Data Domain：保留鎖定常見問題

什麼是保留鎖定？
保留鎖定是在 Data Domain Restorer (DDR) 上使用的功能，可在預先定義的期間內避免特定檔案集遭到修改或刪除。也就是保留鎖定的檔案會設定為唯讀，直到其保留期間到期為止。

保留鎖定有什麼不同版本？
保留鎖定有兩種不同的功能：

• 治理：在兩種保留鎖定功能中的嚴格性較低 (如有必要，可還原鎖定檔案)。
• 法規遵循：在兩種功能中嚴格性較高，遵守數種通用法規標準。即無法還原檔案的鎖定。DDR 必須以可驗證特定命令的「Security Officer」使用者設定。其他功能可提供多種限制，可防止鎖定資料遭到移除或鎖定遭到提早還原。

哪些資料存取通訊協定支援保留鎖定？

• NFS、CIFS 和 DD Boost 通訊協定完全支援使用治理或法規遵循模式保留鎖定的 MTree。
• 虛擬磁帶庫 (VTL) 通訊協定僅支援使用治理模式保留鎖定的 MTree。Data Domain VTL 不支援自動化保留鎖定。請參閱 Data Domain 管理指南，以判斷如何解鎖保留鎖定的磁帶，以寫入這些磁帶。

保留鎖定法規遵循模式符合法規標準：
保留鎖定法規遵循模式符合的法規標準包括下列項目：     

• SEC 17a-4(f)
• CFTC Rule 1.31b
• FDA 21 CFR Part 11
• Sarbanes-Oxley Act
• IRS 98025 和 97-22
• ISO Standard 15489-1
• MoREQ2010

如需認證資訊的完整詳細資料，請聯絡您的簽約支援供應商。

如何啟用保留鎖定治理？

• DDR 中已新增保留鎖定治理授權。
• 會針對任何必要的 MTree 啟用保留鎖定治理模式：     

# mtree retention-lock enable mode governance mtree [mtree]

如何啟用保留鎖定法規遵循？

• 有些具備 iDRAC 的較新 Data Domain 機型有其特定的指示。
• DDR 中已新增保留鎖定法規遵循授權。
• 應建立具有「security」角色的使用者 (假設不存在該使用者)：     

(ADMIN USER) # user add [username] role security

•  具有「security」角色的使用者應登入 DDR，並啟用安全性使用者授權：     

(SECURITY USER): # authorization policy set security-officer enabled

• 系統應設定為保留鎖定法規遵循模式。下列命令執行完成後，系統會自動重新開機：     

(ADMIN USER) # system retention-lock compliance configure

• 系統重新開機後，系統上應會啟用保留鎖定法規遵循模式：     

(ADMIN USER) # system retention-lock compliance enable

• 會針對任何必要的 MTree 啟用保留鎖定法規遵循模式：

(ADMIN USER) # mtree retention-lock enable mode compliance mtree [mtree]

如何判斷哪些 MTrees 已啟用保留鎖定？
啟用保留鎖定的 MTrees 會在下列輸出中指出： mtree list比如：

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rich-retention-lock                 0.0   RW/RLGE   -
/data/col1/rl_test                             0.0   RW/RLGD   -
/data/col1/rl_test_comp                        0.0   RW/RLCE   -
/data/col1/test                                3.1   RW/RLGE   -
...
---------------------------------   --------------   -------   -----------
...
 RLGE : Retention-Lock Governance Enabled
 RLGD : Retention-Lock Governance Disabled
 RLCE : Retention-Lock Compliance Enabled

啟用保留鎖定管理的 MTree 是否可以轉換至保留鎖定法規遵循？
如同在 DDOS 管理指南所述，這無法辦到。

啟用保留鎖定管理的 MTree 是否可以轉換至保留鎖定法規遵循？
如同在 DDOS 管理指南所述，這無法辦到。

如何設定檔案保留或鎖定期間？
在 MTree 上啟用保留鎖定後，必須設定最短和最長保留期間。這些期間代表 MTree 內可鎖定檔案的最短和最長時間。例如：     

# mtree retention-lock set min-retention-period [period] mtree [mtree]
# mtree retention-lock set max-retention-period [period] mtree [mtree]

可使用多種時間單位，如下所示：     

• 1 min
• 1 hr
• 1 day
• 1 mo
• 1 year

如何顯示現有的保留期間？
可以使用下列兩個命令完成：     

# mtree retention-lock show min-retention-period mtree [mtree]
# mtree retention-lock show max-retention-period mtree [mtree]

例如：     

sysadmin@dd630# mtree retention-lock show min-retention-period mtree /data/col1/rl_test
Retention-lock min-retention-period of mtree /data/col1/rl_test is: 720 minutes.
sysadmin@dd630# mtree retention-lock show max-retention-period mtree /data/col1/rl_test
Retention-lock max-retention-period of mtree /data/col1/rl_test is: 30 days.

在啟用保留鎖定的 MTree 中，是如何鎖定檔案的？

• 當 MTree 啟用保留鎖定時，MTree 內的現有檔案並不會自動鎖定 (也就是所有預先存在的檔案都可繼續讀取或寫入)。
• 當新檔案寫入啟用保留鎖定的 MTree 時，檔案不會自動保留鎖定。也就是新檔案仍可繼續讀取或寫入。

• 若要保留鎖定特定檔案，檔案的 atime 必須與檔案要進行保留鎖定的日期與時間相符。也就是檔案應保持唯讀的日期和時間。除非以這種方式修改 atime，否則檔案無法保留鎖定 (而且可以修改或移除)。

可從 NFS 或 CIFS 用戶端使用「touch」命令變更檔案的 atime：

# touch -a -t [expiry time] [file to be locked]

例如，若要將 /data/col1/rl_test/testfile 的 atime 設為 6 月 8 日 07:05： 

# touch -a -t 06080705 /data/col1/rl_test/testfile

從目前時間到未來 atime 的期間必須位於 MTree 的最短和最長保留期間之內。否則，修改檔案 atime 時便會產生錯誤：

# touch -a -t 08080705 /data/col1/rl_test/testfile
touch: setting times of `/data/col1/rl_test/testfile': Permission denied

Data Domain 檔案系統 (DDFS) 記錄檔也會顯示對應訊息：

06/07 13:44:57.197 (tid 0x2b28ee5258c0): Attempt to set atime of /data/col1/rl_test/testfile to larger than maximum retention period of mtree.

CIFS (Windows) 用戶端預設不包含 touch 命令或公用程式，但您可從多種第三方網站免費下載類似公用程式。

在將檔案寫入 DDR 後，哪些備份應用程式支援自動保留鎖定檔案？
Data Domain Retention Lock 相容業界標準的 NAS 型一次寫入多次讀取 (WORM) 通訊協定。整合過程符合 Symantec Enterprise Vault、SourceOne、Cloud Tiering Appliance 或 DiskXtender 等歸檔應用程式的資格。

Dell NetWorker 皆支援治理和法規遵循模式。

自 2024 年 6 月開始，近期的 Avamar 版本支援 Data Domain Retention Lock 法規遵循和治理，作為 Avamar「不可變備份」功能的一部分。如需詳細資料，請參閱以下文章與 Avamar 說明文件：
Avamar 和 Data Domain：啟用 Avamar 不可變備份和 Data Domain 法規遵循模式保留鎖定

請務必嚴格遵循啟用 Avamar「不可變備份」功能的步驟。若沒有這麼做，最終可能造成在 DD 中無法進一步寫入 Avamar MTree，或發生操作問題，導致復原時間冗長。Avamar 無法搭配 DD 自動保留鎖定 (ARL) 運作，且 DD 上的任何 Avamar MTree 也不得啟用 ARL。

使用非原生支援 Data Domain Retention Lock 之其他備份應用程式的客戶也可以開發自訂指令檔，以使用 Data Domain Retention Lock 手動設定檔案的保留期間。在這種情況下，請確定自訂指令檔有設定檔案的 atime，以在備份應用程式嘗試刪除檔案的之前將其解除鎖定。若無法執行此操作，可能會導致備份應用程式嘗試刪除已鎖定的檔案 (會失敗)，此檔案會保留在 DDR 上，無限期佔用磁碟空間。請參閱 Data Domain 管理指南。

自動保留鎖定
針對非原生支援 Data Domain Retention Lock 功能的備份應用程式，客戶一向有使用此功能方面的問題。備份系統管理員必須設定指令檔，以為 MTree 新接收的檔案設定保留鎖定。鎖定必須設定為在備份管理員將備份到期 (和刪除) 前不久到期。

ARL 會在啟用此功能後在寫入 MTree 的每個檔案上設定鎖定，防止在設定的冷卻期間過後的指定時間內變更或移除檔案。這表示以下情況不得啟用 ARL：必須隨著時間重複更新某些檔案的工作負載或備份應用程式，例如在 VTL 集區上 (會重複寫入 VTL 磁帶檔案)，或是將中繼資料資訊與客戶備份檔案本身一起保存的備份應用程式 (例如 NetWorker 或 Avamar)。在這些情況下啟用 ARL，以將重要檔案鎖定一段時間，當之後必須為其他備份寫入這些檔案時，發生寫入失敗，任何後續的備份也會失敗。

為了協助備份系統管理員降低保留鎖定的子備份檔案負擔，並讓 DDOS 能與其他廠商進行功能同位檢查，因此 DDOS 6.2.0.20 起提供一項功能，可在設定保留鎖定的每個 MTree CLI 中啟用。此功能可在檔案完成寫入磁碟，並經過預先定義的時間後，為每個收到的檔案設定鎖定 (在指定期間)。如此一來，系統管理員就不必再擔心手動設定 (或編寫指令檔) 保留鎖定，而且可以在沒有配合備份應用程式的情況下，自動執行此操作。
在 DDOS 7.8 之前，無法在 DD Boost 邏輯儲存裝置 (LSU) 上使用自動保留鎖定，嘗試啟用此功能時會傳回錯誤，表示不支援。
從 7.8 之後，DD Boost LSU 便支援 ARL。

(ARL 在目標 DD 上用於管理檔案複寫 (MFR)，與 NW 複製類似，應擁有足夠長的「automatic-lock-delay」，以確定備份的複製操作能在檔案鎖定之前完成。範例：作為備份集一部分的小型檔可以快速完成複製，而較大的檔需要更長的時間，然後在較大的檔完成複製時，第一個檔將保留鎖定，並且在 NW 嘗試將備份集的所有檔移動到最終存檔目錄時遇到錯誤。

Data Domain VTL 不支援自動保留鎖定。

在適用的版本上，有其他選項位於 mtree retention-lock 命令行介面 （CLI），如下所示。此功能也可透過 UI 進行設定，方法是在「使用」選項中選擇「自動」而非「手動」：     

# mtree retention-lock set
{min-retention-period | max-retention-period |
automatic-retention-period | automatic-lock-delay} <period>
mtree <mtree-path>

自動保留鎖定功能會在預先設定的冷卻期間到期後立即鎖定檔案 (automatic-lock-delay)。將檔案寫入啟用保留鎖定的 MTree 後，該鎖定會從設定「automatic-retention-period」時起開始生效，如果該值在 MTree 設定的「min-retention-period」和「max-retention-period」值之內，便會發生鎖定。

如需有關該功能的更多使用方式和一般詳細資料，請參閱對應的 DDOS 管理指南。此功能不適用於將相同 MTree 用於備份目標的情況，這些備份應具有不同期間的鎖定設定，或備份是否應該在有設定鎖定的情況下開始。

鎖定檔案可以執行或無法執行哪些動作？

• 保留鎖定的檔案為唯讀狀態，無法修改或刪除。
• 一旦檔案的保留期間到期，即會「解除鎖定」，在解除鎖定狀態下仍無法修改檔案，但可以刪除。DDR 不會在保留期間到期時自動刪除檔案 (後續刪除必須由用戶端系統或備份應用程式執行)。
• 設定特定檔案的保留期間後，即無法縮短 (即無法將檔案的 atime 向前移動)。
• 不過可以增加保留期間 (MTree 的保留期間可增加至最長保留期間)。
• 檔案鎖定時，可繼續修改檔案的擁有權和權限設定
• 在啟用保留鎖定的 MTree 內，只有在該目錄未包含任何檔案時，才可重新命名或刪除目錄。如果目錄包含檔案 （即使這些檔案並未保留鎖定），則重新命名或刪除目錄會失敗
• 即使並未變更檔案內容本身，也不允許變更有鎖定集的檔案名稱 (rename)，但一旦檔案的鎖定到期，也不會允許重新命名。對於不再鎖定的檔案，僅允許進行刪除作業。此功能已在 DDOS 7.7.4 中變更，若為不再鎖定的檔案，則可允許重新命名檔案。

是否可以完全移除檔案或一組檔案的保留鎖定？
您可以「還原」(移除) 使用治理模式的 MTrees 中檔案的保留鎖定 - 使用下列命令完成：     

# mtree retention-lock revert [path]

移除檔案的保留鎖定後，即可正常修改或刪除。如果此命令是針對目錄執行，則會移除該目錄內的所有檔案和所有子目錄的保留鎖定。

您無法在使用法規遵循模式的 MTrees 中還原檔案的保留鎖定 - 若嘗試這麼做，則會顯示相應錯誤：     

# mtree retention-lock revert /data/col1/rl_test_comp/testfile
This operation is not allowed. Mtree is in retention-lock compliance mode.

如果嘗試修改或刪除保留鎖定的檔，會發生什麼情況？
任何修改或刪除保留鎖定檔案的嘗試都會導致相應的 permission denied 錯：

# echo " test2" >> /data/col1/rl_test/testfile
bash: testfile: Permission denied
# rm testfile
rm: remove write-protected regular file `testfile'? y
rm: cannot remove `testfile': Permission denied

DDFS 記錄顯示，由於檔案為保留鎖定，作業已失敗：     

06/07 07:06:59.756 (tid 0x2b5a77605d50): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.
06/07 07:07:42.504 (tid 0x2b5a79111390): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.

是否可以列出所有保留鎖定的檔案？
是，您可以使用 mtree retention-lock report generate retention-details 命令：

mtree retention-lock report generate retention-details
mtrees {<mtree-list> | all}
[format {text | tsv | csv}]
[output-file <file-name>]
               Report detailed information of
               retention-lock files.

例如，若要列出所有鎖定檔案的詳細資料，請參閱 /data/col1/rl_test MTree 將執行以下操作：

sysadmin@ddxxxx# mtree retention-lock report generate retention-details mtrees /data/col1/jftest
Report generated on: Fri Jul  1 14:19:31 2016

Report for mtree: /data/col1/jftest
File Path        Mode        Size(Bytes)        Expiration Date
/data/col1/jftest/file1 governance 10521456 Sat Jul  2 22:35:48 2016
/data/col1/jftest/testdir/file2 governance 10521680 Sat Jul  2 22:35:42 2016
/data/col1/jftest/file3 governance 10521820 Sun Jul 10 22:36:09 2016
Total files: 3

是否可以完全停用 MTree 的保留鎖定 （在啟用之後）？
是，針對使用治理模式的 MTree，這是使用 mtree retention-lock disable 命令：

# mtree retention-lock disable mtree [mtree]

For example:
sysadmin@xxxx# mtree retention-lock disable mtree /data/col1/rl_test
Retention-lock feature is disabled (previously enabled) for mtree /data/col1/rl_test.

Once disabled, MTree list indicates that retention lock was used against the MTree but has since been disabled, that is: 

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rl_test                             0.0   RW/RLGD   -
...

sysadmin@ddxxxx# mtree retention-lock revert /data/col1/rl_test/testfile
**** Retention-lock feature is disabled (previously enabled) for mtree which contains the path /data/col1/rl_test/testfile.

• 使用法規遵循模式的 MTree 無法停用保留鎖定：     

sysadmin@ddxxxx# mtree retention-lock disable mtree /data/col1/rl_test_comp
**** Operation is not allowed because the system is a retention-lock compliance system

• 目錄複寫 - 僅支援使用治理模式的檔案，不會將最短和最長保留期間複製到目的地系統。
• MTree 複寫 - 可用於治理或法規遵循模式的資料，並會將最短和最長保留期間複製到目的地系統。
• 集合複寫 - 可用於治理或法規遵循模式的資料，並會將最短和最長保留期間複製到目的地系統。

# replication break mtree://[destination system]/data/col1/[mtree]

# replication add source mtree://[source system]/data/col1/[mtree] destination mtree://[destination system/data/col1/[mtree]

# mtree retention-lock enable mode compliance mtree [mtree]

# replication resync mtree://[destination system/data/col1/[mtree]

# user reset
# filesys destroy
# filesys archive unit del [archive unit name]

# mtree delete [mtree]
# mtree retention-lock reset [min-retention-period period | max-retention-period period] mtree [mtree]
# mtree retention-lock disable mtree [mtree]
# mtree retention-lock revert

# cloud unit del <cloud unit name>