翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# データの保護
ファイルシステムのデータを自動的にレプリケートして[高い耐久性](high-availability-AZ.md)を確保するだけでなく、Amazon FSx には、データをさらに保護するためのオプションもあります:
+ Amazon FSx のネイティブボリュームバックアップは、Amazon FSx 内のバックアップ保持およびコンプライアンスのニーズをサポートします。
+ AWS Backup を使用して、複数のAWS のサービスにわたって一元管理された自動バックアップおよび保存戦略を実装します。
+ スナップショットは、ユーザーがファイルを以前のバージョンに復元することで、不要なファイルの変更を容易に元に戻すことを可能にします。
+ SnapLock を使用してワンライト・マルチリード(WORM) ストレージボリュームを作成し、一度コミットされたファイルの変更や削除を、指定した保存期間にわたって防止します。
+ FlexCache ボリュームは、データの大部分が変更されない読み取り負荷の高いワークロードに対して、高ストレージ効率、高コスト効率、高パフォーマンスのデータ・レプリケーションを提供します。
+ SnapMirror を使用して、データ保護とディザスタリカバリのための 2 番目のファイルシステムへのスケジュールされた自動ファイルシステムレプリケーションを作成します。
**Topics**
+ [ボリュームバックアップによるデータの保護](using-backups.md)
+ [スナップショットによるデータの保護](snapshots-ontap.md)
+ [Autonomous Ransomware Protection によるデータの保護](ARP.md)
+ [SnapLock でのデータの保護](snaplock.md)
+ [FlexCache によるデータの複製](using-flexcache.md)
+ [NetApp SnapMirrorを使用したデータの複製](scheduled-replication.md)
# ボリュームバックアップによるデータの保護
FSx for ONTAP を使用すると、ファイルシステム上のボリュームの日次自動バックアップとユーザー開始バックアップを行うことにより、データを保護できます。ボリュームの定期的なバックアップを作成することは、データの保持とコンプライアンスのニーズをサポートするのに役立つベストプラクティスです。ボリュームバックアップは、バックアップが保存されている AWS リージョン のと同じ にある にアクセスできる既存の FSx for ONTAP ファイルシステムに復元できます。Amazon FSx バックアップを使用すると、ボリュームのバックアップを簡単に作成、表示、復元、削除できます。
Amazon FSx は、読み取り/書き込み (RW) の `OntapVolumeType` で ONTAP ボリュームのバックアップをサポートします。
**注記**
Amazon FSx では、データ保護 (DP) ボリューム、ロードシェアリングミラー (LSM) ボリューム、またはFlexCacheとSnapMirrorの宛先ボリュームのバックアップをサポートしていません。
**Topics**
+ [バックアップの仕組み](#how-backups-work)
+ [ストレージの要件](#storage-requirements)
+ [日次自動バックアップ](#automatic-backups)
+ [ユーザー主導のバックアップ](#user-initiated-backups)
+ [バックアップへのタグのコピー](#copy-tags-to-backups)
+ [Amazon FSx AWS Backup での の使用](#aws-backup-and-fsx)
+ [新しいボリュームへのバックアップの復元](#restoring-backups)
+ [バックアップと復元のパフォーマンス](#backup-performance)
+ [SnapLock ボリュームのバックアップ](#snaplock-backup)
+ [ユーザー起動のバックアップの作成](creating-backups.md)
+ [新しいボリュームへのバックアップの復元](to-restore-backups.md)
+ [データのサブセットの復元](data-subset-restore.md)
+ [バックアップを復元する際の進捗状況のモニタリング](monitor-backup-restore.md)
+ [バックアップの削除](how-to-delete-backups.md)
## バックアップの仕組み
すべての Amazon FSx バックアップ (日次自動バックアップとユーザー主導バックアップ) は増分的です。つまり、前回のバックアップが完了した以降のデータの変更のみを格納します。これにより、バックアップの作成に必要な時間と、各バックアップで使用されるストレージの量の両方が最小限に抑えられます。増分バックアップは、重複データを格納しないことでストレージコストを最適化します。FSx for ONTAP バックアップはボリュームごとに行われ、各バックアップには 1 つの特定のボリュームのデータのみが含まれます。Amazon FSx バックアップは、高い耐久性を実現するために、複数のアベイラビリティーゾーンに冗長的に格納されます。
Amazon FSx バックアップは、スナップショット (ある時点のボリュームの読み取り専用イメージ) を使用して、バックアップ間の増分を維持します。バックアップが行われるたびに、Amazon FSx はまずボリュームのスナップショットを取得します。バックアップスナップショットはボリュームに格納され、ボリュームのストレージ領域を消費します。次に、Amazon FSx は、このスナップショットを以前のバックアップスナップショット (存在する場合) と比較し、変更されたデータのみをバックアップにコピーします。
以前のバックアップスナップショットが存在しない場合は、最新のバックアップスナップショットの内容全体がバックアップにコピーされます。最新のバックアップスナップショットが正常に作成されると、Amazon FSx は以前のバックアップスナップショットを削除します。プロセスが繰り返される場合、最新のバックアップに使用されたスナップショットは、次のバックアップが作成されるまで、ボリュームに残ります。バックアップストレージのコストを最適化するために、ONTAP はボリュームのストレージ効率の節約をバックアップに維持します。
バックアップを[削除](how-to-delete-backups.md)すると、そのバックアップに固有のデータのみが削除されます。各 Amazon FSx バックアップには、バックアップから新しいボリュームを作成するために必要なすべての情報が含まれており、ボリュームのポイントインタイムスナップショットを効果的に復元します。
ボリュームごと AWS アカウント およびボリュームごとに保存できるバックアップの数には制限があります。詳細については、「[増加可能なクォータ](limits.md#soft-limits)」および「[ファイルシステムあたりのリソースクォータ](limits.md#limits-ontap-resources-file-system)」を参照してください。
**注記**
バックアップに NDMP を使用する場合、ONTAP では、NDMP転送の進行中にパッチオペレーションなどのメンテナンスアクティビティを続行することはできません。パッチの遅延を避けるため、Amazon FSx は、ファイルシステムのメンテナンスウィンドウ中にパッチオペレーションが適用されると、アクティブなNDMP転送セッションを中止します。パッチ適用が完了したら、Amazon FSx は自動的に再開できないため、クライアント側からNDMP転送セッションを手動で再起動する必要があります。バックアップの中断を回避するには、バックアップとパッチ AWS Backupの同時オペレーションをサポートする Amazon FSx バックアップまたは を使用することをお勧めします。
## ストレージの要件
ボリュームとファイルシステムには、バックアップスナップショットを格納するために十分な SSD ストレージ容量が必要です。スナップショットのために追加で消費される容量によってボリュームの SSD ストレージ使用率が 98% を超える場合は、バックアップスナップショットを作成することはできません。この場合、バックアップは失敗します。[ボリューム](manage-volume-capacity.md)または[ファイルシステムの](storage-capacity-and-IOPS.md#increase-primary-storage) SSD ストレージをいつでも増やして、バックアップが中断されないようにすることができます。
## 日次自動バックアップ
ファイルシステムを作成すると、ファイルシステムのボリュームに対して日次自動バックアップがデフォルトで有効になります。既存のファイルシステムの日次自動バックアップは、いつでも有効または無効にできます。すべてのボリュームの日次自動バックアップは、ファイルシステムの日次バックアップウィンドウ中に行われ、ファイルシステムの作成時に自動的に設定されます。日次バックアップウィンドウはいつでも変更できます。最適な[バックアップパフォーマンス](#backup-performance)を得るには、クライアントとアプリケーションがボリューム上のデータにアクセスしているときに、通常の営業時間外の日次バックアップウィンドウを選択することをお勧めします。また、ファイルシステムのメンテナンスウィンドウと重複しないバックアップウィンドウを選択することをお勧めします。ウィンドウが重複する場合、メンテナンスアクティビティが優先され、メンテナンスの完了後に自動バックアップが行われます。すでに進行中のバックアップはメンテナンス中も続行されますが、メンテナンスが完了するまで新しいバックアップの作成は行われない場合があります。メンテナンスがウィンドウの全期間にわたって実行されると、そのウィンドウ中に自動バックアップが行われない可能性があります。
コンソールを使用して、日次自動バックアップの保持期間を、ファイルシステムの作成時またはいつでも 1~90 日の値に設定できます。デフォルトの日次自動バックアップの保持期間は 30 日です。Amazon FSx は、保持期間が終了すると日次自動バックアップを削除します。 AWS CLI および API を使用して、保持期間を 0 ~ 90 日の値に設定できます。これを 0 に設定すると、毎日の自動バックアップがオフになります。
日次自動バックアップ、日次バックアップウィンドウ、バックアップ保持期間は、ファイルシステム上のすべてのボリュームに適用されるファイルシステム設定です。Amazon FSx コンソール、 AWS CLI、または API を使用して、これらの設定を変更できます。詳細については、「[ファイルシステムの更新](updating-file-system.md)」を参照してください。
ボリュームがオフラインの場合、ボリュームバックアップ (日次自動バックアップまたはユーザー主導バックアップ) を作成することはできません。詳細については、「[オフラインボリュームの表示](offline-volumes.md)」を参照してください。
**注記**
自動日次バックアップの最大保持期間は 90 日ですが[、 を使用して作成されたバックアップを含むユーザーが開始した](#user-initiated-backups)バックアップは AWS Backup、ユーザーまたは削除しない限り、永久に保持 AWS Backup されます。
Amazon FSx コンソール、CLI、および API を使用して、日次自動バックアップを手動で[削除](how-to-delete-backups.md)できます。ボリュームを削除すると、そのボリュームの日次自動バックアップも削除されます。Amazon FSx には、ボリュームを削除する前に最終バックアップを作成するオプションが用意されています。最終バックアップは、削除しない限り永続的に保持されます。
## ユーザー主導のバックアップ
Amazon FSx では、 AWS マネジメントコンソール、、および API を使用して AWS CLI、ファイルシステムのボリュームのバックアップを手動で取得できます。ユーザー主導のバックアップは、ボリュームに対して作成された他のバックアップと比較すると増分的で、ユーザーが削除しない限り、永続的に保持されます。ユーザー主導のバックアップは、バックアップが作成されたボリュームまたはファイルシステムを削除した後でも保持されます。[ユーザー主導のバックアップ](how-to-delete-backups.md)は、Amazon FSx コンソール、API、または CLI を使用してのみ削除できます。Amazon FSx によって自動的に削除されることはありません。
ユーザー主導のバックアップを作成する方法については、「[ユーザー起動のバックアップの作成](creating-backups.md)」を参照してください。
## バックアップへのタグのコピー
CLI または API でボリュームを作成または更新するときに `CopyTagsToBackups` がボリュームの[任意のタグをバックアップに自動的にコピーす](creating-volumes.md#create-volume-cli)るように設定することができます。ただし、コンソールの使用時にバックアップに名前を付けるなど、ユーザー主導のバックアップの作成時にタグを追加すると、`CopyTagsToBackups` が有効になっている場合でも、Amazon FSx はボリュームからタグをコピー*しません*。
## Amazon FSx AWS Backup での の使用
AWS Backup は、Amazon FSx for NetApp ONTAP ボリュームをバックアップすることでデータを保護するシンプルで費用対効果の高い方法です。 AWS Backup は、バックアップの作成、復元、削除を簡素化すると同時に、レポートと監査を改善するように設計された統合バックアップサービスです。 AWS Backup を使用すると、法律、規制、業務に関するコンプライアンスのための、集中型バックアップ戦略を容易に開発できます。また、以下を実行できる一元的な場所を提供することで、 AWS ストレージボリューム、データベース、ファイルシステムを簡単に保護できます。
+ バックアップする AWS リソースを設定して監査します。
+ バックアップスケジュールのオートメーション。
+ 保持ポリシーの設定。
+ 最近のすべてのバックアップ、コピー、および復元アクティビティのモニタリング。
AWS Backup は、Amazon FSx の組み込みバックアップ機能を使用します。 AWS Backup コンソールを使用して作成されたバックアップは、同じレベルのファイルシステムの整合性とパフォーマンスを持ち、ボリュームで作成された他の Amazon FSx ユーザー主導のバックアップと比較して増分的であり、Amazon FSx コンソールを使用して作成されたバックアップと同じ復元オプションを提供します。 AWS Backup を使用してこれらのバックアップを管理すると、1 時間ごとにスケジュールされたバックアップを作成する機能など、追加の機能が提供されます。防御レイヤーを追加し、バックアップを [バックアップ保管庫](https://docs.aws.amazon.com/aws-backup/latest/devguide/vaults.html)に格納することで、不注意や悪意による削除からバックアップを保護できます。
によって作成されたバックアップ AWS Backup はユーザー主導のバックアップと見なされ、Amazon FSx のユーザー主導のバックアップクォータにカウントされます。詳細については、「[増加可能なクォータ](limits.md#soft-limits)」を参照してください。Amazon FSx コンソール、CLI、および API AWS Backup を使用して作成されたバックアップを表示および復元できます。ただし、Amazon FSx コンソール、CLI、または API AWS Backup で によって作成されたバックアップを削除することはできません。詳細については、 AWS Backup デベロッパーガイド[の「 の開始方法 AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/getting-started.html)」を参照してください。
AWS Backup は、オフラインのボリュームをバックアップできません。
タグを使用して、バックアップ計画で保護する FSx for ONTAP リソースを選択できます。これらのタグは、ファイルシステムレベル全体ではなく、ボリュームレベルで適用する必要があります。詳細については、「 AWS Backup デベロッパーガイド[」の「バックアッププランへのリソースの割り当て](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)」を参照してください。
## 新しいボリュームへのバックアップの復元
ボリュームバックアップは、バックアップが保存されているのと同じ AWS リージョン にあるファイルシステム上の新しいボリュームに復元できます。バックアップ AWS リージョン とは別の にあるファイルシステムにバックアップを復元することはできません。
FSx for ONTAP 第 2 世代のファイルシステムのバックアップを復元する場合、クライアントは復元中にボリュームからデータをマウントして読み取ることができます。クライアントは、Amazon FSx がすべてのメタデータを新しいボリュームにロードし、ボリュームが `CREATED` のライフサイクルステータスを報告すると、復元するボリュームをマウントしてファイルデータを読み取ることができます。ボリュームのライフサイクルステータスは、Amazon FSx コンソールの [**[ボリュームの詳細]**](viewing-volumes.md) ページと [describe-volumes](https://docs.aws.amazon.com/v2/documentation/api/latest/reference/fsx/describe-volumes.html) CLI コマンドのレスポンスで確認できます。
バックアップから復元されている間にボリュームからデータを読み取るときに、データがボリュームにまだダウンロードされていない場合、最初のアクセスには最大数十 ミリ秒の読み込みレイテンシーが発生します。これらの読み取りは SSD 階層にキャッシュされ、後続の読み取りにはミリ秒未満の読み取りレイテンシーが予想されます。
Amazon FSx がボリュームを読み取り専用アクセスに利用できるようにするためにかかる時間は、バックアップに格納されているファイルメタデータの量に比例します。ファイルメタデータは通常、データセットの平均ファイルサイズに応じてバックアップデータの 1~7% を消費します (小さなファイルデータセットは、大きなファイルデータセットよりも多くのメタデータを消費します)。
元のファイルシステムとは異なる数の[高可用性 (HA) ペア](HA-pairs.md)を持つファイルシステムで FlexGroup ボリュームバックアップを復元する場合、Amazon FSx は、構成要素が均等に分散されるように、構成ボリュームを追加します。
**注記**
Amazon FSx は、ボリュームがバックアップから復元されている間、または第 1 世代のファイルシステムの SnapLock ボリュームに対して、データへの読み取りアクセスをサポートしていません。これらのバックアップを復元すると、復元プロセスが完了した後、ボリュームはデータのマウントとアクセスが可能になり、すべてのメタデータとデータが新しいボリュームにロードされます。
バックアップを復元すると、すべてのデータが最初に SSD ストレージ階層に書き込まれます。復元中は、復元されるボリュームの[階層化ポリシー](volume-storage-capacity.md#volume-data-tiering)に従って、データが容量プールストレージに階層化されます。データは最初に SSD 階層に書き込まれるため、ファイルシステムが SSD ストレージ容量を使い果たすと、Amazon FSx は復元プロセスを一時停止します。復元は、プロセスを継続するために十分な SSD 領域が利用可能になるとすぐに自動的に再開されます。復元されたボリュームの階層化ポリシーが `All` の場合、定期的なバックグラウンドプロセスはデータを容量プールに階層化します。復元された階層化ポリシーが `Snapshot Only` または `Auto` である場合、ファイルシステムの SSD 使用率が 50% を超えると、データは容量プールに階層化されますが、冷却速度は階層化ポリシーの冷却期間によって決まります。
第 2 世代のファイルシステムの新しいボリュームにバックアップを復元するときにワークロードに一貫したミリ秒未満の読み込みレイテンシーが必要な場合は、復元を開始するときにボリュームの階層化ポリシーを `None` に設定し、すべてのデータがボリュームに完全にダウンロードされるまで待ってからアクセスすることをお勧めします。すべてのデータは、アクセスを試みる前に SSD ストレージにロードされるため、データへの一貫した低レイテンシーアクセスが可能になります。
バックアップを新しいボリュームに復元する手順については、「[新しいボリュームへのバックアップの復元](to-restore-backups.md)」を参照してください。
第 2 世代のファイルシステムでは、復元操作全体が完了するまで待つことなく、バックアップからデータのサブセットのみを復元することもできます。バックアップのデータのサブセットのみを復元すると、データの偶発的な削除、変更、破損が発生した場合に、より迅速に操作を再開できます。詳細については、「[データのサブセットの復元](data-subset-restore.md)」を参照してください。
、 AWS マネジメントコンソール、および API の第 2 世代ファイルシステムでバックアップを復元するときに AWS CLI、進行状況をモニタリングできます。詳細については、「[バックアップを復元する際の進捗状況のモニタリング](monitor-backup-restore.md)」を参照してください。
**注記**
ボリュームスナップショットの作成とスナップショットベースの操作の実行はできません。スナップショットベースの操作には、クローン作成、SnapMirror レプリケーション、バックアップからの復元中のボリュームのバックアップ作成などが含まれます。
復元されたボリュームは、常に元のボリュームと同じボリュームスタイルになります。復元時にボリュームスタイルを変更することはできません。
## バックアップと復元のパフォーマンス
バックアップおよび復元操作の速度には、さまざまな要因が影響する可能性があります。バックアッ操作と復元操作はバックグラウンドプロセスであるため、クライアント IO 操作よりも優先度が低くなります。クライアント IO 操作には、NFS、CIFS、iSCSI データおよびメタデータの読み取りと書き込みが含まれます。すべてのバックグラウンド操作では、ファイルシステムのスループットキャパシティの未使用部分のみが利用されます。バックアップのサイズとファイルシステムの未使用スループットキャパシティの量によっては、完了までに数分から数時間かかる場合があります。
バックアップおよび復元のパフォーマンスに影響するその他の要因には、データが保存されているストレージ層やデータセットプロファイルなどがあります。データの大部分が SSD ストレージにあるときに、ボリュームの最初のバックアップを作成することをお勧めします。小さなファイルが大部分を占めるデータセットは、大きなファイルが大部分を占める同様のサイズのデータセットに比べて、バックアップと復元のパフォーマンスが下がります。これは、小さなファイルを多数処理するほうが、大きなファイルを少数処理するよりも、CPU サイクルとネットワークオーバーヘッドを多く消費するためです。
一般に、SSD ストレージ層に保存されているデータをバックアップする場合、次のバックアップ速度が期待できます。
+ 大きなファイルが大部分を占める複数の同時バックアップで 750 MBps。
+ 小さなファイルが大部分を占める複数の同時バックアップで 100 Mbps。
一般に、次の復元速度が期待できます。
+ 大きなファイルが大部分を占める複数の同時復元で 250 MBps。
+ 小さなファイルが大部分を占める複数の同時復元で 100 MBps。
## SnapLock ボリュームのバックアップ
[SnapLock](snaplock.md) ボリュームをバックアップすることで、データ保護を強化できます。SnapLock ボリュームを復元すると、デフォルトの保持期間、最小保持期間、最大保持期間など、ボリュームの元の設定が維持されます。Write Once, Read Many (WORM) 設定やリーガルホールドも維持されます。
**注記**
SnapLock FlexGroup ボリュームはバックアップできません。
SnapLock ボリュームのバックアップを SnapLock またはそれ以外の SnapLock ボリュームとして復元できます。ただし、それ以外の SnapLock ボリュームのバックアップを SnapLock ボリュームとして復元できません。
詳細については、「[SnapLock の仕組み](how-snaplock-works.md)」を参照してください。
# ユーザー起動のバックアップの作成
次の手順では、ボリュームのユーザー主導バックアップを作成する方法について説明します。
ボリュームがオフラインの場合、ボリュームのバックアップを作成することはできません。詳細については、「[オフラインボリュームの表示](offline-volumes.md)」を参照してください。
**ユーザー主導のバックアップを作成するには (コンソール)**
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。
1. **[ファイルシステム]** に移動し、ボリュームをバックアップする ONTAP ファイルシステムを選択します。
1. **ボリューム**タブを選択します。
1. バックアップするボリュームを選択します。
1. **[Actions]** (アクション) で、**[Create backup]** (バックアップの作成) を選択します。
1. 開いた **[Create backup]** (バックアップの作成) ダイアログボックスで、バックアップの名前を入力します。バックアップ 名は、英字、空白、数字、特殊文字. \$1 - = \$1 : / を含む最大 256 の Unicode 文字を使用できます。
1. **[Create backup]** (バックアップを作成) を選択します。
これで、ファイルシステムのボリュームの 1 つのバックアップが作成されました。左側のナビゲーションで、**[バックアップ]** を選択すると、Amazon FSx コンソールにすべてのバックアップが表示されます。バックアップに付けた名前と、一致する結果のみを表示するようにテーブルフィルターを検索できます。
この手順で説明したようにユーザーが開始するバックアップを作成すると、タイプは `USER_INITIATED` になり、完全に使用可能になるまで `CREATING` ステータスになります。
# 新しいボリュームへのバックアップの復元
次の手順では、 AWS マネジメントコンソール と を使用して FSx for ONTAP バックアップを新しいボリュームに復元する方法について説明します AWS CLI。ボリュームを第 2 世代のファイルシステムに復元するときは、 AWS マネジメントコンソール、 AWS CLI、および API を使用して進行状況を[モニタリング](monitor-backup-restore.md)できます。
**ボリュームバックアップを新しいボリュームに復元するには (コンソール)**
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。
1. ナビゲーションペインで、**[バックアップ]** を選択して、復元する FSx for ONTAP ボリュームバックアップを選択します。
1. 右上の **[アクション]** メニューで、**[バックアップの復元]** を選択します。**[バックアップからボリュームを作成] ページが表示されます。**
1. ドロップダウンメニューから、バックアップの復元先となる FSx for ONTAP **ファイルシステム**と**ストレージ仮想マシン**を選択します。
1. 右上の **[アクション]** メニューで、**[バックアップの復元]** を選択します。**[バックアップからボリュームを作成] ページが表示されます。**
1. ドロップダウンメニューから、バックアップの復元先となる FSx for ONTAP **ファイルシステム**と**ストレージ仮想マシン**を選択します。
1. **[ボリュームの詳細]** には、いくつかの選択肢があります。まず、**[ボリューム名]** に入力します。英数字とアンダースコア (\$1) で最大 203 文字まで使用できます。
1. **[ボリュームサイズ]** に、20~314572800 の範囲で任意の整数を入力し、サイズをメビバイト (MiB) 単位で指定します。
1. **ボリュームの種類**では、**読み取り/書き込み (RW) **を選択して読み取り可能および書き込み可能なボリュームを作成するか、**データ保護 (DP) **を選択して読み取り専用のボリュームを作成し、NetApp SnapMirrorまたはSnapVaultリレーションシップの宛先として使用できます。詳細については、「[ボリュームの種類](managing-volumes.md#volume-types)」を参照してください。
1. **[Junction path]** (ジャンクションパス) で、ボリュームをマウントするファイルシステム内の場所を入力します。`/vol3` のように、名前の先頭にスラッシュを付ける必要があります。
1. **[ストレージ効率]** で、**[有効]** を選択し、ONTAP ストレージ効率機能 (重複排除、圧縮、コンパクト化) を有効にします。詳細については、「[ストレージ効率](managing-storage-capacity.md#storage-efficiency)」を参照してください。
1. **[ボリュームのセキュリティスタイル]** には、**[UNIX (Linux)]**、**[NTFS]**、または **[混合]** のいずれかを選択します。ボリュームのセキュリティスタイルによって、マルチプロトコルアクセスで NTFS ACL と UNIX ACL のどちらを優先するかが決まります。MIXED モードはマルチプロトコルアクセスには必要なく、上級ユーザーにのみ推奨されます。
1. **[Snapshot policy]** (スナップショットポリシー) で、ボリュームのスナップショットポリシーを選択します。スナップショットポリシーの詳細については、[スナップショットポリシー](snapshots-ontap.md#snapshot-policies) を参照してください。
**[Custom policy]** (カスタムポリシー) を選択した場合は、**[custom-policy]** (カスタムポリシー) フィールドにポリシーの名前を指定する必要があります。カスタムポリシーは SVM またはファイルシステムにすでに存在している必要があります。ONTAP CLI または REST API を使用して、カスタムスナップショットポリシーを作成することができます。詳細については、NetApp ONTAP ONTAP 製品ドキュメントの「[スナップショットポリシーを作成する](https://docs.netapp.com/us-en/ontap/data-protection/create-snapshot-policy-task.html)」を参照してください。
1. **[階層化ポリシーの冷却期間]** の有効値は 2~183 日です。ボリュームの階層化ポリシーの冷却期間は、アクセスされていないデータがコールドとしてマークされ、容量プールストレージに移動されるまでの日数を定義します。この設定は `Auto` ポリシーと `Snapshot-only` ポリシーにのみ影響します。
1. **[詳細設定]** セクションの **[SnapLock 設定]** では、デフォルトの **[無効]** 設定のままにするか、**[有効]** を選択して SnapLock ボリュームを設定できます。SnapLock の Compliance ボリュームまたは SnapLock の Enterprise ボリュームの設定の詳細については、「[SnapLock コンプライアンスについて](snaplock-compliance.md)」および「[SnapLock エンタープライズ について](snaplock-enterprise.md)」を参照してください。SnapLock の詳細については、「[SnapLock でのデータの保護](snaplock.md)」を参照してください。
1. **[確認]** を選択してボリュームを作成します。
1. バックアップを第 2 世代のファイルシステムに復元する場合は、**[ボリューム]** ページの **[更新]** タブでバックアップ復元の進行状況をモニタリングできます。詳細については、「[バックアップを復元する際の進捗状況のモニタリング](monitor-backup-restore.md)」を参照してください。
**新しいボリュームへバックアップを復元するには (CLI)**
[Create-volume-from-backup](https://docs.aws.amazon.com/cli/latest/reference/fsx/create-volume-from-backup.html) CLI コマンドまたは同等の [CreateVolumeFromBackup](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateVolumeFromBackup.html) API コマンドを使用すると、ボリュームバックアップを新しいボリュームに復元できます。
+
```
$ aws fsx create-volume-from-backup --backup-id backup-08e6fc1133fff3532 \
--name demo --ontap-configuration JunctionPath=/demo,SizeInMegabytes=100000,\
StorageVirtualMachineId=svm-0f04a9c7c27e1908b,TieringPolicy={Name=ALL}
```
バックアップを第 2 世代のファイルシステムに復元するための復元リクエストが成功した場合のシステムレスポンスは、次のように表示されます。レスポンスには、リクエストのステータスと進行状況情報を提供する `"AdministrativeActions"` オブジェクトが含まれます。
```
{
"Volume": {
"CreationTime": 1692721488.428,
"FileSystemId": "fs-07ab735385276ed60",
"Lifecycle": "CREATING",
"Name": "demo",
"OntapConfiguration": {
"FlexCacheEndpointType": "NONE",
"JunctionPath": "/demo",
"SizeInMegabytes": 100000,
"StorageEfficiencyEnabled": true,
"StorageVirtualMachineId": "svm-0f04a9c7c27e1908b",
"StorageVirtualMachineRoot": false,
"TieringPolicy": {
"Name": "ALL"
},
"OntapVolumeType": "DP",
"SnapshotPolicy": "default",
"CopyTagsToBackups": false,
},
"ResourceARN": "arn:aws:fsx:us-east-1:752825163408:volume/fs-07ab735385276ed60/fsvol-0b6ec764c9c5f654a",
"VolumeId": "fsvol-0b6ec764c9c5f654a",
"VolumeType": "ONTAP",
---> "AdministrativeActions": [
{
"AdministrativeActionType": "DOWNLOAD_DATA_FROM_BACKUP",
"RequestTime": 1685729972.069,
"Status": "PENDING"
}
] <----
}
}
```
第 1 世代のファイルシステムにバックアップを復元するリクエストが成功した場合のシステムレスポンスは次のようになります。
```
{
"Volume": {
"CreationTime": 1692721488.428,
"FileSystemId": "fs-07ab735385276ed60",
"Lifecycle": "CREATING",
"Name": "demo",
"OntapConfiguration": {
"FlexCacheEndpointType": "NONE",
"JunctionPath": "/demo",
"SizeInMegabytes": 100000,
"StorageEfficiencyEnabled": true,
"StorageVirtualMachineId": "svm-0f04a9c7c27e1908b",
"StorageVirtualMachineRoot": false,
"TieringPolicy": {
"Name": "ALL"
},
"OntapVolumeType": "DP",
"SnapshotPolicy": "default",
"CopyTagsToBackups": false,
},
"ResourceARN": "arn:aws:fsx:us-east-1:752825163408:volume/fs-07ab735385276ed60/fsvol-0b6ec764c9c5f654a",
"VolumeId": "fsvol-0b6ec764c9c5f654a",
"VolumeType": "ONTAP",
}
}
```
ボリュームを第 2 世代のファイルシステムに復元するときは、 AWS マネジメントコンソール、 AWS CLI、および API を使用して[進行状況をモニタリング](monitor-backup-restore.md)できます。
# データのサブセットの復元
データのサブセットは、バックアップデータセット全体が完全に復元されるまで待つことなく、第 2 世代のファイルシステムの新しいボリュームに復元している間にバックアップから復元できます。
次の手順では、バックアップを復元するときにデータのサブセットを復元する必要があり、復元全体が完了するまで待つことができない場合に実行する手順を示します。
**バックアップの復元中にデータのサブセットを復元するには**
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。
1. **[バックアップ]** ページで、復元するデータのバージョンを含むバックアップを見つけます。
1. 右上の **[アクション]** メニューで、**[バックアップの復元]** を選択します。**[バックアップからボリュームを作成] ページが表示されます。**
1. ドロップダウンメニューから、バックアップの復元先となる FSx for ONTAP **ファイルシステム**と**ストレージ仮想マシン**を選択します。
1. **[ボリュームの詳細]** で、ニーズに合わせてボリュームを設定します。
1. **[確認]** を選択してボリュームを作成します。
1. バックアップの復元の[進行状況をモニタリング](monitor-backup-restore.md)します。
1. `CREATED` のライフサイクルステータスが報告されると、復元される[ボリュームをマウント](supported-fsx-clients.md)します。
1. コピーする必要があるボリューム上のデータのサブセットを見つけます。
1. アプリケーションが使用する既存のボリュームにデータをコピーします。
1. バックアップから必要なデータがターゲットロケーションにコピーされたら、復元されるボリュームがファイルシステムリソースの使用率の最適化を完了する前に削除できます。
# バックアップを復元する際の進捗状況のモニタリング
、、および API でボリュームバックアップを第 2 世代のファイルシステムに復元するときに AWS マネジメントコンソール AWS CLI、進行状況をモニタリングできます。すべての Amazon FSx 管理アクションと同様に、操作が完了してから 30 日間、コンソール、CLI、および API でバックアップ復元ステータスを使用できます。
**バックアップの復元を行う際の進行状況をモニタリングするには (コンソール)**
[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。
1. 左側のナビゲーションメニューで **[ボリューム]** を選択します。
1. バックアップの復元先となるボリュームを選択します。
1. **[更新]** タブを選択します。
1. **[バックアップ復元]** と **[更新タイプ]** は、次の情報を示します。
+ **[保留中]** は、ファイルメタデータをボリュームにダウンロード中であることを示します。ボリュームの **[ライフサイクルステータス]** は **[作成中]** です。
+ **[IN\$1PROGRESS]** は、ボリュームが使用可能であり、クライアントがデータへの読み取り専用アクセスでボリュームをマウントできることを示します。**[進行 %]** は、ボリュームにダウンロードされたデータの割合を示します。
+ **[完了済み]** は、すべてのデータがボリュームにダウンロードされ、バックアップ復元が完了したことを示します。クライアントは読み取り/書き込みアクセスできるようになりました。`RW` ボリュームの場合、ボリュームのタイプはこの時点で `DP` から `RW` に変わります。
**バックアップを復元する際の進行状況をモニタリングするには (CLI)**
+ 第 2 世代の FSx for ONTAP ファイルシステムの新しいボリュームにバックアップを復元する場合、[https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeVolumes.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeVolumes.html) CLI コマンドを使用して復元の進行状況をモニタリングできます。
バックアップを第 2 世代のファイルシステムに復元する場合、レスポンスには `AdministrativeActions` オブジェクトが含まれ、データのダウンロードプロセスに関するステータス情報が提供されます。-
```
$ aws fsx describe-volumes
{
“Volumes”: [
{
“CreationTime”: 1691686114.674,
“FileSystemId”: fs-029ff92192bd4d375,
“LifeCycle”: “CREATING”,
“Name”: vol1,
“OntapConfiguration”: {
“FlexCacheEndpointType”: “NONE”,
“JunctionPath”: “/vol1”,
“SizeInMegabytes”: 100000,
“StorageEfficiencyEnabled”: true,
“StorageVirtualMachineId”: “svm-0ed1d714019426ca9”,
“StorageVirtualMachineRoot”: false,
“TieringPolicy”: {
“Name”: “ALL”
},
“OntapVolumeType”: “DP”,
“SnapshotPolicy”: “default”,
“CopyTagsToBackups”: false,
},
“ResourceARN”: “arn:aws:fsx:us-east-1:630831496844:volume/fs-08ac75f715c6aec76/fsvol-094c015af930790fa”,
“VolumeId”: “fsvol-094c015af930790fa”,
“VolumeType”: “ONTAP”,
“AdministrativeActions”: [
{
“AdministrativeActionType”: “DOWNLOAD_DATA_FROM_BACKUP”,
“RequestTime”: 1685729972.069,
“Status”: “PENDING”
}
]
}
```
Amazon FSx が復元されたボリュームにすべてのファイルメタデータをロードすると、これらのフィールドには次の値があります。
+ `"LifeCycle": "CREATED"` – ボリュームをマウントする準備ができていることを示します。
+ `"OntapVolumeType": "DP"` – ファイルデータのダウンロード中にボリュームが読み取り専用であることを示します。
+ `"ProgressPercent` – ボリュームにロードされるファイルデータの割合を示します。
+ `"Status": "IN_PROGRESS"` – ファイルデータをボリュームにダウンロード中です。
復元プロセスのこの段階では、復元するバックアップ内のすべてのデータへの読み取り専用アクセスでボリュームをマウントできます。
Amazon FSx が新しいボリュームへのすべてのファイルデータのダウンロードを完了すると、これが `RW` ボリュームの場合、クライアントは完全な読み取り/書き込みアクセス権を持ちます。インジケータには次の値があります。
+ `"LifeCycle": "CREATED"` – 変更なし
+ `"OntapVolumeType": "RW"` – クライアントに完全な読み取り/書き込みアクセスがあることを示します。
+ `"Status": "COMPLETED"` – 復元が完了したことを示します。
復元プロセスが失敗した場合、`FAILED` の値は `AdminstrativeAction > Status` になります。`FailureDetails` オブジェクトにエラーメッセージが表示されます。詳細については、Amazon FSx リファレンスの「[AdministrativeActionFailureDetails](https://docs.aws.amazon.com/fsx/latest/APIReference/API_AdministrativeActionFailureDetails.html)」を参照してください。
# バックアップの削除
Amazon FSx コンソール、Amazon FSx API、または AWS Command Line Interface (AWS CLI) を使用して、ボリュームの日次自動バックアップとユーザー主導のバックアップの両方を削除できます。バックアップの削除は、永久的で回復不能なアクションです。削除されたバックアップ内のデータもすべて削除されます。今後そのバックアップが必要でないということが確かでない限り、バックアップを削除しないでください。ソースボリュームが[オフライン](offline-volumes.md)の場合、バックアップを削除することはできません。
ボリュームは、すべての FSx for ONTAP ファイルシステムのバックアップから復元中に削除できます。復元中にボリュームを削除すると、進行中の復元オペレーションが効果的にキャンセルされます。
**注記**
Amazon FSx は、ONTAP ボリュームの他のすべての `AVAILABLE` バックアップが削除されない場合のボリュームの最新のバックアップの削除をサポートしていません。
を使用して作成されたバックアップを削除するには AWS Backup、「 AWS Backup デベロッパーガイド」の[「バックアップの削除](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html)」を参照してください。
**バックアップを削除するには (コンソール)**
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。
1. コンソールダッシュボードで、左側のナビゲーションから **[Backups]** (バックアップ) を選択します。
1. **[Backups]** (バックアップ) テーブルから削除するバックアップを選択してから、**[Delete backup]** (バックアップの 削除) を選択します。
1. 開いた ** バックアップの削除]** ダイアログボックスで、表示されたバックアップの ID が削除したいバックアップのものであることを確認します。
1. 削除するバックアップのチェックボックスがチェックされていることを確認します。
1. **[Delete backups]** (バックアップの削除) を選択します。
バックアップとそれに含まれるすべてのデータが恒久的に、回復不能な形で削除されます。
**バックアップを削除するには (CLI)**
+ ONTAP ボリュームのバックアップを削除するには、次の例に示すように、delete-backup CLI コマンドまたは同等の DeleteBackup コマンド API アクションを使用します。
```
$ aws fsx delete-backup --backup-id backup-a0123456789abcdef
```
システムレスポンスには、削除されるバックアップの ID と、リクエストが成功したことを示す `DELETED` の値を持つライフサイクルステータスが含まれます。
```
{
"BackupId": "backup-a0123456789abcdef",
"Lifecycle": "DELETED"
}
```
# スナップショットによるデータの保護
*snapshot* (スナップショット) は、ある時点での Amazon FSx for NetApp ONTAP ボリュームの読み取り専用イメージです。スナップショットは、ボリューム内のファイルの間違った削除や変更からの保護を提供します。スナップショットで、ユーザーは以前のスナップショットから個々のファイルやフォルダを簡単に表示および復元し、変更の取り消し、削除したコンテンツの復元、ファイルバージョンの比較ができます。
スナップショットには、ファイルシステムの SSD ストレージ容量を消費する最後のスナップショット以降に変更されたデータが含まれます。スナップショットは、ボリューム[バックアップ](using-backups.md)に含まれません。スナップショットは、`default` のスナップショットポリシーを使用して、ボリューム上でデフォルトで有効になります。スナップショットはボリュームのルート内の `.snapshot` ディレクトリに保存されます。ボリュームごとに最大 1,023 のスナップショットをいつでも保存することができます。この制限に達したら、ボリュームの新しいスナップショットを作成する前に、[既存のスナップショットを削除する](#delete-snapshots)必要があります。
**Topics**
+ [スナップショットポリシー](#snapshot-policies)
+ [スナップショットからのファイルの復元](user-restore-all-clients.md)
+ [共通スナップショットの表示](common-snapshot.md)
+ [ボリュームのスナップショットリザーブの更新](modify-snapshot-reserve.md)
+ [自動スナップショットの無効化](disable-snapshots.md)
+ [スナップショットの削除](#delete-snapshots)
+ [スナップショットの削除](manually-delete-snapshots.md)
+ [スナップショットリザーブ](#snapshot-reserve)
## スナップショットポリシー
スナップショットポリシーは、システムがボリュームのスナップショットを作成する方法を定義します。ポリシーは、スナップショットを作成する時期、保持するコピーの数、および命名方法を指定します。FSx for ONTAP には、次の 3 つの基本的なスナップショットポリシーがあります:
+ `default`
+ `default-1weekly`
+ `none`
デフォルトで、すべてのボリュームはファイルシステムの `default` スナップショットポリシーに関連付けられます。ほとんどのワークロードでは、このポリシーを使用することを推奨します。
`default` ポリシーは、次のスケジュールでスナップショットを自動的に作成し、最も古いスナップショットコピーを削除して、新しいコピーの空き領域を確保します。
+ 時間の 5 分後に撮影された最大 6 つの 1 時間単位のスナップショット。
+ 月曜日から土曜日の午前 0 時から 10 分後に撮影される最大 2 つの日次スナップショット。
+ 毎週日曜日の午前 0 時から 15 分後に撮影される最大 2 つの週次スナップショット。
**注記**
スナップショット時間は、デフォルトで協調ユニバーサルタイム (UTC) に設定されているファイルシステムの時間帯に基づきます。`timezone -timezone time_zone` ONTAP CLI コマンドを使用して、FSx for ONTAP ファイルシステムのタイムゾーンを設定できます。ONTAPCLI へのアクセスの詳細は[NetApp ONTAP CLI の使用](managing-resources-ontap-apps.md#netapp-ontap-cli)をご参照ください。
`default-1weekly` ポリシーは、週間スケジュールのスナップショットを 1 つだけ保持する点を除いて、`default` ポリシーと同じ方法で動作します。
`none` ポリシーは、スナップショットを作成しません。このポリシーをボリュームに割り当てると、自動スナップショットが作成されないようにすることができます。
ONTAP CLI または REST API を使用してカスタムスナップショットポリシーを作成することもできます。詳細については、*NetApp ONTAP 製品ドキュメント*の[スナップショットポリシーの作成](https://docs.netapp.com/us-en/ontap/data-protection/create-snapshot-policy-task.html)をご参照ください。Amazon FSx コンソール、、または Amazon FSx API でボリュームを作成 AWS CLIまたは更新するときに、スナップショットポリシーを選択できます。詳細については、「[ボリュームの作成](creating-volumes.md)」および「[ボリュームの更新](updating-volumes.md)」を参照してください。
# スナップショットからのファイルの復元
Amazon FSx ファイルシステム上のスナップショットを使用して、個々のファイルまたはフォルダーの以前のバージョンをすばやく復元できます。
Linux および macOS クライアントを使用する場合、スナップショットをボリュームのルートにある `.snapshot` ディレクトリに表示することができます。Windows クライアントを使用する場合、スナップショットを Windows エクスプローラのタブ (ファイルまたはフォルダを右クリック) の `Previous Versions` タブに表示することができます。
**スナップショットからファイルを復元するには (Linux および macOS クライアント)**
1. 元のファイルがまだ存在し、スナップショット内のファイルによって上書きしたくない場合は、Linux または macOS クライアントを使用して元のファイルの名前を変更するか、別のディレクトリに移動します。
1. `.snapshot` ディレクトリで、復元するファイルのバージョンを含むスナップショットを見つけます。
1. `.snapshot` ディレクトリからファイルが元々存在していたディレクトリにファイルをコピーします。
**スナップショットからファイルを復元するには (Windows クライアント)**
Windows クライアント上のユーザーは、使い慣れた Windows ファイルエクスプローラーインターフェイスを使用して、ファイルを以前のバージョンに復元できます。
1. ファイルを復元するには、復元するファイルを選択し、コンテキスト (右クリック) メニューから **[Restore previous versions]** (以前のバージョンの復元) を選択します。
1. その後、ユーザーは **[Previous Versions]** (以前のバージョン) リストから以前のバージョンを表示および復元できます。
スナップショットのデータは読み取り専用です。**[Previous Versions]** (以前のバージョン) タブにリストされているファイルおよびフォルダに変更を加える場合、変更するファイルとフォルダのコピーを書き込み可能な場所に保存し、そのコピーを変更する必要があります。
# 共通スナップショットの表示
共通スナップショットはバックアップ間の増分を維持するために使用されます。この手順では、ボリュームの共通スナップショットを識別する方法について説明します。
**ボリュームの共通スナップショットを表示するには**
+ ボリュームの共通スナップショットであるスナップショットを確認するには、[https://docs.netapp.com/us-en/ontap-cli-9131/volume-snapshot-show.html](https://docs.netapp.com/us-en/ontap-cli-9131/volume-snapshot-show.html) ONTAP CLI コマンドを使用します。
```
volume snapshot show -volume volume-name
```
出力では、次の例に示すように、共通スナップショットの名前の形式は `backup-id` です。*id* は 17 桁の英数字文字列です。
```
FsxIdabc12345::> volume snapshot show -volume test_vol
---Blocks---
Vserver Volume Snapshot Size Total% Used%
-------- -------- --------------------------- -------- ------ -----
dest-svm test_vol
snap1 144KB 0% 3%
snap2 832KB 0% 16%
---> backup-abcdef0123456789a 4.87MB 0% 53% <---
weekly.2024-05-26_0015 5.02MB 0% 54%
weekly.2024-06-02_0015 2.22MB 0% 34%
daily.2024-06-04_0010 284KB 0% 6%
daily.2024-06-05_0010 4.29MB 0% 50%
hourly.2024-06-05_0705 168KB 0% 4%
8 entries were displayed.
```
**重要**
ボリューム上の共通スナップショットは、バックアップ間の増分を維持するために使用されるため、削除しないでください。ボリュームの共通スナップショットを削除すると、次のバックアップは増分バックアップではなく、ボリュームの完全なバックアップになります。
# ボリュームのスナップショットリザーブの更新
次の手順で説明しているように、NetApp ONTAP CLI または API を使用してボリュームのスナップショットリザーブの量を変更できます。
1. ONTAPCLI にアクセスするには、次のコマンドを実行して、Amazon FSx for NetApp ONTAP ファイルシステムまたは SVM の管理ポートで SSH セッションを確立します。`management_endpoint_ip` をファイルシステムの管理ポートの IP アドレスに置き換えます。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
詳細については、「[ONTAP CLI を使用したファイルシステムの管理](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)」を参照してください。
1. [https://docs.netapp.com/us-en/ontap-cli-9141/volume-modify.html](https://docs.netapp.com/us-en/ontap-cli-9141/volume-modify.html) ONTAP ClI コマンドを使用して、スナップショットコピーリザーブに使用されるディスク容量の割合を変更します。以下のプレースホルダをユーザー自身の値に置き換えます。
+ *`svm_name`* — SVM の名前を使用します。
+ *`vol_name`* — ボリュームの名前を使用します。
+ *`percent`* — スナップショットコピー用に予約するディスク領域の割合。
```
::> volume modify -vserver svm_name -volume vol_name -percent-snapshot-space percent
```
次の例では、vol1 のスナップショットリザーブをボリュームのストレージ容量の 25% に変更します。
```
::> volume modify -vserver vs0 -volume vol1 -percent-snapshot-space 25
```
# 自動スナップショットの無効化
自動スナップショットは、FSx for ONTAP ファイルシステム内のボリュームに関するデフォルトのスナップショットポリシーで有効にされます。データのスナップショットが必要ない場合 (テストデータを使用している場合など)、次の手順で説明するように、ボリュームのスナップショット[ポリシー](snapshots-ontap.md#snapshot-policies)を AWS マネジメントコンソール、 AWS CLI API、および ONTAP CLI `none`を使用して無効にできます。
## 自動スナップショットを無効にするには (AWS コンソール)
自動スナップショットを無効にするには (コンソール)
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。
1. **[File systems]** (ファイルシステム) に移動してボリュームを更新する ONTAP ファイルシステムを選択します。
1. **[Volumes]** (ボリューム) タブを選択します。
1. 更新するボリュームを選択します。
1. **[Action]** (アクション) で、**[Update volume]** (ボリュームの更新) を選択します。
**[Update volume]** (ボリュームの更新) ダイアログボックスに、現在のボリューム設定が表示されます。
1. **[ポリシー]** で **[なし]** を選択します。
1. **[Update]** (更新) をクリックして、ボリュームを更新します。
## 自動スナップショットを無効にするには (AWS CLI)
+ 次の例に示すように、[update-volume](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-volume.html) AWS CLI コマンド (または同等の [UpdateVolume](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateVolume.html) API コマンド) を使用して`none`、 `SnapshotPolicy`を に設定します。
```
aws fsx update-volume \
--volume-id fsvol-1234567890abcdefa \
--name new_vol \
--ontap-configuration CopyTagsToBackups=true,JunctionPath=/new_vol, \
SizeInMegabytes=2048,SnapshotPolicy=none, \
StorageEfficiencyEnabled=true, \
TieringPolicy=all
```
## 自動スナップショットを無効にするには (ONTAP CLI)
ボリュームのスナップショットポリシーを設定して、`none` デフォルトのポリシーを使用して自動スナップショットをオフにします。
1. `none` ポリシーを表示するには、[https://docs.netapp.com/us-en/ontap-cli-9131/volume-snapshot-policy-show.html](https://docs.netapp.com/us-en/ontap-cli-9131/volume-snapshot-policy-show.html) ONTAP CLI コマンドを使用します。
```
::> snapshot policy show -policy none
Vserver: FsxIdabcdef01234567892
Number of Is
Policy Name Schedules Enabled Comment
------------------------ --------- ------- ----------------------------------
none 0 false Policy for no automatic snapshots.
Schedule Count Prefix SnapMirror Label
---------------------- ----- ---------------------- -------------------
- - - -
```
1. [https://docs.netapp.com/us-en/ontap-cli-9131/volume-modify.html](https://docs.netapp.com/us-en/ontap-cli-9131/volume-modify.html) ONTAP ClI コマンドを使用して、ボリュームのスナップショットポリシーを `none` に設定し、自動スナップショットを無効にします。以下のプレースホルダをユーザー自身の値に置き換えます。
+ *`svm_name`* — SVM の名前を使用します。
+ *`vol_name`* — ボリュームの名前を使用します。
続行するかどうかを確認するメッセージが表示されたら、**y** を入力します。
```
::> volume modify -vserver svm_name -volume vol_name -snapshot-policy none
Warning: You are changing the Snapshot policy on volume "vol_name" to "none". Snapshot copies on this volume
that do not match any of the prefixes of the new Snapshot policy will not be deleted. However, when
the new Snapshot policy takes effect, depending on the new retention count, any existing Snapshot copies
that continue to use the same prefixes might be deleted. See the 'volume modify' man page for more information.
Do you want to continue? {y|n}: y
Volume modify successful on volume vol_name of Vserver svm_name.
```
## スナップショットの削除
スナップショットは、前回のスナップショット以降に変更されたボリュームのデータに対してのみストレージ容量を消費します。このため、ワークロードでデータが急速に書き込まれる場合、古いデータからのスナップショットは、ボリュームのストレージ容量のかなりの部分を占める可能性があります。
例えば、[https://docs.netapp.com/us-en/ontap-cli-9131/volume-show-space.html](https://docs.netapp.com/us-en/ontap-cli-9131/volume-show-space.html) ONTAP CLI コマンド出力は 140 KB の `User Data` を表示します。しかし、ユーザーデータが削除される前は、ボリュームには 9.8 GB の `User Data` がありました。ボリュームからファイルを削除した場合でも、スナップショットは以前のユーザーデータを参照している可能性があります。このため、前の例の `Snapshot Reserve` および `Snapshot Spill` は、ボリュームにユーザーデータがほとんどないにもかかわらず、合計 9.8 GB の容量を使用します。
ボリュームの領域を解放するには、不要になった古いスナップショットを削除できます。スナップショットは増分であるため、削除時にスナップショットのサイズと等しいストレージの量を再利用することはありません。スナップショットを削除することで再利用できるストレージの量を確認するには、[volume snapshot compute-reclaimable-vserver](https://docs.netapp.com/us-en/ontap-cli-9141/volume-snapshot-compute-reclaimable.html) ONTAP CLIコマンドを使用し、*svm\$1name*、*vol\$1name*、および *snapshot\$1name* を置き換えるデータを指定します。
```
fsid8970abc52::> volume snapshot compute-reclaimable -vserver svm_name -volume vol_name -snapshot snapshot_name
A total of 667648 bytes can be reclaimed.
```
[スナップショットの自動削除ポリシー](snapshot-autodelete-policy.md)を作成するか、[スナップショットを手動で](manually-delete-snapshots.md)削除して、スナップショットを削除できます。スナップショットを削除すると、スナップショットに保存されている変更されたデータが削除されます。
# スナップショットの削除
[https://docs.netapp.com/us-en/ontap-cli-9131/volume-snapshot-delete.html](https://docs.netapp.com/us-en/ontap-cli-9131/volume-snapshot-delete.html) ONTAP CLI コマンドを使用してスナップショットを手動で削除し、次のプレースホルダー値をデータに置き換えます。
+ *`svm_name`* をボリュームが作成されている SVM の名前に置き換えます。
+ *`vol_name`* をボリュームの名前に置き換えます。
+ *`snapshot_name`* をスナップショットの名前に置き換えます。このコマンドは、*`snapshot_name`* のワイルドカード文字 (`*`) をサポートしています。したがって、例えば、`hourly*` を使用して時間単位のスナップショットをすべて削除できます。
**重要**
Amazon FSx バックアップが有効になっている場合、Amazon FSx は各ボリュームの最新の Amazon FSx バックアップのスナップショットを保持します。これらのスナップショットは、バックアップ間の増分を維持するために使用され、この方法を使用して削除することはできません。詳細については、「[共通スナップショットの表示](common-snapshot.md)」を参照してください。
```
FsxIdabcdef01234567892::> volume snapshot delete -vserver svm_name -volume vol_name -snapshot snapshot_name
```
# スナップショット自動削除ポリシーの作成
ボリューム内の使用可能な領域が少なくなっているときに、スナップショットを自動的に削除するポリシーを作成できます。[ボリュームスナップショットの自動削除変更](https://docs.netapp.com/us-en/ontap-cli-9131/volume-snapshot-autodelete-modify.html) ONTAP CLI コマンドを使用して、ボリュームの自動削除ポリシーを確立します。
このコマンドを使用する場合は、データを使用して次のプレースホルダー値を置き換えます。
+ *`svm_name`* をボリュームが作成されている SVM の名前に置き換えます。
+ *`vol_name`* をボリュームの名前に置き換えます。
`-trigger` には、次のいずれかの値を割り当てます。
+ `volume` - スナップショットが削除されるしきい値を使用済みボリューム容量合計のしきい値に対応させる場合は、`volume` を使用します。スナップショットの削除をトリガーする使用済みボリューム容量のしきい値は、ボリュームのサイズによって決まります。使用される容量のしきい値は 85~ 98% です。ボリュームが小さいほどしきい値が小さくなり、ボリュームが大きいほどしきい値が大きくなります。
+ `snap_reserve` - スナップショット予約に保持できる内容に基づいてスナップショットを削除する場合は、`snap_reserve` を使用します。
```
::> volume snapshot autodelete modify -vserver svm_name -volume vol_name -enabled true -trigger [volume|snap_reserve]
```
詳細については、「*NetApp の ONTAP ドキュメントセンター*」の「[ボリュームスナップショットの自動削除変更](https://docs.netapp.com/us-en/ontap-cli-9131/volume-snapshot-autodelete-modify.html)」コマンドを参照してください。
## スナップショットリザーブ
スナップショットコピーリザーブは、スナップショットコピーを格納するためのボリュームのストレージ容量の特定のパーセントを設定し、デフォルト値は 5% です。スナップショットコピーリザーブには、[ボリュームバックアップ](using-backups.md)など、スナップショットコピーに十分なスペースを割り当てる必要があります。スナップショットコピーがスナップショット予約スペースを超える場合は、アクティブなファイルシステムから既存のスナップショットコピーを削除して、ファイルシステムを使用するためのストレージ容量を回復する必要があります。スナップショットコピーに割り当てられているディスク容量の割合を変更することもできます。
スナップショットがスナップショットリザーブの 100% 以上を消費すると、プライマリ SSD ストレージ領域を占有し始めます。このプロセスはスナップショット流出と呼ばれます。スナップショットがアクティブなファイルシステム領域を引き続き占有している場合、ファイルシステムは満杯になるリスクがあります。スナップショットの流出によってファイルシステムがいっぱいになった場合は、十分なスナップショットを削除した後にのみファイルを作成できます。
スナップショットリザーブ内のスナップショットに十分なディスク領域が利用可能な場合、プライマリ SSD 階層からファイルを削除すると、新しいファイルのディスク領域が解放されます。一方、これらのファイルを参照するスナップショットコピーは、スナップショットコピーリザーブ内の領域のみを使用します。
スナップショットがリザーブド量 (スナップショットリザーブ) を超えるディスク領域を消費するのを防ぐ方法がないため、プライマリ SSD 階層に新しいファイルを作成したり、既存のファイルを変更したりするために常に使用可能な領域を確保するために、スナップショットに十分なディスク領域を予約することが重要です。
ディスクがいっぱいになったときにスナップショットが作成された場合、プライマリ SSD 階層からファイルを削除しても空き領域は作成されません。これは、そのデータはすべて新しく作成されたスナップショットからも参照されるためです。ファイルを作成または更新するためにストレージを解放するには、[スナップショットを削除](#delete-snapshots)する必要があります。
NetApp ONTAP CLI を使用して、ボリュームのスナップショットリザーブの量を変更できます。詳細については、「[ボリュームのスナップショットリザーブの更新](modify-snapshot-reserve.md)」を参照してください。
# Autonomous Ransomware Protection によるデータの保護
Autonomous Ransomware Protection (ARP) は、Windows または Linux クライアントが侵害された場合に、ランサムウェアやマルウェア攻撃からデータをモニタリングして保護する NetApp ONTAP AI 主導の機能です。機械学習技術により、ARP は FSx for ONTAP ファイルシステムについて学習し、異常なアクティビティを事前に検出します。ARP は、Amazon FSx for NetApp ONTAP が利用可能なすべての AWS リージョン で、すべての新規および既存の FSx for ONTAP ファイルシステムで使用できます。
## ARP の仕組み
ONTAP CLI または REST API を使用して、ARP をボリュームごとに有効にすることも、SVM 内のすべての新しいボリュームでデフォルトで有効にすることもできます。ARP の有効化の詳細については「[Autonomous Ransomware Protection の有効化](enable-ARP.md)」をご覧ください。
ARP の AI は包括的なデータセットでトレーニングされるため、ARP を FlexVol ボリュームで実行するための学習期間は不要であるため、すぐにアクティブモードで開始されます。ARP AI は、自動更新機能も備えており、最新の脅威に対して常に保護と耐障害性を維持します。アクティブモードでは、ARP はボリュームの受信データとアクティビティをモニタリングして、潜在的なランサムウェアやマルウェア攻撃を特定します。詳細については、「[ARP が検索する対象](#ARP-detects)」を参照してください。ARP が異常なアクティビティを検出した場合、潜在的な攻撃時点にできるだけ近い状態でデータを復元できるよう、自動的にONTAP スナップショットが作成されます。スナップショットには `Anti_ransomware_backup` というプレフィックスが付いているため、簡単に識別できます。攻撃の確率が中程度であると判断された場合、ONTAP はイベント管理システム (EMS) メッセージを生成して確認できるようにします。詳細については、「[ARP による疑わしい攻撃への対応方法](#suspected-attack-ARP)」および「[Autonomous Ransomware Protection の EMS アラートの理解](EMS-ARP.md)」を参照してください。
ARP のパフォーマンスオーバーヘッドは、ほとんどのワークロードで最小限です。ボリュームに読み込み負荷の高いワークロードがある場合、NetApp はファイルシステムあたり 150 個以下のボリュームを保護することを推奨しています。この数を超えると、そのワークロードの IOPS が最大 4% 低下する可能性があります。ボリュームに書き込み負荷の高いワークロードがある場合、NetApp はファイルシステムあたり 60 個以下のボリュームを保護することを推奨しています。そうでない場合は、そのワークロードの IOPS が最大 10% 低下する可能性があります。パフォーマンスの詳細については、「[Amazon FSx for NetApp ONTAP のパフォーマンスパフォーマンス](performance.md)」を参照してください。
FSx for ONTAP ファイルシステムで ARP を有効にする場合、追加料金はかかりません。
## ARP が検索する対象
ARP は、Windows または Linux クライアントが侵害されている兆候を探します。特に、ARP はボリュームの以下のタイプのアクティビティを探します:
+ エントロピーの変化とは、ファイル内のデータのランダム性の差異を意味します。
+ ファイル拡張子タイプの変更とは、新しい拡張子が通常使用される拡張子タイプと一致しないことを意味します。デフォルトは、ボリュームで以前に確認されていないファイル拡張子を持つ 20 ファイルです。
+ ファイル IOPS の変更。これは、暗号化されたデータを伴う異常なボリュームアクティビティの急増を意味します。
必要に応じて、ボリュームのランサムウェア検出パラメータを変更できます。たとえば、あなたのボリュームが多くのタイプのファイル拡張子をホストしている場合です。詳細については、NetApp ドキュメントセンターの「[ONTAP Autonomous Ransomware Protection の攻撃検知パラメータの管理](https://docs.netapp.com/us-en/ontap/anti-ransomware/manage-parameters-task.html)」を参照してください。
**注記**
ARP は、認証情報を持つ不正な管理者が FSx for ONTAP ファイルシステムにアクセスするのを防ぐものではありません。AWS では、AWS Backup、ONTAP スナップショット、SnapLock などのレイヤードセキュリティアプローチを推奨しています。
## ARP による疑わしい攻撃への対応方法
ARP が攻撃を検出すると、復旧ポイントとして使用できるスナップショットが生成されます。スナップショットはロックされているため、通常の手段では削除できません。攻撃の影響度に応じて、影響を受けたボリューム、攻撃の確率、および攻撃のタイムラインを示す EMS アラートも生成されます。新しいスナップショットの作成またはボリュームの新しいファイル拡張子の監視に関するアラートを受信したい場合は、これらのアラートを送信するように ARP を設定できます。詳細については、NetApp ONTAP ドキュメントセンターの「[Configure ARP alerts](https://docs.netapp.com/us-en/ontap/anti-ransomware/manage-parameters-task.html#modify-alerts)」を参照してください。
レポートを生成して、疑わしい攻撃に関する詳細情報を表示できます。レポートを確認すると、 ONTAP アラートが誤検知によるものか、疑わしい攻撃によるものかを判断できます。アラートに疑わしい攻撃としてラベルを付ける場合は、攻撃の範囲を決定し、ARP が作成したスナップショットからデータを復元する必要があります。攻撃に誤検出のラベルを付けると、ARP が作成したスナップショットは自動的に削除されます。詳細については、「[Autonomous Ransomware Protection アラートへの対応](respond-ARP.md)」を参照してください。
ファイルシステムの EMS メッセージとボリュームのステータスを ONTAP CLI および REST API でモニタリングすることをお勧めします。ARP の EMS メッセージの詳細については、「[Autonomous Ransomware Protection の EMS アラートの理解](EMS-ARP.md)」を参照してください。
**Topics**
+ [ARP の仕組み](#how-ARP-works)
+ [ARP が検索する対象](#ARP-detects)
+ [ARP による疑わしい攻撃への対応方法](#suspected-attack-ARP)
+ [Autonomous Ransomware Protection の有効化](enable-ARP.md)
+ [Autonomous Ransomware Protection アラートへの対応](respond-ARP.md)
+ [Autonomous Ransomware Protection の EMS アラートの理解](EMS-ARP.md)
# Autonomous Ransomware Protection の有効化
以下の手順では、ONTAP CLI を使用して Autonomous Ransomware Protection (ARP) アクティブモードを有効にする方法と、ARP が有効になっていることを確認する方法について説明します。ARP の詳細については、「[ARP の仕組み](ARP.md#how-ARP-works)」を参照してください。
## アクティブモードで ARP を有効にする
**ONTAP CLI を使用して既存のボリュームでアクティブモードで ARP を有効にするには**
+ 以下のコマンドを実行してください。*vol\$1name* and *svm\$1name* を実際の情報に置き換えます。
```
security anti-ransomware volume enable -volume vol_name -vserver svm_name
```
このコマンドの詳細については、NetApp ドキュメントセンターの「[https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-enable.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-enable.html#description)」を参照してください。
## SVM レベルでの ARP のデフォルトでの有効化
**ONTAP CLI を使用して既存の SVM で ARP をデフォルトで有効にするには**
+ 以下のコマンドを実行してください。*svm\$1name* を自分の情報に置き換えます。
```
vserver modify -vserver svm_name -anti-ransomware-default-volume-state dry-run
```
このコマンドの詳細については、NetApp ドキュメントセンターの「[https://docs.netapp.com/us-en/ontap-cli/vserver-modify.html#description](https://docs.netapp.com/us-en/ontap-cli/vserver-modify.html#description)」を参照してください。
## ARP のステータスの確認
**ONTAPCLI を使用して ARP のステータスを有効化します**
+ 以下のコマンドを実行してください。
```
security anti-ransomware volume show
```
このコマンドの詳細については、NetApp ドキュメントセンターの「[https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description)」を参照してください。
負荷の高いワークロードイベントを予測する場合は、ARP を一時的に停止 (再開) できます。詳細については、NetApp ドキュメントセンターの[ ONTAP Autonomous Ransomware Protection を一時停止してワークロードイベントを分析から除外する](https://docs.netapp.com/us-en/ontap/anti-ransomware/pause-task.html)を参照してください。
# Autonomous Ransomware Protection アラートへの対応
以下の手順では、ONTAP CLI を使用して Autonomous Ransomware Protection (ARP) アラートを表示し、攻撃レポートを生成し、レポートに対してアクションを実行する方法について説明します。ARP が攻撃を検出して応答する方法の詳細については、「[ARP が検索する対象](ARP.md#ARP-detects)」および「[ARP による疑わしい攻撃への対応方法](ARP.md#suspected-attack-ARP)」を参照してください。
## ARP ラートの表示
**ONTAP CLI を使用してボリュームの ARP アラートを表示するには**
+ 以下のコマンドを実行してください。*svm\$1name* and *vol\$1name* を実際の情報に置き換えます。
```
security anti-ransomware volume show -vserver svm_name -volume vol_name
```
コマンドが実行されると、以下の例のような出力が表示されます:
```
Vserver Name: fsx
Volume Name: vol1
State: enabled
Attack Probability: moderate
Attack Timeline: 9/14/2021 01:03:23
Number of Attacks: 1
```
このコマンドの詳細については、NetApp ドキュメントセンターの「[https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-show.html#description)」を参照してください。
## ARP レポートの生成
**ONTAP CLI を使用して ARP レポートを生成するには**
+ 以下のコマンドを実行してください。*vol\$1name* と */file\$1location/* を実際の情報に置き換えます。レポートを生成したら、クライアントシステムで表示できます。
```
security anti-ransomware volume attack generate-report -volume vol_name -dest-path /file_location/
```
このコマンドの詳細については、NetApp ドキュメントセンターの「[https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-generate-report.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-generate-report.html#description)」を参照してください。
## ARP レポートに対するアクションの実行
**ARP レポートの誤検知攻撃に対してONTAP CLI で対応する方法**
+ 以下のコマンドを実行してください。*svm\$1name*、*vol\$1name*、および *[extension identifiers]* を独自の情報に置き換えます。
```
security anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive true
```
このコマンドの詳細については、NetApp ドキュメントセンターの「[https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description)」を参照してください。
**注記**
アラートを誤検出としてマークすると、ランサムウェアプロファイルが更新されます。その後、その特定のシナリオに関するアラートは再度送信されません。
**ARP レポートの潜在的な攻撃に対してONTAP CLI で対応します**
+ 以下のコマンドを実行してください。*svm\$1name*、*vol\$1name*、および *[extension identifiers]* を独自の情報に置き換えます。
```
security anti-ransomware volume attack clear-suspect -vserver svm_name -volume vol_name [extension identifiers] -false-positive false
```
このコマンドの詳細については、NetApp ドキュメントセンターの「[https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description](https://docs.netapp.com/us-en/ontap-cli/security-anti-ransomware-volume-attack-clear-suspect.html#description)」を参照してください。
# Autonomous Ransomware Protection の EMS アラートの理解
NetApp ONTAP's イベント管理システム (EMS) を使用して、ARP に関連する潜在的な攻撃を含むイベントをモニタリングできます。ARP と攻撃の検出方法の詳細については、[ARP の仕組み](ARP.md#how-ARP-works)および[ARP が検索する対象](ARP.md#ARP-detects)を参照してください。
以下の表に、ARP に関連するすべてのアラートを示します。EMS の詳細については、「[FSx for ONTAP EMS イベントのモニタリング](ems-events.md)」を参照してください。
****
| EMS メッセージ名 | EMS メッセージ説明 |
| --- | --- |
| `arw.analytics.ext.report` | このメッセージは、ランサムウェア対策分析がボリュームに関する **疑わしいファイル拡張子** レポートを生成または更新したときに発生します。 |
| `arw.analytics.high.entropy` | このメッセージは、エントロピーの高いデータログメッセージの数 (ランサムウェアの検出と分析に関連する) がボリュームの事前定義されたしきい値を超えた場合に発生します。 |
| `arw.analytics.probability` | このメッセージは、ボリュームでランサムウェア対策攻撃の確率が `low` から `high` に変更された場合に発生します。 |
| `arw.analytics.report` | このメッセージは、ボリュームのランサムウェア対策分析レポートが生成または更新されたときに発生します。 |
| `arw.analytics.suspects` | このメッセージは、ランサムウェア対策分析によって生成された容疑者のリストが、さらなる調査が必要な時点まで増加した場合に発生します。 |
| `arw.new.file.extn.seen` | このメッセージは、ランサムウェア対策が有効なボリュームで新しいファイル拡張子が観察された場合に発生します。その機能は、観測された拡張についてユーザーにすみやかに通知することを目的としており、これによりタイムリーな調査が可能になります。 |
| `arw.snapshot.created` | このメッセージは、ランサムウェア対策が有効なボリュームに新しい ARP スナップショットが作成されたときに発生します。さらに、スナップショットが作成された理由に関する情報も提供します。 |
| `arw.volume.state` | このメッセージは、ボリュームのランサムウェア対策の状態が変更されたときに発生します。 |
| `arw.vserver.state` | このメッセージは、SVM のランサムウェア対策の状態が変更されたときに発生します。 |
# SnapLock でのデータの保護
SnapLock は、ファイルを Write Once, Read Many (WORM) に移行して保護する機能で、これを使うことにより、指定した保持期間中はファイルの変更や削除を防ぐことができます。SnapLock を使用することで、規制を順守したり、ビジネスに不可欠なデータをランサムウェアによる攻撃から保護したり、セキュリティを強化して改ざんや削除からデータを保護したりすることができます。
Amazon FSx for NetApp ONTAP は、SnapLock を使用した保持機能を有する Compliance モードと Enterprise モードをサポートしています。詳細については、「[SnapLock コンプライアンスについて](snaplock-compliance.md)」および「[SnapLock エンタープライズ について](snaplock-enterprise.md)」を参照してください。
SnapLock ボリュームは、2023 年 7 月 13 日以降に作成された FSx for ONTAP ファイルシステムで作成できます。既存のファイルシステムでは、今後予定されている週次メンテナンス期間中に SnapLock のサポートを受けることになります。
**Topics**
+ [SnapLock の仕組み](how-snaplock-works.md)
+ [SnapLock コンプライアンスについて](snaplock-compliance.md)
+ [SnapLock エンタープライズ について](snaplock-enterprise.md)
+ [SnapLock 保存期間について理解する](snaplock-retention.md)
+ [ファイルを WORM 状態にコミットする](worm-state.md)
# SnapLock の仕組み
SnapLock を使うと、ファイルが削除、変更されたり、その名前が変更されたりするのを防ぐことにより、規制やガバナンス上の目的を満たすことができます。SnapLock ボリュームを作成する際は、ファイルを WORM (Write Once, Read Many) ストレージにコミットし、データの保持期間を設定します。ファイルは、指定した期間だけ、または無期限に、消去不可または書き込み不可の状態で保存できます。
**重要**
ボリュームの作成時に、SnapLock の設定を使用するかどうかを指定する必要があります。作成後は、SnapLock ではないボリュームを SnapLock に変換することはできません。
## リテンションモード
SnapLock には、Compliance と Enterprise という 2 種類の保持モードがあります。Amazon FSx for NetApp ONTAP は、両方のモードをサポートしています。これらはユースケースが異なり、機能も一部異なりますが、どちらも WORM モデルを使うことでデータを変更または削除から保護します。以下の表は、両方の保持モードの類似点と相違点をまとめたものです。
| SnapLock 機能 | [SnapLock コンプライアンスについて](snaplock-compliance.md) | [SnapLock エンタープライズ について](snaplock-enterprise.md) |
| --- | --- | --- |
| 説明 | Compliance ボリューム上の WORM に移行したファイルは、保持期間が終了するまで削除することはできません。 | Enterprise ボリューム上の WORM に移行したファイルは、権限を持つユーザーが特権削除を使用すると、保持期間の終了前に削除することができます。 |
| ユースケース | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/ONTAPGuide/how-snaplock-works.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/ONTAPGuide/how-snaplock-works.html) |
| [自動コミット](worm-state.md#worm-state-autocommit) | はい | はい |
| [イベントベースの保持 (EBR)](worm-state.md#worm-state-ebr)1 | はい | はい |
| [リーガルホールド](worm-state.md#worm-state-legal-hold)1 | はい | なし |
| [特権付き削除の使用](snaplock-enterprise.md#privileged-delete) | なし | はい |
| [ボリューム付加モード](worm-state.md#worm-state-append) | はい | はい |
| [SnapLock 監査ログボリューム](#snaplock-audit-log-volume) | はい | はい |
**注記**
1 EBR および法的保持操作は、ONTAPCLI および REST API でサポートされています。
**注記**
FSx for ONTAP は、SnapLock タイプに関係なく、すべての SnapLock ボリュームの容量プールへのデータの階層化をサポートしています。詳細については、「[ボリュームデータの階層化](volume-storage-capacity.md#volume-data-tiering)」を参照してください。
## SnapLock 管理者
SnapLock ボリュームで特定のアクションを実行するときは、SnapLock 管理者権限が必要になります。SnapLock 管理者権限は、ONTAP CLI の `vsadmin-snaplock` のロールで定義されます。SnapLock 管理者ロールを持つ、ストレージ仮想マシン (SVM) 管理者アカウントを作成できるのは、クラスター管理者です。
次のアクションは、ONTAP CLI の `vsadmin-snaplock` のロールを使用することで実行できます。
+ 自分のユーザーアカウント、ローカルパスワード、キー情報を管理する
+ ボリュームを管理する (ボリュームの移動は除く)
+ クォータ、qtree、スナップショットのコピー、ファイルを管理する
+ 特権削除やリーガルホールドなど、SnapLock のアクションを実行する
+ ネットワークファイルシステム (NFS) とサーバーメッセージブロック (SMB) プロトコルを設定する
+ ドメインネームシステム (DNS)、Lightweight Directory Access Protocol (LDAP)、Network Information Service (NIS) の各サービスを設定する
+ ジョブをモニタリングする
以下の手順では、ONTAP CLI で SnapLock 管理者を作成する方法について説明します。このタスクを実行するには、Secure Shell Protocol (SSH) などの安全な接続で、クラスター管理者としてログインする必要があります。
**ONTAP CLI で vsadmin-snaplock ロールを持つ SVM 管理者アカウントを作成するには**
+ 以下のコマンドを実行してください。*SVM\$1name* と *SnapLockAdmin* を、自分の情報に置き換えます。
```
cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock
```
詳細については、「[ONTAP ロールとユーザー](roles-and-users.md)」を参照してください。
## SnapLock 監査ログボリューム
SnapLock 監査ログボリュームには SnapLock 監査ログが含まれ、監査ログには、SnapLock 管理者が作成された日時、特権削除が実行された日時、ファイルにリーガルホールドが適用された日時などの、イベントのタイムスタンプが含まれています。SnapLock 監査ログのボリュームは、消去できないイベントの記録です。
以下のアクションを行うには、SnapLock 監査ログボリュームを SnapLock ボリュームと同じ SVM に作成する必要があります。
+ 特権削除を SnapLock Enterprise ボリュームで有効または無効にするには
+ リーガルホールドを SnapLock Compliance ボリューム内のファイルに適用するには
**警告**
SnapLock 監査ログボリュームの最小保持期間は 6 か月間です。この保持期間が終了しないと、SnapLock 監査ログボリュームが SnapLock Enterprise モードで作成されている場合であっても、そのボリュームとそれに関連付けられている SVM およびファイルシステムは削除できません。
特権削除を使用してファイルを削除した際に、ファイルの保持期間がボリュームの保持期間よりも長い場合、監査ログボリュームはファイルの保持期間を継承します。例えば、特権削除を使用して、保持期間が 10 か月のファイルを削除した際に、監査ログボリュームの保持期間が 6 か月の場合、この監査ログボリュームの保持期間は 10 か月に延長されます。
SVM で使用できるアクティブな SnapLock 監査ログボリュームは 1 つのみですが、これは SVM 内の複数の SnapLock ボリュームで共有できます。SnapLock 監査ログボリュームを正常にマウントするには、ジャンクションパスを `/snaplock_audit_log` に設定します。このジャンクションパスは、監査ログボリュームではないボリュームを含め、他のボリュームが使用することはできません。
SnapLock 監査ログは、監査ログボリュームのルートの下にある `/snaplock_log` ディレクトリにあります。特権削除のオペレーションは、`privdel_log` サブディレクトリにログ記録されます。リーガルホールドの開始および終了オペレーションは、`/snaplock_log/legal_hold_logs/` にログ記録されます。それ以外のログはすべて、`system_log` サブディレクトリに保存されます。
SnapLock 監査ログボリュームは、Amazon FSx コンソール、 AWS CLI、Amazon FSx API、および ONTAP CLI と REST API を使用して作成できます。
**注記**
データ保護 (DP) ボリュームを SnapLock 監査ログボリュームとして使用することはできません。
Amazon FSx API を使用して SnapLock 監査ログボリュームをオンにするには、[https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateSnaplockConfiguration.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateSnaplockConfiguration.html) で `AuditLogVolume` を使用します。Amazon FSx コンソールの **[監査ログボリューム]** で、**[有効]** を選択します。**[ジャンクションパス]** が `/snaplock_audit_log` に設定されていることを確認します。
## SnapLock ボリューム内のデータへのアクセス
SnapLock ボリューム内のデータには、NFS や SMB など、オープンファイルのプロトコルを使用することでアクセスできます。SnapLock ボリュームにデータを書き込んだり、WORM で保護されたデータを読み込んだりしても、パフォーマンスには影響しません。
NFS や SMB を使うことで SnapLock ボリューム間でファイルをコピーできます。ただし、元の WORM プロパティはコピー先の SnapLock ボリュームでは保持されません。コピーしたファイルの変更または削除を防ぐには、コピーしたファイルを WORM に再コミットする必要があります。詳細については、「[ファイルを WORM 状態にコミットする](worm-state.md)」を参照してください。
また、SnapMirror を使って SnapLock データをレプリケートすることも可能ですが、レプリケート元のボリュームとレプリケート先のボリュームは同じ保持モードの SnapLock ボリュームでなければなりません (共に Compliance モードまたは Enterprise モードであるなど)。
## SnapLock および SSD の容量削減オペレーション
SnapLock ボリュームを作成する前に、SSD の減少に関する以下の点を考慮してください:
+ Amazon FSx は、SnapLockボリュームを含むファイルシステムの SSD 容量削減リクエストを拒否します。
+ SSD 容量削減オペレーション中にSnapLockボリュームを作成することはできません。
これらの制限が存在するのは、ONTAPによってSnapLock監査ログボリュームに 6 か月の最小保有期間が適用されるためです。これにより、SSD 減少操作の一環としてSnapLockボリュームが移動された場合、その期間中にファイルシステムが削除されることはありません。
SnapLock ボリュームのあるファイルシステムで SSD 容量を減らす必要がある場合は、SSD 容量が小さい新しいファイルシステムにデータを移行する必要があります。制限事項や考慮事項など、SSD 容量減少操作の詳細については、[ファイルシステム SSD ストレージと IOPS の更新](storage-capacity-and-IOPS.md#increase-primary-storage)をご参照ください。
# SnapLock コンプライアンスについて
このセクションでは、SnapLockEnterprise リテンションモードの使用ケースと考慮事項について説明します。
以下のユースケースでは、Compliance 保持モードを選択できます。
+ 政府または業界に固有の指令 (SEC 規則 17a-4 (f)、FINRA 規則 4511、CFTC 規制 1.31 など) に対応する必要がある場合に、SnapLock Compliance を使用できます。Amazon FSx for NetApp ONTAP の SnapLock Compliance は、Cohasset Associates により、これらの指令および規制について評価されました。詳細については、[https://d1.awsstatic.com/r2018/b/FSx/cohasset_assessment_for_fsx_for_ontap_report.pdf](https://d1.awsstatic.com/r2018/b/FSx/cohasset_assessment_for_fsx_for_ontap_report.pdf)をご参照ください。
+ SnapLock Compliance を使用すれば、ランサムウェア攻撃に対抗するための包括的なデータ保護戦略を、補完または強化できます。
SnapLockEnterprise リテンションモードについて考慮すべき重要な項目を次に示します。
+ ファイルを SnapLock Compliance ボリュームで Write Once, Read Many (WORM) 状態に移行させると、保持期間が終了するまで、いずれのユーザーもこれを削除することはできなくなります。
+ SnapLock Compliance ボリュームを削除できるのは、ボリューム上のすべての WORM ファイルの保持期間が終了し、ボリュームから WORM ファイルが削除された場合のみです。
+ SnapLock Compliance ボリュームの名前は、作成後は変更できません。
+ SnapMirror を使用すると WORM ファイルをレプリケートできますが、レプリケート元のボリュームとレプリケート先のボリュームは、同じ保持モードである必要があります (共に Compliance モードであるなど)。
+ SnapLock Compliance ボリュームを SnapLock Enterprise ボリュームに変換することはできません。その逆の変換もできません。
# SnapLock エンタープライズ について
このセクションでは、SnapLockEnterprise リテンションモードの使用ケースと考慮事項について説明します。
次の使用ケースでは、SnapLockEnterprise リテンションモードを選択できます。
+ SnapLock Enterprise を使用すると、特定のユーザーのみにファイルを削除する権限を付与できます。
+ SnapLock Enterprise を使用すると、組織のデータ整合性と内部コンプライアンスとを向上させることができます。
+ SnapLock Enterprise を使用すると、SnapLock Compliance を使用する前に保持設定をテストできます。
SnapLockEnterprise リテンションモードについて考慮すべき重要な項目を次に示します。
+ SnapMirror を使用すると WORM ファイルをレプリケートできますが、レプリケート元のボリュームとレプリケート先のボリュームは、同じ保持モードである必要があります (共に Enterprise モードであるなど)。
+ SnapLock ボリュームは、Enterprise から Compliance に、または Compliance からEnterprise に変換することはできません。
+ SnapLock Enterprise は、リーガルホールドをサポートしていません。
## 特権付き削除の使用
SnapLock Enterprise と SnapLock Compliance の大きな違いの 1 つは、SnapLock Enterprise ボリュームでは、SnapLock 管理者が特権削除を有効にして、保持期間が終了する前にファイルを削除することができるという点です。SnapLock 管理者は、有効な保持ポリシーが適用されている SnapLock Enterprise ボリュームから、ファイルを削除することができる唯一のユーザーです。詳細については、「[SnapLock 管理者](how-snaplock-works.md#snaplock-admin)」を参照してください。
Amazon FSx コンソール、、Amazon AWS CLI FSx API、および ONTAP CLI と REST API を使用して、特権削除を有効または無効にできます。特権削除を有効にするには、先に、SnapLock ボリュームと同じ SVM に SnapLock 監査ログボリュームを作成する必要があります。詳細については、「[SnapLock 監査ログボリューム](how-snaplock-works.md#snaplock-audit-log-volume)」を参照してください。
Amazon FSx API で特権削除を有効にするには、[https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateSnaplockConfiguration.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateSnaplockConfiguration.html) で `PrivilegedDelete` を使用します。Amazon FSx コンソールの **[特権削除]** で、**[有効]** を選択します。
**注記**
保持期間が終了した Write Once, Read Many (WORM) ファイルを削除するために、特権削除コマンドを発行することはできません。保持期間の終了後は、通常の削除オペレーションを発行dできます。
特権削除は完全に無効にすることができますが、このアクションは元に戻せません。特権削除を完全に無効にしたときは、SnapLock 監査ログボリュームを SnapLock Enterprise ボリュームに関連付ける必要はありません。
Amazon FSx API を使って特権削除を有効にするときは、[https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateSnaplockConfiguration.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateSnaplockConfiguration.html) で `PrivilegedDelete` を使用します。Amazon FSx コンソールの **[特権削除]** で、**[完全に無効]** を選択します。
## SnapLockエンタープライズモードのバイパス
Amazon FSx コンソールか Amazon FSx API を使用する場合は、IAM `fsx:BypassSnapLockEnterpriseRetention` アクセス権限を使って、有効な保持ポリシーを持つ WORM ファイルを含む、SnapLock Enterprise ボリュームを削除する必要があります。
詳細については、「[SnapLock ボリュームの削除](snaplock-delete-volume.md)」を参照してください。
# SnapLock 保存期間について理解する
SnapLock ボリュームを作成するときは、ボリュームのデフォルトの保持期間を設定することもできますが、Write Once, Read Many (WORM) ファイル用に明示的に保持期間を設定することもできます。この保持期間中は、WORM で保護されたファイルを削除または変更することはできません。保持期間は、保持時間の計算に使用されます。例えば、2023 年 7 月 14 日の午前 0 時にファイルを WORM に移行して、保持期間を 5 年に設定した場合、保持時間は 2028 年 7 月 14 日の午前 0 時までになります。
WORM の詳細については、「[ファイルを WORM 状態にコミットする](worm-state.md)」を参照してください。
## 保持期間ポリシー
保持期間は、以下のパラメータに割り当てる値によって決まります。
+ デフォルトの保持 — WORM ファイルに保持期間を明示的に指定しなかった場合に割り当てられる、デフォルトの保持期間です。
+ 最小保持期間 — WORM ファイルに割り当てることができる最短の保持期間です。
+ 最大保持期間 — WORM ファイルに割り当てることができる最長の保持期間です。
**注記**
保持期間が終了しても、WORM ファイルを変更することはできません。ファイルを削除するか、新たに保持期間を設定し、WORM の保護を再度有効にします。
保持期間は、複数の異なる時間単位を使用して指定できます。以下の表は、サポートされている具体的な範囲のリストです。
****
| タイプ | 値 | 注意事項 |
| --- | --- | --- |
| 秒 | 0~65,535 | |
| 分 | 0~65,535 | |
| 時間 | 0~24 | |
| 日間 | 0~365 | |
| 月 | 0〜12 | |
| 年間 | 1〜100 | |
| 無制限 | - | ファイルを永久に保持します。 **[デフォルトの保持期間]**、**[最大保持期間]**、**[最小保持期間]** で使用できます。 |
| 未指定 1 | - | 保持期間が設定されるまでファイルを保持します。 **[デフォルトの保持期間]** のみで使用できます。 |
**注記**
1 保存期間を指定せずにファイルを WORM に移行すると、SnapLockボリュームに構成されている最小保存期間がファイルに与えられます。WORM で保護されたファイルを絶対保持時間に移行する場合、新しい保持期間は、そのファイルで以前に設定された最小期間よりも長くする必要があります。
## 期限の切れた保持期間
WORM ファイルの保持期間が終了すると、ファイルを削除するか、新しい保持期間を設定して WORM 保護を再度有効にすることができます。WORM ファイルは、保持期間の終了後は、自動的に削除されることはありません。保持期間が終了しても、引き続き、WORM ファイルの内容を変更することはできません。
## SnapLock ボリュームの保持期間の設定
SnapLock ボリュームの保持期間は、Amazon FSx コンソール、 AWS CLI、Amazon FSx API、ONTAP CLI と REST API を使って設定できます。
Amazon FSx API を使って保持期間を設定するには、[https://docs.aws.amazon.com/fsx/latest/APIReference/API_SnaplockRetentionPeriod.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_SnaplockRetentionPeriod.html) 設定を使用します。Amazon FSx コンソールの **[保持期間]** で、**[デフォルトの保持期間]**、**[最小保持期間]**、**[最大保持期間]** の値を入力します。次に、**[ユニット]** でそれぞれに対応する単位を選択します。
# ファイルを WORM 状態にコミットする
このセクションでは、ファイルを Write Once, Read Many (WORM) 状態に移行する方法について説明します。また、WORM で保護されたファイルに段階的にデータを書き込んでいく方法である、ボリューム付加モードについても取り上げます。
## 自動コミット
ファイルが指定した期間、変更されなかった場合は、自動コミットを使用して WORM に移行することができます。Amazon FSx コンソール、、Amazon AWS CLI FSx API、および ONTAP CLI と REST API を使用して、自動コミットを有効にできます。
自動コミットの期間は、5 分から 10 年の間で指定できます。以下の表は、サポートされている具体的な範囲のリストです。
****
| Unit | 値 |
| --- | --- |
| 分 | 5~65,535 |
| 時間 | 1~65,535 |
| 日間 | 1~3,650 |
| 月 | 1~120 |
| 年間 | 1~10 |
Amazon FSx API を使って自動コミットを有効にするには、[https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateSnaplockConfiguration.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateSnaplockConfiguration.html) で `AutocommitPeriod` を使用します。Amazon FSx コンソールの **[自動コミット]** で、**[有効]** を選択します。次に、**[自動コミット期間]** に値を入力し、対応する **[自動コミット単位]** を選択します。
値は 5 分から 10 年までの間で指定できます。
## ボリューム付加モード
WORM で保護されたファイルにある既存のデータは変更できません。ただし、SnapLock では、WORM に付加可能なファイルを使って既存データの保護を継続することができます。例えば、ログファイルを生成したり、データをファイルに段階的に書き込みながら音声や映像のストリーミングデータを保存したりできます。Amazon FSx コンソール、、Amazon FSx AWS CLI FSx API、および ONTAP CLI と REST API を使用して、ボリューム追加モードをオンまたはオフにできます。
**ボリューム付加モードの更新要件**
+ SnapLock ボリュームは、必ずアンマウントします。
+ SnapLock ボリュームから、スナップショットのコピーとユーザーデータをすべて削除します。
Amazon FSx API を使用してボリューム付加モードを有効にするには、[https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateSnaplockConfiguration.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateSnaplockConfiguration.html) で `VolumeAppendModeEnabled` を使用します。Amazon FSx コンソールの **[ボリューム追加モード]** で、**[有効]** を選択します。
## イベントベースの保持 (EBR)
イベントベースの保持 (EBR) を使用すると、関連する保持期間を含むカスタムポリシーを作成できます。例えば、指定したパスに含まれるすべてのファイルを WORM に移行し、`snaplock event-retention policy create` および `snaplock event-retention apply` コマンドを使用して保持期間を 1 年間に設定できます。EBR を使用する場合は、ボリューム、ディレクトリ、ファイルのいずれかを指定する必要があります。EBR ポリシーを作成するときに選択した保持期間は、指定したパスに含まれるすべてのファイルに適用されます。
EBR は ONTAP CLI と REST API でサポートされています。
**注記**
ONTAP は、FlexGroup ボリュームでは EBR をサポートしていません。
以下の手順では、EBR ポリシーを作成、適用、変更、削除する方法について説明します。ONTAP CLI でこれらのタスクを実行するには、SnapLock 管理者である (`vsadmin-snaplock` 権限を持つ人である) 必要があります。詳細については、「[SnapLock 管理者](how-snaplock-works.md#snaplock-admin)」を参照してください。
### ONTAPCLI で EBR ポリシーを作成するには
**ONTAPCLI で EBR ポリシーを作成するには**
+ 以下のコマンドを実行してください。*p1* と *"10 years"* を自分の情報に置き換えます。
```
vs1::> snaplock event-retention policy create -name p1 -retention-period "10 years"
```
### ONTAPCLI で EBR ポリシーを適用するには
**ONTAPCLI で EBR ポリシーを適用するには**
+ 以下のコマンドを実行してください。*p1* と *slc* を自分の情報に置き換えます。EBR ポリシーに特定のパスを指定するときは、フォワードスラッシュ (/) の後にパスを追加できます。それ以外の場合、このコマンドは、ボリューム上のすべてのファイルに EBR ポリシーを適用します。
```
vs1::> snaplock event-retention apply -policy-name p1 -volume slc -path /
```
### ONTAPCLI で EBR ポリシーを変更するには
**ONTAPCLI で EBR ポリシーを変更するには**
+ 以下のコマンドを実行してください。*p1* と *"5 years"* を自分の情報に置き換えます。
```
vs1::> snaplock event-retention policy modify -name p1 -retention-period "5 years"
```
### ONTAPCLI で EBR ポリシーを削除するには
**ONTAPCLI で EBR ポリシーを削除するには**
+ 以下のコマンドを実行してください。*p1* を自分の情報に置き換えます。
```
vs1::> snaplock event-retention policy delete -name p1
```
*NetAppドキュメントセンター*の関連コマンド:
+ [snaplock event-retention abort](https://docs.netapp.com/us-en/ontap-cli-9121/snaplock-event-retention-abort.html)
+ [snaplock event-retention show-vservers](https://docs.netapp.com/us-en/ontap-cli-9121/snaplock-event-retention-show-vservers.html)
+ [snaplock event-retention show](https://docs.netapp.com/us-en/ontap-cli-9121/snaplock-event-retention-show.html)
+ [snaplock event-retention policy show](https://docs.netapp.com/us-en/ontap-cli-9121/snaplock-event-retention-policy-show.html)
## リーガルホールド
リーガルホールドを使用すると、WORM ファイルを無期限に保持できます。リーガルホールドは通常、訴訟目的で使用されます。リーガルホールドの対象となっている WORM ファイルは、リーガルホールドが解除されるまで削除することはできません。
リーガルホールド は、ONTAP CLI と REST API でサポートされています。
**注記**
ONTAP は、FlexGroup ボリュームのリーガルホールドをサポートしていません。
以下の手順では、リーガルホールドを開始および終了する方法について説明します。ONTAP CLI でこれらのタスクを実行するには、SnapLock 管理者である (`vsadmin-snaplock` 権限を持つ人である) 必要があります。詳細については、「[SnapLock 管理者](how-snaplock-works.md#snaplock-admin)」を参照してください。
### SnapLockCLI を使用してONTAPコンプライアンスボリューム内のファイルに対する法的証拠保全を開始する
**SnapLockCLI を使用してONTAPコンプライアンスボリューム内のファイルの法的証拠保全を開始するには**
+ 以下のコマンドを実行してください。*litigation1*、*slc\$1vol1*、*file1* を自分の情報に置き換えます。
```
vs1::> snaplock legal-hold begin -litigation-name litigation1 -volume slc_vol1 -path /file1
```
### SnapLockCLI を使用してONTAPコンプライアンスボリューム内のすべてのファイルに対して法的証拠保全を開始するには
**SnapLockCLI を使用してONTAPコンプライアンスボリューム内のすべてのファイルに対して法的証拠保全を開始するには**
+ 以下のコマンドを実行してください。*litigation1* と *slc\$1vol1* を自分の情報に置き換えます。
```
vs1::> snaplock legal-hold begin -litigation-name litigation1 -volume slc_vol1 -path /
```
### SnapLockCLI を使用してONTAPコンプライアンス・ボリューム内のファイルの法的保持を終了するには
**SnapLockCLI を使用してONTAPコンプライアンスボリューム内のファイルの法的証拠保全を終了するには**
+ 以下のコマンドを実行してください。*litigation1*、*slc\$1vol1*、*file1* を自分の情報に置き換えます。
```
vs1::> snaplock legal-hold end -litigation-name litigation1 -volume slc_vol1 -path /file1
```
**注記**
リーガルホールドを発行するときは、`snaplock legal-hold show` コマンドを使用して `-operation-status` をモニタリングし、失敗していないことを確認することが推奨されます。
### SnapLockCLI を使用してONTAPコンプライアンスボリューム内のすべてのファイルに対する法的保持を終了するには
**SnapLock CLI を使用してONTAPコンプライアンスボリューム内のすべてのファイルの法的証拠保全を終了するには**
+ 以下のコマンドを実行してください。*litigation1* と *slc\$1vol1* を自分の情報に置き換えます。
```
vs1::> snaplock legal-hold end -litigation-name litigation1 -volume slc_vol1 -path /
```
**注記**
リーガルホールドを発行するときは、`snaplock legal-hold show` コマンドを使用して `-operation-status` をモニタリングし、失敗していないことを確認することが推奨されます。
*NetAppドキュメントセンター*の関連コマンド:
+ [snaplock legal-hold abort](https://docs.netapp.com/us-en/ontap-cli-9121/snaplock-legal-hold-abort.html)
+ [snaplock legal-hold dump-files](https://docs.netapp.com/us-en/ontap-cli-9121/snaplock-legal-hold-dump-files.html)
+ [snaplock legal-hold dump-litigations](https://docs.netapp.com/us-en/ontap-cli-9121/snaplock-legal-hold-dump-litigations.html)
+ [snaplock legal-hold show](https://docs.netapp.com/us-en/ontap-cli-9121/snaplock-legal-hold-show.html)
# FlexCache によるデータの複製
FlexCache は、データセットをクライアントに近づけ、アクセスパフォーマンスを向上させ、コストを削減するNetApp ONTAP'sリモートキャッシュ機能です。ファイル配布を簡素化し、WAN コストを削減します。FlexCache ボリュームを作成すると、最初にオリジンファイルシステムからメタデータのみをコピーします。このアプローチは、フルデータコピーよりも高速でスペース効率が高く、ストレージ容量のごく一部しか消費しません。
## FlexCache の仕組み
FlexCache ボリュームは、元のボリュームに格納されているデータへのアクセスを提供する、スパースに格納されたキャッシュです。キャッシュは、オプションでリモートの別のファイルシステムに配置することができます。元のボリュームからすべてのデータをコピーする代わりに、FlexCacheは必要なデータのみをコピーします。FlexCacheボリュームは、元のデータを変更するとキャッシュを更新する必要があるため、データ変更の頻度が低い読み取り集中型のワークフローに最適です。
次の設定により FSx for ONTAP でFlexCacheを使用できます:
| 元ボリューム | FlexCache volume |
| --- | --- |
| オンプレミスNetApp ONTAP | FSx for ONTAP |
| FSx for ONTAP | オンプレミスNetApp ONTAP |
| FSx for ONTAP | FSx for ONTAP |
## FlexCache書き込みモード
FlexCache ボリュームは、書き込みオペレーションの 2 つのオペレーションモードをサポートします。書き込みアラウンドモードと書き込みバックモードです。
デフォルトモードであるライトアラウンドモードでは、書き込みはキャッシュから元のボリュームに転送されます。データが元のボリュームのストレージにコミットされ、元のボリュームがキャッシュへの書き戻しを確認するまで、書き込み操作はクライアントに認識されません。各書き込みはキャッシュとオリジン間のネットワークを経由する必要があるため、このモードは書き込みバックモードよりもレイテンシーが高くなります。
ONTAP9.15.1 で導入されたライトバックモードでは、書き込みはキャッシュ位置のストレージにコミットされ、すぐにクライアントに確認応答されます。その後、データはオリジンボリュームに非同期的に書き込まれます。このモードでは、書き込みをローカルに近い速度で実行できるため、分散ワークロードのパフォーマンスが大幅に向上します。
低レイテンシーのキャッシュ書き込みを必要とする書き込み負荷の高いワークロードには、書き込みバックモードを使用します。レイテンシーの影響を受けない読み取り負荷の高いワークロード、またはオリジンファイルシステムに 10 個を超えるFlexCacheオリジンボリュームがある場合、書き込みアラウンドモードを使用します。
## FlexCache ボリューム作成の概要
FlexCache ボリュームの作成ステップは以下のとおりです:
1. 出典および宛先論理的なインターフェース (LIF) を収集します
1. オリジンファイルシステムとキャッシュファイルシステム間のクラスターピアリングを確立する
1. ストレージ仮想マシン (SVM) ピアリング関係を作成する
1. FlexCache ボリュームを作成し、書き込みモードを選択する
1. クライアントにFlexCacheボリュームをマウントする
詳細な手順については、「[「FlexCache」の作成](create-flexcache.md)」を参照してください。
# 「FlexCache」の作成
以下の手順により、Amazon FSx for NetApp ONTAP ファイルシステムに FlexCache ボリュームを作成します。このボリュームは、オンプレミス NetApp ONTAP クラスターにあるオリジンボリュームによってバックアップされます。
## ONTAP CLI の使用
ONTAP CLI を使用して、FSx for ONTAP ファイルシステムで FlexCache 設定を作成および管理します。
これらの手順で使用されるコマンドでは、クラスター、SVM、およびボリュームに対して以下のエイリアスを使用しています:
+ `Cache_ID` – キャッシュクラスターの ID (FSxIdabcdef1234567890a 形式)
+ `Origin_ID` – オリジンクラスターの ID
+ `CacheSVM` – キャッシュ SVM 名
+ `OriginSVM` – オリジン SVM 名
+ `OriginVol` – ボリューム名
+ `CacheVol` – FlexCache ボリューム名
このセクションの手順では、以下の NetApp ONTAP CLI コマンドを使用します。
+ [https://docs.netapp.com/us-en/ontap-cli-9141/network-interface-show.html](https://docs.netapp.com/us-en/ontap-cli-9141/network-interface-show.html)
+ [https://docs.netapp.com/us-en/ontap-cli-9141/cluster-peer-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/cluster-peer-create.html) コマンド
+ [https://docs.netapp.com/us-en/ontap-cli-9141/volume-flexcache-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/volume-flexcache-create.html)
## 前提条件
以下のセクションの手順を使用する前に、以下の前提条件を満たしていることを確認してください:
+ ソースファイルシステムと宛先ファイルシステムは、同じ VPC に接続されているか、Amazon VPC、 AWS Transit Gateway Direct Connect、または を使用してピア接続されているネットワークにあります Site-to-Site VPN。詳細については、「[内からのデータへのアクセス AWS クラウド](supported-fsx-clients.md#access-environments)」と「Amazon VPC ピアリングガイド」の「[VPC ピア機能とは](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)」を参照してください。
+ この FSx for ONTAP ファイルシステムの VPC セキュリティグループは、クラスター間エンドポイント (LIF) 用に、 ICMP および TCP ポート 11104 と 11105 でのインバウンドおよびアウトバウンドルールを許可しています。
+ SVM を持つ宛先 FSx for ONTAP ファイルシステムは作成しましたが、FlexCache として使用するボリュームはまだ作成していません。詳細については、「[ファイルシステムの作成](creating-file-systems.md)」を参照してください。
## 出典と宛先のクラスター間 LIF をレコードします
1. 送信先クラスターである FSx for ONTAP ファイルシステムの場合:
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。
1. **ファイルシステム** を選択し、続いてファイルシステムの詳細ページを開く送信先クラスターである FSx for ONTAP ファイルシステムを選択します。
1. **[管理]** で、**[クラスター間エンドポイント - IP アドレス]** を見つけ、値を記録します。
**注記**
スケールアウトファイルシステムでは、高可用性 (HA) ペアごとに 2 つのクラスター間エンドポイント IP アドレスがあります。
1. オンプレミスのソースクラスターの場合は、以下の ONTAP CLI コマンドを使用してクラスター間の LIF IP アドレスを取得します:
```
Origin::> network interface show -role intercluster
Logical Network
Vserver Interface Status Address/Mask
----------- ---------- ------- ------------
OriginSVM
inter_1 up/up 10.0.0.36/24
inter_2 up/up 10.0.1.69/24
```
1. `inter_1` および `inter_2 IP` アドレスを保存します。これらは、`OriginSVM` エイリアスでは `origin_inter_1` および `origin_inter_2` として、`CacheSVM` エイリアスでは `cache_inter_1` と `cache_inter_2` として参照されます。
## オリジンとキャッシュ間のクラスターピアリングを確立する
[https://docs.netapp.com/us-en/ontap-cli-9141/cluster-peer-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/cluster-peer-create.html) ONTAP CLI コマンドを使用して、**Cache** と **Source** クラスターでクラスターピア関係を確立します。この [出典と宛先のクラスター間 LIF をレコードします](#record-lifs) 手順で以前に保存したクラスター間 IP アドレスを指定します。プロンプトが表示されたら、**Origin** クラスターでクラスターピアリングを確立するときに入力する必要がある `cluster-peer-passphrase` を作成するように求められます。
1. `Cache` クラスター (FSx for ONTAP ファイルシステム) でクラスターピアリングを設定します。
1. ONTAPCLI にアクセスするには、次のコマンドを実行して、Amazon FSx for NetApp ONTAP ファイルシステムまたは SVM の管理ポートで SSH セッションを確立します。`management_endpoint_ip` をファイルシステムの管理ポートの IP アドレスに置き換えます。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
詳細については、「[ONTAP CLI を使用したファイルシステムの管理](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)」を参照してください。
1. 以下のコマンドを使用して、作成するパスワードを記録します。スケールアウトファイルシステムの場合は、各 HA ペアの `inter_1` および `inter_2` IP アドレスを指定します。
```
FSx-Cache::> cluster peer create -address-family ipv4 -peer-addrs origin_inter_1,origin_inter_2
Enter the passphrase: cluster-peer-passphrase
Confirm the passphrase: cluster-peer-passphrase
Notice: Now use the same passphrase in the "cluster peer create" command in the other cluster.
```
1. 以下のコマンドを使用して、`source` (オンプレミス) クラスターでクラスターピアリングを設定します。認証するには、前のステップで作成したパスフレーズを入力する必要があります。スケールアウトファイルシステムでは、HA ペアのクラスター間 IP アドレスをそれぞれ指定する必要があります。
```
Origin::> cluster peer create -address-family ipv4 -peer-addrs cache_inter_1,cache_inter_2
Enter the passphrase: cluster-peer-passphrase
Confirm the passphrase: cluster-peer-passphrase
```
1. `source` クラスターで以下のコマンドを使用して、クラスターピアリングが正常に設定されたことを確認します。出力の内容において、`Availability` は `Available` に設定される必要があります。
```
Origin::> cluster peer show
Peer Cluster Name Availability Authentication
------------------- ------------- --------------
Cache_ID Available ok
```
出力に `Available` が表示されない場合は、`source` および `cache` クラスターで前のステップを繰り返します。
## ストレージ仮想マシン (SVM) ピアリングを設定する
クラスターピアリングを確立したら、次のステップとして、**vserver peer** コマンドを使用してキャッシュクラスター (キャッシュ) に SVM ピアリング関係を作成します。以下の手順で使用される追加のエイリアスは以下のとおりです:
+ *`CacheLocalName`* - `origin` SVM で SVM ピアリングを設定するときに `cache` SVM を識別するために使用される名前。
+ *`OriginLocalName`* - `cache` SVM で SVM ピアリングを設定するときに `origin` SVM を識別するために使用される名前。
1. `cache` SVM で、以下のコマンドを使用して SVM ピアリング関係を作成します。
```
FSx-Cache::> vserver peer create -vserver CacheSVM -peer-vserver OriginSVM -peer-cluster Origin_ID -local-name OriginLocalName -application flexcache
```
1. ソースクラスターで、以下のコマンドを使用して SVM ピアリング関係を承認します。
```
Origin::> vserver peer accept -vserver OriginSVM -peer-vserver CacheSVM -local-name CacheLocalName
```
1. 送信元クラスターでピアリング関係を承認します。
```
Origin::> vserver peer accept -vserver OriginSVM -peer-vserver CacheSVM -local-name CacheLocalName
```
1. 以下のコマンドを使用して、SVM ピアリングスが成功していることを確認します。`Peer State` レスポンスの `peered` のように設定する必要があります。
```
Origin::> vserver peer show
Vserver Peer Vserver Peer State Peering Cluster Remote Applications
------------ --------------- ------------- ------------------ -----------------------
OriginSVM CacheSVM peered FSx-Cache flexcache
```
## FlexCache ボリュームを作成する
SVM ピアリング関係を作成したら、次のステップとしてキャッシュ SVM に FlexCache ボリュームを作成します。FlexCache ボリュームは FlexGroup である必要があります。また、FlexCache ボリュームのオペレーションモードを選択します。詳細については、「[FlexCache書き込みモード](using-flexcache.md#flexcache_write-around-write-back)」を参照してください。
1. キャッシュクラスターで、以下の ONTAP CLI コマンドを使用して FlexCache ボリュームを作成します。この例では、*CacheVol* という名前の 2 TB FlexCache ボリュームを作成します。
+ 書き込みアラウンド FlexCache ボリュームを作成するには、以下のコマンドを使用します。
```
FSx-Cache::> volume flexcache create -vserver CacheSVM -size 2t -volume CacheVol -origin-volume OriginVol -origin-vserver OriginSVM -junction-path /flexcache -aggr-list aggr1
```
+ 書き込みバック FlexCache ボリュームを作成するには、以下のコマンドを使用します。
```
FSx-Cache::> volume flexcache create -vserver CacheSVM -size 2t -volume CacheVol -origin-volume OriginVol -origin-vserver OriginSVM -junction-path /flexcache -aggr-list aggr1 -is-writeback-enabled true
```
**注記**
[https://docs.netapp.com/us-en/ontap-cli-9151/volume-flexcache-config-modify.html#description](https://docs.netapp.com/us-en/ontap-cli-9151/volume-flexcache-config-modify.html#description) コマンドを使用して、書き込みモードを変更できます。このコマンドを使用する前に、[https://docs.netapp.com/us-en/ontap/system-admin/set-privilege-level-task.html](https://docs.netapp.com/us-en/ontap/system-admin/set-privilege-level-task.html) コマンドを使用して ONTAP CLI アドバンストモードになっていることを確認してください。
1. FlexCache ボリュームとオリジンボリュームの FlexCache 関係を確認します。
+ FlexCache 書き込みアラウンドボリュームの場合、出力は以下の例のようになります。
```
FSx-Cache::> volume flexcache show
Vserver Volume Size Origin-Vserver Origin-Volume Origin-Cluster
------- ---------- ------- -------------- ------------- --------------
CacheSVM CacheVol 2TB OriginSVM OriginVol Origin
```
+ FlexCache 書き込みバックボリュームの場合、出力は以下の例のようになります。
```
FSx-Cache::> volume flexcache show
Vserver Volume Size Origin-Vserver Origin-Volume Origin-Cluster Writeback
------- ---------- ------- -------------- ------------- -------------- ---------
CacheSVM CacheVol 2TB OriginSVM OriginVol Origin true
```
## FlexCache ボリュームをマウントする
FlexCache ボリュームが AVAILABLE になると、NFSv3、NFSv4、および SMB クライアントはそれをマウントできます。FlexCache がマウントされると、クライアントはオンプレミスのオリジンボリュームのデータセット全体にアクセスできます。
+ マウントポイントを作成して FlexCache をマウントするには、クライアントで以下のコマンドを実行します:
```
$ sudo mkdir -p /fsx/CacheVol
$ sudo mount -t nfs management.fs-01d2f606463087f6d.fsx.us-east-1.amazonaws.com:/CacheVol /fsx/CacheVol
```
# NetApp SnapMirrorを使用したデータの複製
NetApp SnapMirrorを使用して、FSx for ONTAP ファイルシステムの第 2 ファイルシステムへの、または第 2 ファイルシステムからの定期的なレプリケーションをスケジュールできます。この機能は、リージョン内とクロスリージョンデプロイの両方で使用できます。
NetApp SnapMirror はデータを高速でレプリケートするため、ONTAP内の 2 つの Amazon FSx ファイルシステム間でレプリケートする場合でも、オンプレミスからAWSにレプリケートする場合でも、AWSシステム全体で高いデータ可用性と高速なデータレプリケーションを実現できます。レプリケーションは 5 分ごとにスケジュールできますが、RPO (目標復旧時点)、RTO (目標復旧時間)、パフォーマンスに関する考慮事項に基づいて間隔を慎重に選択する必要があります。
NetAppストレージシステムにデータをレプリケートし、セカンダリデータを継続的に更新すると、データは最新の状態に保たれ、必要なときにいつでも使用できます。外部レプリケーションサーバーは必要ありません。*を使用してデータを複製する方法の詳細については、*NetApp ConsoleドキュメントNetApp SnapMirrorの[ Learn about NetApp Replication](https://docs.netapp.com/us-en/data-services-replication/concept-replication.html) (複製サービスについて学ぶ)をご参照ください。
NetApp SnapMirrorのデータ保護 (DP) 宛先ボリュームは、NetApp ONTAPCLI および REST API に加えて、Amazon FSx コンソール、AWS CLI、Amazon FSx API を使用して作成できます。Amazon FSx コンソールと AWS CLI を使用してターゲットボリュームを作成する方法の詳細については、[ボリュームの作成](creating-volumes.md) を参照してください。
NetApp ConsoleまたはONTAPCLI を使用して、ファイルシステムの複製をスケジュールできます。
**注記**
SnapMirror レプリケーションには次の 2 つのタイプがあります。ボリュームレベル SnapMirror と SVM ディザスタリカバリ(SVMDR)。FSx for ONTAP では、ボリュームレベルのSnapMirrorレプリケーションのみがサポートされています。Synchronous SnapMirrorを含むStrictSyncはサポートされていません。
## NetApp Consoleを使用したレプリケーションのスケジュール
NetApp Consoleを使用して、FSx for ONTAP ファイルシステムで SnapMirror による複製を設定できます。詳細については、*NetApp Console のドキュメント*の[ NetApp Replication でデータレプリケーションを設定する](https://docs.netapp.com/us-en/cloud-manager-replication/task-replicating-data.html)をご参照ください。
## ONTAPCLI を使用した複製のスケジュール
ONTAP CLI を使用して、スケジュールされたボリュームの複製を設定できます。詳細については、NetApp ONTAP *ドキュメントセンター*で[「Managing SnapMirror volume replication」](https://docs.netapp.com/us-en/ontap/data-protection/snapmirror-replication-workflow-concept.html)を参照してください。