ONTAP 9 の SnapLock 機能
環境
ONTAP 9
回答
SnapLock とは
SnapLock 機能は、 clustered Data ONTAP の ONTAP 9 リリースで導入されました。データ保持機能と WORM 保護機能を備えた、高パフォーマンスのコンプライアンスソリューションです。SnapLock は、変更不可および消去不可のボリュームを作成して、設定された保存期間までファイルが変更または削除されないようにします。CIFS と NFS のファイルレベルの保持機能を備えています。
この機能を有効にする方法
エンタープライズとコンプライアンスの 2 種類のライセンスベースの機能です。
- SnapLock Compliance ( SLC )は、 SEC 17a-4 などのデータ保持に関する厳格な規制要件を実装しています。SnapLock Compliance にコミットされたボリュームは変更または変更できません。また、削除できるのは、保持期間が経過し、アーカイブアプリケーションによって削除されたあとだけです。
- SnapLock Enterprise ( SLE )は、 WORM タイプのデータストレージでデジタル資産を保護するためのベストプラクティスガイドラインを実装しています。SnapLock Enterprise ボリュームに格納されているデータは変更または変更できません。保存されたデータは、厳格な法規制への準拠を目的としたまた、 SnapLock Enterprise データは、保持期間が終了する前に SnapLock Enterprise ボリュームをホストするストレージシステムの root 権限で、管理者が破棄することもできます。
SnapLock コンプライアンスモードとエンタープライズモードでは、どのような機能がサポートされていますか。
SnapLock ではどのようなONTAP 機能がサポートされていますか。
SnapLock コンプライアンスモード、SnapLock エンタープライズモード、またはその両方でサポートされる機能の最新情報については、ドキュメントを参照してください。
保持期間はどのようにして決定されますか。
SnapLock は、ソフトウェアベースの改ざん防止クロックであるclustered Data ONTAP のComplianceClockサービスに依存しています。ComplianceClockは管理者が1回だけ初期化でき、その後はハードウェアティックに基づいて処理されます。初期化されると、管理者は前方調整を原因 する操作を実行できなくなります。これにより、リファレンス・クロックを順方向に調整してもWORMファイルの保持期間が短縮されることはありません。
SnapLock コンプライアンスクロックとは何ですか。
システムComplianceClock(SCC) はノードごとに維持されます。ComplianceClock を初期化できるのはノードごとに1回だけです。
ボリュームComplianceClock(VCC) は 、SnapLock ボリュームごとの個 々 のComplianceClockです。特定のSnapLock ボリュームのデータに関連する保持の決定は、すべてそのボリュームのVCCに基づいて行われます。すべてのSnapLock ボリュームのVCCは、互いに独立して実行されます。VCCはSnapLock ボリュームの作成時に初期化されます。VCCはSCCから初期値を取得し、変更することはできません。SnapLock ボリュームを作成する前にSCCを初期化する必要があります。
保持期間に使用できる値を教えてください。
SnapLock ボリュームごとに個別の保持期間を設定できます。ONTAP 9では、保持期間が終了するまで保持が適用されます。保持期間が終了すると、レコードは削除できますが変更することはできません。ONTAP 9では、レコードは自動的に削除されません。すべてのレコードは、手動で削除するか、アプリケーションを使用して削除する必要があります。保持期間はVCCに基づいて計算されます。保持期間は将来の日付または無期限に延長できますが、短縮することはできません。SLCボリュームまたはSLEボリュームには、最小保持期間、最大保持期間、およびデフォルトの保持期間の3つの保持期間があります。
snaplock-minimum period:SnapLock ボリュームで少なくともこれだけの保持期間でファイルがコミットされています。管理者はいつでも増やすことができます。ただし、この値を変更しても、既存のWORMファイルの保持期間には影響しません。SLEおよびSLCのsnaplock-minimum-periodのデフォルト値は0年です。
snaplock-maximum-period:ファイルをWORM状態にコミットする際の最大保持期間を制限します。WORMファイルの保持期間を延長している場合、この値は無視されます。この値を変更しても、既存のWORMファイルの保持期間には影響しません。
SLEおよびSLCのsnaplock-maximum-periodsのデフォルト値は30年です。
snaplock-default-period:デフォルトの保持期間は、保持期間が明示的に設定されていない場合にWORMファイルをコミットする際の保持期間の計算に使用されます。WORMファイルの保持期限を指定するには、次の2つの方法があります。
- NFS / CIFS属性設定操作を使用したファイルatimeの設定
- ファイルをWORM状態にコミットする前に保持期限(ファイルatime)が設定されていない場合、SnapLock はボリュームのsnaplock-default-periodを使用して保持期限を設定します。
SnapLock には他にどのような機能がありますか?
- 自動コミット:指定した自動コミット期間内にファイルが変更されず、ボリュームレベルで設定されている場合、 SnapLock 自動コミット機能はファイルを WORM 状態に自動的にコミットします。SnapLock ボリュームがオフラインまたは制限状態になると、この機能は無効になります。ボリュームが再びオンラインになると、自動的に有効になります。
- 権限の削除は SLE ボリュームでのみ使用でき、権限のあるユーザーは保持期間に達する前にファイルを削除できます。この機能を使用するには、 SnapLock 監査ログを設定する必要があります。削除は、追跡目的で SLC ログボリュームの監査ファイルに記録されます。
- WORM 追加可能ファイル: WORM 追加機能を使用すると、 WORM ファイルを作成してデータを追加できます。データは 256 K のチャンクに追加され、このサイズは変更できません。
- ファイルフィンガープリントは、ファイル関連のメタデータをキャプチャし、 MD5 や SHA-256 などの標準ハッシュアルゴリズムを使用して、ファイルのデータやメタデータに対するハッシュダイジェストを計算します。これにより、ユーザはファイルの整合性を確認できます。SnapLock はファイルフィンガープリントデータをディスクに格納しませんが、 ONTAP CLI または ZAPI を使用して外部にエクスポートされます。
- ファイルのWORM状態へのコミット: アプリケーションを使用して、NFSまたはCIFS経由でファイルをWORM状態にコミットするか、SnapLock の自動コミット機能を使用できます。WORM アペンドファイルを使用すると、ログ情報やファイルメタデータのように増分的に書き込まれたデータを保持できます。
- データ保護: SnapLock for SnapVault を使用して、セカンダリストレージ上の Snapshot コピーを WORM 保護できます。SnapMirror を使用すると、 WORM ファイルを別の場所に複製して、ディザスタリカバリを実行できます。
メモ: ONTAP 9.5 以降では、監査ログに SnapLock Enterprise ボリュームまたは SnapLock Compliance ボリュームのいずれかを使用できます。
追加情報
AdditionalInformation_Text