本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# SnapLock 的工作原理
<a name="how-snaplock-works"></a>

SnapLock 可以防止您的文件被删除、更改或重命名，从而帮助您满足治理和监管目的。创建 SnapLock 卷时，将文件提交为“一次写入，多次读取”（WORM）存储，并为数据设置保留期。您的文件可以在指定时间内以不可擦除、不可写入的状态存储，也可以无限期存储。

**重要**  
您必须在创建卷时指定卷是否使用 SnapLock 设置。非 SnapLock 卷在创建后无法转换为 SnapLock 卷。

## 保留模式
<a name="snaplock-retention-modes"></a>

SnapLock 有两种保留模式：Compliance 模式和 Enterprise 模式。Amazon FSx f NetApp or ONTAP 支持这两者。它们有不同的用例，有些功能也不同，但它们都使用 WORM 模型保护您的数据免遭修改或删除。下表说明了这些保留模式之间的一些相似之处和不同之处。


| SnapLock 功能 | [了解 SnapLock Compliance](snaplock-compliance.md) | [了解 SnapLock Enterprise](snaplock-enterprise.md) | 
| --- | --- | --- | 
| 说明 | 在 Compliance 卷上转换为 WORM 的文件在保留期到期之前无法删除。 | 在 Enterprise 卷上转换为 WORM 的文件可以由授权用户在保留期到期之前使用特权删除功能删除。 | 
| 使用案例 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/how-snaplock-works.html)  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/how-snaplock-works.html)  | 
| [自动提交](worm-state.md#worm-state-autocommit) | 支持 | 是 | 
| [基于事件的保留（EBR）](worm-state.md#worm-state-ebr)1 | 是 | 是 | 
| [依法保留](worm-state.md#worm-state-legal-hold)1 | 是 | 否 | 
| [使用特权删除](snaplock-enterprise.md#privileged-delete) | 否 | 是 | 
| [卷附加模式](worm-state.md#worm-state-append) | 是 | 是 | 
| [SnapLock 审计日志卷](#snaplock-audit-log-volume) | 是 | 是 | 

**注意**  
1 ONTAP CLI 和 REST API 支持 EBR 和依法保留操作。

**注意**  
FSx for ONTAP 支持将数据分层到所有SnapLock卷上的容量池，无论其类型如何。SnapLock有关更多信息，请参阅 [卷数据分层](volume-storage-capacity.md#volume-data-tiering)。

## SnapLock 管理员
<a name="snaplock-admin"></a>

您必须具有 SnapLock 管理员权限才能对 SnapLock 卷执行某些操作。SnapLock 管理员权限在 ONTAP CLI 中的 `vsadmin-snaplock` 角色中定义。只有集群管理员才能创建具有 SnapLock 管理员角色的存储虚拟机（SVM）管理员账户。

您可以在 ONTAP CLI 中使用该 `vsadmin-snaplock` 角色执行以下操作：
+ 管理自己的用户账户、本地密码和密钥信息
+ 管理卷，但移动卷除外
+ 管理配额、qtree、快照副本和文件
+ 执行 SnapLock 操作，包括特权删除和依法保留
+ 配置网络文件系统（NFS）和服务器消息块（SMB）协议 
+ 配置域名系统（DNS）、轻型目录访问协议（LDAP）和网络信息服务（NIS）服务 
+ 监控作业

以下过程详细介绍了如何在 ONTAP CLI 中创建 SnapLock 管理员。要执行此任务，您必须以集群管理员的身份通过安全外壳协议（SSH）等安全连接登录。

**要在 ONTAP CLI 中创建具有 vsadmin-snaplock 角色的 SVM 管理员账户，请执行以下操作**
+ 运行如下命令。将 *SVM\$1name* 和 *SnapLockAdmin* 替换为您自己的信息。

  ```
  cluster1::> security login create -vserver SVM_name -user-or-group-name SnapLockAdmin -application ssh -authentication-method password -role vsadmin-snaplock
  ```

有关更多信息，请参阅 [ONTAP 用户和角色](roles-and-users.md)。

## SnapLock 审计日志卷
<a name="snaplock-audit-log-volume"></a>

 SnapLock 审计日志卷包含 SnapLock 审计日志，其中包含事件的时间戳，例如何时创建 SnapLock 管理员、何时执行特权删除操作或何时对文件进行依法保留。SnapLock 审计日志卷是不可擦除的事件记录。

您必须在与 SnapLock 卷相同的 SVM 中创建 SnapLock 审计日志卷才能执行以下操作：
+ 要在 SnapLock Enterprise 卷上开启或关闭特权删除，请执行以下操作。
+ 对 SnapLock Compliance 卷中的文件应用依法保留。

**警告**  
 SnapLock 审计日志卷的最短保留期为六个月。在此保留期到期之前，即使 SnapLock 审计日志卷是在 SnapLock Enterprise 模式下创建的，也无法删除与之关联的 SVM 和文件系统。
如果使用特权删除功能删除文件，并且文件保留期长于该卷的保留期，则审计日志卷将继承该文件的保留期。例如，如果使用特权删除功能删除了保留期为 10 个月的文件，而审计日志卷的保留期为六个月，则审计日志卷的保留期将延长至 10 个月。

 一个 SVM 中只能有一个活动的 SnapLock 审计日志卷，但可以由 SVM 中的多个 SnapLock 卷共享。要成功装入 SnapLock 审计日志卷，请将连接路径设置为 `/snaplock_audit_log`。任何其他卷都不能使用此连接路径，包括不是审计日志卷的卷。

 您可以在审计日志卷根目录下的 `/snaplock_log` 目录中找到 SnapLock 审计日志。特权删除操作记录在 `privdel_log` 子目录中。依法保留开始和结束操作记录在 `/snaplock_log/legal_hold_logs/` 中。所有其他日志都存储在 `system_log` 子目录中。

您可以使用亚马逊 FSx 控制台、、亚马逊 API 以及 ONTAP CLI 和 REST FSx API 创建SnapLock审核日志卷。 AWS CLI

**注意**  
 数据保护（DP）卷不能用作 SnapLock 审计日志卷。

要使用 Amazon FSx API 打开SnapLock审核日志卷，请在`AuditLogVolume`中使用[https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateSnaplockConfiguration.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateSnaplockConfiguration.html)。在 Amazon FSx 控制台中，对于 “**审核日志量**”，选择 “**启用**”。确保将**连接路径**设置为 `/snaplock_audit_log`。

## 访问 SnapLock 卷中的数据
<a name="accessing-snaplock-data"></a>

您可以使用 NFS 和 SMB 等开放文件协议来访问 SnapLock 卷中的数据。向 SnapLock 卷写入数据或读取受 WORM 保护的数据不会对性能产生影响。

您可以使用 NFS 和 SMB 跨 SnapLock 卷复制文件，但它们不会在目标 SnapLock 卷上保留其 WORM 属性。您必须将复制的文件重新提交到 WORM，以防止它们被修改或删除。有关更多信息，请参阅 [将文件提交到 WORM 状态](worm-state.md)。

您也可以使用 SnapMirror 复制 SnapLock 数据，但源卷和目标卷必须是相同保留模式的 SnapLock 卷（例如，两者都必须是 Compliance 卷或 Enterprise 卷）。

## SnapLock 和 SSD 容量缩减操作
<a name="snaplock-ssd-decrease"></a>

创建 SnapLock 卷之前，请考虑以下关于 SSD 容量减少的注意事项：
+ Amazon FSx 将拒绝对包含SnapLock卷的文件系统提出的减少固态硬盘容量的请求。
+ 在 SSD 容量缩减操作期间，无法创建 SnapLock 卷。

这些限制存在的原因在于 ONTAP 强制要求 SnapLock 审计日志卷最少保留 6 个月，如果在 SSD 缩减操作中移动了 SnapLock 卷，这将阻止在该期间内删除文件系统。

如果需缩减带 SnapLock 卷文件系统中的 SSD 容量，则需将数据迁移至 SSD 容量较小的新文件系统。有关 SSD 容量缩减操作的更多信息，包括限制和注意事项，请参阅 [更新文件系统 SSD 存储和 IOPS](storage-capacity-and-IOPS.md#increase-primary-storage)。