メイン コンテンツに進む
ログアウト

Dellへようこそ

マイアカウント
  • すばやく簡単にご注文が可能
  • 注文内容の表示、配送状況をトラック
  • 会員限定の特典や割引のご利用
  • 製品リストの作成とアクセスが可能
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。
ログイン アカウントの新規作成 プレミアログイン パートナー プログラム サインイン
お問い合わせ

Dell.comカート

文書番号: 000079803

Data Domain: Perguntas frequentes sobre o Retention Lock

概要: Este artigo consiste em uma visão geral da funcionalidade Data Domain Retention Lock (RL) e explica as diferenças entre a configuração e a utilização dos modos Governança e Conformidade. ...

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容

現象

Este artigo apresenta uma visão geral concisa da funcionalidade Data Domain Retention Lock (RL) e fornece respostas às perguntas frequentes (FAQs) relacionadas.

原因

Este artigo apresenta uma visão geral concisa da funcionalidade Data Domain Retention Lock (RL) e fornece respostas às perguntas frequentes (FAQs) relacionadas.

解決方法

O que é o Retention Lock?
O Retention Lock é um recurso usado nos Data Domain Restorers (DDRs) para impedir a modificação ou a exclusão de certos conjuntos de arquivos por um período predeterminado. Ou seja, os arquivos bloqueados com o Retention Lock são somente leitura até que o período de retenção expire.

Quais são as diferentes versões do Retention Lock?
O Retention Lock está disponível para duas funções diferentes:
  • Governança: Essa é a função menos rigorosa (ou seja, os bloqueios de arquivos podem ser revertidos, se necessário).
  • Conformidade: Essa é a função mais rigorosa e cumpre diversas normas regulamentares comuns. Ou seja, os bloqueios de arquivos não podem ser revertidos. O DDR precisa ser configurado com um usuário "diretor de segurança", que deve autenticar determinados comandos. Há várias restrições em outras funcionalidades para impedir que os dados bloqueados sejam removidos ou que os bloqueios sejam revertidos antecipadamente.
Nota:
  • O modo Conformidade só está disponível no DDOS 5.3 (ou posterior).
  • Cada função do Retention Lock requer uma chave de licença separada.
  • A funcionalidade do Retention Lock é habilitada por MTree.
  • Um sistema único pode usar os modos Governança e Conformidade em MTrees separados. No entanto, ele deve ter licenças separadas de governança e conformidade instaladas.
  • Não ative qualquer tipo de DD Retention Lock nos MTrees usados para armazenar dados do Avamar, a menos a documentação do Avamar exija a ativação do recurso para executá-lo no Avamar. Ativar o DD RL em qualquer MTree deste tipo, sem seguir o processo correto do Avamar, pode tornar o MTree inutilizável para backups e acarretar em uma recuperação demorada. Isso se aplica, especialmente, ao ativar o Automatic Retention Lock (ARL) em um MTree do Avamar.
  • A funcionalidade Retention Lock pode não ser compatível com MTrees usados para armazenar dados por meio de versões mais antigas do Avamar ou de um software de proteção em um Integrated Data Protection Appliance ou em um PowerProtect Data Protection Series Appliance. Isso pode impedir que o Avamar ou o software de proteção dentro do e Integration Data Protection Appliance funcione conforme o esperado e entre no estado somente leitura.
Quais protocolos de acesso aos dados são compatíveis com o Retention Lock?
  • Os protocolos NFS, CIFS e DD Boost são totalmente compatíveis com MTrees que usam o modo Governança ou Conformidade do Retention Lock.
  • O protocolo Virtual Tape Library (VTL) só é compatível com MTrees que usam o modo Governança do Retention Lock. O Automatic Retention Lock não é compatível com o protocolo VTL do Data Domain. Consulte o Guia de administração do Data Domain para determinar como desbloquear fitas bloqueadas com o Retention Lock para que elas possam receber gravações.
O modo Conformidade do Retention Lock atende às normas regulamentares:
A lista de normas regulamentares que o modo Conformidade do Retention Lock cumpre inclui:     
  • SEC 17a-4(f)
  • Regra 1.31b da CFTC
  • CFR 21 Parte 11 da FDA
  • Lei Sarbanes-Oxley
  • IRS 98025 e 97-22
  • Norma ISO 15489-1
  • MoREQ2010
Para obter detalhes completos das informações de certificação, entre em contato com seu provedor de suporte contratado.

Como habilitar o modo Governança do Retention Lock?
  • Uma licença de governança do Retention Lock é adicionada ao DDR.
  • O modo Governança do Retention Lock é habilitado em qualquer MTree necessário:     
# mtree retention-lock enable mode governance mtree [mtree]

Como habilitar o modo Conformidade do Retention Lock?
  • Observe que há instruções específicas para alguns modelos mais recentes do Data Domain com iDRAC.
  • Uma licença de conformidade do Retention Lock é adicionada ao DDR.
  • Um usuário com função de "segurança" deve ser criado (caso esse usuário não exista):     
(ADMIN USER) # user add [username] role security
  •  O usuário com função de "segurança" deve fazer login no DDR e habilitar a autorização do usuário de segurança:     
(SECURITY USER): # authorization policy set security-officer enabled
  • O sistema deve ser configurado para o modo Conformidade do Retention Lock. Depois que o seguinte comando for executado até a conclusão, o sistema será reinicializado automaticamente:     
(ADMIN USER) # system retention-lock compliance configure
  • Depois que o sistema for reinicializado, o modo Conformidade do Retention Lock deverá ser habilitado no sistema:     
(ADMIN USER) # system retention-lock compliance enable
Nota: Para versões mais recentes do DDOS, essa tarefa precisa ser realizada com a IU do Data Domain. Administração > Conformidade
  • O modo Conformidade do Retention Lock é habilitado em qualquer MTree necessário:
(ADMIN USER) # mtree retention-lock enable mode compliance mtree [mtree]


Como é possível determinar quais MTrees estão com o Retention Lock habilitado?
Os MTrees com o Retention Lock habilitado aparecem na saída de "mtree list", por exemplo:     

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rich-retention-lock                 0.0   RW/RLGE   -
/data/col1/rl_test                             0.0   RW/RLGD   -
/data/col1/rl_test_comp                        0.0   RW/RLCE   -
/data/col1/test                                3.1   RW/RLGE   -
...
---------------------------------   --------------   -------   -----------
...
 RLGE : Retention-Lock Governance Enabled
 RLGD : Retention-Lock Governance Disabled
 RLCE : Retention-Lock Compliance Enabled


Um MTree com o modo Governança do Retention Lock habilitado pode ser convertido para a modo Conformidade do Retention Lock?
Conforme declarado no Guia de administração do DDOS, ele não pode ser convertido.

Um MTree com o modo Conformidade do Retention Lock habilitado pode ser convertido para a modo Governança do Retention Lock?
Conforme declarado no Guia de administração do DDOS, ele não pode ser convertido.

Como os períodos de bloqueio ou retenção de arquivos são definidos?
Assim que o Retention Lock estiver habilitado em um MTree, um período de retenção mínimo e um período de retenção máximo devem ser definidos. Esses períodos determinam o tempo mínimo e o tempo máximo em que um arquivo dentro do MTree pode ficar bloqueado. Por exemplo:     

# mtree retention-lock set min-retention-period [period] mtree [mtree]
# mtree retention-lock set max-retention-period [period] mtree [mtree]

Os períodos podem ser especificados em várias unidades, da seguinte forma:     

  • 1 minuto
  • 1 hora
  • 1 dia
  • 1 mês
  • 1 ano
Nota:
  • Um período mínimo de retenção não pode ser inferior a 12 horas.
  • Um período máximo de retenção não pode ser superior a 70 anos.
  • O período mínimo de retenção precisa ser menor do que o período máximo de retenção.
  • Os períodos de retenção para cada MTree são definidos da mesma forma, independentemente do tipo de Retention Lock que está sendo usado.

Como os períodos de retenção existentes podem ser exibidos?
É possível exibi-los usando os dois comandos a seguir:     

# mtree retention-lock show min-retention-period mtree [mtree]
# mtree retention-lock show max-retention-period mtree [mtree]

Por exemplo:     

sysadmin@dd630# mtree retention-lock show min-retention-period mtree /data/col1/rl_test
Retention-lock min-retention-period of mtree /data/col1/rl_test is: 720 minutes.
sysadmin@dd630# mtree retention-lock show max-retention-period mtree /data/col1/rl_test
Retention-lock max-retention-period of mtree /data/col1/rl_test is: 30 days.


Como os arquivos em um MTree com o Retention Lock habilitado são bloqueados?

  • Quando o Retention Lock é habilitado em um MTree, os arquivos existentes no MTree não são bloqueados automaticamente (ou seja, todos os arquivos preexistentes permanecem com o status de leitura ou gravação).
  • Quando um novo arquivo é gravado em um MTree que está com o Retention Lock habilitado, ele não é bloqueado automaticamente. Ou seja, o novo arquivo permanece com o status de leitura ou gravação.
Nota: A partir do DDOS 6.2.0.20, há um recurso no DDOS denominado "Automatic Retention Lock", que pode bloquear automaticamente todos os arquivos gravados. Para saber mais, consulte a seção "Automatic Retention Lock" mais adiante, neste artigo da KB.
  • Para habilitar o bloqueio do Retention Lock em um arquivo específico, o atime do arquivo deve ser modificado para corresponder à data e à hora em que o arquivo deve ser bloqueado. Até essa data e essa hora, o arquivo deverá permanecer somente leitura. Até que o tempo seja modificado dessa forma, o bloqueio do Retention Lock não poderá ser habilitado no arquivo (e o arquivo poderá ser modificado ou removido).

O atime de um arquivo pode ser alterado a partir de um client NFS ou CIFS usando o comando "touch":

# touch -a -t [expiry time] [file to be locked]

Por exemplo, para definir um atime de /data/col1/rl_test/testfile como 07:05, em 8 de junho: 

# touch -a -t 06080705 /data/col1/rl_test/testfile

O período do tempo atual para o atime futuro deve estar dentro dos períodos mínimo e máximo de retenção do MTree. Caso contrário, um erro será gerado ao modificar o atime dos arquivos: 

# touch -a -t 08080705 /data/col1/rl_test/testfile
touch: setting times of `/data/col1/rl_test/testfile': Permission denied

Uma mensagem correspondente também é mostrada nos arquivos de log do Data Domain File System (DDFS):     

06/07 13:44:57.197 (tid 0x2b28ee5258c0): Attempt to set atime of /data/col1/rl_test/testfile to larger than maximum retention period of mtree.

Os clients CIFS (Windows) não incluem, por padrão, um comando ou utilitário de toque. No entanto, vários desses utilitários estão disponíveis gratuitamente para download em diversos sites de terceiros.

Nota: Não é possível habilitar o bloqueio do Retention Lock nos arquivos até que eles sejam gravados no DDR. Não é possível criar um arquivo vazio, habilitar o bloqueio do Retention Lock nesse arquivo e, em seguida, gravar dados nele.

Quais aplicativos de backup permitem habilitar automaticamente o bloqueio do Retention Lock em arquivos após gravá-los em um DDR?
O Data Domain Retention Lock é compatível com os protocolos Write-Once-Read-Many (WORM) padrão do setor, que são baseados em NAS. A integração é qualificada com aplicativos de arquivamento, como Symantec Enterprise Vault, SourceOne, Cloud Tiering Appliance ou DiskXtender.

O Dell NetWorker é compatível com os modos Governança e Conformidade.

Desde junho de 2024, as versões recentes do Avamar são compatíveis com os modos Conformidade e Governança do Data Domain Retention Lock, como parte do recurso "Backups imutáveis" do Avamar. Consulte o artigo abaixo e a documentação do Avamar para obter detalhes:
Avamar e Data Domain: Habilitando o modo Conformidade do Data Domain Retention Lock e o recurso Backups imutáveis no Avamar

É fundamental que as etapas para ativar o recurso "Backups imutáveis" do Avamar sejam seguidas rigorosamente. Caso contrário, um MTree do Avamar no DD não poderá receber mais gravações ou ele poderá apresentar problemas operacionais, exigindo uma longa recuperação forçada. O Avamar não funciona com o DD Automatic Retention Lock (ARL), Dessa forma, o ARL não pode ser ativado em qualquer MTree do Avamar que esteja em um DD.

Os clientes que usam outros aplicativos de backup que não apresentam compatibilidade nativa com o Data Domain Retention Lock também podem desenvolver scripts personalizados para definir manualmente períodos de retenção de arquivos com o Data Domain Retention Lock. Nesse cenário, certifique-se de que os scripts personalizados definam o atime do arquivo, de modo que ele seja desbloqueado antes de o aplicativo de backup tentar excluí-lo. Se isso não for feito, o aplicativo de backup poderá tentar excluir arquivos bloqueados (e não conseguirá); o arquivo será deixado no DDR por tempo indeterminado, consumindo o espaço em disco. Consulte o Guia de administração do Data Domain.

Automatic Retention Lock
Os clientes que têm aplicativos de backup sem compatibilidade nativa com o Data Domain Retention Lock sempre tiveram dificuldades para usar o recurso. O administrador de backup precisa configurar os scripts para definir o Retention Lock em arquivos inseridos recentemente em um MTree. O bloqueio deve ser definido para que ele expire um pouco antes de o backup ser expirado (e excluído) pelo administrador de backup.

O ARL não define um bloqueio para cada arquivo gravado no MTree após o recurso ter sido ativado, impedindo que o arquivo seja alterado ou removido por determinado tempo, após a expiração do período de tolerância configurado. Isso significa que o ARL não deve ser habilitado em cargas de trabalho ou aplicativos de backup que precisam atualizar alguns arquivos repetidas vezes ao longo do tempo, por exemplo, em pools de VTL (arquivos de fita VTL são gravados repetidamente) ou em aplicativos de backup que mantêm informações de metadados ao lado dos próprios arquivos de backup do cliente (como o NetWorker ou o Avamar). Ao habilitar o ARL nessas instâncias para que arquivos importantes fiquem bloqueados por determinado tempo, quando esses arquivos precisarem ser gravados posteriormente para receberem outros backups, a gravação e todos os backups subsequentes falharão.

Para ajudar o administrador de backup a reduzir a carga de manter o Retention Lock habilitado nos arquivos de backup secundários e ativar o DDOS na paridade de recursos com outros fornecedores, desde o DDOS 6.2.0.20, há um recurso que pode ser habilitado a partir da CLI, em cada MTree com o Retention Lock configurado, para definir um bloqueio em cada arquivo incluído (por um certo período), depois que algum tempo predeterminado tiver passado desde a conclusão da gravação do arquivo no disco. Dessa forma, os administradores não precisam mais se preocupar com a configuração manual (ou por script) do Retention Lock e isso pode ocorrer automaticamente sem a cooperação do aplicativo de backup. 
Nas versões do DDOS anteriores à 7.8, o Automatic Retention Lock não pode ser usado em Unidades Lógicas de Armazenamento (LSU) do DD Boost. Ao tentar habilitá-lo, ocorrerá um erro informando a falta de compatibilidade.
A partir da versão 7.8, o ARL pode ser usado em LSUs do DD Boost.

(O ARL usado nos DDs de destino para Replicação Gerenciada de Arquivos (MFR), como clonagem de NW, deve ter um período de "automatic-lock-delay" longo o suficiente para garantir que as operações de clonagem do conjunto de backups sejam concluídas antes de o bloqueio ser definido nos arquivos. Exemplo: A replicação em um arquivo pequeno, que faz parte de um conjunto de backups, é concluída rapidamente, enquanto a replicação de um arquivo maior leva mais tempo. Dessa forma, o arquivo pequeno será bloqueado com o Retention Lock no momento em que a replicação do arquivo maior terminar. Além disso, quando o NW tentar mover todos os arquivos do conjunto de backups para o diretório final de arquivamento, um erro será identificado.)

O Automatic Retention Lock não é compatível com o protocolo VTL do Data Domain.

Nas versões aplicáveis, há opções adicionais na CLI "mtree retention-lock", conforme mostrado abaixo. Esse recurso também pode ser configurado por meio da IU. Basta selecionar "Automatic", em vez de "Manual", na opção "Use":     

# mtree retention-lock set
{min-retention-period | max-retention-period |
automatic-retention-period | automatic-lock-delay} <period>
mtree <mtree-path>

O recurso Automatic Retention Lock bloqueia um arquivo imediatamente após a expiração de um período de tolerância pré-configurado (automatic-lock-delay). Depois que o arquivo for gravado em um MTree com o Retention Lock habilitado e o bloqueio for válido para "automatic-retention-period" a partir do momento em que ele foi definido, se o valor estiver dentro dos valores "min-retention-period" e "max-retention-period" definidos para o MTree, ocorrerá o bloqueio.

Para obter mais detalhes gerais e informações de uso do recurso, consulte o Guia de administração do DDOS correspondente. Esse recurso não é adequado para situações em que o mesmo MTree é usado como destino de backups que devem ter bloqueios definidos para períodos diferentes ou de backups que não devem ter um bloqueio definido para começar.

O que pode ou não ser feito em um arquivo bloqueado?

  • Os arquivos bloqueados com o Retention Lock são somente leitura e não podem ser modificados ou excluídos.
  • Depois que o período de retenção expirar, o arquivo será "desbloqueado". Quando o arquivo estiver no estado desbloqueado, ele ainda não poderá ser modificado. No entanto, ele poderá ser excluído. O DDR não excluirá automaticamente um arquivo quando o período de retenção dele expirar (a exclusão subsequente deve ser realizada a partir de um sistema client ou aplicativo de backup).
  • Depois de definido, o período de retenção de um arquivo específico não poderá ser reduzido (ou seja, o atime dos arquivos não poderá ser adiantado).
  • No entanto, os períodos de retenção poderão ser ampliados (é possível aumentar o atime até o período máximo de retenção do MTree).
  • As configurações de propriedade e permissão de um arquivo podem continuar sendo modificadas enquanto o arquivo estiver bloqueado
  • Só será possível renomear ou excluir um diretório em um MTree com o Retention Lock habilitado se esse diretório não contiver arquivos. Se o diretório contiver arquivos (mesmo que esses arquivos não estejam bloqueados com o Retention Lock), não será possível renomear ou excluir o diretório
  • Mesmo que o conteúdo do arquivo em si não seja modificado, não será permitido alterar o nome (renomear) dos arquivos que tenham um bloqueio definido. Mesmo depois que o bloqueio do arquivo expirar, a renomeação continuará não sendo permitida. No caso dos arquivos que não estão mais bloqueados, a única operação permitida é a exclusão. Isso mudou no DDOS 7.7.4, no qual é permitido renomear os arquivos que não estão mais bloqueados.

É possível remover completamente o bloqueio do Retention Lock em um arquivo ou conjunto de arquivos?
É possível "reverter" (remover) o bloqueio do Retention Lock em arquivos de MTrees que usam o modo Governança. Esse processo é feito com o seguinte comando:     

# mtree retention-lock revert [path]

Depois que o bloqueio do Retention Lock for removido de um arquivo, o arquivo poderá ser modificado ou excluído normalmente. Se esse comando for executado em um diretório, todos os arquivos dentro desse diretório e todos os subdiretórios terão o bloqueio do Retention Lock removido.

Não é possível reverter um bloqueio do Retention Lock em arquivos de MTrees que usam o modo Conformidade. Em caso de tentativa, um erro correspondente será exibido:     

# mtree retention-lock revert /data/col1/rl_test_comp/testfile
This operation is not allowed. Mtree is in retention-lock compliance mode.


O que acontecerá se houver uma tentativa de modificar ou excluir um arquivo bloqueado com o Retention Lock?
Qualquer tentativa de modificar ou excluir um arquivo bloqueado com o Retention Lock gerará um erro "permission denied" correspondente:     

# echo " test2" >> /data/col1/rl_test/testfile
bash: testfile: Permission denied
# rm testfile
rm: remove write-protected regular file `testfile'? y
rm: cannot remove `testfile': Permission denied

Os logs do DDFS indicam que a operação falhou porque o arquivo está bloqueado com o Retention Lock:     

06/07 07:06:59.756 (tid 0x2b5a77605d50): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.
06/07 07:07:42.504 (tid 0x2b5a79111390): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.


É possível listar todos os arquivos que estão bloqueados com o Retention Lock?
Sim, isso pode ser realizado usando o comando "mtree retention-lock report generate retention-details":     

mtree retention-lock report generate retention-details
mtrees {<mtree-list> | all}
[format {text | tsv | csv}]
[output-file <file-name>]
               Report detailed information of
               retention-lock files.

Por exemplo, para listar detalhes de todos os arquivos bloqueados em /data/col1/rl_test MTree, o seguinte comando pode ser executado:     

sysadmin@ddxxxx# mtree retention-lock report generate retention-details mtrees /data/col1/jftest
Report generated on: Fri Jul  1 14:19:31 2016

Report for mtree: /data/col1/jftest
File Path        Mode        Size(Bytes)        Expiration Date
/data/col1/jftest/file1 governance 10521456 Sat Jul  2 22:35:48 2016
/data/col1/jftest/testdir/file2 governance 10521680 Sat Jul  2 22:35:42 2016
/data/col1/jftest/file3 governance 10521820 Sun Jul 10 22:36:09 2016
Total files: 3


É possível desabilitar completamente o bloqueio do Retention Lock em um MTree (depois de habilitado)?
Sim, em MTrees que usam o modo Governança, por meio do comando "mtree retention-lock disable":    

# mtree retention-lock disable mtree [mtree]

For example:     
sysadmin@xxxx# mtree retention-lock disable mtree /data/col1/rl_test
Retention-lock feature is disabled (previously enabled) for mtree /data/col1/rl_test.

Once disabled, MTree list indicates that retention lock was used against the MTree but has since been disabled, that is: 
sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rl_test                             0.0   RW/RLGD   -
...
Nota: Depois que o Retention Lock for desabilitado em um MTree:
  • Novos arquivos gravados no MTree não poderão ser bloqueados com o Retention Lock.
  • Os arquivos que já estão bloqueados permanecerão bloqueados durante o período de retenção definido anteriormente (ou seja, os bloqueios não serão revertidos automaticamente quando o Retention Lock for desabilitado em um MTree).
  • Os bloqueios existentes em arquivos de um MTree, no qual o Retention Lock está desabilitado, não poderão ser revertidos. Todas as reversões necessárias precisarão ser feitas antes de o Retention Lock ser desabilitado:
sysadmin@ddxxxx# mtree retention-lock revert /data/col1/rl_test/testfile
**** Retention-lock feature is disabled (previously enabled) for mtree which contains the path /data/col1/rl_test/testfile.
  • O Retention Lock não pode ser desabilitado em um MTree que usa o modo Conformidade:     
sysadmin@ddxxxx# mtree retention-lock disable mtree /data/col1/rl_test_comp
**** Operation is not allowed because the system is a retention-lock compliance system

A replicação ainda pode ser usada em MTrees com o Retention Lock habilitado?
Sim, os MTrees ou arquivos bloqueados com o Retention Lock podem ser replicados usando várias topologias de replicação:     
  • Replicação de diretório – Compatível apenas com arquivos que usam o modo Governança e não replica períodos mínimos e máximos de retenção para o sistema de destino.
  • Replicação de MTree – Pode ser usada para dados do modo Governança ou Conformidade e replica períodos mínimos e máximos de retenção para o sistema de destino.
  • Replicação de conjunto – Pode ser usada para dados do modo Governança ou Conformidade e replica períodos mínimos e máximos de retenção para o sistema de destino.
Nota: Para que os bloqueios do Retention Lock sejam preservados nos sistemas de destino:
  • Os sistemas de origem e destino precisam ter licenças do Retention Lock correspondentes instaladas.
  • Os contextos de replicação de MTree precisam ter "Replication propagate-retention-lock" definido como Enabled.
  • Para arquivos replicados pela replicação de diretório, os períodos mínimos e máximos de retenção de MTrees correspondentes precisam ser definidos manualmente no sistema de destino.
Há outras restrições ao replicar arquivos bloqueados com o Retention Lock?
Sim, as ressincronizações de contextos de replicação (que estão tentando restabelecer um contexto configurado anteriormente, mas dividido), em que os dados bloqueados com o Retention Lock são usados, podem falhar.
 
Nota:
  • Se a replicação de MTree for usada e o MTree de destino contiver arquivos bloqueados com o Retention Lock que não existem na origem, a ressincronização apresentará falha.
  • Se a replicação de diretório for usada e o destino tiver o Retention Lock habilitado, mas a origem não, a ressincronização apresentará falha.
Nota: Ao usar a replicação de MTree, a ressincronização será bem-sucedida nos seguintes cenários, se o MTree de destino não contiver arquivos bloqueados com o Retention Lock no DDR de origem:
  • O MTree de origem não tem o Retention Lock habilitado, mas o de destino tem.
  • O MTree de destino não tem o Retention Lock habilitado, mas o de origem tem.
Também não será possível habilitar o modo Conformidade do Retention Lock em um MTree que já seja membro de um contexto de replicação de MTree. Nesse cenário:
  • O contexto de replicação de MTree deve ser dividido nos sistemas de origem e destino: 
# replication break mtree://[destination system]/data/col1/[mtree]
  • Um novo contexto de replicação de MTree deve ser criado nos sistemas de origem e destino: 
# replication add source mtree://[source system]/data/col1/[mtree] destination mtree://[destination system/data/col1/[mtree]
  • O modo Conformidade do Retention Lock deve estar ativado no sistema de origem: 
# mtree retention-lock enable mode compliance mtree [mtree]
  • O contexto de replicação recém-criado deve ser ressincronizado no sistema de origem: 
# replication resync mtree://[destination system/data/col1/[mtree]

É possível fazer a cópia rápida de arquivos bloqueados com o Retention Lock?
Sim, é possível fazer normalmente a cópia rápida de arquivos bloqueados com o Retention Lock. Se o MTree de destino que mantém a cópia rápida tiver o Retention Lock habilitado, o bloqueio do arquivo será preservado na cópia rápida. Se o MTree de destino não tiver o Retention Lock habilitado, a cópia rápida não preservará o bloqueio.

Há outras restrições de funcionalidade do sistema ao usar o Retention Lock?
Os seguintes comandos não são permitidos em sistemas que usam o modo Conformidade do Retention Lock: 
# user reset
# filesys destroy
# filesys archive unit del [archive unit name]
O suporte técnico não pode inicializar esses sistemas no modo de usuário único para recuperação sem o uso de uma unidade USB e acesso físico ao sistema.

Os seguintes comandos não são permitidos em MTrees que usam o modo Conformidade do Retention Lock: 
# mtree delete [mtree]
# mtree retention-lock reset [min-retention-period period | max-retention-period period] mtree [mtree]
# mtree retention-lock disable mtree [mtree]
# mtree retention-lock revert
No entanto, no DDOS 7.3 e em versões posteriores, foi feita uma provisão para que os clientes possam excluir os MTrees com o modo Conformidade do Retention Lock habilitado, caso:
  • O DD esteja executando o DDOS 7.3 ou posterior.
  • O RLCE MTree que será excluído esteja vazio (sem qualquer arquivo ou diretório).
  • O administrador tenha êxito na autenticação do diretor de segurança.
Da mesma forma, em sistemas configurados com a retenção em longo prazo (nível de nuvem), os comandos destrutivos também podem não ser permitidos, por exemplo: 
# cloud unit del <cloud unit name>
Nota: Os MTrees que usam o modo Governança do Retention Lock (ou que já tiveram esse modo habilitado alguma vez) só poderão ser excluídos depois que não contiverem mais arquivos. Se houver arquivos restantes nos MTrees, ocorrerá um erro.

O relógio do sistema é importante nos sistemas com o Retention Lock habilitado?
Sim, os sistemas com o modo Conformidade do Retention Lock habilitado ativam um "relógio de segurança" interno para evitar adulteração mal-intencionada do relógio do sistema (que pode fazer com que os arquivos bloqueados com o Retention Lock sejam excluídos antecipadamente). Os horários dos relógios de segurança e do sistema são comparados regularmente. Se houver uma distorção acumulada de duas semanas entre os dois em um único ano calendário, o Data Domain File System (DDFS) será automaticamente desativado para impedir o acesso aos dados no DDR. Isso também poderá acontecer se o relógio do sistema for modificado repentinamente e o horário for alterado em mais de duas semanas.

Nesse cenário, o DDFS poderá ser reativado:
  • Fazendo login no DDR
  • Verificando se o relógio do sistema está definido corretamente.
  • Habilitando o file system: 
    # filesys enable
  • Quando solicitado, digite as informações de um usuário com função de segurança para permitir que o relógio de segurança seja redefinido e o DDFS seja ativado.
O relógio do sistema pode ser sincronizado com o Active Directory em sistemas habilitados para conformidade de bloqueio de retenção?
Não, quando a conformidade do bloqueio de retenção está habilitada, os servidores CIFS não sincronizam mais o horário do sistema com o Active Directory. Se houver uma diferença de tempo maior que cinco minutos entre o sistema e o Active Directory, o servidor CIFS exibirá uma mensagem de erro quando um usuário do Active Directory tentar fazer log-in ou quando o sistema tentar ingressar em um domínio do Active Directory. Configure o horário do Active Directory com NTP para evitar esse erro.

Isso contrasta com os sistemas em que a conformidade do bloqueio de retenção não está ativada, mas o Active Directory está em uso.  Nesse caso, não é recomendável habilitar o NTP, pois pode haver conflitos de configuração de tempo entre o Active Directory e o NTP.

O que pode ser feito se um DDR que usa arquivos bloqueados para retenção atingir a capacidade?
Supondo que não haja espaço "com possibilidade de limpeza" no DDR (a limpeza é executada, mas o sistema permanece cheio), o conteúdo dele deverá ser analisado para determinar se:
  • Há arquivos sem bloqueio do Retention Lock que possam ser removidos.
  • Há arquivos bloqueados com o modo Governança, cujo bloqueio possa ser revertido e removido.
Assim que isso for feito, a limpeza deverá ser executada novamente para liberar espaço físico no sistema. Como alternativa, se não for possível excluir dados físicos do sistema, será preciso adicionar um armazenamento físico ao DDR e expandir o file system (supondo que a expansão seja compatível com o DDR ou a configuração atual).

Se os únicos arquivos no sistema estiverem bloqueados usando o modo Conformidade, não será possível reverter os bloqueios e remover esses arquivos. Como resultado, o espaço não poderá ser liberado, a menos que:
  • O período de retenção de alguns ou todos os arquivos chegue ao fim. Após esse período, eles poderão ser excluídos e a limpeza poderá ser executada (conforme descrito acima).
  • O sistema seja reinstalado a partir de uma unidade USB (o que causará a perda de todos os dados no DDR).
  • Mais armazenamento físico seja adicionado ao sistema (conforme descrito acima).
Nota: É bem possível ocupar completamente o espaço de um DDR com arquivos bloqueados usando o modo Conformidade. Nesse cenário, não há nada que um administrador ou o suporte técnico possa fazer para liberar espaço (ou seja, não há funcionalidade de baixo nível para remover/reverter bloqueios do modo Conformidade e excluir os arquivos correspondentes antecipadamente).

文書のプロパティ

影響を受ける製品

Data Domain, Data Domain Retention Lock

製品

Data Domain

最後に公開された日付

18 7月 2024

バージョン

17

文書の種類

Solution

トップに戻る