使用 AMI 和 EBS 快照建立 EBS 磁碟區備份 - AWS 規定指引
準備 EBS 磁碟區從主控台建立快照建立 AMIAmazon Data Lifecycle ManagerAWS Backup多卷備份保護備份封存快照自動化快照和 AMI 建立

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AMI 和 EBS 快照建立 EBS 磁碟區備份

AWS 為建立和管理 AMI 和快照提供了豐富的選項。您可以使用符合您需求的方法。許多客戶面臨的常見問題是管理快照生命週期,並依據用途、保留原則等明確對齊快照。如果沒有適當的標記,就有可能會意外刪除快照,或是做為自動清理程序的一部分而遭到刪除。您最終可能還需要支付保留的過時快照,因為沒有清楚的瞭解是否仍然需要這些快照。

在建立快照或 AMI 之前準備 EBS 磁碟區

在拍攝快照或建立 AMI 之前,請對 EBS 磁碟區進行必要的準備工作。建立 AMI 會為連接至執行個體的每個 EBS 磁碟區建立新的快照,因此這些準備工作也適用於 AMI。

您可以拍攝已開啟電源的 EC2 執行個體正在使用的連接 EBS 磁碟區的快照。不過,快照只會擷取發出快照指令時已寫入 EBS 磁碟區的資料。這可能會排除應用程式或作業系統快取的任何資料。最佳做法是讓系統處於未執行任何 I/O 的狀態。理想情況下,機器不接受流量且處於停止狀態,但這種情況很少,因為全年無休的 IT 作業成為常態。如果您可以將系統記憶體中的任何資料清除到應用程式正在使用的磁碟,並暫停對磁碟區的任何檔案寫入時間足以拍攝快照,您的快照就應該已完成。

若要進行全新備份,您必須靜止資料庫或檔案系統。執行此操作的方式取決於您的資料庫或檔案系統。

數據庫的過程如下:

  1. 如果可能,請將資料庫置於熱備份模式。

  2. 執行 Amazon EBS 快照命令。

  3. 將資料庫退出熱備份模式,或者如果使用僅供讀取複本,則終止僅供讀取複本執行個體。

對於一個文件系統的過程是相似的,但它取決於操作系統或文件系統的能力。例如,XFS 是一種檔案系統,可以清除其資料以進行一致的備份。如需詳細資訊,請參閱 xfs_ 凍結。或者,您也可以使用支援凍結 I/O 的邏輯磁碟區管理員來簡化此程序。

不過,如果您無法清除或暫停磁碟區的所有檔案寫入,請執行下列動作:

  1. 從作業系統卸載磁碟區。

  2. 發出快照指令。

  3. 重新掛接磁碟區以獲得一致且完整的快照。當快照狀態處於擱置狀態時,您可以重新掛接並使用磁碟區。

快照程序會在背景中繼續執行,而且快照建立速度很快,可擷取某個時間點。您要備份的磁碟區只需幾秒鐘即可卸載。您可以排程小型備份視窗,在此時間預期會中斷,並由用戶端妥善處理。

當您為做為根裝置的 EBS 磁碟區建立快照時,請先停止執行個體,然後再建立快照。Windows 提供磁碟區陰影複製服務 (VSS) 來協助建立應用程式一致的快照集。 AWS 提供 Systems Manager 文件,您可以執行此文件,以便對 VSS 感知應用程式進行映像層級備份。快照包括來自這些應用程式和磁碟之間擱置中交易的資料。備份所有連接的磁碟區時,您不必關閉執行個體或中斷連線。如需詳細資訊,請參閱 AWS 文件

注意

如果您要建立 Windows AMI 以便部署其他類似的執行個體,請使用 EC2Config 或 EC2Launch 來系統執行您的執行個體。然後從停止的實例創建 AMI。Sysprep 會移除 Amazon EC2 視窗執行個體的唯一資訊,包括 SID、電腦名稱和驅動程式。重複的 SID 可能會導致活動目錄,Windows 服務器更新服務(WSUS),登錄問題,Windows 卷密鑰激活,Microsoft Office 和協力廠商產品的問題。如果您的 AMI 用於備份目的,而且您想要還原相同的執行個體,且其所有唯一資訊都完整無缺,請勿搭配執行個體使用 Sysprep。

從主控台手動建立 EBS 磁碟區快照

請先建立適當磁碟區或整個執行個體的快照,然後再進行任何未在執行個體上完整測試的重大變更。例如,您可能想要先建立快照,然後再升級或修補執行個體上的應用程式或系統軟體。

您可以從主控台手動建立快照。在 Amazon EC2 主控台的彈性區塊存放磁碟區頁面上,選取要備份的磁碟區。然後在 [動作] 功能表上選擇 [建立快照]。您可以在篩選方塊中輸入執行個體 ID,以搜尋附加至特定執行個體的磁碟區。

輸入描述並加入適當的標籤。新增標Name籤,以便日後更容易尋找磁碟區。根據您的標記策略新增任何其他適當的標籤。

建立 AMI

AMI 提供啟動執行個體所需的資訊。AMI 包括建立映像檔時連接至執行個體的根磁碟區和 EBS 磁碟區的快照。您無法僅從 EBS 快照啟動新執行個體;您必須從 AMI 啟動新執行個體。

建立 AMI 時,會在您使用的帳戶和區域中建立該 AMI。AMI 建立程序會為連接到執行個體的每個磁碟區建立 Amazon EBS 快照,而 AMI 則參照這些 Amazon EBS 快照。這些快照存放在 Amazon S3 中,且非常耐用。

建立 EC2 執行個體的 AMI 之後,您可以使用 AMI 重新建立執行個體或啟動更多執行個體複本。您也可以將 AMI 從一個區域複製到另一個區域以進行應用程式移轉或 DR。

啟動執行個體、建立映像檔,然後將映像檔啟動至執行個體,以及建立映像檔副本的流程圖。

必須從 EC2 執行個體建立 AMI,除非您要將虛擬機器 (例如 VMWARE 虛擬機器) 移轉到 AWS. 若要從 Amazon EC2 主控台建立 AMI,請選取執行個體,選擇「動作」,選擇「映像」,然後選擇「建立映像」。

Amazon Data Lifecycle Manager

若要自動建立、保留和刪除 Amazon EBS 快照,您可以使用 Amazon Data Lifecycle Manager。自動化快照管理可協助您執行下列作業:

  • 強制執行定期備份排程來保護重要資料。

  • 依稽核人員或內部合規的要求來保留備份。

  • 刪除過時的備份以降低儲存成本。

使用 Amazon 資料生命週期管理員,您可以自動執行 EC2 執行個體 (及其連接的 EBS 磁碟區) 或獨立 EBS 磁碟區的快照管理程序。它支援跨區域複製等選項,因此您可以自動將快照複製到其他區 AWS 域。將快照複製到替代區域是在替代區域中支援 DR 工作和還原選項的一種方法。您也可以使用 Amazon Data Lifecycle Manager 建立支援快照還原的快照生命週期政策。

Amazon Data Lifecycle Manager 管理器是 Amazon EC2 和 Amazon EBS 的一項功能。Amazon Data Lifecycle Manager 不收取任何費用。

AWS Backup

AWS Backup Amazon Data Lifecycle Manager 是獨一無二的,因為您可以建立包含多個 AWS 服務資源的備份計劃。您可以協調備份以涵蓋一起使用的資源,而不是個別協調資源的備份。

AWS Backup 也包括備份儲存庫的概念,可限制對已完成備份之復原點的存取。還原作業可以從啟動, AWS Backup 而不是繼續到每個個別資源並還原建立的備份。 AWS Backup 還包括許多其他功能,例如稽核管理和報告。如需詳細資訊,請參閱本指南的 使用 Backup 和恢復AWS Backup 一節。

執行多重磁碟區備份

如果要使用快照備份 RAID 陣列中 EBS 磁碟區上的資料,快照必須保持一致。因為這些磁碟區的快照是個別建立的。從不同步的快照還原 RAID 陣列中的 EBS 磁碟區會降低陣列的完整性。

若要為 RAID 陣列建立一組一致的快照集,請使用 CreateSnapshotsAPI 操作或登入 Amazon EC2 主控台,然後選擇彈性區塊存放區快照建立快照

用於建立多個磁碟區快照的 [建立快照] 畫面。

在 RAID 組態中連接了多個磁碟區的執行個體快照,會統稱為多磁碟區快照。多磁碟區快照可在連接至 EC2 執行個體的多個 EBS 磁碟區之間提供 point-in-time資料協調和當機一致的快照。您不必停止執行個體來協調磁碟區之間,以達到一致性,因為會在多個 EBS 磁碟區自動擷取快照。啟動磁碟區的快照 (通常是第二個或兩個) 之後,檔案系統可以繼續其作業。

建立快照後,每個快照視為個別快照。您可以執行所有快照作業,例如還原、刪除、跨區域和帳戶複製,就像使用單一磁碟區快照一樣。您也可以標記多磁碟區快照,就像建立單一磁碟區快照一樣。建議您標記多磁碟區快照,以便在還原、複製或保留期間進行統一管理。如需詳細資訊,請參閱 AWS 文件

您也可以從邏輯磁碟區管理員或檔案系統層級備份執行這些備份。在這些情況下,使用傳統的備份代理程式可以透過網路備份資料。網際網路和中提供了許多以代理程式為基礎的備份解決方案。AWS Marketplace

另一種方法是建立存在於單一大型磁碟區上之主要系統磁碟區的複本。這樣可簡化備份程序,因為只需備份一個大型磁碟區,而且主要系統上不會進行備份。不過,請先判斷單一磁碟區是否能夠在備份期間執行充分,以及最大磁碟區大小是否適合應用程式。

保護您的 Amazon EC2 備份

請務必考慮備份的安全性,並防止意外或惡意刪除備份。您可以使用許多方法集體來實現這一目標。為了避免因安全漏洞而遺失重要備份,建議您將備份複製到其他 AWS 帳戶。如果您有多個 AWS 帳戶,您可以指定一個不同的帳戶做為您的存檔帳戶,其他所有帳戶都可以將備份複製到該帳戶。例如,您可以使用中 AWS Backup的跨帳戶備份來完成此操作。

如果發生區域故障,您的災難復原計劃也可能要求您能夠在另一個 AWS 區域重現 EC2 執行個體。您可以將備份複製到同一帳戶內的其他區域,以支援此目標。這可以提供額外的意外刪除保護層,以及支援災難復原 (DR) 目標。AWS Backup 提供跨區域備份的支援。

考慮阻止 EC2:DeleteSnapshot和 ec2:DeregisterImage操作的 IAM 許可。相反地,您可以讓保留政策和方法管理 EBS 快照和 Amazon EC2 AMI 的生命週期。封鎖刪除動作是為 EBS 快照實作一次寫入多讀 (WORM) 策略的一種方式。您也可以使用文件AWS Backup 庫鎖定,它為 EBS 快照和其他 AWS 資源提供支援。

此外,請考慮封鎖 ec2: 和 ec2: ModifySnapshotAttribute IAM 動作來封鎖使用者共用 AMI ModifyImageAttribute 和 EBS 快照的能力。這樣可防止您的 AMI 和快照與組織外部的 AWS 帳戶共用。如果您正在使用 AWS Backup,請限制使用者對備份儲存庫執行類似作業。如需詳細資訊,請參閱本指南的 使用 Backup 和恢復AWS Backup 一節。

Amazon EC2 包含資源回收筒功能,可協助您還原意外刪除的 EBS 快照。如果您允許使用者刪除快照,請開啟此功能,以便不會永久刪除所需的快照。使用者應特別小心刪除多個快照,因為 Amazon EC2 主控台可讓您選取多個快照並在一次操作中刪除快照。此外,當您使用清理指令碼和自動化操作時,請務必小心,這樣您就不會意外刪除所需的快照。資源回收筒功能可協助提供防護,避免這些類型的情況發生。

封存 EBS 快照

封存 EBS 快照是一種經濟實惠的方法,可以用來保留磁碟區副本以供參考,而且您不打算還原 90 天或更長時間。在永久刪除 EBS 磁碟區的所有相關快照之前,這是一個很好的中繼步驟。例如,您可以考慮將快照封存為不再使用的 EBS 磁碟區的 end-of-lifecycle 步驟。封存而非刪除也可能是一種更具成本效益的刪除保留方式,而不是使用資源回收筒。

使用 Systems Manager、和 SDK 自動化快照和 AMI 建立 AWS CLIAWS

您的備份方法可能需要在建立快照或 AMI 之前和之後進行操作。例如,您可能需要停止和啟動服務以靜止檔案系統。或者,您可能需要在 AMI 建立期間停止並啟動執行個體。您可能還需要在架構中共同建立多個元件的備份,每個元件都有自己的建立前和建立後步驟。

您可以透過自動化程序並確認備份程序是否一致套用,以減少備份的維護時間。若要自動化您的自訂建立前和建立後作業,請使用 AWS CLI 和 SDK 編寫備份程序指令碼。

您的自動化可以在 Systems Manager 手冊中定義,該手冊可以根據需求或在 Systems Manager 維護期間執行。您可以授予使用者執行 Systems Manager 工作流程手冊的存取權,而不需要授予他們權限給 Amazon EC2 顛覆性命令。這也可協助您確認您的備份程序和標籤是否一致地套用您的使用者。您可以使用 AWS CreateSnapshot 和 AWS CreateImage 執行手冊來建立快照和 AMI,也可以授予其他使用者使用它們的許可。Systems Manager 還包括 AWS UpdateLinuxAmi 和 AWS 工作UpdateWindowsAmi流程手冊,可自動化 AMI 修補和 AMI 建立。

您也可以使用 AWS CLI 和AWS Tools for Windows PowerShell來自動化您的快照和 AMI 建立程序。您可以使用 aws ec2 創建快照 AWS CLI 命令來創建 EBS 磁碟區的快照,作為自動化的一個步驟。您可以使用 aws ec2 創建快照命令為連接到 EC2 實例的所有卷創建崩潰一致的同步快照。

您可以使用 AWS CLI 建立新的 AMI。您可以使用 aws ec2 註冊映像命令為 EC2 實例創建新映像。若要自動執行個體的關閉、映像建立和重新啟動,請將此命令與 aws ec2 停止執行個體和 aws ec2 啟動執行個體命令結合使用。