkodzonego kontekstu), w których używane są dane objęte blokadą retencji, mogą zakończyć się niepowodzeniem.
 
Uwaga:
  • jeśli używana jest replikacja MTree, a docelowe MTree zawiera pliki objęte blokadą retencji, które nie istnieją w źródle, ponowna synchronizacja zakończy się niepowodzeniem.
  • Jeśli używana jest replikacja katalogu, a cel ma włączoną blokadę retencji, ale źródło już nie, ponowna synchronizacja zakończy się niepowodzeniem.
Uwaga: w przypadku korzystania z replikacji MTree ponowna synchronizacja powiedzie się w następujących scenariuszach, jeśli docelowe MTree nie zawiera plików objętych blokadą retencji, które nie występują w źródłowym DDR:
  • Źródłowe MTree nie ma włączonej blokady retencji, ale docelowe ma.
  • Docelowe MTree nie ma włączonej blokady retencji, ale źródłowe ma.
Ponadto nie jest możliwe włączenie blokady retencji w trybie compliance w MTree, które należy już do kontekstu replikacji MTree. W tym scenariuszu:
  • Kontekst replikacji MTree powinien zostać zerwany w systemach źródłowych i docelowych: 
# replication break mtree://[destination system]/data/col1/[mtree]
  • Nowy kontekst replikacji MTree powinien zostać utworzony w systemach źródłowych i docelowych: 
# replication add source mtree://[source system]/data/col1/[mtree] destination mtree://[destination system/data/col1/[mtree]
  • Blokada retencji w trybie compliance powinna być włączona w systemie źródłowym: 
# mtree retention-lock enable mode compliance mtree [mtree]
  • Nowo utworzony kontekst replikacji zostać ponownie zsynchronizowany w systemie źródłowym: 
# replication resync mtree://[destination system/data/col1/[mtree]

Czy można szybko skopiować pliki objęte blokadą retencji?
Tak, pliki objęte blokadą retencji można szybko skopiować w standardowy sposób. Jeśli docelowe MTree z szybką kopią obsługuje blokadę retencji, blokada retencji pliku zostanie zachowana w szybkiej kopii. Jeśli docelowe MTree nie obsługuje blokady retencji, szybka kopia nie jest objęta blokadą retencji.

Czy podczas korzystania z blokady retencji istnieją inne ograniczenia w funkcjonalności systemu?
Następujące polecenia są niedozwolone w systemach korzystających z blokady retencji w trybie compliance: 
# user reset
# filesys destroy
# filesys archive unit del [archive unit name]
Takie systemy nie mogą być uruchamiane w trybie pojedynczego użytkownika w celu odzyskania danych przez pomoc techniczną bez użycia nośnika USB i fizycznego dostępu do systemu.

Następujące polecenia są niedozwolone dla MTrees korzystających z blokady retencji w trybie compliance: 
# mtree delete [mtree]
# mtree retention-lock reset [min-retention-period period | max-retention-period period] mtree [mtree]
# mtree retention-lock disable mtree [mtree]
# mtree retention-lock revert
Jednak w wersji DDOS 7.3 i nowszych umożliwiono klientom usuwanie MTrees z blokadą retencji w trybie compliance pod następującymi warunkami:
  • DD pracuje z wersją DDOS 7.3 lub nowszą.
  • Drzewo MTree RLCE do usunięcia jest puste (zawiera zero plików i katalogów).
  • Administrator pomyślnie przeszedł uwierzytelnianie jako dyrektor ds. bezpieczeństwa.
W systemach skonfigurowanych do retencji długoterminowej (poziom chmury) podobnie destrukcyjne polecenia także mogą być niedozwolone, na przykład: 
# cloud unit del <cloud unit name>
Uwaga: MTrees korzystające z blokady retencji w trybie governance (lub w których ten tryb był włączony) można usunąć tylko wtedy, gdy drzewo MTree nie zawiera plików — jeśli w MTree są pozostałe pliki, zostanie wyświetlony błąd.

Czy zegar systemowy jest ważny w systemach z obsługą blokady retencji?
Tak, systemy z obsługą blokady retencji w trybie compliance obsługują wewnętrzny „zegar bezpieczeństwa”, który zapobiega złośliwym ingerencjom w zegar systemowy (które mogą pozwolić na przedwczesne usunięcie plików objętych blokadą retencji). Czasy zegara bezpieczeństwa i systemowego są regularnie porównywane i w przypadku wystąpienia nagromadzonego 2-tygodniowego przesunięcia między nimi w jednym roku kalendarzowym, system plików Data Domain (DDFS) zostanie automatycznie wyłączony w celu uniemożliwienia dostępu do danych w DDR. Może to nastąpić także w przypadku nagłej modyfikacji zegara systemowego i zmiany czasu o więcej niż 2 tygodnie.

W tym scenariuszu DDFS można włączyć ponownie pod następującymi warunkami:
  • Logowanie do DDR
  • Sprawdzanie, czy zegar systemowy jest ustawiony prawidłowo.
  • Włączanie systemu plików: 
    # filesys enable
  • Po wyświetleniu monitu wprowadź dane użytkownika z rolą „security”, aby możliwe było zresetowanie zegara bezpieczeństwa i włączenie DDFS.
Czy zegar systemowy może być synchronizowany z usługą Active Directory w systemach z obsługą blokady retencji w trybie zgodności?
Nie, po włączeniu zgodności blokady retencji serwery CIFS nie synchronizują już czasu systemowego z usługą Active Directory. Jeśli różnica czasu między systemem a usługą Active Directory jest większa niż pięć minut, serwer CIFS wyświetla komunikat o błędzie, gdy użytkownik usługi Active Directory próbuje się zalogować lub system próbuje przyłączyć się do domeny Active Directory. Aby uniknąć tego błędu, skonfiguruj czas usługi Active Directory za pomocą protokołu NTP.

Dotyczy to inaczej niż w systemach, w których blokada retencji nie jest włączona, ale używana jest usługa Active Directory.  W takiej sytuacji nie zaleca się włączania protokołu NTP, ponieważ mogą wystąpić konflikty ustawień czasu między usługą Active Directory a usługą NTP.

Jakie kroki można podjąć w przypadku zapełnienia pojemności DDR korzystającego z plików objętych blokadą retencji?
Zakładając brak miejsca do wyczyszczenia w DDR (czyszczenie zostało wykonane, ale system pozostaje zapełniony), zawartość powinna zostać sprawdzona w celu stwierdzenia, czy:
  • Istnieją pliki, które nie są objęte blokadą retencji i mogą zostać usunięte.
  • Istnieją pliki zablokowane w trybie governance, których blokady można cofnąć i które można usunąć.
Po wykonaniu tej czynności należy ponownie wykonać czyszczenie, aby fizycznie zwolnić miejsce w systemie. Z kolei jeśli żadne dane fizyczne nie mogą zostać usunięte z systemu, należy dodać dodatkową fizyczną pamięć masową do DDR i rozbudować system plików (zakładając, że rozbudowa jest obsługiwana przez bieżące DDR lub konfigurację).

Jeśli pliki w systemie są zablokowane tylko w trybie compliance, cofnięcie blokad i usunięcie tych plików jest niemożliwe. W rezultacie zwolnienie miejsca jest niemożliwe, chyba że:
  • Okres retencji został osiągnięty dla niektórych lub wszystkich plików. Od tej chwili można je usunąć i wykonać czyszczenie (w sposób opisany powyżej).
  • System zostanie zainstalowany ponownie z nośnik USB (co spowoduje utratę wszystkich danych w DDR).
  • Do systemu zostanie dodane więcej fizycznej pamięci masowej (w sposób opisany powyżej).
Uwaga: możliwe jest całkowite wypełnienie DDR plikami zablokowanymi w trybie compliance. W tym scenariuszu administrator lub pomoc techniczna nie może zrobić nic, aby zwolnić miejsce (oznacza to brak funkcji niskiego poziomu do usuwania/cofania blokad w trybie compliance i przedwczesnego usuwania odpowiednich plików).

文書のプロパティ

影響を受ける製品

Data Domain, Data Domain Retention Lock

製品

Data Domain

最後に公開された日付

18 7月 2024

バージョン

17

文書の種類

Solution

トップに戻る