netapplockvault法规遵从解决方案测试报告

IFPAGE5<NUMPAGES19"PAGE55 NetAppLockVault法规遵从解决方案测试报告IFPAGE5=NUMPAGES19"©2008NetApp.Allrightsreserved.Specificationsaresubjecttochangewithoutnotice.NetApp,theNetApplogo,GoFurther,Faster,xxx,xxxaretrademarksorregisteredtrademarksofNetApp,IheUnitedStatesand/orothercountries.TR-XXXX-XXXX–Contactdl-marcomtorequestadocumentnumber"NEtAppTECHNICALREPORTNetAppNEtAppTECHNICALREPORTNetAppLockVault法规遵从解决方案测试报告CobraWei，魏威NetApp中国解决方案中心技术顾问

December10,2008 目录1 测试环境 32 测试目的 33 测试功能说明 44 测试项目及过程 64.1 Lockvault基本测试 64.2 LockVault卷的数据复制测试（LockVault+SnapMirror） 195 测试结论 27测试环境1xNetAppFAS8201xNetAppFAS2701x操作系统为DebianLinux的服务器1x以太网交换机测试目的应用NetApp的SnapLock，SnapVault和SnapMirror软件在Netapp的FAS存储设备上实现LockVault法规遵从功能。.LinuxLinuxServerFAS820FAS270归档服务器交换机图例1)测试环境测试功能说明当前大约50%的企业数据是非结构化的数据（例如：包含大量信息的电子表格文件，演讲文件，和用户自己开发的应用程序数据）。而到目前为止，针对企业的法规遵从程序都是为结构化的数据和半结构化的数据应用而开发的，非结构化的数据成为了企业中最不符合法规遵从的数据类型。而客户往往需要对大量的非结构化数据进行存储并符合法规遵从的要求。LockVault是NetApp专门针对非结构化数据的以磁盘为基础的法规遵从的解决方案。LockVault软件把数据的备份和法规遵从结合为一体，它利用基于块级的数据增量传输，能够提供一个非常节省空间的法规遵从的数据存储方法。LockVault结合了SnapLock和SnapVault的能力，提供了一个统一的备份和法规遵从方案而不需要引入第三方的法规遵从应用。LockVault使用基于SnapShot的技术定期备份数据，并自动地加入数据的保持期限。LockVault需要在主存储上安装SnapVaultPrimary软件，在次级存储（备份目标存储，通常是NearStore）上安装SnapVaultSecondary和SnapLock软件。同时LockVault也提供了ComplianceJournalTM(文件日志)来记录在快照之间的数据的变化，并且这些日志信息被放在单独的WORM卷上，这些数据也不会被人修改。目前LockVault支持NetApp的FAS系列和NearStore系列近线存储设备，未来会支持通过OSSV的异构主存储到NetApp存储之间的连接方式。LockVault在备份时和采用和SnapVault一样的快照技术并且只传送变化的数据块。因此在次级存储设备上，会保留有每次备份所产生的快照，每一个快照可以被视为一个全备份的版本。LockVault会自动的为每一次备份的快照配置数据保留期限，并将这个快照变为WORM形式。ComplianceJournalTM是一个附加的文件日志，来记录在快照之间的数据的变化，并且这些日志信息被放在单独的WORM卷上，这些数据也不会被人修改。但是ComplianceJournalTM并不记录这些数据的管理信息，如用户更改文件的信息（这些被记录在CIFS日志里面）。如果在二次快照之间一个文件被改动多次时，ComplianceJournalTM也不会记录所有的改动，实际上，它记录在二次快照之间的文件创建，删除，重命名，属性更改等日志信息。功能上，LockVault提供特殊存储功能卷（SnapLock卷），其中的文件可以永久性的或者在某一个指定的时期内以一种不可擦除、不可重写的状态保存。LockVault允许通过诸如CIFS和NFS的开放式文件协议以单个文件的粒度对数据加以保存。对这些文件的保存由DataONTAP操作系统强制执行，该操作系统像守门员一样控制对物理存储的访问权限，同时所有文件协议、授权管理操作可以通过它访问数据。在LockVault的目标卷中，用户还可以为已有的数据增加数据保留时间。例如快照A是2004年12月1日完成的备份并设定保留期限为1年；到2005年11月30日，管理员可以将这个保留期限延长1年，这样快照A中的数据将会从2005年11月30日起再以WORM的形式保留1年。LockVault在用户选购了镜像软件SnapMirror的前提下，可以支持源和目标卷都是SnapLock卷时的端对端WORM镜像。这样可以实现从主存储到次级存储之间使用LockVault进行数据备份和归档/法规遵从，然后从次级存储到容灾存储使用SnapMirror进行数据容灾。LockVault和SnapVault的区别：LockVault利用了SnapVault技术来通过定期的Snapshot快照来备份数据，把快照之间变化的数据传送到次级存储中。这方面LockVault和SnapVault完全一样。不同之处，LockVault会自动的把次级存储的快照变为WORM形式并设置保留期限，并且自动产生一个只读的日志。LockVault分为两种版本，旨在对不同参考数据处理业务环境的差异加以区分。LockVault软件许可包含：LockVaultCompliance和LockVaultEnterprise。这两种软件许可以同时安装在同一台设备上，但是不论安装什么样的许可协议，已经创建的LockVault卷都维持它们各自原有的类型：LockVault_Compliance：旨在符合严格受控环境下的遵从法规，如SEC240.17a-4。提供了严格的硬化管理和限制。当法规本身要求对那些正确写入存储系统的WORM数据提供甚至针对存储管理员的遵从保护时，LockVault_Compliance采用“不可信存储管理员”管理模型。LockVault_Enterprise：是对较灵活的客户环境和操作条件提供的一种新的LockVault体系。它采用“可信存储管理员”管理模型，同时对所有文件协议环境提供WORM文件保护功能。同样不允许带有管理权限的访问在文件级别上侵犯对LockVault卷上的WORM保护。测试项目及过程Lockvault基本测试LinuxLinuxServerSnapVault数据复制FAS820SnapLock卷Vol1FAS270A普通卷Vol1归档服务器交换机图例2)LockVault基本测试（1）．在F270上建立普通Aggregate和普通卷Volume，在F820上建立SnapLockAggregate和SnapLockVolume.F270配置如下：f270>aggrcreateaggr1-d0b.190b.200b.21f270>aggrstatus-rAggregateaggr1(online,raid_dp)(blockchecksums)Plex/aggr1/plex0(online,normal,active)RAIDgroup/aggr1/plex0/rg0(normal)RAIDDiskDeviceHASHELFBAYCHANPoolTypeRPMUsed(MB/blks)Phys(MB/blks)dparity0b.190b13FC:A-FCAL1500068000/13926400068552/140395088parity0b.200b14FC:A-FCAL1500068000/13926400068552/140395088data0b.210b15FC:A-FCAL1500068000/13926400068552/140395088Aggregateaggr0(online,raid_dp)(blockchecksums)Plex/aggr0/plex0(online,normal,active)RAIDgroup/aggr0/plex0/rg0(normal)RAIDDiskDeviceHASHELFBAYCHANPoolTypeRPMUsed(MB/blks)Phys(MB/blks)dparity0b.160b10FC:A-FCAL1500068000/13926400068552/140395088parity0b.170b11FC:A-FCAL1500068000/13926400068552/140395088data0b.180b12FC:A-FCAL1500068000/13926400068552/140395088SparedisksRAIDDiskDeviceHASHELFBAYCHANPoolTypeRPMUsed(MB/blks)Phys(MB/blks)Sparedisksforblockorzonedchecksumtraditionalvolumesoraggregatesspare0b.220b16FC:A-FCAL1500068000/13926400068552/140395088spare0b.230b17FC:A-FCAL1500068000/13926400068552/140395088spare0b.240b18FC:A-FCAL1500068000/13926400068552/140395088spare0b.250b19FC:A-FCAL1500068000/13926400068552/140395088spare0b.260b110FC:A-FCAL1500068000/13926400068552/140395088spare0b.270b111FC:A-FCAL1500068000/13926400068552/140395088spare0b.280b112FC:A-FCAL1500068000/13926400068552/140395088spare0b.290b113FC:A-FCAL1500068000/13926400068552/140395088f270>aggrstatusAggrStateStatusOptionsaggr1onlineraid_dp,aggraggr0onlineraid_dp,aggrrootf270>volcreatevol1–lzhaggr13Gf270>volstatusVolumeStateStatusOptionsvol0onlineraid_dp,flexrootvol1onlineraid_dp,flexF820配置如下：F820>aggrcreateaggr1-Lcompliance-d8a.198a.208a.21f820>aggrstatus-rAggregateaggr1(online,raid_dp)(blockchecksums)Plex/aggr1/plex0(online,normal,active)RAIDgroup/aggr1/plex0/rg0(normal)RAIDDiskDeviceHASHELFBAYCHANPoolTypeRPMUsed(MB/blks)Phys(MB/blks)dparity8a.198a13FC:A-FCAL1000034000/6963200034190/70022840parity8a.208a14FC:A-FCAL1000034000/6963200034190/70022840data8a.218a15FC:A-FCAL1000034000/6963200034190/70022840Aggregateaggr0(online,raid_dp)(blockchecksums)Plex/aggr0/plex0(online,normal,active)RAIDgroup/aggr0/plex0/rg0(normal)RAIDDiskDeviceHASHELFBAYCHANPoolTypeRPMUsed(MB/blks)Phys(MB/blks)dparity8a.168a10FC:A-FCAL1000034000/6963200034190/70022840parity8a.178a11FC:A-FCAL1000034000/6963200034190/70022840data8a.188a12FC:A-FCAL1000034000/6963200034190/70022840SparedisksRAIDDiskDeviceHASHELFBAYCHANPoolTypeRPMUsed(MB/blks)Phys(MB/blks)Sparedisksforblockorzonedchecksumtraditionalvolumesoraggregatesspare8a.228a16FC:A-FCAL1000034000/6963200034190/70022840spare8a.238a17FC:A-FCAL1000034000/6963200034190/70022840spare8a.248a18FC:A-FCAL1000034000/6963200034190/70022840spare8a.258a19FC:A-FCAL1000034000/6963200034190/70022840spare8a.268a110FC:A-FCAL1000034000/6963200034190/70022840spare8a.278a111FC:A-FCAL1000034000/6963200034190/70022840spare8a.288a112FC:A-FCAL1000034000/6963200034190/70022840f820>aggrstatusAggrStateStatusOptionsaggr1onlineraid_dp,aggrsnaplock_complianceaggr0onlineraid_dp,aggrrootf820>volcreatevol1–lzhaggr13Gf820>volcreatevol2–lzhaggr13Gf820>volstatusVolumeStateStatusOptionsvol0onlineraid_dp,flexroot,nosnap=on,guarantee=volume(disabled)vol1onlineraid_dp,flexno_atime_update=on,snaplock_compliancevol2onlineraid_dp,flexno_atime_update=on,snaplock_compliance注:在SnapLockaggregate上创建的每个Flexvolume均为SnapLockvolume.（2）．从LinuxPC上安装归档服务器软件，把数据归档到FAS270的NFS共享卷Vol1中。debian:/mnt#mkdir270vol1820vol1debian:/mnt#mountf270:/vol/vol1/mnt/270vol1debian:/mnt#mountf820:/vol/vol1/mnt/820vol1debian:/mnt#mount/dev/sda1on/typereiserfs(rw,notail)procon/proctypeproc(rw)sysfson/systypesysfs(rw)tmpfson/dev/shmtypetmpfs(rw)devptson/dev/ptstypedevpts(rw,gid=5,mode=620)/dev/sda5on/datatypereiserfs(rw)tmpfson/devtypetmpfs(rw,size=10M,mode=0755)f270:/vol/vol1on/mnt/270vol1typenfs(rw,addr=31)f820:/vol/vol1on/mnt/820vol1typenfs(rw,addr=45)（3）．设定FAS270Vol1到FAS820Vol1的SnapVault关系。F270配置如下：f270>snapvaultstatusSnapvaultprimaryisON.f270>ndmpdonf270>optionssnapvault.enableonf270>optionssnapvault.accesshost=f820F820配置如下：f820>snapvaultstatusSnapvaultsecondaryisON.f820>ndmpdonf820>optionssnapvault.enableonf820>date-cinitialize***WARNING:YOUAREINITIALIZINGTHESECURECOMPLIANCECLOCK***YouareabouttoinitializethesecureComplianceClockofthissystemtothecurrentvalueofthesystemclock.ThisprocedurecanbeperformedONLYONCEonthissystemsoyoushouldensurethatthesystemtimeissetcorrectlybeforeproceeding.Thecurrentlocalsystemtimeis:WedApr1915:59:17GMT2006Isthecurrentlocalsystemtimecorrect?yAreyouREALLYsureyouwantinitializetheComplianceClock?yComplianceClock:WedApr1915:59:21GMT2006f820>optionssnapvault.lockvault_log_volumevol2f820>optionssnapvault.accesshost=f270（4）．设定FAS820的Vol1为法规遵从卷（SnapLockCompliance卷），并设定卷级的数据保留期限（retentiondate）为1天。f820>voloptionsvol1snaplock_default_period1df820>voloptionsvol1snaplock_maximum_period1df820>voloptionsvol2snaplock_default_period1df820>voloptionsvol2snaplock_maximum_period1d（5）．初始化SnapVault传输，把数据从FAS270传送到FAS820f820>snapvaultstart-Sf270:/vol/vol1/270q1f820:/vol/vol1/820q1Transferstarted.Monitorprogresswith'snapvaultstatus'orthesnapmirrorlog.f820>snapvaultstatusSnapvaultsecondaryisON.SourceDestinationStateLagStatusf270:/vol/vol1/270q1f820:/vol/vol1/820q1Snapvaulted00:01:08Idlef270>snapvaultsnapschedvol1sv_hourly200@mon-fri@7-19f820>snapvaultsnapsched-x–oretention_period=1dvol1sv_hourly200@mon-fri@7-19f820>snapvaultsnapschedcreatevol10@-createvol1sv_hourly200@mon-fri@7-19retention_period=1df820>snaplistVolumevol0working...%/used%/totaldatename5%(5%)0%(0%)Apr1916:00hourly.0Volumevol2working...Nosnapshotsexist.Volumevol1working...%/used%/totaldatename0%(0%)0%(0%)Apr2013:12f820(0033601933)_vol1-base.0(busy,snapvault)0%(0%)0%(0%)Apr2013:06sv_hourly.20060419_194311_GMT(snaplock)（6）．数据传输完成后检查FAS820Vol1的状态，尝试删除或修改卷中的数据，在数据到期前无法实现。debian:/mnt/820vol1/820q1#dateFriApr2014:10:52CST2006debian:/mnt/820vol1/820q1#lsscarymovie4_trailer-480x272.movthe_wild_h480p.movdebian:/mnt/820vol1/820q1#rmthe_wild_h480p.movrm:removewrite-protectedregularfile`the_wild_h480p.mov'?yesrm:cannotremove`the_wild_h480p.mov':Read-onlyfilesystemf820>voldestroyvol1voldestroy:Volumevol1cannotbedestroyedbecauseitisaSnapLockCompliancevolume.尝试删除FAS820Vol1卷上的快照，在数据到期前无法实现：（7）．数据到期后，尝试删除卷中的数据，可以成功进行（依据法规遵从的要求数据不可被修改）。debian:/mnt/820vol1/820q1#dateFriApr2116:23:28CST2006debian:/mnt/820vol1/820q1#lsscarymovie4_trailer-480x272.movthe_wild_h480p.movdebian:/mnt/820vol1/820q1#rm*.movdebian:/mnt/820vol1/820q1#lsdebian:/mnt/820vol1/820q1#

LockVault卷的数据复制测试（LockVault+SnapMirror）LinuxLinuxServerSnapVault数据复制FAS820SnapLock卷Vol1FAS270A普通卷Vol1SnapLock卷Vol4归档服务器交换机SnapMirror数据复制图例3)LockVault数据复制（1）．从LinuxPC上安装归档服务器，把数据归档到FAS270的NFS共享卷Vol1中。（2）．设定FAS270Vol1到FAS820Vol1的SnapVault关系（3）．设定FAS820的Vol1为法规遵从卷（SnapLockCompliance卷），并设定卷级的数据保留期限（retentiondate）为1天（4）．初始化SnapVault传输，把数据从FAS270的Vol1传送到FAS820的Vol1以上步骤同上。（5）．在F270上建立SnapLockAggregate和法规遵从卷（SnapLockCompliance卷）f270>aggrcreateaggr2-Lcompliance-d0b.220b.230b.24f270>aggrstatus-rAggregateaggr2(online,raid_dp)(blockchecksums)Plex/aggr2/plex0(online,normal,active)RAIDgroup/aggr2/plex0/rg0(normal)RAIDDiskDeviceHASHELFBAYCHANPoolTypeRPMUsed(MB/blks)Phys(MB/blks)dparity0b.220b16FC:A-FCAL1500068000/13926400068552/140395088parity0b.230b17FC:A-FCAL1500068000/13926400068552/140395088data0b.240b18FC:A-FCAL1500068000/13926400068552/140395088Aggregateaggr1(online,raid_dp)(blockchecksums)Plex/aggr1/plex0(online,normal,active)RAIDgroup/aggr1/plex0/rg0(normal)RAIDDiskDeviceHASHELFBAYCHANPoolTypeRPMUsed(MB/blks)Phys(MB/blks)dparity0b.190b13FC:A-FCAL1500068000/13926400068552/140395088parity0b.200b14FC:A-FCAL1500068000/13926400068552/140395088data0b.210b15FC:A-FCAL1500068000/13926400068552/140395088Aggregateaggr0(online,raid_dp)(blockchecksums)Plex/aggr0/plex0(online,normal,active)RAIDgroup/aggr0/plex0/rg0(normal)RAIDDiskDeviceHASHELFBAYCHANPoolTypeRPMUsed(MB/blks)Phys(MB/blks)dparity0b.160b10FC:A-FCAL1500068000/13926400068552/140395088parity0b.170b11FC:A-FCAL1500068000/13926400068552/140395088data0b.180b12FC:A-FCAL1500068000/13926400068552/140395088SparedisksRAIDDiskDeviceHASHELFBAYCHANPoolTypeRPMUsed(MB/blks)Phys(MB/blks)Sparedisksforblockorzonedchecksumtraditionalvolumesoraggregatesspare0b.250b19FC:A-FCAL1500068000/13926400068552/140395088spare0b.260b110FC:A-FCAL1500068000/13926400068552/140395088spare0b.270b111FC:A-FCAL1500068000/13926400068552/140395088spare0b.280b112FC:A-FCAL1500068000/13926400068552/140395088spare0b.290b113FC:A-FCAL1500068000/13926400068552/140395088f270>aggrstatusAggrStateStatusOptionsaggr2onlineraid_dp,aggrsnaplock_complianceaggr1onlineraid_dp,aggraggr0onlineraid_dp,aggrrootf270>volcreatevol4–lzhaggr23Gf270>volstatusVolumeStateStatusOptionsvol0onlineraid_dp,flexrootvol1onlineraid_dp,flexvol4onlineraid_dp,flexno_atime_update=on,snaplock_compliance（6）．数据传输完成后设置FAS820Vol1到FAS270Vol4的SnapMirror关系f270>voloptionsvol4snaplock_maximum_period1df270>voloptionsvol4snaplock_default_period1df820>optionssnapmirror.accesshost=f270f820>snapmirroronf270>optionssnapmirror.accesshost=f820debian:/mnt#mkdir270etcdebian:/mnt#mountf270:/etc/mnt/270etcdebian:/mnt#echo“f820:vol1f270:vol4restart=always****”>/mnt/270etc/snapmirror.conff270>snapmirroronf270>volrestrictvol4f270>snapmirrorinitialize-Sf820:vol1-Lf270:vol4Transferstarted.Monitorprogresswith'snapmirrorstatus'orthesnapmirrorlog.（7）．数据传输完成后检查FAS270Vol4的状态，尝试删除或修改卷中的数据，在数据到期前无法实现。f270>volstatusVol