Data Domain: Retention Lock Hakkında Sıkça Sorulan Sorular (SSS)

Tutma kilidi nedir?
Tutma kilidi, önceden belirlenmiş bir süre boyunca belirli dosya gruplarının değiştirilmesini veya silinmesini önlemek üzere Data Domain Restorer'larda (DDR'ler) kullanılan bir özelliktir. Diğer bir ifadeyle, tutma kilidi uygulanmış dosyalar saklama süresi dolana kadar salt okunur olur.

Tutma kilidinin farklı sürümleri nelerdir?
Tutma kilidi iki farklı işlev için kullanılabilir:

• Yönetim: İki tutma kilidi işlevinden daha az sıkı olanıdır (dosya kilitleri gerekirse geri açılabilir).
• Compliance (Uyumluluk): İki tutma kilidi işlevinden daha sıkı olanıdır; yaygın kullanılan birçok düzenleyici standartla uyumludur. Bu işlevde dosya kilitleri geri açılamaz. DDR, belirli komutları doğrulaması gereken bir "güvenlik görevlisi" kullanıcısıyla yapılandırılmalıdır. Kilitli verilerin kaldırılmasını veya kilitlerin vaktinden önce geri açılmasını önlemek amacıyla diğer işlevlere yönelik çeşitli kısıtlamalar vardır.

Tutma kilidi işlevi ile hangi veri erişim protokolleri desteklenir?

• NFS, CIFS ve DD Boost protokolleri, tutma kilidi işlevinin yönetim veya uyumluluk modlarını kullanan MTree'lerde tam olarak desteklenmektedir.
• Sanal Teyp Kitaplığı (VTL) protokolü yalnızca tutma kilidinin yönetim modu kullanılan MTree'lerde desteklenir. Otomatik tutma kilidi Data Domain VTL'de desteklenmez. Tutma kilidi uygulanmış teyplerin kilidinin nasıl açılıp üzerine nasıl yazılabileceğini belirlemek için Data Domain Yönetim Kılavuzu'na bakın.

Tutma kilidi uyumluluk modu çeşitli düzenleyici standartları karşılar:
Tutma kilidi uyumluluk modunun karşıladığı düzenleyici standartların listesine şu standartlar dahildir:     

• SEC 17a-4(f)
• CFTC Kural 1.31b
• FDA 21 CFR Bölüm 11
• Sarbanes-Oxley Act
• IRS 98025 ve 97-22
• ISO Standardı 15489-1
• MoREQ2010

Ayrıntılı sertifika bilgileri için sözleşmeli destek sağlayıcınızla iletişime geçin.

Tutma kilidi yönetimi nasıl etkinleştirilir?

• DDR'ye bir tutma kilidi yönetim lisansı eklenir.
• Tutma kilidi yönetim modu, gerekli tüm MTree'ler için etkinleştirilir:     

# mtree retention-lock enable mode governance mtree [mtree]

Tutma kilidi uyumluluğu nasıl etkinleştirilir?

• iDRAC bulunan daha yeni Data Domain modelleri için özel talimatlar bulunur.
• DDR'ye bir tutma kilidi uyumluluk lisansı eklenir.
• "Güvenlik" rolüne sahip bir kullanıcı oluşturulmalıdır (böyle bir kullanıcının mevcut olmadığı varsayılarak):     

(ADMIN USER) # user add [username] role security

•  “Güvenlik" rolüne sahip olan kullanıcı DDR'de oturum açmalı ve güvenlik kullanıcısı yetkisini etkinleştirmelidir:     

(SECURITY USER): # authorization policy set security-officer enabled

• Sistem, tutma kilidi uyumluluk modu için yapılandırılmalıdır. Aşağıdaki komutun çalıştırılması tamamlandıktan sonra sistem otomatik olarak yeniden başlatılır:     

(ADMIN USER) # system retention-lock compliance configure

• Sistem yeniden başlatıldıktan sonra, sistemde tutma kilidi uyumluluk modu etkinleştirilmelidir:     

(ADMIN USER) # system retention-lock compliance enable

• Tutma kilidi uyumluluk modu, gerekli tüm MTree'ler için etkinleştirilir:

(ADMIN USER) # mtree retention-lock enable mode compliance mtree [mtree]

Tutma kilidinin hangi MTree'lerde etkin olduğu nasıl belirlenebilir?
Tutma kilidinin etkin olduğu MTree'ler mtree listçıktısında belirtilir. Örneğin:

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rich-retention-lock                 0.0   RW/RLGE   -
/data/col1/rl_test                             0.0   RW/RLGD   -
/data/col1/rl_test_comp                        0.0   RW/RLCE   -
/data/col1/test                                3.1   RW/RLGE   -
...
---------------------------------   --------------   -------   -----------
...
 RLGE : Retention-Lock Governance Enabled
 RLGD : Retention-Lock Governance Disabled
 RLCE : Retention-Lock Compliance Enabled

Tutma Kilidi Yönetimi etkinleştirilmiş bir MTree, Tutma Kilidi Uyumluluğuna dönüştürülebilir mi?
DDOS Yönetim Kılavuzu'nda belirtildiği gibi bu mümkün değildir.

Tutma Kilidi Uyumluluğu etkinleştirilmiş bir MTree, Tutma Kilidi Yönetimine dönüştürülebilir mi?
DDOS Yönetim Kılavuzu'nda belirtildiği gibi bu mümkün değildir.

Dosya tutma veya kilitleme süreleri nasıl ayarlanır?
MTree'ye karşı bir tutma kilidi etkinleştirildiğinde minimum ve maksimum tutma süresi ayarlanmalıdır. Bu süreler, MTree'deki bir dosyanın kilitlenebileceği minimum ve maksimum süreyi ifade eder. Örneğin:     

# mtree retention-lock set min-retention-period [period] mtree [mtree]
# mtree retention-lock set max-retention-period [period] mtree [mtree]

Süreler aşağıdaki gibi çeşitli birimlerde belirtilebilir:     

• 1 dakika
• 1 saat
• 1 gün
• 1 ay
• 1 yıl

Mevcut tutma süresi nasıl görüntülenebilir?
Aşağıdaki iki komutu kullanarak bunu yapabilirsiniz:     

# mtree retention-lock show min-retention-period mtree [mtree]
# mtree retention-lock show max-retention-period mtree [mtree]

Örneğin:     

sysadmin@dd630# mtree retention-lock show min-retention-period mtree /data/col1/rl_test
Retention-lock min-retention-period of mtree /data/col1/rl_test is: 720 minutes.
sysadmin@dd630# mtree retention-lock show max-retention-period mtree /data/col1/rl_test
Retention-lock max-retention-period of mtree /data/col1/rl_test is: 30 days.

Tutma kilidi etkinleştirilmiş bir MTree içindeki dosyalar nasıl kilitlenir?

• Bir MTree'de tutma kilidi etkinleştirildiğinde, MTree'deki mevcut dosyalar otomatik olarak kilitlenmez (önceden var olan tüm dosyalar okuma veya yazma durumunu korur).
• Tutma kilidi etkin olan bir MTree'ye yeni bir dosya yazıldığında dosyaya otomatik olarak tutma kilidi uygulanmaz. Diğer bir ifadeyle, yeni dosya okuma veya yazma durumunda kalır.

• Belirli bir dosyaya tutma kilidi uygulamak için dosyanın atime değerinin, dosyaya tutma kilidi uygulanması gereken tarih ve zamanla eşleşmesi gerekir. Bu tarih ve saat değeri, dosyanın hangi tarih ve saate kadar salt okunur kalacağını belirtir. Süre bu şekilde değiştirilene kadar dosyaya tutma kilidi uygulanamaz (dosya değiştirilebilir veya kaldırılabilir).

Bir dosyanın atime değeri, "touch" komutu kullanılarak NFS veya CIFS istemcisinden değiştirilebilir:

# touch -a -t [expiry time] [file to be locked]

Örneğin, /data/col1/rl_test/testfile 8 Haziran'da 07:05'e: 

# touch -a -t 06080705 /data/col1/rl_test/testfile

Şu anki saatten gelecekteki atime değerine kadar olan süre, MTree'nin minimum ve maksimum saklama süreleri içinde olmalıdır. Aksi takdirde, dosyanın atime değeri değiştirildiğinde bir hata verilir:

# touch -a -t 08080705 /data/col1/rl_test/testfile
touch: setting times of `/data/col1/rl_test/testfile': Permission denied

Data Domain Dosya Sistemi (DDFS) günlük dosyalarında da konuyla ilgili bir mesaj gösterilir:

06/07 13:44:57.197 (tid 0x2b28ee5258c0): Attempt to set atime of /data/col1/rl_test/testfile to larger than maximum retention period of mtree.

CIFS (Windows) istemcileri varsayılan olarak touch komutu veya yardımcı programı içermez ancak bu tür bazı yardımcı programlar çeşitli üçüncü taraf web sitelerinden ücretsiz olarak indirilebilir.

Hangi yedekleme uygulamaları, dosyaları DDR'ye yazdıktan sonra tutma kilidi ile otomatik olarak kilitlemeyi destekler?
Data Domain Retention Lock özelliği, endüstri standardı ve NAS tabanlı Bir Kez Yaz - Çok Kez Oku (WORM) protokolleri ile uyumludur. Entegrasyon; Symantec Enterprise Vault, SourceOne, Cloud Tiering Appliance veya DiskXtender gibi arşiv uygulamalarıyla kullanıma uygundur.

Dell NetWorker için hem yönetim hem de uyumluluk modları desteklenir.

Haziran 2024 itibarıyla yakın zamanda çıkan Avamar sürümleri, Avamar "Sabit Yedeklemeler" özelliğinin bir parçası olarak Data Domain Retention Lock Uyumluluğunu ve Yönetimini destekler. Ayrıntılar için aşağıdaki makaleye ve Avamar belgelerine bakın:
Avamar ve Data Domain: Avamar Sabit Yedeklemeler ve Data Domain Uyumluluk Modu Tutma Kilidini Etkinleştirme

Avamar "Sabit Yedeklemeler" özelliğini etkinleştirme adımlarının sıkı bir şekilde takip edilmesi kritik önem taşır. Bu adımların takip edilmemesi, Avamar MTree'nin DD'de daha fazla yazılamamasına veya zorunlu uzun süreli kurtarmaya neden olan operasyonel sorunlara sahip olmasına yol açabilir. Avamar, DD Otomatik Tutma Kilidi (ARL) ile çalışmaz ve ARL, DD'deki herhangi bir Avamar MTree için etkinleştirilmemelidir.

Data Domain tutma kilidini yerel olarak desteklemeyen diğer yedekleme uygulamalarını kullanan müşteriler, dosyaların tutulma sürelerini manuel olarak ayarlamak için Data Domain Retention Lock'ı kullanmak üzere özel komut dosyaları da geliştirebilirler. Bu senaryoda özel komut dosyalarını kullanırken, yedekleme uygulaması dosyayı silmeye çalışmadan önce dosyanın kilidi açılacak şekilde bir atime değeri ayarlandığından emin olun. Bunu yapmazsanız yedekleme uygulaması kilitli dosyaları silmeye çalışabilir (bu deneme başarısız olur) ve ilgili dosyalar, DDR'de süresiz olarak kalarak disk alanı kullanır. Data Domain yönetim kılavuzuna bakın.

Otomatik Tutma Kilidi
Data Domain Retention Lock özelliğini yerel olarak desteklemeyen yedekleme uygulamalarını kullanan müşterilerin bu özelliği kullanması her zaman sorun oluşturmuştur. Yedekleme yöneticisinin, MTree için yeni alınan dosyalarda tutma kilidini ayarlamak üzere komut dosyalarını yapılandırması gerekir. Kilit, yedekleme yöneticisi tarafından yedeğin süresi dolmadan (ve silinden) kısa bir süre önce sona erecek şekilde ayarlanmalıdır.

Normal RL'nin aksine Otomatik Tutma Kilidi, özellik etkinleştirildikten sonra MTree'ye yazılan her dosyada bir kilit ayarlar. Bu durum, yapılandırılan bekleme süresi geçtikten sonra belirli bir süre boyunca yeni veya değiştirilmiş dosyaların değiştirilmesini veya kaldırılmasını engeller. MTree'de daha sonra değiştirilmesi gereken dosyalar varsa (yedekleme dosyaları veya NetWorker'ın "volhdr" veya "_nsr_serial" gibi yedekleme uygulamasıyla ilgili dosyalar) ARL bunların değiştirilmesini engelleyerek her türlü olası soruna neden olur.

Bu nedenle, VTL için ARL desteklenmez.

Ayrıca, aynı nedenle, NetWorker için ARL desteklenmez (ARL'nin NetWorker ile kullanılması, verilerin istenmeden kullanılamamasına ve hatta Veri Kaybına neden olabilir).

DDOS 7.8'den önce Otomatik Tutma Kilidi, DD Boost Mantıksal Depolama Birimlerinde (LSU) kullanılamıyordu ve bu özelliğin etkinleştirilmeye çalışılması desteklenmediğini belirten bir hata döndürüyordu. 7.8'den itibaren ARL, DD Boost LSU'lar için desteklenir.

Yönetilen Dosya Çoğaltması (MFR) için Hedef DD'lerde kullanılan ARL, dosyalarda kilit ayarlanmadan önce yedekleme kümesi için kopyalama işlemlerinin tamamlandığından emin olmak için yeterince uzun bir "otomatik kilit gecikmesine" sahip olmalıdır. Örneğin: Yedekleme kümesinin parçası olan küçük bir dosya çoğaltma işlemini hızlı bir şekilde tamamlarken daha büyük bir dosya daha uzun sürer, daha büyük dosya çoğaltmayı bitirene kadar ilk dosya saklama kilidi altına alınır ve NW yedekleme kümesinin tüm dosyalarını son arşivleme dizinine taşımayı denediğinde bir hatayla karşılaşır.)

Hızlı kopyalama/dosya kopyalama için DDOS'de yapılan son değişiklikler, aynı DDR'deki konumlar arasında kopyalama yaparken kaynak dosyanın "mtime" değerinin tutulmasına neden olur. ARL gecikmesi, iş akışına ve zamanlamaya bağlı olarak bir dosyanın "mtime"ı gözden geçirilerek belirlendiğinden (ve kopya veya klonun orijinal dosya için "mtime"ı vardır), kopya veya klonun oluşturulması orijinal dosyanın soğuma süresinden daha uzun sürerse, kopya / klonun oluşturulma sırasında otomatik olarak kilitlenmesi söz konusu olabilir.

Geçerli sürümlerde, mtree retention-lock CLI'da, aşağıda gösterildiği gibi ek seçenekler vardır. Bu özellik, "Use" (Kullanım) seçeneğinde "Manual" (Manuel) yerine "Automatic" (Otomatik) seçeneği belirlenerek kullanıcı arayüzü üzerinden de yapılandırılabilir:     

# mtree retention-lock set
{min-retention-period | max-retention-period |
automatic-retention-period | automatic-lock-delay} <period>
mtree <mtree-path>

Otomatik tutma kilidi özelliği, önceden yapılandırılmış bir bekleme süresi sona erdikten hemen sonra dosyayı kilitler (automatic-lock-delay). Dosya, tutma kilidi etkin bir MTree'ye yazıldıktan ve kilit, ayarlandığı andan itibaren "automatic-retention-period" boyunca geçerli olduktan sonra, değer MTree için ayarlanmış "min-retention-period" ve "max-retention-period" değerleri içinde ise kilit uygulanır.

Özelliğin kullanımı hakkında daha fazla bilgi ve genel ayrıntılar için ilgili DDOS Yönetim Kılavuzu'na bakın. Bu özellik, farklı zaman dilimlerinde geçerli kilit gruplarına sahip olması gereken yedeklemeler veya başlangıçta kilit grubuna sahip olması gerekmeyen yedeklemeler için hedef olarak aynı MTree'nin kullanıldığı durumlar için uygun değildir.

Kilitli bir dosya için hangi işlemler yapılabilir veya yapılamaz?

• Tutma kilidi uygulanmış dosyalar salt okunurdur, değiştirilemez veya silinemez.
• Bir dosyanın saklama süresi sona erdiğinde dosya durumu "unlocked" (kilidi açık) olur. Kilidi açık durumda olan dosyalar değiştirilemez ancak silinebilir. DDR, bir dosyanın saklama süresi dolduğunda dosyayı otomatik olarak silmez (silme işlemi bir istemci sistemi veya yedekleme uygulaması tarafından gerçekleştirilmelidir).
• Belirli bir dosya için saklama süresi ayarlandıktan sonra bu süre kısaltılamaz (yani dosyaların atime değeri ileri alınamaz).
• Bununla birlikte, tutma süreleri artırılabilir (atime değeri MTree'nin maksimum saklama süresi değerine kadar yükseltilebilir).
• Bir dosya kilitliyken dosyanın sahiplik ve izin ayarları değiştirilebilir
• Tutma kilidi MTree'sindeki (RLGE/RLGD veya RLCE) bir dizinde herhangi bir dosya yoksa söz konusu dizini yeniden adlandırmak veya silmek mümkündür. Dizinde dosya varsa söz konusu dosyalar tutma kilitli olmasa bile dizini yeniden adlandırma veya silme işlemi başarısız olur
• Dosya içeriğini kendisi değiştirmese bile kilit seti olan dosyaların adının değiştirilmesine (yeniden adlandırılmasına) izin verilmez ancak dosyanın kilidi sona erdiğinde yeniden adlandırmaya da izin verilmez. Artık kilitli olmayan dosyalar için yalnızca silme işlemine izin verilir. Bu, DDOS 7.7.4'te değişmiştir ve kilitli olmayan dosyalar için artık dosyanın yeniden adlandırılmasına izin verilir.

Bir dosya veya dosya grubunun tutma kilidini tamamen kaldırmak mümkün mü?
Yönetim modunu kullanan MTree'lerdeki dosyaların tutma kilidini "geri almak" (kaldırmak) mümkündür. Bu işlem şu komutla yapılır:     

# mtree retention-lock revert [path]

Bir dosyanın tutma kilidi kaldırıldıktan sonra, dosya normal şekilde değiştirilebilir veya silinebilir. Bu komut bir dizin için çalıştırılırsa ilgili dizindeki tüm dosyaların ve alt dizinlerin tutma kilitleri kaldırılır.

Uyumluluk modu kullanılan MTree'lerdeki dosyalar için tutma kilidini geri almak mümkün değildir. Bu işlem denenirse ilgili bir hata görüntülenir:     

# mtree retention-lock revert /data/col1/rl_test_comp/testfile
This operation is not allowed. Mtree is in retention-lock compliance mode.

Tutma kilidi uygulanmış bir dosya değiştirilmeye veya kaldırılmaya çalışılırsa ne olur?
Tutma kilidi uygulanmış dosyayı değiştirmeye veya silmeye yönelik herhangi bir girişim ilgili bir permission denied hatasına neden olur:

# echo " test2" >> /data/col1/rl_test/testfile
bash: testfile: Permission denied
# rm testfile
rm: remove write-protected regular file `testfile'? y
rm: cannot remove `testfile': Permission denied

DDFS günlüklerinde, dosyaya tutma kilidi uygulanmış olması nedeniyle işlemin başarısız olduğu belirtilir:     

06/07 07:06:59.756 (tid 0x2b5a77605d50): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.
06/07 07:07:42.504 (tid 0x2b5a79111390): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.

Tutma kilidi uygulanmış tüm dosyaları listelemek mümkün müdür?
Evet, bu işlem mtree retention-lock report generate retention-details komuttan:

mtree retention-lock report generate retention-details
mtrees {<mtree-list> | all}
[format {text | tsv | csv}]
[output-file <file-name>]
               Report detailed information of
               retention-lock files.

Örneğin, tüm kilitli dosyaların ayrıntılarını listelemek için /data/col1/rl_test MTree aşağıdakiler gerçekleştirilecektir:

sysadmin@ddxxxx# mtree retention-lock report generate retention-details mtrees /data/col1/jftest
Report generated on: Fri Jul  1 14:19:31 2016

Report for mtree: /data/col1/jftest
File Path        Mode        Size(Bytes)        Expiration Date
/data/col1/jftest/file1 governance 10521456 Sat Jul  2 22:35:48 2016
/data/col1/jftest/testdir/file2 governance 10521680 Sat Jul  2 22:35:42 2016
/data/col1/jftest/file3 governance 10521820 Sun Jul 10 22:36:09 2016
Total files: 3

MTree için tutma kilidini tamamen devre dışı bırakmak mümkün müdür (etkinleştirildikten sonra)?
Evet, yönetim modu kullanan MTree'ler için bu, yönetim modu kullanılarak mtree retention-lock disable komuttan:

# mtree retention-lock disable mtree [mtree]

For example:
sysadmin@xxxx# mtree retention-lock disable mtree /data/col1/rl_test
Retention-lock feature is disabled (previously enabled) for mtree /data/col1/rl_test.

Once disabled, MTree list indicates that retention lock was used against the MTree but has since been disabled, that is: 

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rl_test                             0.0   RW/RLGD   -
...

sysadmin@ddxxxx# mtree retention-lock revert /data/col1/rl_test/testfile
**** Retention-lock feature is disabled (previously enabled) for mtree which contains the path /data/col1/rl_test/testfile.

• Uyumluluk modu kullanılan MTree'ler için tutma kilidi devre dışı bırakılamaz:     

sysadmin@ddxxxx# mtree retention-lock disable mtree /data/col1/rl_test_comp
**** Operation is not allowed because the system is a retention-lock compliance system

# mtree retention-lock revert /data/col1/myTree
The 'mtree retention-lock revert' command removes retention-lock on this path thereby making it unprotected.
	Are you sure:  (yes | no)  [no]:  yes
Ok, proceeding
Please enter sysadmin password to confirm 'mtree retention-lock revert':
**** The filesystem is not responding.

• Dizin çoğaltma - Yalnızca yönetim modu kullanılan dosyalar için desteklenir; minimum ve maksimum saklama sürelerini hedef sisteme çoğaltmaz.
• MTree çoğaltma - Yönetim veya uyumluluk modu verileri için kullanılabilir; minimum ve maksimum saklama sürelerini hedef sisteme çoğaltır.
• Koleksiyon çoğaltma - Yönetim veya uyumluluk modu verileri için kullanılabilir; minimum ve maksimum saklama sürelerini hedef sisteme çoğaltır.

# replication break mtree://[destination system]/data/col1/[mtree]

# mtree retention-lock enable mode compliance mtree [mtree]

# replication add source mtree://[source system]/data/col1/[mtree] destination mtree://[destination system/data/col1/[mtree]

# replication resync mtree://[destination system/data/col1/[mtree]

# user reset
# filesys destroy
# filesys archive unit del [archive unit name]

# mtree delete [mtree]
# mtree retention-lock reset [min-retention-period period | max-retention-period period] mtree [mtree]
# mtree retention-lock disable mtree [mtree]
# mtree retention-lock revert

# cloud unit del <cloud unit name>