エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9.14

to English version

コンプライアンス クロックの初期化

SnapLockでは、ボリューム コンプライアンス クロックを使用して、改ざんによるWORMファイルの保持期間の変更を防止します。最初にSnapLockアグリゲートをホストする各ノードでシステムComplianceClockを初期化する必要があります。

ONTAP 9.14.1以降では、SnapLockボリュームがない場合や、Snapshotコピー ロックが有効になっているボリュームがない場合に、システム コンプライアンス クロックを初期化または再初期化できます。再初期化機能を使用することで、システム管理者は、インスタンス内の正しく初期化されていないシステム コンプライアンス クロックをリセットしたり、システムのクロック ドリフトを修正したりできます。ONTAP 9.13.1以前のリリースでは、ノードでコンプライアンス クロックを初期化したあと、再度初期化することはできません。

開始する前に

コンプライアンス クロックを再初期化するには:

  • クラスタ内のすべてのノードが正常な状態になっている必要があります。

  • すべてのボリュームがオンラインになっている必要があります。

  • リカバリー キューにボリュームが存在してはいけません。

  • SnapLockボリュームが存在してはいけません。

  • Snapshotコピー ロックが有効になっているボリュームが存在してはいけません。

コンプライアンス クロックを初期化するための一般的な要件:

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • ノードにSnapLockライセンスがインストールされている必要があります。

タスク概要

システム コンプライアンス クロックの時間がボリューム コンプライアンス クロックに継承され、その時間に基づいてボリューム上のWORMファイルの保持期間が制御されます。ボリューム コンプライアンス クロックは、SnapLockボリュームの新規作成時に自動的に初期化されます。

システム コンプライアンス クロックの初期設定は、現在のハードウェア システム クロックに基づきます。そのため、各ノードでシステム コンプライアンス クロックを初期化する前に、システム時間とタイムゾーンが正しいことを確認する必要があります。ノードでシステム コンプライアンス クロックを初期化したあとに、ロックが有効になっているSnapLockボリュームが存在する場合、再度初期化することはできません。

手順

ONTAP CLIを使用してコンプライアンス クロックを初期化できます。また、ONTAP 9.12.1以降では、ONTAP System Managerを使用してコンプライアンス クロックを初期化できます。

ONTAP System Manager
  1. [クラスター] > [概要]に移動します。

  2. [ノード]セクションで、[Initialize SnapLock Compliance Clock]をクリックします。

  3. [コンプライアンスクロック]列を表示して、Compliance Clockが初期化されていることを確認するには、[クラスター] > [概要] > [ノード]セクションで[表示/非表示]をクリックし、[SnapLock コンプライアンスクロック]を選択します。

CLI
  1. システム コンプライアンス クロックを初期化します。

    snaplock compliance-clock initialize -node node_name

    次のコマンドは、node1のシステム コンプライアンス クロックを初期化します。

    cluster1::> snaplock compliance-clock initialize -node node1
  2. 確認のプロンプトで、システム クロックが正しいこととコンプライアンス クロックの初期化を実行することを確認します。

    Warning: You are about to initialize the secure ComplianceClock of
    the node "node1" to the current value of the node's system clock.
    This procedure can be performed only once on a given node, so you
    should ensure that the system time is set correctly before proceeding.
    
    The current node's system clock is: Mon Apr 25 06:04:10 GMT 2016
    
    Do you want to continue? (y|n): y
  3. SnapLockアグリゲートをホストする各ノードについて、同じ手順を繰り返します。

NTPが設定されたシステムのコンプライアンス クロック再同期の有効化

NTPサーバーを設定する際に、SnapLockのコンプライアンス クロック時間同期機能を有効にすることができます。

要件
  • この機能は、advanced権限レベルでのみ使用できます。

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • ノードにSnapLockライセンスがインストールされている必要があります。

  • この機能は、Cloud Volumes ONTAP、およびVSIMのプラットフォームでのみ使用できます。

タスク概要

SnapLockのセキュアー クロック デーモンがしきい値を超えるスキューを検出すると、システム時間を使用してシステムとボリュームの両方のコンプライアンス クロックがリセットされます。スキューのしきい値は24時間に設定されています。つまり、システム コンプライアンス クロックはスキューが1日を超えた場合にのみシステム クロックに同期されます。

スキューの検出とシステム時間へのコンプライアンス クロックの変更は、SnapLockのセキュアー クロック デーモンによって行われます。コンプライアンス クロックはシステム時間がNTPの時間と同期されている場合しかシステム時間と同期されないため、システム時間を変更してコンプライアンス クロックをシステム時間に強制的に同期しようとしても失敗します。

手順
  1. NTPサーバーを設定する際に、SnapLockのコンプライアンス クロック時間同期機能を有効にします。

    snaplock compliance-clock ntp

    次のコマンドは、システムのコンプライアンス クロック時間同期機能を有効にします。

    cluster1::*> snaplock compliance-clock ntp modify -is-sync-enabled true
  2. 確認のプロンプトで、設定されているNTPサーバーが信頼できることと通信チャネルがセキュアーであることを確認して機能を有効にします。

  3. 機能が有効になっていることを確認します。

    snaplock compliance-clock ntp show

    次のコマンドは、システムのコンプライアンス クロック時間同期機能が有効になっていることを確認します。

    cluster1::*> snaplock compliance-clock ntp show
    
    Enable clock sync to NTP system time: true
Top of Page