Testes de restauração - AWS Backup

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Testes de restauração

O teste de restauração, um recurso oferecido pela AWS Backup, fornece avaliação automatizada e periódica da viabilidade da restauração, bem como a capacidade de monitorar os tempos de duração do trabalho de restauração.

Visão geral

Primeiro, crie um plano de testes de restauração, fornecendo um nome para o plano, a frequência dos testes de restauração e o horário de início previsto. Depois, atribua os recursos que deseja incluir no plano. Em seguida, você escolhe incluir pontos de recuperação específicos ou aleatórios em seu teste. AWS Backup o backup infere de forma inteligente os metadados que serão necessários para que seu trabalho de restauração seja bem-sucedido.

Quando chegar o horário programado em seu plano, AWS Backup inicia os trabalhos de restauração com base em seu plano e monitora o tempo necessário para concluir a restauração.

Depois que o plano de teste de restauração for concluído, você poderá usar os resultados para mostrar a conformidade com os requisitos organizacionais ou de governança, como a conclusão bem-sucedida dos cenários de teste de restauração ou o tempo de conclusão do trabalho de restauração.

Opcionalmente, você pode usar Restaurar a validação do teste para confirmar os resultados do teste de restauração.

Quando a validação opcional for concluída ou a janela de validação for fechada, AWS Backup excluirá os recursos envolvidos no teste de restauração e os recursos serão excluídos de acordo com o serviço. SLAs

Ao final do processo de teste, você poderá ver os resultados e o tempo de conclusão dos testes.

Comparação entre os testes de restauração e o processo de restauração

O recurso de testes de restauração executa trabalhos de restauração da mesma forma que as restaurações sob demanda e usa os mesmos pontos de recuperação (backups) de uma restauração sob demanda. Você verá chamadas para StartRestoreJob entrar CloudTrail (se tiver optado por participar) para cada trabalho iniciado pelo teste de restauração

No entanto, há algumas diferenças entre a operação de um teste de restauração programado e uma operação de restauração sob demanda:

Testes de restauração Restaurar

Conta

Uma prática recomendada é designar uma conta para ser usada nos testes de restauração.

Você pode restaurar recursos de uma conta.

AWS Backup Audit Manager

É possível ativar um controle para confirmar se um teste de restauração atende aos objetivos de restauração especificados.

Cadência

Periodicamente, como parte de um plano programado.

Sob demanda

Recursos

Os tipos de recursos que você pode atribuir ao seu plano de teste incluem: Aurora, Amazon DocumentDB, Amazon DynamoDB, Amazon, Amazon, EBS Amazon, EC2 EFS Amazon ONTAP (LustreFSx, ZFS Open, Windows), Amazon Neptune, Amazon e Amazon S3. RDS

Todos os recursos podem ser restaurados.

Resultados

Depois que o trabalho de teste de restauração for concluído, o recurso restaurado será excluído após a conclusão da Restaurar a validação do teste janela.

Depois que o trabalho de restauração for concluído, a versão restaurada do recurso permanecerá.

Tags

Para tipos de recurso que oferecem suporte a etiquetas na restauração, os testes aplicam etiquetas na restauração.

As etiquetas são opcionais para os recursos compatíveis.

Gerenciamento dos testes de restauração

Você pode criar, visualizar, atualizar ou excluir um plano de testes de restauração no console do AWS Backup.

Você pode usar a AWS CLI para realizar operações de forma programática para restaurar planos de testes. Cada um CLI é específico para o AWS serviço em que se origina. Os comandos devem ser prefixados com aws backup.

Exclusão de dados

Quando um teste de restauração é concluído, AWS Backup começa a excluir os recursos envolvidos no teste. Essa exclusão não é instantânea. Cada recurso tem uma configuração subjacente que determina como esses recursos são armazenados e ciclos de vida. Por exemplo, se os buckets do Amazon S3 fizerem parte do teste de restauração, serão adicionadas regras de ciclo de vida ao bucket. Pode levar vários dias para que as regras sejam executadas e para que o bucket e seus objetos sejam totalmente excluídos, mas as cobranças só ocorrerão para esses recursos até o dia em que a regra de ciclo de vida for iniciada (por padrão, isso é 1 dia). A velocidade de exclusão dependerá do tipo de recurso.

Os recursos que fazem parte de um plano de testes de restauração contêm uma etiqueta chamada awsbackup-restore-test. Se um usuário remover essa tag, AWS Backup não poderá excluir o recurso no final do período de teste. Em vez disso, o usuário precisará excluí-la manualmente.

Para verificar por que os recursos podem não ter sido excluídos conforme o esperado, você pode pesquisar trabalhos com falha no console ou usar a interface da linha de comando para chamar a API solicitação DescribeRestoreJob para recuperar as mensagens de status de exclusão.

Os planos de backup (planos de teste sem restauração) ignoram os recursos criados pelo teste de restauração (aqueles com tag awsbackup-restore-test ou nome começando comawsbackup-restore-test).

Controle de custos

O recurso de testes de restauração tem um custo por teste de restauração. Dependendo dos recursos incluídos no plano de testes de restauração, os trabalhos de restauração que fazem parte do plano também poderão ter um custo. Para obter detalhes, consulte Definição de preço do AWS Backup.

Ao configurar um plano de testes de restauração pela primeira vez, você pode achar vantajoso incluir um número mínimo de tipos de recurso e recursos protegidos para se familiarizar com a funcionalidade, o processo e os custos médios envolvidos. Você pode atualizar um plano após sua criação para adicionar mais tipos de recurso e recursos protegidos.

Criar um plano de testes de restauração

Um plano de testes de restauração tem duas partes: criação do plano e atribuição de recursos.

Quando você usa o console, essas partes são sequenciais. Na primeira parte, defina o nome, a frequência e os horários de início. Durante a segunda parte, atribua recursos ao plano de testes.

Ao usar AWS CLI eAPI, primeiro uso create-restore-testing-plan. Depois de receber uma resposta bem-sucedida e o plano ter sido criado create-restore-testing-selection, use cada tipo de recurso a ser incluído em seu plano.

Quando você cria um plano de teste de restauração, criamos uma função vinculada ao serviço para você. Para obter mais informações, consulte Usar perfis para testes de restauração.

Console
Parte I: Criar um plano de testes de restauração usando o console
  1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

  2. Na navegação à esquerda, localize e selecione Teste de restauração.

  3. Escolha Criar um plano de teste de restauração.

  4. Geral

    1. Nome: digite um nome para o novo plano de testes de restauração. O nome não poderá ser alterado após a criação. Ele só pode conter caracteres alfanuméricos e sublinhados.

    2. Frequência de teste: escolha a frequência com que os testes de restauração serão executados.

    3. Horário inicial: defina o horário (em horas e minutos) em que você prefere que o teste comece. Você também pode definir o fuso horário local no qual deseja que o plano de testes de restauração opere.

    4. Comece em: Esse valor (em horas) é o período em que o teste de restauração está designado para começar. AWS Backup faz o possível para iniciar todos os trabalhos de restauração designados durante o início dentro do prazo e randomiza os horários de início dentro desse período.

  5. Seleção do ponto de recuperação: aqui você define os cofres de origem, o intervalo de pontos de recuperação e os critérios de seleção para quais pontos de recuperação (backups) você deseja que façam parte do plano.

    1. Cofres de origem: escolha se deseja incluir todos os cofres disponíveis ou apenas cofres específicos para ajudar a filtrar quais pontos de recuperação podem estar no plano. Se você escolher a opção Cofres específicos, selecione no menu suspenso os cofres que deseja incluir.

    2. Pontos de recuperação qualificados: especifique o período do qual os pontos de recuperação serão selecionados. Você pode selecionar de 1 a 365 dias, de 1 a 52 semanas, de 1 a 12 meses ou 1 ano.

    3. Critérios de seleção: depois de especificar o intervalo de datas para os pontos de recuperação, você poderá escolher se deseja incluir o mais recente ou um aleatoriamente no plano. Talvez você queira escolher um aleatório para avaliar a integridade geral dos pontos de recuperação com mais frequência, caso a restauração de uma versão mais antiga seja necessária.

    4. Point-in-time pontos de recuperação: se seu plano incluir recursos com pontos de backup contínuo (point-in-time-restore/PITR), você pode marcar essa caixa para que seu plano de teste inclua backups contínuos como pontos de recuperação elegíveis (consulte Disponibilidade de recursos por recurso para os quais tipos de recursos têm esse recurso).

  6. (Opcional) Tags adicionadas ao plano de teste de restauração: você pode optar por adicionar até 50 etiquetas a um plano de testes de restauração. Cada etiqueta deve ser adicionada separadamente. Para adicionar uma etiqueta, selecione Adicionar nova tag.

Parte II: Atribuir recursos ao plano usando o console

Nesta seção, escolha os recursos dos quais fez backup para incluir no plano de testes de restauração. Você escolherá o nome da atribuição de recursos, escolherá o perfil que usará para o teste de restauração e definirá o período de retenção antes da limpeza. Depois, você selecionará o tipo de recurso, selecionará o escopo e, opcionalmente, refinará sua seleção com etiquetas.

dica

Para voltar ao plano de testes de restauração ao qual você deseja adicionar recursos, acesse o console do AWS Backup, selecione Teste de restauração, encontre seu plano de testes preferido e escolha-o.

  1. Geral

    1. Nome da atribuição de recursos: insira um nome para essa atribuição de recursos usando uma string de caracteres alfanuméricos e sublinhados, sem nenhum espaço em branco.

    2. Restaurar IAM função: o teste deve usar uma função Identity and Access Management (IAM) que você designar. Você pode escolher a função AWS Backup padrão ou outra. Se o AWS Backup padrão ainda não existir quando você concluir esse processo, ele AWS Backup será criado automaticamente com as permissões necessárias. A IAM função escolhida para o teste de restauração deve conter as permissões encontradas em AWSBackupServicePolicyForRestores.

    3. Período de retenção antes da limpeza: durante um teste de restauração, os dados de backup são restaurados temporariamente. Por padrão, esses dados são excluídos após a conclusão do teste. Você tem a opção de atrasar a exclusão desses dados caso queira executar a validação da restauração.

      Se você planeja executar a validação, selecione a opção Reter por um número específico de horas e insira um valor de 1 a 168 horas (ambos incluídos). Observe que a validação pode ser executada de forma programática, mas não pelo console do AWS Backup .

  2. Recursos protegidos:

    1. Selecione o tipo de recurso: selecione quais tipos de recurso e o escopo de quais backups desses tipos deseja incluir no plano de testes de recursos. Cada plano pode conter vários tipos de recurso, mas cada tipo de recurso deve ser atribuído ao plano individualmente.

    2. Escopo da seleção de recursos: depois de escolher o tipo, selecione se você deseja incluir todos os recursos protegidos disponíveis desse tipo ou se deseja incluir somente recursos protegidos específicos.

    3. (Opcional) Refine a seleção de recursos usando tags: se os backups tiverem etiquetas, você poderá usá-las para filtrar a fim de selecionar recursos protegidos específicos. Insira a chave de etiqueta, a condição para que essa chave seja ou não incluída e o valor da chave. Depois, selecione o botão Adicionar etiquetas.

      As etiquetas nos recursos protegidos são avaliadas verificando as etiquetas no ponto de recuperação mais recente no cofre de backup que contém o recurso protegido.

  3. Parâmetros de restauração: determinados recursos exigem a especificação de parâmetros na preparação para um trabalho de restauração. Na maioria dos casos, AWS Backup inferirá os valores com base no backup armazenado.

    Em geral, é recomendável manter esses parâmetros, mas você pode alterar os valores escolhendo uma seleção diferente no menu suspenso. Exemplos em que a alteração dos valores pode ser ideal podem incluir a substituição de chaves de criptografia, FSx configurações da Amazon em que os dados não podem ser inferidos e a criação de sub-redes.

    Por exemplo, se um RDS banco de dados for um dos tipos de recursos que você atribui ao seu plano de teste de restauração, parâmetros como zona de disponibilidade, nome do banco de dados, classe da instância do banco de dados e grupo de VPC segurança aparecerão com valores inferidos que você poderá alterar, se aplicável.

AWS CLI

O CLI comando CreateRestoreTestingPlan é usado para criar um plano de teste de restauração.

O plano de testes deve conter:

  • RestoreTestingPlan, que deve conter um único RestoreTestingPlanName

  • Expressão cron ScheduleExpression

  • RecoveryPointSelection

    Embora tenha um nome semelhante, é NOTo mesmo queRestoreTestingSelection.

    RecoveryPointSelectiontem cinco parâmetros (três obrigatórios e dois opcionais). Os valores que você especifica determinam qual ponto de recuperação está incluído no teste de restauração. Você deve indicar com Algorithm se deseja o ponto de recuperação mais recente dentro do seu SelectionWindowDays ou se deseja um ponto de recuperação aleatório e deve indicar por meio IncludeVaults de quais cofres os pontos de recuperação podem ser escolhidos.

Uma seleção pode ter um ou mais recursos protegidos ARNs ou ter uma ou mais condições, mas não pode ter as duas.

Você também pode incluir:

Use o CLI comando create-restore-testing-plan.

Depois que o plano for criado com sucesso, você precisará atribuir recursos a ele usando create-restore-testing-selection.

Isso consiste em RestoreTestingSelectionName, ProtectedResourceType e um dos seguintes:

  • ProtectedResourceArns

  • ProtectedResourceConditions

Cada tipo de recurso protegido pode ter um único valor. Uma seleção de testes de restauração pode incluir um valor curinga (“*”) para ProtectedResourceArns com ProtectedResourceConditions. Como alternativa, você pode incluir até 30 recursos protegidos específicos ARNs noProtectedResourceArns.

Determinação do ponto de recuperação

Sempre que um plano de teste é executado (de acordo com a frequência e o horário de início especificados), um ponto de recuperação qualificado por recurso protegido selecionado é restaurado pelo teste de restauração. Se nenhum ponto de recuperação de um recurso atender aos critérios de seleção do ponto de recuperação, esse recurso não será incluído no teste.

Um ponto de recuperação para um recurso protegido em uma seleção de teste é elegível se atender aos critérios do período de tempo especificado e incluir cofres no plano de teste de restauração.

Um recurso protegido será selecionado se a seleção de teste do recurso incluir o tipo de recurso e se uma das seguintes condições for verdadeira:

  • O recurso ARN está especificado nessa seleção; ou

  • As condições da tag nessa seleção correspondem às tags no ponto de recuperação mais recente do recurso.

Atualizar um plano de testes de restauração

Você pode atualizar partes de um plano de testes de restauração e as seleções de recursos nele contidas pelo console ou pela AWS CLI.

Console
Atualizar planos e seleções de testes de restauração no console

Ao visualizar a página de detalhes do plano de testes de restauração no console, você pode editar (atualizar) muitas das configurações do plano. Para fazer isso:

  1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

  2. Na navegação à esquerda, localize e selecione Teste de restauração.

  3. Selecione o botão Edit.

  4. Ajuste a frequência, o horário de início e o tempo que o teste terá para começar após o horário de início escolhido.

  5. Salve as alterações.

AWS CLI
Atualize os planos e as seleções de testes de restauração por meio de AWS CLI

Solicita UpdateRestoreTestingPlane UpdateRestoreTestingSelectionpode ser usado para enviar atualizações parciais para um plano ou seleção específica. Os nomes não podem ser alterados, mas você pode atualizar outros parâmetros. Inclua somente os parâmetros que você deseja alterar em cada solicitação.

Antes de enviar uma solicitação de atualização, use GetRestoreTestingPlane GetRestoreTestingSelectionpara determinar se sua RestoreTestingSelection contém caracteres específicos ARNs ou se usa o caractere curinga e as condições.

Se sua seleção de teste de restauração tiver sido especificada ARNs (em vez de um curinga) e você quiser alterá-la para um curinga com condições, a solicitação de atualização deverá incluir o ARN curinga e as condições. Uma seleção pode ter um recurso protegido ARNs ou usar o caractere curinga com condições, mas não pode ter ambos.

Visualizar os planos de testes de restauração existentes

Console
Visualizar detalhes sobre um plano de testes de restauração existente e os recursos atribuídos no console
  1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

  2. Na navegação à esquerda, selecione Teste de restauração. A tela mostra os planos de testes de restauração. Por padrão, os planos são exibidos em ordem de última execução.

  3. Selecione o link de um plano para ver os detalhes, incluindo um resumo do plano, o nome, a frequência, o horário de início e o tempo para início.

Você também pode visualizar os recursos protegidos nesse plano, os trabalhos de testes de restauração dos últimos 30 dias incluídos nesse plano e todas as etiquetas que você possa ter criado para fazer parte desse plano de testes.

AWS CLI

Obter detalhes sobre um plano de testes de restauração existente e uma seleção de testes usando a linha de comando

Visualizar trabalhos de testes de restauração

Console
Veja os trabalhos de testes de restauração existentes no console

Os trabalhos de testes de restauração estão incluídos na página de trabalhos de restauração.

  1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

  2. Navegue até a página Trabalhos.

    Você também pode selecionar Teste de restauração, depois escolher um plano de testes de restauração para ver os detalhes e os trabalhos associados a ele.

  3. Selecione a guia Tarefas de restauração.

    Nessa página, você pode ver o status, o tempo de restauração, o tipo de restauração, o ID do recurso, o tipo de recurso, o plano de testes de restauração ao qual o trabalho pertence, o horário de criação e o ID do ponto de recuperação do trabalho de restauração.

    Os trabalhos incluídos em um plano de testes de restauração têm o tipo de restauração Teste.

Os trabalhos de testes de restauração têm várias categorias de status:

  • Um tipo de Status que requer atenção fica sublinhado. Passe o mouse sobre o status para ver detalhes adicionais, caso estejam disponíveis.

  • Um status de validação será exibido se Restaurar a validação do teste tiver sido iniciado no teste (não disponível no console).

  • O status da exclusão indica o status dos dados gerados por um teste de restauração. Há três status de exclusão possíveis: Bem-sucedida, Excluindo e Com falha.

    Se a exclusão de um trabalho de testes de restauração falhar, você precisará remover o recurso manualmente, pois o fluxo de testes de restauração não pôde concluí-lo automaticamente. Muitas vezes, uma falha na exclusão será acionada se a etiqueta awsbackup-restore-test for removida do recurso.

AWS CLI
Visualizar os trabalhos de testes de restauração existentes pela linha de comandos

Excluir um plano de testes de restauração

Console
Excluir plano de testes de restauração no console
  1. Acesse Visualizar os planos de testes de restauração existentes para ver seus planos de testes de restauração atuais.

  2. Na página de detalhes do plano de testes de restauração, exclua um plano selecionando Excluir.

  3. Depois de selecionar a opção para excluir, uma tela pop-up de confirmação aparecerá para confirmar que você deseja excluir o plano. Nessa tela, o nome do plano de testes de restauração específico será exibido em negrito. Para continuar, digite o nome exato do plano de testes com distinção entre maiúsculas e minúsculas, incluindo sublinhados, traços e pontos.

    Se a opção Excluir plano de teste de restauração não puder ser selecionada, insira novamente o nome até que ele corresponda ao nome exibido. Quando estabelecer correspondência exata, a opção de excluir o plano de testes de restauração poderá ser selecionada.

AWS CLI
Excluir plano de testes de restauração pela linha de comandos

O CLI comando DeleteRestoreTestingSelectionpode ser usado para excluir uma seleção de teste de restauração. Inclua RestoreTestingPlanName e RestoreTestingSelectionName na solicitação.

Todas as seleções de testes associadas a um plano de testes devem ser excluídas antes de excluir o plano de testes. Depois que todas as seleções de teste forem excluídas, você poderá usar a API solicitação DeleteRestoreTestingPlanpara excluir um plano de teste de restauração. Você precisa incluir RestoreTestingPlanName.

Auditar testes de restauração

Restaure as integrações de teste com o AWS Backup Audit Manager para ajudá-lo a avaliar se um recurso restaurado foi concluído dentro do tempo de restauração desejado.

Para obter mais informações, consulte o controle Tempo de restauração para recursos cumpre a meta em AWS Backup Audit Manager controls and remediation.

Cotas e parâmetros de testes de restauração

  • 100 planos de testes de restauração

  • 50 etiquetas podem ser adicionadas a cada plano de testes de restauração

  • 30 seleções por plano

  • 30 recursos protegidos ARNs por seleção

  • 30 condições de recursos protegidos por seleção (incluindo aquelas dentro de StringEquals e StringNotEquals)

  • 30 seletores de cofre por seleção

  • Máximo de dias da janela de seleção: 365 dias

  • Horas da janela de início: mín. de 1 hora, máx. de 168 horas (7 dias)

  • Comprimento máximo do nome do plano: 50 caracteres

  • Comprimento máximo do nome da seleção: 50 caracteres

Informações adicionais sobre os limites podem ser conferidas em AWS Backup cotas.

Solução de problemas de falha de teste de restauração

Se você tiver trabalhos de teste de restauração com um status de restauração deFailed, os motivos a seguir podem ajudá-lo a determinar a causa e a solução.

As mensagens de erro podem ser visualizadas no AWS Backup console na página de detalhes do status do trabalho ou usando os CLI comandos list-restore-jobs-by-protected-resource oulist-restore-jobs.

  1. Erro:

    Solução 1: atualize sua seleção de teste de restauração e substitua o parâmetroSubnetId. O AWS Backup console exibe esse parâmetro como “Sub-rede”.

    Solução 2: Recrie o padrão VPC.

    Tipos de recursos afetados: Amazon EC2

  2. Erro:

    Solução 1: atualize sua seleção de teste de restauração e substitua o parâmetro de SubnetId restauração. O AWS Backup console exibe esse parâmetro como “Sub-rede”.

    Solução 2: crie uma sub-rede padrão no padrãoVPC.

    Tipos de recursos afetados: Amazon EC2

  3. Erro:

    Solução 1: atualize sua seleção de teste de restauração e substitua o parâmetro de DBSubnetGroupName restauração. O AWS Backup console exibe esse parâmetro como Grupo de sub-rede.

    Solução 2: crie uma sub-rede padrão no padrãoVPC.

    Tipos de recursos afetados: Amazon Aurora, Amazon DocumentDB, Amazon, RDS Neptune

  4. Erro:IAM Role cannot be assumed by AWS Backup.

    Solução: A função de restauração deve ser assumida por. AWS Backup Atualize a política de confiança da função IAM para permitir que ela seja assumida "backup.amazonaws.com" ou atualize sua seleção de teste de restauração para usar uma função que seja assumida por. AWS Backup

    Tipos de recursos afetados: todos

  5. Erro: Access denied to KMS key. ou The specified AWS KMS key ARN does not exist, is not enabled or you do not have permissions to access it.

    Solução: verifique o seguinte:

    1. A função de restauração tem acesso à AWS KMS chave usada para criptografar seus backups e, se aplicável, à KMS chave usada para criptografar o recurso restaurado.

    2. As políticas de recursos nas KMS chaves acima permitem que a função de restauração as acesse.

    Se as condições acima ainda não forem atendidas, configure a função de restauração e as políticas de recursos para acesso adequado. Em seguida, execute o trabalho de teste de restauração novamente.

    Tipos de recursos afetados: todos

  6. Erros: User ARN is not authorized to perform action on resource because no identity based policy allows the action. ouAccess denied performing s3:CreateBucket on awsbackup-restore-test-xxxxxx.

    Solução: a função de restauração não tem permissões adequadas. Atualize as permissões IAM para a função de restauração.

    Tipos de recursos afetados: todos

  7. Erros: User ARN is not authorized to perform action on resource because no resource-based policy allows the action. ou User ARN is not authorized to perform action on resource with an explicit deny in a resource based policy.

    Solução: a função de restauração não tem acesso adequado ao recurso especificado na mensagem. Atualize a política de recursos no recurso mencionado.

    Tipos de recursos afetados: todos