Домен даних: Retention Lock Поширені запитання

• Управління: Менш сувора з двох функцій блокування утримання (тобто блокування проти файлів може бути скасована, якщо це необхідно).
• Відповідності: Більш сувора з двох функцій, які підкоряються декільком загальним нормативним стандартам. Тобто, блокування проти файлів не можуть бути скасовані. DDR має бути налаштований з користувачем «офіцера безпеки», який повинен автентифікувати певні команди. Існують різні обмеження на інші функції, щоб запобігти видаленню заблокованих даних або достроковому скасуванню блокувань.

• Протоколи NFS, CIFS і DD Boost повністю підтримуються проти MTrees за допомогою управління збереженням блокування або режиму відповідності.
• Протокол Virtual Tape Library (VTL) підтримується лише для MTrees у режимі керування блокуванням утримання. Автоматичне блокування збереження не підтримується на VTL домену даних. Зверніться до Посібника з адміністрування домену даних, щоб дізнатися, як розблокувати стрічки із збереженням таким чином, щоб на них можна було записувати.

• СЕК 17а-4(f)
• Правило CFTC 1.31b
• FDA 21 CFR Частина 11
• Закон Сарбейнса-Окслі
• IRS 98025 і 97-22
• Стандарт ISO 15489-1
• MoREQ2010

• До DDR додано ліцензію на керування замком утримання.
• Режим керування замком утримання включено для будь-якого необхідного MTree:     

# mtree retention-lock enable mode governance mtree [mtree]

• Існують конкретні інструкції для деяких нових моделей Data Domain з iDRAC.
• До DDR додано ліцензію на відповідність замку утримання.
• Слід створити користувача з роллю 'security' (за умови, що такого користувача не існує):     

(ADMIN USER) # user add [username] role security

•  Користувач з роллю «безпека» повинен увійти в DDR і включити авторизацію користувача-охоронця:     

(SECURITY USER): # authorization policy set security-officer enabled

• Система повинна бути налаштована на режим відповідності фіксації утримання. Як тільки наступна команда виконується до завершення, система автоматично перезавантажується:     

(ADMIN USER) # system retention-lock compliance configure

• Після перезавантаження системи в системі має бути ввімкнено режим відповідності блокуванню утримання:     

(ADMIN USER) # system retention-lock compliance enable

• Режим відповідності блокуванню утримання включений для будь-яких необхідних MTree:

(ADMIN USER) # mtree retention-lock enable mode compliance mtree [mtree]

Як можна визначити, на яких MTrees увімкнено блокування утримання?
MTrees з увімкненим блокуванням утримання вказуються у виводі 'mtree list', наприклад:      

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rich-retention-lock                 0.0   RW/RLGE   -
/data/col1/rl_test                             0.0   RW/RLGD   -
/data/col1/rl_test_comp                        0.0   RW/RLCE   -
/data/col1/test                                3.1   RW/RLGE   -
...
---------------------------------   --------------   -------   -----------
...
 RLGE : Retention-Lock Governance Enabled
 RLGD : Retention-Lock Governance Disabled
 RLCE : Retention-Lock Compliance Enabled

Чи можна перетворити MTree з увімкненим керуванням замком утримання на відповідність вимогам Retention Lock?
Як зазначено в Керівництві з адміністрування DDOS, це неможливо.

Чи можна перетворити MTree з увімкненою відповідністю Retention Lock на Retention Lock Governance?
Як зазначено в Керівництві з адміністрування DDOS, це неможливо.

Як встановлюються періоди зберігання файлів або блокування?
Після ввімкнення блокування зберігання для MTree необхідно встановити мінімальний і максимальний період зберігання. Ці періоди визначають мінімальний і максимальний час, протягом якого файл може бути заблокований. Наприклад:     

# mtree retention-lock set min-retention-period [period] mtree [mtree]
# mtree retention-lock set max-retention-period [period] mtree [mtree]

Періоди можуть бути наведені в різних одиницях наступним чином:     

• 1 хв
• 1 год.
• 1 доб.
• 1 міс.
• 1 рік

Як можна відобразити існуючі періоди зберігання?
Це можна зробити за допомогою наступних двох команд:     

# mtree retention-lock show min-retention-period mtree [mtree]
# mtree retention-lock show max-retention-period mtree [mtree]

Наприклад:     

sysadmin@dd630# mtree retention-lock show min-retention-period mtree /data/col1/rl_test
Retention-lock min-retention-period of mtree /data/col1/rl_test is: 720 minutes.
sysadmin@dd630# mtree retention-lock show max-retention-period mtree /data/col1/rl_test
Retention-lock max-retention-period of mtree /data/col1/rl_test is: 30 days.

Як блокуються файли в MTree з увімкненим блокуванням збереження?

• Коли на MTree увімкнено блокування збереження, існуючі файли в MTree не блокуються автоматично (тобто, всі вже існуючі файли залишаються прочитаними або записаними).
• Коли новий файл записується на MTree з увімкненим блокуванням збереження, файл не блокується автоматично. Тобто новий файл залишається як прочитаний або записаний.

• Щоб заблокувати певний файл, час збереження файлу має бути змінено, щоб він відповідав даті, а час блокування збереження файлу має бути заблоковано. Це дата та час, до яких файл має залишатися доступним лише для читання. До тих пір, поки час не буде змінено таким чином, файл не може бути заблокований при збереженні (і його можна змінити або видалити).

Час роботи файлу можна змінити в клієнті NFS або CIFS за допомогою команди 'touch':

# touch -a -t [expiry time] [file to be locked]

Наприклад, щоб встановити час /data/col1/rl_test/testfile на 07:05 8 червня: 

# touch -a -t 06080705 /data/col1/rl_test/testfile

Період від поточного часу до майбутнього часу повинен бути в межах мінімального та максимального періодів зберігання для MTree. В іншому випадку при часовій зміні файлів генерується помилка: 

# touch -a -t 08080705 /data/col1/rl_test/testfile
touch: setting times of `/data/col1/rl_test/testfile': Permission denied

У файлових файлових системах домену даних (DDFS) також відображається відповідне повідомлення:     

06/07 13:44:57.197 (tid 0x2b28ee5258c0): Attempt to set atime of /data/col1/rl_test/testfile to larger than maximum retention period of mtree.

Клієнти CIFS (Windows) за замовчуванням не включають сенсорну команду або утиліту, однак кілька таких утиліт є у вільному доступі для завантаження з різних сторонніх веб-сайтів.

Які програми для резервного копіювання підтримують автоматичне блокування файлів після запису в DDR?
Блокування збереження домену даних сумісне зі стандартними протоколами запису (WORM) на базі NAS. Інтеграція кваліфікується з архівними додатками, такими як Symantec Enterprise Vault, SourceOne, Cloud Tiering Appliance або DiskXtender.

Для Dell NetWorker підтримуються режими управління та відповідності.

Станом на червень 2024 року, останні версії Avamar підтримують як дотримання вимог Data Domain Retention Lock, так і Governance) як частину функції Avamar «Незмінні резервні копії». Подробиці дивіться в статті нижче і в документації Avamar:
Avamar і Data Domain: Увімкнення незмінного резервного копіювання Avamar і блокування

збереження режиму відповідності домену данихДуже важливо, щоб кроки для ввімкнення функції «Незмінні резервні копії» Avamar суворо дотримувалися. Якщо цього не зробити, це може закінчитися тим, що в DD з'явиться Avamar MTree, на який не можна буде додатково записати, або який має проблеми з роботою, які змушують до тривалого відновлення. Avamar не працює з DD Automatic Retention Lock (ARL), і ARL не повинен бути включений для будь-якого Avamar MTree на DD.

Клієнти, які використовують інші програми для резервного копіювання, які не підтримують блокування збереження домену даних, також можуть розробляти власні сценарії для використання блокування збереження домену даних для ручного встановлення періодів зберігання файлів. У цьому сценарії переконайтеся, що користувацькі сценарії встановлюють час файлу таким чином, щоб вони були розблоковані, перш ніж програма резервного копіювання спробує видалити файл. Якщо цього не зробити, програма резервного копіювання може спробувати видалити заблоковані файли (що не вдається); Файл залишається на DDR нескінченно довго займаючи місце на диску. Перегляньте посібник із адміністрування домену даних.

Автоматичне блокування
утриманняДля програм резервного копіювання, які не підтримують функцію блокування збереження домену даних, для клієнтів завжди було проблемою використовувати цю функцію. Адміністратор резервної копії повинен налаштувати сценарії для встановлення блокування збереження нових файлів для MTree. Блокування має бути встановлено таким чином, щоб термін його дії закінчувався незадовго до того, як резервна копія має бути завершена (і видалена) адміністратором резервної копії.

ARL встановлює блокування для кожного файлу, записаного в MTree після включення функції, запобігаючи зміні або видаленню файлу протягом заданого періоду часу після закінчення налаштованого періоду охолодження. Це означає, що ARL не повинен бути включений для робочих навантажень або додатків резервного копіювання, які повинні багаторазово оновлювати деякі файли протягом певного часу, наприклад, у пулах VTL (файли стрічки VTL постійно записуються), або для програм резервного копіювання, які зберігають інформацію метаданих разом із самими файлами резервних копій клієнтів (наприклад, NetWorker або Avamar). Увімкнення ARL у цих випадках дозволяє заблокувати важливі файли на деякий час, і коли ці файли потрібно записати пізніше для інших резервних копій, запис не вдається, як і будь-які подальші резервні копії.

Щоб допомогти адміністраторам резервних копій зменшити тягар зберігання файлів блокування збереження та підняти DDOS на рівень паритету функцій з іншими постачальниками, починаючи з DDOS 6.2.0.20, існує функція, яку можна ввімкнути з CLI для кожного MTree з налаштованим Retention Lock, щоб встановити блокування на кожен прийнятий файл (на заданий період), після того, як пройде деякий заданий проміжок часу з моменту завершення запису файлу на диск. Таким чином, адміністраторам більше не доведеться турбуватися про ручне (або сценарнерове) налаштування блокування збереження, і це може відбуватися автоматично без співпраці програми резервного копіювання. 
До DDOS 7.8 автоматичне блокування утримання не можна використовувати на логічних накопичувачах DD Boost (LSU), і спроба ввімкнути його повертає помилку про те, що він не підтримується.
Починаючи з версії 7.8, ARL підтримується для DD Boost LSU.

(ARL, що використовується на цільових DD для керованої реплікації файлів (MFR), як і клон NW, повинен мати достатньо довгий "automatic-lock-delay", щоб гарантувати, що операції клонування завершені для набору резервних копій до того, як буде встановлено блокування файлів. Приклад: Малий файл, який є частиною набору резервних копій, швидко завершує реплікацію, тоді як більший файл займає більше часу, тоді перший файл блокується до того моменту, коли більший файл закінчує реплікацію, і стикається з помилкою, коли NW намагається перемістити всі файли набору резервних копій до кінцевого архівного каталогу.)

Автоматичне блокування збереження не підтримується на VTL домену даних.

У відповідних версіях є додаткові опції в командному рядку "mtree retention-lock", як показано нижче. Цю функцію також можна налаштувати через інтерфейс користувача, вибравши «Автоматично» замість «Вручну» в опції «Використання»:     

# mtree retention-lock set
{min-retention-period | max-retention-period |
automatic-retention-period | automatic-lock-delay} <period>
mtree <mtree-path>

Функція автоматичного блокування утримання блокує файл одразу після закінчення попередньо налаштованого періоду охолодження (автоматичне блокування-затримка). Після того, як файл записано в MTree з увімкненим блокуванням утримання, і блокування діє протягом "automatic-retention-period" з моменту його встановлення, якщо значення знаходиться в межах значень "min-retention-period" та "max-retention-period", встановлених для MTree, відбувається блокування.

Для отримання додаткової інформації про цю функцію та загальних відомостей зверніться до відповідного Посібника з адміністрування DDOS. Ця функція не дуже добре підходить для ситуацій, коли той самий MTree використовується як ціль для резервних копій, які повинні мати або набори блокування на різні періоди, або резервних копій, які повинні мати не встановлений блокування.

Що можна або не можна робити із заблокованим файлом?

• Файли, заблоковані під час збереження, доступні лише для читання та не можуть бути змінені або видалені.
• Як тільки термін зберігання файлу закінчується, він «розблоковується» - коли файл знаходиться в розблокованому стані, його все одно не можна змінити, однак його можна видалити. DDR не видаляє файл автоматично після закінчення терміну його зберігання (подальше видалення має виконуватися з клієнтської системи або резервної програми).
• Один раз встановлений період зберігання для певного файлу не може бути скорочений (тобто файли не можуть бути перенесені вперед).
• Однак періоди зберігання можуть бути збільшені (час може бути збільшений до максимального терміну зберігання для MTree).
• Параметри права власності та дозволів для файлу можна змінювати, коли файл заблоковано
• Перейменувати або видалити каталог можна лише в MTree з увімкненим блокуванням утримання, якщо цей каталог не містить файлів. Якщо каталог містить файли (навіть якщо ці файли не заблоковано при зберіганні), перейменувати або видалити каталог не вдасться
• Навіть якщо він не змінює сам вміст файлу, не дозволяється змінювати ім'я (перейменовувати) файли, для яких встановлено блокування, але перейменування також забороняється після закінчення терміну блокування файлу. Для файлів, які більше не блокуються, єдиною дозволеною операцією є видалення. Це змінено в DDOS 7.7.4, коли для файлів, які більше не блокуються, дозволяється перейменування файлу.

Чи можна повністю зняти фіксатор з файлу або набору файлів?
"Скасувати" (зняти) блокування збереження файлів можна в MTrees за допомогою режиму управління - це робиться за допомогою наступної команди:     

# mtree retention-lock revert [path]

Після зняття блокування збереження файлу його можна змінити або видалити як зазвичай. Якщо ця команда виконується з каталогом, то всі файли в цьому каталозі та всіх підкаталогах видаляються блокування збереження.

Скасувати блокування збереження файлів у MTrees за допомогою режиму відповідності неможливо - при спробі цього відображається відповідна помилка:     

# mtree retention-lock revert /data/col1/rl_test_comp/testfile
This operation is not allowed. Mtree is in retention-lock compliance mode.

Що станеться, якщо файл, заблокований у збереженні, спробують змінити або видалити?
Будь-яка спроба змінити або видалити файл, заблокований на збереження, спричиняє відповідну помилку «відмовлено в дозволі»:     

# echo " test2" >> /data/col1/rl_test/testfile
bash: testfile: Permission denied
# rm testfile
rm: remove write-protected regular file `testfile'? y
rm: cannot remove `testfile': Permission denied

Журнали DDFS вказують на те, що операцію не вдалося виконати через блокування збереження файлу:     

06/07 07:06:59.756 (tid 0x2b5a77605d50): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.
06/07 07:07:42.504 (tid 0x2b5a79111390): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.

Чи можна вивести список усіх файлів, які заблоковано при зберіганні?
Так, це можна виконати за допомогою команди 'mtree retention-lock report generate retention-details':     

mtree retention-lock report generate retention-details
mtrees {<mtree-list> | all}
[format {text | tsv | csv}]
[output-file <file-name>]
               Report detailed information of
               retention-lock files.

Наприклад, щоб вивести відомості про всі заблоковані файли в MTree /data/col1/rl_test, слід виконати наступне:     

sysadmin@ddxxxx# mtree retention-lock report generate retention-details mtrees /data/col1/jftest
Report generated on: Fri Jul  1 14:19:31 2016

Report for mtree: /data/col1/jftest
File Path        Mode        Size(Bytes)        Expiration Date
/data/col1/jftest/file1 governance 10521456 Sat Jul  2 22:35:48 2016
/data/col1/jftest/testdir/file2 governance 10521680 Sat Jul  2 22:35:42 2016
/data/col1/jftest/file3 governance 10521820 Sun Jul 10 22:36:09 2016
Total files: 3

Чи можна повністю відключити блокування утримання для MTree (після його включення)?
Так, для MTrees з використанням режиму управління, це виконується за допомогою команди 'mtree retention-lock disable':    

# mtree retention-lock disable mtree [mtree]

For example:     
sysadmin@xxxx# mtree retention-lock disable mtree /data/col1/rl_test
Retention-lock feature is disabled (previously enabled) for mtree /data/col1/rl_test.

Once disabled, MTree list indicates that retention lock was used against the MTree but has since been disabled, that is: 
sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rl_test                             0.0   RW/RLGD   -
...

sysadmin@ddxxxx# mtree retention-lock revert /data/col1/rl_test/testfile
**** Retention-lock feature is disabled (previously enabled) for mtree which contains the path /data/col1/rl_test/testfile.

• Блокування утримання не може бути відключено для MTree за допомогою режиму відповідності:     

sysadmin@ddxxxx# mtree retention-lock disable mtree /data/col1/rl_test_comp
**** Operation is not allowed because the system is a retention-lock compliance system

• Реплікація каталогів - підтримується лише для файлів, що використовують режим управління - не реплікує мінімальні та максимальні періоди зберігання в цільову систему.
• Реплікація MTree - може використовуватися як для даних, так і для даних режиму відповідності, і реплікує мінімальні та максимальні періоди зберігання в цільову систему.
• Реплікація збору - може використовуватися як для даних, так і для даних режиму відповідності, і реплікує мінімальні та максимальні періоди зберігання в цільову систему.

# replication break mtree://[destination system]/data/col1/[mtree]

# replication add source mtree://[source system]/data/col1/[mtree] destination mtree://[destination system/data/col1/[mtree]

# mtree retention-lock enable mode compliance mtree [mtree]

# replication resync mtree://[destination system/data/col1/[mtree]

# user reset
# filesys destroy
# filesys archive unit del [archive unit name]

# mtree delete [mtree]
# mtree retention-lock reset [min-retention-period period | max-retention-period period] mtree [mtree]
# mtree retention-lock disable mtree [mtree]
# mtree retention-lock revert

# cloud unit del <cloud unit name>