はじめに
NetAppは、vSphere環境のバックアップ/リストアを効率的に実施できる
「SnapCenter Plug-in for VMware vSphere(以下:SCV)」を提供しています。
SCVを利用することで、仮想マシンの整合性を確保しつつ、ストレージスナップショットと連携した効率的なバックアップ/リストアが可能です。
最新のSCV(6.2P1)ではAmazon FSx for NetApp ONTAP(以下:FSx for ONTAP)の利用がサポートされました。
本記事では、このアップデートにより実現できる、
FSx for ONTAPを活用したお手軽かつ堅牢なvSphere環境のImmutableバックアップ
を紹介します。
できること
SCVとFSx for ONTAPを利用することで、以下を簡単に実現できます。
- vSphere環境のバックアップをSnapMirrorによりFSx for ONTAPへ転送
- FSx for ONTAPに転送したSnapshotへImmutableバックアップ属性を付与
- FSx for ONTAP上のバックアップから仮想マシン/ディスクをリストア
本記事のスコープと前提
本記事では、以下の内容を扱います。
①SCVの概要と基本機能
②Immutableバックアップを実現する仕組み
③FSx for ONTAPを組み合わせた構成のサポート
以下の内容については、本記事では詳細を扱いません。
- NetApp ONTAP及びSCVのインストール/設定手順
①SCVの概要と基本機能
SnapCenter Plug-in for VMware vSphere(SCV)は、
vSphereとONTAPを連携し、仮想マシンの整合性を保ったバックアップを
ストレージスナップショットとして取得可能とするvCenter用Plug-inです。
バックアップ取得から外部のONTAPへのSnapMirror転送、リストア操作含めてvCenter上のGUIから一元的に管理できます。
SCVで出来ること
ONTAPストレージを利用するvSphere環境向けに下記機能を提供します。バックアップだけでなく、リストア含めてONTAPのスナップショット技術とデータ管理の特性を利用します。
<バックアップ>
- vSphere上の仮想マシンの整合性を確保したストレージスナップショットの取得
- SnapMirrorによるスナップショットの転送(プライマリのバックアップ完了直後にキック)
- スナップショットへのImmutable属性の付与(後述)
<リストア>
- 仮想マシン単位のリストア
- 仮想ディスク単位のリストア
- 仮想ディスクのアタッチ/デタッチ
- データストアのクローン作成及びマウント/アンマウント
- 仮想マシン内のファイル単位のリストア(windows仮想マシンのみ)
下図に示す複数の内部処理は、SCVからのリストア操作を起点として、すべて自動かつ透過的に実行され、利用者が個別に操作する必要はありません。特にNFSデータストアは仮想マシンを構成するファイル単位でストレージが直接処理するため、高速にリストア出来ます※。
※ 別名リストアを利用する場合は、NFSデータストアにおいても Storage vMotion を
介したリストアとなります。
データストア種別やリストア元のデータ配置先に応じたSCVのリストア方式については、
以下の公式ドキュメントにまとめられています。*
②Immutableバックアップを実現する仕組み
Tamperproof SnapshotによるImmutableバックアップ
NetApp ONTAPが備える「Tamperproof Snapshot」は指定した期間、対象のスナップショット及び同スナップショットが紐づいたボリュームを管理者含めて削除不可とすることでImmutableバックアップを実現する機能です。管理者アカウントの侵害や不正操作を起点としたバックアップの削除・改竄への耐性を高める手段として、有効な選択肢となります。
SCVに組み込まれたTamperproof Snapshot連携
SCVは、SnapMirrorによるレプリケーション完了後にONTAPのAPIを呼び出してTamperproof Snapshotを制御します。この仕組みにより、プライマリ/バックアップそれぞれについて、Tamperproof Snapshotの有無や保持期間を個別に設定できます。
※ SCVにおけるプライマリ/セカンダリ単位でのTamperproof Snapshot制御機能は、
SCV 6.1P1から実装されています。
③FSx for ONTAPを組み合わせた構成のサポート
最新のSCV(6.2P1)で何が変わったか
従来のSCVではFSx for ONTAPの利用がサポートされておらず、古いバージョンのSCVを利用した場合はFSx for ONTAPへ転送したバックアップデータから一部の操作(別名リストアやクローン系の処理等)が失敗します。
SCV 6.2P1では上記問題が解消され、オンプレミスのONTAPストレージと同様の運用ができるようになりました。
SnapCenter Plug-in for VMware vSphere supports
Amazon FSxN for NetApp ONTAP storage systems running version 9.10 or later.
SCVとFSx for ONTAP構成の利用メリット
FSx for ONTAPは、AWSの管理コンソールから簡単な操作でデプロイ可能です。
追加のアプライアンスを購入することなく、既存のSCVの操作性を維持したまま、
Immutableバックアップを構成できます。
これにより、コストや環境面の制約を抑えつつ、クラウドを活用したImmutableバックアップをより現実的な選択肢として導入できます。
やってみた
下図は実際にSCVからFSx for ONTAPに対して取得したバックアップデータの管理画面です。vSphere Clientの「構成」画面内に統合されており、簡単にバックアップの取得状況を確認可能です。
この例ではTamperproof Snapshotをバックアップ先であるFSx for ONTAP側に適用しており、セカンダリ部分の保持期限が表示されていることがわかります。(本来は実運用を想定して2週間~1か月先等の保持期限を指定したいのですが、保持期限が切れるまで本当に削除できなくなるため、この例では1日先を指定しています。)
まとめ
SCV 6.2P1から、FSx for ONTAPを活用したImmutableバックアップ構成をAWS環境で
よりシンプルに実現できるようになりました。
不正ログインを起点としたランサムウェア攻撃が増加する中、
バックアップデータの削除や改竄を防止する
Immutableバックアップの重要性はますます高まっています。
本記事で紹介した構成を利用することで、SCVの操作性を維持したまま、
AWSを活用した堅牢なバックアップ構成をより低いハードルで導入できます。
参考情報
SnapCenter Plug-in for VMware vSphere(SCV)
-
SnapCenter Plug-in for VMware vSphere – Overview
https://docs.netapp.com/us-en/sc-plugin-vmware-vsphere/ -
How restore operations are performed (SCV)
https://docs.netapp.com/us-en/sc-plugin-vmware-vsphere/scpivs44_how_restore_operations_are_performed.html -
SnapCenter Plug-in for VMware vSphere – Release Notes (What’s New)
https://docs.netapp.com/us-en/sc-plugin-vmware-vsphere/scv_releasenotes_whats_new.html