Creación de copias de seguridad de volúmenes de EBS con AMI e instantáneas de EBS - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de copias de seguridad de volúmenes de EBS con AMI e instantáneas de EBS

AWS ofrece una amplia variedad de opciones para crear y administrar AMI e instantáneas. Puede utilizar el enfoque que se ajuste a sus necesidades. Un problema común al que se enfrentan muchos clientes es administrar el ciclo de vida de las instantáneas y alinearlas claramente según el propósito, la política de retención, etc. Sin el etiquetado adecuado, existe el riesgo de que las instantáneas se eliminen accidentalmente o como parte de un proceso de limpieza automatizado. También es posible que acabe pagando por las instantáneas obsoletas que se conservan, porque no se sabe con claridad si siguen siendo necesarias.

Preparación de un volumen de EBS antes de crear una instantánea o una AMI

Antes de tomar una instantánea o crear una AMI, realice los preparativos necesarios para el volumen de EBS. La creación de una AMI da como resultado una nueva instantánea para cada volumen de EBS adjunto a la instancia, por lo que estos preparativos también se aplican a las AMI.

Puede tomar una instantánea de un volumen EBS adjunto que esté siendo utilizado por una instancia EC2 encendida. Sin embargo, las instantáneas solo capturan los datos que se han escrito en el volumen de su EBS en el momento que se lanza el comando snapshot. Esto puede excluir los datos que las aplicaciones o el sistema operativo hayan guardado en la memoria caché. La mejor práctica es tener el sistema en un estado en el que no se realicen operaciones de E/S. Lo ideal es que la máquina no acepte tráfico y se encuentre parada, pero esto es poco frecuente, ya que las operaciones de TI ininterrumpidas se han convertido en la norma. Si puede vaciar cualquier dato de la memoria del sistema en el disco utilizado por las aplicaciones y detener la escritura de archivos en el volumen el tiempo suficiente para realizar una instantánea, la instantánea debería estar completa.

Para realizar una copia de seguridad limpia, debe poner en reposo la base de datos o el sistema de archivos. La forma de hacerlo depende de la base de datos o del sistema de archivos.

El proceso para crear una base de datos de es el siguiente:

  1. Si es posible, ponga la base de datos en modo de copia de seguridad activa.

  2. Ejecute los comandos de instantáneas de Amazon EBS.

  3. Saque la base de datos del modo de copia de seguridad activa o, si utiliza una réplica de lectura, finalice la instancia de réplica de lectura.

El proceso de un sistema de archivos es similar, pero depende de las capacidades del sistema operativo o del sistema de archivos. Por ejemplo, XFS es un sistema de archivos que puede vaciar sus datos para obtener una copia de seguridad coherente. Para obtener más información, consulte xfs_freeze. Como alternativa, puede facilitar este proceso mediante el uso de un administrador de volúmenes lógico que permita congelar las E/S.

Sin embargo, si no puede vaciar o pausar todas las escrituras de archivos en el volumen, haga lo siguiente:

  1. Desconectar el volumen del sistema operativo.

  2. Ejecute el comando de instantánea.

  3. Vuelva a montar el volumen para obtener una instantánea completa y coherente. Puede volver a montar y usar el volumen mientras el estado de la instantánea esté pendiente.

El proceso de la instantánea continúa en segundo plano y la creación de instantáneas es rápida y captura un punto en el tiempo. Los volúmenes de los que está haciendo copias de seguridad se desmontan solo en cuestión de segundos. Puede programar una pequeña ventana de copia de seguridad en la que se espere que se produzca una interrupción y los clientes la gestionen sin problemas.

Al crear una instantánea para un volumen de EBS que actúa como dispositivo raíz, debe parar la instancia antes de tomar la instantánea. Windows proporciona el servicio Volume Shadow Copy (VSS) para ayudar a crear instantáneas coherentes con las aplicaciones. AWS proporciona un documento de Systems Manager que puede ejecutar para realizar copias de seguridad a nivel de imagen de aplicaciones compatibles con VSS. Las instantáneas incluyen datos de transacciones pendientes entre estas aplicaciones y el disco. No es necesario que apague sus instancias o las desconecte cuando respalde todos los volúmenes adjuntos. Para obtener más información, consulte la Documentación de AWS.

nota

Si va a crear una AMI de Windows para poder implementar otra instancia similar, utilice EC2Config o EC2Launch para Sysprep su instancia. Cree una AMI a partir de la instancia detenida. Sysprep elimina información exclusiva de la instancia Amazon EC2 de Windows, incluidos los SID, el nombre del equipo y los controladores. Los SID duplicados pueden provocar problemas con Active Directory, Windows Server Update Services (WSUS), problemas de inicio de sesión, activación de claves de volumen de Windows, Microsoft Office y productos de terceros. No utilice Sysprep con la instancia si la AMI sirve para realizar copias de seguridad y desea restaurar la misma instancia con toda su información exclusiva intacta.

Creación manual de instantáneas de volúmenes de EBS desde la consola

Cree instantáneas de los volúmenes correspondientes o de toda la instancia antes de realizar cambios importantes que no se hayan probado completamente en la instancia. Por ejemplo, es posible que quiera crear una instantánea antes de actualizar o parchear el software de la aplicación o del sistema de la instancia.

Puede crear una instantánea de forma manual desde la consola. En la consola de Amazon EC2, en la página Volúmenes de Elastic Block Store, seleccione el volumen del que quiere hacer una copia de seguridad. En el menú Acciones, elija Crear instantánea. Para buscar los volúmenes adjuntos a una instancia específica, introduzca el ID de la instancia en el cuadro de filtro.

Introduzca una descripción y añada las etiquetas correspondientes. Añada una etiqueta Name para que sea más fácil encontrar el volumen más adelante. Añada cualquier otra etiqueta adecuada en función de su estrategia de etiquetado.

Creación de AMI

Una AMI proporciona la información necesaria para lanzar una instancia. La AMI incluye el volumen raíz y las instantáneas de los volúmenes de EBS adjuntos a la instancia cuando se creó la imagen. No puede lanzar nuevas instancias únicamente a partir de instantáneas de EBS; debe lanzar nuevas instancias desde una AMI.

Al crear una AMI, se crea en la cuenta y la región que esté utilizando. El proceso de creación de la AMI crea instantáneas de Amazon EBS para cada volumen adjunto a la instancia, y la AMI hace referencia a estas instantáneas de Amazon EBS. Estas instantáneas se encuentran en Amazon S3 y son muy duraderas.

Después de crear una AMI de su instancia de EC2, puede utilizar la AMI para volver a crear la instancia o lanzar más copias de la instancia. También puede copiar las AMI de una región a otra para la migración de aplicaciones o la recuperación de desastres (DR).

Diagrama de procesos que muestra el lanzamiento de una instancia, la creación de una imagen y, a continuación, el lanzamiento de la imagen en la instancia y la creación de una copia de la imagen.

Se debe crear una AMI a partir de una instancia EC2, a menos que vaya a migrar una máquina virtual, como una máquina virtual VMWARE, a. AWS Para crear una AMI desde la consola Amazon EC2, seleccione la instancia, elija Acciones, elija Imagen y, a continuación, elija Crear imagen.

Amazon Data Lifecycle Manager

Puede utilizar Amazon Data Lifecycle Manager para automatizar la creación, retención y eliminación de instantáneas de EBS y las AMI respaldadas por EBS. La administración de instantáneas automatizadas le ayuda a hacer lo siguiente:

  • Proteger datos valiosos aplicando una programación periódica de copias de seguridad

  • Conservar las copias de seguridad de acuerdo con los requisitos de los auditores o las políticas internas de conformidad

  • Reducir los costos de almacenamiento al eliminar las copias de seguridad obsoletas

Con Amazon Data Lifecycle Manager, puede automatizar el proceso de administración de instantáneas para las instancias EC2 (y sus volúmenes de EBS adjuntos) o volúmenes de EBS independientes. Admite opciones como la copia entre regiones, por lo que puede copiar las instantáneas automáticamente a otras regiones. AWS Copiar instantáneas a regiones alternativas es una forma de apoyar los esfuerzos de recuperación de desastres y restaurar las opciones en una región alternativa. También puede usar Amazon Data Lifecycle Manager para crear una política de ciclo de vida de instantáneas que permita la restauración rápida de instantáneas.

Amazon Data Lifecycle Manager es una característica incluida en Amazon EC2 y Amazon EBS. El uso de Amazon Data Lifecycle Manager es gratuito.

AWS Backup

AWS Backup es exclusivo de Amazon Data Lifecycle Manager porque permite crear un plan de backup que incluya recursos de varios AWS servicios. Puede coordinar la copia de seguridad para cubrir los recursos que utiliza en conjunto, en lugar de coordinar las copias de seguridad de los recursos de forma individual.

AWS Backup también incluye el concepto de bóvedas de respaldo, que pueden restringir el acceso a los puntos de recuperación de las copias de seguridad completadas. Las operaciones de restauración se pueden iniciar desde cada recurso individual, AWS Backup en lugar de continuar con cada recurso individual y restaurar la copia de seguridad creada. AWS Backup también incluye una serie de funciones adicionales, como la gestión de auditorías y la elaboración de informes. Para obtener más información, consulte la sección Copia de seguridad y recuperación mediante AWS Backup de esta guía.

Realización de copias de seguridad de varios volúmenes

Si desea realizar una copia de seguridad de los datos de los volúmenes de EBS en una matriz de RAID utilizando instantáneas, estas deben ser coherentes. Esto se debe a que las instantáneas de estos volúmenes se crean de manera independiente. La restauración de volúmenes de EBS en una matriz de RAID a partir de instantáneas que no están sincronizadas daña la integridad de la matriz.

Para crear un conjunto coherente de instantáneas para su matriz RAID, utilice la operación de CreateSnapshotsAPI o inicie sesión en la consola Amazon EC2 y elija Elastic Block Store, Snapshots, Create Snapshot.

La pantalla Crear instantánea para crear una instantánea de varios volúmenes.

Las instantáneas de las instancias que tienen varios volúmenes conectados en una configuración RAID se toman como instantáneas de varios volúmenes, de forma colectiva. Las instantáneas de varios volúmenes proporcionan point-in-time instantáneas coordinadas por los datos y consistentes en fallos de varios volúmenes de EBS conectados a una instancia de EC2. Como las instantáneas se generan automáticamente en varios volúmenes de EBS, no tiene que detener la instancia para coordinar entre volúmenes para alcanzar la coherencia. Una vez iniciada la instantánea de los volúmenes (normalmente uno o dos segundos), el sistema de archivos puede continuar con sus operaciones.

Después de crear las instantáneas, cada una de ellas se trata como una instantánea individual. Puede realizar todas las operaciones de instantánea, como la restauración, la eliminación y la copia entre regiones y cuentas, como lo haría con una instantánea de un solo volumen. También puede etiquetar las instantáneas de varios volúmenes como lo haría con una única instantánea de volumen. Le recomendamos que etiquete sus instantáneas de varios volúmenes para gestionarlas de manera conjunta durante el proceso de restauración, copia o retención. Para obtener más información, consulte la documentación de AWS.

También puede realizar estas copias de seguridad desde un administrador de volúmenes lógico o una copia de seguridad a nivel de sistema de archivos. En estos casos, el uso de un agente de copias de seguridad tradicional permite hacer copias de seguridad de los datos a través de la red. Hay varias soluciones de copias de seguridad basadas en agentes disponibles en Internet y en el. AWS Marketplace

Un enfoque alternativo consiste en crear una réplica de los volúmenes principales del sistema que existen en un único volumen grande. Esto simplifica el proceso de copia de seguridad, ya que solo se debe realizar una copia de seguridad de un volumen grande y la copia de seguridad no se realiza en el sistema principal. Sin embargo, primero determine si el volumen individual puede funcionar lo suficiente durante la copia de seguridad y si el tamaño máximo del volumen es adecuado para la aplicación.

Proteger sus copias de seguridad de Amazon EC2

Es importante tener en cuenta la seguridad de las copias de seguridad y evitar su eliminación accidental o malintencionada. Puede utilizar varios enfoques de forma colectiva para lograrlo. Para evitar la pérdida de sus copias de seguridad críticas debido a una violación de seguridad, le recomendamos que las copie a otra cuenta. AWS Si tiene varias cuentas de AWS, puede designar una cuenta independiente como cuenta de archivo en la que todas las demás cuentas puedan copiar las copias de seguridad. Por ejemplo, puede hacerlo con una copia de seguridad multicuenta en AWS Backup.

Su plan de recuperación de desastres también puede requerir que sea capaz de reproducir instancias EC2 en otra región de AWS en caso de un fallo regional. Puede cumplir este objetivo copiando sus copias de seguridad en otra región dentro de la misma cuenta. Esto puede proporcionar un nivel adicional de protección contra la eliminación accidental y respaldar los objetivos de recuperación de desastres (DR). AWS Backup ofrece soporte para copias de seguridad entre regiones.

Considere bloquear los permisos de IAM para las acciones ec2: DeleteSnapshot y ec2:. DeregisterImage En su lugar, puede dejar que sus políticas y métodos de retención administren el ciclo de vida de las instantáneas de EBS y las AMI de Amazon EC2. Bloquear las acciones de eliminación es una forma de implementar una estrategia de escritura única y lectura múltiple (WORM) para las instantáneas de EBS. También puede usar AWS Backup Vault Lock, que proporciona soporte para instantáneas de EBS y otros recursos. AWS

Además, considere bloquear la posibilidad de que los usuarios compartan las AMI y las instantáneas de EBS bloqueando las acciones ec2: ModifyImageAttribute y ec2: IAM. ModifySnapshotAttribute Esto evitará que las AMI y las instantáneas se compartan con AWS cuentas externas a su organización. Si las utiliza AWS Backup, limite la posibilidad de que los usuarios realicen operaciones similares en los almacenes de respaldo. Para obtener más información, consulte la sección Copia de seguridad y recuperación mediante AWS Backup de esta guía.

Amazon EC2 incluye una característica de papelera de reciclaje que puede ayudarle a restaurar las instantáneas de EBS eliminadas accidentalmente. Si permite a sus usuarios eliminar las instantáneas, active esta característica para que las instantáneas necesarias no se eliminen permanentemente. Los usuarios deben tener especial cuidado al eliminar varias instantáneas, ya que la consola Amazon EC2 permite seleccionar varias instantáneas y eliminarlas en una sola operación. Además, tenga cuidado al utilizar los scripts de limpieza y la automatización para no eliminar involuntariamente las instantáneas que necesite. La característica de papelera de reciclaje ayuda a brindar protección contra este tipo de situaciones.

Archivado de instantáneas de EBS

Archivar las instantáneas de EBS puede ser un método rentable para conservar una copia de un volumen con fines de referencia que no vaya a restaurar durante 90 días o más. Este puede ser un buen paso intermedio antes de eliminar permanentemente todas las instantáneas relacionadas con un volumen de EBS. Por ejemplo, podría considerar archivar las instantáneas como un end-of-lifecycle paso para los volúmenes de EBS que ya no se utilizan. Archivar, en lugar de eliminarlas, también puede ser un método más rentable de eliminación y retención en lugar de utilizar la papelera de reciclaje.

Automatizar la creación de instantáneas y AMI con Systems Manager AWS CLI, el y los SDK AWS

Su enfoque de copia de seguridad puede requerir operaciones antes y después de crear una instantánea o una AMI. Por ejemplo, es posible que necesite parar e iniciar los servicios para poner en reposo el sistema de archivos. O puede que tenga que detener e iniciar la instancia durante la creación de la AMI. Es posible que también necesite crear copias de seguridad de varios componentes de su arquitectura de forma conjunta, cada una con sus propios pasos previos y posteriores a la creación.

Puede reducir los plazos de mantenimiento de las copias de seguridad automatizando el proceso y verificando que el proceso de copia de seguridad se aplique de forma coherente. Para automatizar sus operaciones personalizadas previas y posteriores a la creación, programe el proceso de copia de seguridad mediante el SDK y el AWS CLI mismo.

La automatización se puede definir en un manual de procedimientos de Systems Manager que se puede ejecutar bajo demanda o durante un período de mantenimiento de Systems Manager. Puede conceder a sus usuarios acceso para ejecutar los manuales de ejecución de Systems Manager sin necesidad de concederles permisos para ejecutar comandos disruptivos de Amazon EC2. Esto también puede ayudarle a comprobar que los usuarios aplican el proceso de copia de seguridad y las etiquetas de forma coherente. Puede usar los CreateImage manuales de AWS CreateSnapshot y AWS para crear instantáneas y AMI, o puede conceder permisos a otros usuarios para que las usen. Systems Manager también incluye los UpdateWindowsAmi manuales de instrucciones de AWS UpdateLinuxAmi y AWS para automatizar la creación de parches y la creación de AMI.

También puede utilizar AWS CLI y AWS Tools for Windows PowerShellpara automatizar el proceso de creación de instantáneas y AMI. Puede usar el AWS CLI comando aws ec2 create-snapshot para crear una instantánea de un volumen de EBS como un paso de la automatización. Puede utilizar el comando aws ec2 create-snapshots para crear instantáneas sincronizadas y coherentes ante bloqueos de todos los volúmenes adjuntos a su instancia de EC2.

Puede usar la AWS CLI para crear nuevas AMI. Puede usar el comando aws ec2 register-image para crear una nueva imagen para la instancia de EC2. Para automatizar el cierre, la creación de imágenes y el reinicio de las instancias, combine este comando con los comandos aws ec2 stop-instances y aws ec2 start-instances.