使用 AMIs和 EBS快照建立EBS磁碟區備份 - AWS 規範指引
準備EBS磁碟區從主控台建立快照建立 AMIsAmazon Data Lifecycle ManagerAWS Backup多磁碟區備份保護備份封存快照自動化快照和AMI建立

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AMIs和 EBS快照建立EBS磁碟區備份

AWS 提供建立和管理 AMIs和 快照的豐富選項。您可以使用符合您需求的方法。許多客戶面臨的常見問題是管理快照生命週期,並依用途、保留政策等明確對齊快照。如果沒有適當的標記,快照可能會意外刪除,或作為自動清除程序的一部分。您最終可能要為保留的過時快照付費,因為沒有明確了解是否仍然需要這些快照。

在建立快照或 之前準備EBS磁碟區 AMI

在您拍攝快照或建立 之前AMI,請先為您的EBS磁碟區進行必要的準備。為每個連接至執行個體的EBS磁碟區建立新的快照AMI,因此這些準備也適用於 AMIs。

您可以拍攝已開機EC2執行個體正在使用的連接EBS磁碟區的快照。不過,快照只會擷取發出快照命令時寫入磁碟EBS區的資料。這可能會排除應用程式或作業系統快取的任何資料。最佳實務是讓系統處於未執行任何 I/O 的狀態。 理想情況下,機器不接受流量且處於停止狀態,但由於 24/7 IT 操作成為常態,這種情況很少見。如果您可以將任何資料從系統記憶體排清到應用程式正在使用的磁碟,並暫停任何寫入磁碟區的檔案,以便拍攝快照,則快照應已完成。

若要進行乾淨的備份,您必須查詢資料庫或檔案系統。這樣做的方式取決於資料庫或檔案系統。

資料庫的程序如下:

  1. 如果可能,請將資料庫置於熱備份模式。

  2. 執行 Amazon EBS快照命令。

  3. 將資料庫從熱備份模式中移除,或者,如果使用僅供讀取複本,則終止僅供讀取複本執行個體。

檔案系統的程序類似,但取決於作業系統或檔案系統的功能。例如, XFS 是一種檔案系統,可以排清其資料,以取得一致的備份。如需詳細資訊,請參閱 xfs_freeze 。或者,您可以使用支援凍結 I/O 的邏輯磁碟區管理員來促進此程序。

不過,如果您無法排清或暫停磁碟區的所有檔案寫入,請執行下列動作:

  1. 從作業系統卸載磁碟區。

  2. 發出快照命令。

  3. 重新掛載磁碟區以實現一致且完整的快照。您可以在快照狀態擱置時重新掛載和使用磁碟區。

快照程序會在背景繼續,快照建立速度很快,並擷取時間點。您備份的磁碟區只會卸載幾秒鐘。您可以排程小型備份時段,其中預期會中斷,並由用戶端妥善處理。

當您為用作根裝置的EBS磁碟區建立快照時,請在擷取快照之前停止執行個體。Windows 提供磁碟區影子複製服務 (VSS),以協助建立應用程式一致性快照。 AWS 提供 Systems Manager 文件,您可以執行該文件以擷取 VSS感知應用程式的影像層級備份。快照包括來自這些應用程式和磁碟之間擱置中交易的資料。備份所有連接的磁碟區時,您不需要關閉執行個體或中斷連線。如需詳細資訊,請參閱 AWS 文件

注意

如果您要建立 Windows AMI以便部署其他類似的執行個體,請使用 EC2Config或 EC2LaunchSysprep 執行個體。然後從已停止AMI的執行個體建立 。Sysprep 從 Amazon EC2 Windows 執行個體中移除唯一資訊,包括 SIDs、電腦名稱和驅動程式。重複SIDs可能會導致 Active Directory、Windows Server Update Services (WSUS)、登入問題、Windows 磁碟區金鑰啟用、Microsoft Office 和第三方產品的問題。如果您的 AMI 是用於備份目的,且您想要還原具有完整所有唯一資訊的相同執行個體,請勿將 Sysprep 與執行個體搭配使用。

從主控台手動建立EBS磁碟區快照

在對執行個體進行任何尚未完全測試的主要變更之前,請先建立適當磁碟區或整個執行個體的快照。例如,您可能想要在升級或修補執行個體上的應用程式或系統軟體之前建立快照。

您可以從主控台手動建立快照。在 Amazon EC2主控台的彈性區塊存放磁碟區頁面上,選取您要備份的磁碟區。然後在動作功能表中,選擇建立快照 。您可以在篩選條件方塊中輸入執行個體 ID,以搜尋連接至特定執行個體的磁碟區。

輸入描述並新增適當的標籤。新增Name標籤,以便稍後更容易找到磁碟區。根據您的標記策略新增任何其他適當的標籤。

建立 AMIs

AMI 提供啟動執行個體所需的資訊。AMI 包括根磁碟區和建立映像時連接至執行個體的EBS磁碟區快照。您無法單獨從EBS快照啟動新的執行個體;您必須從 啟動新的執行個體AMI。

當您建立 時AMI,它會在您使用的帳戶和區域中建立。AMI 建立程序會為每個連接至執行個體的磁碟區建立 Amazon EBS快照,而 AMI會參考這些 Amazon EBS快照。這些快照位於 Amazon S3 中,非常耐用。

建立EC2執行個體AMI的 後,您可以使用 AMI重新建立執行個體或啟動更多執行個體複本。您也可以AMIs從一個區域複製到另一個區域,以進行應用程式遷移或 DR。

啟動執行個體、建立映像,然後將映像啟動至執行個體,以及建立映像複本的流程圖。

除非您將虛擬機器等VMWARE虛擬機器遷移至 ,否則AMI必須從EC2執行個體建立 AWS。若要AMI從 Amazon EC2主控台建立 ,請選取執行個體、選擇動作 、選擇映像 ,然後選擇建立映像

Amazon Data Lifecycle Manager

若要自動建立、保留和刪除 Amazon EBS快照,您可以使用 Amazon Data Lifecycle Manager 。自動化快照管理可協助您執行下列動作:

  • 強制執行定期備份排程來保護重要資料。

  • 依稽核人員或內部合規的要求來保留備份。

  • 刪除過時的備份以降低儲存成本。

使用 Amazon Data Lifecycle Manager,您可以自動化EC2執行個體 (及其連接的EBS磁碟區) 或個別磁碟EBS區的快照管理程序。它支援跨區域複製等選項,因此您可以將快照自動複製到其他 AWS 區域。將快照複製到替代區域是支援替代區域中 DR 工作和還原選項的一種方法。您也可以使用 Amazon Data Lifecycle Manager 建立支援快速快照還原的快照生命週期政策。

Amazon Data Lifecycle Manager 是 Amazon EC2和 Amazon 的隨附功能EBS。Amazon Data Lifecycle Manager 不收取任何費用。

AWS Backup

AWS Backup 是 Amazon Data Lifecycle Manager 獨有的,因為您可以建立備份計劃,其中包含跨多個 AWS 服務的資源。您可以協調備份,以涵蓋您同時使用的資源,而不是個別協調資源的備份。

AWS Backup 也包含備份保存庫的概念,這可以限制對已完成備份的復原點的存取。還原操作可以從 開始, AWS Backup 而不是繼續每個資源,並還原建立的備份。 AWS Backup 也包含許多其他功能,例如稽核管理和報告。如需詳細資訊,請參閱本指南的 使用 Backup 和恢復AWS Backup 一節。

執行多磁碟區備份

如果您想要使用快照備份RAID陣列中EBS磁碟區上的資料,則快照必須一致。因為這些磁碟區的快照是個別建立的。從不同步的快照還原RAID陣列中的EBS磁碟區會降低陣列的完整性。

若要為您的RAID陣列建立一致的快照集,請使用 CreateSnapshotsAPI操作,或登入 Amazon EC2主控台,然後選擇彈性區塊存放區 快照 建立快照

建立快照畫面,用於建立多個磁碟區快照。

RAID 組態中連接多個磁碟區的執行個體快照會統稱為多磁碟區快照。多磁碟區快照可在連接至EC2執行個體的多個磁碟EBS區中提供 point-in-time、資料協調和損毀一致性快照。您不需要停止執行個體在磁碟區之間進行協調,即可達到一致性,因為快照會自動跨多個EBS磁碟區擷取。磁碟區的快照啟動後 (通常一到兩個),檔案系統可以繼續其操作。

建立快照後,每個快照視為個別快照。您可以執行所有快照操作,例如還原、刪除,以及跨區域和帳戶複本,就像使用單一磁碟區快照一樣。您也可以像單一磁碟區快照一樣標記多磁碟區快照。我們建議您標記多磁碟區快照,以便在還原、複製或保留期間進行集體管理。如需詳細資訊,請參閱 AWS 文件

您也可以從邏輯磁碟區管理員或檔案系統層級備份執行這些備份。在這些情況下,使用傳統備份代理程式可讓資料透過網路進行備份。網際網路和 提供許多代理程式型備份解決方案AWS Marketplace

另一種方法是建立存在於單一大型磁碟區的主要系統磁碟區的複本。這可簡化備份程序,因為只需要備份一個大磁碟區,而且備份不會發生在主要系統上。不過,請先判斷單一磁碟區在備份期間是否可以充分執行,以及最大磁碟區大小是否適合應用程式。

保護您的 Amazon EC2 備份

請務必考量備份的安全性,並防止意外或惡意刪除備份。您可以共同使用多種方法來完成此操作。為了防止因安全漏洞而遺失重要備份,建議您將備份複製到另一個 AWS 帳戶。如果您有多個AWS帳戶,您可以將個別帳戶指定為封存帳戶,讓所有其他帳戶可以複製備份。例如,您可以使用 中的跨帳戶備份 AWS Backup來完成此操作。

您的災難復原計劃也可能要求您能夠在發生區域故障時,在另一個AWS區域中重現EC2執行個體。您可以透過將備份複製到相同帳戶中的另一個區域來支援此目標。這可提供額外一層的意外刪除保護,並支援災難復原 (DR) 目標。AWS 備份支援跨區域備份

考慮封鎖 ec2:DeleteSnapshotec2:DeregisterImage 動作的IAM許可。相反地,您可以讓保留政策和方法管理EBS快照和 Amazon EC2 的生命週期AMIs。封鎖刪除動作是為EBS快照實作一次寫入、多讀 (WORM) 策略的一種方法。您也可以使用 AWS Backup Vault Lock ,它支援EBS快照和其他 AWS 資源。

此外,請考慮封鎖 ec2:ModifyImageAttribute AMIs和 ec2:ModifySnapshotAttribute IAM動作,以封鎖使用者共用 和EBS快照的能力。這將防止您的 AMIs和快照與組織外部 AWS 的帳戶共用。如果您使用的是 AWS Backup,請限制使用者在備份保存庫上執行類似的操作。如需詳細資訊,請參閱本指南的 使用 Backup 和恢復AWS Backup 一節。

Amazon EC2包含資源回收筒功能,可協助您還原意外刪除的EBS快照。如果您允許使用者刪除快照,請開啟此功能,以便不會永久刪除所需的快照。使用者在刪除多個快照時應特別小心,因為 Amazon EC2主控台可讓您一次選取多個快照並刪除它們。此外,使用清除指令碼和自動化時請小心,以免意外刪除您需要的快照。資源回收筒功能有助於提供這類情況的保護。

封存EBS快照

封存EBS快照可以是經濟實惠的方法,可讓您保留磁碟區複本以供參考,但 90 天或更久不打算還原。在永久刪除EBS磁碟區的所有相關快照之前,這可能是一個良好的中繼步驟。例如,您可以考慮將快照封存為 end-of-lifecycle不再使用的EBS磁碟區的步驟。封存而不是刪除也可以是更符合成本效益的刪除保留方法,而不是使用資源回收筒。

使用 Systems Manager、 和 自動化快照 AWS CLI和AMI建立 AWS SDKs

您的備份方法可能需要快照或 AMI 建立前後的操作。例如,您可能需要停止和啟動 服務才能查詢檔案系統。或者,您可能需要在AMI建立期間停止和啟動執行個體。您可能還需要在架構中共同建立多個元件的備份,每個元件都有自己的建立前和建立後步驟。

您可以透過自動化程序並驗證備份程序是否一致套用,來縮短備份的維護時段時間。若要自動化自訂建立前和建立後操作,請使用 AWS CLI 和 編寫備份程序的指令碼SDK。

您可以在 Systems Manager 執行手冊中定義自動化,該手冊可隨需執行或在 Systems Manager 維護時段期間執行。您可以授予使用者執行 Systems Manager Runbook 的存取權,而不需要授予 Amazon EC2 破壞性命令的許可。這也可以協助您驗證使用者是否一致套用備份程序和標籤。您可以使用 AWS和CreateSnapshot AWSCreateImage執行手冊來建立快照和 AMIs,也可以授予其他使用者使用它們的許可。Systems Manager 也包含 AWS和UpdateLinuxAmi AWSUpdateWindowsAmi執行手冊,以自動化AMI修補和AMI建立。

您也可以使用 AWS CLI 和 AWS Tools for Windows PowerShell 來自動化快照和AMI建立程序。您可以使用 aws ec2 create-snapshot AWS CLI 命令,在自動化中建立EBS磁碟區的快照。您可以使用 aws ec2 create-snapshots 命令來建立連接到EC2執行個體之所有磁碟區的損毀一致性同步快照。

您可以使用 AWS CLI建立新的 AMIs。您可以使用 aws ec2 register-image 命令來為您的EC2執行個體建立新的映像。若要自動關閉、建立映像和重新啟動執行個體,請將此命令與 aws ec2 停止執行個體aws ec2 啟動執行個體命令結合。