Домен даних: Часто задавані запитання про замок утримання

Що таке замок утримання?
Блокування збереження — це функція, яка використовується в відновлювачах домену даних (DDR) для запобігання зміні або видаленню певних наборів файлів протягом визначеного періоду. Тобто файли, заблоковані на утримання, є доступними лише для читання до закінчення періоду їх збереження.

Які існують різні версії фіксації утримання?
Замок утримання доступний для двох різних функцій:

• Управління: Менш сувора з двох функцій блокування збереження (тобто блокування файлів може бути скасована за потреби).
• Відповідності: Суворіша з двох функцій, які дотримуються кількох спільних регуляторних стандартів. Тобто блокування файлів не можна скасувати. DDR має бути налаштований на користувача «офіцера безпеки», який повинен автентифікувати певні команди. Існують різні обмеження щодо інших функцій, щоб запобігти видаленню заблокованих даних або достроковому скасуванні блокувань.

Які протоколи доступу до даних підтримуються з блокуванням утримання?

• Протоколи NFS, CIFS та DD Boost повністю підтримуються проти MTrees за допомогою режиму керування блокуванням утримання або дотримання вимог.
• Протокол Virtual Tape Library (VTL) підтримується лише проти MTrees у режимі керування блокуванням утримання. Автоматичне блокування збереження не підтримується у VTL домену даних. Дивіться Посібник з адміністрування домену даних, щоб дізнатися, як розблокувати стрічки з фіксованим утриманням так, щоб їх можна було записувати.

Режим дотримання замків утримання відповідає нормативним стандартам:
Перелік регуляторних стандартів, яким відповідає режим дотримання замків утримання, включає наступне:     

• РОЗДІЛ 17a-4(f)
• Правило CFTC 1.31b
• FDA 21 CFR Частина 11
• Закон Сарбейнса-Окслі
• IRS 98025 та 97-22
• Стандарт ISO 15489-1
• MoREQ2010

Для отримання повної інформації про сертифікацію звертайтеся до вашого контрактного постачальника підтримки.

Як увімкнено управління блокуванням утримання?

• До DDR додається ліцензія на управління блокуванням утримання.
• Режим управління блокуванням утримання увімкнений для будь-яких необхідних MTree:     

# mtree retention-lock enable mode governance mtree [mtree]

Як забезпечується відповідність блокуванню утримання?

• Існують спеціальні інструкції для деяких нових моделей домену даних з iDRAC.
• До DDR додається ліцензія на відповідність блокуванню утримання.
• Слід створити користувача з роллю «безпеки» (за умови, що такого користувача немає):     

(ADMIN USER) # user add [username] role security

•  Користувач, який виконує роль «безпеки», повинен увійти в DDR і увімкнути авторизацію користувача безпеки:     

(SECURITY USER): # authorization policy set security-officer enabled

• Система має бути налаштована на режим дотримання вимог замків утримання. Після виконання наступної команди система автоматично перезавантажується:     

(ADMIN USER) # system retention-lock compliance configure

• Після перезавантаження системи має бути увімкнено режим відповідності блокуванню утримання:     

(ADMIN USER) # system retention-lock compliance enable

• Режим дотримання блокування утримання увімкнений на будь-якому необхідному MTree:

(ADMIN USER) # mtree retention-lock enable mode compliance mtree [mtree]

Як можна визначити, які MTrees мають увімкнене блокування утримання?
MTrees з увімкненим блокуванням утримання позначається у виході mtree listнаприклад:

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rich-retention-lock                 0.0   RW/RLGE   -
/data/col1/rl_test                             0.0   RW/RLGD   -
/data/col1/rl_test_comp                        0.0   RW/RLCE   -
/data/col1/test                                3.1   RW/RLGE   -
...
---------------------------------   --------------   -------   -----------
...
 RLGE : Retention-Lock Governance Enabled
 RLGD : Retention-Lock Governance Disabled
 RLCE : Retention-Lock Compliance Enabled

Чи можна конвертувати MTree з увімкненим управлінням замком утримання у відповідність із замком утримання?
Як зазначено в Керівництві з адміністрування DDOS, це неможливо.

Чи можна MTree з увімкненим відповідністю блокування утримання перетворити на управління блокуванням утримання?
Як зазначено в Керівництві з адміністрування DDOS, це неможливо.

Як встановлюються періоди зберігання файлів або блокування?
Після активації блокування утримання на MTree необхідно встановити мінімальний і максимальний період утримання. Ці періоди визначають мінімальний і максимальний час, на який файл у MTree може бути заблокований. Наприклад:     

# mtree retention-lock set min-retention-period [period] mtree [mtree]
# mtree retention-lock set max-retention-period [period] mtree [mtree]

Періоди можуть бути наведені в різних одиницях наступним чином:     

• 1 хв
• 1 година
• 1 день
• 1 місяць
• 1 рік

Як можна відобразити існуючі періоди утримання?
Це можна зробити за допомогою двох наступних команд:     

# mtree retention-lock show min-retention-period mtree [mtree]
# mtree retention-lock show max-retention-period mtree [mtree]

Наприклад:     

sysadmin@dd630# mtree retention-lock show min-retention-period mtree /data/col1/rl_test
Retention-lock min-retention-period of mtree /data/col1/rl_test is: 720 minutes.
sysadmin@dd630# mtree retention-lock show max-retention-period mtree /data/col1/rl_test
Retention-lock max-retention-period of mtree /data/col1/rl_test is: 30 days.

Як файли в MTree з увімкненим блокуванням утримання блокуються блокування?

• Коли блокування утримання на MTree увімкнене, існуючі файли в MTree не блокуються автоматично (тобто всі попередні файли залишаються читаними або записними).
• Коли новий файл записується на MTree з увімкненим блокуванням утримання, файл не автоматично заблоковується на збереження. Тобто новий файл залишається таким, як прочитаний або записаний.

• Щоб заблокувати певний файл за утриманням, час його використання потрібно змінити відповідно до дати та часу, коли файл має бути заблокованим за утриманням. Це дата і час, до яких файл має залишатися лише для читання. Поки час не буде змінено таким чином, файл не може бути заблокований за утриманням (і може бути змінений або видалений).

atime файлу можна змінити з клієнта NFS або CIFS за допомогою команди 'touch':

# touch -a -t [expiry time] [file to be locked]

Наприклад, встановити час для /data/col1/rl_test/testfile до 07:05 8 червня: 

# touch -a -t 06080705 /data/col1/rl_test/testfile

Період від поточного часу до майбутнього має бути в межах мінімального та максимального періоду утримання для MTree. Інакше при зміні файлів виникає помилка:

# touch -a -t 08080705 /data/col1/rl_test/testfile
touch: setting times of `/data/col1/rl_test/testfile': Permission denied

Відповідне повідомлення також відображається у файлах журналів Data Domain File System (DDFS):

06/07 13:44:57.197 (tid 0x2b28ee5258c0): Attempt to set atime of /data/col1/rl_test/testfile to larger than maximum retention period of mtree.

Клієнти CIFS (Windows) за замовчуванням не містять сенсорної команди чи утиліти, проте кілька таких утиліт доступні для безкоштовного завантаження з різних сторонніх вебсайтів.

Які резервні програми підтримують автоматичне блокування файлів після запису їх у DDR?
Data Domain Retention Lock сумісний із галузевими стандартами на базі NAS, протоколами Write-Once-Read-Many (WORM). Інтеграція кваліфікується з архівними додатками, такими як Symantec Enterprise Vault, SourceOne, Cloud Tiering Appliance або DiskXtender.

Для Dell NetWorker підтримуються як режими управління, так і режими відповідності.

Станом на червень 2024 року останні версії Avamar підтримують як Data Domain Retention Retention, Lock, Compliance та Governance) у рамках функції Avamar «Immutable Backups». Дивіться статтю нижче та документацію Avamar для деталей:
Avamar і домен даних: Вмикання незмінних резервних копій Avamar та режиму

збереження відповідності домену данихВкрай важливо, щоб кроки для активації функції «Immutable Backups» у Avamar суворо дотримувалися вимог. Якщо цього не зробити, у DD може з'явитися Avamar MTree, на який не можна буде записувати далі, або з робочими проблемами, що змушують тривале відновлення. Avamar не працює з DD Automatic Retention Lock (ARL), і ARL не повинен бути увімкнений для будь-якого Avamar MTree на DD.

Клієнти, які використовують інші резервні застосунки, які не підтримують нативне блокування Data Domain retention Lock, також можуть розробляти власні скрипти для ручного встановлення періодів збереження файлів. У такому випадку переконайтеся, що власні скрипти встановлюють atime файлів так, щоб їх розблокували до того, як резервна програма спробує видалити файл. Невиконання цього може призвести до спроби резервного копіювання видалити заблоковані файли (що не спрацьовує); Файл залишається на DDR, займаючи простір на диску безкінечно. Див. посібник з адміністрування домену даних.

Автоматичний замок
утриманняДля резервних програм, які не підтримують нативно функцію блокування утримання домену даних, для клієнтів завжди було проблемою використовувати цю функцію. Адміністратор резервного копіювання повинен налаштувати скрипти для встановлення блокування утримання на нововведених файлах для MTree. Блокування має бути встановлене так, щоб воно закінчувалося незадовго до того, як адміністратор резервного копію має бути видалений (і видалений).

На відміну від звичайного RL, Automatic Retention Lock встановлює блокування на кожен файл, записаний у MTree, після увімкнення функції. Цей факт не дозволяє змінювати або видаляти нові або змінені файли протягом певного часу після завершення налаштованого періоду охолодження. Якщо в MTree є файли, які потрібно змінити пізніше (або резервні файли, або файли, пов'язані з резервним копіюванням додатків, такі як "volhdr" або "_nsr_serial" від NetWorker), ARL запобігатиме їх зміні, що спричиняє різні можливі проблеми.

Тому ARL не підтримується для VTL.

Крім того, з тієї ж причини ARL не підтримується для NetWorker (використання ARL разом із NetWorker може призвести до ненавмисної недоступності даних або навіть втрати даних).

До DDOS 7.8 автоматичне блокування утримання не могло використовуватися на DD Boost Logical Storage Units (LSU), і спроба його увімкнути повертає помилку про відсутність підтримки. Починаючи з версії 7.8, ARL підтримується для DD Boost LSU.

ARL, що використовується на Target DD для керованої реплікації файлів (MFR), повинен мати достатньо довгу «автоматичну затримку», щоб забезпечити завершення операцій клонування для резервного копіювання до встановлення блокування файлів. Приклад: Невеликий файл, який є частиною резервного набору, швидко завершує реплікацію, а більший — довше, тоді перший файл заблоковується на збереження до моменту завершення реплікації більшого файлу і стикається з помилкою, коли NW намагається перемістити всі файли резервного набору до фінального архівного каталогу.)

Останні зміни в DDOS для fastcopy/filecopy призвели до того, що «mtime» вихідного файлу зберігається при копіюванні між локаціями на одному DDR. Оскільки затримка ARL визначається переглядом «mtime» файлу (і копія або клон має «mtime» для оригінального файлу) залежно від робочого процесу та часу, може бути так, що копія або клон автоматично блокується при створенні, якщо створення копії або клону триває довше, ніж період охолодження для оригінального файлу.

У відповідних версіях є додаткові опції в mtree retention-lock CLI, як показано нижче. Цю функцію також можна налаштувати через інтерфейс, вибравши «Автоматично» замість «Manual» у опції «Використати»:     

# mtree retention-lock set
{min-retention-period | max-retention-period |
automatic-retention-period | automatic-lock-delay} <period>
mtree <mtree-path>

Функція автоматичного блокування блокує файл одразу після закінчення попередньо налаштованого періоду охолодження (автоматична затримка блокування). Після того, як файл записано у MTree з увімкненим блокуванням, і блокування дійсне для "автоматичного періоду збереження" з моменту встановлення, якщо значення знаходиться в межах "min-retention-period" та "max-retention-period" для MTree, блокування відбувається.

Для отримання додаткової інформації та загальної інформації про функцію перегляньте відповідний Посібник з адміністрування DDOS. Ця функція не дуже підходить для ситуацій, коли один і той самий MTree використовується як ціль для резервних копій, які або мають мати блокування на різні періоди, або резервні копії, які мають бути встановлені і не повинні мати блокування з самого початку.

Що можна або не можна зробити з заблокованим файлом?

• Файли, заблоковані за утриманням, є лише для читання і не можуть бути змінені чи видалені.
• Після закінчення періоду зберігання файлу він «розблоковується» — у розблокованому стані файл все одно не можна змінити, проте його можна видалити. DDR не видаляє файл автоматично, коли закінчується період його збереження (подальше видалення має відбуватися з клієнтської системи або резервної програми).
• Після встановлення період зберігання для конкретного файлу не можна скоротити (тобто файли atime не можна переносити вперед).
• Однак період утримання можна збільшити (час можна збільшити до максимального періоду утримання для MTree).
• Налаштування права власності та дозволу файлу можна продовжувати змінювати, поки файл заблоковано
• Перейменувати або видалити каталог у retention lock MTree (RLGE/RLGD або RLCE) можливо лише якщо в цій папці немає файлів. Якщо каталог містить файли (навіть якщо ці файли не заблоковані на збереження), перейменування або видалення каталогу не вдається
• Навіть якщо він не змінює сам вміст файлу, не дозволяється змінювати імена (перейменовувати) файли з встановленим блокуванням, але перейменування також забороняється після закінчення терміну блокування файлу. Для файлів, які більше не заблоковані, єдина дозволена операція — це видалення. Це змінено в DDOS 7.7.4, коли для файлів, які більше не заблоковані, дозволяється перейменування файлу.

Чи можливо повністю зняти блокування на збереження файлу або набору файлів?
Можливо «скасувати» (видалити) блокування збереження файлів у MTrees за допомогою режиму управління — це робиться за допомогою наступної команди:     

# mtree retention-lock revert [path]

Після видалення блокування файлу його можна змінити або видалити як зазвичай. Якщо ця команда виконується над каталогом, то всі файли в цьому папочку та підкаталогах мають

блокування збереження.Неможливо скасувати блокування збереження файлів у MTrees за допомогою режиму відповідності — якщо це зроблено, відображається відповідна помилка:     

# mtree retention-lock revert /data/col1/rl_test_comp/testfile
This operation is not allowed. Mtree is in retention-lock compliance mode.

Що відбувається, якщо намагаються змінити або видалити файл із заблокованим утриманням?
Будь-яка спроба змінити або видалити файл, заблокований збереженням, викликає відповідний permission denied помилка:

# echo " test2" >> /data/col1/rl_test/testfile
bash: testfile: Permission denied
# rm testfile
rm: remove write-protected regular file `testfile'? y
rm: cannot remove `testfile': Permission denied

Журнали DDFS вказують, що операція зазнала невдачі через блокування файлу на утримання:     

06/07 07:06:59.756 (tid 0x2b5a77605d50): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.
06/07 07:07:42.504 (tid 0x2b5a79111390): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.

Чи можливо перелічити всі файли, які заблоковані на збереження?
Так, це можна виконати за допомогою mtree retention-lock report generate retention-details команда:

mtree retention-lock report generate retention-details
mtrees {<mtree-list> | all}
[format {text | tsv | csv}]
[output-file <file-name>]
               Report detailed information of
               retention-lock files.

Наприклад, щоб перелічити деталі всіх заблокованих файлів у /data/col1/rl_test MTree Виконувалося наступне:

sysadmin@ddxxxx# mtree retention-lock report generate retention-details mtrees /data/col1/jftest
Report generated on: Fri Jul  1 14:19:31 2016

Report for mtree: /data/col1/jftest
File Path        Mode        Size(Bytes)        Expiration Date
/data/col1/jftest/file1 governance 10521456 Sat Jul  2 22:35:48 2016
/data/col1/jftest/testdir/file2 governance 10521680 Sat Jul  2 22:35:42 2016
/data/col1/jftest/file3 governance 10521820 Sun Jul 10 22:36:09 2016
Total files: 3

Чи можливо повністю вимкнути блокування утримання для MTree (після його увімкнення)?
Так, для MTrees у режимі управління це виконується за допомогою mtree retention-lock disable команда:

# mtree retention-lock disable mtree [mtree]

For example:
sysadmin@xxxx# mtree retention-lock disable mtree /data/col1/rl_test
Retention-lock feature is disabled (previously enabled) for mtree /data/col1/rl_test.

Once disabled, MTree list indicates that retention lock was used against the MTree but has since been disabled, that is: 

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rl_test                             0.0   RW/RLGD   -
...

sysadmin@ddxxxx# mtree retention-lock revert /data/col1/rl_test/testfile
**** Retention-lock feature is disabled (previously enabled) for mtree which contains the path /data/col1/rl_test/testfile.

• Блокування утримання не можна вимкнути для MTree у режимі відповідності:     

sysadmin@ddxxxx# mtree retention-lock disable mtree /data/col1/rl_test_comp
**** Operation is not allowed because the system is a retention-lock compliance system

# mtree retention-lock revert /data/col1/myTree
The 'mtree retention-lock revert' command removes retention-lock on this path thereby making it unprotected.
	Are you sure:  (yes | no)  [no]:  yes
Ok, proceeding
Please enter sysadmin password to confirm 'mtree retention-lock revert':
**** The filesystem is not responding.

• Реплікація каталогів — підтримується лише для файлів у режимі управління — не реплікує мінімальні та максимальні періоди збереження на систему призначення.
• Реплікація MTree — може використовуватися як для управління, так і для режиму відповідності, а також реплікує мінімальні та максимальні періоди збереження до системи призначення.
• Реплікація колекції — може використовуватися як для управління, так і для режиму відповідності, а також реплікує мінімальні та максимальні періоди збереження до системи призначення.

# replication break mtree://[destination system]/data/col1/[mtree]

# mtree retention-lock enable mode compliance mtree [mtree]

# replication add source mtree://[source system]/data/col1/[mtree] destination mtree://[destination system/data/col1/[mtree]

# replication resync mtree://[destination system/data/col1/[mtree]

# user reset
# filesys destroy
# filesys archive unit del [archive unit name]

# mtree delete [mtree]
# mtree retention-lock reset [min-retention-period period | max-retention-period period] mtree [mtree]
# mtree retention-lock disable mtree [mtree]
# mtree retention-lock revert

# cloud unit del <cloud unit name>