Amazon EBS local snapshots on Outposts - Amazon EBS
常見問答集先決條件考量事項控制 IAM 的存取使用 本機快照

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon EBS local snapshots on Outposts

Amazon EBS 快照是 EBS 磁碟區的時間點複本。

預設情況下,Outposts 上 EBS 磁碟區的快照會儲存在 Outposts 區域的 Amazon S3 中。您也可以使用 Outposts 上的 Amazon EBS 本機快照 將磁碟區的快照儲存在 Outposts 本身的本機 Amazon S3 上。如此可確保快照資料存放在 Outposts 和您的內部部署。此外,您可以使用 AWS Identity and Access Management (IAM) 政策和許可來設定資料駐留強制執行政策,以確保快照資料不會離開 Outpost。如果您居住在尚未由 區域提供服務的國家或地區 AWS ,且具有資料駐留要求,則此功能特別有用。

本主題提供使用 Outposts 上的 Amazon EBS 本機快照 的相關資訊。如需 Amazon EBS 快照和在 AWS 區域中使用快照的詳細資訊,請參閱 Amazon EBS 快照

如需詳細資訊,請參閱 AWS Outposts 系列AWS Outposts 系列文件

常見問答集

1. 什麼是 本機快照?

預設情況下,Outpost 上的磁碟區 Amazon EBS 快照會儲存在Outpost 區域中的 Amazon S3。如果使用 Amazon S3 on Outposts 佈建 Outpost,您可以選擇將快照存放在 Outpost 本身的本機上。本機快照為增量改進,這表示僅儲存最近快照之後變更的磁碟區區塊。您可以隨時使用這些快照來還原與快照相同的 Outpost 上的磁碟區。如需 Amazon EBS 快照的詳細資訊,請參閱 Amazon EBS 快照

2. 為什麼要使用 本機快照?

快照是備份資料的便利方式。使用 本機快照 後,您所有的快照資料都會儲存在本機 Outpost 上。這意味著它不會離開您的內部部署。如果您居住在尚未由 區域提供服務的國家或地區, AWS 且具有居留要求,則此功能特別有用。

此外,使用 本機快照 功能有助於減少頻寬受限環境中區域與 Outpost 之間通訊所使用的頻寬。

3. 如何在 Outpost 上強制執行快照資料駐留?

您可以使用 AWS Identity and Access Management (IAM) 政策來控制主體 (AWS 帳戶、IAM 使用者和 IAM 角色) 在使用本機快照時擁有的許可,並強制執行資料駐留。您可以建立政策,防止主體從 Outpost 磁碟區和執行個體建立快照,並將快照存放在 AWS 區域中。目前,不支援將快照和影像從 Outpost 複製到區域。如需詳細資訊,請參閱 控制 IAM 的存取

4. 是否支援多磁碟區、當機一致性的 本機快照?

是的,您可以在 Outpost 上從執行個體建立多磁碟區、當機一致性的 本機快照。

5. 如何建立 本機快照?

您可以使用 AWS Command Line Interface (AWS CLI) 或 Amazon EC2 主控台手動建立快照。如需詳細資訊,請參閱 使用 本機快照。您也可以自動化使用 Amazon Data Lifecycle Manager 的 本機快照 生命週期。如需詳細資訊,請參閱 自動化 Outpost 上的快照

6. 如果我的 Outpost 失去與其區域的連線,我可以建立、使用或刪除 本機快照 嗎?

不可以。Outpost 必須與其區域建立連線,因為區域提供存取、授權、記錄和監控服務,這些服務對於快照的健康狀況至關重要。如果沒有連線,則無法建立新的 本機快照、建立磁碟區或從現 本機快照 有執行個體啟動或刪除 本機快照。

7. Amazon S3 儲存容量在刪除 本機快照 後可用的速度有多快?

Amazon S3 儲存容量在刪除本機快照及參考這些容量的磁碟區後的 72 小時內即可使用。

8. 如何確保我的 Outpost 的 Amazon S3 容量不會耗盡?

建議您使用 Amazon CloudWatch 警示來監控 Amazon S3 儲存容量,並刪除不再需要的快照和磁碟區,以避免儲存容量不足。如果您使用 Amazon Data Lifecycle Manager 自動化本機快照的生命週期,請確保快照保留政策不會保留快照超過所需的時間。

9. 如果我用光了 Outposts 上的本機 Amazon S3 容量,會發生什麼情況?

如果您用光了 Outposts 上的本機 Amazon S3 容量,Amazon Data Lifecycle Manager 將無法在 Outposts 上成功建立本機快照。Amazon Data Lifecycle Manager 會嘗試在 Outposts 上建立本機快照,但是這些快照會立即轉移到 error 狀態,並且 Amazon Data Lifecycle Manager 最終會刪除它們。建議您使用 SnapshotsCreateFailed Amazon CloudWatch 指標,監控快照生命週期政策,以防快照建立失敗。如需詳細資訊,請參閱 使用 CloudWatch 監控 Data Lifecycle Manager 政策

10. 我可以利用 本機快照 和 本機快照 支援的 AMI 來使用 Spot 執行個體和 Spot 叢集嗎?

否,您無法使用 本機快照 或 本機快照 支援的 AMI 來啟動 Spot 執行個體或 Spot 叢集。

11. 我可以利用 本機快照 與 本機快照 支援的 AMI 來使用 Amazon EC2 Auto Scaling 嗎?

是,您可以使用 本機快照 和 本機快照 支援的 AMI,在與快照位於相同的 Outpost 在的子網中啟動 Auto Scaling 群組。Amazon EC2 Auto Scaling 群組服務連結角色必須具有使用用來加密快照的 KMS 金鑰的許可。

您無法使用本機快照或本機快照支援的 AMIs,在 AWS 區域中啟動 Auto Scaling 群組。

先決條件

若要將快照儲存在 Outpost 上,您必須在 Outpost 上使用 Amazon S3 佈建的 Outpost。如需 Amazon S3 on Outposts 的詳細資訊,請參閱《Amazon S3 on Outposts 使用者指南》中的 Amazon S3 on Outposts

考量事項

使用本機快照時請記住下列事項。

  • Outpost 必須有與其 AWS 區域的連線,才能使用本機快照。

  • 快照中繼資料會存放在與 Outpost 相關聯的 AWS 區域中。這不包括任何快照資料。

  • 預設情況下,儲存在 Outpost 的快照會加密。不支援未加密的快照。在 Outpost 上建立的快照和複製到 Outpost 的快照,會使用該區域的預設 KMS 金鑰 或您在提出要求時指定的不同 KMS 金鑰 加密。

  • 當您從 本機快照 在 Outpost 上建立磁碟區時,您無法使用不同的 KMS 金鑰 重新加密磁碟區。從本機快照建立的磁碟區必須使用與來源快照相同的 KMS 金鑰加密。

  • 本機快照 從 Outpost 刪除後,已刪除快照所使用的 Amazon S3 儲存容量將可在 72 小時內使用。如需詳細資訊,請參閱 刪除 本機快照

  • 您無法從 Outpost 匯出 本機快照。

  • 您無法啟用 本機快照 的快速快照還原。

  • EBS 直接 API 不支援 本機快照。

  • 您無法將本機快照或 AMIs 從 Outpost 複製到 AWS 區域、從一個 Outpost 複製到另一個區域,或在 Outpost 內複製。但是,您可以將快照從 AWS 區域複製到 Outpost。如需詳細資訊,請參閱將快照從 AWS 區域複製到 Outpost

  • 將快照從 AWS 區域複製到 Outpost 時,資料會透過服務連結傳輸。同時複製多個快照可能會影響 Outpost 上執行的其他服務。

  • 您不能共享 本機快照。

  • 您必須使用 IAM 政策來確保符合您的資料駐留需求。如需詳細資訊,請參閱 控制 IAM 的存取

  • 本機快照 是增量備份。僅儲存最近快照後,磁碟區中已變更的區塊。每一個 本機快照 均包含將 (快照取得時的) 資料還原至新的 EBS 磁碟區所需的所有資訊。如需詳細資訊,請參閱 Amazon EBS 快照的運作方式

  • 您無法使用 IAM 政策來強制執行 CopySnapshotCopyImage 動作的資料駐留。

控制 IAM 的存取

您可以使用 AWS Identity and Access Management (IAM) 政策來控制主體 (AWS 帳戶、IAM 使用者和 IAM 角色) 在使用本機快照時擁有的許可。以下是您可以用來授與或拒絕執行 本機快照 特定動作的權限的範例政策。

重要

目前不支援將快照和影像從 Outpost 複製到區域。因此,您目前無法使用 IAM 政策來強制執行 CopySnapshotCopyImage 動作的資料駐留。

強制執行快照的資料駐留

下列範例政策可防止所有主體從 Outpost 上的磁碟區和執行個體建立快照,arn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef並將快照資料儲存在 AWS 區域中。主體仍然可以建立 本機快照。這項政策可確保所有快照都保留在 Outpost 上。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots"
            ],
            "Resource": "arn:aws:ec2:us-east-1::snapshot/*",
            "Condition": {
                "StringEquals": {
                    "ec2:SourceOutpostArn": "arn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef0"
                },
                "Null": {
                    "ec2:OutpostArn": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots"
            ],
            "Resource": "*"
        }
    ]
}

防止主體刪除 本機快照

下列範例政策可防止所有主體刪除儲存在 Outpost arn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef0 的本機快照。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ec2:DeleteSnapshot"
            ],
            "Resource": "arn:aws:ec2:us-east-1::snapshot/*",
            "Condition": {
                "StringEquals": {
                    "ec2:OutpostArn": "arn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef0"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteSnapshot"
            ],
            "Resource": "*"
        }
    ]
}

使用 本機快照

以下各節說明如何使用 本機快照。

儲存快照的規則

下列規則適用於快照儲存區:

  • 如果磁碟區的最新快照儲存在 Outpost 上,則所有後續的快照都必須儲存在同一個 Outpost 上。

  • 如果磁碟區的最新快照存放在 AWS 區域中,則所有連續快照都必須存放在相同的 區域中。若要從該磁碟區開始建立 本機快照,請執行下列動作:

    1. 在 AWS 區域中建立磁碟區的快照。

    2. 從 AWS 區域將快照複製到 Outpost。

    3. 從 本機快照 建立新磁碟區。

    4. 將磁碟區連接到前 Outpost 上的執行個體。

    對於 Outpost 上的新磁碟區,下一個快照可以儲存在 Outpost 或 AWS 區域中。所有後續快照都必須儲存在相同的位置。

  • 本機快照,包括在 Outpost 上建立的快照和從 AWS 區域複製到 Outpost 的快照,只能用於在相同的 Outpost 上建立磁碟區。

  • 如果您從區域的快照在 Outpost 上建立磁碟區,則該新磁碟區的所有後續快照都必須位於相同的區域。

  • 如果您從 本機快照 在 Outpost 上建立磁碟區,則該新磁碟區的所有後續快照都必須位於同一個 Outpost 上。

本機快照從 Outpost 的磁碟區建立

您可以從 Outpost 的磁碟區建立 本機快照。您可以選擇將快照儲存在與來源磁碟區相同的 Outpost,或是將快照儲存在 Outpost 的區域中。

本機快照只能用於在同一個 Outpost 上建立磁碟區。

如需詳細資訊,請參閱 建立 Amazon EBS 快照

從 本機快照 中建立 AMI

您可以使用儲存在 Outpost 區域中的 本機快照 和快照組合來建立 Amazon Machine Image (AMI)。例如,如果您在 us-east-1 中有一個 Outpost,您可以建立一個 AMI,其中包含該 Outpost 本機快照 支援的資料磁碟區,以及由 us-east-1 區域中的快照支援的根磁碟區。

注意

  • 您無法建立包含儲存在多個 Outpost 之間的備份快照的 AMI。

  • 您目前無法使用 CreateImage API 或 Outpost 啟用的 Amazon EC2 主控台,直接從 Outpost Amazon S3 上的執行個體建立 AMI。

  • 本機快照 支援的 AMI 只能用於在同一個 Outpost 上啟動執行個體。

從區域中的快照在 Outpost 上建立 AMI

  1. 將快照從區域複製到 Outpost。如需詳細資訊,請參閱 將快照從 AWS 區域複製到 Outpost

  2. 使用 Amazon EC2 主控台或 register-image 指令以利用 Outpost 上的快照複本建立 AMI。如需詳細資訊,請參閱 Creating an AMI from a snapshot (從快照建立 AMI)

從 Outpost 上的執行個體在 Outpost 上建立 AMI

  1. 從 Outpost 上的執行個體建立快照,並將快照儲存在 Outpost 上。如需詳細資訊,請參閱建立 Amazon EBS 快照

  2. 使用 Amazon EC2 主控台或 register-image 指令來使用 本機快照 建立 AMI。如需詳細資訊,請參閱 Creating an AMI from a snapshot (從快照建立 AMI)

從 Outpost 上的執行個體在區域中建立 AMI

  1. 從 Outpost 上的執行個體建立快照,並將快照儲存在區域中。如需詳細資訊,請參閱本機快照從 Outpost 的磁碟區建立建立 Amazon EBS 快照

  2. 使用 Amazon EC2 主控台或 register-image 指令,使用區域中的快照複本建立 AMI。如需詳細資訊,請參閱 Creating an AMI from a snapshot (從快照建立 AMI)

將快照從 AWS 區域複製到 Outpost

您可以將快照從 AWS 區域複製到 Outpost。只有在快照位於 Outpost 的區域時,您才能執行此動作。如果快照位於不同的區域,您必須先將快照複製到 Outpost 的區域,然後將它從該區域複製到 Outpost。

注意

您不能從 Outpost 複製 本機快照 到某個區域、從一個 Outpost 複製到另一個 Outpost,或在同一個 Outpost 內。

如需詳細資訊,請參閱複製 Amazon EBS 快照

將 AMIs 從 AWS 區域複製到 Outpost

您可以將 AMIs 從 AWS 區域複製到 Outpost。當您將 AMI 從某個區域複製到 Outpost 時,與 AMI 相關聯的所有快照都會從該區域複製到 Outpost。

只有在與 AMI 相關聯的快照位於 Outpost 的區域時,您才能將 AMI 從某個區域複製到 Outpost。如果快照位於不同的區域,您必須先將 AMI 複製到 Outpost 的區域,然後將它從該區域複製到 Outpost。

注意

您無法將 AMI 從 Outpost 複製到某個區域、從一個 Outpost 複製到另一個 Outpost,或在 Outpost 內。

您只能使用 copy-image AWS CLI 命令,將 AMIs 從區域複製到 Outpost。

從 本機快照 建立磁碟區

您可以從 本機快照 Outpost 上建立磁碟區。磁碟區必須由與來源快照相同的 Outpost 所建立。您無法使用 本機快照 在 Outpost 的區域中建立磁碟區。

當您從 本機快照 建立磁碟區時,您無法使用不同的 KMS 金鑰 重新加密磁碟區。從本機快照建立的磁碟區必須使用與來源快照相同的 KMS 金鑰加密。

如需詳細資訊,請參閱建立 Amazon EBS 磁碟區

受 本機快照 支援的 AMI 啟動執行個體

您可以從受 本機快照 支援的 AMI 啟動執行個體。您必須在與來源 AMI 相同的 Outpost 上啟動執行個體。如需詳細資訊,請參閱 AWS Outposts 使用者指南 中的在 Outpost 上啟動執行個體

刪除 本機快照

您可以從 Outpost 刪除 本機快照。從 Outpost 刪除快照後,刪除快照所使用的 Amazon S3 儲存容量在刪除快照和參考該快照的磁碟區後 72 小時內即可使用。

由於 Amazon S3 儲存容量不會立即可用,因此建議您使用 Amazon CloudWatch 警示來監控 Amazon S3 儲存容量。刪除不再需要的快照和磁碟區,以避免儲存容量不足。

如需升級快照的詳細資訊,請參閱 刪除快照

自動化 Outpost 上的快照

您可以建立 Amazon Data Lifecycle Manager 快照生命週期政策,以便在 Outpost 上自動建立、複製、保留和刪除磁碟區和執行個體的快照。您可以選擇是否要將快照儲存在區域中,還是將快照儲存在本機 Outpost 上。此外,您可以將在 AWS 區域中建立和存放的快照自動複製到 Outpost。

下表提供支援功能的概觀。

資源位置 快照目的地 跨區域複製 快速快照還原 跨帳戶共享
前往區域 前往 Outpost
Region Region
Outpost Region
Outpost Outpost
考量事項

  • 目前僅支援 Amazon EBS 快照生命週期政策。不支援 EBS 支援的 AMI 政策和跨帳戶共享活動政策。

  • 如果政策管理區域中磁碟區或執行個體的快照,則會在與來源資源相同的區域中建立快照。

  • 如果政策管理 Outpost 上磁碟區或執行個體的快照,則可以在來源 Outpost 或該 Outpost 的區域中建立快照。

  • 單一政策無法同時管理區域中的快照和 Outpost 上的快照。如果您需要在區域和 Outpost 上自動化快照,您必須建立個別的政策。

  • 在 Outpost 上建立的快照或複製到 Outpost 的快照不支援快速快照還原。

  • 在 Outpost 上建立的快照不支援跨帳戶共享。

如需有關建立管理快照生命週期的詳細資訊 本機快照,請參閱 Automating snapshot lifecycles (自動化快照生命週期)