Data Domain: Retention Lock 자주 묻는 질문

Retention Lock이란 무엇입니까?
Retention Lock은 DDR(Data Domain Restorer)에서 사전 정의된 기간 동안 특정 파일 세트가 수정되거나 삭제되지 않도록 하는 기능입니다. 즉, Retention Lock이 설정된 파일은 보존 기간이 만료될 때까지 읽기 전용입니다.

Retention Lock의 다른 버전은 무엇입니까?
Retention Lock은 다음 두 가지 다른 기능에 사용할 수 있습니다.

• 거버넌스: 두 가지 Retention Lock 기능 중 덜 엄격합니다(필요한 경우 파일에 대한 잠금을 되돌릴 수 있음).
• 규정 준수: 두 기능 중 몇 가지 일반적인 규제 표준을 준수하는 기능이 더 엄격합니다. 즉, 파일에 대한 잠금은 되돌릴 수 없습니다. DDR은 특정 명령을 인증해야 하는 '보안 책임자' 사용자로 구성되어야 합니다. 다른 기능에는 잠긴 데이터가 제거되거나 잠금이 일찍 되돌려지지 않도록 하는 다양한 제한 사항이 있습니다.

Retention Lock에서 지원되는 데이터 액세스 프로토콜은 무엇입니까?

• NFS, CIFS 및 DD Boost 프로토콜은 Retention Lock 거버넌스 또는 규정 준수 모드를 사용하여 MTrees에 대해 완벽하게 지원됩니다.
• VTL(Virtual Tape Library) 프로토콜은 Retention Lock 거버넌스 모드를 사용하는 MTrees에 대해서만 지원됩니다. Data Domain VTL에서는 자동 Retention Lock이 지원되지 않습니다. 쓰기 가능한 Retention Lock이 설정된 테이프를 잠금 해제하는 방법은 Data Domain 관리 가이드를 참조하십시오.

Retention Lock 규정 준수 모드는 규제 표준을 충족합니다.
Retention Lock 규정 준수 모드가 준수하는 규제 표준 목록은 다음과 같습니다.     

• SEC 17a-4(f)
• CFTC 규칙 1.31b
• FDA 21 CFR Part 11
• Sarbanes-Oxley 조항
• IRS 98025 및 97-22
• ISO 표준 15489-1
• MoREQ2010

인증 정보에 대한 자세한 내용은 계약된 지원 공급업체에 문의하십시오.

Retention Lock 거버넌스는 어떻게 활성화됩니까?

• Retention Lock 거버넌스 라이선스가 DDR에 추가됩니다.
• 필요한 모든 MTree에 대해 Retention Lock 거버넌스 모드가 활성화됩니다.     

# mtree retention-lock enable mode governance mtree [mtree]

Retention Lock 규정 준수는 어떻게 설정합니까?

• iDRAC을 사용하는 일부 최신 Data Domain 모델에 대한 구체적인 지침이 있습니다.
• Retention Lock 규정 준수 라이선스가 DDR에 추가됩니다.
• '보안' 역할을 가진 사용자를 생성해야 합니다(해당 사용자가 존재하지 않는 경우).     

(ADMIN USER) # user add [username] role security

•  '보안' 역할을 가진 사용자는 DDR에 로그인하여 보안 사용자 인증을 활성화해야 합니다.     

(SECURITY USER): # authorization policy set security-officer enabled

• Retention Lock 규정 준수 모드로 시스템을 구성해야 합니다. 다음 명령을 실행하여 완료되면 시스템이 자동으로 재부팅됩니다.     

(ADMIN USER) # system retention-lock compliance configure

• 시스템이 재부팅되면 시스템에서 Retention Lock 규정 준수 모드를 활성화해야 합니다.     

(ADMIN USER) # system retention-lock compliance enable

• 필요한 모든 MTree에 대해 Retention Lock 규정 준수 모드가 활성화됩니다.

(ADMIN USER) # mtree retention-lock enable mode compliance mtree [mtree]

Retention Lock이 활성화된 MTrees를 어떻게 확인할 수 있습니까?
Retention Lock이 활성화된 MTrees는 의 출력에 표시됩니다. mtree list예를 들어:

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rich-retention-lock                 0.0   RW/RLGE   -
/data/col1/rl_test                             0.0   RW/RLGD   -
/data/col1/rl_test_comp                        0.0   RW/RLCE   -
/data/col1/test                                3.1   RW/RLGE   -
...
---------------------------------   --------------   -------   -----------
...
 RLGE : Retention-Lock Governance Enabled
 RLGD : Retention-Lock Governance Disabled
 RLCE : Retention-Lock Compliance Enabled

Retention Lock 규정 준수가 설정된 MTree를 Retention Lock 규정 준수로 변환할 수 있습니까?
DDoS 관리 가이드에서 설명한 것처럼 이 작업은 불가능합니다.

Retention Lock 규정 준수가 설정된 MTree를 Retention Lock 규정 준수로 변환할 수 있습니까?
DDoS 관리 가이드에서 설명한 것처럼 이 작업은 불가능합니다.

파일 보존 또는 잠금 기간은 어떻게 설정합니까?
MTree에 대해 Retention Lock을 설정한 후에는 최소 및 최대 보존 기간을 설정해야 합니다. 이러한 기간은 MTree 내의 파일을 잠글 수 있는 최소 및 최대 시간을 나타냅니다. 예:     

# mtree retention-lock set min-retention-period [period] mtree [mtree]
# mtree retention-lock set max-retention-period [period] mtree [mtree]

기간은 다음과 같이 다양한 단위로 지정할 수 있습니다.     

• 1분
• 1시간
• 1일
• 1개월
• 1년

기존 보존 기간은 어떻게 표시할 수 있습니까?
이 작업은 다음 두 명령을 사용하여 수행할 수 있습니다.     

# mtree retention-lock show min-retention-period mtree [mtree]
# mtree retention-lock show max-retention-period mtree [mtree]

예:     

sysadmin@dd630# mtree retention-lock show min-retention-period mtree /data/col1/rl_test
Retention-lock min-retention-period of mtree /data/col1/rl_test is: 720 minutes.
sysadmin@dd630# mtree retention-lock show max-retention-period mtree /data/col1/rl_test
Retention-lock max-retention-period of mtree /data/col1/rl_test is: 30 days.

Retention Lock이 설정된 MTree 내의 파일은 어떻게 잠깁니까?

• MTree에 대해 Retention Lock을 설정하면 MTree 내의 기존 파일이 자동으로 잠기지 않습니다(즉, 기존의 모든 파일은 읽기 또는 쓰기 상태로 유지됨).
• Retention Lock이 설정된 MTree에 새 파일을 기록하면 해당 파일은 자동으로 Retention Lock이 설정되지 않습니다. 즉, 새 파일은 읽기 또는 쓰기 상태로 유지됩니다.

• 특정 파일의 Retention Lock을 사용하려면 파일의 atime을 날짜 및 파일이 Retention Lock이 설정되어야 하는 시간에 맞게 수정해야 합니다. 즉 파일이 읽기 전용으로 유지되어야 하는 날짜 및 시간입니다. 이러한 방식으로 일정 시간을 수정할 때까지는 파일을 Retention Lock 상태로 둘 수 없으며 수정하거나 제거할 수 없습니다.

NFS 또는 CIFS 클라이언트에서 'touch' 명령을 사용하여 파일의 atime을 변경할 수 있습니다.

# touch -a -t [expiry time] [file to be locked]

예를 들어 /data/col1/rl_test/testfile의 atime을 6월 8일 07:05로 설정하려면, 

# touch -a -t 06080705 /data/col1/rl_test/testfile

현재 시간에서 미래 atime까지의 기간은 MTree의 최소 및 최대 보존 기간 내에 있어야 합니다. 그렇지 않으면 파일 atime을 수정할 때 오류가 발생합니다.

# touch -a -t 08080705 /data/col1/rl_test/testfile
touch: setting times of `/data/col1/rl_test/testfile': Permission denied

DDFS(Data Domain File System) 로그 파일에도 해당 메시지가 표시됩니다.

06/07 13:44:57.197 (tid 0x2b28ee5258c0): Attempt to set atime of /data/col1/rl_test/testfile to larger than maximum retention period of mtree.

CIFS(Windows) 클라이언트에는 기본적으로 터치 명령이나 유틸리티가 포함되어 있지 않지만 이러한 여러 가지 유틸리티를 다양한 타사 웹사이트에서 무료로 다운로드할 수 있습니다.

DDR에 파일을 기록한 후 자동으로 Retention Lock을 지원하는 백업 애플리케이션은 무엇입니까?
Data Domain Retention Lock은 업계 표준의 NAS 기반 WORM(Write-Once-Read-Many) 프로토콜과 호환됩니다. Symantec Enterprise Vault, SourceOne, Cloud Tiering Appliance 또는 DiskXtender와 같은 아카이브 애플리케이션과 통합할 수 있습니다.

Dell NetWorker의 경우 거버넌스 모드와 규정 준수 모드가 모두 지원됩니다.

2024년 6월을 기준으로 최신 Avamar 버전은 Avamar "변경 불가능한 백업" 기능의 일부로 Data Domain Retention Lock 규정 준수 및 거버넌스를 모두 지원합니다. 자세한 내용은 아래 문서와 Avamar 설명서를 참조하십시오.
Avamar 및 Data Domain: Avamar 변경 불가능한 백업 및 Data Domain 규정 준수 모드 Retention Lock 활성화

Avamar "변경 불가능한 백업" 기능을 활성화하는 단계를 엄격하게 준수해야 합니다. 이렇게 하지 않으면 DD의 Avamar MTree에 더 이상 쓸 수 없거나 복구 시간이 오래 걸리는 운영 문제가 발생할 수 있습니다. Avamar는 DD ARL(Automatic Retention Lock)과 작동하지 않으며 DD의 Avamar MTree에 대해 ARL을 설정해서는 안 됩니다.

Data Domain Retention Lock을 기본적으로 지원하지 않는 다른 백업 애플리케이션을 사용하는 고객도 Data Domain Retention Lock을 사용하여 파일의 보존 기간을 수동으로 설정하는 맞춤 구성 스크립트를 개발할 수 있습니다. 이 시나리오에서는 사용자 정의 스크립트는 파일의 atime을 설정하여 백업 애플리케이션이 파일 삭제를 시도하기 전에 잠금이 해제되도록 해야 합니다. 이렇게 하지 않으면 백업 애플리케이션이 잠긴 파일을 삭제하려고 시도할 수 있으며(실패), 파일이 DDR에 남아 디스크 공간을 영원히 소모하게 됩니다. Data Domain 관리 가이드를 참조하십시오.

자동 Retention Lock
Data Domain Retention Lock 기능을 기본적으로 지원하지 않는 백업 애플리케이션의 경우 고객이 이 기능을 활용하는 것이 항상 문제였습니다. 백업 관리자는 MTree에 대해 새로 수집된 파일에 Retention Lock을 설정하는 스크립트를 구성해야 합니다. 백업 관리자가 백업을 만료(및 삭제)하기 직전에 잠금이 만료되도록 잠금을 설정해야 합니다.

ARL은 MTree에 기록된 각 파일에 대해 잠금을 설정하여 구성된 철회 기간이 경과한 후 지정된 기간 동안 파일을 변경하거나 제거할 수 없도록 합니다. 즉, VTL 풀(VTL 테이프 파일이 반복적으로 기록됨) 또는 메타데이터 정보를 고객 백업 파일 자체와 함께 보관하는 백업 애플리케이션(예: NetWorker 또는 Avamar)과 같이 시간이 지남에 따라 일부 파일을 반복적으로 업데이트해야 하는 워크로드 또는 백업 애플리케이션에 대해 ARL을 활성화해서는 안 됩니다. 이러한 경우 ARL을 활성화하면 일정 시간 동안 중요한 파일을 잠금 설정할 수 있으며, 이러한 파일을 추후 다른 백업을 위해 쓰기 완료해야 하는 경우 쓰기 작업이 실패하고 이어지는 백업도 실패합니다.

백업 관리자가 백업 파일에 대한 Retention Lock을 유지하는 데 따른 부담을 줄이고 DDOS를 다른 공급업체와의 기능 대등성을 높이기 위해 DDOS 6.2.0.20 이후 Retention Lock이 구성된 각 MTree에 대해 CLI를 통해 설정할 수 있는 기능이 있으며, 이 기능은 디스크에 파일 쓰기가 완료된 후 미리 정해진 시간이 경과한 후 수집된 모든 파일에 대해 지정된 기간 동안 잠금을 설정할 수 있습니다. 이렇게 하면 관리자가 더 이상 수동으로(또는 스크립트로) Retention Lock 설정에 대해 걱정할 필요가 없으며, 백업 애플리케이션의 협력 없이 자동으로 Retention Lock이 수행됩니다. 
DDOS 7.8 이전에는 DD Boost LSU(Logical Storage Unit)에서 자동 Retention Lock을 사용할 수 없으며, 이 기능을 활성화하려고 하면 지원되지 않는다는 오류가 반환됩니다.
7.8 이상에서는 ARL이 DD Boost LSU에 지원됩니다.

NW 클론과 같이 MFR(Managed File Replication)용 타겟 DD에 사용되는 ARL은 파일에 잠금을 설정하기 전에 백업 세트에 대한 클론 작업이 완료되도록 "자동 잠금 지연"이 충분히 길어야 합니다. 예: 백업 세트의 일부인 작은 파일은 빠르게 복제를 완료하는 반면 큰 파일은 더 오래 걸리며, 큰 파일의 복제가 완료될 때 첫 번째 파일은 보존 잠금이 설정되고 NW에서 백업 세트의 모든 파일을 최종 아카이브 디렉토리로 이동하려고 하면 오류가 발생합니다.

Data Domain VTL에서는 자동 보존 잠금이 지원되지 않습니다.

해당 버전에는 mtree retention-lock CLI를 사용합니다. 이 기능은 UI를 통해서도 "Use" 옵션에서 "Manual" 대신 "Automatic"을 선택하여 구성할 수 있습니다.     

# mtree retention-lock set
{min-retention-period | max-retention-period |
automatic-retention-period | automatic-lock-delay} <period>
mtree <mtree-path>

자동 Retention Lock 기능은 사전 구성된 철회 기간이 만료되는 즉시(자동 잠금 지연) 파일을 잠급니다. Retention Lock이 설정된 MTree에 파일을 기록하고 해당 값이 MTree에 설정된 "min-retention-period" 및 "max-retention-period" 값 내에 있으면 설정된 순간부터 "automatic-retention-period"에 대해 잠금이 유효합니다.

이 기능에 대한 자세한 사용법과 일반적인 세부 정보는 해당 DDOS 관리 가이드를 참조하십시오. 이 기능은 서로 다른 기간에 대한 잠금 세트가 있어야 하는 백업의 타겟으로 동일한 MTree를 사용하는 상황이나, 시작 시 잠금 설정이 없어야 하는 백업에 대해서는 적합하지 않습니다.

잠긴 파일에 대해 수행할 수 있는 작업과 수행할 수 없는 작업은 무엇입니까?

• Retention Lock이 설정된 파일은 읽기 전용이며 수정하거나 삭제할 수 없습니다.
• 파일의 보존 기간이 만료되면 '잠금 해제' 상태가 됩니다. 잠금 해제된 상태에서는 파일을 수정할 수 없지만 삭제할 수는 있습니다. DDR은 보존 기간이 만료될 때 파일을 자동으로 삭제하지 않습니다(이후의 삭제는 클라이언트 시스템 또는 백업 애플리케이션에서 수행해야 함).
• 한 번 설정하면 특정 파일의 보존 기간을 줄일 수 없습니다(즉, 파일 atime을 앞으로 변경 불가).
• 그러나 보존 기간은 늘릴 수 있습니다(atime은 MTree의 최대 보존 기간까지 늘릴 수 있음).
• 파일이 잠겨 있는 동안 파일의 소유권 및 권한 설정을 계속 수정할 수 있습니다
• Retention Lock이 설정된 MTree의 디렉토리에 파일이 없는 경우에만 해당 디렉토리의 이름을 변경하거나 디렉토리를 삭제할 수 있습니다. 디렉토리에 파일이 포함된 경우(이러한 파일이 Retention Lock이 되어 있지 않은 경우에도) 디렉토리의 이름 변경 또는 삭제가 실패합니다
• 파일 콘텐츠 자체를 변경하지 않더라도 잠금 설정이 있는 이름(이름 변경) 파일은 변경할 수 없지만 파일 잠금이 만료되면 이름 변경도 허용되지 않습니다. 더 이상 잠기지 않은 파일의 경우 삭제만 허용됩니다. DDOS 7.7.4에서는 더 이상 잠기지 않은 파일에 대해 파일 이름을 변경할 수 있도록 허용되었습니다.

파일 또는 파일 세트에 대한 Retention Lock을 완전히 제거할 수 있습니까?
거버넌스 모드를 사용하여 MTrees의 파일에 대한 Retention Lock을 '되돌리기'(제거)할 수 있습니다. 이 작업은 다음 명령을 사용하여 수행합니다.     

# mtree retention-lock revert [path]

파일에 대한 Retention Lock이 제거되면 정상적으로 수정하거나 삭제할 수 있습니다. 디렉토리에 대해 이 명령을 실행하면 해당 디렉토리 내의 모든 파일과 모든 하위 디렉토리에 있는 Retention Lock이 제거됩니다.

규정 준수 모드를 사용하여 MTrees의 파일에 대한 Retention Lock을 되돌릴 수 없습니다. 이 설정을 시도하면 해당 오류가 표시됩니다.     

# mtree retention-lock revert /data/col1/rl_test_comp/testfile
This operation is not allowed. Mtree is in retention-lock compliance mode.

Retention Lock이 설정된 파일을 수정하거나 제거하려고 하면 어떻게 됩니까?
Retention Lock이 설정된 파일을 수정하거나 삭제하려고 시도하면 해당 permission denied 오류:

# echo " test2" >> /data/col1/rl_test/testfile
bash: testfile: Permission denied
# rm testfile
rm: remove write-protected regular file `testfile'? y
rm: cannot remove `testfile': Permission denied

DDFS 로그에는 Retention Lock이 설정된 파일로 인해 작업이 실패했음을 나타냅니다.     

06/07 07:06:59.756 (tid 0x2b5a77605d50): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.
06/07 07:07:42.504 (tid 0x2b5a79111390): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.

Retention Lock이 설정된 모든 파일을 나열할 수 있습니까?
예, 이 작업은 mtree retention-lock report generate retention-details 명령을 사용합니다.

mtree retention-lock report generate retention-details
mtrees {<mtree-list> | all}
[format {text | tsv | csv}]
[output-file <file-name>]
               Report detailed information of
               retention-lock files.

예를 들어 에서 잠긴 모든 파일의 세부 정보를 나열하려면 /data/col1/rl_test MTree 다음 작업이 수행됩니다.

sysadmin@ddxxxx# mtree retention-lock report generate retention-details mtrees /data/col1/jftest
Report generated on: Fri Jul  1 14:19:31 2016

Report for mtree: /data/col1/jftest
File Path        Mode        Size(Bytes)        Expiration Date
/data/col1/jftest/file1 governance 10521456 Sat Jul  2 22:35:48 2016
/data/col1/jftest/testdir/file2 governance 10521680 Sat Jul  2 22:35:42 2016
/data/col1/jftest/file3 governance 10521820 Sun Jul 10 22:36:09 2016
Total files: 3

MTree에 대한 Retention Lock을 완전히 비활성화할 수 있습니까(활성화된 후)?
예. 거버넌스 모드를 사용하는 MTrees의 경우 mtree retention-lock disable 명령을 사용합니다.

# mtree retention-lock disable mtree [mtree]

For example:
sysadmin@xxxx# mtree retention-lock disable mtree /data/col1/rl_test
Retention-lock feature is disabled (previously enabled) for mtree /data/col1/rl_test.

Once disabled, MTree list indicates that retention lock was used against the MTree but has since been disabled, that is: 

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rl_test                             0.0   RW/RLGD   -
...

sysadmin@ddxxxx# mtree retention-lock revert /data/col1/rl_test/testfile
**** Retention-lock feature is disabled (previously enabled) for mtree which contains the path /data/col1/rl_test/testfile.

• 규정 준수 모드를 사용하여 MTree에 대해 Retention Lock을 해제할 수 없습니다.     

sysadmin@ddxxxx# mtree retention-lock disable mtree /data/col1/rl_test_comp
**** Operation is not allowed because the system is a retention-lock compliance system

• 디렉토리 복제 - 거버넌스 모드를 사용하는 파일에 대해서만 지원되며, 최소 및 최대 보존 기간은 대상 시스템에 복제되지 않습니다.
• MTree 복제 - 거버넌스 또는 규정 준수 모드 데이터에 사용할 수 있으며 최소 및 최대 보존 기간을 대상 시스템에 복제합니다.
• 컬렉션 복제 - 거버넌스 또는 규정 준수 모드 데이터에 사용할 수 있으며 최소 및 최대 보존 기간을 대상 시스템에 복제합니다.

# replication break mtree://[destination system]/data/col1/[mtree]

# replication add source mtree://[source system]/data/col1/[mtree] destination mtree://[destination system/data/col1/[mtree]

# mtree retention-lock enable mode compliance mtree [mtree]

# replication resync mtree://[destination system/data/col1/[mtree]

# user reset
# filesys destroy
# filesys archive unit del [archive unit name]

# mtree delete [mtree]
# mtree retention-lock reset [min-retention-period period | max-retention-period period] mtree [mtree]
# mtree retention-lock disable mtree [mtree]
# mtree retention-lock revert

# cloud unit del <cloud unit name>