Amazon EC2 AMI 副本如何工作 - Amazon Elastic Compute Cloud
跨區域複製跨帳戶複製加密和複製

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon EC2 AMI 副本如何工作

複製源代碼AMI會產生相同但不同AMI的新內容,我們也稱之為目標AMI。目標AMI有自己的唯一 AMI ID。您可以變更或取消註冊來源,而不會AMI對目標AMI造成任何影響。反之亦然。

使用 EBS-backed 時AMI,其每個支援快照都會複製到相同但不同的目標快照。如果您將一個複製AMI到新區域,則快照是完整的(非增量)副本。如果您加密未加密的備份快照或將其加密為新KMS金鑰,則快照會是完整 (非增量) 複本。後續的複製作業會AMI產生支援快照的增量複本。

跨區域複製

AMI跨地理位置不同的區域複製具有以下好處:

  • 一致的全球部署:將一個AMI區域複製到另一個區域可讓您根據相同區域在不同區域中啟動一致的執行個體AMI。

  • 擴展能力:無論使用者的位置,設計並建置滿足全球使用者需求的應用程式將變得更輕鬆。

  • 效能:您可分散應用程式,並將應用程式的重要元件放置於靠近使用者的位置,藉此增加效能。您也可以利用特定區域的功能,例如執行個體類型或其他 AWS 服務。

  • 高可用性:您可跨 AWS 區域設計並部署應用程式,增加可用性。

下圖顯示來源AMI與AMIs在不同「區域」中複製的兩個來源之間的關係,以及從每個區域啟動的EC2執行環境。當您從執行個體啟動時AMI,它會位於該執行個體所在的相同區域中AMI。如果您對來源進行變更,AMI並希望這些變更反映AMIs在目標區域中,則必須將來源重新複製AMI到目標區域。

AMIs複製到不同區域

當您第一次將執行個體存放區備份AMI到某個區域時,我們會為AMIs複製到該區域的 Amazon S3 儲存貯體建立一個 Amazon S3 儲存貯體。您複製到AMIs該區域的所有執行個體商店支援,都會儲存在此值區中。值區名稱的格式如下:amis-for-account-在-region-hash。 例如:amis-for-123456789012-in-us-east-2-yhjmxvp6.

先決條件

在複製之前AMI,您必須確保來源AMI的內容已更新,以支援在不同區域中執行。例如,您應更新資料庫連線字串或類似的應用程式組態資料,以指向適當的資源。否則,從目的地區域AMI中的新執行個體啟動的執行個體仍可能會使用來源區域的資源,這可能會影響效能和成本。

限制

  • 目的地區域限制為 100 個並行AMI複本。

  • 您無法將半虛擬 (PV) 複製AMI到不支援 PV AMIs 的區域。如需詳細資訊,請參閱虛擬化類型

跨帳戶複製

如果AMI來自另一 AWS 帳戶 個與您的共用 AWS 帳戶,您可以複製共用AMI。這稱為跨帳戶複製。與AMI您共享的是來源AMI。當您複製來源時AMI,您會建立新的來源AMI。新的AMI通常稱為目標AMI。

AMI成本

  • 如果是共用帳戶AMI,AMI則會向該共用帳戶收取該區域中的儲存空間費用。

  • 如果您複製與帳AMI戶共用的帳戶,您就是帳戶AMI中目標的擁有者。

    • 來源AMI所有者需支付標準的 Amazon EBS 或 Amazon S3 傳輸費。

    • 您需支付目標AMI在目的地區域中儲存的費用。

資源許可

若要從另一個帳戶複製與您共用的帳戶,來源的擁有者AMI必須授與您備份的儲存區的讀取權限AMI。AMI儲存可以是關聯的EBS快照 (針對 Amazon EBS 支援AMI) 或關聯的 S3 儲存貯體 (針對執行個體存放AMI區支援)。如果共用AMI具有加密快照,則擁有者也必須與您共用金鑰。如需授予資源許可的詳細資訊,對於EBS快照,請參閱 Amazon EBS使用者指南中的共用 Amazon EBS照,對於 S3 儲存貯體,請參閱 Amazon 簡單儲存服務使用者指南中的 Amazon S3 中的身分和存取管理

注意

附加至來源的標記不AMI會跨帳戶複製到目標AMI。

加密和複製

下表顯示各種AMI複製案例的加密支援。雖然您可將未加密快照複製為加密快照,但是無法將加密快照複製為未加密快照。

案例 描述 支援
1 U nencrypted-to-unencrypted
2 E ncrypted-to-encrypted
3 U nencrypted-to-encrypted
4 E ncrypted-to-unencrypted
注意

CopyImage動作期間的加密僅適用於支援 Amazon EBS 的功能。AMIs由於存放區備份的執行個體AMI不依賴快照,因此您無法使用複製來變更其加密狀態。

根據預設 (亦即,未指定加密參數),系統會以其原始加密狀態複製的後備快照。AMI複製未加密快照AMI支援的結果會產生相同的目標快照,也未加密。如果來源AMI是由加密的快照所支援,則複製後會產生相同的目標快照,並以相同的 AWS KMS 金鑰加密。依預設,複製多個快照AMI支援的來源加密狀態會保留每個目標快照中的來源加密狀態。

如果您在複製時指定加密參數AMI,則可以加密或重新加密其後備快照。下列範例顯示非預設案例,該案例會為CopyImage動作提供加密參數,以變更目標AMI的加密狀態。

將未加密的來源複製AMI到加密的目標 AMI

在這個案例中,會將未加密的根快照所AMI支援的根快照複製到AMI具有加密根快照的。透過兩個加密參數叫用 CopyImage 動作,包括客戶受管金鑰。因此,根快照的加密狀態會變更,因此目標AMI由包含與來源快照相同資料的根快照進行支援,但使用指定的金鑰加密。您會產生兩種快照的儲存成本AMIs,以及從其中一個啟動的任何執行個體的費用AMI。

注意

依預設啟用加密與將true中所有快照的Encrypted參數設定為的效果相同AMI。

即時複製AMI和加密快照

設定 Encrypted 參數會加密此執行個體的單一快照。若您未指定 KmsKeyId 參數,則會使用預設的客戶受管金鑰來加密快照複本。

如需AMIs使用加密快照進行複製的詳細資訊,請參閱對 EBS 後端 AMI 使用加密