Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド ネットアップ株式会社 http://www.netapp.com/jp/ 部品番号: 215-09293_A0 作成日: 2011年7月 目次 | 3 目次 SnapLock とは ............................................................................................... 9 SnapLock の仕組み .................................................................................................... 9 SnapLock でサポートされるハードウェア プラットフォーム ..................................... 10 SnapLock のライセンス設定方法 ............................................................................ 10 SnapLock 機能のライセンス設定 ................................................................ 10 SnapLock と AutoSupport メッセージ ....................................................................... 11 ComplianceClock とは .............................................................................................. 11 システム ComplianceClock とは .................................................................. 12 ボリューム ComplianceClock とは ............................................................... 12 システム ComplianceClock の初期化 ......................................................... 12 システム ComplianceClock およびボリューム ComplianceClock 時間 の表示 ..................................................................................................... 13 ボリューム ComplianceClock が SnapLock の処理に及ぼす影響 ........................ 14 ボリューム ComplianceClock 時間に影響する可能性がある処理 ........................ 15 SnapLock ボリュームの作成 .................................................................................... 16 SnapLock トラディショナル ボリュームの作成 ............................................. 16 SnapLock アグリゲートおよびそのフレキシブル ボリュームの作成 .......... 17 SnapLock Compliance 書き込み検証オプション ..................................................... 18 SnapLock Compliance 書き込み検証オプションの使用 ............................. 18 WORM ファイルの概要 .............................................................................. 19 WORM データの管理方法 ........................................................................ 20 データの WORM 状態への移行 ............................................................................. 20 ファイルの WORM 状態の判別 .............................................................................. 21 WORM ファイルの保持期限の延長 ....................................................................... 22 追記可能 WORM ファイルとは ............................................................................... 23 追記可能 WORM ファイルの作成 .......................................................................... 23 保持期間とは ............................................................................................... 25 SnapLock ボリューム保持期間の仕組み .................................................. 26 ボリュームの保持期間の表示 ................................................................................. 26 最小保持期間とは .................................................................................................... 27 最小保持期間の設定 ............................................................................................... 28 4 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド 最大保持期間とは .................................................................................................... 28 最大保持期間の設定 ............................................................................................... 29 デフォルトの保持期間とは ....................................................................................... 29 デフォルトの保持期間の設定 .................................................................................. 30 ファイルの WORM 状態への自動コミット ................................................. 31 SnapLock 自動コミット機能の仕組み ...................................................................... 31 自動コミット期間の設定 ........................................................................................... 32 SnapLock ボリュームの自動コミット期間の表示 .................................................... 34 privileged delete 機能とは .......................................................................... 35 privileged delete の仕組み ....................................................................................... 35 privileged delete 機能の制限事項 ........................................................................... 37 ストレージ システムへのセキュアな接続の確保 .................................................... 37 privileged delete 機能の有効化 ............................................................................... 38 privileged delete 機能の無効化または禁止 ............................................................ 38 privileged delete を使用した WORM ファイルの削除 ............................................ 39 privileged delete がミラーリング操作に及ぼす影響 ................................................ 40 privileged delete 機能を使用する場合の考慮事項 ................................................ 40 SnapLock ロギングとは .............................................................................. 41 SnapLock ログ ファイルの種類 ................................................................................ 41 SnapLock ログ ファイルの内容 ................................................................................ 42 SnapLock ロギングの利点 ....................................................................................... 45 SnapLock ロギングの制限事項 ............................................................................... 46 SnapLock ログ ボリュームの割り当て ..................................................................... 46 ログ ファイルのアーカイブの仕組み ........................................................................ 47 ログ ファイルのアーカイブ ........................................................................................ 48 SnapLock ログ ファイルのステータス確認 .............................................................. 48 SnapLock ロギングのアップグレードおよびリバートに関する考慮事項 ................ 49 Data ONTAP による SnapLock ボリューム内で削除されたファイルの 追跡方法 ................................................................................................. 50 SnapLock ボリュームの削除 .................................................................................... 50 アグリゲートの削除 .................................................................................................. 50 SnapLock でのフィンガープリントの使用方法 ........................................... 52 フィンガープリントの計算方法 ................................................................................. 52 フィンガープリント処理の入力パラメータ ................................................................ 53 目次 | 5 ファイルのフィンガープリントの計算 ........................................................................ 53 フィンガープリント処理の出力パラメータ ................................................................ 54 SnapLock と vFiler ユニットの連携 ........................................................... 57 SnapLock ボリュームから SnapLock 以外のボリュームへの vFiler ユニットの ルート作成 ........................................................................................................... 57 SnapLock ボリューム上の vFiler ユニットの制限事項 ........................................... 58 SnapLock と HA 構成の連携 ..................................................................... 59 SnapLock と MetroCluster の連携 ........................................................... 60 SnapMirror による SnapLock ボリュームの保護 .................................... 61 SnapLock qtree SnapMirror 再同期化の制限事項 ................................................. 61 ダンプ ファイルとは ................................................................................................... 62 qtree SnapMirror 再同期化後のダンプ ファイルからのファイル抽出 .................... 62 SnapLock Compliance でエンドツーエンドの Volume SnapMirror 関係を設定 する方法 .............................................................................................................. 63 SnapMirror 関係の制限事項 ................................................................................... 63 FlexVol の Volume SnapMirror 関係の作成 .......................................................... 64 トラディショナル ボリュームの Volume SnapMirror 関係の作成 ........................... 65 SnapLock for SnapVault 機能—セキュアな SnapVault デスティネー ション ........................................................................................................ 67 SnapLock for SnapVault 機能の使用に関するガイドライン ................... 68 キャパシティ プランニングの要素 ............................................................... 69 SnapVault セカンダリストレージ システムのボリューム サイズ見積のガイドラ イン ...................................................................................................................... 69 ログ ボリューム サイズの見積 ................................................................................. 70 SnapVault バックアップの設定方法 ........................................................... 71 SnapVault のためのプライマリストレージ システムの構成 .................................... 71 SnapVault セカンダリ ストレージ システム .............................................................. 72 プライマリストレージ システム .................................................................................. 73 SnapVault セカンダリストレージ システム ............................................................... 74 SnapVault プライマリおよびセカンダリストレージ システム スケジュールでの SnapVault 更新バックアップのスケジュール設定 ............................................. 74 SnapVault 転送のスケジュール設定のガイドライン ............................................... 75 SnapVault を使用した WORMSnapshot コピーの管理 ........................... 76 SnapLock ボリュームでの Snapshot コピー保持の仕組み ..................................... 76 6 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド SnapLock ボリュームにおける Snapshot コピーの命名規則 .................................. 76 SnapVault で作成された WORMSnapshot コピーの保持期間 ............................... 77 WORMSnapVault の保持期間の Snapshot コピーデフォルト設定 ............ 77 WORM Snapshot コピーの保持期間の指定 ............................................... 77 WORMSnapshot コピーの保持期間の延長 ................................................ 78 WORM ボリュームの Snapshot コピーの一覧表示 ................................................ 79 Snapshot コピーおよび保持期限の一覧表示 .......................................................... 79 期限切れの WORM Snapshot コピーの削除 .......................................................... 80 255 個を超える SnapVault Snapshot コピーを保持する方法 .................................. 81 より多くの Snapshot コピーを保持するための新規ボリュームの作成方 法 ............................................................................................................. 81 Snapshot コピーをクローニングする利点 ..................................................... 81 Snapshot コピーをコピーする利点 ................................................................ 82 Snapshot コピーを保持するための新しいボリュームの作成 ...................... 82 古いボリュームの状態の確認 ..................................................................... 83 古いボリュームに対する SnapVault スケジュールの削除 ......................... 84 新規ボリュームへのボリューム クローンの作成 ........................................ 84 適切な Snapshot コピーの新規ボリュームへのコピー ................................ 85 新しいボリュームの保持期間の確認または設定 ....................................... 86 新規ボリュームのボリューム オプションの確認 ......................................... 87 新規ボリューム内のすべての SnapVault 関係の再開 ............................... 87 新規ボリューム内の SnapVault スケジュールの再設定 ............................ 88 Snapshot コピーの移行の確認 ..................................................................... 88 古いボリューム内のすべての SnapVault 関係の停止 ............................... 89 SnapLock for SnapVault 機能で作成されたログ ボリュームのバックアップ ......... 89 SnapLock for SnapVault 機能のログ ボリュームの保護 ............................ 89 スタンバイ システムへのフェイルオーバー ................................................. 90 スタンバイ保護の再確立 ............................................................................. 90 解除した SnapVault 関係を再同期化する方法 ....................................................... 90 SnapVault の無効化 ................................................................................................. 91 SnapVault ログ ファイルの管理 ................................................................. 92 コンプライアンスと SnapVault ログ ファイル ............................................................ 92 SnapVault によるコンプライアンスの維持方法 ....................................................... 92 処理ログ ファイル ......................................................................................... 92 目次 | 7 ファイル転送ログ ファイル ............................................................................ 93 SnapLock for SnapVault 機能のログ ボリュームの構成 ........................................ 93 ログ ファイルの保存場所 ......................................................................................... 94 ファイル転送ログ ファイルの内容 ............................................................................ 94 記録されるログ エントリのタイプ .............................................................................. 95 ログ エントリの形式 .................................................................................................. 95 ログ エントリの作成方法 .......................................................................................... 96 SnapMirror を使用したバックアップおよびスタンバイ保護の方法 ........................ 98 SnapVault のバックアップおよびスタンバイ保護の設定 ............................ 99 SnapVault のバックアップおよびスタンバイ保護の再確立 ...................... 100 元のバックアップおよびスタンバイ構成への復元 .................................... 100 コンプライアンス バックアップおよびスタンバイ サービスの制限事項 .... 101 SnapLock での Data ONTAP コマンドライン インターフェイス コマンド ................................................................................................................ 102 Data ONTAP API による SnapLock の管理方法 .................................. 105 ONTAPI とは ............................................................................................ 106 ONTAPI コールを使用するクライアントの設定 ...................................... 107 Data ONTAP API スイートを使用する利点 ............................................ 110 SnapLock API 一覧 .................................................................................. 111 volume-create .......................................................................................................... 111 file-get-snaplock-retention-time .............................................................................. 112 file-get-snaplock-retention-time-list-info-max ........................................................ 112 file-set-snaplock-retention-time .............................................................................. 112 file-snaplock-retention-time-list-info ...................................................................... 112 snaplock-get-log-volume ......................................................................................... 112 snaplock-get-options ............................................................................................... 112 snaplock-log-archive ............................................................................................... 113 snaplock-log-status-list-info .................................................................................... 113 snaplock-privileged-delete-file ................................................................................ 113 snaplock-set-log-volume ......................................................................................... 113 snaplock-set-options ................................................................................................ 113 file-get-fingerprint ................................................................................................... 113 snaplock-get-system-compliance-clock .................................................................. 114 snaplock-get-volume-compliance-clock ................................................................. 114 拡張日付範囲のメカニズム ...................................................................... 115 8 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド アプリケーションによるファイルの WORM 状態への設定 ..................... 116 SnapLock ボリュームのデフォルトを使用した保持期間の設定 ............. 118 アプリケーションでの SnapLock 自動コミット機能の使用 ...................... 119 Data ONTAP API による SnapLock 機能の実装方法 .......................... 120 アプリケーションでの SnapLock privileged delete 機能の使用 ............. 121 アプリケーションでの SnapLock ロギング機能の使用 ........................... 123 イベントベースの保持とは ......................................................................... 124 リーガル ホールドとは ............................................................................... 125 SnapLock を使用したイベントベースの保持機能およびリーガル ホー ルド機能の実装 .................................................................................... 126 イベントベースの保持およびリーガル ホールドの実装 ........................... 127 privileged delete 機能を使用したレコードの削除 ................................... 129 アプリケーションを使用してファイルを WORM 状態に設定する例 ....... 130 SnapLock ボリュームのデフォルトの設定例 ........................................... 133 自動コミット機能および時間間隔の設定例 ............................................. 134 Compliance Administrator の作成例 ..................................................... 135 SnapLock ログ ボリュームの設定例 ........................................................ 137 privileged delete 機能有効化の例 ........................................................... 138 privileged delete の実行例 ....................................................................... 139 SnapLock のエラー メッセージ ................................................................. 140 著作権に関する情報 ................................................................................. 142 商標に関する情報 ..................................................................................... 143 ご意見をお寄せください ............................................................................ 144 索引 ............................................................................................................ 145 SnapLock とは | 9 SnapLock とは SnapLock は、従来の「Write Once Read Many」(WORM)光学データに代わるものです。 SnapLock は、読み取り専用 WORM データのストレージに使用されます。 SnapLock は、ライセンスベースおよびディスクベースのオープンプロトコル機能であり、アプリケー ション ソフトウェアと連動して、書き換え不可能のデータ ストレージを管理します。 この Data ONTAP 機能の主な目的は、CIFS や NFS などのオープン ファイル プロトコルを使用して、ストレ ージによる WORM と保持機能を提供することです。 SnapLock は、ストレージ管理者が信頼でき ないと考えるような規制の厳しい環境でのデータ保護のために導入できます。 SnapLock が提供する特別な目的のボリュームに保存されるファイルは、永久に、または指定した 保持期間にわたって消去および書き換え不可能な状態に保たれます。 SnapLock は、CIFS や NFS などの標準オープン ファイル プロトコルにより、個々のファイルに対してこのようなデータ保 持を実行できます。 SnapLock の仕組み SnapLock ボリューム内の WORM データは、通常の(WORM 以外の)ボリュームのデータと同じ 方法で管理されます。 SnapLock ボリュームは WORM モードで機能し、標準ファイル システムの セマンティクスをサポートします。 SnapLock ボリューム内にデータを作成し、ファイルを書き込み可 能な状態から読み取り専用状態に移行することにより WORM 状態にコミットできます。 SnapLock ボリューム上のアクティブな書き込み可能ファイルを読み取り専用にすると、そのファイ ルのデータは WORM 状態にコミットされます。 ファイルが WORM 状態にコミットされると、ファイ ルの保持期限が切れるまでアプリケーション、ユーザ、管理者による書き換えや削除はできませ ん。 ただし、SnapLock Enterprise ボリュームの場合は例外です。このボリュームでは、privileged delete 機能を使用して保持期限が切れる前にファイルを削除できます。 SnapLock ボリューム上で WORM 状態にコミットされたデータは、保持期限前の変更または削除 ができません。 ただし、空のディレクトリや WORM 状態にコミットされていないファイルを変更また は削除できます。 ディレクトリの動作は通常のボリュームと変わりませんが、いったん作成されると 名前の変更や移動はできません。 コンプライアンス要件として、WORM データは消去および書き 換えが不可能なだけでなく、作成された場所と同じ場所にロック ダウンされる必要があります。 し たがって、WORM を実装する場合は、WORM ファイルへのディレクトリ パスをロック ダウンし、変 更不可能にする必要があります。 Data ONTAP 7.0 以降では、WORM ファイルは保持期限が切れた後に削除できます。 WORM フ ァイルの保持期限はそのファイルを WORM 状態にコミットするときに設定しますが、いつでも延長 できます。 WORM ファイルの保持期間は短縮できません。 10 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド SnapLock でサポートされるハードウェア プラットフォーム SnapLock は Data ONTAP 専用にライセンスが付与される機能であり、ほとんどすべての NetApp ハードウェア プラットフォームでサポートされています。 V シリーズでは、標準ストレージおよびサ ードパーティ製ストレージの両方で SnapLock Enterprise がサポートされていますが、SnapLock Compliance は標準のディスクでのみサポートされています。 SnapLock のライセンス設定方法 SnapLock 機能のライセンスは、SnapLock Compliance または SnapLock Enterprise のいずれかと して設定できます。 通常の ONTAP ライセンス コマンドを使用して、一方または両方のバージョン の SnapLock を有効にします。 Snaplock Compliance と Snaplock Enterprise は、Data ONTAP のラ イセンスベースの機能です。 目的のタイプのボリュームを作成するためには、各ライセンスを別々 にインストールしておく必要があります。 SnapLock のライセンスは解除できますが、すでに SnapLock 状態にあるファイルについては書き 換え不可の WORM 保護が維持されます。 SnapLock ライセンスを削除することで唯一不利となる のは、新しいファイルを WORM 状態にしたり、SnapLock トラディショナル ボリュームやアグリゲー トを新規に作成できなくなることです。 SnapLock 機能のライセンス設定 SnapLock 機能を使用するには、SnapLock Compliance か SnapLock Enterprise のいずれかまたは 両方のライセンスが必要です。 開始する前に ストレージ暗号化機能はストレージ システムで有効にしないでください。 SnapLock ではストレージ暗号化機能はサポートされていません。 ストレージ システムに SnapLock ライセンスがインストールされている場合、ストレージ暗号化機能は使用できません。 ス トレージ システムでストレージ暗号化が有効になっていると、SnapLock ライセンスを追加できませ ん。 手順 1. ストレージ システムに SnapLock ライセンスがインストールされているかどうかを確認するに は、次のコマンドを入力します。 license 次の出力が表示されます。 snaplock site XXXXXXX snaplock_enterprise site XXXXXXX SnapLock とは | 11 2. SnapLock Compliance か SnapLock Enterprise のいずれかまたは両方のライセンスをインスト ールします。 • SnapLock Compliance 機能を使用するには、次のコマンドを入力します。 license add snaplock_license snaplock_license は実際のサイト ライセンスです。 次の出力が表示されます。 A snaplock site license has been installed. SnapLock(tm) Compliance enabled. Wed Jan 24 00:23:35 GMT [rc:notice]: snaplock licensed • SnapLock Enterprise 機能を使用するには、次のコマンドを入力します。 license add snaplock_enterprise snaplock_enterprise は実際のサイト ライセンスです。 次の出力が表示されます。 A snaplock_enterprise site license has been installed. SnapLock Enterprise enabled. SnapLock と AutoSupport メッセージ AutoSupport 機能を有効にすると、ストレージ システムはテクニカル サポートに AutoSupport メッ セージを送信します。 AutoSupport メッセージには、イベント、ログレベルの説明、SnapLock ボリュ ームの状態、オプションが含まれます。 AutoSupport メッセージには、システム ComplianceClock 時間、SnapLock ボリュームすべてのボリ ューム ComplianceClock 時間、ストレージ システム内の全ボリュームの有効期限も含まれます。 注: AutoSupport メッセージには、privileged delete 設定などのオプションは含まれません。 AutoSupport メッセージの詳細については、『Data ONTAP 7-Mode システム アドミニストレーション ガイド』を参照してください。 ComplianceClock とは ComplianceClock は、コンプライアンス データの改ざんを防止するための、セキュアなタイム ベー スです。 ComplianceClock は、システム クロックを変更してデータを期限前に変更または削除する ことを不可能にします。 Data ONTAP 8.1 以降、ComplianceClock にはボリューム ComplianceClock とシステム ComplianceClock の 2 つの種類があります。 これにより、ComplianceClock の誤差が最小限に抑 えられ、WORM ファイルの保持期限を延長できるようになりました。 12 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド 関連コンセプト 拡張日付範囲のメカニズム(115 ページ) システム ComplianceClock とは システム ComplianceClock は、各ストレージ システムのセキュアな時間ベースです。 システム ComplianceClock は、新しく SnapLock ボリュームが作成されたときにボリューム ComplianceClock の初期値を提供します。 Data ONTAP 8.1 へのシステム アップグレード時には、既存の SnapLock ボリュームの ComplianceClock の値が、そのボリュームのボリューム ComplianceClock の初期化に使用されま す。 システム ComplianceClock の設定は、ボリューム ComplianceClock を更新する際の参照時 間として使用されます。 ボリューム ComplianceClock とは ボリューム ComplianceClock は、各ボリュームの時間ベースのセキュリティ機能です。 ボリューム ComplianceClock は、SnapLock ボリューム内の WORM ファイルおよび Snapshot コピーの有効期 限を判定するために使用します。 ボリューム ComplianceClock は、新しい SnapLock ボリュームの作成時、またはシステムが Data ONTAP 8.1 以降にアップグレードされたときに自動的に初期化されます。 新しい SnapLock ボリュ ームが作成されると、システム ComplianceClock 時間からボリューム ComplianceClock 時間の初 期値が取得されます。 ただし、ストレージ システムを Data ONTAP 8.1 にアップグレードした場合 は、既存の SnapLock ボリュームの ComplianceClock の値が、そのボリューム ComplianceClock の初期化に使用されます。 各 SnapLock ボリュームには固有のボリューム ComplianceClock 値が維持されるため、1 つのボ リュームの ComplianceClock 値に変更があっても、他のボリュームの ComplianceClock には影響 しません。 ボリューム ComplianceClock とシステム ComplianceClock の連動 ボリューム ComplianceClock は、そのボリュームの作成時にシステム ComplianceClock 時間から 開始値を取得します。 したがって、ボリューム ComplianceClock とシステム ComplianceClock の 値は継続して関連性があります。 システム ComplianceClock の初期化 SnapLock ボリュームを作成するためには、システム ComplianceClock を初期化する必要がありま す。 初期化によって、システム ComplianceClock の値がシステム クロックの現在の値に初期化さ れます。 開始する前に • SnapLock Compliance と SnapLock Enterprise のいずれか、または両方のライセンスが必要で す。 SnapLock とは | 13 手順 1. システム ComplianceClock を初期化するには、次のコマンドを入力します。 snaplock clock initialize 注: システム ComplianceClock を初期化できるのは 1 回だけです。 例: 次のコマンドによって、ストレージ システム「System1」で ComplianceClock が初期化されま す。 System 1> snaplock clock initialize *** WARNING: YOU ARE INITIALIZING THE SECURE COMPLIANCE CLOCK *** You are about to initialize the secure Compliance Clock of this system to the current value of the system clock. This procedure can be performed ONLY ONCE on this system so you should ensure that the system time is set correctly before proceeding. The current local system time is: Mon Jun 20 13:13:49 GMT 2011 Is the current local system time correct? yes Are you REALLY sure you want initialize the Compliance Clock?yes システム ComplianceClock およびボリューム ComplianceClock 時間の表示 システム ComplianceClock 時間は、SnapLock ボリュームを作成する前に表示できます。 ボリュー ム ComplianceClock 時間は、SnapLock ボリュームでファイルを WORM 状態にコミットする前に、 保持期限を計算するために表示できます。 システム ComplianceClock およびボリューム ComplianceClock 時間を表示するには、status コマンドを使用します。 手順 1. システム ComplianceClock およびボリューム ComplianceClock 時間を表示するには、次のコ マンドを入力します。 snaplock clock status [vol_name] vol_name は、ComplianceClock 時間を表示する SnapLock ボリュームの名前です。 ボリューム名を指定しない場合は、システム ComplianceClock 時間、 およびすべての SnapLock ボリュームのボリューム ComplianceClock 時間が表示されます。 例 次のコマンドを実行すると、システム ComplianceClock 時間、 およびすべての SnapLock ボ リュームのボリューム ComplianceClock 時間が表示されます。 14 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド System A> snaplock clock status System ComplianceClock: Wed Dec 22 06:35:58 GMT 2010 Volume ComplianceClock --------------- --------------------wormvol Wed Dec 22 06:35:58 GMT 2010 wormvol1 Wed Dec 22 06:35:58 GMT 2010 次のコマンドを実行すると、SnapLock ボリューム wormvol のシステム ComplianceClock お よびボリューム ComplianceClock 時間が表示されます。 System A> snaplock clock status wormvol System ComplianceClock: Wed Dec 22 06:37:27 GMT 2010 Volume ComplianceClock --------------- --------------------Wormvol Wed Dec 22 06:37:27 GMT 2010 ボリューム ComplianceClock が SnapLock の処理に及ぼす影響 ボリューム ComplianceClock を使用して、WORM 状態へのファイルのコミット、有効期限の確認な ど、さまざまな SnapLock 処理の保持期間を計算できます。 ボリューム ComplianceClock は、次の SnapLock 処理に影響します。 • • SnapLock ボリュームの作成 SnapLock Compliance ボリュームを作成する場合は、先にシステム ComplianceClock を初期 化する必要があります。 ボリューム ComplianceClock は自動的に初期化されます。 ボリュー ム ComplianceClock は、ファイルの保持期間の計算に使用されます。 WORM 状態へのファイルのコミット ファイルを WORM 状態にコミットすると、ファイルの ctime フィールドにボリューム ComplianceClock 時間が書き込まれます。 ボリューム ComplianceClock は、ファイルの保持期 間の計算に使用されます。 注: ctime の値は、ファイルの保持期限として使用される atime の値とは異なります。 • • WORM ファイルの有効期限ステータスの確認 WORM ファイルが期限切れかどうか確認するには、ファイルの保持期限をボリューム ComplianceClock 時間と比較します。 ボリューム ComplianceClock の値がファイルの保持期 限よりも小さい場合は、ファイルは期限切れではありません。 SnapLock Compliance ボリュームの削除 SnapLock Compliance ボリュームを削除できるかどうか確認するには、削除期限(保持期限と 同様)をボリューム ComplianceClock 時間と比較します。 ボリューム ComplianceClock 時間が ボリュームの削除期限に達していない場合は、ボリュームを削除できません。 SnapLock とは | 15 ボリューム ComplianceClock 時間に影響する可能性がある処理 ソースおよびデスティネーションのストレージ システムで実行されている Data ONTAP のバージョ ンが同じかどうかによって、Volume SnapMirror、aggr copy、vol copy などの処理がボリューム ComplianceClock 時間に与える影響は異なります。 ソースおよびデスティネーションのストレージ システムで異なるバージョンの Data ONTAP を実行 している場合 ソース ストレージ システムで Data ONTAP 7.3 を実行し、デスティネーション ストレージ システム で Data ONTAP 8.1 を実行しているときに、 Volume SnapMirror、aggr copy、vol copy のいずれか の処理を実行する場合には、以下の点に注意する必要があります。 • • ソースおよびデスティネーションが SnapLock ボリュームである場合には、ソースの ComplianceClock 時間に応じてデスティネーションのボリューム ComplianceClock 時間が更新 されます。 ソースが SnapLock 以外のボリュームまたはアグリゲートで、デスティネーションが SnapLock ボリュームまたはアグリゲートである場合には、SnapMirror 関係が解除されたときに、ソースの ComplianceClock の値に応じてデスティネーションのボリューム ComplianceClock 時間が更新 されます。 ソースおよびデスティネーションのストレージ システムで同じバージョンの Data ONTAP を実行し ている場合 ストレージ システムのソースおよびデスティネーションで Data ONTAP 8.1 を実行しているときに、 Volume SnapMirror または vol copy 処理を実行する場合には、以下の点に注意する必要があり ます。 • • ソースおよびデスティネーションが SnapLock ボリュームである場合には、ソース ボリュームに 応じてデスティネーション ボリュームのボリューム ComplianceClock 時間が更新されます。 ソースが SnapLock 以外のボリュームで、デスティネーションが SnapLock ボリュームである場 合には、デスティネーションのシステム ComplianceClock に応じてデスティネーション ボリュー ムのボリューム ComplianceClock 時間が再初期化されます。 16 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド SnapLock ボリュームの作成 SnapLock トラディショナル ボリュームや SnapLock FlexVol を作成できます。 ただし、SnapLock FlexVol を作成する前に、SnapLock を属性とするアグリゲートを作成する必要があります。 SnapLock トラディショナル ボリュームの作成 SnapLock トラディショナル ボリュームを作成して、コンプライアンス データまたはアーカイブ データ を保持できます。 開始する前に • • SnapLock Compliance と SnapLock Enterprise のいずれか、または両方のライセンスが必要で す。 システムの ComplianceClock を初期化しておく必要があります。 注: システムの ComplianceClock を初期化しないと、ボリュームの作成が失敗して次のメッセ ージが表示されます。 use "snaplock clock initialize" to set Compliance Clock before creating a SnapLock Enterprise volume. 手順 1. SnapLock トラディショナル ボリュームを作成するには、次のコマンドを入力します。 vol create trad_vol -L snaplock_type ndisks[@disksize] trad_vol は新しいトラディショナル ボリュームの名前です。 ndisks はディスク数です。 disksize はディスクのサイズです。 snaplock_type には、Compliance または Enterprise を指定できます。 有効な SnapLock タイプが 1 つだけである場合は、この属性を指定する必要はありませんが、両方の SnapLock バージョンのライセンスを有効にしている場合は指定する必要があります。 注: SnapLock ボリュームを作成すると、ボリューム ComplianceClock が自動的に初期化され ます。 2. 次のコマンドを入力して、SnapLock ボリュームが作成されたことを確認します。 vol status 例 sys1> vol status Volume State Status Options SnapLock とは | 17 vol0 wormvol online online raid_dp, flex raid_dp, trad root 32-bit no_atime_update=on, snaplock_compliance 関連コンセプト ComplianceClock とは(11 ページ) 関連タスク システム ComplianceClock の初期化(12 ページ) SnapLock アグリゲートおよびそのフレキシブル ボリュームの作成 Data ONTAP の FlexVol 機能を使用している場合は、SnapLock アグリゲートおよびフレキシブル ボリュームを作成して、コンプライアンス データまたはアーカイブ データを保持できます。 開始する前に • • SnapLock Compliance と SnapLock Enterprise のいずれか、または両方のライセンスが必要で す。 システムの ComplianceClock を初期化しておく必要があります。 注: システムの ComplianceClock を初期化しないと、アグリゲートの作成が失敗して次のメッ セージが表示されます。 use "snaplock clock initialize" to set Compliance Clock before creating a SnapLock Enterprise aggregate. タスク概要 SnapLock はアグリゲートの属性であるため、アグリゲートに含まれているボリュームは、アグリゲ ートの SnapLock 属性を継承します。 したがって SnapLock アグリゲート内に作成された FlexVol ボリュームは、すべて SnapLock ボリュームになります。 SnapLock Compliance アグリゲートには SnapLock Compliance フレキシブル ボリュームのみ、SnapLock Enterprise アグリゲートには SnapLock Enterprise フレキシブル ボリュームのみが含まれます。 手順 1. SnapLock アグリゲートを作成するには、次のコマンドを入力します。 aggr create aggrname -L snaplock_type ndisks[@disksize] aggrname は、新しい SnapLock アグリゲートの名前です。 snaplock_type には、Compliance または Enterprise を指定できます。 ライセンスのある SnapLock バージョンが 1 つだけである場合は、この属性を指定する必要はありませんが、両 方の SnapLock バージョンのライセンスがある場合は指定する必要があります。 ndisks はディスク数です。 18 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド disksize はディスクのサイズ(72GB など)です。 2. 次のコマンドを入力して、SnapLock アグリゲートが作成されたことを確認します。 aggr status 例 aggr status aggr1 Aggr State Status aggr1 online raid_dp, aggr Volumes: vol1 Options snaplock_enterprise 3. 次のコマンドを入力して、SnapLock FlexVol ボリュームを作成します。 vol create wormvol aggrname size[k|m|g|t] SnapLock Compliance 書き込み検証オプション ディスク メディアへの各書き込み処理を即座に読み戻して整合性を検証する必要がある場合、 SnapLock Compliance 書き込み検証オプションを使用できます。 この機能は、Data ONTAP ですでに実現されている堅牢なデータ保護機能および耐障害機能に、 一定レベルのデータ整合性検査機能を追加します。 SnapLock の書き込み検証はパフォーマンス に影響を与える可能性がありますが、アーカイブのスループットには影響を与えません。 SnapLock の書き込み検証は、SnapLock Compliance ボリュームにのみ適用できます。 不揮発性 RAM(NVRAM)、チェックサム、RAID スクラブ、メディア スキャン、ダブルパリティ RAID がすで に提供している先進的な高性能のデータ保護および整合性機能と比較すると、SnapLock 書き込 み検証オプションが提供する利点は限定的です。 SnapLock Compliance 書き込み検証オプションの使用 snaplock.compliance.write_verify オプションを使用して、SnapLock 書き込み検証オプショ ンを有効にします。 手順 1. SnapLock 書き込み検証を有効にするには、次のコマンドを入力します。 options snaplock.compliance.write_verify on WORM ファイルの概要 | 19 WORM ファイルの概要 WORM は、「write once, read many」の略です。WORM ファイルには、ファイルの任意の領域に 1 度書き込まれたデータは、保持期間が満了するまでは上書きすることも削除することもできないと いう特徴があります。 SnapLock ボリューム上のファイルが WORM 状態にコミットされると、変更できる属性はファイル の保持期限の延長だけとなります。 保持期間は短縮できません。 20 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド WORM データの管理方法 SnapLock ボリュームを作成すると、ボリューム内の通常のファイルだけを WORM 状態に移行で きるようになります。 ファイルに保持期限を設定したり、ファイルが WORM 状態であるかどうかを 確認したり、WORM ファイルの保持期限を延長したりできます。 注: Data ONTAP 8.1 では、通常以外の ファイル(LUN やシンボリック リンクなど)は WORM 状 態にコミットできません。 ただし、 以前のリリースで WORM 状態にコミットされた通常以外のフ ァイ ルは、Data ONTAP 8.1 へのアップグレード後も WORM 状態が維持されます。 データの WORM 状態への移行 ファイルを WORM 状態にコミットするには、SnapLock ボリューム内でファイルを書き込み可能な 状態から読み取り専用状態に移行する必要があります。 手動または自動でデータを WORM 状 態に移行し、ファイルの保持期限を設定できます。 タスク概要 ファイルを WORM 状態にコミットすると、ファイルの ctime フィールドにボリューム ComplianceClock 時間が書き込まれます。 ボリューム ComplianceClock は、ファイルの保持期間 の計算に使用されます。 注: ctime の値は、ファイルの保持期限として使用される atime の値とは異なります。 手順 1. 保持期限は、ファイル アクセス プロトコル(CIFS、NFS など)および使用中のクライアント オペ レーティング システムで利用できる、コマンドまたはプログラムを使用して設定します。 例 UNIX シェルで、次のコマンドを使用して、document.txt ファイルの保持期限を 2020 年 11 月 21 日に設定します。 touch -a -t 202011210600 document.txt 2. 次のコマンドを使用して、document.txt ファイルを WORM 状態にコミットします。 chmod -w document.txt 注: SnapLock ボリュームの最小保持期間または最大保持期間によって制限されていない限 り、WORM 状態にコミットされた時点での、ファイルの最終アクセスのタイムスタンプがファイ ルの保持期限として設定されます。 ファイルに保持期限が設定されていない場合は、 SnapLock ボリュームのデフォルトの保持期間が使用されます。 ファイルの保持期限は WORM データの管理方法 | 21 atime フィールドに格納されます。 no_atime_update オプションは、SnapLock ボリューム に対して常に on に設定されます。 したがって、ファイルがアクセスされても atime は更新さ れません。 関連コンセプト ファイルの WORM 状態への自動コミット(31 ページ) ファイルの WORM 状態の判別 file fingerprint コマンドを実行することで、SnapLock ボリューム内のファイルが WORM 状 態にコミットされているかどうかを確認できます。 SnapLock ボリューム内のファイルが書き込み可 能な状態から読み取り専用状態に移行すると、ファイルは WORM 状態になります。 手順 1. WORM 状態は、ファイルのフィンガープリントを使用して確認できます。 file fingerprint -x pathname file-type が worm で、ボリュームが SnapLock ボリュームである場合には、ファイルに WORM 保護が設定されています。 ファイルの有効期限は、retention-time フィールドおよ び formatted-retention-time フィールドで指定されています。 この日付をボリュームの ComplianceClock 時間(snaplock-volume-compliance-clock フィールドおよび formatted-snaplock-volume-compliance-clock フィールドで指定)と比較して、ファイル が期限切れかどうかが判別されます。 ファイルのフィンガープリント コマンドを使用した、WORM 状態にコミットされたファイルの例 以下の例は、file-type が worm に変更された、読み取り専用権限が設定されたファイル を示しています。 file fingerprint -x /vol/test_slc_vol/sample_file.0 <fingerprint><fingerprint-info><fingerprint-algorithm>sha-256</ fingerprint-algorithm><fingerprint-start-time>1306404712</ fingerprint-start-time><formatted-fingerprint-start-time>Thu May 26 10:11:52 GMT 2011</formatted-fingerprint-start-time><fingerprintscope>data_and_metadata</fingerprint-scope><fingerprint-version>2</ fingerprint-version><fingerprint-input-path>/vol/test_slc_vol/ sample_file.0</fingerprint-input-path><filer-id>118069060</filerid><filer-name>f3070-230-70</filer-name><snaplocklicense>compliance and enterprise</snaplock-license><snaplocksystem-compliance-clock>1306404710</snaplock-system-complianceclock><formatted-snaplock-system-compliance-clock>Thu May 26 10:11:50 GMT 2011</formatted-snaplock-system-complianceclock><volume-name>test_slc_vol</volume-name><volumeuuid>43cf0d50-8780-11e0-a7ee-123478563412</volume-uuid><volumetype>flexible</volume-type><volume-containing-aggregate>slc</volume- 22 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド containing-aggregate><aggregate-uuid>a235e9e7-8531-11e0a7ee-123478563412</aggregate-uuid><volume-snaplock-type>compliance</ volume-snaplock-type><snaplock-volume-compliance-clock>1306404710</ snaplock-volume-compliance-clock><formatted-snaplock-volumecompliance-clock>Thu May 26 10:11:50 GMT 2011</formatted-snaplockvolume-compliance-clock><volume-expiry-date>1306491101</volumeexpiry-date><is-volume-expiry-date-wraparound>false</is-volumeexpiry-date-wraparound><formatted-volume-expiry-date>Fri May 27 10:11:41 GMT 2011</formatted-volume-expiry-date><metadatafiles><file-fingerprint-info><path>/vol/test_slc_vol/sample_file.0</ path><fsid>773461395</fsid><fileid>96</fileid><file-type>worm</filetype><file-size>2048</file-size><creation-time>1306404660</creationtime><formatted-creation-time>Thu May 26 10:11:00 GMT 2011</ formatted-creation-time><modified-time>1306404660</modifiedtime><formatted-modified-time>Thu May 26 10:11:00 GMT 2011</ formatted-modified-time><changed-time>1306404701</changed-time><ischanged-time-wraparound>false</is-changed-timewraparound><formatted-changed-time>Thu May 26 10:11:41 GMT 2011</ formatted-changed-time><retention-time>1306491101</retentiontime><is-wraparound>false</is-wraparound><formatted-retentiontime>Fri May 27 10:11:41 GMT 2011</formatted-retention-time><ownerid>0</owner-id><group-id>0</group-id><datafingerprint>5aAKqZkayKXuMQmETYSlVYO9IFcq0//NQnkvPDaxg60=</datafingerprint><metadata-fingerprint>aUe0DQjT73ncAwp9tWP +XdvgaU6mMJcnzsSlF5zb9CA=</metadata-fingerprint></file-fingerprintinfo></metadata-files><fingerprint-end-time>1306404712</fingerprintend-time><formatted-fingerprint-end-time>Thu May 26 10:11:52 GMT 2011</formatted-fingerprint-end-time></fingerprint-info></ fingerprint> WORM ファイルの保持期限の延長 WORM ファイルの保持期限を延長すると、WORM ファイルは現在の保持期限よりも長く WORM 状態を保つことができます。 タスク概要 ファイル アクセス プロトコル(CIFS、NFS など)および使用中のクライアント オペレーティング シス テムで利用可能なコマンドまたはプログラムを使用して、保持期限を延長できます。 対話型または プログラムにより、保持期限を延長できます。 注: WORM ファイルの保持期限が延長される場合、SnapLock ボリュームの最大保持期間また は最小保持期間に関する制限は適用されません。 手順 1. 保持期限を延長するには、利用可能なコマンドまたはプログラムを使用します。 WORM データの管理方法 | 23 例 UNIX シェルでは、次のコマンドを使用して document.txt ファイルの WORM 状態を延長し、 保持期限を 2020 年 12 月 15 日に設定できます。 touch -a -t 202012150600 document.txt 注: WORM ファイルの保持期限を現在の設定よりも早めることはできません。 2. ファイルの保持期限を確認するには、次のコマンドを入力してアクセス時間の値に注目します。 stat document.txt 関連コンセプト SnapLock ボリューム保持期間の仕組み(26 ページ) 追記可能 WORM ファイルとは 追記可能 WORM ファイルにはデータを追加できます。 WORM 処理は 256KB のセグメントごとに 実行され、256KB+1 バイトにデータが書き込まれると、1 つ前のセグメントは自動的に書き換えで きなくなります。 データを追記可能な SnapLock ファイルがあると便利な場合があります。 たとえば、保持する必要 があるログ ファイルなどです。 ログに入力してそれを SnapLock ファイルにコピーする代わりに、フ ァイルを SnapLock ファイルとして作成し、そのファイルにデータを追記して同じ場所にロックできま す。 注: 追記可能 WORM ファイルのサイズを減らすことはできません。 したがって、最後のデータ ブロック(256k)のコンテンツは変更できますが、サイズを小さくすることはできません。 追記可能 WORM ファイルの作成 追記可能 WORM ファイルは、256KB のチャンクで機能します。 各チャンクは、満杯になるとロック されます。 ファイル全体をロックするには、ファイルを読み取り専用にする必要があります。 手順 1. 追記可能な WORM ファイルを作成するには、次のコマンドを入力して、必要な保持期限を指 定した空のファイルを WORM ボリューム内に作成します。 touch -a -t 202012150600 file 2. 次のコマンドを入力して、ファイルを読み取り専用にします。 chmod 444 file 3. 次のコマンドを入力して、ファイルを再度書き込み可能にします。 24 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド chmod 644 file 注: ファイル内にデータがないため、この手順はコンプライアンス リスクとは見なされません。 4. 次のコマンドを入力して、ファイルへのデータ書き込みを開始します。 echo test data >> file 注: データは 256KB 単位で WORM 状態にコミットされます。 データは、アクティブな 256KB のチャンクに順番に書き込まれる必要はありません。 ファイルの n*256KB+1 バイトにデータ が書き込まれると、1 つ前の 256KB セグメントは WORM になり、書き換えできなくなりま す。 各チャンクは、満杯になるとロックされます。 この時点で、ファイルは追記可能 WORM ファイ ルとなります。 5. ファイルへのデータ入力が終了したら、次のコマンドを入力して、ファイルを再度読み取り専用 にします。 chmod 444 file ファイル全体が WORM 状態になり、書き換え不可能になります。 保持期間とは | 25 保持期間とは 保持期間とは、 Data ONTAP が SnapLock ボリューム上の Write Once Read Many(WORM)ファ イルの削除を許可するまでの期間のことです。つまり、ファイルが WORM 状態で維持される期間 です。 規制環境では、レコードを長期間保持する必要があります。 SnapLock ボリュームで WORM 状態 にコミットされたすべてのレコードには、個別の保持期間を関連付けることができます。Data ONTAP は、保持期間が終了するまでそれらのレコードの保持を強制します。保持期間が終了し たレコードは削除できますが、変更することはできません。Data ONTAP はレコードを自動的に削 除しません。すべてのレコードはアプリケーションを使用して、または手動で削除する必要がありま す。 保持期間は、ボリュームの ComplianceClock を使用して計算されます。既存の WORM ファイル の保持期間は無制限まで延長できますが、短縮することはできません。 26 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド SnapLock ボリューム保持期間の仕組み SnapLock ボリュームを作成したら、ボリューム保持期間を設定できます。 SnapLock ボリュームの 保持期間は、秒、時間、日、月、年の単位で指定できます。 Data ONTAP では、保持期間がカレンダー調整後に適用されます。 たとえば、2 月 1 日に作成さ れた WORM ファイルまたは Snapshot コピーの保持期間が 1 カ月の場合、保持期間は 3 月 1 日 に満了します。 SnapLock Compliance または Enterprise ボリュームには、次の 3 種類の保持期間があります。 • • • 最小保持期間 最大保持期間 デフォルト保持期間 ファイルが WORM 状態にコミットされると、ストレージ システムで最小値および最大値が確認され ます。 ファイルが最初にロックされたあとで、ボリュームの最大保持期間の値によって設定された 日付よりも先に保持期限を延長できます。 次の表に、SnapLock Enterprise および SnapLock Compliance ボリュームのデフォルトの最大保持 期間および最小保持期間を示します。 オプション SnapLock Enterprise の デフォルト SnapLock Compliance のデフ ォルト snaplock_minimum_period 0 0 snaplock_maximum_period 30 years 30 years snaplock_default_period min max (snaplock_minimum_perio (snaplock_maximum_period と d と同じ) 同じ) ボリュームの保持期間の表示 ボリュームの保持期間を表示して、ボリュームを削除可能かどうかを確認できます。 SnapLock ボ リュームは、保持期間が終了すると削除できます。 vol status コマンドを使用して、SnapLock ボ リューム内の WORM ファイルの最大保持期間を表示できます。 手順 1. SnapLock ボリュームの保持期間を表示するには、次のコマンドを入力します。 vol status -w SnapLock ボリューム保持期間の仕組み | 27 例 次の例では、コマンド出力にストレージ システム内の SnapLock ボリュームの有効期限が表示 されています。 system_a> vol status -w Volume Expiry Date ---------------vol_slc1 Wed Sep 8 03:31:34 GMT 2038 vol0 vol_sle1 Thu Sep 4 14:32:54 GMT 2008 vol_reg1 - SnapLock ボリュームに保持期間が設定されていない場合、コマンド出力では有効期限が none と表示されます。 system_a> vol status -w Volume Expiry Date ------ ----------sle0 none vol0 vol1 注: SnapLock Enterprise ボリュームでは、ボリュームの削除期限が正しくない場合がありま す。 これは、privileged delete や Single File SnapRestore(SFSR)などの一部の処理では、ボ リュームの有効期限が更新されない場合があるためです。 ただし、SnapLock Enterprise ボリ ュームは、ボリュームの有効期限に関わらず削除できます。 最小保持期間とは 最小保持期間とは、SnapLock ボリューム内に WORM ファイルを保持できる最短時間です。 アプ リケーションが保持期間を最小保持期間よりも短く設定した場合、Data ONTAP はファイルの保持 期間をそのボリュームの最小保持期間に調整します。 最小保持期間には次の特徴があります。 • • • すでに WORM 状態にある既存ファイルには、このボリューム保持期間の変更は影響しませ ん。 最小保持期間は、デフォルトの保持期間、またはアプリケーションで明示的に設定された保持 期限よりも優先されます。 明示的に再設定しないかぎり、最小保持期間は 0 です。 28 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド 最小保持期間の設定 SnapLock ボリュームの最小保持期間を設定することで、アプリケーションまたはユーザが、最小 保持期間よりも短い保持期間を割り当てないようにすることができます。 手順 1. SnapLock ボリュームの最小保持期間を設定するには、次のコマンドを入力します。 vol options vol_name snaplock_minimum_period {count{s|h|d|m|y}}|infinite vol_name は SnapLock ボリュームの名前です。 count には、保持期間に続けてその単位を秒(s)、時間(h)、日(d)、月(m)、または年(y)で指 定します。 または、infinite と指定すると、ファイルは WORM 状態にコミットされて無期限に 保持されます。 保持期間の値の詳細については、na_vol(1)のマニュアル ページを参照してく ださい。 注: 最小保持期間を infinite に設定するには、デフォルトの保持期間および最大保持期 間も infinite に設定する必要があります。 詳細については、na_vol(1)のマニュアル ペー ジを参照してください。 例 次のコマンドを入力すると、最小保持期間が 6 カ月に設定されます。 vol options wormvol1 snaplock_minimum_period 6m 最大保持期間とは 最大保持期間とは、WORM 状態にコミットされた時点でのファイルの最大保持期間です。 WORM 状態にコミットされたファイルは、この値よりも保持期間を延長できます。 最大保持期間には次の特徴があります。 • • • • すでに WORM 状態にある既存ファイルには、このボリューム保持期間の変更は影響しませ ん。 最大保持期間は、デフォルトの保持期間、またはアプリケーションで明示的に設定された保持 期限よりも優先されます。 指定できる最大保持期間は 70 年です。 ただし、70 年の保持期限が 2071 年 1 月 19 日 (GMT)よりも先になる場合には、許容されている最大保持期間(2071 年 1 月 19 日(GMT)) に変更されます。 明示的に再設定しない限り、最大保持期間は 30 年です。 SnapLock ボリューム保持期間の仕組み | 29 最大保持期間の設定 SnapLock ボリュームの最大保持期間を設定することで、アプリケーションまたはユーザが、最大 保持期間よりも長い保持期間を割り当てないようにすることができます。 最大保持期間は無期限 に設定することもできます。 手順 1. SnapLock ボリュームの最大保持期間を設定するには、次のコマンドを入力します。 vol options vol_name snaplock_maximum_period {count{s|h|d|m|y}}|infinite vol_name は SnapLock ボリュームの名前です。 count には、保持期間に続けてその単位を秒(s)、時間(h)、日(d)、月(m)、または年(y)で指 定します。 または、infinite と設定すると、ボリューム内で WORM 状態にコミットされたすべ てのファイルが無期限に保持されます。 詳細は、na_vol(1)のマニュアル ページを参照してください。 例 次のコマンドを入力すると、最大保持期間が 3 年に設定されます。 vol options wormvol1 snaplock_maximum_period 3y デフォルトの保持期間とは デフォルトの保持期間は、SnapLock ボリュームの WORM ファイルに保持期間が明示的に割り当 てられていない場合に、そのファイルに割り当てられます。 デフォルトの保持期間の初期値は、SnapLock Compliance ボリュームの場合は最大保持期間、 SnapLock Enterprise ボリュームの場合は最小保持期間と同じです。 これらの値を変更すると、デ フォルトの保持期間も変更されます。 無制限の保持期間をファイルに明示的に割り当てることはできません。 ファイルに無期限の保持 期間を設定するには、SnapLock ボリュームのデフォルトの保持期間を infinite に設定します。 ただし、WORM ファイルの保持期間は無期限に延長できます。 注: WORM 状態にコミットする前にファイルの保持期限を何らかの方法で明示的に設定すると、 ファイルはその指定した期間だけ保持され、 無期限には保持されません。 ボリューム ComplianceClock がシステム時間よりも遅延していて、ファイルに指定された保持期限 (atime)がファイルの ctime よりも短い場合は、ボリュームのデフォルトの保持期間の間ファイルが WORM 状態にコミットされます。 30 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド デフォルトの保持期間の設定 SnapLock ボリュームのデフォルトの保持期間はリセットできます。 リセットするのは、ユーザまた はアプリケーションが保持期間の割り当てに失敗した場合にも、ボリューム内のすべての WORM ファイルに保持期間が確実に割り当てられるようにする場合などです。 手順 1. SnapLock ボリュームのデフォルトの保持期間をリセットするには、次のコマンドを入力します。 vol options vol_name snaplock_default_period {count{s|h|d|m|y}}|min|max| infinite vol_name は SnapLock ボリュームの名前です。 count には、保持期間に続けてその単位を秒(s)、時間(h)、日(d)、月(m)、または年(y)で指 定します。 または、infinite と指定すると、ファイルは WORM 状態にコミットされて無期限に 保持されます。 詳細については、na_vol(1)のマニュアル ページを参照してください。 min は、snaplock_minimum_period オプションによって指定される保持期間です。 max は、snaplock_maximum_period オプションによって指定される保持期間です。 注: SnapLock のデフォルト期間の値は、SnapLock の最小保持期間の値以上、SnapLock の 最大保持期間の値以下にする必要があります。 例 次のコマンドを入力すると、最小保持期間に等しい値でデフォルトの保持期間が設定されま す。 vol options wormvol1 snaplock_default_period min ファイルの WORM 状態への自動コミット | 31 ファイルの WORM 状態への自動コミット SnapLock ボリューム内のファイルをすべて WORM 状態に自動的にコミットする場合は、 SnapLock の自動コミット機能を使用できます。 SnapLock の自動コミット機能では、指定した自動 コミット期間中に変更がなかったファイルが WORM 状態にコミットされます。 Data ONTAP 8.1 以降、ボリューム レベルで自動コミット期間が設定されるようになりました。 自動 コミット機能ではシステム時間を使用して通常のファイルが WORM 状態に変換され、ボリューム の Complianceclock 時間を使用して SnapLock ボリューム内のファイルの保持期間が設定されま す。 自動コミット機能は、SnapLock ボリュームのステータスに依存します。 自動コミット機能が有効に なっている SnapLock ボリュームがオフラインになった場合、または制限状態にある場合には、そ のボリュームの自動コミット機能は無効になります。 ボリュームがオンラインになると自動コミット 機能は再度自動的に有効になります。 SnapLock 自動コミット機能の仕組み Snaplock 自動コミット機能によって、SnapLock ボリューム内のファイルすべてを自動的に WORM 状態にコミットできます。 新しい SnapLock ボリュームでは、自動コミット機能はデフォルトで無効に なっています。 SnapLock ボリュームの自動コミット機能は、vol options コマンドを実行して有効 にできます。 SnapLock ボリュームの自動コミット期間は、時間、日、月、年単位で設定できます。 ファイルを WORM 状態にコミットするために指定できる最小自動コミット期間は 2 時間です。 ただし、自動コ ミット期間の終了と同時に自動コミット処理が実行されるのではなく、この期間は未変更のファイル のロックが可能になるまでの最短時間です。 複数のファイルを WORM 状態にコミットするために はほかにも必要な処理があるため、自動コミット期間終了後すぐに自動コミット処理が実行されな い場合があります。 自動コミット機能を使用してファイルを WORM にコミットする場合には、その値(ファイルの ctime 値およびボリュームの自動コミット期間)とシステム クロックの値が比較されます。 システム クロッ クの値の方が大きい場合は、ファイルが WORM 状態にコミットされます。 注: WORM 状態に自動コミットされたファイルには、ボリュームのデフォルトと同じ保持期間が設 定されます。 ただし、自動コミットされる前にファイルの atime 値を明示的に変更した場合に は、ファイルの保持期限はその atime 値になります。 32 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド 自動コミット期間の設定 SnapLock ボリューム内のファイルを自動的に WORM 状態にコミットするには、自動コミット期間を 設定する必要があります。 自動コミット期間は、そのボリューム内のファイルが WORM 状態にコミ ットされるまでの期間です。 自動コミット期間は、vol options コマンドを使用して設定できます。 手順 1. 自動コミット期間を設定するには、次のコマンドを入力します。 vol options vol_name snaplock_autocommit_period {none|count(h|d|m|y)} autocommit_period は、時間、日、月、年単位の時間です。 例 次の例では、ボリューム「sle_vol」で自動コミット期間が 24 日に設定されています。 vol options sle_vol snaplock_autocommit_period 24d 注: 自動コミット期間を none に設定すると、自動コミット機能を無効にできます。 SnapLock の保持期間を過ぎると、ファイルは変更できなくなります。 ファイルを削除するには、 保持期間の経過後に手動で権限を読み書き権限に変更する必要があります。 自動コミット処理前後のファイル アクセスの例 次の例は、自動コミット処理前後での、ファイルのフィンガープリントの出力を示しています。 file fingerprint -x /vol/test_slc_vol/sample_file.0 <fingerprint><fingerprint-info><fingerprint-algorithm>sha-256</ fingerprint-algorithm><fingerprint-start-time>1306404682</ fingerprint-start-time><formatted-fingerprint-start-time>Thu May 26 10:11:22 GMT 2011</formatted-fingerprint-start-time><fingerprintscope>data_and_metadata</fingerprint-scope><fingerprint-version>2</ fingerprint-version><fingerprint-input-path>/vol/test_slc_vol/ sample_file.0</fingerprint-input-path><filer-id>118069060</filerid><filer-name>f3070-230-70</filer-name><snaplocklicense>compliance and enterprise</snaplock-license><snaplocksystem-compliance-clock>1306404680</snaplock-system-complianceclock><formatted-snaplock-system-compliance-clock>Thu May 26 10:11:20 GMT 2011</formatted-snaplock-system-complianceclock><volume-name>test_slc_vol</volume-name><volumeuuid>43cf0d50-8780-11e0-a7ee-123478563412</volume-uuid><volumetype>flexible</volume-type><volume-containing-aggregate>slc</volumecontaining-aggregate><aggregate-uuid>a235e9e7-8531-11e0a7ee-123478563412</aggregate-uuid><volume-snaplock-type>compliance</ volume-snaplock-type><snaplock-volume-compliance-clock>1306404680</ snaplock-volume-compliance-clock><formatted-snaplock-volumecompliance-clock>Thu May 26 10:11:20 GMT 2011</formatted-snaplock- ファイルの WORM 状態への自動コミット | 33 volume-compliance-clock><formatted-volume-expirydate>no_expiry_date</formatted-volume-expiry-date><metadatafiles><file-fingerprint-info><path>/vol/test_slc_vol/sample_file.0</ path><fsid>773461395</fsid><fileid>96</fileid><file-type>regular</ file-type><file-size>2048</file-size><creation-time>1306404660</ creation-time><formatted-creation-time>Thu May 26 10:11:00 GMT 2011</formatted-creation-time><modified-time>1306404660</modifiedtime><formatted-modified-time>Thu May 26 10:11:00 GMT 2011</ formatted-modified-time><changed-time>1306404660</changedtime><formatted-changed-time>Thu May 26 10:11:00 GMT 2011</ formatted-changed-time><access-time>1306404660</accesstime><formatted-access-time>Thu May 26 10:11:00 GMT 2011</formattedaccess-time><owner-id>0</owner-id><group-id>0</group-id><datafingerprint>5aAKqZkayKXuMQmETYSlVYO9IFcq0//NQnkvPDaxg60=</datafingerprint><metadata-fingerprint>iGAAuCvXpKnbrCOHI8AF/ vzNKVesrw8wEV10p8LfeyU=</metadata-fingerprint></file-fingerprintinfo></metadata-files><fingerprint-end-time>1306404682</fingerprintend-time><formatted-fingerprint-end-time>Thu May 26 10:11:22 GMT 2011</formatted-fingerprint-end-time></fingerprint-info></ fingerprint> 次の例は、自動コミット期間の経過後に、同じファイルで file-type を worm に変更した結 果を示しています。 file fingerprint -x /vol/test_slc_vol/sample_file.0 <fingerprint><fingerprint-info><fingerprint-algorithm>sha-256</ fingerprint-algorithm><fingerprint-start-time>1306404712</ fingerprint-start-time><formatted-fingerprint-start-time>Thu May 26 10:11:52 GMT 2011</formatted-fingerprint-start-time><fingerprintscope>data_and_metadata</fingerprint-scope><fingerprint-version>2</ fingerprint-version><fingerprint-input-path>/vol/test_slc_vol/ sample_file.0</fingerprint-input-path><filer-id>118069060</filerid><filer-name>f3070-230-70</filer-name><snaplocklicense>compliance and enterprise</snaplock-license><snaplocksystem-compliance-clock>1306404710</snaplock-system-complianceclock><formatted-snaplock-system-compliance-clock>Thu May 26 10:11:50 GMT 2011</formatted-snaplock-system-complianceclock><volume-name>test_slc_vol</volume-name><volumeuuid>43cf0d50-8780-11e0-a7ee-123478563412</volume-uuid><volumetype>flexible</volume-type><volume-containing-aggregate>slc</volumecontaining-aggregate><aggregate-uuid>a235e9e7-8531-11e0a7ee-123478563412</aggregate-uuid><volume-snaplock-type>compliance</ volume-snaplock-type><snaplock-volume-compliance-clock>1306404710</ snaplock-volume-compliance-clock><formatted-snaplock-volumecompliance-clock>Thu May 26 10:11:50 GMT 2011</formatted-snaplockvolume-compliance-clock><volume-expiry-date>1306491101</volumeexpiry-date><is-volume-expiry-date-wraparound>false</is-volumeexpiry-date-wraparound><formatted-volume-expiry-date>Fri May 27 10:11:41 GMT 2011</formatted-volume-expiry-date><metadatafiles><file-fingerprint-info><path>/vol/test_slc_vol/sample_file.0</ path><fsid>773461395</fsid><fileid>96</fileid><file-type>worm</filetype><file-size>2048</file-size><creation-time>1306404660</creationtime><formatted-creation-time>Thu May 26 10:11:00 GMT 2011</ 34 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド formatted-creation-time><modified-time>1306404660</modifiedtime><formatted-modified-time>Thu May 26 10:11:00 GMT 2011</ formatted-modified-time><changed-time>1306404701</changed-time><ischanged-time-wraparound>false</is-changed-timewraparound><formatted-changed-time>Thu May 26 10:11:41 GMT 2011</ formatted-changed-time><retention-time>1306491101</retentiontime><is-wraparound>false</is-wraparound><formatted-retentiontime>Fri May 27 10:11:41 GMT 2011</formatted-retention-time><ownerid>0</owner-id><group-id>0</group-id><datafingerprint>5aAKqZkayKXuMQmETYSlVYO9IFcq0//NQnkvPDaxg60=</datafingerprint><metadata-fingerprint>aUe0DQjT73ncAwp9tWP +XdvgaU6mMJcnzsSlF5zb9CA=</metadata-fingerprint></file-fingerprintinfo></metadata-files><fingerprint-end-time>1306404712</fingerprintend-time><formatted-fingerprint-end-time>Thu May 26 10:11:52 GMT 2011</formatted-fingerprint-end-time></fingerprint-info></ fingerprint> SnapLock ボリュームの自動コミット期間の表示 vol options コマンドまたは vol status コマンドを実行することで、SnapLock ボリュームの自 動コミット期間を表示できます。 手順 1. SnapLock ボリュームの自動コミット期間を表示するには、次のいずれかのコマンドを入力しま す。 • • vol options vol_name vol status -v vol_name vol_name は、自動コミット期間を表示する SnapLock ボリュームの名前です。 -v は、ボリュームの自動コミット期間の表示に必要なオプションです。 privileged delete 機能とは | 35 privileged delete 機能とは SnapLock の privileged delete 機能では、権限を持つユーザが、保持ポリシーで書き換え不可に設 定されているファイルを削除できます。 権限を持つユーザは、「Compliance Administrators」グルー プに属している必要があります。 SnapLock Enterprise ボリュームでは、権限を持つユーザが、期 限切れ前の WORM ファイルを保持期間に関わらず削除できます。 privileged delete 機能は、SnapLock Enterprise ボリュームでのみ使用でき、SnapLock Compliance ボリュームでは使用できません。 削除処理は、SnapLock ログ ファイルに記録されます。 すべての privileged delete 処理が、ボリューム内の SnapLock ログ ファイルに記録されます。 そのため、 privileged delete 機能は「監査可能な削除」とも呼ばれます。 権限を持つユーザが WORM ファイルを削除した場合には、監査用にイベントを記録する必要が あります。 次の SnapLock 処理が SnapLock ログ ボリュームに記録されます。 • • • • 保持されている WORM ファイルの privileged delete SnapLock Enterprise ボリュームの privileged delete 状態に対する変更 SnapLock ログ ボリュームに対する変更 Compliance Administrators グループに対するユーザの追加または削除 SnapLock ログ ファイルでは、ファイルが削除されたかどうか、削除時刻、削除したユーザ名など、 WORM ファイルの privileged delete に関連する詳細を確認できます。 privileged delete 機能では、Compliance Administrator が、SnapLock Enterprise ボリュームに保持 されている WORM ファイルを削除できます。 削除処理によって削除されるのは、指定したファイ ルだけです。 privileged delete 機能は、保持期間が無期限な WORM ファイルに対しても使用でき ます。 注: privileged delete 処理を使用して、保持期間を経過した WORM ファイルを削除することはで きません。 privileged delete の仕組み デフォルトでは、新しく作成された SnapLock Enterprise ボリュームでは privileged delete 処理は許 可されません。 SnapLock Enterprise ボリュームでの privileged delete 機能の初期状態は off で す。 したがって、privileged delete を使用するためには、SnapLock Enterprise ボリュームで privileged delete オプションを有効にする必要があります。 各 SnapLock Enterprise ボリュームの privileged delete 機能は、次のいずれかの状態に設定され ています。 • on—この SnapLock Enterprise ボリュームでは privileged delete 機能がオンになっており、削除 が許可されています。 36 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド • • off—この SnapLock Enterprise ボリュームでは privileged delete 機能がオフになっており、 privileged delete 処理は許可されていません。 disallowed—このボリュームでは privileged delete 機能が無効になっており、オンにすること はできません。 このオプションが設定されている場合、保持期限満了まではそのボリュームか らファイルは削除できません。 ボリューム オプションは、3 つの値のいずれかに変更できます。 ただし、オプションが disallowed になっているボリュームの privileged delete 機能は有効にはできません。 SnapLock ログには、削除イベントに加えて、privileged delete 設定に対する変更も記録されます。 したがって、ボリュームの privileged delete オプションを変更する前に、システム内の SnapLock ロ グ ボリュームを割り当てる必要があります。 場合によっては、privileged delete 機能のボリューム オプションが on に設定されていても privileged delete 処理が失敗する可能性があります。 これ は、SnapLock ログ ファイルが使用できないことが原因です。 たとえば、SnapLock ログ ボリューム がオフラインになっている場合などです。 SnapLock Enterprise ボリュームの privileged delete 状態は、SnapLock Enterprise ボリュームに含 まれているデータのプロパティです。 SnapLock Enterprise ボリュームの場合、privileged delete 機 能の初期状態は off です。SnapLock Compliance ボリュームの場合、privileged delete 機能の初 期状態は disallowed です。 さらに、SnapLock Enterprise ボリュームを Data ONTAP 7.3 に初め てアップグレードした場合、privileged delete 機能の初期状態は off です。 SnapLock Enterprise ボ リュームの privileged delete 状態は、snaplock options コマンドを使用して on、off、 disallowed のいずれかに移行できます。 注: SnapLock Enterprise ボリュームの privileged delete の状態を disallowed に移行すると、 snaplock options コマンドを実行して再度状態を変更することはできません。 ボリュームの SnapMirror 関係については、ソース ボリュームの privileged delete オプションの状 態がデスティネーション ボリュームに透過的に転送されます。 disallowed 状態の SnapLock Enterprise ボリュームが Volume SnapMirror のデスティネーションであり、vsm transfer、vol copy、または aggr copy コマンドを実行してソース ボリュームからデータを転送すると、 SnapLock Enterprise ボリュームの privileged delete の状態は disallowed からソース ボリューム の privileged delete の状態に移行します。 SnapLock の privileged delete 機能は、Data ONTAP 7.3 リリース ファミリーの Data ONTAP 7.3.1 以降から導入された機能で、それ以前のリリースでは使用できません。 Data ONTAP 7.3 より前の リリースにリバートした場合、SnapLock Enterprise ボリュームの privileged delete の状態は維持さ れます。 システムを Data ONTAP 7.3 以降に再度アップグレードすると、SnapLock Enterprise ボリ ュームについて保存されていた privileged delete の状態が、保存されていたボリュームのメタデー タからリストアされます。 privileged delete 機能とは | 37 privileged delete 機能の制限事項 privileged delete 機能には、保持期間を経過したファイルは削除できない、SnapLock Compliance ボリュームでは privileged delete 機能を使用できないなどの一定の制限があります。 • • • • • • privileged delete 機能は SnapLock Compliance ボリュームでは使用できません。 保持期間を経過したファイルは、privileged delete 機能を使用して削除できません。 代替データ ストリームは WORM 状態にコミットできないため、代替データ ストリーム上で privileged delete 処理は実行できません。 privileged delete 機能は、NFS や CIFS などの標準プロトコルからは使用できません。 独自の コマンドライン インターフェイスでのみ使用できます。 vFiler ユニットでは、privileged delete 処理はサポートされていません。 privileged delete は、デ フォルトの vFiler ユニット(vFiler0)が所有するボリュームでのみ実行できます。 SnapLock Enterprise ボリュームに対して privileged delete 機能が on に設定されている場合 は、デフォルトの vFiler ユニットからその他の vFiler ユニットへボリュームの移動はできませ ん。 ストレージ システムへのセキュアな接続の確保 privileged delete 機能を使用して作業を開始する前に、セッションがセキュアで SSH セッションおよ び Telnet セッションが独立していることを確認する必要があります。 手順 1. SSH セッションおよび Telnet セッションが他のセッションから切り離されていることを確認するに は、次の手順を実行します。 a) ログイン時に telnet.distinct.enable オプションが off に設定されている場合、この オプションを on に設定します。 例 options telnet.distinct.enable on b) ログアウトし、再度ログインします。 これにより、telnet.distinct.enable オプションが 有効になります。 38 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド privileged delete 機能の有効化 privileged delete 機能を使用するには、SnapLock Enterprise ボリューム内でその機能を有効化す る必要があります。 開始する前に ボリューム内で privileged delete 機能を有効化する前に、SnapLock ログ ボリュームを設定する必 要があります。 手順 1. SnapLock ログ ボリュームを設定するには、次のコマンドを入力します。 snaplock log volume volume_name ログ ボリュームの種類は、SnapLock Compliance ボリュームである必要があります。 2. privileged delete 機能を SnapLock Enterprise ボリューム内で有効化するには、次のコマンドを 入力します。 snaplock options volume_name privdel on privileged delete 機能の無効化または禁止 ボリュームの privileged delete 機能は、無効化(オフにする)または禁止(完全に削除)できます。 ボリュームの privileged delete 機能を禁止するためには、先にこの機能を無効にしておく必要があ ります。 手順 1. SnapLock ボリュームの privileged delete 機能を無効にするか禁止するかに応じて、該当する 操作を行います。 状況 操作 privileged delete 機能を 次のコマンドを入力します。 無効にする snaplock options -f volume-name privdel off privileged delete 機能とは | 39 状況 操作 ボリューム内の privileged delete 機能を無効にしてから次のコマンドを入力します。 privileged delete 機能を snaplock options -f volume-name -f privdel disallowed 禁止する 注意: disallowed オプションを指定すると、ボリュームから privileged delete 機能が削除されます。 したがって、ボリュームの privileged delete の 状態を disallowed に変更すると、そのボリューム内で privileged delete 処理を実行できなくなります。 privileged delete を使用した WORM ファイルの削除 privileged delete 機能を使用して、SnapLock Enterprise ボリューム内の有効期限に達していない WORM ファイルを削除できます。 この機能は、SnapLock Enterprise ボリュームに対してのみサポ ートされています。 手順 1. 次のコマンドを使用して、SnapLock ログ ボリュームを設定します。 snaplock log volume volume-name volume-name は、SnapLock ロギングで使用する SnapLock Compliance ボリュームの名前で す。 2. 次のコマンドを使用して、SnapLock Enterprise ボリューム内に、保持期間が 30 年(例)のファイ ルを作成します。 touch -a -t [[CC]YY]MMDDhhmm[.ss] filename 例 touch -a -t 203811210600 document.txt document.txt ファイルの保持期間が 30 年に設定されます。 3. 次のコマンドを使用して、SnapLock Enterprise ボリュームで privileged delete 機能を有効にしま す。 snaplock options volume-name privdel on 4. 次のコマンドを使用して、コンプライアンス権限を持つユーザを作成します。 useradmin user add user_name -g "Compliance Administrators" user_name は新規ユーザのユーザ名です。 注: Compliance Administrators グループにユーザを割り当てる場合は、 telnet.distinct.enable オプションが on に設定されていることを確認します。 5. SSH セッションにログインして、次のコマンドを使用してファイルを削除します。 40 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド snaplock privdel [-f] path -f フラグを指定すると、ユーザに対話型の確認を求めることなく、コマンドの処理が実行されま す。 注: privileged delete 処理を実行できるのは、権限のあるユーザだけです。 ユーザは 「Compliance Administrators」グループに属している必要があります。 6. この削除処理についてログ エントリを確認します。 privileged delete がミラーリング操作に及ぼす影響 SnapMirror を使用すれば、WORM 以外のボリュームや別の SnapLock Enterprise ボリュームに SnapLock Enterprise ボリュームをレプリケートできます。 privileged delete が SnapLock Enterprise ソース ボリューム内で有効になっており、デスティネーシ ョンも SnapLock Enterprise ボリュームである場合、privileged delete 状態の転送は使用するミラー リングのタイプに依存します。 privileged delete 機能をデスティネーションで使用するには、 SnapMirror 関係を解除し、デスティネーション ボリュームを書き込み可能にする必要があります。 Volume SnapMirror 関係の場合、ソース ボリュームおよびデスティネーション ボリュームのタイプ に関係なく、ソース ボリュームの privileged delete 状態は Volume SnapMirror デスティネーション ボリュームへ透過的に転送されます。 SnapLock Enterprise ボリュームおよび通常のボリュームの 初期状態は uninitialized です。SnapLock Compliance ボリュームの初期状態は disallowed です。 このタイプのミラーリングでは、最終デスティネーションにおける privileged delete 機能の状 態はソース ボリュームの状態と同じです。 qtree SnapMirror 関係の場合、ソースの privileged delete 状態はデスティネーションに転送されま せん。 注: レプリケートされた SnapLock Enterprise ボリュームに関連したすべての privileged delete 処 理に関する情報を完全に保つため、SnapMirror デスティネーションへログ ボリュームを個別に レプリケートする必要があります。 privileged delete 機能を使用する場合の考慮事項 RLM 接続、コンソール接続、Secure Shell(SSH)接続を経由して privileged delete 操作を実行でき ます。 ただし、考慮すべき問題がいくつかあります。 RLM およびコンソールを使用する際には、次の考慮事項に留意してください。 • • RLM とコンソール両方のセッションがアクティブである場合、privileged delete 操作を実行でき ません。 以前に RLM とコンソールでログイン セッションを共有した場合、privileged delete 操作を実行 できません。 SnapLock ロギングとは | 41 SnapLock ロギングとは SnapLock ロギングとは、SnapLock イベントをロギングするためのインフラです。 SnapLock イベン トは、SnapLock ログ ファイルに記録されます。 SnapLock ログ ファイルのプロパティを次に示します。 • • ログ ファイルは改ざんから保護されています。 ログ ファイルは外部アプリケーションから書き 込むことはできません。 SnapLock ログ ファイルは、SnapLock Compliance ボリュームに格納されている WORM ファイ ルです。 SnapLock ロギングでは、保持期間が期限切れになるまではログ ファイルを削除できません。 SnapLock ログ ファイルの保持期間は、ロギングされたイベントから導き出されます。 ログ ファイル の最小およびデフォルトの保持期間は 6 カ月です。 デフォルトの保持期間は、 snaplock.log.default_retention オプションを使用して確認できます。 ログ ファイルに新しいレコードが追加されると、ログ ファイルの保持期間が変更されます。 ログ フ ァイルの保持期間が、ファイルにロギングされた新しいイベントの保持期間と比較されます。 ロギ ングされたイベントの保持期間の方が長い場合、ログ ファイルの保持期間はロギングされたイベ ントの保持期間に変更されます。 privileged delete レコードの場合、保持期間は削除されたファイルから導き出されます。 その他の イベント(コンプライアンス ユーザの追加または削除、privileged delete 機能の有効化または無効 化、ログ ボリュームの変更)の場合、保持期間は snaplock.log.default_retention オプショ ンで得られる値と同じになります。 SnapLock ロギングは、あらゆる監査またはログに使用できます。 SnapLock ロギングは、 privileged delete 処理にも役立ちます。 関連コンセプト privileged delete 機能とは(35 ページ) SnapLock ログ ファイルの種類 SnapLock ログ ファイルには、system_log および priv_delete の 2 種類があります。 system_log ファイルには、コンプライアンス ユーザの追加や SnapLock ログ ボリュームに対する 変更など、システムに関連する SnapLock イベントが記録されます。 priv_delete ログ ファイルには、SnapLock ファイルで実行された privileged delete 処理が記録さ れます。 SnapLock ログ ファイルの名前には、次のパラメータが含まれています。 42 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド • • • ベース名(system_log または priv_delete) 開始日時(SnapLock ログ ファイルが作成された日時) 終了日時(SnapLock ログ ファイルがアーカイブされた場合のみ) ロギングに使用されているログ ファイルは、アクティブなログ ファイルと呼ばれます。 アクティブな ログ ファイルの名前には、終了日時は含まれていません。 含まれるのは開始日時だけです。 ま たアクティブなログ ファイルは、有効期限が過ぎても削除できません。 たとえば、priv_delete ログ ファイルには次のような名前が付けられます。priv_delete. 20080825_161858_GMT-20080826_121346_GMT system_log ファイルには次のような名前が付けられます。system_log. 20080825_161858_GMT-20080826_121346_GMT アクティブな system_log ファイルには次のような名前が付けられます。system_log. 20080909_131521_GMT-present SnapLock ログ ファイルの内容 期限切れ前の SnapLock ファイルが削除されると、ログ ファイル内にエントリが作成されます。 ロ グ ファイルには、 SnapLock ファイルに関するすべての情報が記録されます。 このログ レコードは監査の際に役立ちます。ログ エントリが、削除されたファイルの証拠になるか らです。 削除された SnapLock ファイルの有効期限が SnapLock ログ ファイルの有効期限よりも長 い場合には、削除された ログ ファイルの有効期限が SnapLock ファイルの有効期限まで自動的に 延長されます。 これにより、ファイル削除のログ レコードは少なくとも削除されたファイルの有効期 限までは保持されます。 SnapLock Compliance ボリュームに SnapLock ログ ファイルが保存され ます。 SnapLock ログ ファイルには次のイベントが記録されます。 • • • • • • snaplock.log.volume.changed snaplock.pre.privileged.delete snaplock.post.privileged.delete snaplock.pre.option.privileged.delete snaplock.post.option.privileged.delete snaplock.user.added.deleted すべてのイベントについて、次のログ エントリが記録されます。 • • • • • LogEntry date(システム日付) SCCdate(システム ComplianceClock の日付) VCCdate(ボリューム ComplianceClock の日付) node(システム名) vFilerName SnapLock ロギングとは | 43 • • vFilerUUID LogVersion privileged delete 機能を使用すると、ファイルが削除される直前に snaplock.pre.privileged.delete ログ エントリが記録され、ファイルが削除された直後に snaplock.post.privileged.delete ログ エントリが記録されます。 次表に、ベースネームが priv_delete である SnapLock ログ ファイルに snaplock.pre.privileged.delete および snaplock.post.privileged.delete イベントについて記録されるフィールドを示します。 フィールド イベント 説明 sequence_number snaplock.pre.privileged.delete およ シーケンス番号は、 び snaplock.post.privileged.delete snaplock.pre.privileged .delete ログ エントリと について記録されます。 snaplock.post.privilege d.delete ログ エントリを関 連付けます。 file_pathname snaplock.pre.privileged.delete およ privileged delete 処理が実行 び snaplock.post.privileged.delete されるファイルのフル パス。 の両方について記録されます。 file_expires snaplock.pre.privileged.delete およ ファイルの有効期限。 び snaplock.post.privileged.delete の両方について記録されます。 file_fingerprint snaplock.pre.privileged.delete およ ファイルのメタデータとコンテ び snaplock.post.privileged.delete ンツのセキュアなハッシュを の両方について記録されます。 client_user 使用した、XML 形式のフィン ガープリント。 snaplock.pre.privileged.delete およ 処理を実行するクライアント び snaplock.post.privileged.delete のユーザ名。 の両方について記録されます。 client_ip_address snaplock.pre.privileged.delete およ 削除処理を実行するクライア び snaplock.post.privileged.delete ントの IP アドレス。 の両方について記録されます。 注: このフィールドは、 client_transport が CONSOLE である場合は 無効です。 44 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド フィールド イベント client_transport snaplock.pre.privileged.delete およ クライアント要求で使用された び snaplock.post.privileged.delete 転送方法。 次のいずれかの の両方について記録されます。 説明 値を指定できます。 • • • SSH HTTPS CONSOLE 注: client_ip_address フ ィールドは、このフィー ルドの値が 「CONSOLE」である場 合には無効です。 result snaplock.post.privileged.delete に ついてのみ記録されます 削除処理の成功または失敗 を示します。 snaplock.pre.option.privileged.delete ログ エントリは、ボリューム上で privileged delete オプションが変更される直前に記録され、 snaplock.post.option.privileged.delete ログ エントリは、ボリューム上で privileged delete オプションが変更された直後に記録されます。 次表 に、ベースネームが priv_delete である SnapLock ログ ファイルに、 snaplock.pre.option.privileged.delete および snaplock.post.option.privileged.delete イベントについて記録されるフィールドを示しま す。 フィールド イベント 説明 sequence_number snaplock.pre.option.privileged.del シーケンス番号は、 snaplock.pre.option.pri ete および snaplock.post.option.privileged.de vileged.delete ログ エント リと lete の両方について記録されます。 snaplock.post.option.pr ivileged.delete ログ エン トリを関連付けます。 volume snaplock.pre.option.privileged.del SnapLock ボリュームの名前。 ete および snaplock.post.option.privileged.de lete の両方について記録されます。 SnapLock ロギングとは | 45 フィールド イベント 説明 changed_from snaplock.pre.option.privileged.del 変更前のオプションの値。 ete および snaplock.post.option.privileged.de lete の両方について記録されます。 changed_to snaplock.pre.option.privileged.del 変更後のオプションの値。 ete および snaplock.post.option.privileged.de lete の両方について記録されます。 result snaplock.post.option.privileged.de オプション変更処理の成功ま たは失敗を示します。 lete について記録されます。 次表に、ベースネームが system_log である SnapLock ログ ファイルに snaplock.user.added.deleted イベントについて記録されるフィールドを示します。 フィールド 説明 whodidit コンプライアンス グループを変更したユーザの 名前。 username グループで追加または削除されたユーザの名 前。 action ユーザがコンプライアンス グループに対して追 加されたのか削除されたのかを示します。 「added」または「deleted」のいずれかです。 次表に、ベースネームが system_log である SnapLock ログ ファイルに snaplock.log.volume.changed イベントについて記録されるフィールドを示します。 フィールド 説明 old_log_volume 元のログ ボリュームの名前。 new_log_volume 新しいログ ボリュームの名前。 SnapLock ロギングの利点 SnapLock ロギングには次のような利点があります。 • SnapLock ロギングでは、WORM ファイルに影響する privileged delete 処理がすべてログに記 録されます。 46 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド • • • • SnapLock ログは、SnapLock Compliance ボリュームにあります。 したがって、保持期間が切れ るまではログ ファイルを削除することはできません。 ログ ファイルの保持期間は延長はできま すが、短縮はできません。 ログ ファイルは改ざんから保護されています。 外部アプリケーションが SnapLock ファイルに書 き込むことはできません。 SnapLock ログ ファイルにはバージョン番号が含まれているため、リリースが異なる Data ONTAP のログ ファイルおよびログ レコード間の互換性を確認できます。 SnapLock ログ ファイルは XML パーサーで解析できます。 SnapLock ロギングの制限事項 SnapLock ロギングには一定の制限事項があります。 • • • • • SnapLock ロギングは、ログ ボリュームに十分なスペースがないと失敗します。 SnapLock ロギングは、必要なライセンスがインストールされていないと失敗します。 ログ ボリ ュームは SnapLock Compliance ボリュームであるため、SnapLock Compliance ライセンスをイ ンストールする必要があります。 SnapLock ロギングは、ロギングに使用されるボリュームを利用できない(オフラインか、または 存在しない)と失敗します。 SnapLock ログ ボリュームを、デフォルトの vFiler ユニットから別の vFiler ユニットへ移動するこ とはできません。 SnapLock ロギングで NTFS または mixed セキュリティ形式を使用する場合は、ストレージ シス テムを Data ONTAP 7.3.2 以降にアップグレードする必要があります。 その場合は、必ず HA ペアの両方のノードを Data ONTAP 7.3.2 以降にアップグレードしてください。 そうすることで、 テイクオーバー中も SnapLock ロギング処理が正常に実行されます。 SnapLock ログ ボリュームの割り当て SnapLock ログ ボリュームを割り当てると、そのボリューム内に system_log ファイルが作成され ます。 system_log ファイルには、コンプライアンス ユーザの追加や SnapLock ログ ボリュームの 変更など、システムに関連する SnapLock イベントが格納されます。 開始する前に SnapLock Compliance ライセンスおよび SnapLock Compliance ボリュームが必要です。 手順 1. 既存のボリュームを確認するには、次のコマンドを入力します。 vol status このコマンドを実行すると、すべてのボリュームが一覧表示されます。 SnapLock Compliance ボリュームを選択する必要があります。 SnapLock ロギングとは | 47 2. システム内の SnapLock ログ ボリュームを一覧表示するには、次のコマンドを入力します。 snaplock log volume このコマンドを実行すると、現在の SnapLock ログ ボリュームの名前が表示されます。 3. SnapLock ログ ボリュームを別のボリュームに設定するには、次のコマンドを入力します。 snaplock log volume -f worm_log_volume worm_log_volume はログ ボリュームの名前です。 ストレージ システム内の任意の SnapLock Compliance ボリュームをログ ボリュームとして割り当てることができます。 例 snaplock log volume -f logvol logvol は、設定する SnapLock ログ ボリュームの名前です。 注: -f オプションを指定すると、SnapLock ログ ボリュームが強制的に変更されます。 4. ボリューム内のアクティブなログ ファイルすべてのログ ステータスを確認するには、次のコマン ドを入力します。 snaplock log status worm_log_volume 例 snaplock log status logvol logvol は、SnapLock ログ ボリュームの名前です。 ログ ファイルのアーカイブの仕組み ログ ファイルは自動的にまたは手動でアーカイブできます。 ログは、ログ ファイルのサイズが snaplock.log.maximum_size オプションで指定されたサイズを超えると自動的にアーカイブさ れます。 ログ ファイルは手動でアーカイブすることもできます。 手動アーカイブは、特定のファイルの privileged delete ログ レコードを別個に保持する場合などに必要となります。 snaplock log archive コマンドを使用して新しいログ ファイルを作成し、privileged delete を実行し、その後ログ ファイルを再度アーカイブできます。 48 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド ログ ファイルのアーカイブ ボリューム内の 1 つのアクティブなログ ファイルまたはすべてのアクティブなログ ファイルをアーカ イブできます。 手順 1. ログ ファイルの最大許容サイズを確認するには、次のコマンドを入力します。 options snaplock.log.maximum_size 2. ファイルをアーカイブするには、次のコマンドを入力します。 snaplock log archive vol [basename] vol は、アクティブな SnapLock ログ ファイルが含まれている SnapLock ボリュームの名前で す。 basename は、アーカイブの必要があるログ ファイルのベース名です。 現在あるのは、 system_log および priv_delete の 2 つのログ ファイルだけです。 ベース名を指定しない場 合は、SnapLock ボリューム内のアクティブなログ ファイルがすべてアーカイブされます。 注: アーカイブ処理が失敗した場合、snaplock log status コマンドは次のエラー メッセー ジを表示します。 Log files on volume are inconsistent. Use snaplock log archive command or change the log volume. SnapLock ログ ファイルのステータス確認 ボリューム内の単一のアクティブな SnapLock ログ ファイルまたはすべてのログ ファイルのステー タスを確認できます。 手順 1. SnapLock ログ ファイルのステータスを確認するには、次のコマンドを入力します。 snaplock log status vol [basename] vol は、アクティブな SnapLock ファイルが含まれる SnapLock ボリュームの名前です。 basename は、ステータスを確認するログ ファイルのベース名です。 タスクの結果 snaplock log status コマンドを実行すると、次の情報が表示されます。 SnapLock ロギングとは | 49 • • ログ ボリュームの名前 ログ ファイルの合計:コマンドはボリューム内のアクティブな SnapLock ログ ファイルの数を表 示します。 アクティブな SnapLock ログ ファイルごとに次の情報が表示されます。 • • • • • ベース名 完全なパス 有効期限 サイズ SnapLock エラー snaplock log status コマンドの出力例を次に示します。 system_a> snaplock log status vol_slc Log Volume Name : vol_slc, Total active logfiles in volume : 2 -------------------------------------------------------------------Basename: system_log Complete_path: /vol/vol_slc/system_log.20090330_152241_GMT-present Expiry: Wed Sep 30 15:22:41 GMT 2009 Size: 503 Basename: priv_delete Complete_path: /vol/vol_slc/priv_delete.20090330_152915_GMT-present Expiry: Wed Sep 30 15:29:15 GMT 2009 Size: 104KB SnapLock ロギングのアップグレードおよびリバートに関する考慮事 項 SnapLock ロギング機能がサポートされている Data ONTAP 7.3.1 以降にアップグレードすると、こ の機能で必要な、設定可能なオプションとコマンドを使用できるようになります。 SnapLock ロギング機能がサポートされていないリリースにリバートすると、アクティブなすべての SnapLock ログ ファイルがアーカイブされます。 SnapLock ログ ファイルは WORM 状態にコミットさ れ、単純な WORM ファイルとなります。 シーケンス番号など、アクティブなログ ファイルに関する すべての状態情報は失われます。 すでに存在する SnapLock ログ ファイルは、変更や削除から 保護されます。 既存のすべての WORM ファイルは、ファイルの有効期限まで保持されます。 50 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド Data ONTAP による SnapLock ボリューム内で削除さ れたファイルの追跡方法 Data ONTAP は、SnapLock Compliance ボリュームにある WORM ファイルの保持ステータスを常 時追跡しています。 これにより、ボリューム内の WORM ファイルのステータスに応じて SnapLock Compliance ボリュームを削除できます。 ボリュームに期限切れ前の WORM ファイルがまったくな い場合は、SnapLock Compliance ボリュームを削除できます。 注: 管理者は SnapLock Enterprise ボリュームをいつでも削除できます。 SnapLock ボリュームの削除 ボリュームを削除する場合は、先に SnapLock ボリュームおよび WORM ファイルのステータスを 確認する必要があります。 開始する前に 期限切れ前の WORM ファイルがボリュームに含まれていないことを確認します。 SnapLock ボリ ュームに期限切れ前の WORM ファイルが含まれていると、Data ONTAP ではそのボリュームを削 除できません。 vol destroy コマンドでボリュームを削除できないことを示すメッセージが表示さ れます。 手順 1. 次のコマンドを入力してボリュームをオフラインにします。 vol offline vol_name 2. SnapLock ボリュームを削除するには、次のコマンドを入力します。 vol destroy vol_name SnapLock Compliance ボリュームを削除できなかった場合、ボリュームはオフラインのままで す。 その場合は、vol online vol_name コマンドを実行して、ボリュームをすぐにオンライン にする必要があります。 アグリゲートの削除 アグリゲートはオフラインにして削除する必要があります。 フレキシブル ボリュームを含まない SnapLock アグリゲートのみオフラインにできます。 アグリゲートを削除する前に、アグリゲートに含 Data ONTAP による SnapLock ボリューム内で削除されたファイルの追跡方法 | 51 まれるフレキシブル ボリュームを削除する必要があります。 これは SnapLock アグリゲート内のす べてのフレキシブル ボリュームに当てはまります。 手順 1. vol destroy コマンドを使用して、削除したいアグリゲート内に含まれるすべてのフレキシブ ル ボリュームを削除します。 2. アグリゲートをオフラインにするには、次のコマンドを入力します。 aggr offline aggr_name aggr_name は、削除するアグリゲートの名前で、そのディスクをホット スペアに変更します。 3. 次のコマンドを入力し、アグリゲートを削除します。 aggr destroy aggr_name aggr_name は、削除するアグリゲートの名前で、そのディスクをホット スペアに変更します。 52 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド SnapLock でのフィンガープリントの使用方法 フィンガープリントはデータの整合性を確認するのに役立ちます。 フィンガープリント処理では、 MD5 または SHA-256 のいずれかのハッシュ アルゴリズムを使用し、ファイル単位でフィンガープ リントを生成できます。 フィンガープリントは、移行前のデータ セットの位置を特定し、移行前後のデータを比較します。 さ らに、フィンガープリント機能はログ追跡を可能にし、ロギング機能を拡張します。 たとえば、privileged delete 機能には、削除されていないファイルと削除されて同じ名前および内容 の新規ファイルで置き換えられたファイルとの違いを明確にする機能(クラッシュ発生時に)が必要 です。 フィンガープリントは、WORM データ ファイルと WORM 以外のデータ ファイルの両方に作成でき ます。 フィンガープリントを XML 形式で生成し、XML ブラウザを使用して表示できます。 SnapLock フィンガープリント処理は、次のアルゴリズムをサポートしています。 • • MD5 SHA-256 デフォルトでは、SnapLock は SHA-256 アルゴリズムを使用します。 フィンガープリントの計算方法 フィンガープリントはファイル データおよびファイル メタデータに基づいて計算されます。 • • ファイル データ:ファイルの内容 ファイル メタデータ: • • • • • • • • • ファイル タイプ ファイル フラグ ファイル サイズ ファイルのユーザ ID ファイルのグループ ID ファイルの変更日時(inode が変更された日時) ファイルの更新日時 ファイルの作成日時 ファイルの保持時間 SnapLock でのフィンガープリントの使用方法 | 53 フィンガープリント処理の入力パラメータ フィンガープリント処理の入力パラメータを指定する必要があります。これには、パス、アルゴリズ ム、フィンガープリント処理の対象範囲が含まれます。 次の表に入力パラメータを示します。 入力パラメータ 説明 パス フィンガープリントを計算するファイルのパスです。 フィンガープリント フィンガープリント計算の対象範囲です。 次のいずれかの値を指定できま の対象範囲 す。 • • • データ:ファイルのデータのみで計算 メタデータ:メタデータのみで計算 データとメタデータ:ファイルのデータとメタデータで計算 フィンガープリント フィンガープリント計算に使用するアルゴリズムは次の通りです。 アルゴリズム • MD5(ハッシュ アルゴリズム) • SHA-256(ハッシュ アルゴリズム) ファイルのフィンガープリントの計算 file fingerprint コマンドを使用して、ファイルのフィンガープリントを作成できます。 手順 1. フィンガープリント処理を実行するには、次のコマンドを入力します。 file fingerprint [-a {MD5|SHA-256}] [-m] [-d] [-x] path -a は、フィンガープリント計算のアルゴリズムを指定します。 MD5 または SHA-256 を指定で きます。 デフォルトでは、SHA-256 アルゴリズムをファイルのフィンガープリント処理に使用しま す。 -m は、メタデータのフィンガープリント計算を指定します。 -d は、データのフィンガープリント計算を指定します。 デフォルトでは、フィンガープリントはデ ータとメタデータの両方に対して計算されます。 -x は、出力を XML 形式で表示します。 path は、フィンガープリント処理が必要なファイルのパスです。 54 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド 例: 通常の出力を表示するには、次のコマンドを入力します。 file fingerprint -a MD5 -m -d /vol/vol_worm/myfile XML 形式の出力を表示するには、-x をコマンドに追加します。 file fingerprint -a MD5 -m -d -x /vol/vol_worm/myfile フィンガープリント処理の出力パラメータ フィンガープリント処理では、フィンガープリント処理に関する一般的な情報、ボリューム情報、ファ イル情報、システム情報など、ファイルに関する出力パラメータを取得できます。 フィンガープリン • ト処理に関する • 一般的な情報 • • • • システ ム情報 • • • • • ボリュ ーム情 報 • • • • • • Fingerprint algorithm:フィンガープリント処理に使用されたアルゴリズム。 File fingerprint scope:入力パラメータに指定されたスコープ。 data か metadata、またはその両方(data および metadata)です。 File fingerprint version:ファイル フィンガープリントのバージョン。 Data ONTAP では現在バージョン 2 が使用されています。 File fingerprint start and stop time:ファイル フィンガープリント計算の開始お よび停止時刻。 フィンガープリントの開始および停止時刻の読み取り可能な形式。 Path:ファイル フィンガープリント計算が実行されたファイルのパス。 FilerID:ストレージ システムの NVRAM ID。 Filer-name:ストレージ システムの名前。 SnapLock license:SnapLock ライセンスの種類(SnapLock Compliance または SnapLock Enterprise)。 snaplock-system-compliance-clock:システム ComplianceClock 時間。 システム ComplianceClock 時間の読み取り可能な形式。 Volume name:ファイルが属するボリュームの名前。 Volume-uuid:ボリュームの Universal Unique Identifier(UUID)。 Volume type:ボリュームのタイプ(トラディショナルまたはフレキシブル)。 volume-containing-aggregate:フレキシブル ボリュームの場合、包含アグリゲートの 名前。 Aggregate uuid:フレキシブル ボリュームの場合、アグリゲートの UUID。 SnapLock-volume-type:SnapLock ボリュームのタイプ。 この情報は SnapLock ボリ ュームの場合のみ出力されます。 値は compliance または enterprise です。 SnapLock でのフィンガープリントの使用方法 | 55 • • • • • ファイ • ル情報 • • • • • • • • • snaplock-volume-compliance-clock:ボリューム ComplianceClock 時間。 Volume expiry date:ボリュームの有効期限。 Fsid:ファイルのファイル システム ID。 is-volume-expiry-date-wraparound:volume-expiry-date がラップアラウンド形式 であることを示します。 ラップアラウンド形式は、2038 年 1 月 19 日よりあとの日付 が 1970/01/01 - 2002/12/31 から 2038/01/19 - 2071/01/19 にマッピングされる形式で す。 このフィールドは、volume-expiry-date が file-fingerprint 出力に含まれる場 合にのみ出力されます。 また、SnapLock ボリュームに対してのみ出力されます。 formatted-volume-expiry-date:SnapLock ボリュームの有効期限が、GMT タイムゾ ーンの day month date hour: minutes: second year 形式であることを示します。 infinite という値は、ボリュームの有効期限が無期限であることを示します。 scan_is_pending_or_in_progress という値は、ボリューム上で WORM スキャ ンが進行中または保留中であるために有効期限が表示されないことを示します。 no_expiry_date という値は、SnapLock ボリュームに WORM ファイルおよび WORM Snapshot コピーがないために有効期限が表示されないことを示します。 こ のフィールドは、ボリュームがオフラインである場合、またはボリュームが SnapLock ボリュームでない場合には出力されません。 Path:フィンガープリント処理が実行されたファイルのパス。 Fileid:ファイル システム内でのファイルの一意な ID。 File type:ファイルのタイプ。WORM、追記可能 WORM、WORM ログ、非 SnapLock ファイルなどです。 File size:ファイルのサイズ(バイト)。 creation time:標準の UNIX 形式で示されるファイルの作成時刻(秒)。 ファイル作成 時にシステム クロックから取得された時刻です。 Formatted-creation-time:判読可能な形式 day month date hour: minutes:seconds year (GMT タイムゾーン)で示される、ファイルの作成時刻。 Modified time:標準の UNIX 形式で示されるファイルの最終変更時刻(秒)。 ファイ ルの最終変更時にシステム クロックから取得された時刻です。 Formatted-modified-time:判読可能な形式 day month date hour: minutes: seconds year(GMT タイムゾーン)で示される、ファイルの最終変更時刻。 Changed-time:標準の UNIX 形式で示される、ファイル属性の最終変更時刻(秒)。 WORM ファイルの場合、ファイル属性の最終変更時刻はファイルが WORM 状態に コミットされた時刻になります。 WORM 状態にコミットされたときにボリューム ComplianceClock から取得された時刻です。 is-changed-time-wraparound:このパラメータは、「changed-time」の日付がラップアラ ウンド形式である場合には True と表示されます。 ラップアラウンド形式は、 2038/01/19-2071/01/19 の日付が 1970/01/01-2002/12/31 にマッピングされる形式で す。 56 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド • • • • • • • • • Formatted change time:判読可能な形式 day month date hour: minutes: seconds year (GMT タイムゾーン)で示される、ファイルの最終変更時刻。 Retention time:標準の UNIX 形式で示される、ファイルの保持期間(秒)。 このフィ ールドは、通常のファイル、SnapLock 以外のボリューム上のファイル、保持期間が 無期限であるファイルについては表示されません。 フラグ is-wraparound は、保 持期間がラップアラウンド形式であることを示します。 ボリューム ComplianceClock を参照時間として計算されます。 is-wraparound:retention-time として表された日付がラップアラウンド形式である場合 には True と表示されます。 ラップアラウンド形式は、2038/01/19-2071/01/19 の範囲 の日付が 1970/01/01-2002/12/31 にマッピングされる形式です。 Formatted-retention-time:判読可能な形式の WORM ファイルの有効期限。 ラップア ラウンド形式の日付について、ファイルの有効期限を day month date hour: minutes: seconds year(GMT タイムゾーン)の形式で出力します。 infinite という値は、ファ イルの保持期間が無期限であることを示します。 このフィールドは、通常のファイ ル、および SnapLock 以外のボリューム上のファイルの場合は出力されません。 Owner ID:ファイルの所有者の ID。 Group ID:ファイルのグループ ID。 Data fingerprint:ファイル データに対して算出されたフィンガープリントの文字列形 式。 選択されたスコープがデータにまたはデータおよびメタデータの両方の場合に 有効になります。 Metadata fingerprint:ファイル メタデータに対して算出されたフィンガープリントの文 字列形式。 選択されたスコープがデータだけの場合は無効です。 出力パラメータには、保持期間およびラップアラウンド情報も示されます。 このフィー ルドは WORM ファイルに対してのみ有効です。 注: • • ファイルのシンボリック リンクに対してはフィンガープリントの計算はできません。 現在、フィンガープリント処理は 1 つのファイルに対してのみ実行できます。 SnapLock と vFiler ユニットの連携 | 57 SnapLock と vFiler ユニットの連携 vFiler ユニットのルートが SnapLock ボリュームにある場合、SnapLock は vFiler ユニットの作成を 禁止します。 Data ONTAP 7.3.1 より前のリリースでは、vFiler ユニットは SnapLock ボリュームのルートを使用し て作成できます。 Data ONTAP 7.3.1 以降にアップグレードしても、これらの vFiler ユニットは引き 続き動作します。 ただし、vFiler ユニットを起動するとエラー メッセージが表示されます。 このエラ ー メッセージは、サポートされていない構成に関する警告を意図しています。 Data ONTAP 7.3.1 以降では、SnapVault が vFiler ユニットに対応しています。 SnapLock for SnapVault 機能は SnapLock ボリュームの SnapVault セカンダリを使用した SnapVault 構成である ため、vFiler ユニットでは次の SnapVault オプションも利用可能です。 • • snapvault.access snapvault.enable SnapLock ボリュームから SnapLock 以外のボリュームへの vFiler ユニットのルート作成 vFiler ユニットを SnapLock ボリュームから SnapLock 以外のボリュームへ移動することはできませ ん。 再作成できるのは vFiler ユニット以外のボリューム内の SnapLock(SnapLock ボリューム内と 同じ構成)のみです。 したがって、vFiler ユニットのルートが SnapLock ボリューム内に存在する状 況から回復するには、vFiler ユニット以外のボリューム内の SnapLock のルートを再作成する必要 があります。 手順 1. SnapLock 以外のボリューム内の vFiler ユニットを再作成するには、次のコマンドを入力しま す。 vfiler create vfilername -r path vfilername は、ルートが vFiler ユニット以外のボリューム内にある SnapLock です。 SnapLock 以外のボリュームにおける vFiler ユニットの再作成 次の例では、vFiler ユニット以外のボリュームにおいて SnapLock(SnapLock ボリューム内と 同じ構成)を再作成する方法を示します。 1. vFiler ユニットの vfiler1 を検討します。このユニットのルートは、SnapLock ボリューム sle0(/vol/sle0/etc)内に存在します。 /etc を sle0 から vfvol0 へコピーします。 vfvol0 は、SnapLock 以外のボリュームです。 58 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド 2. SnapLock ボリュームの名前を sle0 から sle0_temp に変更し、SnapLock 以外のボリュ ームの名前を vfvol0 から sle0 に変更します。 3. 次のコマンドを入力します。 vfiler create vfiler1 -r /vol/sle0 このコマンドは、/vol/sle0/etc(実際には SnapLock 以外のボリューム)にあるルート を使用して vFiler ユニットを再作成します。 4. SnapLock 以外のボリューム内で名前を sle0 から vfvol0 に変更し、SnapLock ボリュ ーム内で名前を temp_sle0 から sle0 に変更します。 vFiler ユニットの vfiler1 が作成され、ルート ディレクトリが SnapLock ボリューム内 の/vol/sle0/etc/から SnapLock 以外のボリューム内の/vol/vfvol0/etc/に変更 されます。 SnapLock ボリューム上の vFiler ユニットの制限事項 次に、SnapLock ボリューム上の vFiler ユニットに関する制限事項を示します。 • • • • • • • 新しい vFiler ユニットを SnapLock ボリューム上に作成することはできません。 snaplock clock status コマンド以外の SnapLock コマンドは、ルートの vFiler ユニットが所 有するボリュームに対してのみ機能します。 SnapLock ログ ボリュームは、デフォルトの vFiler ユニット(vfiler0)が完全に所有している必要 があります。 SnapLock ログ ボリュームは、デフォルト以外の vFiler ユニットへ移動できません。 privileged delete 処理は、デフォルトの vFiler ユニットが完全に所有していないボリューム上で は実行できません。 SnapLock Enterprise ボリュームで privdel オプションが on に設定されている場合には、この オプションを無効にしてから、ボリュームをデフォルト以外の vFiler ユニットに移動する必要が あります。 vFiler ユニットの移行では、移行しようとする vFiler ユニットに SnapLock Compliance ボリュー ムが含まれていると、vfiler migrate -m nocopy コマンドが失敗します。 SnapLock と HA 構成の連携 | 59 SnapLock と HA 構成の連携 HA 構成では、両方のノードで同じ Data ONTAP バージョンを実行する必要があります。 Data ONTAP 8.1 では、 HA 構成の 2 つのノードでそれぞれ独自のシステム ComplianceClock メ タデータが維持されます。 ただし、テイクオーバー中は、正常に稼働しているノードが障害が発生 したノードのシステム ComplianceClock メタデータを維持します。 正常に稼働しているノードは、両 方のノードのシステム ComplianceClock メタデータを更新します。 障害が発生したノードがリカバリされると、ギブバック中に、障害が発生したノードにシステム ComplianceClock の値が戻されます。 ギブバック後は、両方のノードでそれぞれのシステム ComplianceClock 値が更新されます。 60 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド SnapLock と MetroCluster の連携 ミラーされたアグリゲート上のすべてのボリュームと同様、SnapLock ボリュームは MetroCluster に より SnapLock の特性を保持したままで、あるサイトから別のサイトにミラーリングできます(サイト が適切に設定されたと仮定)。 ただし、SnapLock と MetroCluster の両方を同時に使用する予定の場合、『Data ONTAP 7-Mode ハイアベイラビリティ構成ガイド』の「MetroCluster と SnapLock ボリューム」の項を参照してくださ い。 SnapMirror による SnapLock ボリュームの保護 | 61 SnapMirror による SnapLock ボリュームの保護 SnapMirror 関係を使用して、SnapLock ボリューム上のバックアップを保護できます。 SnapMirror によって SnapLock Enterprise ボリューム上のバックアップを保護するには、SnapLock 以外のボリュームの場合と同じ手順に従います。 ただし、SnapMirror によって SnapLock Compliance ボリューム上のバックアップを保護している場 合は、snapmirror resync コマンドなどの一部の処理は使用できません。 これは、再同期化処 理によってデータが変更される可能性があり、コンプライアンス データの変更は原則的に禁止され ているためです。 SnapMirror 関係の設定方法については、『Data ONTAP データ保護:オンライン バックアップおよびリカバリ ガイド』を参照してください。 qtree SnapMirror 関係では、SnapLock Compliance ボリュームに対する qtree SnapMirror の再同 期化(snapmirror resync コマンドを使用)および SnapVault の再同期化(snapvault start -r コマンドを使用)が許可されています。 これは、Data ONTAP には、後日取得できるよう、再同 期化によって変更されたデータを格納するメカニズムが備わっているためです。 次の表に、resync オプションを使用できる SnapLock ボリュームを示します。 SnapLock Compliance のデステ SnapLock Enterprise のデス ィネーション ボリューム ティネーション ボリューム Qtree SnapMirror の再同 期化 可 可 Volume SnapMirror の再 同期化 不可 可 SnapLock qtree SnapMirror 再同期化の制限事項 Data ONTAP 7.2.5.1 以降では、制限の少ない qtree から SnapLock Compliance qtree にボリュー ムをミラーリングするために qtree SnapMirror を再同期化することはできません。 ソースが非 SnapLock qtree か SnapLock Enterprise qtree で、デスティネーションが SnapLock Compliance qtree である場合には、再同期化は許可されません。 次の表に、すべての組み合わせと、再同期化の可否を示します。 SnapMirror 再同期化のソース SnapMirror 再同期化のデスティネーション 再同期化 SnapLock Compliance ボリューム 非 SnapLock ボリューム 可 SnapLock Enterprise ボリューム 非 SnapLock ボリューム 可 62 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド SnapMirror 再同期化のソース SnapMirror 再同期化のデスティネーション 再同期化 非 SnapLock ボリューム 非 SnapLock ボリューム 可 SnapLock Compliance ボリューム SnapLock Enterprise ボリューム 可 SnapLock Enterprise ボリューム SnapLock Enterprise ボリューム 可 非 SnapLock ボリューム SnapLock Enterprise ボリューム 可 SnapLock Compliance ボリューム SnapLock Compliance ボリューム 可 SnapLock Enterprise ボリューム SnapLock Compliance ボリューム 不可 非 SnapLock ボリューム SnapLock Compliance ボリューム 不可 また、SnapLock Compliance qtree 間の qtree SnapMirror の再同期化を可能にするためには、Data ONTAP 7.2.5.1 以降のリリースにアップグレードしてから関係を解除するまでの間に、SnapLock Compliance qtree のソースから SnapLock Compliance qtree のデスティネーションへの転送を少な くとも 1 回は行う必要があります。 アップグレード後に転送を行わなかった場合、再同期化は許可 されません。 ダンプ ファイルとは ダンプ ファイルは、snapmirror resync を開始して、SnapLock デスティネーション ボリュームと SnapLock ソース ボリュームを同期する際に作成されます。 ダンプ ファイルには、SnapLock 関係の解除後に変更されたファイルや SnapMirror デスティネーシ ョン ボリュームに追加されたファイルが含まれます。 データは、BSD ダンプ形式でダンプ ファイル に書き込まれます。 qtree SnapMirror 再同期化後のダンプ ファイルからのファイル抽 出 SnapLock Compliance のソース ボリュームとデスティネーション ボリューム間で qtree SnapMirror を再同期すると、デスティネーション qtree で作成された新規データはすべてダンプ ファイルにアー カイブされます。 これらのファイルはデスティネーション SnapLock Compliance ボリュームの次の ディレクトリに保存されます。/etc/logs/snapmirror_resync_archive/ volname_UUID_qtree イメージ ファイルとログ ファイルには、それぞれ dump_image_YYMMDD_HHMMSS および dump_log_YYMMDD_HHMMSS という名前が付けられます。 手順 1. SnapLock ボリューム内に temp という名前のディレクトリを作成します。 SnapMirror による SnapLock ボリュームの保護 | 63 2. このディレクトリにダンプ ファイルをコピーし、そのファイルに dumpfile という新規の名前を指 定します。 3. ダンプ ファイルに含まれるファイルを表示するには、次のコマンドを実行します。 restore -tf /vol/volume_name/temp/dumpfile 4. ダンプ ファイルに含まれるファイルを元の場所にリストアするには、次のコマンドを入力します。 restore -rfQ /vol/volume_name/temp/dumpfile 5. ダンプ ファイルに含まれるファイルを別の場所にリストアするには、次のコマンドを入力します restore -rfQD /vol/volume_name/temp/dumpfile /vol/volume_name/temp 使用する方法に関係なく、抽出されたファイルは元の SnapLock 状態になります。 SnapLock Compliance でエンドツーエンドの Volume SnapMirror 関係を設定する方法 SnapMirror を使用して、SnapLock Compliance ボリューム間でエンドツーエンドの関係を作成する には、ソースとデスティネーションの両方のボリュームを SnapLock Compliance ボリュームとして作 成する必要があります。さらに、snapmirror initialize コマンドを使用し、ミラーリング関係を 初期化します。 Volume SnapMirror 関係をトラディショナル ボリュームまたは FlexVol のどちらに 作成するかによって、使用する他のコマンドは異なります。 注: 2 つの SnapLock Compliance ボリューム間の Volume SnapMirror 関係では、ソース上の SnapLock ログ ボリュームのステータスが正確にデスティネーション ボリュームに転送されま す。 アクティブなログ ファイルは、デスティネーションでもアクティブのままです。 WORM ログの メタファイルもデスティネーションに複製され、デスティネーションのアクティブな WORM ログ フ ァイルを指定します。 したがって、移行前のソースにあった時と同じ状態から WORM ログ ファ イルを使用できます。 SnapMirror 関係の制限事項 SnapLock の SnapMirror 関係には一定の制限事項があります • • • • ソースが非 WORM ボリュームで、デスティネーションが SnapLock Compliance ボリュームであ る場合には、 SnapMirror 関係は許可されません。 ソースが SnapLock Enterprise ボリュームで、デスティネーションが SnapLock Compliance ボリ ュームである場合には、 SnapMirror 関係は許可されません。 デスティネーション ボリュームに期限切れになっていないファイルがある場合には、2 つの SnapLock Compliance ボリューム間のボリューム SnapMirror 関係は許可されません。 SnapLock Compliance ボリュームが SnapMirror 関係に属していて、 Snapshot コピーが SnapMirror によってロックされている場合には、SnapLock Compliance ボリューム上の Snapshot コピーを削除することはできません。 これは、 SnapLock Compliance ボリューム上の 64 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド • • ボリューム SnapMirror 関係のベース Snapshot コピーが誤って削除されないようにするためで す。 SnapLock Compliance ボリューム上でボリューム SnapMirror 関係を解除すると、二度と再確立 できません。 通常のボリュームから SnapLock ボリュームへの SnapMirror または vol copy 処理では、 SnapLock ボリュームで SnapLock 関連のすべてのボリューム オプションが解除され、 no_atime_update ボリューム オプションが on に設定されます。 FlexVol の Volume SnapMirror 関係の作成 FlexVol の Volume SnapMirror 関係を作成できます。 手順 1. SnapLock Compliance アグリゲートのソースを作成するには、次のコマンドを入力します。 aggr create aggr_name [-L [compliance|enterprise]] ndisks[@disksize] -L を指定して、SnapLock アグリゲートを作成します。 アグリゲートは、SnapLock Compliance アグリゲートでも SnapLock Enterprise アグリゲートでも問題ありません。 例 aggr create wormaggrsrc -L compliance 3 2. アグリゲートにボリュームを作成するには、次のコマンドを入力します。 vol create vol_name aggr_name size[k|m|g|t] 例 vol create src wormaggrsrc 20g 3. SnapLock Compliance アグリゲートのデスティネーションを作成するには、次のコマンドを入力 します。 aggr create aggr_name [-L [compliance|enterprise]] ndisks[@disksize] -L を指定して、SnapLock アグリゲートを作成します。 アグリゲートは、SnapLock Compliance アグリゲートでも SnapLock Enterprise アグリゲートでも問題ありません。 例 aggr create wormaggrdst -L compliance 3 4. アグリゲートにボリュームを作成するには、次のコマンドを入力します。 vol create vol_name aggr-name size[k|m|g|t] SnapMirror による SnapLock ボリュームの保護 | 65 例 vol create dst wormaggrdst 20g 5. デスティネーション システムで、vol restrict コマンドを使用してボリュームを制限します。 vol restrict vol_name 例 vol restrict dst 6. ソースとデスティネーション間の SnapMirror 関係を初期化するには、次のコマンドを入力しま す。 snapmirror initialize -S src_system:src_vol dst_system:dst_vol src_system は、ソース システムの名前です。 src_vol は、コピーするボリュームです。 dst_system は、デスティネーション システムの名前です。 dst_vol は、デスティネーション ボリュームです。 例 snapmirror initialize -S src dst snapmirror initialize コマンドは、ソース ボリューム src とデスティネーション ボリューム dst 間の SnapMirror 関係を初期化します。 トラディショナル ボリュームの Volume SnapMirror 関係の作成 トラディショナル ボリュームの Volume SnapMirror 関係を作成できます。 手順 1. SnapLock Compliance ボリュームを作成するには、次のコマンドを入力します。 vol create vol_name [-L [compliance|enterprise]] ndisks[@disk-size] 例 vol create src_vol -L compliance 3 2. SnapLock Compliance デスティネーション ボリュームを作成するには、次のコマンドを入力しま す。 vol create vol_name [-L [compliance|enterprise]] ndisks[@disk-size] 66 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド 例 vol create dst_vol -L compliance 3 3. デスティネーション システム上でデスティネーション ボリュームを制限付きに設定するには、次 のコマンドを入力します。 vol restrict vol_name 例 vol restrict dst_vol 4. ソースとデスティネーション間の SnapMirror 関係を初期化するには、次のコマンドを入力しま す。 snapmirror initialize -S src_system:src_vol dst_system:dst_vol src_system は、ソース システムの名前です。 src_vol は、コピーするボリュームです。 dst_system は、デスティネーション システムの名前です。 dst_vol は、デスティネーション ボリュームです。 例 snapmirror initialize -S src_vol dst_vol snapmirror initialize コマンドは、ソース ボリューム src とデスティネーション ボリューム dst 間の SnapMirror 関係を初期化します。 SnapLock for SnapVault 機能—セキュアな SnapVault デスティネーション | 67 SnapLock for SnapVault 機能—セキュアな SnapVault デスティネーション SnapLock for SnapVault 機能を使用して、SnapLock ボリュームにデータをバックアップできます。 Data ONTAP の SnapLock for SnapVault 機能は、SnapVault を使用して WORM データであるか どうかに関係なくデータを SnapLock Compliance または Enterprise ボリュームにバックアップしま す。 SnapLock ボリューム内のデータのコンプライアンスを保つため、SnapLock for SnapVault 機 能の個別のログ ボリュームにログ ファイルを配置します。 SnapLock for SnapVault 機能を使用する前に、SnapLock for SnapVault 機能のログ ボリュームが 設定されていることを確認する必要があります。 SnapLock for SnapVault 機能のログ ボリューム を設定するには、snapvault.lockvault.log_volume オプションを使用します。 データ保護を 強化するため、SnapMirror を使用して SnapLock for SnapVault 機能のログ ボリュームのコピーを 作成します。 SnapLock for SnapVault 機能を使用して SnapLock ボリュームにデータをバックアップするプロセス は、SnapLock 以外のボリュームにデータをバックアップするプロセスと似ています。 • • SnapLock for SnapVault 機能を使用してプライマリ システムのデータをバックアップできます。 データ保護を強化するために SnapLock for SnapVault 機能のバックアップ コピーが必要な場 合、SnapMirror を使用して SnapLock for SnapVault 機能のデスティネーション ボリュームをコ ピーします。 SnapLock for SnapVault 関係では、ソースとデスティネーションの両方を SnapLock Compliance ボ リュームにすることはできません。 注: Open Systems SnapVault のバージョン 2.1 以降は、SnapLock for SnapVault 機能をサポート しています。 68 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド SnapLock for SnapVault 機能の使用に関するガイドラ イン SnapLock for SnapVault 機能を使用して SnapLock ボリュームにデータをバックアップするには、特 定のガイドラインに従う必要があります。 これらのガイドラインには次の分野が含まれます。 • • • キャパシティ プランニング SnapVault を使用した WORMSnapshot コピーの管理 SnapVault ログ ファイルの管理 キャパシティ プランニングの要素 | 69 キャパシティ プランニングの要素 バックアップを実行する前に、ストレージ システムおよびセカンダリストレージ システムの容量を計 画する必要があります。 キャパシティ プランニングでは、次の要素を考慮する必要があります。 • • • • SnapVault セカンダリストレージ システムのボリューム サイズ SnapLock for SnapVault Log のボリューム サイズ 各ボリュームにバックアップされる qtree 数 SnapVault スケジュール SnapVault セカンダリストレージ システムのボリューム サイズ見積 のガイドライン データ バックアップの頻度に応じて、SnapVault セカンダリストレージ システムのボリューム サイズ が 1 年間に増加する割合の見積のために使用できるガイドラインがあります。 • • • • 毎日 3%増大 毎週 5%増大 毎月 10%増大 毎月の増加率は 7%で、毎年 100%増大 日次バックアップの見積方法の例を次に示します。 例:日次バックアップの見積 開始時のベースライン転送は 1GB、1 年間に 100%(1GB)の新規データの増加があるとします。 平日の夜に変更する場合、毎日の増加により変更されるサイズは次のようになります。 • 次の計算式を使用して、日次バックアップを計算します。毎日の増加によるサイズ = (日数 x 0.03) - (新規データ) 例:毎日の増加によるサイズ = (250 x 0.03) - 1GB = 7.5GB - 1GB = 6.5GB の変更 したがって、ソース データが 1GB の場合は、ベースラインの 1GB + 新規データ 1GB + 変更デ ータ 6.5GB = 8.5GB(セカンダリ システムのボリューム)となります。 つまり、セカンダリ システ ムのボリュームを 1 年以内に現在のデータ セットのサイズの約 8 倍に拡大する必要がありま す。 70 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド ログ ボリューム サイズの見積 単純な計算式を使用して、各 SnapLock ボリュームに関連するログ データのサイズを見積もり、合 計見積サイズに等しいログ ボリュームを作成できます。 手順 1. 次のようにベースライン転送を計算します。 ベースライン転送 = ボリュームあたりの inode 数 x 256 バイト lこの 256 バイトは、ログ エントリの推定サイズです。 2. 次のように増分転送を計算します。 増分転送 = inode 数 x 0.03 x Snapshot コピー 250 個 x 256 バイト 0.03 は変更割合です。 注: 見積が少なすぎる場合は、ボリュームにディスクを追加できます。または、最初のログが フルになってから 2 つ目のログ ボリュームを割り当て、システムが新規ログ ボリュームを使 用するように設定する方法もあります。 SnapVault バックアップの設定方法 | 71 SnapVault バックアップの設定方法 SnapVault バックアップを設定するには、バックアップ タスクを実行するプライマリ ストレージ シス テムおよび SnapVault セカンダリ ストレージ システムを準備する必要があります。 これらのタスク は、非 SnapLock ボリュームのタスクと同様です。 SnapVault バックアップを使用するためには、プ ライマリ ストレージ システムとセカンダリ ストレージ システムそれぞれに SnapVault ライセンスが 必要です。 • • • プライマリ ストレージ システムで、コンソール コマンドを使用して SnapVault プライマリ ライセン スをアクティブにし、 SnapVault セカンダリ ストレージ ホストを指定します。 SnapVault セカンダリ ストレージ システムで、コンソール コマンドを使用して SnapVault のライ センスを設定して有効にし、システム ComplianceClock を初期化し、 SnapLock for SnapVault 機能のログ ボリュームを構成し、バックアップするプライマリ ストレージ システムを指定し、 Snapshot コピーの初期バックアップ プロセスを開始します。 プライマリ ストレージ システムで、ローカルで SnapVault Snapshot コピーの実行時刻を設定し ます。 SnapVault セカンダリ ストレージ システムで、プライマリ Snapshot コピーをセカンダリ ス トレージにバックアップする時刻を設定します。 SnapVault のためのプライマリストレージ システムの構成 プライマリストレージ システムを SnapVault セカンダリ ストレージ システムへバックアップするに は、プライマリ システムのコンソールにログインし SnapVault を有効にする必要があります。 手順 1. バックアップ対象の各プライマリストレージ システムで、SnapVault プライマリ ライセンスをセッ トアップします。 コンソールで次のコマンドを入力します。 license add sv_primary_license 2. バックアップ対象の各プライマリストレージ システムで、SnapVault を有効にします。 コンソール で次のコマンドを入力します。 options snapvault.enable on 3. SnapVault セカンダリストレージ システムの名前を指定します。 名前を指定するには、次のコ マンドを入力します。 options snapvault.access host=snapvault_secondary システムは、ホスト名(snapvault_secondary)を/etc/hosts ファイル内の IP アドレスに解 決できる必要があります。または、DNS や NIS を実行する必要があります。 ホスト名の代わり に、IP アドレスを入力することもできます。 詳細については、na_protocolaccess(8)のマニュアル ページを参照してください。 options コマンドの詳細については、na_options(1)のマニュアル ページを参照してください。 72 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド SnapVault セカンダリ ストレージ システム SnapVault セカンダリ ストレージ システムを構成するには、セカンダリ システムのコンソールにロ グインして、 SnapVault ライセンスを有効にする必要があります。 手順 1. SnapVault セカンダリ システムのコンソールに次のコマンドを入力して、 SnapVault セカンダリ ライセンスをセットアップします。 license add sv_secondary_license 2. 次のコマンドを入力して SnapVault を有効にします。 options snapvault.enable on 3. システム ComplianceClock が初期化されていない場合は、次のコマンドを入力して初期化しま す。 snaplock clock initialize 現在のローカル時刻の確認と、システム ComplianceClock の初期化の確認を求めるプロンプ トが表示されます。 4. SnapLock for SnapVault 機能用のログ ボリュームを作成します。 ログ ボリュームは、処理ログ ファイルおよびファイル転送ログ ファイルが含まれている SnapLock ボリュームにする必要が あります。 5. 次のコマンドを入力して SnapLock for SnapVault 機能用のログ ボリュームを構成します。 options snapvault.lockvault_log_volume volume_name volume_name は、 SnapLock for SnapVault 機能用のログ ボリュームです。 注: このコマンドが成功するためには、以前に作成した SnapLock ボリュームの名前を使用 する必要があります。 6. バックアップおよびリストアするプライマリ ストレージ システムの名前を指定するには、次のコ マンドを入力します。 options snapvault.access host=snapvault_primary1,snapvault_primary2 ... 7. バックアップするプライマリ ストレージ システムの各 qtree に対して、プライマリからセカンダリ の ストレージ システムへ初回のベースライン コピーを実行します。 各コマンドラインで、プライマリの ストレージ システム、ボリューム、qtree、およびセカンダリの ストレージ ホスト、 SnapLock ボリューム、qtree を指定します。 -S プレフィックスを使用してソー ス qtree のパスを指定する必要があります。 SnapVault バックアップの設定方法 | 73 例 sv_vol という名前の SnapLock Compliance ボリュームへ、qtree tree_a、 tree_b、および tree_c のベースライン コピーを開始するには、次のコマンドを使用します。 snapvault start -S system_a:/vol/vol1/tree_a sv_systemb:/vol/sv_vol/ tree_a snapvault start -S system_a:/vol/vol1/tree_b sv_systemb:/vol/sv_vol/ tree_b snapvault start -S system_a:/vol/vol1/tree_c sv_systemb:/vol/sv_vol/ tree_c 注: コマンドはそれぞれ 1 行で入力します。 プライマリストレージ システム SnapVault プライマリおよびセカンダリストレージ システムでの Snapshot コピーのスケジュールを 設定できます。 スケジュールを、時間単位、週単位、日単位(夜間)で設定できます。 手順 1. SnapVault セカンダリストレージ システムへバックアップする qtree を含む各プライマリストレー ジ システムで、次のコマンドを使用して、バックアップされた qtree を含む各ボリュームの Snapshot コピーをスケジュールします。 snapvault snap sched volume_name snap_name schedule_spec Snapshot コピーの各セットに対して、ボリューム名、Snapshot コピーのベース名(たとえば、 「sv_hourly」や「sv_nightly」)、ローカルに保存する SnapVault Snapshot コピーの数、Snapshot コピーを実行する曜日や時間を指定します。 Snapshot コピーのスケジュール設定例 コマンドの具体例のいくつかを次に示します。 snapvault snap sched vol1 sv_weekly 1@sat@19 snapvault snap sched vol1 sv_nightly 2@mon-fri@19 snapvault snap sched vol1 sv_hourly 11@mon-fri@7-18 注: SnapVault Snapshot コピーのベース名を指定する場合、「hourly」、「nightly」、 「weekly」は名前に使用しないでください。これらの名前は、SnapVault 以外の snap sched Snapshot コピーと競合します。 74 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド SnapVault セカンダリストレージ システム プライマリストレージ システムでスケジュールした SnapVault ボリュームの Snapshot コピーセットそ れぞれに対し、SnapVault セカンダリストレージ システムの一連の転送や後続の Snapshot コピー をスケジュールできます。 手順 1. 次のコマンドを入力します。 snapvault snap sched -x sec_vol snap_name count [@day_list][@hour_list] 注: SnapVault Snapshot コピーのスケジュールを作成する前に、SnapLock のデフォルト保持 期間が正しく設定されていることを確認してください。または、SnapVault Snapshot コピーのス ケジュールを設定する際には必ず明示的に保持期間を設定します。 -x パラメータを指定すると、SnapVault はプライマリ qtree からセカンダリストレージ システムの 対応する qtree へ新規データまたは変更されたデータをコピーします。 指定されたボリューム 上のすべてのセカンダリ qtree が更新されると、SnapVault はアーカイブ用にこのボリュームの Snapshot コピーを作成します。 count は、このセットのために保持する Snapshot コピーの数です。 値が 0 の場合、Snapshot コピーは作成されません。 値が 0 以外の場合、Snapshot コピーが作成され、Snapshot コピー が自動的に削除されることはありません。 @day_list には、このセットに新しい Snapshot コピーを作成する曜日をカンマ区切りで指定し ます。 @hour_list には、このセットに新しい Snapshot コピーを作成する時間を指定します。 Snapshot コピーのベース名は、プライマリ システムおよびセカンダリ システムで一致している 必要があります。ただし、Snapshot コピーの作成日時および保存する Snapshot コピーの数は 異なっていても問題ありません。 SnapVault プライマリおよびセカンダリストレージ システム スケジュ ールでの SnapVault 更新バックアップのスケジュール設定 SnapVault による Snapshot コピー管理操作がデフォルトの snapshot sched 処理と同じタイミン グでスケジュールされている場合、snap sched コマンドでスケジュールされた Snapshot コピー管 理処理は失敗し、syslog メッセージが表示される可能性があります。 タスク概要 snap sched コマンドでスケジュールされた Snapshot コピー管理操作が失敗し、「Skipping creation of hourly snapshot」または「Snapshot already exists」という syslog メッセージが表示される SnapVault バックアップの設定方法 | 75 可能性があります。この状況を回避するには、snap sched を使用して競合する時間を無効化し、 snapvault snap sched コマンドによりスケジュールをずらして設定する必要があります。 手順 1. Snapshot コピーの定期スケジュールをオフにするには、次のコマンドを入力します。 snap sched volume 0 0 0 SnapVault 転送のスケジュール設定のガイドライン SnapVault 転送のスケジュール設定に関する唯一のガイドラインは、プライマリストレージ システム やネットワークに過負荷をかけないことです。 すべての転送を完了するために要する全体の負荷 と時間を考慮してください。 76 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド SnapVault を使用した WORMSnapshot コピーの管理 SnapVault を使用して WORMSnapshot コピーを管理できます。 SnapLock ボリュームでの Snapshot コピー保持の仕組み SnapVault は、セカンダリストレージ システム上の SnapVault スケジュールの count フィールドを 使用して、保持する Snapshot コピーの数を判断します。 保持できる Snapshot コピーの最大数に達した場合、新規 Snapshot コピーが追加されると同時に、 最も古くから保持されている Snapshot コピーが削除されます。 SnapLock ボリュームの場合、古い WORMSnapshot コピーは保持期間が失効するまで削除できません。 WORMSnapshot コピーは自動的には削除されません。 期限が切れた WORMSnapshot コピーを 削除する必要があります。 SnapLock ボリュームにおける Snapshot コピーの命名規則 SnapLock ボリュームに対する SnapVault で作成された Snapshot コピーには、通常のボリュームの Snapshot コピーとは異なる命名規則が使用されます。 Snapshot コピーの名前には、システム クロックの時刻と日付がサフィックスとして含まれます。 次 に、Snapshot コピーの名前の形式を示します。 snapname.yyyymmdd_hhmmss_zzz. snapname は、スケジュールに指定されている Snapshot コピーの名前です。 yyyymmdd は、年、月、日です。 hhmmss は、時、分、秒です。 zzz は現在のタイムゾーン設定です。 例 %/used %/total date name ---------- ---------- ------------ -------2% ( 2%) 0% ( 0%) Feb 04 02:20 svhourly.20040104_120502_GMT 9% ( 3%) 1% ( 0%) Feb 04 02:15 svhourly.20040104_180601_GMT SnapVault を使用した WORMSnapshot コピーの管理 | 77 SnapVault で作成された WORMSnapshot コピーの保持期間 SnapVault セカンダリストレージ システム上のスケジュールの設定により、WORMSnapshot コピー を作成し、保持期間を指定できます。 WORM Snapshot コピーを作成するには、セカンダリストレージ システム上に SnapLock ボリューム が存在する必要があります。 注: スケジュールの保持期間を変更した場合、過去のスケジュールで作成された WORMSnapshot コピーにはそのまま元の保持期間が適用され、変更後のスケジュールで作成 された WORMSnapshot コピーには新規の保持期間が適用されます。 WORMSnapVault の保持期間の Snapshot コピーデフォルト設定 セカンダリストレージ システム上の SnapLock ボリュームの SnapVault Snapshot コピー スケジュー ルを設定すると、そのボリュームに対して作成された Snapshot コピーは WORMSnapshot コピーに なります。 デフォルトでは、SnapVault は WORMSnapshot コピーの保持期間として、 snaplock_default_period vol オプションで設定された保持期間を使用します。 SnapLock Compliance ボリュームの作成時に設定した保持期間が正しいことを確認してください。 注: ボリュームが SnapLock Compliance ボリュームである場合、SnapLock for SnapVault 機能の ボリュームのデフォルトの保持期間は 30 年です。 ボリュームが SnapLock Enterprise ボリュー ムである場合、デフォルトの保持期間は 0 年です。 SnapLock Compliance ボリューム内で作成 されたすべての SnapVault WORMSnapshot コピーに 30 年の保持期間を指定する場合を除き、 デフォルトの保持期間をリセットしてください。 WORM Snapshot コピーの保持期間の指定 SnapLock ボリューム内に作成された個々の WORM Snapshot コピーに保持期間を指定できま す。 手順 1. WORM Snapshot コピーの保持期間を指定するには、次のコマンドを入力します。 snapvault snap sched -x -o retention_period=period sec_vol snapname count@day_list@hour_list period には、保持期間に続けてその単位を日(d)、月(m)、年(y)で指定します。 sec_vol は、Snapshot コピーが格納されているボリュームの名前です。 snapname は Snapshot コピーの名前です。 count は、このセットで保持される Snapshot コピーの数です。ただしこの値は無視されます。 @day_list には、このセットに新しい Snapshot コピーを作成する曜日をカンマ区切りで指定し ます。 78 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド @hour_list には、このセットに新しい Snapshot コピーを作成する時間を指定します。 例 sv_proj SnapLock ボリューム内のセカンダリ ストレージ システムで作成された WORM Snapshot コピーの保持期間は、作成日から 360 日です。 Snapshot コピーは、毎日正午と午 後 8 時に作成 されます。 snapvault snap sched -x -o retention_period=360d sv_proj sv_hourly 1@12,20 WORMSnapshot コピーの保持期間の延長 WORMSnapshot コピーの保持期間を延長できます。 手順 1. WORMSnapshot コピーの保持期間を延長するには、次のコマンドを入力します。 snapvault snap retain volumesnapshot period volume は WORM ボリュームの名前です。 snapshot は Snapshot コピーの名前です。 period には、保持期間に続けてその単位を日(d)、月(m)、年(y)で指定します。 例 次のコマンドを使用すると、wormvol ボリューム内の sv_hourly Snapshot コピーの保持期 間が 2 年延長されます。 snapvault snap retain wormvol sv_hourly.20050513_195442_GMT 2y ***WARNING: YOU ARE REQUESTING SNAPLOCK RETENTION OF A SNAPSHOT*** This operation will enforce the retention of the snapshot by SnapLock for the specified retention period. You will NOT be able to delete the retained snapshot until this retention period has been satisfied. The relevant information for confirmation of this operation is as follows: Volume: wormvol Snapshot: sv_hourly.20050513_195442_GMT Retain until: Fri Feb 17 00:00:27 GMT 2006 Are you REALLY sure you want to retain this snapshot? Y SnapVault を使用した WORMSnapshot コピーの管理 | 79 WORM ボリュームの Snapshot コピーの一覧表示 WORM Snapshot コピーは、各 Snapshot コピーのエントリ末尾の snaplock という単語によって識 別されます。 手順 1. WORM Snapshot コピーを含め、すべての Snapshot コピーを一覧表示するには、次のコマンド を入力します。 snap list sec_vol sec_vol は WORM ボリュームの名前です。 例 次の出力は、wormvol ボリューム上の Snapshot コピーの一覧です。 system> snap list wormvol Volume wormvol working... %/used %/total -------- ---------0% ( 0%) 0% ( 0%) (snaplock) 3% ( 2%) 1% ( 0%) (snaplock) 5% ( 2%) 1% ( 0%) (snaplock) date name ------------ -------May 13 19:56 sv_hourly.20050513_195442_GMT May 13 19:51 sv_hourly.20050513_195006_GMT May 13 19:12 sv_hourly.20050513_191043_GMT Snapshot コピーおよび保持期限の一覧表示 Snapshot コピーおよび保持期限を一覧表示できます。 手順 1. Snapshot コピーと保持期限を一覧表示するには、次のコマンドを入力します。 snap list -l volume volume は WORM ボリュームの名前です。 80 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド 例 次の出力では、Snapshot コピーと保持期限が一覧表示されています。 system> snap list -l wormvol Volume wormvol working... snapshot date retention date name -------------------------- -------------------------- -------May 13 19:56:50 2005 +0000 May 13 19:59:42 2005 +0000 sv_hourly.20050513_195442_GMT May 13 19:51:07 2005 +0000 May 13 19:55:08 2005 +0000 sv_hourly.20050513_195006_GMT May 13 19:12:06 2005 +0000 May 13 19:15:43 2005 +0000 sv_hourly.20050513_191043_GMT 保持期限の列にダッシュ(-)がある Snapshot コピーは、WORMSnapshot コピーではないた め、保持期間がありません。 期限切れの WORM Snapshot コピーの削除 保持期間を過ぎて保持されている WORM Snapshot コピーは削除できます。 WORM Snapshot コ ピーは自動的には削除されません。 期限が切れたときに手動で削除する必要があります。 Snapshot コピーの有効期限は、Snapshot コピーの保持期間を SnapLock ボリュームのボリューム ComplianceClock と比較して決められます。 手順 1. 期限が切れた WORM Snapshot コピーを削除するには、次のコマンドを入力します。 snap delete volume snapshot volume は WORM ボリュームの名前です。 snapshot は Snapshot コピーの名前です。 注: 期限が切れていない WORM Snapshot コピーは削除できません。 例 system> snap delete wormvol slminutely.20040104_122040_GMT Illegal operation on snapshot locked by SnapLock. SnapVault を使用した WORMSnapshot コピーの管理 | 81 255 個を超える SnapVault Snapshot コピーを保持する方法 Data ONTAP は、保持できる Snapshot コピーの数を 255 個に制限しています。 ただし、255 個を 超える Snapshot コピーを保持する必要がある場合、新規ボリュームを作成できます。 WORMSnapshot コピーの実際の上限を約 250 個とする理由を次に示します。 • • SnapVault で使用される WORM 以外のベース Snapshot コピーおよび一時的な Snapshot コピ ーの数は多くはありません。 SnapMirror により保護された SnapVault セカンダリ ボリュームがある場合、Snapshot コピーが SnapMirror 関係の管理に必要です。 250 個を超える Snapshot コピーを保持する必要がある場合、新規ボリュームを作成できます。 後 続のボリュームが上限に達した場合、さらに新規ボリュームを作成できます。 このように複数のボ リュームを使用することにより、より多くの Snapshot コピーを保持できます。 より多くの Snapshot コピーを保持するための新規ボリュームの作成方法 新規ボリュームを作成して最大許容数を超える Snapshot コピーを保持する必要がある場合、ボリ ュームのクローンの作成および Snapshot コピーコピーという 2 つの方法のいずれかを使用できま す。 選択肢 • • ボリュームのクローンを作成し、新規ボリュームに対して引き続き SnapVault 更新を実行しま す。 ボリューム内の 1 つの Snapshot コピーを新規ボリュームにコピーし、新規ボリュームに対して 引き続き SnapVault 更新を実行します。 注: 2.2 より前のバージョンの Open Systems SnapVault を使用している場合、新規ベースライ ンなしに SnapVault Snapshot コピーを 255 個よりも多く保持することはできません。 Open Systems SnapVault の 2.2 より前のバージョンは、新規ボリュームで SnapVault 関係を再開 するのに必要な snapvault start -r コマンドをサポートしていません。 このコマンドは、 Open Systems SnapVault のバージョン 2.2 以降でサポートされています。 Snapshot コピーをクローニングする利点 クローニング手法を使用した新規ボリュームの作成により、255 個よりも多い Snapshot コピーの保 持が可能になると、多くの利点があります。 • • ディスク スペースの節約:最初、新規クローン ボリュームはディスク スペースをまったく占有し ません。 新規ボリュームには、変更だけが記録されます。 速度:ボリューム クローニングはほぼ瞬時に終了します。 Snapshot コピーからのデータのコピ ーには時間がかかります。 82 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド • 関係を容易に解除可能:元のボリュームとクローンの関係を解除する場合、vol clone split コマンドを使用できます。 注: スプリット時には通常、追加のディスク スペースが使用されます。 Snapshot コピーをコピーする利点 コピー アプローチを使用した新規ボリュームの作成により、255 個よりも多い Snapshot コピーの保 持が可能になると、特定の利点があります。 • • 各ボリュームは完全に独立しています。 古いボリュームをオンラインに保つ必要はありませ ん。 古いボリュームが破損しても、最新のボリュームは使用できます。 ボリュームのコピーにより SnapVault 関係を別のマシンに移行できます。 Snapshot コピーを保持するための新しいボリュームの作成 250 を超える Snapshot コピーを保持するには、新しいボリュームを作成する必要があります。 手順 1. 古いボリューム上の要素すべてが適切な状態にあることを確認します。 2. 古いボリュームに対する SnapVault スケジュールを削除します。 3. 次のいずれかの手順で新しいボリュームを作成します。 • • 新しいボリュームのボリューム クローンを作成する。 該当する Snapshot コピーを新しいボリュームにコピーする。 4. 新しいボリュームの保持期間を確認または設定します。 5. 新しいボリュームのボリューム オプションを確認します。 6. 新しいボリューム内の SnapVault 関係をすべて再開します。 7. 新しいボリューム内の SnapVault スケジュールを再設定します。 8. すべてが正常に移行されたことを確認します。 そのためには、新しいボリューム内で Snapshot コピーのターゲットをいくつか実行します。 9. 古いボリューム内の SnapVault 関係すべてを停止します。 注: 一部の処理を完了するには、Snapshot コピーの削除が必要になる場合があります。 ボリ ュームあたりの Snapshot コピー制限に達したことを示すエラー メッセージが表示された場合 は、不要な Snapshot コピーを特定して削除する必要があります。 SnapVault を使用した WORMSnapshot コピーの管理 | 83 古いボリュームの状態の確認 新規ボリュームを作成して Snapshot コピーを保持する前に、古いボリューム内のファイルすべてが Idle および snapvaulted 状態であることを確認する必要があります。 手順 1. 次のコマンドを入力し、クローニングまたはコピーの対象となるボリュームの関係すべてが Idle および snapvaulted 状態になっていることを確認します。 snapvault status 状況または条件 操作 ボリュームがこの状態である 手順 3 へ進みます。 ボリュームはこの状態ではないが、転送が正常に進行している 転送が完了してからこの手順を繰り返 します。 転送が進行中ではない、または完了していない 手順 2 に進みます。 2. 設定情報を確認または修正するには、次のコマンドを入力します。 snapvault status -c snapvault status コマンドが永続的な設定情報のない関係を示す場合があるため、この手 順を実行する必要があります。 a) snapvault status -c コマンドの出力および snapvault status コマンドの出力を比較 します。 1 対 1 で対応しているかどうかを確認してください。 いかなる関係も見つからない場合は、2 つのコマンドの出力を一致させます。 b) snapvault start コマンドを使用して、見つからない関係の設定エントリを作成します。そ の関係が不要であれば、snapvault stop コマンドを使用します。 snapvault stop コマンドを使用すると、関係が削除されます。 3. 次のコマンドを入力して、SnapVault 関係を持つすべての qtree が同じベースの Snapshot コピ ーにあることを確認します。 snapvault status -l デスティネーション ボリューム内の各 qtree に表示されるベースの Snapshot コピーを調べ、こ れらの qtree が同じ Snapshot コピーにあることを確認します。 状況または条件 操作 同じ Snapshot コピーにある 操作はこれで終わりです。 同じ Snapshot コピーにない 手順 4 へ進みます。 84 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド 4. ボリューム内の qtree すべてに対して新規のベースの Snapshot コピーを作成するには、次のコ マンドを入力します。 snapvault snap create -w sec_vol "" sec_vol は、現在のセカンダリ ボリュームです。 " "は、snapvault snap sched Snapshot コピーがまったく作成されていないことを意味しま す。 注: snapvault snap create コマンドで開始された転送の完了後には、すべての qtree が snapvaulted 状態である必要があります。 5. 手順 1 に戻って、すべてが適切な状態にあることを確認します。 古いボリュームに対する SnapVault スケジュールの削除 スケジュールを削除する前に、保持期間を含め、スケジュール設定をメモしておいてください。 そう することで、新しいセカンダリ ボリュームでも同じ方法でスケジュールを設定できます。 手順 1. 既存のスケジュールを確認するには、次のコマンドを入力します。 snapvault snap sched sec_vol 2. スケジュールを削除するには、次のコマンドを入力します。 snapvault snap unsched sec_vol 注: セカンダリ ボリュームへの転送中は、snapvault snap unsched コマンドは失敗しま す。 転送が完了してからコマンドを再実行してください。 3. ボリューム内のファイルが idle または snapvaulted 状態にあることを確認します。 新規ボリュームへのボリューム クローンの作成 ベースの Snapshot コピーからボリュームのクローンを作成できます。 手順 1. 次のコマンドを入力し、ボリューム クローニング機能のライセンス(flex_clone ライセンス)が有 効になっていることを確認します。 license 2. ボリュームのクローンを作成するには、次のコマンドを入力します。 vol clone create altvol -b sec_vol base_snapshot altvol は、新規セカンダリ ボリュームです。 sec_vol は、古いセカンダリ ボリュームです。 SnapVault を使用した WORMSnapshot コピーの管理 | 85 base_snapshot は、snapvault status -l コマンドを使用して取得する Snapshot コピーで す。 SnapLock Compliance ボリュームをクローニングすると、次のエラー メッセージが表示されま す。 Error: vol clone create: The source volume is a strict worm volume. If you create a clone of this volume, you will not be able to delete it until all of the WORM files on this new clone have expired. Use force option to create clones of worm volumes. If you use force option, the destroy time of the clone volume would be: dd mm yy. 注: クローン ボリュームは、親ボリュームと同じアグリゲート内にあります。 ボリュームのクローンを作成する場合、コンソールに表示されるメッセージを無視してもかまい ません。 表示される可能性があるメッセージの例 Reverting volume altvol to a previous snapshot. Breaking snapmirrored qtree 1 in volume altvol: basesnapshot no longer exists. Use snapmirror resync or initialize to re-establish the snapmirror. Breaking snapmirrored qtree 2 in volume altvol: WAFL_check broke all snapmirrors in volume wormclone1.Use snapmirror resync or initialize to re-establish the snapmirror. 適切な Snapshot コピーの新規ボリュームへのコピー ボリュームのコピーを作成する場合、コピーは古いボリュームと同タイプのボリューム(フレキシブ ルまたはトラディショナル)、また同タイプのコンプライアンス(SnapLock Compliance または SnapLock Enterprise)である必要があります。 タスク概要 注: コピーするボリュームが FlexVol の場合、古いボリュームと同じアグリゲート内にコピーを作 成する必要はなく、また古いボリュームと同じストレージ システム上にコピーを作成する必要も ありません。 86 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド 手順 1. 古いボリュームのコピーを作成するには、次のコマンドを入力して新規ボリュームを作成しま す。 vol create altvol altvol は、新規ボリュームです。 注: 適切なボリュームのタイプおよびサイジング情報を指定してください。 2. 次のコマンドを入力し、新規ボリュームを制限状態にします。 vol restrict altvol 3. 次のコマンドを入力し、ベースの Snapshot コピーを古いボリュームから新規ボリュームへコピー します。 vol copy start -s base_snapshot secsystem:secvol altvol 注: このコマンドでは、ボリューム コピーが altvol を含むシステムから開始されることを前 提としています。 4. 次のコマンドを入力し、新規ボリュームをオンラインにします。 vol online altvol ボリューム コピーを作成する場合、コンソールに表示されるメッセージを無視してもかまいませ ん。 表示される可能性があるメッセージの例 Breaking snapmirrored qtree 1 in volume altvol: base snapshot no longer exists. Use snapmirror resync or initialize to re-establish the snapmirror. Breaking snapmirrored qtree 2 in volume altvol: WAFL_check broke all snapmirrors in volume wormclone1.Use snapmirror resync or initialize to re-establish the snapmirror. 新しいボリュームの保持期間の確認または設定 クローン ボリュームおよびボリューム コピーは、親ボリュームの保持期間を自動的に継承します。 そのため、通常この手順では確認を行います。 新しいボリュームの保持期間は変更できます。 手順 1. 元のボリュームの保持期間を確認するには、次のコマンドを入力します。 vol options sec_vol SnapVault を使用した WORMSnapshot コピーの管理 | 87 2. 新しいボリュームの保持期間を確認するには、新しいボリュームに対して同じコマンドを入力し ます。 vol options altvol 3. 2 つのボリュームに対する出力を比較して、同じであることを確認します。 4. 保持期間を変更するには、次のコマンドを 1 つ以上入力します。 vol options altvol snaplock_default_period period vol options altvol snaplock_maximum_period period vol options altvol snaplock_miniumum_period period period は保持期間です。 保持期間の値の詳細については、na_vol(1)のマニュアル ページを参照してください。 新規ボリュームのボリューム オプションの確認 クローン ボリュームおよびボリューム コピーは、親ボリュームのオプションをすべて自動的に継承 します。 新規ボリュームで SnapVault 処理を開始する前に、新規ボリュームのボリューム オプショ ンと古いボリュームのボリューム オプションを比較する必要があります。 手順 1. 両方のボリュームのボリューム オプションをすべて表示する場合は、次のコマンドを入力しま す。 vol status -v sec_vol vol options sec_vol vol status -v altvol vol options altvol sec_vol は古いボリュームの名前、altvol は新規ボリュームの名前です。 2. 出力を比較して、サイズ関連のオプションを除くすべてのオプションが同じ値に設定されている ことを確認します。 注: 言語設定が同一であることは特に重要です。 新規ボリューム内のすべての SnapVault 関係の再開 新規ボリューム上の qtree は normal 状態であり、snapvaulted 状態ではありません(qtree status コマンドを使用すると表示されます)。 新規ボリューム内の SnapVault 関係を再開する必 要があります。 タスク概要 注: 制約のある SnapLock Compliance 環境でデータの整合性をサポートするため、snapvault start -r 処理により共通 Snapshot コピー後に書き込まれたすべてのデータをボリューム上の 88 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド ディレクトリに保存します。ただし、通常このような状況で共有 Snapshot コピー後にデータを書き 込むことはできません。 手順 1. 古いボリュームの SnapVault 関係を表示するには、次のコマンドを入力します。 snapvault status すべてのボリュームの SnapVault 関係を表示できます。 リスト内の関係を使用し、新規ボリュ ーム内で関係を生成できます。 2. SnapVault 関係を再開するには、各セカンダリ qtree に対して次のコマンドを入力します。 snapvault start -r -S pri_system:/vol/pri_vol/pri_qtree /vol/altvol/ dest_qtree snapvault start コマンドの詳細については、na_snapvault(1)のマニュアル ページを参照し てください。 注: snapvault start コマンドで-r オプションを省略すると、再開は失敗します。 新規ボリューム内の SnapVault スケジュールの再設定 プライマリストレージ システム上で SnapVault Snapshot スケジュールを変更しない場合、Snapshot コピーにも同じ名前やスケジュールを使用できます。 手順 1. SnapVault スケジュールを再設定するには、次のコマンドを入力します。 snapvault snap sched -x -o retention_period=period altvolsnapname sched_spec snapvault snap sched コマンドの詳細については、na_snapvault のマニュアル ページを参 照してください。 注: 保持期間の指定は任意です。 保持期間を指定しないと、そのボリュームにはデフォルト の保持期間が使用されます。 Snapshot コピーの移行の確認 新規ボリュームで Snapshot コピーのターゲットをいくつか実行し、すべてが正常に移行されたこと を確認する必要があります。 最初にスケジュール設定されていた Snapshot コピーと転送が開始さ れたら、新規ボリューム内のエントリを確認します。 手順 1. エントリを表示するには、次のコマンドを入力します。 snapvault status SnapVault を使用した WORMSnapshot コピーの管理 | 89 snapvault status -c 2. 新規ボリューム内の Snapshot コピーのエントリをすべて確認します。 古いボリューム内のすべての SnapVault 関係の停止 Snapshot コピーの移行を確認したら、古い SnapVault 関係を削除できます。 手順 1. 古いボリュームが格納されているシステムから、古いボリューム内のすべての qtree に対して 次のコマンドを入力します。 snapvault stop -f /vol/sec_vol/dest_qtree 2. プライマリストレージ システムから、古いボリュームにバックアップされたすべての qtree に対し て次のコマンドを入力します。 snapvault release /vol/pri_vol/pri_qtree sec_system:/vol/sec_vol/ dest_qtree snapvault release コマンドの詳細については、na_snapvault(1)のマニュアル ページを参照 してください。 snapvault stop コマンドを使用すると、古いボリューム上のアクティブ ファイル システムから qtree が削除されます。 qtree のバックアップ コピーは、古いボリュームの Snapshot コピー内に あります。 古いバックアップを参照したり、古いバックアップからデータをリストアしたりする場合 にアクセスできます。 snapvault start -r コマンドを使用して SnapVault 関係を再開する と、バックアップ データのアクティブ イメージは新規ボリュームに移動します。 SnapLock for SnapVault 機能で作成されたログ ボリュームのバッ クアップ SnapLock Compliance セカンダリ ストレージ ボリュームをバックアップするとともに、SnapLock for SnapVault 機能で作成したログ ボリュームの保護を強化できます。 SnapLock for SnapVault 機能のログ ボリュームの保護 SnapLock for SnapVault 機能のログ ボリュームを保護できます。 これは、SnapVault セカンダリス トレージ システムと SnapMirror デスティネーション間の他の SnapMirror 関係と同じ更新スケジュ ールを持つ SnapMirror バックアップを作成することによって可能になります。 手順 1. SnapLock for SnapVault ログ ボリュームと新規スタンバイ システム上の新規 SnapLock for SnapVault ログ ボリューム間に SnapMirror 関係を作成します。 基本的な SnapMirror 処理のセットアップの詳細については、『Data ONTAP データ保護:オン ライン バックアップおよびリカバリ ガイド』を参照してください。 90 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド スタンバイ システムへのフェイルオーバー スタンバイ システムを SnapVault セカンダリ システムに変換する場合、SnapLock for SnapVault 機 能のログ ボリュームを設定して、ログ情報の収集を継続する必要があります。 手順 1. 次のコマンドを使用して、変換されたスタンバイ システム上の SnapLock for SnapVault ログ ボ リュームへの SnapMirror 関係を停止します。 snapmirror quiesce volume_name 2. 次のコマンドを使用して、変換されたスタンバイ システム上の SnapLock for SnapVault ログ ボ リュームへの SnapMirror 関係を解除します。 snapmirror break volume_name 3. 次のコマンドを使用して、変換されたスタンバイ システム上の SnapLock for SnapVault ログ ボ リュームを設定します。 options snapvault.lockvault_log_volume volume_name スタンバイ保護の再確立 新規 SnapVault セカンダリ ボリュームのスタンバイ保護を再確立する場合、SnapLock for SnapVault 機能のログ ボリュームの新規スタンバイ保護も再確立する必要があります。 SnapVault セカンダリ ボリュームのスタンバイ保護の再確立と同様に、SnapLock for SnapVault 機能の新規 スタンバイ ログ ボリュームにも新規ボリュームが必要です。 手順 1. SnapLock for SnapVault ログ ボリュームと新規スタンバイ システム上の新規 SnapLock for SnapVault ログ ボリューム間に SnapMirror 関係を作成します。 解除した SnapVault 関係を再同期化する方法 snapvault start -r コマンドを使用すれば、時間のかかるベースライン転送を行うことなく、解 除されていた SnapVault 関係を再確立できます。 このコマンドは、通常、最も新しい共通の Snapshot コピーを特定し、その Snapshot コピーのあとに デスティネーションに書き込まれたデータを破棄してから、共通の Snapshot コピーを使用してコン テンツの再同期を開始します。 制限的な SnapLock Compliance 環境でデータの整合性を確保するために、snapvault start r 処理は、共通の Snapshot コピーのあとに書き込まれたすべてのデータをボリューム内のディレク トリにあるイメージとログ ファイルに保存します。 これらのファイルは、SnapLock Compliance ボリ SnapVault を使用した WORMSnapshot コピーの管理 | 91 ューム内のディレクトリ/etc/logs/snapmirror_resync_archive/volname_UUID_qtree に 格納されます。 イメージ ファイルとログ ファイルには、それぞれ dump_image_YYMMDD_HHMMSS および dump_log_YYMMDD_HHMMSS という名前が付けられます。 注: イメージ ファイルおよびログ ファイルの保持期間は、データ セット内のすべてのデータ ファ イルのうち最長の保持期間と同じです。 そのため、保持期間が経過する前にイメージ ファイル およびログ ファイルが削除されることはありません。 何らかの理由で保存処理が失敗した場合には、snapvault start -r 転送処理は実行されませ ん。 SnapVault の無効化 ファイルが重要でなくなった場合、古くなった場合、別の場所に移された場合には、SnapVault を無 効にすることが考えられます。 手順 1. プライマリストレージ システムとセカンダリ ストレージ システムの両方に対して、次のコマンドを 入力します。 options snapvault.enable off このオプション設定はリブート後も維持されます。 92 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド SnapVault ログ ファイルの管理 SnapVault ログ ファイルを管理して、コンプライアンスに対応します。 コンプライアンスと SnapVault ログ ファイル SnapVault は、コンプライアンスの法的要件を満たすログ ファイルを作成します。 コンプライアンスの法的要件は次のとおりです。 • • • ログ ファイルを削除できません。 ログ ファイルの内容を削除または上書きできません。 ログ ファイルには、ある期間中に発生する一連のイベントを正確に記録する必要があります。 SnapVault によるコンプライアンスの維持方法 SnapVault は、ログ ファイルが保存されている SnapLock ボリュームを使用します。 これは標準の WORM ボリュームで、SnapLock for SnapVault ログ ボリュームと呼ばれています。 SnapVault は、 追記のみの書き込み処理を使用してログ ファイルに書き込みます。 これにより正確な記録を維持 できますが、過去に発生したイベントを上書きすることはできません。 SnapVault は、次の 2 種類のログ ファイルを使用してイベントを記録します。 • • SnapVault 処理ログ ファイル SnapVault ファイル転送ログ ファイル 処理ログ ファイル 処理ログ ファイルには、週単位のローテーション ポリシーがあります。SnapVault は、新規ログ フ ァイルを毎週日曜日の午前 0 時に作成します。 新規ログ ファイルの作成時にアクティブな SnapVault 操作は、新規ログ ファイルに記録されます。 処理ログ ファイル名のフォーマットは次のとおりです。 snapvault.yyyymmdd_zzz yyyy は年です。 mm は月(01~12)です。 dd は日(01~31)です。 zzz は現在のタイムゾーン設定です。 SnapVault ログ ファイルの管理 | 93 タイムスタンプはログ ファイルの作成日時を示します。 タイムスタンプはシステム クロックを使用し て生成されます。 ファイル転送ログ ファイル SnapVault は、各 SnapVault の転送開始時に新規ファイル転送ログ ファイルを作成します。 ファイル転送ログ ファイルは、SnapLock for SnapVault 機能で作成したログ ボリュームの次のディ レクトリ構造内に保存されます。/etc/logs/snapvault secondary vol/secondary qtree name/month/log file snapVault secondary vol ディレクトリは、セカンダリストレージ システム上の SnapLock ボリュ ームの名前です。 ディレクトリ名のフォーマットは、secondary volume name_volume id です。 ボリューム UUID によって、システム全体でボリュームが一意に識別されます。 secondary qtree name ディレクトリは、SnapVault secondary vol ディレクトリ内の qtree です。 secondary qtree ディレクトリ名のフォーマットは、secondary qtree name_treeid_inodenum_gennum です。 tree ID、inode 番号、生成番号によって、ボリ ューム内の qtree が一意に識別されます。 month ディレクトリは、qtree のログ ファイルが生成された月を示します。 month ディレクトリのフォ ーマットは、yyyymm です。 年(yyyy)と月(mm)は、システム クロックを使用して生成されます。 ログ ファイル名によって、各転送ログ ファイルは一意に識別されます。 転送ログ ファイル名のフォ ーマットは、snapvault_filelog.yyyymmdd_hhmmss_zzz です。 年(yyyy)、月(mm)、日(dd)、時(hh)、分(mm)、秒(ss)、タイム ゾーン(zzz)は、システム クロック を使用して生成されます。 例 次に示すのは、snapvault_filelog.20040123_000500_PST という名前の転送ログ ファ イルのサンプル パスです。 /etc/log/vault_ ed0ad520-5f40-11d8-91ca-00a09800dcba/ users_19_1435628_1286197/200401/snapvault_filelog.20040123_000500_PST SnapLock for SnapVault 機能のログ ボリュームの構成 SnapLock for SnapVault 機能のログ ボリュームは、SnapLock ボリュームである必要があります。 この SnapLock ボリュームは、トラディショナル ボリュームでもフレキシブル ボリュームでもかまい ません。 すべての SnapVault ログ エントリは、ログ ボリューム内で作成されます。 これはシステム 全体のオプションであるため、どの SnapLock ボリュームに対する SnapVault 処理もこのログ ボリ 94 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド ュームに記録されます。 ただし、SnapLock ボリュームへの SnapVault 転送を正常に実行するため に、このオプションを設定する必要があります。 開始する前に SnapLock for SnapVault 機能のログ ボリュームは、最初(レベル 0)の SnapVault 転送を開始する 前に作成する必要があります。 手順 1. ログ ボリュームを設定するには、次のコマンドを入力します。 options snapvault.lockvault_log_volume volume_name volume_name は、SnapLock ボリュームです。 注: すでに作成されている SnapLock ボリュームの名前を使用する必要があります。また、こ のボリュームを他の目的には使用しないでください。 ログ ファイルの保存場所 すべての SnapVault ログ ファイルは、ユーザが作成および設定した SnapLock for SnapVault ログ ボリュームのログ ディレクトリに保存されます。 SnapVault ログ ファイルは、SnapVault for SnapLock ログ ボリュームの/etc/log ディレクトリに保 存されます。 このディレクトリ内のログ ファイルは、ログ ボリュームのデフォルトの保持期間を継承 します。 保持期間が期限切れになるまでは、ログ ファイルはボリュームから削除できません。 期 限切れのログ ファイルは SnapVault によって自動的に削除されないため、手動で削除する必要が あります。 注: ログ ボリュームのデフォルトの保持期間を適切に設定していることを確認してください。 SnapLock Compliance ボリュームのデフォルトの保持期間の初期値は 30 年です。 ファイル転送ログ ファイルの内容 転送ログには、転送を記述するヘッダーおよび転送の内容を記述する 0 個以上のエントリが含ま れます。 プライマリストレージ システム上のデータが前回の SnapVault 更新以降変更されていないケース またはロールバック転送のケースでは、ログ ファイルにはヘッダーとゼロ エントリしか含まれませ ん。 各ログ ファイルの先頭にあるヘッダーには、次の情報が含まれます。 • 転送タイプ • ソース システムおよびソース パス SnapVault ログ ファイルの管理 | 95 • デスティネーション システムおよびデスティネーション パス • 転送開始日時 • ソース システム Snapshot コピーの日時 注: ソース システム Snapshot コピーの日時は、プライマリ システムではなく、セカンダリ システ ムのタイム ゾーン設定に基づいて解釈されます。 例 # # # # # Transfer type: Base Start From: sourcesystem:/vol/compat_data/myqtree1 To: destinationsystem:/vol/logs/mult1 Start time: Tue Mar 30 22:43:09 GMT 2004 Source snapshot timestamp: Wed Mar 31 23:41:01 EST 2004 記録されるログ エントリのタイプ 作成、削除、変更、名前変更の操作はすべて転送ログ ファイルに記録されます。 • Create File(標準、特別、ストリーム) • Delete File(標準、特別、ストリーム) • Create Directory • Delete Directory • Rename From(標準ファイルまたはディレクトリ) • Rename To(標準ファイルまたはディレクトリ) • Modify File(標準、特別、ストリーム ファイル。ただしディレクトリは含まず) • Modify Attributes(標準、特別、ストリーム ファイル、ディレクトリ) ログ エントリの形式 ログ エントリの形式は次のとおりです。 date_and_time action_taken base_path_length:stream_name_length path_name date_and_time は、セカンダリ ストレージ システムではなくプライマリ ストレージ システムの mtime または ctime の値です。 96 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド 注: mtime の値は、ファイルおよびディレクトリの作成、ファイルおよびディレクトリの削除、およ びファイルの変更のエントリで使用されます。これらのエントリ タイプではデータが変更されるた めです。 ctime の値は、ファイルおよびディレクトリの名前変更、および属性の変更のエントリで 使用されます。これらのエントリ タイプでは、データそのものではなくデータのコンテナが変更さ れるためです。 action_taken はいずれかのログ エントリ タイプです。 base_path_length:stream_name_length は、ベース パスの長さ、コロン、ストリーム名(1 バイ ト文字)の組み合わせです。 ファイルがストリーム ファイルでない場合は、ベース パスの長さだけ が示されます。 path_name は、ミラーリングされるツリーのベースに対する相対的なファイル パスで、絶対パス名 ではありません。 相対パス名は、プライマリとセカンダリのストレージ システムで同じです。 例 ログ エントリの例を次に示します。 Fri Mar 26 23:08:33 GMT 2004 Create Dir 7 ./mydir Mon Oct 9 17:36:14 GMT 2000 Create File 14 ./mydir/myfile Mon Jun 12 22:21:11 GMT 2000 Create File 14:8 ./mydir/myfile:strm ログ エントリの作成方法 特定の動作を実行すると、SnapVault は動作に応じたタイプのログ エントリを作成します。 次の表 は、SnapVault でログ エントリを作成するための動作、作成されるログ エントリのタイプ、その動作 についてのメモ(ある場合)を示したものです。 動作 エントリのタイプ すべてのファイルおよびディレ クトリの初期転送 Create File ファイル内のデータの変更 Modify File 権限などのディレクトリの属性 の変更、またはディレクトリ内 のエントリの追加または削除 Modify Attributes(ディレクト リ) メモ Create Directory Modify File エントリが作成さ れた場合、Modify Attributes エントリは作成されません。 SnapVault ログ ファイルの管理 | 97 動作 エントリのタイプ メモ ファイルまたはディレクトリの Access Control List(ACL;アク セス制御リスト)の作成、削 除、変更 Modify Attributes(ACL に関 ACL の作成、削除、変更は明 連付けられているファイルまた 示的に記録されません。 はディレクトリ) リンクが 1 つしかないファイル またはディレクトリの名前変更 Rename From 名前変更では、ログ内に 2 つ のエントリが同時に記録されま す。 Rename To ファイルの名前変更 Rename From および Rename To に加えて、Modify Attributes または Modify File ディレクトリの名前変更 Rename From および Rename To に加えて、Modify Attributes 既存のファイルへのハード リ ンクの追加 Create File Modify Attributes エントリは、 データ変更がない場合に作成 されます。 Modify File エントリ は、データが変更された場合 に作成されます。 ファイルへのハード リンクの削 ファイルの削除 除(そのファイルにまだ 1 つ以 上のハード リンクが残っている 場合) ファイルへのハード リンクの追 Modify Attributes(そのファイ 加(ただし、内容が変更されて ルへのすべてのリンクに関し いない場合) て。ただし、新規リンクは除く) ファイルへのハード リンクの追 Modify File(そのファイルへの 加(内容が変更された場合) すべてのリンクに関して。ただ し、新規リンクは除く) ファイルからのハード リンクの 削除(ただし、内容が変更され ていない場合) Modify Attributes(そのファイ ルへのすべてのリンクに関し て。ただし、削除されたリンク は除く) 前回の転送と現在の転送間で Create File の、1 つ以上のリンクを持つフ ァイルの作成 ファイルには、Modify File エン トリも Modify Attributes エント リも作成されません。 98 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド 動作 エントリのタイプ メモ 前回の転送と現在の転送間で ファイルの削除 の、ファイルとそのすべてのハ ード リンクの削除 リンクには、Modify File エント リも Modify Attributes エントリ も作成されません。 複数のハード リンクを持つファ Create File イルの名前変更 ハード リンクを持つファイルの 名前変更は、ファイルにリンク を 1 つ追加する、またはファイ ルからリンクを 1 つ削除するこ とで実行されます。 ファイルの削除 Modify Attributes または Modify File ファイルのデータまたは属性 の変更 それぞれ Modify File または Modify Attributes ファイルの各リンクに関して Modify File または Modify Attributes のエントリが作成さ れます(転送によって追加また は削除されたリンクは除く)。 SnapMirror を使用したバックアップおよびスタンバイ保護の方法 SnapVault セカンダリ ストレージ システムと SnapMirror デスティネーションまたは NearStore シス テム間に SnapMirror 関係を設定することで、SnapVault セカンダリ ストレージ システム データに 対するバックアップおよびスタンバイ保護を実現できます。 セカンダリ ストレージ システム データに対するバックアップおよびスタンバイ保護のプロセスを次 に示します。 • SnapMirror デスティネーション デバイスを、元のセカンダリ ストレージ デバイスがダウンしたと きに代替の SnapVault セカンダリ ストレージとしてアクティブ化されるスタンバイ デバイスとして 使用します。 注: SnapMirror デスティネーション システムでは、ボリューム クローニングによるディスク ス ペースの削減効果は得られません。 元の SnapVault セカンダリ ボリュームで、ボリューム ク ローニングを使用して Data ONTAP のボリューム制限である 255 個よりも多くの Snapshot コ ピーを格納している場合、同じ量のデータを格納するためには、SnapMirror デスティネーショ ン ボリュームを SnapVault セカンダリ ボリュームよりも大きくしなければならない場合があり ます。 • この手順を使用してバックアップおよびスタンバイ保護を再確立すると、元の SnapMirror デス ティネーション ボリュームが SnapVault セカンダリ ボリュームになり、新しいボリュームが SnapMirror デスティネーション ボリュームになります。 SnapVault ログ ファイルの管理 | 99 注: Snapshot コピーの保持期間が経過し、ボリューム内のファイルが期限切れになった時点 で元の SnapVault セカンダリ ボリュームを使用できますが、通常は保持期間が長いためボリ ュームを使用できる可能性は高くありません。 • 元のバックアップおよびスタンバイの構成に戻すことも可能ですが、これは推奨されません。 バックアップおよびスタンバイ構成を再確立すると、SnapVault セカンダリ ボリュームが SnapMirror レプリケーションによって保護されますが、2 つのバックアップ システムは入れ替わ ります(スタンバイ システムがセカンダリ システムになり、セカンダリ システムがスタンバイ シ ステムになる)。 元の構成に戻すよりも、SnapVault セカンダリ ボリュームで使用するストレー ジ システムおよび関連する SnapMirror スタンバイ ボリュームを同じ構成にして、必要に応じて それぞれの役割を入れ替えられるようにしておくことを推奨します。 SnapVault のバックアップおよびスタンバイ保護の設定 必要に応じて、SnapVault セカンダリ ストレージ システムに対する SnapMirror のバックアップおよ びスタンバイ保護と、スタンバイ システムへのフェイルオーバーを設定できます。 手順 1. SnapVault セカンダリ ストレージ デバイスに SnapVault セカンダリ ストレージおよび SnapMirror 機能の両方のライセンスが設定されていることを確認するには、次のコマンドを入 力します。 license 2. SnapMirror デスティネーション デバイスに SnapVault セカンダリ ストレージおよび SnapMirror 機能の両方のライセンスが設定されていることを確認するには、次のコマンドを入力します。 license 3. アクティブな SnapVault セカンダリ ストレージ システムからディスクベースのデスティネーション デバイス(別のストレージまたは NearStore システム)への SnapMirror レプリケーションを設定 します。 ディスクベースのデスティネーション デバイスで SnapMirror 関係を設定する方法の詳細につ いては、『Data ONTAP 7-Mode データ保護:オンライン バックアップおよびリカバリ ガイド』を参 照してください。 4. アクティブな SnapVault セカンダリ ストレージ システムで障害やデータ破損が発生した場合、 SnapMirror デスティネーション デバイスを代替の SnapVault セカンダリ システムに変換して、 プライマリ ストレージ システム上のデータのバックアップ処理を継続できるようにします。 SnapMirror デスティネーションを書き込み可能なボリュームに変換する方法の詳細について は、『Data ONTAP データ保護:オンライン バックアップおよびリカバリ ガイド』を参照してくださ い。 5. 新しい SnapVault システムで SnapVault ライセンスをアクティブ化し、snapvault start およ び snapvault snap sched コマンドを使用して、新しい SnapVault セカンダリ ストレージ シス テムの構成を完了します。 100 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド 6. オプションとして、ストレージ システムを元の構成に戻すこともできます。 SnapVault のバックアップおよびスタンバイ保護の再確立 新規の SnapVault セカンダリストレージ システムの SnapMirror バックアップおよびスタンバイ保護 を再確立するには、SnapVault セカンダリ ボリュームから新規ボリュームへ初期 SnapMirror 転送 を実行する必要があります。 手順 1. 新規 SnapVault セカンダリ ボリュームから新規ボリュームへ初期 SnapMirror 転送を実行する には、次のコマンドを入力します。 snapmirror initialize 注意: snapmirror initialize コマンドを使用すると、新規ボリューム上の既存のデータ はすべて削除されます。 基本的な SnapMirror 処理のセットアップの詳細については、『Data ONTAP データ保護:オンライン バックアップおよびリカバリ ガイド』を参照してください。 元の SnapVault セカンダリ ボリュームを新規 SnapMirror デスティネーションとして使用すること が可能で、なおかつボリューム クローニングを使用して Data ONTAP のボリュームでの制限値 である 255 個を超える Snapshot コピーを保存していた場合、元の SnapVault セカンダリ ボリュ ームはレプリケーションに対応するにはサイズが小さすぎる可能性があります。 この場合、元 の SnapVault セカンダリ ボリュームにディスク スペースを追加できます。 元のバックアップおよびスタンバイ構成への復元 元のバックアップおよびスタンバイ構成を復元できます。 手順 1. SnapMirror 関係を解除します。 2. アクティブな SnapVault セカンダリストレージ システムで障害やデータ破損が発生した場合、 SnapMirror デスティネーション デバイスを代替の SnapVault セカンダリ システムに変換して、 プライマリストレージ システムのデータのバックアップ タスクを継続します。 SnapMirror デスティネーションを書き込み可能なボリュームに変換する方法の詳細について は、『Data ONTAP データ保護:オンライン バックアップおよびリカバリ ガイド』を参照してくださ い。 3. 新規 SnapVault システムで SnapVault ライセンスをアクティブ化し、snapvault start コマン ドおよび snapvault snap sched コマンドを使用して、新規 SnapVault セカンダリストレージ システムの設定を完了します。 4. 新規 SnapVault セカンダリ ボリュームから新規ボリュームへの初期 SnapMirror 転送を実行す るには、次のコマンドを使用します。 snapmirror initialize 注意: snapmirror initialize コマンドを使用すると、新規ボリューム上の既存データは すべて削除されます。 SnapMirror デスティネーションを書き込み可能なボリュームまたは SnapVault ログ ファイルの管理 | 101 qtree に変換する方法の詳細については、『Data ONTAP 7-Mode データ保護:オンライン バ ックアップおよびリカバリ ガイド』を参照してください。 元の SnapVault セカンダリ ボリュームを新規 SnapMirror デスティネーションとして使用すること が可能で、なおかつボリューム クローニングを使用して Data ONTAP のボリュームでの制限値 である 255 個を超える Snapshot コピーを保存していた場合、元の SnapVault セカンダリ ボリュ ームはレプリケーションに対応するにはサイズが小さすぎる可能性があります。 この場合、元 の SnapVault セカンダリ ボリュームにディスク スペースを追加できます。 コンプライアンス バックアップおよびスタンバイ サービスの制限事項 バックアップおよびスタンバイ サービスには制限事項があります。 • • スタンバイ デバイスにフェイルオーバーしてバックアップを開始すると、元の SnapVault セカン ダリ ストレージ ディスク上のすべての Snapshot コピーおよびデータの保持期間が期限切れに なるまでは、元の SnapVault セカンダリ ストレージ ディスクを再利用して新しい SnapVault セカ ンダリ ボリュームを保護することはできません。 実用上のさまざまな理由から、一般的な保持期間は数ヶ月から数年であるため、元の SnapVault セカンダリ ストレージ ディスクを使用して新しい SnapVault セカンダリ ボリュームを 保護したり、本来の SnapVault セカンダリ ストレージとしての役割を再開することはできませ ん。 SnapVault Compliance ボリュームにはコンプライアンス データの損失を回避するための制約 があるため、SnapLock セカンダリ ストレージで SnapLock Compliance ボリュームが使用されて いる場合には、バックアップ データをそのセカンダリ ストレージにリストアすることはできませ ん。 注: スタンバイ デバイスへのフェイルオーバーは複雑で、上記のような制限事項もあり、時間 とディスク スペースの面でもコストがかかります。 フェイルオーバーは、元の SnapVault セカ ンダリ ストレージが永久に失われ、元の構成を再確立するコストがかかったとしてもバックア ップの迅速なリストアが不可欠である場合にのみ行ってください。 102 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド SnapLock での Data ONTAP コマンドライン インターフ ェイス コマンド 次の表に、 SnapLock コマンドライン インターフェイス コマンドを示します。 コマンド 説明 snaplock help [cmd] コマンドライン インターフェイスのヘル プを表示します。 vol create trad_vol -L snaplock_type ndisks [@disksize] SnapLock トラディショナル ボリューム を作成します。 aggr create aggrname -L snaplock_type ndisks [@disksize] SnapLock アグリゲートを作成します。 SnapLock FlexVol を作成します。 vol create wormvol aggrname size [k|m |g|t ] vol status vol_name ボリュームのステータスを表示します。 vol destroy vol_name SnapLock ボリュームを削除します。 vol status -w SnapLock ボリュームの有効期限を表 示します。 vol offline vol_name ボリュームをオフラインにします。 vol clone create -f -f フラグを指定すると、 SnapLock Compliance ボリュームへ強制的にクロ ーンが作成されます。 aggr status aggrname アグリゲートのステータスを表示しま す。 options snaplock.compliance.write_verify on SnapLock 書き込み検証を有効にしま す。 snaplock clock initialize システム ComplianceClock を初期化し ます。 snaplock clock status システム ComplianceClock およびボリ ューム ComplianceClock の時間を表 示します。 SnapLock での Data ONTAP コマンドライン インターフェイス コマンド | 103 コマンド 説明 vol options vol_name snaplock_autocommit_period {none|count (h| d|m|y)} ボリュームの自動コミット期間を設定し ます。 vol status -v volume_name 自動コミット時間の遅延を表示します。 snaplock log archive vol [basename] basename を指定すると、アクティブな SnapLock ログ ファイル basename が アーカイブされます。 指定しない場合 は、ボリューム vol 上のアクティブな SnapLock ログ ファイルがすべてアー カイブされ、新しいログ ファイルに置き 換えられます。 snaplock log volume [-f] vol SnapLock ログ ボリュームを vol に設 定します。 snaplock log volume 現在の SnapLock ログ ボリュームを表 示します。 snaplock log status vol [basename] basename を指定すると、アクティブな SnapLock ログ ファイル basename の ステータスが表示されます。 指定しな い場合は、ボリューム vol 上のすべて のアクティブな SnapLock ログ ファイル のステータスが表示されます。 options snaplock.log.maximum_size ログ ファイルの最大許容サイズを表示 します。 snaplock options vol privdel on SnapLock Enterprise ボリューム vol の privileged delete オプションを on に 設定します。 privileged delete 機能を 有効にします。 snaplock options vol privdel off SnapLock Enterprise ボリューム vol の privileged delete オプションを off に設定します。 104 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド コマンド 説明 snaplock options -f vol privdel disallowed SnapLock Enterprise ボリューム vol の privileged delete オプションを disallowed に設定します。 オペレー タの誤操作を防止する目的で状態を disallowed に設定する場合は、 -f フ ラグを指定する必要があります。 disallowed 以外の状態と組み合わせ て使用しても、-f フラグは無視されま す。 snaplock options vol privdel SnapLock Enterprise ボリュームの privileged delete オプションの状態を表 示します。 状態は on、 off、 disallowed のいずれです。 snaplock privdel [-f] path SnapLock Enterprise ボリューム上の期 限切れ前のファイルを削除します。 -f フラグを指定すると、ユーザに確認を 求めることなく、コマンドが実行されま す。 file fingerprint [-a {MD5|SHA-256}] [-m ] [-d] [-x] path MD-5 または SHA-256 ダイジェスト ア ルゴリズムを使用して、ファイルのフィ ンガープリントを計算します。 -a でアルゴリズムを指定します。 -m を指定すると、メタデータのフィンガ ープリントが計算されます。 -d を指定すると、データのフィンガー プリントが計算されます。 -x を指定すると、出力が XML 形式で 表示されます。 Data ONTAP API による SnapLock の管理方法 | 105 Data ONTAP API による SnapLock の管理方法 Data ONTAP API を使用すれば、アプリケーションと SnapLock をシームレスに統合できます。 SnapLock は標準プロトコルを使用するオープン ソリューションで、ISV のアーカイブ アプリケーシ ョンやカスタム アプリケーションとのシームレスな統合を可能にします。 特定業種向けアプリケー ションとの統合は、データ ワークフローにおけるデータの不変性を実現します。これにより、規制要 件を満たすために WORM ロックおよびデータの最終的な削除を個別に管理する必要がなくなり ます。 CLI(コマンド ライン インターフェース)または Data ONTAP API のプログラムを使用することによ り、SnapLock 機能を活用できます。 SnapLock との統合には次の 2 つのオプションがあります。 • • Data ONTAP API アプリケーションが作成されたプログラミング言語で利用可能な標準 API 106 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド ONTAPI とは ONTAPI(Data ONTAP API とも呼ばれる)を使用すれば、ストレージ システムにアクセスして管理 できます。 Data ONTAP API は、XML 形式で呼び出されます。 HTTP、HTTPS、Windows DCE / RPC といったプロトコルを使用して、Data ONTAP API を照会できます。 Data ONTAP API は、Data ONTAP の次の機能を管理できます。 • • • • • • • • • • • • • ストレージ オブジェクトのセットアップおよび管理 クォータおよびユーザの管理 デバイスの設定 デバイス、アグリゲート、ボリュームの検出 ストレージ システムのヘルス、ディスクおよびボリュームの容量、パフォーマンスの監視 アラートおよび通知 ライセンス管理 セキュリティ ブロック プロトコル データのバックアップおよびリカバリ データ レプリケーション データのアーカイブおよびコンプライアンス ファイル アクセス プロトコル ONTAPI の詳細リストが、各リリースのサブディレクトリとともに Manage ONTAP SDK(ソフトウェ ア開発キット)インストール内の doc/ontapi ディレクトリで入手できます。 Data ONTAP の各メジ ャー リリースに関する ONTAPI バージョンが、Manage ONTAP SDK に付属して提供される Version Matrix で入手できます。 Manage ONTAP SDK を使用して Data ONTAP API を呼び出すことができます。 Manage ONTAP SDK には、C/C++、Java、C#、VB.Net、Powershell、Perl での ONTAPI の使用方法を説明するサ ンプル コードが含まれます。 Data ONTAP API を使用したアプリケーションの作成については、 Manage ONTAP SDK を参照してください。 関連情報 Manage ONTAP SDK Introduction and Download Information ONTAPI コールを使用するクライアントの設定 | 107 ONTAPI コールを使用するクライアントの設定 ONTAPI コールを使用するクライアントの設定には特定の手順が必要です。 タスク概要 注: このトピックのすべての例は C/C++で表示されています。 手順 1. クライアント プログラムを使用して、サーバ コンテキストを初期化します。 Perl および Java では、ライブラリ宣言とは別にサーバ オブジェクトの作成の一環として、サー バ コンテキストの初期化が自動的に実行されます。 Perl では、NaElement の使用宣言は NaServer の初期化の一環として既に実行されているため省略可能です。 例 #include <netapp_api.h> ... char err[256]; if (!na_startup(err, sizeof(err))) { fprintf(stderr, "Error: %s\n", err); exit(-1); } 2. 通信するサーバ(ストレージ システムまたは NetCache アプライアンス)と想定する ONTAPI ラ イブラリのバージョンを特定します。 このセットアップは、後続の ONTAPI 呼び出しに使用されるサーバ コンテキストである na_server_t*値(C/C++)またはオブジェクト(Perl/Java)を指定するのに役立ちます。 例 na_server_t* s; /* * server to talk to, and 108 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド * ONTAPI version, in this case 1.3 or higher */ s = na_server_open("jetfighter",1,3); 3. 転送パラメータを設定します。 C 言語で Windows アプリケーションを作成している場合、標準の Windows 認証および許可を 提供する Windows DCE / RPC を通常は使用します。 一方、HTTP(Perl や Java との併用が必 須)を使用する場合、サーバ コンテキストで使用するユーザ名およびパスワードを提供する必 要があります。または、ストレージ システムの/etc/hosts.equiv ファイルに対するサーバ コ ンテキスト認証が必要です。 このファイルは、ホスト名(そのホストからのすべてユーザをルー トとして許可)、またはホスト名およびユーザ名のペア(指定されたホストから接続する指定され たユーザをルートとして許可)のいずれかで構成されています。 /etc/hosts.equiv ファイル の詳細については、『Data ONTAP 7-Mode システム アドミニストレーション ガイド』を参照してく ださい。 HOSTSEQUIV ログイン スタイルを使用する場合、ストレージ システムの httpd.admin.hostsequiv.enable オプションを on に設定する必要があります。 例 bool use_rpc = 1; bool use_hosts_equiv = 0; if (use_rpc) { na_server_set_style(s, NA_STYLE_RPC); } else if (use_hosts_equiv) { na_server_set_style(s, NA_STYLE_HOSTSEQUIV); } else { na_server_set_style(s, NA_STYLE_LOGIN_PASSWORD); na_server_set_admin_user(s, "root", "F18fan"); } 4. ONTAPI ライブラリを呼び出す前に、ONTAPI ライブラリのバージョンを確認します。 system-get-ontapi-version を使用して、ストレージ システムの ONTAPI のバージョンを 取得します。 例 na_elem_t* out; /* * Make sure version is available ONTAPI コールを使用するクライアントの設定 | 109 */ out = na_server_invoke(s, "system-get-version", NULL); if (na_results_status(out) != NA_OK) { printf("Version 1.3 is unsupported: %s\n", na_results_reason(out)); } na_free(out); 5. サーバ コンテキストを終了して、メモリおよびリソースを解放します (コンテキストがスコープか ら外れた場合は、Perl のバインドがこの処理を実行します)。 例 na_server_close(s); クライアントの設定が完了しました。 110 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド Data ONTAP API スイートを使用する利点 Data ONTAP API スイートは、外部アプリケーションから使用できるフレームワークで、Data ONTAP を搭載するストレージ システム上のすべての機能を実行できます。 Data ONTAP API スイートを使用する利点は次のとおりです。 • • • • • • API を介して Data ONTAP 機能へアクセス可能 Windows、Linux、Solaris、VMware ESX などの複数プラットフォームをサポート C、C++、Java、Perl などの複数言語をサポート HTTP、HTTPS、Windows RPC などの複数の転送プロトコルをサポート ログイン、パスワード、Windows RPC 認証などのさまざまな認証メカニズムをサポート マルチスレッディングをサポート SnapLock API 一覧 | 111 SnapLock API 一覧 SnapLock 関連の Data ONTAP API を使用して、アプリケーションに SnapLock 機能を統合できま す。 SnapLock 関連の Data ONTAP API の一覧を次に示します。 • • • • • • • • • • • • • • • • • • volume-create volume-set-options volume-options-list-info file-get-snaplock-retention-time file-get-snaplock-retention-time-list-info-max file-set-snaplock-retention-time file-snaplock-retention-time-list-info snaplock-get-log-volume snaplock-get-options snaplock-log-archive snaplock-log-status-list-info snaplock-privileged-delete-file snaplock-set-log-volume snaplock-set-options file-get-fingerprint snaplock-set-compliance-clock snaplock-get-system-compliance-clock snaplock-get-volume-compliance-clock 注: Data ONTAP 8.1 以降では、SnapLock API snaplock-get-compliance-clock は廃止さ れています。 システム ComplianceClock 時間を取得するには snaplock-get-systemcompliance-clock、ボリューム ComplianceClock 時間を取得するには snaplock-getvolume-compliance-clock の各 API を使用する必要があります。 Data ONTAP API の詳細については、NetApp Manageability SDK を参照してください。 関連情報 NetApp Manageability SDK volume-create volume-create API は、指定された名前と特性を持つ新規フレキシブル ボリューム、トラディショ ナル ボリューム、スパース ボリュームを作成します。 新規作成されたトラディショナル ボリューム 112 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド は、API による返却後すぐに動作しない可能性があります。 volume-list-info API を使用し て、新規作成されたボリュームのステータスを照会し、完全な動作が可能になるタイミングを確認 できます。 file-get-snaplock-retention-time file-set-snaplock-retention-time API は、ファイルの SnapLock 保持属性を取得します。 file-get-snaplock-retention-time-list-info-max file-get-snaplock-retention-time-list-info-max API は、file-snaplockretention-time-list-info API への 1 回の呼び出しで処理と返却が可能なエントリの最大数 を取得します。 file-set-snaplock-retention-time file-set-snaplock-retention-time API は、ファイルの SnapLock 保持属性を設定します。 この API を使用して、SnapLock ボリューム内の既存の WORM ファイルの保持期間を延長できま す。 file-snaplock-retention-time-list-info file-snaplock-retention-time-list-info API は、ファイル リストの SnapLock 保持属性を 取得します。 snaplock-get-log-volume snaplock-get-log-volume API は、アクティブな SnapLock ログ ボリュームの構成を取得しま す。 snaplock-get-options snaplock-get-options API は、ボリューム上の特定の SnapLock オプションの値を取得しま す。 SnapLock API 一覧 | 113 snaplock-log-archive snaplock-log-archive API は、アクティブな SnapLock ログ ファイルをアーカイブします。 この API は、さらなる更新のために現在のログ ファイルを閉じ、将来のログ更新を書き込むために新 規ログ ファイルを開きます。 snaplock-log-status-list-info snaplock-log-status-list-info API は、アクティブな WORM ログ ファイルのステータスを 提供します。 snaplock-privileged-delete-file snaplock-privileged-delete-file API は、SnapLock ファイルに対して privileged delete を 実行します。 snaplock-set-log-volume snaplock-set-log-volume API は、アクティブなログ ボリュームの構成を設定します。 snaplock-set-options snaplock-set-options API は、ボリュームに対する SnapLock オプションを設定します。 file-get-fingerprint file-get-fingerprint API は、ファイルのフィンガープリントまたはダイジェストを取得します。 フィンガープリントは、MD5 または SHA-256 ダイジェスト アルゴリズムを使用して計算されます。 フィンガープリントは、ファイルのデータとメタデータのいずれか一方またはその両方に基づいて計 算されます。これは、選択した対象範囲によって異なります。 フィンガープリントは Base64 でエンコ ードされます。 データ フィンガープリントはファイル コンテンツに基づいて計算され、メタデータ フィンガープリント は選択したファイル属性に基づいて計算されます。 メタデータ フィンガープリント計算で使用される 属性は次のとおりです。 • • ファイル タイプ(file-type) ファイル サイズ(file-size) 114 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド • • • • • • ファイルの crtime(creation-time) ファイルの mtime(modified-time) ファイルの ctime(changed-time) ファイルの保持時間(retention-time、ラップアラウンド) ファイルの UID(owner-id) ファイルの GID(group-id) 注: ファイルの保持時間を適用できるのは、WORM 保護ファイルのみです。 snaplock-get-system-compliance-clock snaplock-get-system-compliance-clock は新しい SnapLock API であり、システム ComplianceClock 時間を取得します。 snaplock-get-volume-compliance-clock 新しい SnapLock API snaplock-get-volume-compliance-clock では、ボリューム ComplianceClock 時間が取得されます。 拡張日付範囲のメカニズム | 115 拡張日付範囲のメカニズム Data ONTAP は、1970 年 1 月 1 日 00 時 00 分 00 秒(GMT)からの経過秒数として解釈される 32 ビットの符号付き整数で時間を表示します。 この解釈による上限は、2038 年 1 月 19 日 03 時 14 分 07 秒(GMT)です。 拡張日付範囲のメカニズムにより、2038~2071 年の日付範囲が 1970~ 2003 年の日付範囲へ再配置されます。 記録保持期限の範囲拡張をサポートするため、SnapLock はアプリケーションが最長 2071 年 1 月 19 日(GMT)まで保持期限を指定できるメカニズムを提供しています。 このメカニズムは、2003 年 1 月 1 日 00 時 00 分 00 秒(GMT)の最終アクセス時刻に新規エポックを定義することにより機能 します。 時間範囲全体をオフにする代わりに、ラップアラウンド技術を使用して 2003 年 1 月 1 日 (GMT)以前の最終アクセス日を将来の日付として解釈します。 したがって、2003 年 1 月 1 日から 2003 年 1 月 19 日までの保持期限は標準形式と同じままです。 ただし、2038 年 1 月 1 日から 2071 年 1 月 19 日までの日付は過去の日付としてエンコードされます。 たとえば、記録保持期限が 2040 年 1 月 1 日に指定されたファイルは、保持期限が 1972 年 1 月 1 日として表示されます。 116 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド アプリケーションによるファイルの WORM 状態への設定 アプリケーションを SnapLock と統合することで、アプリケーションから個々のファイルを管理し、フ ァイルの保持期間を設定または延長し、ファイルを書き込み可能な状態から読み取り専用状態に 移行させて WORM 状態にコミットすることができます。 アプリケーションでファイルの保持期間を 設定するには、NFS を使用している場合は atime パラメータをし、CIFS を使用している場合は Date Accessed パラメータ を変更します。 開始する前に • • • • SnapLock ライセンスがインストールされている。 システム ComplianceClock が初期化されている。 SnapLock ボリュームが作成されている。 SnapLock ボリューム内のファイルが書き込み可能な状態になっている。 手順 1. ストレージ システム接続を作成します。 2. ファイルの保持期間を秒数または日付で設定します。 注: 保持期間を秒数で設定する場合、UNIX time_t 形式にする必要があります。 保持期 操作 間の設 定方法 秒数 a. snaplock-get-volume-compliance-clock API を使用してボリューム ComplianceClock 時間を取得します。 b. 保持期間を延長する必要があるか確認します。 • • 日付 秒数<=(0x7FFFFFFF - ボリューム ComplianceClock 時間)の場合は、通常の保持期 間(retention_period = 秒数 + ComplianceClock 時間)を使用します。 秒数>=(0x7FFFFFFF - ボリューム ComplianceClock 時間)の場合は、保持期間を延長 (retention_period = 秒 + ボリューム ComplianceClock 時間+1-0x7FFFFFFF)します。 a. 日付を UNIX time_t 形式に変換します(1970 年 1 月 1 日以降の秒数)。 この日付が保持 期間です。 b. 保持期間を延長する必要があるか確認します。 • 保持期間> 0x7FFFFFFF の場合は、保持期間を延長(retention_period= retention_period + 1 - 0x7FFFFFFF)します。 3. 手順 2 で計算した保持期間を使用して、ファイルを WORM 状態に設定します。 4. オプション:必要に応じて ストレージ システムの接続を終了します。 アプリケーションによるファイルの WORM 状態への設定 | 117 タスクの結果 ファイルが WORM 状態に設定されます。 関連コンセプト 拡張日付範囲のメカニズム(115 ページ) 118 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド SnapLock ボリュームのデフォルトを使用した保持期間 の設定 SnapLock ボリューム内のすべてまたは大多数のファイルに同じ保持期間を設定する場合は、 volume-set-option API を使用して SnapLock ボリュームのデフォルト(最小保持期間、最大保 持期間、デフォルトの保持期間)を設定できます。 開始する前に • • • SnapLock ライセンスがインストールされている。 システム ComplianceClock が初期化されている。 SnapLock ボリュームが作成されている。 手順 1. ストレージ システム接続を作成します。 2. volume-set-option API を使用し、次の値を該当する入力要素に入力して、ボリュームのデ フォルトの期間を設定します。 • • • volume: SnapLock ボリュームの名前。 option-name:snaplock_default _period option-value:デフォルト期間の値を秒、時間、日、月、または年単位で指定。 注: volume-set-option を使用して、ファイルの最小保持期間および最大保持期間を設定 することもできます。 3. オプション:必要に応じて ストレージ システムの接続を終了します。 終了後の操作 snaplock_default_period と同じ保持期間にするためには、ファイルを WORM 状態に変換す る必要があります。 SnapLock ボリューム オプションを設定すれば、 snaplock_default_period で指定した時間と 異なる保持期間を指定する場合をのぞいて、ファイルの保持期間を指定する必要はありません。 関連コンセプト SnapLock ボリューム保持期間の仕組み(26 ページ) アプリケーションでの SnapLock 自動コミット機能の使用 | 119 アプリケーションでの SnapLock 自動コミット機能の使用 SnapLock の自動コミット機能を使用することで、 SnapLock ボリューム内のファイルを自動的に WORM 状態にコミットできます。 開始する前に • • • SnapLock ライセンスがインストールされている。 システム ComplianceClock が初期化されている。 SnapLock ボリュームが作成されている。 タスク概要 • • 自動コミット機能はボリュームレベルのオプションです。 有効にすると、その SnapLock ボリュー ム内のすべてのファイルに対して有効になります。 自動的に WORM 状態にコミットされたファイルには、 SnapLock ボリュームのデフォルトの保 持期間が適用されます。 ただし、自動コミットされる前にファイルの atime 値を明示的に変更 した場合には、ファイルの保持期限はその atime 値になります。 手順 1. ストレージ システム接続を作成します。 2. volume-set-option API を使用し、次の値を該当する入力要素に入力して自動コミット期間 を設定します。 • • • volume:ボリューム名 option_name:snaplock_autocommit_period option-value:[h|d|m|y](時間数、日数、月数、年数)形式の自動コミット期間 3. volume-options-list-info API を使用し、次の値を該当する入力要素に入力して SnapLock ボリュームの現在自動コミット期間を取得します。 • volume:ボリューム名 4. オプション:必要に応じて ストレージ システムの接続を終了します。 関連コンセプト SnapLock 自動コミット機能の仕組み(31 ページ) 120 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド Data ONTAP API による SnapLock 機能の実装方法 アプリケーションは Data ONTAP API を使用して、SnapLock 機能に含まれる privileged delete や 追記可能 WORM ファイルを活用できます。 アプリケーションはこれらの SnapLock 機能を活用す ることにより、ソリューション全体をさらに強化できます。 アプリケーションでの SnapLock privileged delete 機能の使用 | 121 アプリケーションでの SnapLock privileged delete 機 能の使用 Data ONTAP API スイートを使用すると、SnapLock Enterprise ボリュームに対して privileged delete 処理を実行するようにアプリケーションを設定できます。 privileged delete では、権限を持つユーザ (Compliance Administrator グループのメンバー)が、保持ポリシーで書き換え不可に設定されてい るファイルを削除できます。 開始する前に • • • SnapLock ライセンスがインストールされている。 システム ComplianceClock が初期化されている。 SnapLock ボリュームが作成されている。 手順 1. Compliance Administrators グループに属する、権限を持つユーザを作成します。 useradmin-user-add Data ONTAP API を使用し、Compliance Administrators グループに新 しいユーザ情報とメンバーシップを指定します。 2. コンプライアンス ログ ボリュームを有効にします。 ログ ボリュームの種類は SnapLock Compliance である必要があります。 アプリケーションから volume-create Data ONTAP API を使用して、ボリュームを SnapLock Compliance ボリュー ムに設定します。 3. snaplock-set-log-volume Data ONTAP API を使用し、新しく作成したボリュームの名前を 入力パラメータに指定して、そのボリュームをコンプライアンス ログ ボリュームに設定します。 4. CLI から、SnapLock Enterprise ボリュームの privileged delete 機能を有効にします。 snaplock-set-options Data ONTAP API を使用して、オプションを privdel に、オプション 値を on に指定します。 5. SSH でログインします。 SSH または Telnet セッションは、他のセッションとは切り離して維持する必要があります。 6. SnapLock Enterprise ボリュームのファイルを削除します。 snaplock-privileged-delete-file Data ONTAP API を使用し、do it フラグを true に 指定してファイル パスを指定します。 122 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド 関連コンセプト privileged delete 機能とは(35 ページ) アプリケーションでの SnapLock ロギング機能の使用 | 123 アプリケーションでの SnapLock ロギング機能の使用 SnapLock ロギング機能によって、SnapLock イベントのロギングが可能になります。 ログ ファイル は、SnapLock Compliance ボリューム内に WORM ファイルとして格納されます。 privileged delete アクティビティが処理が実行されるたびに、ログにイベントが記録されます。 開始する前に • • • SnapLock Compliance ライセンスがインストールされている。 システム ComplianceClock が初期化されている。 SnapLock ボリュームが作成されている。 手順 1. ログ ボリュームを割り当てます。 snaplock-set-log-volume Data ONTAP API を使用し、入力パラメータにログ ボリュームの 名前を指定します。 2. ログ ファイルをアーカイブします。 この場合のアーカイブとは、ログ ファイルを WORM 状態にコミットすることを意味します。 snaplock-log-archive Data ONTAP API を使用して、入力パラメータにログのベースネー ムおよびログ ボリュームを指定します。 3. ログ ファイルのステータスを表示します。 snaplock-log-status-list-info Data ONTAP API を使用し、入力パラメータにログのベ ースネームおよびログ ボリュームを指定します。 関連コンセプト SnapLock ロギングとは(41 ページ) 124 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド イベントベースの保持とは イベントベースの保持とは、イベントの発生に基づいてレコードを保持することです。 レコードは、イ ベント発生時またはイベント発生から特定の年数が経過した時に削除する必要があります。 たとえば、保険契約の保持期間が被保険者の死亡から 10 年間に設定されていて、被保険者が 2010 年 3 月 5 日に死亡した場合には、イベントがトリガーされます。 したがって、イベントに基づ いて契約は 2020 年 3 月 4 日まで保持され、2020 年 3 月 5 日以降は削除される可能性がありま す。 注: SnapLock に標準のイベントベースの保持機能はありませんが、SnapLock の標準機能を使 用してこの機能を実装できます。 関連タスク イベントベースの保持およびリーガル ホールドの実装(127 ページ) リーガル ホールドとは | 125 リーガル ホールドとは リーガル ホールドとは、おそらく照会作業が進行中であることを理由に、ホールド命令が適用され たレコードを保持することです。 レコードはホールドの有効期限が切れるまで保持されます。 リー ガル ホールドは、イベントベースの保持よりも優先されます。 たとえば、保険契約の保持期間が被保険者の死亡から 10 年間に設定されていて、被保険者が 2010 年 3 月 5 日に死亡した場合には、イベントがトリガーされ、契約は 2020 年 3 月 4 日まで保 持されます。 レコードが削除できるのは 2020 年 3 月 5 日以降に限られます。 契約のリーガル ホ ールドが 2016 年 8 月 15 日に適用され、ホールドが 2020 年 3 月 5 日においても有効な場合、契 約は削除できません。 契約が削除できるのはリーガル ホールドの解除後に限られます。 注: SnapLock に標準のリーガル ホールド機能はありませんが、SnapLock の標準機能を使用し てこの機能を実装できます。 関連タスク イベントベースの保持およびリーガル ホールドの実装(127 ページ) 126 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド SnapLock を使用したイベントベースの保持機能および リーガル ホールド機能の実装 SnapLock は、イベントベースの保持機能およびリーガル ホールド機能を標準搭載していません。 ただし、SnapLock の標準機能を使用してこれらの機能を実装できます。 SnapLock Enterprise ボリュームを使用して、infinite の保持期間を割り当てることができます。 これにより、ボリューム内の WORM 状態にコミットされたすべてのファイルに無制限の保持期間 が設定され、削除できなくなります。 イベントベースの保持、リーガル ホールド要件、実際のイベン トにより発生するワークフローに基づき、privileged delete 機能を使用して削除が必要なファイルを 削除できます。 たとえば、契約の保持期間が被保険者の死亡から 10 年間に設定されていて、被保険者が 2010 年 3 月 5 日に死亡した場合、アプリケーションはそのイベントをキャプチャして検証します。 アプリ ケーションはその契約を 10 年間保持する必要があると判断し、privileged delete を使用して契約 が 2020 年 3 月 5 日に削除されるようにフラグ付けします。 2020 年 3 月 5 日までに何も起きなけ れば、アプリケーションは 2020 年 3 月 5 日に契約を削除します。 ただし、2016 年 8 月 15 日にリ ーガル ホールドが契約に適用された場合、アプリケーションはこの情報をキャプチャし、契約を 2020 年 3 月 5 日に削除するのではなく、リーガル ホールドが解除された時点で削除する必要が あると判断します。 リーガル ホールドが 2021 年 1 月 11 日に解除されると、アプリケーションは privileged delete 機能を使用して契約を削除します。 注: アプリケーションは、SnapLock ボリュームの ComplianceClock が示す時間を参照します。 関連コンセプト privileged delete 機能とは(35 ページ) リーガル ホールドとは(125 ページ) イベントベースの保持とは(124 ページ) イベントベースの保持およびリーガル ホールドの実装 | 127 イベントベースの保持およびリーガル ホールドの実装 イベントをキャプチャして検証し、そのイベントに対して必要な処理を実行できます。 イベントに応じ て、レコードに DELETE または DONT_DELETE というフラグを付けることができます。 DELETE とマークされたファイルは、SnapLock privileged delete 機能を使用して削除できます。 開始する前に • • • • • • privileged delete が有効になっている。 ファイルが WORM 状態である。 ファイルが SnapLock Enterprise ボリュームに格納されている。 システム ComplianceClock が初期化されている。 SnapLock Enterprise ボリュームのデフォルトの保持期間が無制限に設定されている。 イベントベースの保持またはリーガル ホールド機能を実装するためにアプリケーションで使用 する内部データベースが用意されている。 手順 1. イベントを調べて、イベント発生の原因になったレコードを取得します。 2. イベントを選択します。 イベントの種類 操作 イベントベースの 保持イベントが発 生する(被保険者 の死亡など) a. ファイルを削除するまでの保持期間を決定します。 たとえば、契約の保持期間が被保険者の死亡から 10 年間に設定されていて、 被保険者が 2010 年 3 月 5 日に死亡した場合には、アプリケーションはその契 約を 10 年間保持する必要があると判断します。 b. 次の式に基づいて削除日を計算します。削除日 = ボリューム ComplianceClock 日 + 保持期間。 c. このファイルに対応するデータベースに行を追加してと削除日(レコード)を追 加し、削除日にファイルを削除します。 リーガル ホールド a. データベース内でレコードを検索します。 b. レコードを編集してパスおよび削除日を指定し、レコードに DONT_DELETE と いうフラグを付けます。 リーガル ホールド の解除 a. データベース内でレコードを検索します。 b. レコードを編集してパスおよび削除日を指定し、レコードに DELETE というフラ グを付けます。 3. データベースをスキャンして、DELETE とマークされているすべてのファイルを検索します。 128 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド 4. privileged delete 機能を使用してファイルを削除します。 privileged delete 機能を使用したレコードの削除 | 129 privileged delete 機能を使用したレコードの削除 トリガーされたイベントに基づき、SnapLock privileged delete 機能を使用して DELETE とマークさ れたレコードを削除できます。 開始する前に • • • ファイルが SnapLock Enterprise ボリュームに保存されています。 ボリューム上で privileged delete 機能が有効化されています。 ボリュームのデフォルトの保持期間が制限なしに設定されています。 手順 1. データベースをスキャンして、DELETE とマークされているすべてのファイルを検索します。 2. privileged delete 機能を使用してファイルを削除します。 関連タスク privileged delete を使用した WORM ファイルの削除(39 ページ) 130 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド アプリケーションを使用してファイルを WORM 状態に設 定する例 Data ONTAP API を使用して、ファイルを WORM 状態に設定するようにアプリケーションをセット アップできます。 保持期間を設定する例 C#を使用 using System; using System.Text; using NetApp.Manage; void set_to_worm_with_retention_period(string serverip, string serverusername, string serverpasswd, string path, long seconds) { NaElement xi; NaElement xo; NaServer s; long complianceclocktime; long retentionperiod; try { //Initialize connection to server, and //request version 1.3 of the API set s = new NaServer(serverip, 1, 3); s.Style = NaServer.AUTH_STYLE.LOGIN_PASSWORD; s.SetAdminUser(serverusername, serverpasswd); //get the ComplianceClock time xi = new NaElement("snaplock-get-volume-compliance-clock" ); //Invoke ONTAP API xo = s.InvokeElem(xi); complianceclocktime = Convert.ToInt64(xo.GetChildContent("snaplockvolume-compliance-clock"));//long is of .NET framework type System.Int64 //check if retention period falls within the normal range or //requires the use of the extended range if (seconds <= 0x7FFFFFFF - complianceclocktime) { //use of normal range retentionperiod = seconds + complianceclocktime; } else { //use of extended range retentionperiod = seconds + complianceclocktime + 1 0x7FFFFFFF; アプリケーションを使用してファイルを WORM 状態に設定する例 | 131 } // set file to WORM state with this retention period xi = new NaElement("file-set-snaplock-retention-time"); xi.AddNewChild("path", path); xi.AddNewChild("retention-time", retentionperiod.ToString()); //Invoke ONTAP API xo = s.InvokeElem(xi); } catch (Exception e) { Console.Error.WriteLine(e.Message); } } 保持期限を設定する例 C#を使用 void set_to_worm_with_retention_date(string serverip, string serverusername, string serverpasswd, string path, DateTime date) { NaElement xi; NaElement xo; NaServer s; long retentionperiod; try { //Initialize connection to server, and //request version 1.3 of the API set s = new NaServer(serverip, 1, 3); s.Style = NaServer.AUTH_STYLE.LOGIN_PASSWORD; s.SetAdminUser(serverusername, serverpasswd); //convert date to UTC retentionperiod = (date.ToUniversalTime().Ticks - new DateTime(1970,1,1,0,0,0,0).Ticks)/10000000; // if the retention period is not in the normal date range, //then use of the extended range will be necessary if (retentionperiod > 0x7FFFFFFF) //use of extended date range retentionperiod = retentionperiod + 1- 0x7FFFFFFF; // set file to WORM state with this retention period xi = new NaElement("file-set-snaplock-retention-time"); xi.AddNewChild("path", path); xi.AddNewChild("retention-time", retentionperiod.ToString()); //Invoke ONTAP API xo = s.InvokeElem(xi); } catch (Exception e) { Console.Error.WriteLine(e.Message); 132 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド } } SnapLock ボリュームのデフォルトの設定例 | 133 SnapLock ボリュームのデフォルトの設定例 Data ONTAP API を使用して、SnapLock のデフォルト期間を設定するようにアプリケーションをセ ットアップできます。 C#を使用 using System; using System.Text; using NetApp.Manage; void set_snaplock_default_period(string serverip, string serverusername, string serverpasswd, string volume, long numberofdays) { NaElement xi; NaElement xo; NaServer s; try { //Initialize connection to server, and //request version 1.3 of the API set s = new NaServer(serverip, 1, 3); s.Style = NaServer.AUTH_STYLE.LOGIN_PASSWORD; s.SetAdminUser(serverusername, serverpasswd); //set option snaplock_default_period to numberofdays xi = new NaElement("volume-set-option"); xi.AddNewChild("option-name", "snaplock_default_period"); xi.AddNewChild("option-value", numberofdays.ToString()+"d"); xi.AddNewChild("volume", volume); //Invoke ONTAP API xo = s.InvokeElem(xi); } catch (Exception e) { Console.Error.WriteLine(e.Message); } } 134 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド 自動コミット機能および時間間隔の設定例 Data ONTAP API を使用して、SnapLock 自動コミット機能および時間間隔を設定するアプリケーシ ョンをセットアップできます。 C#を使用 using System; using System.Text; using NetApp.Manage; void set_snaplock_autocommit_period(string volume_name, serverip, string serverusername, string serverpasswd, int autocommitperiodhrs) { NaElement xi; NaElement xo; NaServer s; try { //Initialize connection to server, and //request version 1.3 of the API set s = new NaServer(serverip, 1, 3); s.Style = NaServer.AUTH_STYLE.LOGIN_PASSWORD; s.SetAdminUser(serverusername, serverpasswd); //set volume-level snaplock_autocommit_period to autocommitperiodhrs xi = new NaElement("volume-set-options"); xi.AddNewChild("volume", "volume_name"); xi.AddNewChild("option_name", "snaplock_autocommit_period"); xi.AddNewChild("option_value", autocommitperiodhrs.ToString()+"h"); //Invoke ONTAP API xo = s.InvokeElem(xi); } catch (Exception e) { Console.Error.WriteLine(e.Message); } } Compliance Administrator の作成例 | 135 Compliance Administrator の作成例 Data ONTAP API を使用して、Compliance Administrator を作成できます。 C#を使用 using using using using System; System.Text; System.Collections.Generic; NetApp.Manage; void create_compliance_user(string serverip, string serverusername, string serverpasswd, string username, string passwd) { NaElement xi; NaElement xo; NaElement user; NaElement userinfo; NaElement group; NaElement groupinfo; NaServer s; try { //Initialize connection to server, and //request version 1.3 of the API set s = new NaServer(serverip, 1, 3); s.Style = NaServer.AUTH_STYLE.LOGIN_PASSWORD; s.SetAdminUser(serverusername, serverpasswd); //The ComplianceUser is part of group 'Compliance //Administrators' //Create useradmin-user-add ONTAPI API xi = new NaElement("useradmin-user-add"); //Create useradmin-user structure user = new NaElement("useradmin-user"); //Create useradmin-user-info structure userinfo = new NaElement("useradmin-user-info"); //Add username userinfo.AddNewChild("name", username); //Create useradmin-groups structure group = new NaElement("useradmin-groups"); //Create useradmin-group-info structure groupinfo = new NaElement("useradmin-group-info"); //Add groupname "Compliance Administrators" groupinfo.AddNewChild("name", "Compliance Administrators"); group.AddChildElement(groupinfo); userinfo.AddChildElement(group); user.AddChildElement(userinfo); //Add useradmin-user and password xi.AddChildElement(user); xi.AddNewChild("password",passwd); //Invoke useradmin-user-list ONTAP API 136 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド xo = s.InvokeElem(xi); } catch (Exception e) { Console.Error.WriteLine(e.Message); } } SnapLock ログ ボリュームの設定例 | 137 SnapLock ログ ボリュームの設定例 Data ONTAP API を使用して、SnapLock ログ ボリュームを設定するようにアプリケーションをセッ トアップできます。 C#を使用 void set_snaplock_log_volume(string serverip, string serverusername, string serverpasswd, string snaplockcompliancevolume) { NaElement xi; NaElement xo; NaServer s; try { //Initialize connection to server, and //request version 1.3 of the API set s = new NaServer(serverip, 1, 3); s.Style = NaServer.AUTH_STYLE.LOGIN_PASSWORD; s.SetAdminUser(serverusername, serverpasswd); //Check to see if log volume has already been set //If not set, set the log volume, otherwise just return //Create snaplock-get-log-volume ONTAPI API xi = new NaElement("snaplock-get-log-volume"); //Invoke snaplock-get-log-volume ONTAP API xo = s.InvokeElem(xi); if (string.Compare(xo.GetChildContent("log-volume"),"Not configured")!=0) //Log volume already setup return; else { //Setup log volume xi = new NaElement("snaplock-set-log-volume"); xi.AddNewChild("log-volume", snaplockcompliancevolume); //Invoke snaplock-set-log-volume ONTAP API xo = s.InvokeElem(xi); } } catch (Exception e) { Console.Error.WriteLine(e.Message); } } 138 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド privileged delete 機能有効化の例 Data ONTAP API を使用して、SnapLock privileged delete 機能を有効化できます。 C#を使用 void set_privdel_on(string serverip, string serverusername, string serverpasswd, string snaplockenterprisevolume) { NaElement xi; NaElement xo; NaServer s; try { //Initialize connection to server, and //request version 1.3 of the API set s = new NaServer(serverip, 1, 3); s.Style = NaServer.AUTH_STYLE.LOGIN_PASSWORD; s.SetAdminUser(serverusername, serverpasswd); //Set the privileged delete option ON xi = new NaElement("snaplock-set-options"); xi.AddNewChild("option", "privdel"); xi.AddNewChild("option-value", "on"); xi.AddNewChild("volume", snaplockenterprisevolume); //Invoke snaplock-set-options ONTAP API xo = s.InvokeElem(xi); } catch (Exception e) { Console.Error.WriteLine(e.Message); } } privileged delete の実行例 | 139 privileged delete の実行例 Data ONTAP API を使用して、privileged delete を実行できます。 C#を使用 void privileged_delete(string serverip, string serverusername, string serverpasswd, string path) { NaElement xi; NaElement xo; NaServer s; try { //Initialize connection to server, and //request version 1.3 of the API set s = new NaServer(serverip, 1, 3); s.Style = NaServer.AUTH_STYLE.LOGIN_PASSWORD; //transport needs to be HTTPS s.TransportType = NaServer.TRANSPORT_TYPE.HTTPS; s.SetAdminUser(serverusername, serverpasswd); //delete the file xi = new NaElement("snaplock-privileged-delete-file"); xi.AddNewChild("do-it", "true"); xi.AddNewChild("path", path); //Invoke snaplock-set-options ONTAP API xo = s.InvokeElem(xi); } catch (Exception e) { Console.Error.WriteLine(e.Message); } } 140 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド SnapLock のエラー メッセージ 次の表に、SnapLock の一般的なエラー メッセージ、考えられる原因、適切な対処の一覧を示しま す。 エラー メッセージ 原因 snaplock.log.mdata.IOerr このイベントは、SnapLock ロ ギング メタデータ I/O エラー が発生した場合に生成されま す。 SnapLock ロギング シス テムは、この状態が解決され るまで機能しません。 適切な対処 SnapLock ログ ファイル I/O エ ラーは、ボリュームがフルにな った場合またはログ ファイルが 破損した場合に発生します。 ロ ギング要件を満たす十分なディ スク スペースがあることを確認 してください。 ファイルが破損し た可能性がある場合、 snaplock log archive コマ ンドによりログをアーカイブする か、snaplock log volume コ マンドによりログ ボリュームを 変更します。 snaplock.log.IO.error このイベントは、SnapLock ロ グ ファイル I/O エラーが発生 した場合に生成されます。 SnapLock ロギング システム は、この状態が解決されるま で機能しません。 SnapLock ログ ファイル I/O エラ ーは、ボリュームがフルになっ た場合またはログ ファイルが破 損した場合に発生します。 ロギ ング要件を満たす十分なディス ク スペースがあることを確認し てください。 ファイルが破損した 可能性がある場合、snaplock log archive コマンドによりロ グをアーカイブするか、 snaplock log volume コマン ドによりログ ボリュームを変更 します。 snaplock.user このイベントは、SnapLock ロ ギング システムがコンプライ アンス グループに対するコン プライアンス ユーザの追加 や削除の記録に失敗した場 合に生成されます。 実際の 処理は成功している可能性 修正措置は不要です。 ただし、 当該要求のセキュア ログが存 在しない可能性があるため、正 しい処理を実行するには SnapLock ログ ボリュームを確 認する必要があります。 SnapLock のエラー メッセージ | 141 エラー メッセージ 原因 があります。 このイベントは、 セキュアな要求のロギングに 障害が発生した場合にのみ 適用されます。 適切な対処 142 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド 著作権に関する情報 Copyright © 1994–2011 NetApp, Inc. All rights reserved. Printed in the U.S.A. このドキュメントは著作権によって保護されています。著作権所有者の書面による事前承諾がある 場合を除き、画像媒体、電子媒体、および写真複写、記録媒体、テープ媒体、電子検索システム への組み込みを含む機械媒体など、いかなる形式および方法による複製も禁止します。 ネットアップの著作物から派生したソフトウェアは、次に示す使用許諾条項および免責条項の対象 となります。 このソフトウェアは、ネットアップによって「現状のまま」提供されています。明示的な保証、または 商品性および特定目的に対する適合性の暗示的保証を含み、かつこれに限定されないいかなる 暗示的な保証も行ないません。ネットアップは、代替品または代替サービスの調達、使用不能、デ ータ損失、利益損失、業務中断を含み、かつこれに限定されない、このソフトウェアの使用により 生じたすべての直接的損害、間接的損害、偶発的損害、特別損害、懲罰的損害、必然的損害の 発生に対して、損失の発生の可能性が通知されていたとしても、その発生理由、根拠とする責任 論、契約の有無、厳格責任、不法行為(過失またはそうでない場合を含む)にかかわらず、一切の 責任を負いません。 ネットアップは、ここに記載されているすべての製品に対する変更を随時、予告なく行う権利を保 有します。ネットアップによる明示的な書面による合意がある場合を除き、ここに記載されている 製品の使用により生じる責任および義務に対して、ネットアップは責任を負いません。この製品の 使用または購入は、ネットアップの特許権、商標権、または他の知的所有権に基づくライセンスの 供与とはみなされません。 このマニュアルに記載されている製品は、1 つ以上の米国特許、その他の国特許、および出願中 の特許によって保護されている場合があります。 権利の制限について:政府による使用、複製、開示は、DFARS 252.227-7103(1988 年 10 月)およ び FAR 52-227-19(1987 年 6 月)の Rights in Technical Data and Computer Software(技術データ およびコンピュータソフトウェアに関する諸権利)条項の(c) (1) (ii)項、に規定された制限が適宜適 用されます。 商標に関する情報 | 143 商標に関する情報 NetApp、NetApp のロゴ、Network Appliance、Network Appliance のロゴ、Akorri、 ApplianceWatch、ASUP、AutoSupport、BalancePoint、BalancePoint Predictor、Bycast、Campaign Express、ComplianceClock、Cryptainer、CryptoShred、Data ONTAP、DataFabric、DataFort、 Decru、Decru DataFort、DenseStak、Engenio、Engenio logo、E-Stack、FAServer、FastStak、 FilerView、FlexCache、FlexClone、FlexPod、FlexScale、FlexShare、FlexSuite、FlexVol、FPolicy、 GetSuccessful、gFiler、Go further、faster、Imagine Virtually Anything、Lifetime Key Management、 LockVault、Manage ONTAP、MetroCluster、MultiStore、NearStore、NetCache、NOW (NetApp on the Web)、Onaro、OnCommand、ONTAPI、OpenKey、PerformanceStak、RAID-DP、ReplicatorX、 SANscreen、SANshare、SANtricity、SecureAdmin、SecureShare、Select、Service Builder、Shadow Tape、Simplicity、Simulate ONTAP、SnapCopy、SnapDirector、SnapDrive、SnapFilter、SnapLock、 SnapManager、SnapMigrator、SnapMirror、SnapMover、SnapProtect、SnapRestore、Snapshot、 SnapSuite、SnapValidator、SnapVault、StorageGRID、StoreVault、StoreVault のロゴ、SyncMirror、 Tech OnTap、The evolution of storage、Topio、vFiler、VFM、Virtual File Manager、VPolicy、 WAFL、Web Filer、および XBB は米国またはその他の国あるいはその両方における NetApp, Inc.の登録商標です。 IBM、IBM ロゴ、および ibm.com は、米国、その他の国、またはその両方における International Business Machines Corporation の登録商標です。 IBM の商標の完全かつ最新のリストは、Web サイト www.ibm.com/legal/copytrade.shtml でご覧いただけます。 Apple は、米国、その他の国、またはその両方における Apple, Inc.の登録商標です。QuickTime は、米国、 その他の国、またはその両方における RealNetworks, Inc.の商標です。 Microsoft は、 米国、その他の国、またはその両方における Microsoft Corporation の登録商標です。Windows Media は、米国、 その他の国、またはその両方における RealNetworks, Inc.の商標です。 RealAudio、RealNetworks、RealPlayer、RealSystem、RealText、RealVideo は、米国、その他の国、 またはその両方における RealNetworks, Inc.の登録商標です。RealMedia、RealProxy、SureStream は、米国、 その他の国、またはその両方における RealNetworks, Inc.の商標です。 その他のブランドまたは製品は、それぞれを保有する各社の商標または登録商標であり、相応の 取り扱いが必要です。 Network Appliance は、CompactFlash および CF ロゴの両商標に対する使用許諾を有していま す。 NetApp, Inc. NetCache は、RealSystem の認定互換製品です。 144 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド ご意見をお寄せください 弊社では、マニュアルの品質を向上していくため、皆様からのフィードバックをお待ちしています。 いただいたフィードバックは、今後のマニュアル作成に役立てさせていただきます。 ご意見やご要 望は、[email protected] までお寄せください。 その際、担当部署で適切に対応 させていただくため、製品名、バージョン、オペレーティング システムなどの基本情報を必ず入れ てください。 郵送の場合の宛先は、次のとおりです。 • • • • 〒 105-0001 東京都港区虎ノ門 4 丁目 1 番 8 号 虎ノ門 4 丁目 MT ビル ネットアップ株式会社 注:弊社営業担当者名を記載してください 索引 | 145 索引 C S ComplianceClock ComplianceClock について 11 使用 14 SnapLock AutoSupport のサポート 11 Compliance Administrator の作成例 135 Data ONTAP API を使用した privileged delete 機能 有効化の例 138 Data ONTAP API を使用した privileged delete によ るファイル削除の例 139 Data ONTAP API を使用した SnapLock ログ ボリュ ームの設定例 137 Data ONTAP API を使用してファイルを WORM 状 態に自動コミットする例 134 file-get-snaplock-retention-time 概要 112 file-get-snaplock-retention-time-list-info-max 概要 112 file-set-snaplock-retention-time 概要 112 file-snaplock-retention-time-list-info 概要 112 ONTAPI を使用した自動コミット 119 privileged delete のためのアプリケーションの設定 D Data ONTAP API による SnapLock の管理 105 SnapLock API について 105 Data ONTAP CLI コマンド 102 Data ONTAPI 機能 110 Data ONTAP による SnapLock ボリューム内で削除され たファイルの追跡方法 50 F file-get-fingerprint 概要 113 O ONTAPI ONTAPI について 106 P privileged delete privileged delete の禁止 38 privileged delete の無効化 38 privileged delete の有効化 38 SnapMirror 40 WORM ファイルの削除 39 概要 35 個別のセッションの確認 37 仕組み 35 制限 37 privileged delete を使用したファイルの削除 129 121 SnapLock Compliance 書き込み検証オプション 18 snaplock-get-log-volume 概要 112 snaplock-get-options 概要 112 snaplock-log-archive 概要 113 snaplock-privileged-delete-file 概要 113 SnapLock 関連の Data ONTAP API, リスト 111 SnapLock について 9 SnapLock の仕組み 9 SnapLock のデフォルトの設定例 133 SnapLock ボリュームの作成 16 SnapLock ボリュームのデフォルトの使用 118 SnapLock ロギングのためのアプリケーションの設 定 123 write_verify オプション 18 アグリゲートの削除 50 アグリゲートの作成 17 146 | Data ONTAP 8.1 7-Mode アーカイブ・コンプライアンス 管理ガイド アプリケーションによる SnapLock 機能の使用 120 エラー メッセージ 140 サポートされているハードウェア プラットフォーム 10 トラディショナル SnapLock ボリュームの作成 16 ファイルを WORM 状態に設定する例 130 ボリュームの削除 50 ライセンス 10 SnapLock for SnapVault SnapVault セカンダリ ストレージ システムのボリュ ーム サイズ見積 69 ログ ボリューム サイズの見積 70 SnapLock for SnapVault 機能 SnapLock for SnapVault 機能について 67 SnapLock for SnapVault 機能の使用に関するガイドラ イン SnapMirror を使用したバックアップおよびスタンバ イ保護 98 SnapVault バックアップの設定 71 SnapVault ログ ファイルの管理 92 SnapVault を使用した WORM Snapshot コピーの管 理 76 キャパシティ プランニング 69 snaplock-get-system-compliance-clock 114 snaplock-get-volume-compliance-clock 114 snaplock-log-status-list-info 概要 113 snaplock-set-log-volume 概要 113 snaplock-set-options 概要 113 snaplock clock initialize 12 snaplock clock status 13 SnapLock ボリューム内で削除されたファイル, Data ONTAP による追跡 50 SnapLock ロギング SnapLock ロギングについて 41 SnapLock ロギングの制限事項 46 SnapLock ロギングの利点 45 SnapLock ログ ファイルの種類 41 SnapLock ログ ファイルの割り当て 46 アップグレードまたはリバートに関する問題 49 ログ エントリの内容 42 ログ ファイルのアーカイブ 47, 48 ログ ファイルのステータス確認 48 SnapMirror FlexVol の Volume SnapMirror 関係の作成 64 SnapLock qtree 再同期化の制限事項 61 SnapMirror 関係の設定 63 SnapMirror による SnapLock ボリュームの保護 61 制限 63 ダンプ ファイルからの抽出 62 ダンプ ファイルについて 62 トラディショナル ボリュームの Volume SnapMirror 関係の作成 65 SnapVault license add コマンド 71 snapvault.access オプション(アクセスの制御) 71 snapvault.enable on オプション(SnapVault をオンに する) 71, 72 SnapVault セカンダリ ストレージ システムでの SnapVault 更新バックアップのスケジュール設定 74 SnapVault ログ ファイルのコンプライアンス 92 V vFiler ユニット SnapLock との連携 57 SnapLock ボリュームから vFiler ユニットのルートを 移動 57 vFiler ユニットの制限事項 58 volume-create 111 W WORM データ WORM 状態へのコミット 31 WORM データの管理 20 遅延時間の設定 32 データの WORM 状態への移行 20 保持期限の延長 22 WORM ファイル 仕組み 19 あ アクティブ / アクティブ構成 SnapLock ノレンケイ 59 か 拡張日付範囲 115 索引 | 147 CLI コマンド 53 出力パラメータ 54 対象範囲 52 入力パラメータ 53 フィンガープリントについて 52 し システム ComplianceClock 初期化 12 説明 12 システム ComplianceClock およびボリューム ComplianceClock 時間の表示 13 システム ComplianceClock の初期化 12 自動コミット SnapLock ボリュームの自動コミット期間の表示 34 自動コミット機能 説明 31 た ダンプ ファイル qtree 再同期化後のファイル抽出 62 ダンプファイルについて 62 つ 追記可能 WORM ファイル 追記可能 WORM ファイルについて 23 追記可能 WORM ファイルの作成 23 ふ フィンガープリント ほ 保持期間 vol status -w 26 最小保持期間について 27 最小保持期間の設定 28 最大保持期間について 28 最大保持期間の設定 29 仕組み 26 デフォルトの保持期間について 29 デフォルトの保持期間の設定 30 保持期間の概要 25 ボリュームの保持期間の表示 26 ボリューム ComplianceClock 説明 12 ボリューム ComplianceClock について 12 れ レコードに対するイベントベースの保持およびリーガル ホールド 127
© Copyright 2024 Paperzz