Nutanix FilesのWORM（Write Once Read Many）機能について

※Nutanix Advent Calendar 2022 10日目の記事になります。

今回はNutanix Files 4.1に追加されたWORM機能について、触ってみました。

WORMとはWrite Once Read Manyの略称であり、初回書き込み以降は上書き処理を禁止する特徴を持っています。

この特性から昨今ではランサムウェア対策やアーカイブ（長期保存）などの用途で利用されることが増えています。

Nutanix FilesのWORMはどのように動作するのか

WORMを利用する際は「クールオフタイマー」と「保持期間」の２つを指定します。

WORMオプションを有効にした共有フォルダ内のファイルが最後に更新されてから、クールオフタイマーで指定した時間が経過するとファイルは上書き不可の状態に変更されます。

上書き不可の状態から保持期間で指定した時間が経過すると、上書き不可状態が解除され削除が可能になります。

WORMの利用方法

FilesでWORMを利用するには、まずバージョンが4.1以降である必要があるため、それより古い場合はまずアップグレードを行ってください。

バージョン4.1以降であれば、SSHでFSVMに接続してコマンドにてWORMオプションが有効になった共有フォルダを作成できます。

nutanix@fsvm$ afs share.add "共有フォルダ名" worm_enabled=true

また、クールオフタイマーと保持期間は、共有フォルダ作成後に変更することができないため、デフォルト値から変更する場合は以下のオプションを付け加えます

・クールオフタイマー

worm_cooloff_interval=秒数で指定

・保持期間

worm_retention_period=秒数で指定

例えばクールオフタイマーを5分、保持期間を26週で設定される共有フォルダを作成するには、以下のコマンドを実行します。

nutanix@fsvm$ afs share.add worm-share4 worm_enabled=true worm_retention_period=15724800 worm_cooloff_interval=300

Files Consoleから確認すると共有フォルダが作成されていることが確認できます。
ただし、現在のFiles ConsoleからはWORMオプションの有効・無効状態を確認できないため、以下のコマンドにて確認を行います。

nutanix@fsvm$ afs worm.spec share_name="共有フォルダ名"

先程クールオフタイマーなどを変更して作成された共有フォルダのステータスが確認できます。

nutanix@fsvm:~$ afs worm.spec share_name=worm-share4
worm_type: kShareLevel
cooloff_interval: 300
retention_period: 15724800
autocommit: true

なお、余談ですが以下のコマンドでそもそもWORMオプションが有効化された共有フォルダであるか、確認することもできます。

nutanix@fsvm$ afs share.list sharename=worm-share3
Filtering the share list based on 'worm-share3'
Share name                              : worm-share3
Share UUID                              : c27f7f8a-019a-42a0-afad-bb6a87e454d4
File server name                        : omrisFiles01
Share type                              : GENERAL
Protocol type                           : SMB
Secondary Protocol type                 : None
Self-service Restore                    : DISABLED
Volume group set UUID                   : f4a1fb44-8151-4320-98d2-6d9d42a0b2e6
Share path                              : /worm-share3
File-Blocking patterns                  :
Share Workload Type                     : Default
SMB3 Encryption                         : DISABLED
Compression                             : DISABLED
Longname                                : DISABLED
Worm                                    : ENABLED
Files-at-root                           : NOT APPLICABLE
Continuous Availability                 : DISABLED
Status type                             : Available

色々とステータスの一覧が表示されていますが、Wormの設定が「ENABLED」になっていれば、正常にWORMオプションが有効化されています。

なお、Files Consoleなどから作成した共有フォルダはWormの項目がDisabledで表示されていますが、後からEnabled（有効）に変更することはできないため、WORM機能を利用する場合は先ほどのコマンドにて新たに作成する必要があります。

WORMオプションが有効になっている共有フォルダの動作

先程のイメージ図の通り、WROMが有効な共有フォルダ内に新規ファイルを作成し、クールオフタイマーで指定した時間以内であれば、上書きすることができます。

クールオフタイマーの時間を経過した後に、上書き保存しようとすると拒否される形になります。

クールオフタイマー経過後に改めてファイルを開くと上書き禁止状態になっていることも確認できます。

また、ファイルを直接削除しようとしても、拒否されます。

まとめ

Nutanix FilesではWORM機能を利用することができます。

Nutanixを利用している環境であれば、わざわざWORM対応の専用ストレージ製品などを用意することなく、WORM機能を利用することができます。
（Nutanix FilesはAOSライセンスに1TBの無償利用枠がありますので、少しだけWORM機能が必要な要件があるみたいな状況でも活用できるのかなと思っています。）

また、設定は現状コマンドからのみになります。

なお、WORM機能を利用する際の細かな制限事項などは公式ドキュメントをご確認ください。

https://portal.nutanix.com/page/documents/details?targetId=Files-v4_2:fil-files-worm-shares-c.html