本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 按资源类型创建备份
使用 AWS Backup,您可以使用备份计划自动创建备份,也可以通过启动按需备份来手动创建备份。
## 创建自动备份
当备份计划自动创建备份时,使用在备份计划中定义的生命周期设置来配置备份。它们在备份计划中指定的备份保管库中进行组织。也将为它们分配备份计划中列出的标签。有关备份计划的更多信息,请参阅[备份计划](about-backup-plans.md)。
## 创建按需备份
创建按需备份时,您可以为所创建的备份配置这些设置。不论是通过自动还是手动创建备份,都将启动备份*作业*。要了解如何创建按需备份,请参阅[使用创建按需备份 AWS Backup](recov-point-create-on-demand-backup.md)。
注意:按需备份会创建备份作业;备份作业将在一小时内(或指定时)转换到 `Running` 状态。如果您希望在备份计划中定义的计划时间以外的时间创建备份,则可以选择按需备份。例如,可以随时使用按需备份来测试备份和功能。
[按需备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-on-demand-backup.html)不能与[ point-in-time恢复 (PITR)](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html) 一起使用,因为按需备份会将资源保留在备份时所处的状态,而 PITR 使用[连续备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html#point-in-time-recovery-working-with)来记录一段时间内的变化。
## 备份作业状态
每个备份作业都有唯一的 ID。例如 `D48D8717-0C9D-72DF-1F56-14E703BF2345`。
您可在 AWS Backup 控制台的**作业**页面查看备份作业的状态。备份作业状态包括 `CREATED`、`PENDING`、`RUNNING`、`ABORTING`、`ABORTED`、`COMPLETED`、`FAILED`、`EXPIRED` 和 `PARTIAL`。
## 增量备份
许多资源都支持使用进行增量备份 AWS Backup。[按资源划分的功能可用性](backup-feature-availability.md#features-by-resource)表的增量备份部分提供了完整列表。
尽管第一个(完整)备份之后的每个备份都是增量备份(这意味着它仅捕获与上一次备份相比的更改),但使用此备份进行的所有备份都将 AWS Backup 保留必要的参考数据,以便进行完全恢复。即使原始(完整)备份已达到其生命周期的终点并已被删除,也是如此。
例如,如果您的第一天(完整)备份由于 3 天的生命周期策略而被删除,那么您仍然可以使用第 2 天和第 3 天的备份执行完整还原。 AWS Backup 从第一天便维护执行此操作所必要的参考数据。
**增量备份和区域**
只有在创建备份的存储库中还包含较早的备份(增量或完整备份)时,完全由管理的资源备份 AWS Backup 才能进行增量备份;只要同一*区域*内的文件库有较早的备份,其他资源类型(未完全由管理 AWS Backup)就可以进行增量备份。
## 访问源资源
AWS Backup 需要访问您的源资源才能对其进行备份。例如:
+ 要备份 Amazon EC2 实例,该实例可以处于 `running` 或 `stopped` 状态,但不得处于 `terminated` 状态。这是因为`running`或`stopped`实例可以与通信 AWS Backup,但`terminated`实例不能。
+ 要备份虚拟机,其管理程序的 Backup Gateway 的状态必须为 `ONLINE`。有关更多信息,请参阅[了解管理程序状态](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-hypervisors.html#understand-hypervisor-status)。
+ 要备份 Amazon RDS 数据库、Amazon Aurora 或 Amazon DocumentDB 集群,这些资源的状态必须为 `AVAILABLE`。
+ 要备份 Amazon Elastic File System (Amazon EFS),其状态必须为 `AVAILABLE`。
+ 要备份 Amazon FSx 文件系统,其状态必须为`AVAILABLE`。如果状态为 `UPDATING`,则备份请求将排队,直到文件系统变成 `AVAILABLE`。
FSx for ONTAP 不支持备份某些卷类型,包括 DP(数据保护)卷、LS(负载共享)卷、完整卷或文件系统上已满的卷。有关更多信息,[FSx 请参阅 ONTAP 使用备份](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/using-backups.html)。
AWS Backup 无论源资源的运行状况如何,都将保留与您的生命周期策略一致的先前创建的备份。
**Topics**
+ [创建自动备份](#creating-automatic-backups)
+ [创建按需备份](#creating-on-demand-backups)
+ [备份作业状态](#backup-job-statuses)
+ [增量备份](#incremental-backup-works)
+ [访问源资源](#source-resource-statuses)
+ [CloudFormation 堆栈备份](applicationstackbackups.md)
+ [Amazon Aurora DSQL 备份](backup-aurora.md)
+ [高级 DynamoDB 备份](advanced-ddb-backup.md)
+ [亚马逊 EBS 和 AWS Backup](multi-volume-crash-consistent.md)
+ [Amazon Relational Database Service 备份](rds-backup.md)
+ [Amazon Redshift 备份](redshift-backups.md)
+ [Amazon Redshift Serverless 备份](redshift-serverless-backups.md)
+ [Amazon EKS 备份](eks-backups.md)
+ [Amazon EC2 上的 SAP HANA 备份](backup-saphana.md)
+ [Amazon S3 备份](s3-backups.md)
+ [Amazon Timestream 备份](timestream-backup.md)
+ [虚拟机备份](vm-backups.md)
+ [创建 Windows VSS 备份](windows-backups.md)
# CloudFormation 堆栈备份
CloudFormation 堆栈由多个有状态和无状态资源组成,您可以将这些资源作为一个单元进行备份。换句话说,您可以通过备份堆栈和还原其中的资源来备份和还原包含多个资源的应用程序。堆栈中的所有资源均由堆栈的 CloudFormation 模板定义。
备份堆 CloudFormation 栈时,会为该 CloudFormation 模板以及堆栈 AWS Backup 中支持的每个其他资源创建恢复点。这些恢复点一起分组在一个称为**复合**的总体恢复点中。
此复合恢复点无法还原,但嵌套恢复点可以还原。您可以使用控制台或 AWS CLI还原复合备份中的一个或所有嵌套备份。
## CloudFormation 应用程序堆栈术语
+ **复合恢复点**:用于将嵌套恢复点以及其他元数据分组在一起的恢复点。
+ **嵌套恢复点**:资源的恢复点,该资源属于 CloudFormation 堆栈并作为复合恢复点的一部分进行备份。每个嵌套恢复点都属于一个复合恢复点的堆栈。
+ **复合作业**:堆栈的备份、复制或还原作业,可以触发 CloudFormation堆栈中单个资源的其他备份作业。
+ **嵌套作业**: CloudFormation 堆栈内资源的备份、复制或还原作业。
## CloudFormation 堆栈备份作业
创建备份的过程称为备份作业。堆 CloudFormation 栈备份任务有[状态](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup.html#backup-job-statuses)。当备份作业完成时,其状态为 `Completed`。这表示已创建 [CloudFormation 恢复点](#cfnrecoverypoints)(备份)。
CloudFormation 堆栈可以使用控制台进行备份,也可以通过编程方式进行备份。要备份任何资源,包括 CloudFormation 堆栈,请参阅本*AWS Backup 开发人员指南*中其他地方的[创建备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup.html)。
CloudFormation 可以使用 API 命令`StartBackupJob`备份堆栈。请注意,文档和控制台指的是复合恢复点和嵌套恢复点;API 语言在相同的上下文关系中使用的是术语“父恢复点和子恢复点”。
CloudFormation 堆栈包含所有 AWS 资源,均由您的[CloudFormation 模板](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html)指示。请注意,您的模板可能包含 AWS Backup尚不支持的资源。如果您的模板包含 AWS 支持的资源和不支持的资源的组合,则仍 AWS Backup 会将模板备份到复合堆栈中,但是 Backup 只会创建备份支持的服务的恢复点。 CloudFormation 模板中包含的所有资源类型都将包含在备份中,即使您尚未选择使用特定服务(在控制台设置中将服务切换为 “已启用”)。
## CloudFormation 恢复点
### 恢复点状态
当堆栈的备份作业完成(作业状态为 `Completed`)后,则表示已创建该堆栈的备份。此备份也称为复合恢复点。复合恢复点可以具有以下状态之一:`Completed`、`Failed` 或 `Partial`。请注意,备份作业有状态,恢复点(也称为备份)也有单独的状态。
备份任务完成意味着您的整个堆栈和其中的资源都受到保护 AWS Backup。失败状态表示备份作业不成功;导致失败的问题得到纠正后,应重新创建备份。
`Partial` 状态表示并非堆栈中的所有资源都已备份。如果 CloudFormation 模板包含当前不支持的资源,则可能会发生这种情况 AWS Backup,或者如果属于堆栈内资源(嵌套资源)的一个或多个备份任务的状态不是,则可能会发生这种情况。`Completed`您可以手动创建按需备份,以重新运行任何导致非 `Completed` 状态的资源。如果您预期堆栈的状态为 `Completed`,但它却被标记为 `Partial`,请检查您的堆栈是否符合上述条件之一。
复合恢复点中的每个嵌套资源都有自己的单独恢复点,每个恢复点都有自己的状态(`Completed` 或 `Failed`)。状态为 `Completed` 的嵌套恢复点可以还原。
### 管理恢复点
可以复制复合恢复点(备份);可以复制、删除、取消关联或还原嵌套恢复点。包含嵌套备份的复合恢复点无法删除。在复合恢复点中的嵌套恢复点已删除或解除关联后,您可以手动删除复合恢复点,也可以保留它,直到备份计划生命周期将其删除。
### 删除恢复点
您可以使用 AWS Backup 控制台或使用删除恢复点 AWS CLI。
要使用 AWS Backup 控制台删除恢复点,
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 单击左导航栏中的**受保护的资源**。在文本框中,键入`CloudFormation`以仅显示您的 CloudFormation堆栈。
1. 复合恢复点将显示在恢复点窗格中。可以单击每个恢复点 ID 左侧的加号 (\$1) 展开每个复合恢复点,显示复合恢复点中包含的所有嵌套恢复点。您可以选中任何恢复点左侧的复选框,将其包含在要删除的恢复点选择中。
1. 单击**删除**按钮。
当您使用控制台删除一个或多个复合恢复点时,将弹出一个警告框。此警告框要求您确认删除复合恢复点的意图,包括复合堆栈中的嵌套恢复点。
要使用 API 删除恢复点,请使用 `DeleteRecoveryPoint` 命令。
将 API 与一起使用时, AWS Command Line Interface 必须先删除所有嵌套的恢复点,然后才能删除复合点。如果您通过发送 API 请求删除其中仍包含嵌套恢复点的复合堆栈备份(恢复点),则该请求将返回错误。
### 取消嵌套恢复点与复合恢复点的关联
您可以取消嵌套恢复点与复合恢复点的关联(例如,您希望保留嵌套恢复点但删除复合恢复点)。此时两个恢复点都将保留,但它们将不再联系在一起;也就是说,在取消关联后,在复合恢复点上发生的操作将不再应用于嵌套恢复点。
您可以使用控制台取消恢复点的关联,也可以调用 API `DisassociateRecoveryPointFromParent`。[请注意,API 调用使用“父级”一词来指代复合恢复点。]
### 复制恢复点
您可以复制复合恢复点,也可以复制嵌套恢复点(如果资源支持[跨账户和跨区域复制](backup-feature-availability.md#features-by-resource))。
要使用 AWS Backup 控制台复制恢复点,请执行以下操作:
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 单击左导航栏中的**受保护的资源**。在文本框中,键入`CloudFormation`以仅显示您的 CloudFormation堆栈。
1. 复合恢复点将显示在恢复点窗格中。可以单击每个恢复点 ID 左侧的加号 (\$1) 展开每个复合恢复点,显示复合恢复点中包含的所有嵌套恢复点。您可以单击任何恢复点左侧的辐射状圆形按钮进行复制。
1. 选中后,单击窗格右上角的**复制**按钮。
复制复合恢复点时,不支持复制功能的嵌套恢复点最终不会出现在复制的堆栈中。复合恢复点的状态将为 `Partial`。
## 常见问题
1. *“应用程序备份中包含什么?”*
作为使用定义的应用程序的每次备份的一部分 CloudFormation,都会备份模板、模板中每个参数的处理值以及支持的 AWS Backup 嵌套资源。嵌套资源的备份方式与备份不属于 CloudFormation 堆栈的单个资源的方法相同。请注意,标记为 `no-echo` 的参数的值不会被备份。
1. *“我可以备份嵌套 CloudFormation 堆栈的堆栈吗?”*
可以。包含嵌套 CloudFormation 堆栈的堆栈可以放在备份中。
1. *“`Partial` 状态是否意味着创建备份失败?”*
不是。“部分”这一状态表示有些恢复点已备份,而有些则未备份。如果您预期得到 `Completed` 备份结果,可以检查以下三种情况:
1. 您的 CloudFormation 堆栈是否包含当前不支持的 AWS Backup资源? 有关支持的资源列表,请参阅我们的《开发人员指南》中的[支持的 AWS 资源和第三方应用程序](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#supported-resources)。
1. 属于堆栈内资源的一个或多个备份作业未成功,必须重新运行该作业。
1. 已删除嵌套恢复点或已取消它与复合恢复点的关联
1. *“如何在 CloudFormation 堆栈备份中排除资源?”*
备份 CloudFormation 堆栈时,可以将资源排除在备份之外。在控制台中,在[创建备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)和[更新备份计划的](https://docs.aws.amazon.com/aws-backup/latest/devguide/updating-a-backup-plan.html)过程中,有一个[分配资源](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)步骤。在此步骤中,有一个**资源选择**部分。如果您选择**包括特定的资源类型**并已包含 CloudFormation为要备份的资源,则可以** IDs 从所选资源类型中排除特定**资源。您还可以使用标签排除堆栈中的资源。
使用 CLI,您可以:
+ `NotResources`在您的备份计划中,从 CloudFormation 堆栈中排除特定资源。
+ 使用 `StringNotLike`,通过标签排除项目。
1. *“嵌套资源支持哪些类型的备份?”*
嵌套资源的备份可以是完整备份,也可以是增量备份,具体取决于这些资源支持哪种类型的备份。 AWS Backup 有关更多信息,请参阅[增量备份的工作原理](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup.html#how-incremental-backup-works)。但是,请注意,Amazon S3 和 Amazon RDS 嵌套资源[不支持](backup-feature-availability.md#features-by-resource) PITR(point-in-time 恢复)。
1. *“作为 CloudFormation 堆栈一部分的变更集是否已备份?”*
不是。 更改集不会作为 CloudFormation 堆栈备份的一部分进行备份。
1. *“ CloudFormation 堆栈的状态对备份有何影响?”*
CloudFormation 堆栈的状态可能会影响备份。可以备份状态为 `COMPLETE` 的堆栈,例如状态 `CREATE_COMPLETE`、`ROLLBACK_COMPLETE`、`UPDATE_COMPLETE`、`UPDATE_ROLLBACK_COMPLETE`、`IMPORT_COMPLETE` 或 `IMPORT_ROLLBACK_COMPLETE`。
如果上传新模板失败且堆栈变为 `ROLLBACK_COMPLETE` 状态,则会备份新模板,但嵌套资源的备份将基于回滚的资源。
1. *“应用程序堆栈生命周期与其他恢复点生命周期有何不同?”*
嵌套恢复点生命周期由它们所属的备份计划决定。复合恢复点由所有嵌套恢复点中最长的生命周期决定。当复合恢复点中剩下的最后一个嵌套恢复点被删除或取消关联时,复合恢复点也将被删除。
1. *“如何将标签 CloudFormation 复制到恢复点?”*
可以。这些标签将被复制到每个相应的嵌套恢复点。
1. *“删除复合和嵌套恢复点(备份)时是否有一定的顺序?”*
是。必须先删除某些备份,然后才能删除其他备份。只有先删除复合恢复点中的所有恢复点,然后才能删除包含嵌套恢复点的复合备份。复合恢复点不再包含嵌套恢复点后,便可以手动将其删除。否则,将根据其备份计划的生命周期将其删除。
## 还原堆栈中的应用程序
有关还原嵌套恢复点的信息,请参阅[如何还原应用程序堆栈备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/restore-application-stacks.html)。
# Amazon Aurora DSQL 备份
您可以使用 AWS Backup 创建您的 Amazon Aurora DSQL 单区域和多区域集群的备份。Amazon Aurora DSQL 集群备份始终是完整备份。
Amazon Aurora DSQL 集群的备份创建使用标准的创建备份流程。有关更多信息,请参阅下列内容:
+ [使用创建按需备份 AWS Backup](recov-point-create-on-demand-backup.md)
+ [创建备份计划](creating-a-backup-plan.md)
AWS Backup 要使用创建您的 Amazon Aurora DSQL 集群的备份,您必须启用对 Aurora DSQL 的保护。有关更多信息,请参阅 [选择加入服务](getting-started.md#service-opt-in)。
在备份多区域集群时,请考虑以下事项:
+ 多区域集群备份需要为集群中的每个区域单独创建备份;在一个区域创建备份无法为多区域集群中的所有区域创建恢复点。
+ 作为最佳实践, AWS Backup 建议您在一个区域创建恢复点并将其复制到另一个相关区域。对于[多区域还原](restore-auroradsql.md#restore-auroradsql-multiregion),您需要在一个支持的区域中创建一个恢复点,并将该恢复点复制到同一区域三元组中的其他区域。
以下支持的三元组可用。如果区域不止一个,则选择同一组中的三个区域。
+ 美国东部(弗吉尼亚州北部)、美国东部(俄亥俄州)、美国西部(北加利福尼亚)
+ 欧洲地区(爱尔兰)、欧洲地区(伦敦)、欧洲地区(巴黎)、欧洲地区(法兰克福)
+ 亚太地区(东京)、亚太地区(首尔)、亚太地区(大阪)
AWS Backup 建议您将备份复制规则添加到备份计划中。如果您未将复制规则添加到备份计划中,则必须手动将备份复制到要执行还原的所需区域,这将增加恢复时间目标(RTO)时间。
有关还原 Aurora DSQL 恢复点(备份)的信息,请参阅 [Amazon Aurora DSQL 还原](restore-auroradsql.md)。
# 高级 DynamoDB 备份
AWS Backup 支持其他高级功能,可满足您的 Amazon DynamoDB 数据保护需求。
2021 年 11 月 AWS Backup 之后开始使用的客户默认会启用高级 DynamoDB 备份功能。具体而言,为在 2021 年 11 月 21 日之前未创建备份保管库的客户默认启用高级 DynamoDB 备份功能。
现有 AWS Backup 客户的最佳做法是为 DynamoDB 启用高级功能。在启用高级功能后,热备份存储的定价没有区别。通过将备份移至冷存储有可能节省成本,通过使用成本分配标签可以优化成本。您也可以开始使用跨区域和跨账户复制以及安全功能。 AWS Backup
**Topics**
+ [高级 DDB 备份的优势](#advanced-ddb-backup-benefits)
+ [高级 DynamoDB 备份的注意事项](#advanced-ddb-considerations)
+ [使用控制台启用高级 DynamoDB 备份](#advanced-ddb-backup-enable-console)
+ [以编程方式启用高级 DynamoDB 备份](#advanced-ddb-backup-enable-cli)
+ [编辑高级 DynamoDB 备份](#advanced-ddb-backup-edit)
+ [还原高级 DynamoDB 备份](#advanced-ddb-backup-restore)
+ [删除高级 DynamoDB 备份](#advanced-ddb-backup-delete)
+ [启用高级 DynamoDB 备份后,全面 AWS Backup 管理的其他好处](#advanced-ddb-backup-other-benefits)
## 高级 DDB 备份的优势
在中启用高级功能后 AWS 区域,您可以为创建 AWS Backup的 DynamoDB 表备份解锁以下所有新功能:
+ 成本节省和优化:
+ [将备份分层到冷存储](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html)以降低存储成本
+ [用于 Cost Explorer 的成本分配标记](https://docs.aws.amazon.com/aws-backup/latest/devguide/metering-and-billing.html#cost-allocation-tags)
+ 其他复制选项:
+ [跨区域复制](https://docs.aws.amazon.com/aws-backup/latest/devguide/cross-region-backup.html)
+ [跨账户复制](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html#prereq-cab)
+ 安全性:
+ 备份从其源 DynamoDB 表继承标签,允许您使用这些标签来设置权限[和服务控制](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)策略()。SCPs
## 高级 DynamoDB 备份的注意事项
**选择加入**
可以通过备份计划、按需备份或通过备份策略创建备份(包括高级 DDB 资源的备份)。按计划或按需创建的备份将自动选择加入您的账户,以允许对高级 DDB 资源进行备份。
如果您的备份作业由备份策略创建,则需要通过[备份控制台](assigning-resources-console.md)或 [CLI](assigning-resources-json.md) 手动选择加入高级 DynamoDB 备份。
**自定义策略和角色**
如果您使用自定义角色或策略而不是默认服务角色,则必须向您的自定义角色添加或使用以下权限策略(或添加其等效权限): AWS Backup
+ `AWSBackupServiceRolePolicyForBackup` 可执行高级 DynamoDB 备份。
+ `AWSBackupServiceRolePolicyForRestores` 可还原高级 DynamoDB 备份。
要了解有关 AWS托管策略的更多信息并查看客户托管策略的示例,请参阅。[的托管策略 AWS Backup](security-iam-awsmanpol.md)
## 使用控制台启用高级 DynamoDB 备份
您可以使用 AWS Backup 或 DynamoDB 控制台为 DynamoDB 备份启用 AWS Backup 高级功能。
**要从控制台启用高级 DynamoDB 备份功能,请执行以下操作: AWS Backup**
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 在左导航菜单中,选择**设置**。
1. 在**支持的服务**部分下,验证 **DynamoDB** 是否**已启用**。
如果未启用,请单击**选择加入**并启用 DynamoDB 作为 AWS Backup 支持的服务。
1. 在 **DynamoDB 备份的高级功能**部分下,选择**启用**。
1. 选择**启用功能**。
有关如何使用 DynamoDB 控制台启用 AWS Backup 高级功能,[请参阅亚马逊 Dynam *o* DB 用户指南中的 AWS Backup 启用](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/CreateBackupAWS.html#CreateBackupAWS_enabling)功能。
## 以编程方式启用高级 DynamoDB 备份
您也可以使用 AWS Command Line Interface (CLI) 为 DynamoDB 备份启用 AWS Backup 高级功能。将以下两个值都设置为 `true`,即可启用高级 DynamoDB 备份:
**要以编程方式启用 DynamoDB 备份的 AWS Backup 高级功能,请执行以下操作:**
1. 使用以下命令检查您是否已经为 DynamoDB 启用了 AWS Backup 高级功能:
```
$ aws backup describe-region-settings
```
如果 `"ResourceTypeManagementPreference"` 和 `"ResourceTypeOptInPreference"` 下均为 `"DynamoDB":true`,则表示已经启用高级 DynamoDB 备份。
如以下输出所示,如果至少有一个 `"DynamoDB":false` 实例,则表示尚未启用高级 DynamoDB 备份,请继续执行下一步。
```
{
"ResourceTypeManagementPreference":{
"DynamoDB":false,
"EFS":true
}
"ResourceTypeOptInPreference":{
"Aurora":true,
"DocumentDB":false,
"DynamoDB":false,
"EBS":true,
"EC2":true,
"EFS":true,
"FSx":true,
"Neptune":false,
"RDS":true,
"Storage Gateway":true
}
}
```
1. 使用以下 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateRegionSettings.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateRegionSettings.html) 操作将 `"ResourceTypeManagementPreference"` 和 `"ResourceTypeOptInPreference"` 设置为 `"DynamoDB":true`:
```
aws backup update-region-settings \
--resource-type-opt-in-preference DynamoDB=true \
--resource-type-management-preference DynamoDB=true
```
## 编辑高级 DynamoDB 备份
在 AWS Backup 启用高级功能后创建 DynamoDB 备份时,您可以使用: AWS Backup
+ 跨区域复制备份
+ 跨账户复制备份
+ 更改将备份 AWS Backup 分层到冷存储的时间
+ 标记备份
要对现有备份使用这些高级功能,请参阅[编辑备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/editing-a-backup.html)。
如果您稍后禁用 DynamoDB 的 AWS Backup 高级功能,则可以继续对您在启用高级功能期间创建的 DynamoDB 备份执行这些操作。
## 还原高级 DynamoDB 备份
您可以还原启用高级功能的 DynamoDB 备份,就像恢复启用高级功能之前拍摄 AWS Backup 的 DynamoDB 备份一样。 AWS Backup 您可以使用 DynamoDB AWS Backup 或 DynamoDB 执行恢复。
您可以使用以下选项指定如何加密新还原的表:
+ 当还原到与原始表相同的区域时,您可以选择为还原的表指定加密密钥。如果您未指定加密密钥,则 AWS Backup 将使用与加密原始表相同的密钥自动加密已恢复的表。
+ 当还原到与原始表不同的区域时,必须指定加密密钥。
要使用恢复 AWS Backup,请参阅[还原 Amazon DynamoDB 表](restoring-dynamodb.md)。
要使用 DynamoDB 进行还原,请参阅《Amazon DynamoDB 用户指南》中的[从备份还原 DynamoDB 表](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Restore.Tutorial.html)。**
## 删除高级 DynamoDB 备份
您无法在 DynamoDB 中删除使用这些高级功能创建的备份。必须使用 AWS Backup 删除备份才能在整个 AWS 环境中保持全局一致性。
要删除 DynamoDB 备份,请参阅[备份删除](deleting-backups.md)。
## 启用高级 DynamoDB 备份后,全面 AWS Backup 管理的其他好处
当你为 DynamoDB 启用 AWS Backup 高级功能时,你可以完全管理你的 DynamoDB 备份。 AWS Backup这样做会给您带来以下额外优势:
**加密**
AWS Backup 使用目标 AWS Backup 文件库的 KMS 密钥自动加密备份。以前,它们使用与源 DynamoDB 表相同的加密方法进行加密。这增加了可用于保护数据的防御措施的数量。请参阅[对中的备份进行加密 AWS Backup](encryption.md)了解更多信息。
**Amazon 资源名称 (ARN)**
每个备份 ARN 的服务命名空间都是 `awsbackup`。以前,服务命名空间是 `dynamodb`。换句话说,每个 ARN 的开头将从 `arn:aws:dynamodb` 变为 `arn:aws:backup`。[ARNs 参](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html#awsbackup-resources-for-iam-policies)见《*服务授权参考*》 AWS Backup中的内容。
通过这项更改,您或您的备份管理员可以使用 `awsbackup` 服务命名空间为备份创建现在适用于在启用高级功能后创建的 DynamoDB 备份的访问策略。使用 `awsbackup` 服务命名空间,还可以将策略应用于 AWS Backup进行的其他备份。请参阅[访问控制](access-control.md)了解更多信息。
**账单上的费用位置**
备份费用(包括存储、数据传输、恢复和提前删除)显示在账 AWS 单的 “Backup” 下。以前,费用显示在账单的 “DynamoDB” 下。
此更改可确保您可以使用 AWS Backup 账单来集中监控备份成本。请参阅[的计量、成本和账单 AWS Backup计量、成本和计费](metering-and-billing.md)了解更多信息。
# 亚马逊 EBS 和 AWS Backup
备份 Amazon EBS 资源的过程与用于备份其他资源类型的步骤相似:
+ [创建按需备份](recov-point-create-on-demand-backup.md)
+ [创建计划备份](creating-a-backup-plan.md)
以下各节中说明了资源特定信息。
## 适用于冷存储的 Amazon EBS 归档层
EBS 是支持将备份转移到冷存储的资源之一。有关更多信息,请参阅 [生命周期和存储层](plan-options-and-configuration.md#backup-lifecycle)。
## Amazon EBS 多卷、崩溃一致性备份
默认情况下, AWS Backup 为连接到 Amazon EC2 实例的 Amazon EBS 卷创建故障一致性备份。崩溃一致性意味着连接到同一 Amazon EC2 实例的每个 Amazon EBS 卷的快照都是在完全相同的时刻拍摄的。您不再需要停止实例或在多个 Amazon EBS 卷之间进行协调以确保应用程序状态的崩溃一致性。
由于多卷、崩溃一致性快照是默认 AWS Backup 功能,因此您无需执行任何不同的操作即可使用此功能。
用于创建 EBS 快照恢复点的角色与该快照相关联。必须使用这一角色来删除它创建的恢复点或将其恢复点转换到归档层。
## 亚马逊 EBS 快照锁和 AWS Backup
AWS Backup 如果快照锁定持续时间超过备份生命周期,则不能在恢复点生命周期中删除与 AWS Backup 托管 Amazon EC2 AMI 关联的已应用 Amazon EBS 快照锁定的托管 Amazon EBS 快照和快照。相反,这些恢复点的状态将为 `EXPIRED`。如果您选择先删除 Amazon EBS 快照锁,则可以[手动删除](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html#deleting-backups-manually)这些恢复点。
## 还原 Amazon EBS 资源
要还原 Amazon EBS 卷,请按照[还原 Amazon EBS 卷](restoring-ebs.md)中的步骤操作。
# Amazon Relational Database Service 备份
## 亚马逊 RDS 和 AWS Backup
考虑备份 Amazon RDS 实例和集群的选项时,务必明确要创建和使用哪种备份。包括 Amazon RDS 在内的多种 AWS 资源都提供自己的本机备份解决方案。
Amazon RDS 提供[自动备份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ManagingAutomatedBackups.html)和[手动备份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ManagingManualBackups.html)的选项。根据备份类型 AWS Backup ,由创建的恢复点的分类方式有所不同:
+ 在 Amazon RDS 中 AWS Backup ,由创建的@@ **定期快照**被视为手动备份。这些是根据您的备份计划时间表进行的基于快照的备份。
+ 在 Amazon RDS 中 AWS Backup ,由创建的@@ **连续备份**被视为自动备份。它们通过维护事务日志和自动快照来实现 point-in-time恢复 (PITR)。
这种区别很重要,因为在 Amazon RDS 中,手动备份和自动备份具有不同的保留行为和生命周期管理。
当您使用 AWS Backup [创建 Amazon RDS 实例的备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-console)(恢复点)时, AWS Backup 会检查您之前是否使用 Amazon RDS 创建过自动备份。如果存在自动备份,则 AWS Backup 创建增量快照副本(`copy-db-snapshot`操作)。如果不存在备份,则 AWS Backup 创建您指定的实例的快照,而不是副本(`create-db-snapshot`操作)。
通过 AWS Backup任一操作创建的第一个快照都将生成 1 个完整快照。只要存在完整备份,其所有后续*副本*都将是增量备份。
使用跨账户或跨区域副本时,增量快照复制作业的处理速度要比完整快照复制作业快。在新复制作业完成之前保留以前的快照副本可能会缩短复制作业的持续时间。如果您选择从 RDS 数据库实例复制快照,请务必注意,先删除以前的副本将导致创建完整快照副本(而不是增量副本)。有关优化复制的更多信息,请参阅 *Amazon RDS 用户指南*中的[增量快照复制](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CopySnapshot.html#USER_CopySnapshot.Incremental)。
**重要**
当 AWS Backup 备份计划计划为一个 Amazon RDS 实例创建多个每日快照时,当其中一个计划的 “[AWS Backup 开始备份” 窗口](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#plan-options-and-configuration)与 [Amazon RDS 备份窗口](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ManagingAutomatedBackups.html#USER_WorkingWithAutomatedBackups.BackupWindow)相吻合时,备份的数据谱系可能会分支到不相同的备份,从而创建计划外且相互冲突的备份。为防止出现这种情况,请确保您的 AWS Backup 备份计划或 Amazon RDS 窗口的时间不一致。
### 注意事项
AWS Backup目前不支持 RDS Custom for SQL Server 和 RDS Custom for Oracle。
AWS Backup 不支持在 Outposts 上备份和恢复 RDS。
## Amazon RDS 连续备份和时间点还原
持续备份包括使用 AWS Backup 创建您的 Amazon RDS 资源的完整备份,然后通过事务日志捕获所有更改。通过倒回到您希望还原到的时间点,而不是选择以前按固定时间间隔拍摄的快照,可以实现更细粒度。
有关更多信息,请参阅[连续备份和 PITR 支持的服务](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html#point-in-time-recovery-supported-services)以及[管理连续备份设置](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html#point-in-time-recovery-managing)。
## Amazon RDS 多可用区备份
AWS Backup 备份并支持 Amazon RDS for MySQL 和 PostgreSQL 多可用区(可用区)部署选项,包括一个主数据库实例和两个可读备用数据库实例。
多可用区备份在以下区域可用:亚太地区(悉尼)区域、亚太地区(东京)区域、欧洲地区(爱尔兰)区域、美国东部(俄亥俄州)区域、美国西部(俄勒冈州)区域、欧洲地区(斯德哥尔摩)区域、亚太地区(新加坡)区域、美国东部(弗吉尼亚州北部)区域和欧洲地区(法兰克福)区域。
多可用区部署选项可优化写入事务,当您的工作负载需要额外的读取容量、更低的写入事务延迟、更高的网络抖动(这会影响写入事务延迟的一致性)弹性以及高可用性和持久性时,它是理想的选择。
要创建多可用区集群,您可以选择 MySQL 或 PostgreSQL 作为引擎类型。
在 AWS Backup 控制台中,有三个部署选项:
+ **多可用区数据库集群:**创建包含一个主数据库实例和两个可读备用数据库实例的数据库集群,每个数据库实例均位于不同的可用区。为服务器就绪型工作负载提供高可用性、数据冗余并增加容量。
+ **多可用区数据库实例:**创建一个主数据库实例并在不同可用区中创建一个备用数据库实例。这提供了高可用性和数据冗余,但备用数据库实例不支持读取工作负载的连接。
+ **单个数据库实例:**创建单个数据库实例,没有备用数据库实例。
**实例和集群的备份行为**
+ [ Point-in-Time恢复](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html) (PITR) 可以支持实例,但不支持集群。
+ 不支持复制多可用区数据库集群快照。
+ RDS 恢复点的 Amazon 资源名称(ARN)取决于使用的是实例还是集群:
一个 RDS 实例 ARN:`arn:aws:rds:region: account:db:name`
一个 RDS 多可用集群:`arn:aws:rds:region:account:cluster:name`
有关更多信息,请参阅《Amazon RDS 用户指南》**中的[多可用区数据库集群部署](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZ.html)。
有关如何[创建多可用区数据库集群快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateMultiAZDBClusterSnapshot.html)的更多信息,请参阅《Amazon RDS 用户指南》。
## 亚马逊 Aurora 全球数据库
AWS 建议在部署全球数据库的每个区域维护备份。
# Amazon Redshift 备份
Amazon Redshift 是一个完全托管的可扩展云数据仓库,可通过快速、简单且安全的分析,使您更快地获得见解。您可以使用不可变 AWS Backup 的备份、单独的访问策略以及对备份和还原作业的集中组织管理来保护您的数据仓库。
Amazon Redshift 数据仓库是一组名为节点的计算资源,这些资源被组织成一个名为集群的组。 AWS Backup 可以备份这些集群。
有关 [Amazon Redshift](https://docs.aws.amazon.com/redshift/index.html) 的信息,请参阅 [Amazon Redshift 入门指南](https://docs.aws.amazon.com/redshift/latest/gsg/index.html)、[Amazon Redshift 数据库开发人员指南](https://docs.aws.amazon.com/redshift/latest/dg/index.html)和 [Amazon Redshift 集群管理指南](https://docs.aws.amazon.com/redshift/latest/mgmt/index.html)。
## 备份 Amazon Redshift 预置集群
您可以使用 AWS Backup 控制台保护您的 Amazon Redshift 集群,也可以使用 API 或 CLI 以编程方式保护您的群集。这些集群可以作为备份计划的一部分定期备份,也可以根据需要通过按需备份进行备份。
您可以还原单个表(也称为项目级还原),也可以还原整个集群。请注意,表不能自行备份;需在备份集群时将表作为集群的一部分进行备份。
使用 AWS Backup 允许您以集中方式查看您的资源;但是,如果 Amazon Redshift 是您使用的唯一资源,则可以继续使用 Amazon Redshift 中的自动快照计划程序。请注意,如果您选择通过管理手动快照设置,则无法继续使用 Amazon Redshift 管理这些设置。 AWS Backup
您可以通过 AWS Backup 控制台或使用来备份 Amazon Redshift 集群。 AWS CLI
使用 AWS Backup 控制台备份 Amazon Redshift 集群有两种方法:按需备份或作为备份计划的一部分。
### 创建按需 Amazon Redshift 备份
有关更多信息,请参阅[创建按需备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-on-demand-backup.html)类型页面。
要创建手动快照,请在创建包含 Amazon Redshift 资源的备份计划时取消选中持续备份复选框。
### 在备份计划中创建 Amazon Redshift 计划备份
如果 Amazon Redshift 集群是受保护的资源,则您的计划备份可以包括这些集群。要选择保护 Amazon Redshift 集群,请执行以下操作:
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 使用导航窗格,选择**受保护的资源**。
1. 将 Amazon Redshift 切换为**开启**。
1. 请参阅[为控制台分配资源](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html#assigning-resources-console)以在现有计划或新计划中包含 Amazon Redshift 集群。
在**管理备份计划**下,您可以选择[创建备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)并包含 Amazon Redshift 集群,也可以[更新现有计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/updating-a-backup-plan.html)以包含 Amazon Redshift 集群。添加资源类型 *Amazon Redshift* 时,您可以选择添加**所有 Amazon Redshift 集群**,也可以选中要包含在备份计划中的集群旁边的复选框。
### 以编程方式进行备份
您也可以在 JSON 文档中定义备份计划并使用 AWS Backup 控制台或 AWS CLI提供该计划。有关如何以编程方式[创建备份计划的信息,请参阅使用 JSON 文档和 AWS Backup CLI](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli) 创建备份计划。
您可以使用 API 执行以下操作:
+ 启动备份作业
+ 描述备份作业
+ 获取恢复点元数据
**注意**
`BackupSizeInBytes`以下资源类型支持元数据:亚马逊 EBS 卷、亚马逊 EFS 文件系统、亚马逊 RDS 数据库、DynamoDB 表、亚马逊 EC2 实例、 FSx 亚马逊文件系统和 Amazon S3 存储桶。此字段提供备份的大小(以字节为单位),可通过 `DescribeRecoveryPoint` API 和 AWS Backup 控制台获得。对于不支持的资源类型,系统将不会填充此字段。
+ 按资源列出恢复点
+ 列出恢复点的标签
### 查看 Amazon Redshift 集群备份
要在控制台中查看和修改 Amazon Redshift 集群备份,请执行以下操作:
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 选择**备份保管库**。然后,单击包含您的 Amazon Redshift 集群的备份保管库名称。
1. 备份保管库将显示摘要和备份列表。您可以单击**恢复点 ID** 列中的链接。
1. 要删除一个或多个恢复点,请选中要删除的复选框。在**操作**按钮下,可以选择**删除**。
### 还原 Amazon Redshift 集群
有关更多信息,请参阅如何[还原 Amazon Redshift 集群](https://docs.aws.amazon.com/aws-backup/latest/devguide/redshift-restores.html)。
# Amazon Redshift Serverless 备份
## 概述
AWS Backup 为您的 Amazon Redshift Serverless 命名空间提供全面的备份管理。通过 AWS Backup,您可以通过控制台或 CLI 安排和恢复 Redshift Serverless 手动快照。
Redshift Serverless 数据保护通过 AWS Backup 提供多种备份和恢复数据仓库的选项。您可以为命名空间创建计划快照或按需快照。然后,您可以选择将该快照中的所有数据库还原到 Amazon Redshift 预置的集群或 Serverless 命名空间。或者,您可以还原单个表。
Redshift Serverless 提供自动快照和手动快照。目前, AWS Backup 可用于管理手动快照,但无法用于管理自动快照。
## Redshift Serverless 的备份选项
您可以使用 AWS Backup 控制台或 CLI 按需创建备份,也可以将其作为备份计划的一部分。
### 创建按需备份
您可以通过以下步骤为 Redshift Serverless 命名空间创建按需备份:
------
#### [ Console ]
1. 打开 [AWS Backup 控制台](https://console.aws.amazon.com//backup)。
1. 在控制面板中,选择**创建按需备份**。
1. 在资源类型下拉菜单中选择 **Redshift Serverless**。
1. 选择计划要备份的命名空间。
1. 确保选中**立即创建备份**。
1. 指定备份的保留期。
1. 选择现有的备份保管库或创建新的备份保管库。
1. 选择要用于备份的 IAM 角色。
1. (可选)为备份添加标签。要为按需备份分配标签,请展开**添加到恢复点的标签**,选择**添加新标签**,然后输入标签键和标签值。
1. 选择**创建按需备份**以启动备份作业。
1. 作业启动后,控制台将显示作业屏幕,您可以在其中查看备份作业及其状态的列表。
------
#### [ AWS CLI ]
使用 **start-backup-job** 命令。
**必填参数**
+ `BackupVaultName`
+ `IamRoleArn`
+ `ResourceArn`
**可选参数**
+ `CompleteWindowMinutes`
+ `IdempotencyToken`
+ `Lifecyle`
+ `StartWindowMinutes`
**Example 示例**
以下示例为 Redshift Serverless 命名空间创建按需备份。
```
aws backup start-backup-job \
--backup-vault-name sample-vault \
--iam-role-arn arn:aws:iam::account:role/service-role/AWSBackupDefaultServiceRole \
--resource-arn arn:aws:redshift-serverless:region:account:namespace/namespace-name-UUID
```
------
### 在备份计划中创建 Redshift Serverless 计划备份
您可以通过 AWS Backup 控制台或 CLI 为 Redshift Serverless 命名空间创建新的备份计划,也可以将 Redshift Serverless 添加到现有备份计划中。
如果 Redshift Serverless 命名空间是受保护的资源,则计划备份可以包括这些命名空间。要选择在 AWS Backup 控制台中保护 Redshift Serverless,请完成以下步骤:
------
#### [ Console ]
要选择在 AWS Backup 控制台中保护 Redshift Serverless,请完成以下步骤:
1. 打开 [AWS Backup 控制台](https://console.aws.amazon.com//backup)。
1. 使用导航窗格,选择**受保护的资源**。
1. 将 **Amazon Redshift Serverless** 切换到**打开**。
1. 参阅[选择要备份的 AWS 服务](assigning-resources.md),在现有计划或新计划中包含 Redshift Serverless 命名空间。添加资源类型 *Redshift Serverless* 时,您可以选择添加**所有 Amazon Redshift 命名空间**,也可以选中要备份的命名空间旁边的复选框。
在**管理备份计划**下,您可以:
+ [创建备份计划](creating-a-backup-plan.md)并包含 Redshift Serverless;
+ [更新](updating-a-backup-plan.md)现有备份计划以包含 Redshift Serverless。
------
#### [ AWS CLI ]
有关使用 **create-backup-plan** 的指南,请参阅[使用创建备份计划 AWS CLI](creating-a-backup-plan.md#create-backup-plan-cli)。
如果您想更改现有计划以包含 Serverless 资源,可使用命令 **update-backup-plan**。
要包含在 BackupSelection “” 中的无服务器资源的 ARN(Amazon 资源名称)采用以下格式:\$1“资源”:
```
arn:aws:redshift-serverless:Region:account:snapshot/a12bc34d-567e-890f-123g-h4ijk56l78m9
```
------
有关将快照中的数据还原到 Serverless 命名空间的信息,请参阅 [Amazon Redshift Serverless 还原](redshift-serverless-restore.md)。
# Amazon EKS 备份
Amazon Elastic Kubernetes Service (Amazon EKS) 集群由多个资源组成,您可以将这些资源作为一个单元进行备份。当您备份 Amazon EKS 集群时, AWS Backup 会创建一个包含 EKS 集群状态和永久卷备份的复合恢复点。
备份 Amazon EKS 集群时,将为支持的 Amazon EKS 集群状态和永久卷创建恢复点 AWS Backup。这些恢复点组合在称为**复合**恢复点的总体恢复点中。
Amazon EKS 备份有两个不同的组成部分:
+ *亚马逊 EKS 集群状态:*这是 Amazon EKS 集群状态的备份。有关包含的内容,请参阅下面的 Amazon EKS 备份术语。
+ *永久存储:*这是通过永久卷声明连接到亚马逊 EKS 集群的永久存储(亚马逊 EBS、Amazon S3、Amazon Elastic File System)的备份,[由 EKS Add Ons CSI 驱动程序支持](https://docs.aws.amazon.com/eks/latest/userguide/storage.html)。
## 亚马逊 EKS 备份术语
Amazon EKS 备份文档中使用了以下术语。有关亚马逊 EKS 的特定术语,请参阅[亚马逊 EKS 文档](https://docs.aws.amazon.com/eks/latest/userguide/getting-started.html)。
## EKS Backup 术语
+ **复合恢复点** — 用于将 Amazon EKS 集群备份的嵌套恢复点组合在一起的恢复点。
+ **嵌套恢复点** — 属于 Amazon EKS 集群并作为复合恢复点的一部分进行备份的资源的恢复点。
+ **EKS 集群状态** — 定义集群中 Kubernetes 资源所需状态的 Kubernetes 清单(YAML 或 JSON 文件)。这包括 Kubernetes 资源和部署,例如:机密、配置映射、状态集、存储类别 DaemonSets、存储映射、副本集、永久卷声明、自定义资源定义、角色和角色绑定。
+ **Amazon EKS 集群配置子恢复点** — 包含 Amazon EKS 集群状态。
+ **永久卷子恢复点** — 包含 E [KS Add Ons CSI 驱动程序支持的存储类型(EBS、S3、EFS)的](https://docs.aws.amazon.com/eks/latest/userguide/storage.html)永久卷备份。
## 亚马逊 EKS 备份结构
**Amazon EKS 备份包括以下组件:**
+ 亚马逊 EKS 集群状态
+ 永久存储:支持存储类型的备份,包括亚马逊 EBS、Amazon EFS 和 Amazon S3
**Amazon EKS 备份将不包括以下组件:**
+ 来自外部存储库(ECR、Docker)的容器镜像
+ EKS 集群基础设施组件( VPCs例如子网)
+ 自动生成的 EKS 资源,例如节点、自动生成的 pod、事件、租约和作业。
**EKS 备份设置和先决条件(“备份之前”)**
+ **EKS 集群设置:**
+ EKS 集群[授权模式](https://docs.aws.amazon.com/eks/latest/userguide/setting-up-access-entries.html)设置为 API 或 API\$1AND \$1CONFIG\$1MAP AWS Backup ,用于创建[访问 EKS 集群的访问条目](https://docs.aws.amazon.com/eks/latest/userguide/access-entries.html)。
+ **权限:**
+ AWS Backup的托管策略[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#AWSBackupServiceRolePolicyForBackup)包含备份您的 Amazon EKS 集群以及 EBS 和 EFS 永久存储所需的权限
+ 如果您的 EKS 集群包含 S3 存储桶,则需要确保按照文档添加和启用 S3 存储桶的以下策略和先决条件:
+ [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#AWSBackupServiceRolePolicyForS3Backup)
+ [S3 备份的先决条件](https://docs.aws.amazon.com/aws-backup/latest/devguide/s3-backups.html#s3-backup-prerequisites)
+ **加密:**
+ Amazon EKS 儿童恢复点将使用目标备份库的 Amazon KMS 密钥集进行加密
+ 永久存储恢复点将根据当前对每种存储类别的支持进行加密:EBS 快照、S3 备份、EFS 备份。[请参阅中的备份加密 AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)
## 创建 Amazon EKS 备份
创建备份的过程称为备份作业。Amazon EKS 集群备份任务具有状态。备份任务完成后,其状态为 “已完成”。这表示已创建恢复点(备份)。
### 创建按需的 Amazon EKS 备份
------
#### [ Console ]
要为您的 Amazon EKS 集群创建按需备份,请执行以下操作:
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 在导航窗格中,选择**受保护的资源**。
1. 在 “**资源类型**” 下,选择 **Amazon EKS**。
1. 选中您要备份的 Amazon EKS 集群旁边的复选框。
1. 选择**创建按需备份**。
1. 配置备份设置,包括备份窗口、向冷存储的过渡和保留期。
1. 选择**创建按需备份**。
------
#### [ AWS CLI ]
要使用以下方法为您的 Amazon EKS 集群创建按需备份,请执行以下 AWS CLI操作:
使用 **start-backup-job** 命令:
```
aws backup start-backup-job \
--backup-vault-name my-backup-vault \
--resource-arn arn:aws:eks:us-west-2:123456789012:cluster/my-cluster \
--iam-role-arn arn:aws:iam::123456789012:role/AWSBackupDefaultServiceRole \
--region us-west-2
```
(可选)指定其他参数,例如生命周期设置:
```
aws backup start-backup-job \
--backup-vault-name my-backup-vault \
--resource-arn arn:aws:eks:us-west-2:123456789012:cluster/my-cluster \
--iam-role-arn arn:aws:iam::123456789012:role/AWSBackupDefaultServiceRole \
--lifecycle MoveToColdStorageAfterDays=30,DeleteAfterDays=365 \
--region us-west-2
```
监控备份任务状态:
```
aws backup describe-backup-job \
--backup-job-id backup-job-id \
--region us-west-2
```
------
## 亚马逊 EKS 备份 ARN 格式
复合恢复点 arn:: backup::: recovery-point: composite: *partition* eks/-*region* *accountId* *cluster-name* *timestamp*
Child Recovery Point arn:: backup:: backup::: re *partition* covery-*region* *accountId* *cluster-name* *timestamp*
### 亚马逊 EKS 恢复点
#### 恢复点状态
当 Amazon EKS 集群的备份任务完成(任务状态为`Completed`)时,已创建该集群的备份。此备份也称为复合恢复点。复合恢复点可以具有以下状态之一:`Completed`、`Failed` 或 `Partial`。
每个 Amazon EKS 备份都会为复合恢复点创建一个父备份任务,为每个子恢复点创建子备份任务(集群配置和永久卷)。
+ 备份任务完成意味着您的整个 Amazon EKS 集群及其中的资源都受到保护 AWS Backup。
+ 失败状态表示备份作业不成功;导致失败的问题得到纠正后,应重新创建备份。
+ `Partial`状态表示群集中的所有资源未都已备份。如果属于集群内资源(嵌套资源)的一个或多个备份任务的状态不是,则可能会发生这种情况。`Completed`您可以手动创建按需备份,以重新运行任何导致非 `Completed` 状态的资源。
+ `Completed with issues`状态表示群集中的所有资源未都已备份。当我们无法备份集群中的某些 Kubernetes 对象时,就会发生这种情况。您可以订阅失败对象的**通知事件**以进行备份。有关更多信息,请参阅[带有的通知选项 AWS Backup。](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-notifications.html)
复合恢复点中的每个嵌套资源都有自己的单独恢复点,每个恢复点都有自己的状态(`Completed` 或 `Failed`)。状态为 `Completed` 的嵌套恢复点可以还原。
AWS Backup 支持生命周期过渡到冷存储,以实现永久卷恢复点。您可以订阅通知以接收有关备份任务状态的警报。
## 管理恢复点
可以复制复合恢复点(备份);可以复制、删除、取消关联或恢复永久卷子恢复点。Amazon EKS 集群状态子恢复点无法复制、删除或取消关联,因为它与其父复合恢复点保持 1:1 的关系。
包含嵌套备份的复合恢复点无法删除。在复合恢复点中的嵌套恢复点已删除或解除关联后,您可以手动删除复合恢复点,也可以保留它,直到备份计划生命周期将其删除。
### 删除恢复点
您可以使用控制台或使用删除恢复点 AWS CLI。
要使用控制台删除恢复点,请执行以下操作:
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 单击左导航栏中的受保护的资源。在文本框中,键入 EKS 以仅显示您的 Amazon EKS 集群。
1. 复合恢复点将显示在恢复点窗格中。可以单击每个恢复点 ID 左侧的加号 (\$1) 展开每个复合恢复点,显示复合恢复点中包含的所有嵌套恢复点。您可以选中任何恢复点左侧的复选框,将其包含在要删除的恢复点选择中。
1. 单击删除按钮。
当您使用控制台删除一个或多个复合恢复点时,将弹出一个警告框。此警告框要求您确认删除复合恢复点的意图,包括复合堆栈中的嵌套恢复点。
要使用 API 删除恢复点,请使用 DeleteRecoveryPoint 命令。
将 API 与一起使用时, AWS Command Line Interface 必须先删除所有嵌套的恢复点,然后才能删除复合点。
### 取消嵌套恢复点与复合恢复点的关联
您可以取消嵌套恢复点与复合恢复点的关联(例如,您希望保留嵌套恢复点但删除复合恢复点)。此时两个恢复点都将保留,但它们将不再联系在一起;也就是说,在取消关联后,在复合恢复点上发生的操作将不再应用于嵌套恢复点。Amazon EKS 集群状态子恢复点无法解除关联,因为它与其父复合恢复点保持 1:1 的关系。
您可以使用控制台取消与恢复点的关联,也可以调用 API DisassociateRecoveryPointFromParent。
## 复制恢复点
您可以复制复合恢复点,也可以复制嵌套恢复点(如果资源支持[跨账户和跨区域复制](backup-feature-availability.md#features-by-resource))。
要使用 AWS Backup 控制台复制恢复点,请执行以下操作:
在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 单击左侧导航栏中的文件**库**,然后转到包含要复制的恢复点的保管库。在文本框中键入`EKS`以仅显示 Amazon EKS 集群的恢复点。
1. 复合恢复点和嵌套恢复点都将显示在恢复点 ID 窗格下。请注意,您无法选择和复制嵌套的 EKS 恢复点。
1. 可以单击每个复合恢复点 ID 左侧的箭头符号进行展开,显示组合中包含的所有嵌套恢复点。您可以单击任何恢复点左侧的方形复选框将其复制。
1. 选中后,单击窗格右上角的 “**操作**” 下拉列表,然后单击 “**复制**”。
Amazon EKS 备份支持所有副本类型:
+ 相同地区/账户
+ 跨账户
+ 跨区域
+ 选择加入区域
## 限制
+ 不支持通过 CSI 迁移、树内存储插件或 ACK 控制器使用 CSI 驱动程序的永久卷。请注意,注释`volume.kubernetes.io/storage-provisioner: ebs.csi.aws.com`是表示哪个配置者可以管理卷的元数据,而不是该卷使用 CSI。实际的配置器由 StorageClass 决定。
+ MountPoints 无法备份附加到 CSI 驱动程序的特定前缀的 Amazon S3 存储桶。仅支持 Amazon S3 存储桶作为目标,不支持特定的前缀。
+ 作为 EKS 集群备份一部分的 Amazon S3 存储桶备份将仅支持快照备份。
+ 不支持通过 EKS 备份跨账户备份 EFS 文件系统。
+ EKS 备份不支持 FSx 通过 CSI 驱动程序实现亚马逊。
+ AWS Backup 不支持 O AWS utposts 上的亚马逊 EKS。
+ 视[备份和还原配额](aws-backup-limits.html)而定。
## Backup 作业已完成,但存在问题
在备份 Amazon EKS 集群时,可能无法检索某些 Kubernetes 对象。在这种情况下,备份任务将以`Completed with issues`状态完成,而不是完全失败,并显示以下状态消息:
+ 某些 Kubernetes 对象无法备份。要获得有关这些故障的通知,[请启用 SNS 事件通知](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-notifications.html)。
由于 A [mazon EKS Metrics Server Add On 不可用问题导致 503 服务不可用错误,因此在备份任务期间可能会跳过以下 Kubernet](https://docs.aws.amazon.com/eks/latest/userguide/metrics-server.html) es 对象类型。有关[故障排除指南](https://repost.aws/knowledge-center/eks-resolve-http-503-errors-kubernetes),请参阅此处。
+ `metrics.k8s.io`
+ `custom.metrics.k8s.io`
+ `external.metrics.k8s.io`
+ `metrics.eks.amazonaws.com`
## 常见问题
1. *“Amazon EKS 备份中包含了什么?”*
作为 Amazon EKS 集群的每次备份的一部分,都会对所 AWS Backup 支持的 Amazon EKS 集群状态和永久卷进行备份。Amazon EKS 集群状态包括集群名称、IAM 角色、Amazon VPC 配置、网络设置、日志、加密、插件、访问条目、托管节点组、Fargate 配置文件、Pod 身份关联和 Kubernetes 清单文件等详细信息。
1. *“`Partial` 状态是否意味着创建备份失败?”*
不是。“部分”这一状态表示有些恢复点已备份,而有些则未备份。有两个条件可以检查您是否期望得到`Completed`备份结果:
1. 属于群集内资源的一个或多个备份任务未成功,必须重新运行该作业。
1. 已删除嵌套恢复点或已取消它与复合恢复点的关联
1. *“在备份之前,我是否需要在我的 Amazon EKS 集群上安装代理或 Amazon EKS 附加组件?”*
不是。 AWS Backup 不需要在您的 Amazon EKS 集群上安装任何代理或附加组件。唯一的先决条件是将 EKS 集群的[授权模式](https://docs.aws.amazon.com/eks/latest/userguide/setting-up-access-entries.html)设置为 API 或 API\$1AND \$1CONFIG\$1MAP, AWS Backup 以便创建[访问 EKS 集群的访问条目](https://docs.aws.amazon.com/eks/latest/userguide/access-entries.html)。
1. *“Amazon EKS 备份包括亚马逊 EKS 基础设施组件还是亚马逊 ECR 映像?”*
不是。 Amazon EKS 备份侧重于 EKS 集群状态和应用程序工作负载,而不是底层基础设施组件或容器映像。
1. *“我能否将我的 EKS 复合恢复点生命周期到冷存储?”*
对于支持冷存储层的底层子恢复点,您可以过渡到冷存储。有关支持的完整列表,请参阅[AWS Backup 功能可用](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource)性列表。
1. *“我的 EKS 备份是增量备份吗?”*
AWS Backup 将对当前支持的每个子恢复点进行增量备份,包括 EBS 卷、EFS 文件系统和 S3 存储桶。EKS 集群状态子恢复点将是完整备份。参见[AWS Backup 功能可用性表](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource)。
1. *“我能否创建索引并搜索我的 EKS 备份?”*
不行,但是您可以创建按需索引并搜索底层存储类型支持此功能的永久卷 AWS Backup。参见[AWS Backup 功能可用性表](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource)。
# Amazon EC2 上的 SAP HANA 备份
**注意**
[支持的服务由 AWS 区域](backup-feature-availability.md#supported-services-by-region)包含目前支持 Amazon EC2 实例上的 SAP HANA 数据库备份的区域。
AWS Backup 支持在 Amazon EC2 实例上备份和恢复 SAP HANA 数据库。
**Topics**
+ [使用 SAP HANA 数据库概述 AWS Backup](#saphanaoverview)
+ [通过以下方式备份 SAP HANA 数据库的先决条件 AWS Backup](#saphanaprerequisites)
+ [AWS Backup 控制台中的 SAP HANA 备份操作](#saphanabackupconsole)
+ [查看 SAP HANA 数据库备份](#saphanaviewbackup)
+ [用 AWS CLI 于 SAP HANA 数据库 AWS Backup](#saphanaapicli)
+ [对 SAP HANA 数据库备份进行故障排除](#saphanatroubleshooting)
+ [使用时的 SAP HANA 术语表 AWS Backup](#saphanaglossary)
+ [AWS Backup 在 EC2 实例上支持 SAP HANA 数据库发行说明](#saphanareleasenotes)
## 使用 SAP HANA 数据库概述 AWS Backup
除了能够创建备份和还原数据库外, AWS Backup 与 Amazon EC2 Systems Manager for SAP 集成还可帮助客户识别和标记 SAP HANA 数据库。
AWS Backup 已与 AWS Backint Agent 集成,用于执行 SAP HANA 备份和恢复。有关更多信息,请参阅 [AWS Backint](https://docs.aws.amazon.com/sap/latest/sap-hana/aws-backint-agent-sap-hana.html)。
当您对 SAP HANA 进行备份时,您的快照和按需备份均为完整备份。但是,您可以通过启用连续备份以进行 point-in-time恢复 (PITR) 来实现增量备份。
## 通过以下方式备份 SAP HANA 数据库的先决条件 AWS Backup
在执行备份和还原活动之前,必须满足以下几个先决条件。请注意,您需要对 SAP HANA 数据库具有管理访问权限,并且需要在 AWS 账户中创建新 IAM 角色和策略的权限才能执行这些步骤。
在 [Amazon EC2 Systems Manager](https://docs.aws.amazon.com/ssm-sap/latest/userguide/get-started.html) 完成这些先决条件。
1. [ 为运行 SAP HANA 数据库的 Amazon EC2 实例设置所需的权限](https://docs.aws.amazon.com/ssm-sap/latest/userguide/get-started.html#ec2-permissions)
1. [在中注册凭证 AWS Secrets Manager](https://docs.aws.amazon.com/ssm-sap/latest/userguide/get-started.html#register-secrets)
1. [安装 AWS Backint 和 AWS Systems Manager 适用于 SAP 代理](https://docs.aws.amazon.com/sap/latest/sap-hana/aws-backint-agent-installing-configuring.html)
1. [ 验证 SSM Agent](https://docs.aws.amazon.com/ssm-sap/latest/userguide/get-started.html#verify-ssm-agent)
1. [ 验证参数](https://docs.aws.amazon.com/ssm-sap/latest/userguide/get-started.html#verification)
1. [ 注册 SAP HANA 数据库](https://docs.aws.amazon.com/ssm-sap/latest/userguide/get-started.html#register-database)
最佳做法是每个 HANA 实例只注册一次。多个注册可能会导致同一个数据库 ARNs 有多个注册。保持单个 ARN 和注册可以简化备份计划的创建与维护,还有助于减少计划外的重复备份。
## AWS Backup 控制台中的 SAP HANA 备份操作
设置这些先决条件和 SSM for SAP,即可备份和还原 EC2 上的 SAP HANA 数据库。
### 选择保护 SAP HANA 资源
AWS Backup 要用于保护您的 SAP HANA 数据库,必须将 SAP HANA 作为受保护的资源之一开启。要选择加入,请执行以下操作:
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 在左侧导航窗格中,选择**设置**。
1. 在**选择加入服务**下,选择**配置资源**。
1. 选择加入 **Amazon EC2 上的 SAP HANA**。
1. 单击**确认**。
现在,将启用 Amazon EC2 上 SAP HANA 的选择加入服务。
### 创建 SAP HANA 数据库的计划备份
您可以[编辑现有备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/updating-a-backup-plan.html)并向其中添加 SAP HANA 资源,也可以仅为 SAP HANA 资源[创建新的备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)。
如果您选择创建新的备份计划,则有三个选项:
1. **选项 1:从模板开始**
1. 选择备份计划模板。
1. 指定备份计划名称。
1. 单击**创建计划**。
1. **选项 2:构建新计划**
1. 指定备份计划名称。
1. (可选)指定要添加到备份计划的标签。
1. 指定备份规则配置。
1. 指定备份规则名称。
1. 选择现有的保管库或创建新的备份保管库。这是存储备份的位置。
1. 指定备份频率。
1. 指定备份时段。
*请注意,当前不支持转换到冷存储*。
1. 指定保留期。
*当前不支持复制到目的地*
1. (*可选*)指定要添加到恢复点的标签。
1. 单击**创建计划**。
1. **选项 3:使用 JSON 定义计划**
1. 通过修改现有备份计划的 JSON 表达式或创建新表达式,为您的备份计划指定 JSON。
1. 指定备份计划名称。
1. 单击**验证 JSON**。
成功创建备份计划后,可以在下一步中为备份计划分配资源。
无论使用哪种计划,都要确保[分配资源](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)。您可以选择要分配的 SAP HANA 数据库,包括系统数据库和租户数据库。您还可以选择排除特定资源 IDs。
### 创建 SAP HANA 数据库的按需备份
您可以[创建完整的按需备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-on-demand-backup.html),该备份在创建后立即运行。请注意,Amazon EC2 实例上的 SAP HANA 数据库的按需备份是完整备份;不支持增量备份。
现在已创建按需备份。它将开始备份您的指定资源。控制台会将您转到**备份作业**页面,您可以在其中查看作业进度。请记下屏幕顶部蓝色横幅中的备份作业 ID,因为您需要它才能轻松找到备份作业的状态。备份完成后,状态将变为 `Completed`。备份可能需要几小时的时间。
刷新**备份作业列表**可查看状态变化。您也可以搜索并单击**备份作业 ID** 以查看详细作业状态。
### 持续备份 SAP HANA 数据库
您可以进行[连续备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html),这可以与 point-in-time恢复 (PITR) 一起使用(请注意,按需备份会将资源保留在拍摄时的状态;而 PITR 使用连续备份来记录一段时间内的变化)。
使用连续备份,可以还原 EC2 实例上的 SAP HANA 数据库,方法是将其倒回您选择的特定时间,精确到 1 秒(最多回溯 35 天)。连续备份的工作原理是,首先创建资源的完整备份,然后不断备份资源的事务日志。PITR 恢复的工作原理是访问您的完整备份,然后将事务日志重放到您要求恢复的时间。 AWS Backup
在 AWS Backup 使用 AWS Backup 控制台或 API 创建备份计划时,您可以选择连续备份。
**使用控制台启用连续备份**
1. 登录 AWS 管理控制台,然后在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 在导航窗格中,选择**备份计划**,然后选择**创建备份计划**。
1. 在**备份计划**下,选择**添加备份计划**。
1. 在**备份规则配置**部分,选择**为支持的资源启用连续备份**。
禁用 SAP HANA 数据库备份的 [PITR(point-in-time恢复)](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html)后,日志将继续发送到中, AWS Backup 直到恢复点到期(状态等于`EXPIRED)`。您可以更改到 SAP HANA 中的替代日志备份位置,以停止向 AWS Backup传输日志。
状态为的连续恢复点`STOPPED`表示连续恢复点已中断;也就是说,从 SAP HANA 传输到 AWS Backup 的显示数据库增量更改的日志存在间隔。在此时间范围间隙内出现的恢复点状态为 `STOPPED.`。
有关在连续备份(恢复点)的还原作业期间可能遇到的问题,请参阅本指南的 [SAP HANA 还原故障排除](https://docs.aws.amazon.com/aws-backup/latest/devguide/saphana-restore.html#saphanarestoretroubleshooting)部分。
## 查看 SAP HANA 数据库备份
**查看备份和还原作业的状态:**
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 在导航窗格中,选择**作业**。
1. 选择备份作业、还原作业或复制作业以查看您的作业列表。
1. 搜索并单击作业 ID 以查看详细作业状态。
**查看保管库中的所有恢复点:**
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 在导航窗格中,选择**备份保管库**。
1. 搜索并单击备份保管库以查看该保管库中的所有恢复点。
**查看受保护资源的详细信息:**
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 在导航窗格中,选择**受保护的资源**。
1. 您也可以按资源类型进行筛选,以查看该资源类型的所有备份。
## 用 AWS CLI 于 SAP HANA 数据库 AWS Backup
备份控制台中的每个操作都有相应的 API 调用。
要以编程方式配置 AWS Backup 和管理其资源,请使用 API 调[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_StartBackupJob.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_StartBackupJob.html)用在 EC2 实例上备份 SAP HANA 数据库。
使用 `start-backup-job` 作为 CLI 命令。
## 对 SAP HANA 数据库备份进行故障排除
如果工作流中出现错误,请查阅以下错误和建议解决方案的示例:
**Python 先决条件**
+ **错误:自适用于 SAP 的 SSM 以来,Zypper 错误与 Python 版本有关**,需要 AWS Backup Python 3.6 但是 SUSE 12 SP5 默认支持 Python 3.4。
**解决方案:** SUSE12 SP5通过执行以下步骤在上安装多个版本的 Python:
1. 运行 update-alternations 命令,在 '/ 3 '中为 Python 3 创建符号链接。usr/local/bin/' instead of directly using '/usr/bin/python此命令会将 Python 3.4 设置为默认版本。命令是:`# sudo update-alternatives —install /usr/local/bin/python3 python3 /usr/bin/python3.4 5`
1. 通过运行以下命令将 Python 3.6 添加到备用配置中:`# sudo update-alternatives —install /usr/local/bin/python3 python3 /usr/bin/python3.6 2`
1. 通过运行以下命令将备用配置更改为 Python 3.6:`# sudo update-alternatives —config python3`
应显示以下输出:
```
There are 2 choices for the alternative python3 (providing /usr/local/bin/python3).
Selection Path Priority Status
* 0 /usr/bin/python3.4 5 auto mode
1 /usr/bin/python3.4 5 manual mode
2 /usr/bin/python3.6 2 manual mode
Press enter to keep the current choice[*], or type selection number:
```
1. 输入与 Python 3.6 对应的数字。
1. 检查 Python 版本并确认正在使用 Python 3.6。
1. (*可选,但建议这样做*)验证 Zypper 命令是否按预期运行。
**Amazon EC2 Systems Manager for SAP 发现和注册**
+ **错误:由于禁止访问和 SSM 的公共端点,SAP 版 SSM 无法发现工作负载**。 AWS Secrets Manager
**解决方案:**测试是否可以从您的 SAP HANA 数据库访问这些端点。如果无法访问,则可以为 AWS Secrets Manager 和 SSM for SAP 创建 Amazon VPC 端点。
1. 运行以下命令,测试能否从适用于 HANA 数据库的 Amazon EC2 主机访问 Secrets Manager:`aws secretsmanager get-secret-value —secret-id hanaeccsbx_hbx_database_awsbkp`。如果该命令未能返回值,则防火墙正在阻止对 Secrets Manager 服务端点的访问。日志将在“从 Secrets Manager 检索密钥”步骤停止。
1. 通过运行命令 `aws ssm-sap list-registration`,测试与 SSM for SAP 端点的连接。如果该命令未能返回值,则防火墙正在阻止对 SSM for SAP 端点的访问。
错误示例:`Connection was closed before we received a valid response from endpoint URL: “https://ssm-sap.us-west-2.amazonaws.com/register-application"`。
如果无法访问端点,则有两个选项可供选择。
+ 打开防火墙端口以允许访问 Secrets Manager 和 SSM for SAP 的公有服务端点;或者,
+ 为 Secrets Manager 和 SSM for SAP 创建 VPC 端点,然后:
+ 确保为 DNSSupport 和启用了 Amazon VPC DNSHostname。
+ 确保您的 VPC 端点已启用“允许私有 DNS 名称”。
+ 如果 SSM for SAP 发现成功完成,则日志将显示已发现主机。
+ **错误: AWS Backup 由于访问 AWS Backup 服务公共端点受阻,Backint 连接失败。** `aws-backint-agent.log`可以显示类似于以下内容的错误:`time="2024-01-03T11:39:15-08:00" level=error msg="Storage configuration validation failed: missing backup data plane Id"`或`level=fatal msg="Error performing backup missing backup data plane Id`。此外, AWS Backup 控制台还可以显示 `Fatal Error: An internal error occured.`
**解决方案:**打开防火墙端口以允许访问公有服务端点(HTTPS)。使用此选项后,DNS 将通过公有 IP 地址解析对 AWS 服务的请求。
+ **错误:由于 HANA 密码包含特殊字符,SSM for SAP 注册失败。**示例错误可能包括使用 `hdbsql` 对 `systemdb` 和 `tenantdb` 测试连接之后的 `Error connecting to database HBX/HBX when validating its credentials.` 或 `Discovery failed because credentials for HBX/SYSTEMDB either not provided or cannot be validated.`(从 HANA 数据库 Amazon EC2 实例进行测试)。
在 AWS Backup控制台的 “作业” 页面中,备份任务详细信息可以显示错误`FAILED`的状态`Miscellaneous: b’* 10: authentication failed SQLSTATE: 28000\n’`。
**解决方案:**确保您的密码不含特殊字符,例如 \$1。
+ **错误:`b’* 447: backup could not be completed: [110507] Backint exited with exit code 1 instead of 0. console output: time...`**
**解决方案:**适用于 SAP HANA 的 AWS BackInt 代理安装可能未成功完成。请重试在 SAP 应用程序服务器上部署 [AWS Backint Agent](https://docs.aws.amazon.com/sap/latest/sap-hana/aws-backint-agent-sap-hana.html) 和 [Amazon EC2 Systems Manager Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html) 的过程。
+ **错误:注册后,控制台与日志文件不匹配。**
发现日志显示,由于密码包含特殊字符,在尝试连接到 HANA 数据库时注册失败。尽管 SSM for SAP 的 Application Manager for SAP 控制台显示注册成功,但它无法确认注册成功。如果控制台显示注册成功,但日志未显示成功,则备份将失败。
**确认注册状态:**
1. 登录 [SSM 控制台](https://console.aws.amazon.com//systems-manager)
1. 从左侧导航窗格中选择**运行命令**。
1. 在文本字段**命令历史记录**下输入 `Instance ID:Equal:`,其值等于您用于注册的实例。这将筛选命令历史记录。
1. 使用命令 ID 列查找状态为 `Failed` 的命令。然后,找到的文档名称**AWSSystemsManagerSAP-Discovery**。
1. 在中 AWS CLI,运行命令`aws ssm-sap register-application status`。如果返回的值显示为 `Error`,则表示注册失败。
**解决方案:**确保您的 HANA 密码不含特殊字符(例如“\$1”)。
**创建 SAP HANA 数据库的备份**
+ **错误:创建 AWS Backup SystemDB 或 TenantDB 的按需备份时,控制台会显示 “致命错误” 消息。**之所以发生这种情况,是因为无法访问公有端点。这是由阻止访问此端点的客户端防火墙造成的。
`aws-backint-agent.log` 可能会显示 `level=error msg="Storage configuration validation failed: missing backup data plane Id"` 或 `level=fatal msg="Error performing backup missing backup data plane Id."` 之类的错误
**解决方案:**打开对公有端点的防火墙访问权限。
+ **错误:**`Database cannot be backed up while it is stopped`。
**解决方案:**确保要备份的数据库处于活动状态。只有在数据库处于在线状态时,才能备份数据库数据和日志。
+ **错误**:`Getting backup metadata failed. Check the SSM document execution for more details.`
**解决方案:**确保要备份的数据库处于活动状态。只有在数据库处于在线状态时,才能备份数据库数据和日志。
**监控备份日志**
+ **错误**:`Encountered an issue with log backups, please check SAP HANA for details.`
**解决方案:**检查 SAP HANA,确保日志备份是 AWS Backup 从 SAP HANA 发送到的。
+ **错误**:`One or more log backup attempts failed for recovery point.`
**解决方案:**有关详细信息,请检查 SAP HANA。确保 AWS Backup 从 SAP HANA 向发送日志备份。
+ **错误**:`Unable to determine the status of log backups for recovery point.`
**解决方案:**有关详细信息,请检查 SAP HANA。确保 AWS Backup 从 SAP HANA 向发送日志备份。
+ **错误:**`Log backups for recovery point %s were interrupted due to a restore operation on the database.`
**解决方案:**等待还原任务完成。日志备份应该会恢复。
## 使用时的 SAP HANA 术语表 AWS Backup
**数据备份类型:**SAP HANA 支持两种类型的数据备份:完整备份和 INC(增量)备份。 AWS Backup 优化了每次备份操作期间使用的类型。
**目录备份:**SAP HANA 维护自己的名为*目录*的清单。 AWS Backup 与这个目录互动。每个新备份都会在该目录中创建一个条目。
**连续日志备份(事务日志)**:对于时间点故障恢复 (PITR) 功能,SAP HANA 会跟踪自最近一次备份以来的所有事务。
**系统复制:**一种还原作业,其中的还原目标数据库与创建恢复点的源数据库不同。
**破坏性还原:**破坏性还原是一种还原作业,在此期间,还原的数据库会删除或覆盖源数据库或现有数据库。
**FULL:**完整备份是指备份整个数据库。
**INC:**增量备份是指备份自上次备份以来对 SAP HANA 数据库进行的所有更改。
## AWS Backup 在 EC2 实例上支持 SAP HANA 数据库发行说明
当前不支持某些功能:
+ 连续备份(使用事务日志)无法复制到其他区域或账户。可以将快照备份从完整备份复制到支持的区域和账户。
+ 当前不支持 Backup Audit Manager 和报告。
+ [支持的服务由 AWS 区域](backup-feature-availability.md#supported-services-by-region) 包含目前支持 Amazon EC2 实例上的 SAP HANA 数据库备份的区域。
# Amazon S3 备份
## 概述
AWS Backup 支持将数据单独存储在 S3 中或与其他数据库、存储和计算 AWS 服务一起存储数据的应用程序的集中备份和恢复。许多[功能可用于进行 S3 备份](backup-feature-availability.md#features-by-resource),包括 Backup Audit Manager。
您可以在中使用单一备份策略 AWS Backup 来集中自动创建应用程序数据的备份。 AWS Backup 自动将不同 AWS 服务和第三方应用程序的备份组织到一个集中的加密位置(称为[备份保管库](https://docs.aws.amazon.com/aws-backup/latest/devguide/vaults.html)),以便您可以通过集中式体验管理整个应用程序的备份。对于 S3,您可以创建连续备份,还原存储在 S3 中的应用程序数据,只需单击一下 point-in-time即可将备份还原到。
## Backup 分层
Amazon S3 是唯一支持将备份分层到成本较低的温存储层的资源。有关更多信息,请参阅 [Backup 分层。](backup-tiering.md)
## S3 备份的先决条件
### Amazon S3 备份和还原权限和策略
要备份、复制和还原 S3 资源,您的角色中必须有正确的策略。要添加这些策略,请转到 [AWS 托管策略](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#aws-managed-policies)。将 [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html) 和 [AWSBackupServiceRolePolicyForS3Restore 添加到您打算用于备份和还原](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) S3 存储桶的角色中。
如果您没有足够的权限,需请求贵组织管理(管理员)账户的经理将这些策略添加到目标角色。
有关更多信息,请参阅《IAM 用户指南》**中的[托管策略与内联策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。
### 备份和版本控制
您必须[在 S3 存储桶上启用 S3 版本控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html)才能用 AWS Backup 于 Amazon S3。
建议您为 S3 版本[设置生命周期过期时段](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)。
备份开始时,存储桶中的所有对象(包括所有版本)都将存储在恢复点(已完成的备份)中。这些对象可能包括每个对象的当前版本、旧版本、删除标记和待执行生命周期操作的对象。
亚马逊将计算备份中所有对象的存储成本,包括计划删除的对象(即将到期的对象)。您可以使用 CLI 或脚本从备份中删除计划到期的对象。
要了解有关设置 S3 生命周期策略的更多信息,请按照[本页上](https://docs.aws.amazon.com/AmazonS3/latest/userguide/lifecycle-expire-general-considerations.html)的说明进行操作。
### Amazon S3 备份的注意事项
在备份 S3 资源时,应考虑以下几点:
+ **重点对象元数据支持**- AWS Backup 支持以下元数据:标签、访问控制列表 (ACLs)、用户定义的元数据、原始创建日期和版本 ID。您也可以还原除原始创建日期、版本 ID、存储类和电子标签之外的所有备份数据和元数据。
+ 恢复 S3 对象时,即使原始对象未使用校验和功能,也会 AWS Backup 应用校验和值。
+ S3 对象键名称可以由大多数 UTF-8 可编码字符串组成。允许使用以下 Unicode 字符:`#x9` \$1 `#xA` \$1 `#xD` \$1 `#x20 to #xD7FF` \$1 `#xE000 to #xFFFD` \$1 `#x10000 to #x10FFFF`。
如果对象键名称包含不在此列表中的字符,可以将其从备份中排除。
+ **冷存储过渡**-使用 AWS Backup 生命周期管理策略来定义备份到期的时间表。不支持对 S3 备份进行冷存储转换。
+ 对于定期备份, AWS Backup 请尽最大努力跟踪对象元数据的所有更改。但是,如果您在 1 分钟内多次更新标签或 ACL, AWS Backup 可能无法捕获所有中间状态。
+ AWS Backup 不支持[ SSE-C-encrypted](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html)对象备份。 AWS Backup 也不支持存储桶配置的备份,包括存储桶策略、设置、名称或访问点。
+ AWS Backup 不支持在上备份 S3 AWS Outposts。
+ CloudTrail logging — 如果您@@ **记录**数据读取事件,则必须将 CloudTrail 日志传输到其他目标存储桶。如果您将 CloudTrail 日志保存在他们记录的存储桶中,则会出现无限循环,这可能会导致意外费用。
有关更多信息,请参阅《CloudTrail 用户指南》中的[数据事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events)**。
+ **服务器访问日志记录**:如果启用服务器访问日志记录,必须将日志传输到其他目标存储桶。如果将这些日志保存在它们记录的存储桶中,则会出现无限循环。有关更多信息,请参阅[启用 Amazon S3 服务器访问日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。
## 支持的存储桶类型、数量和对象大小
AWS Backup 支持对任何大小(不超过 Amazon S3 支持的最大对象大小)的 S3 对象进行备份和还原操作。
AWS Backup 支持通用型 S3 存储桶的备份和恢复。目前,不支持目录存储桶。
AWS 账户中允许的资源(例如存储桶)数量的上限(称为配额)取决于服务。[Amazon S3 配额](https://docs.aws.amazon.com/AmazonS3/latest/userguide/BucketRestrictions.html)与 [AWS Backup 配额](aws-backup-limits.md)不同。
默认情况下,在每个 AWS 账户中,您最多可以为 100 个存储桶创建备份。您可以请求将配额提高到 1000 个存储桶。
超过 1000 个存储桶的账户受配额限制;当请求超出配额时,可能会导致作业失败。最佳实践是将账户限制在 1000 个存储桶以内。
## 支持的 S3 存储类
AWS Backup 允许您备份存储在以下 S3 [存储类中的 S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html) 数据:
+ S3 标准
+ S3 标准 - 不频繁访问(IA)
+ S3 单区 - IA
+ S3 Glacier Instant Retrieval
+ S3 Intelligent-Tiering (S3 INT)
存储类 [S3 Intelligent-Tiering(INT)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html#sc-dynamic-data-access)中对象的备份可以访问这些对象。此访问会触发 S3 Intelligent-Tiering 自动将这些对象移至“频繁访问”。
对于访问包括“S3 Standard - Infrequent Access(IA)”和“S3 One Zone - IA”类别在内的“Infrequent Access”层的备份,将按“Frequent Access”的 S3 存储费用收费(适用于“Infrequent Access”或“Archive Instant Access”层)。
不支持归档存储类别 S3 Glacier Flexible Retrieval 和 S3 Glacier Deep Archive。
有关 Amazon S3 存储定价的更多信息,请参阅 [Amazon S3 定价](https://aws.amazon.com/s3/pricing/)。
## S3 备份类型
使用 AWS Backup,您可以为 S3 存储桶创建以下类型的备份,包括对象数据、标签、访问控制列表 (ACLs) 和用户定义的元数据:
+ **连续备份**允许您还原至最近 35 天内的任何时间点。仅应在一个备份计划中配置 S3 存储桶的连续备份。
有关支持的服务列表以及如何使用 AWS Backup 进行连续备份的说明,请参阅[时间点故障恢复](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html)。
+ **定期备份**使用数据快照,允许您在指定的持续时间内保留数据,最长可达 99 年。您可以按照 1 小时、12 小时、1 天、1 周或 1 个月等频率安排定期备份。 AWS Backup 在[备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/about-backup-plans.html)中定义的备份时段内进行定期备份。
要了解如何将[备份计划 AWS Backup 应用于您的资源,请参阅创建](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)备份计划。
跨账户和跨区域副本可用于 S3 备份,但连续备份的副本不具有 point-in-time还原功能。
S3 存储桶的连续和定期备份必须位于同一个备份保管库中。
AWS Backup 因为 S3 依赖于通过亚马逊接收 S3 事件 EventBridge。如果在 S3 存储桶通知设置中禁用此设置,则在关闭此设置的情况下,将停止对这些存储桶的连续备份。有关更多信息,请参阅[使用 EventBridge](https://docs.aws.amazon.com/AmazonS3/latest/userguide/EventBridge.html)。
对于这两种备份类型,第一次备份是完整备份,而后续备份是对象级别的增量备份。
## 比较 S3 备份类型
您的 S3 资源备份策略可以仅包括连续备份,也可以仅包括定期(快照)备份,或者两者兼而有之。以下信息可以帮助您选择最适合贵组织的方法:
仅连续备份:
+ 完成现有数据的第一次完整备份后,系统会实时跟踪您的 S3 存储桶数据的更改。
+ 跟踪的更改允许您在连续备份的保留期内使用 PITR(point-in-time 恢复)。要执行还原作业,请选择要还原到的时间点。
+ 每次连续备份的保留期最长为 35 天。
+ 对于您通过 CLI 创建的备份计划,Amazon S3 的高级备份设置(包括包含标签和备份 ACLs 中的选项)默认处于启用状态。您可以在备份选项中排除这些内容。有关语法的示例,请参阅 [Amazon S3 高级备份设置](#s3-advanced-backup-settings)。
仅定期(快照)备份(计划备份或按需备份):
+ AWS Backup 扫描整个 S3 存储桶,检索每个对象的 ACL 和标签,然后为之前的快照中但在正在创建的快照中未找到的每个对象发起 Head 请求。
+ 备份是一 point-in-time致的。
+ 记录的备份日期和时间是 AWS Backup 完成存储桶遍历的时间,而不是创建备份任务的时间。
+ 存储桶的第一次备份是完整备份。后续的每次备份都是增量备份,表示自上次快照以来数据发生的变化。
+ 对于定期备份创建的快照,保留期最长可达 99 年。
连续备份与 periodic/snapshot 备份相结合:
+ 完成现有数据(每一个存储桶)的第一次完整备份后,系统会实时跟踪您的存储桶的更改。
+ 您可以从连续 point-in-time恢复点执行恢复。
+ 快照是一 point-in-time致的。
+ 快照直接从连续恢复点拍摄,无需重新扫描存储桶,从而加快处理速度。
+ 快照和连续恢复点共享数据沿袭;快照和连续恢复点之间的数据存储不会重复。
+ 当针对`continuous`恢复点更改高级 Amazon S3 备份设置(例如包括标签和备份 ACLs 中的设置)时,会 AWS Backup 停止该恢复点并使用更新的设置创建一个新的恢复点。
当针对 S3 存储桶运行连续备份作业时,您仍然可以启动定期(快照)备份作业。但是,以下行为适用:
+ 快照备份任务将使用与现有连续备份相同的备份选项(ACLs 和对象标签设置)。
+ 如果您为快照作业指定的备份选项与连续备份使用的备份选项不同,则该快照作业仍将使用连续备份的设置并在完成时显示“已完成,但存在问题”状态。
发生这种情况时,您将看到以下状态消息:`"Periodic/snapshot backup for bucket has different backup options than the continuous backup. When using continuous backups along with snapshot backups for the same bucket, the snapshot will use the same settings for backing up ACLs and Object tags as the continuous backup."`
下表显示了更改现有连续恢复点时何时需要 BackupOptions 进行全面扫描:
**修改后的完整扫描行为 BackupOptions**
| 上一页 BackupOptions | 全新 BackupOptions | 完全扫描 |
| --- | --- | --- |
| 备份ACLs 并 backupObjectTags 启用 | 备份ACLs 并 backupObjectTags 已禁用 | 否 |
| 备份ACLs 并 backupObjectTags 启用 | 备份ACLs 已启用;已 backupObjectTags 禁用 | 否 |
| 备份ACLs 并 backupObjectTags 启用 | 备份ACLs 已禁用; backupObjectTags 已启用 | 否 |
| 备份ACLs 并 backupObjectTags 已禁用 | 备份ACLs 并 backupObjectTags 启用 | 是 |
| 备份ACLs 已启用;已 backupObjectTags 禁用 | 备份ACLs 并 backupObjectTags 启用 | 是 |
| 备份ACLs 已禁用; backupObjectTags 已启用 | 备份ACLs 并 backupObjectTags 启用 | 是 |
## S3 备份完成窗口
下表显示了不同大小的存储桶示例,可帮助您估计 S3 存储桶初始完整备份的完成时间。备份时间将因每个存储桶的大小、内容、配置和设置而异。
| 桶大小 | 对象数 | 预计完成初始备份所需的时间 |
| --- | --- | --- |
| 425 GB | 1.35 亿 | 31 小时 |
| 800 TB | 6.7 亿 | 38 小时 |
| 6 PB | 50 亿 | 100 小时 |
| 370 TB | 75 亿 | 180 小时 |
## S3 备份的最佳实践和成本考虑因素
### 大型存储桶最佳实践
对于对象数超过 3 亿的存储桶:
+ 对于对象数超过 3 亿的存储桶,在存储桶的初始完整备份期间,备份速率最高可达每秒 17,000 个对象(增量备份的速度会有所不同);包含的对象数少于 3 亿的存储桶以接近每秒 1,000 个对象的速率进行备份。
+ 建议进行连续备份。
+ 如果计划的备份生命周期超过 35 天,还可以在存储连续备份的同一个保管库中为存储桶启用快照备份。
### 备份策略优化
+ 对于至少每天或更频繁地进行备份的客户,如果备份中的数据在两次备份之间变化最小,则使用连续备份可以实现成本效益。
+ 不经常更改的较大存储桶可以从连续备份中受益,因为无需对先前存在的对象(与之前的备份相比未更改的对象)执行整个存储桶的扫描以及每个对象的多个请求时,这可以降低成本。
+ 如果备份计划既包含保留期为 2 天的连续备份,又包含保留期更长的快照,则包含超过 1 亿个对象且删除率与总体备份大小相比较小的存储桶可能会实现成本效益。
+ 当不需要执行存储桶扫描时,定期(快照)备份时间与备份过程的开始时间一致。在同时包含连续备份和快照的存储桶中不需要执行扫描,因为在这些情况下,快照是从连续恢复点拍摄的。
### 对象生命周期和删除标记
+ S3 生命周期策略具有一项名为**删除过期对象删除标记**的可选功能。此功能停用后,删除标记(有时为数百万个)将在没有清理计划的情况下过期。备份没有此功能的存储桶时,有两个问题会影响时间和成本:
+ 就像对象一样备份删除标记。备份时间和还原时间可能会受到影响,具体取决于对象与删除标记的比例。
+ 备份的每个对象和标记都有最低费用。每个删除标记的费用与 128KiB 对象相同。
### 存储类别成本注意事项
+ 对于单个 S3-GIR(Amazon S3 Glacier Instant Retrieval)中的每个对象, AWS Backup 会执行多个调用,这将在执行备份时产生检索费用。
对于包含“S3 - IA”和“S3 单区 - IA”存储类对象的存储桶,也会产生类似的检索费用。
### AWS 服务成本优化
+ 将 AWS KMS、 CloudTrail CloudWatch、Amazon 和 Amazon 的功能 GuardDuty 作为备份策略的一部分,可能会产生超出 S3 存储桶数据存储的额外成本。有关如何调整这些功能的信息,请参阅以下内容:
+ 《Amazon S3 用户指南》**中的[使用 Amazon S3 存储桶密钥降低 SSE-KMS 的成本](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)。
+ 您可以通过排除 AWS KMS 事件和禁用 S3 数据事件来降低 CloudTrail 成本:
+ **排除 AWS KMS 事件:**在《*CloudTrail 用户指南》*中,在[控制台中创建跟踪(基本事件选择器)](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html#creating-a-trail-in-the-console)允许选择排除 AWS KMS 事件,从而将这些事件过滤出您的跟踪(默认设置包括所有 KMS 事件):
+ 只有当您在跟踪中记录管理事件时,用于记录或排除 KMS 事件的选项才可用。如果选择不记录管理事件,则不会记录 KMS 事件,并且您无法更改 KMS 事件日志记录设置。
+ AWS KMS 诸如`Encrypt``Decrypt`、和之类的操作`GenerateDataKey`通常会生成大量事件(超过 99%)。这些操作现在记录为**读取**事件。`Disable`、`Delete` 和 `ScheduleKey`(通常占不到 KMS 事件量的 0.5%)等少量的相关 KMS 操作记录为**写入**事件。
+ 如果要排除大批量事件(例如 `Encrypt`、`Decrypt` 和 `GenerateDataKey`),但仍然记录相关事件(例如 `Disable`、`Delete` 和 `ScheduleKey`),请选择记录**写入**管理事件,然后清除**排除 AWS KMS 事件**复选框。
+ **禁用 S3 数据事件:**默认情况下,跟踪和事件数据存储不记录数据事件。在初始备份之前禁用 S3 数据事件可降低成本。
+ 为了降低 CloudWatch 成本,您可以在更新跟踪以禁用 “ CloudWatch 日志” 设置时停止向 CloudWatch 日志发送 CloudTrail 事件。
+ 在 *Amazon GuardDuty 用户指南*中@@ [估算 GuardDuty 使用成本](https://docs.aws.amazon.com/guardduty/latest/ug/monitoring_costs.html)。
## S3 备份消息
备份作业完成或失败时,您可能会看到以下消息。下表有助于您确定导致出现状态消息的可能原因。
| 场景 | 作业状态 | Message | 示例 |
| --- | --- | --- | --- |
| 备份所有对象失败,无法创建快照或初始连续备份 | `FAILED` | “没有从源存储桶备份任何对象**BucketName**。要获得有关这些失败的通知,请启用 SNS 事件通知。” | 备份角色无权获取对象版本 ACL。因此,不会备份任何对象。 |
| 备份所有对象失败,无法创建后续连续备份。 | `COMPLETED` | “没有从源存储桶备份任何对象**BucketName**。要获得有关这些失败的通知,请启用 SNS 事件通知。” | |
## Amazon S3 高级备份设置
AWS Backup 提供高级设置来控制您的 Amazon S3 备份中包含哪些元数据。您可以选择排除访问控制列表 (ACLs) 和对象标签,如果您的对象设置时没有 ACLs 和对象标签,这会很有用。换句话说,如果您不对自己的 S3 资源使用 ACLs 或对象标签,则可能会发现将其排除在备份之外是有益的。
### 配置备份 ACLs 和对象标签
您可以通过 AWS Backup 控制台或通过配置 ACL 和对象标签备份选项 AWS CLI。
------
#### [ Console ]
**使用控制台配置 ACL 和标签选项**
1. 打开 AWS Backup 控制台,网址为[https://console.aws.amazon.com/backup/](https://console.aws.amazon.com/backup/home)。
1. 在导航窗格中,选择**备份计划**,然后选择**创建备份计划**。
1. 在备份计划设置中,展开**高级备份设置**。
1. 对于 Amazon S3 资源,配置以下选项:
+ **备份 ACLs**:选中要包含的复选框 ACLs或取消选中该复选框将其排除在外。
**备份对象标签**:选中此复选框可在备份中包含对象标签。
1. 完成备份计划配置,然后选择**创建计划**。
------
#### [ AWS CLI ]
您可以使用以下备份选项有选择地在 Amazon S3 备份中包含或排除访问控制列表 (ACLs) 和对象标签:
Backup ACLs
控制对象 ACLs 是否包含在备份中。设置为`disabled`可排除 ACLs。默认值:`enabled`
BackupObjectTags
控制备份中是否包含对象标签。设置为 `disabled` 可排除标签。默认值:`enabled`
使用配置 ACL 和标记选项 AWS CLI
要使用配置 ACL 和对象标签备份选项 AWS CLI,请使用带有高级备份设置的`update-backup-plan`命令:
```
aws backup update-backup-plan \
--backup-plan-id "your-backup-plan-id" \
--backup-plan '{
"BackupPlanName": "MyS3BackupPlan",
"Rules": [{
"RuleName": "MyS3BackupRule",
"TargetBackupVaultName": "MyBackupVault",
"ScheduleExpression": "cron(0 2 ? * * *)",
"Lifecycle": {
"DeleteAfterDays": 30
},
"RecoveryPointTags": {},
"CopyActions": [],
"EnableContinuousBackup": false
}],
"AdvancedBackupSettings": [{
"ResourceType": "S3",
"BackupOptions": {
"BackupACLs": "disabled",
"BackupObjectTags": "disabled"
}
}]
}'
```
这些 `BackupOptions` 参数用于控制是否包含这些元数据:
+ `"BackupACLs": "disabled"`- ACLs 从备份中排除
+ `"BackupObjectTags": "disabled"` – 从备份中排除对象标签
+ `"BackupACLs": "enabled"`-包含 ACLs 在备份中(默认)
+ `"BackupObjectTags": "enabled"` – 在备份中包含对象标签(默认)
------
# Amazon Timestream 备份
Amazon Timestream 是一个可扩展的时间序列数据库,允许每天存储和分析多达数万亿个时间序列数据点。Timestream 经过优化,可将最新数据保存在内存中,并根据您的策略将历史数据存储在成本优化的存储层中,从而节省成本和时间。
Timestream 数据库包含表。这些表包含记录,而每条记录都是时间序列中的单个数据点。时间序列是按时间间隔记录的一系列记录,例如股票价格、Amazon EC2 实例的内存使用水平或温度读数。 AWS Backup 可以集中备份和恢复 Timestream 表。您可以将这些表备份复制到其他账户以及同一组织 AWS 区域 内的其他多个账户。
Timestream 目前不提供本机备份和还原服务,因此使用 AWS Backup 来创建 Timestream 表的安全副本可以为您的资源增加一层额外的安全性和弹性。
## 备份 Timestream 表
您可以通过 AWS Backup 控制台或使用来备份 Timestream 表。 AWS CLI
使用 AWS Backup 控制台备份 Timestream 表有两种方法:按需备份或作为备份计划的一部分。
### 创建按需 Timestream 备份
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 使用导航窗格选择**受保护的资源**,然后选择**创建按需备份**。
1. 在**创建按需备份**页面上,选择 Amazon Timestream。
1. 选择**资源类型** Timestream,然后选择要备份的表名称。
1. 在“备份”窗口中,确保选中**立即创建备份**。这将立即启动备份,使您能够在**受保护的资源**页面上更快地看到您的集群。
1. 在**转换为冷存储**下拉菜单中,可以设置转换设置。
1. 在**保留期**中,您可以选择将备份保留多长时间。
1. 选择现有的备份保管库或创建新的备份保管库。选择**新建备份保管库**将打开用于创建保管库的新页面,然后在完成时返回到**创建按需备份**页面。
1. 在 **IAM 角色**下,选择** AWS Backup 默认角色**(如果您的账户中不存在默认角色,则系统将使用正确的权限为您创建该角色)。
1. *或者,*可以将标签添加到您的恢复点。如果您要将一个或多个标签分配到按需备份,请输入**键**和可选**值**,然后选择**添加标签**。
1. 选择**创建按需备份**。此操作将您转至**作业**页面,在其中可以看到作业的列表。
1. 选择集群的**备份作业 ID** 以查看该作业的详细信息。它将显示 `Completed`、`In Progress` 或 `Failed` 状态。您可以单击刷新按钮更新显示的状态。
### 在备份计划中创建 Timestream 计划备份
如果 Timestream 表是受保护的资源,则您的计划备份可以包括这些表。要选择保护 Amazon Timestream 表,请执行以下操作:
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 使用导航窗格,选择**受保护的资源**。
1. 将 Amazon Timestream 切换为**开启**。
1. 请参阅[为控制台分配资源](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html#assigning-resources-console)以在现有计划或新计划中包含 Timestream 表。
在**管理备份计划**下,您可以选择[创建备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)并包含 Timestream 表,也可以[更新现有计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/updating-a-backup-plan.html)以包含 Timestream 表。添加资源类型 *Timestream* 时,您可以选择添加**所有 Timestream 表**,也可以在**选择特定的资源类型**下选中要添加的表旁边的复选框。
对 Timestream 表所进行的第一个备份将是完整备份。后续备份将是增量备份。
创建或修改备份计划后,导航至左导航窗格中的“备份计划”。您指定的备份计划应该会在**资源分配**下显示您的集群。
### 以编程方式进行备份
您可以使用操作名称 `start-backup-job`。包括以下参数:
```
aws backup start-backup-job \
--backup-vault-name backup-vault-name \
--resource-arn arn:aws:timestream:region:account:database/database-name/table/table-name \
--iam-role-arn arn:aws:iam::account:role/role-name \
--region AWS 区域 \
--endpoint-url URL
```
## 查看 Timestream 表备份
要在控制台中查看和修改 Timestream 表备份,请执行以下操作:
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 选择**备份保管库**。然后,单击包含您的 Timestream 表的备份保管库名称。
1. 备份保管库将显示摘要和备份列表。
1. 您可以单击**恢复点 ID** 列中的链接,或者
1. 您可以选中恢复点 ID 左侧的复选框,然后单击**操作**以删除不再需要的恢复点。
## 还原 Timestream 表
请参阅如何[还原 Timestream 表](https://docs.aws.amazon.com/aws-backup/latest/devguide/timestream-restore.html)
# 虚拟机备份
AWS Backup 支持本地 VMware 虚拟机 (VMs) 以及 VMware 云端™ (VMC) 和 Cloud™ (VMC) 上的集中 AWS 和 VMware 自动数据保护。 VMs AWS Outposts您可以从本地和 VMC 虚拟机备份到。 AWS Backup然后,您可以从本地 VMs、 VMs 在 VMC 中或开启的 VMC 中恢复 AWS Backup 到本地。 AWS Outposts
AWS Backup 还为您提供完全托管的 AWS本机虚拟机备份管理功能,例如虚拟机发现、备份计划、保留管理、低成本存储层、跨区域和跨账户复制、对 V AWS Backup ault Lock 和 Audit Manag AWS Backup er 的支持、独立于源数据的加密以及备份访问策略。有关功能的完整列表和详细信息,请参阅[按资源划分的功能可用性](backup-feature-availability.md#features-by-resource)表。
您可以在 [VMware Cloud™ 上](https://aws.amazon.com/vmware/aws-services/)使用 AWS Backup 来保护您的虚拟机 AWS Outposts。 AWS Backup 将您的虚拟机备份存储在 AWS 区域 您的 VMware Cloud™ 所连接 AWS Outposts 的中。当您使用 VMware Cloud™ AWS Backup VMs 时,您可以使用 AWS Backup 来保护 VMware Cloud™, AWS Outposts 以满足应用程序数据的低延迟和本地数据处理需求。根据您的数据驻留要求,您可以选择 AWS Backup 将应用程序数据的备份存储在所连接 AWS 区域 的父级中。 AWS Outposts
## 支持的 VMs
AWS Backup 可以备份和恢复由 VMware vCenter 管理的虚拟机。
**当前支持:**
+ vSphere 8、7.0 和 6.7
+ 大小为 1 KiB 倍数的虚拟磁盘
+ 本地和 VMC 中的 NFS、VMFS 和 VSAN 数据存储库 AWS
+ SCSI 热添加和网络块设备安全套接字层 (NBDSSL) 传输模式,用于将数据从源复制到本地 VMs AWS VMware
+ 热添加模式可在 VMware Cloud VMs on 上进行保护 AWS
**当前不支持:**
+ RDM(原始磁盘映射)磁盘或 NVMe 控制器及其磁盘
+ 独立持久性磁盘模式和独立非持久性磁盘模式
## 备份一致性
AWS Backup,默认情况下, VMs 使用虚拟机上的 T VMware ools 静默设置捕获应用程序一致的备份。如果您的应用程序与 T VMware ools 兼容,则您的备份将保持应用程序一致。如果暂停功能不可用,则 AWS Backup 捕获崩溃一致的备份。请通过还原测试,验证您的备份是否满足组织的需求。
## Backup Gateway
Backup Gateway 是可下载的 AWS Backup 软件,您可以将其部署到 VMware基础架构中以连接您的基础架构 VMware VMs 。 AWS Backup网关连接到您的虚拟机管理服务器,以发现 VMs、发现您的数据 VMs、加密数据并高效地将数据传输到。 AWS Backup下图说明了 Backup 网关如何连接到您的 VMs:
![\[备份网关是将您的 VMware 环境连接到的 OVF 模板 AWS Backup。\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/images/Horizon.png)
要下载 Backup Gateway 软件,请按照[使用网关](working-with-gateways.md)的步骤操作。
### 下载虚拟机软件
Backup 网关以 OVF(开放虚拟化格式)模板的形式分发,您可以将其部署到您的 VMware 基础架构中。网关软件 AWS Backup 通过发现 VMs、加密数据以及高效地将数据传输到,将您 VMware VMs 连接到。 AWS Backup
要获取 OVF 模板,请使用 AWS Backup 控制台:
1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 在左侧导航窗格的**外部资源**下,选择**网关**。
1. 选择**创建网关**。
1. 在**设置网关**部分,下载 OVF 模板并将其部署到您的 VMware 环境中。
有关 VPC(虚拟私有云)终端节点的信息,请参阅[AWS Backup 和 AWS PrivateLink 连接](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-network.html#backup-privatelink)。
Backup Gateway 附带自己的 API,该接口独立于 AWS Backup API 进行维护。要查看 Backup Gateway API 操作列表,请参阅 [Backup Gateway 操作](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Operations_AWS_Backup_Gateway.html)。要查看 Backup Gateway API 数据类型列表,请参阅 [Backup Gateway 数据类型](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Types_AWS_Backup_Gateway.html)。
## 端点
如果现有用户当前使用的是公有端点,希望切换到 VPC(虚拟私有云)端点,可以使用 [AWS PrivateLink](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-network.html#backup-privatelink) [创建带 VPC 端点的新网关](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html#create-gateway),将现有虚拟机监控程序关联到该网关,然后[删除包含公有端点的网关](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html#edit-gateway)。
# 将您的基础设施配置为使用 Backup Gateway
Backup Gateway 需要具备以下网络、防火墙和硬件配置才能备份和还原虚拟机。
## 网络配置
Backup Gateway 要求允许特定端口来执行其操作。请允许使用以下端口:
1. **TCP 443 出站**
+ 源:Backup Gateway
+ 目的地: AWS
+ 使用:允许 Backup 网关与通信 AWS。
1. **TCP 80 入站**
+ 来源:您用来连接的主机 AWS 管理控制台
+ 目的地:Backup Gateway
+ 用法:由本地系统用于获取 Backup Gateway 激活密钥。端口 80 仅在激活 Backup 网关期间使用。 AWS Backup 不要求端口 80 可以公开访问。端口 80 所需的访问级别取决于网络配置。如果您从激活网关 AWS 管理控制台,则从中连接到控制台的主机必须能够访问网关的端口 80。
1. **UDP 53 出站**
+ 源:Backup Gateway
+ 目的地:域名服务 (DNS) 服务器
+ 用法:允许 Backup Gateway 与 DNS 通信。
1. **TCP 22 出站**
+ 源:Backup Gateway
+ 目的地: 支持
+ 使用: 支持 允许访问您的网关以帮助您解决问题。您无需打开此端口即可实现网关的正常操作,但在进行问题排查时必须将其打开。
1. **UDP 123 出站**
+ 源:NTP 客户端
+ 目的地:NTP 服务器
+ 用法:由本地系统用于将虚拟机时间同步到主机时间。
1. **TCP 443 出站**
+ 源:Backup Gateway
+ 目的地: VMware vCenter
+ 使用:允许 Backup 网关与 VMware vCenter 通信。
1. **TCP 443 出站**
+ 源:Backup Gateway
+ 目的地: ESXi 主机
+ 使用:允许 Backup 网关与 ESXi 主机通信。
1. **TCP 902 出站**
+ 源:Backup Gateway
+ 目的地: VMware ESXi 主机
+ 用法:用于通过 Backup Gateway 传输数据。
以上端口是 Backup Gateway 所必需的。有关如何为 AWS Backup配置 Amazon VPC 端点的更多信息,请参阅[创建 VPC 端点](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-network.html#backup-privatelink)。
## 防火墙配置
Backup 网关需要访问以下服务端点才能与之通信 Amazon Web Services。如果使用防火墙或路由器来筛选或限制网络流量,则必须配置防火墙和路由器以允许这些服务端点与 AWS进行出站通信。不支持在 Backup Gateway 和服务点之间使用 HTTP 代理。
**终端节点类型**
**标准端点**:Supp IPv4 ort 支持您的网关设备与之间的流量 AWS。
所有网关的控制路径(`anon-cp`、`client-cp`、`proxy-app`)和数据路径(`dp-1`)操作均需要以下服务端点。
```
anon-cp.backup-gateway.region.amazonaws.com:443
client-cp.backup-gateway.region.amazonaws.com:443
proxy-app.backup-gateway.region.amazonaws.com:443
dp-1.backup-gateway.region.amazonaws.com:443
```
**双栈终端节点**:同时支持网关设备 IPv4 和 AWS之间的 IPv6 流量。
所有网关的控制路径(激活、控制面板、代理)和数据路径(数据面板)操作均需要以下双堆栈服务端点。
```
activation-backup-gateway.region.api.aws:443
controlplane-backup-gateway.region.api.aws:443
proxy-backup-gateway.region.api.aws:443
dataplane-backup-gateway.region.api.aws:443
```
## 将您的网关配置为多 NICs 个 VMware
您可以将多个虚拟网络接口连接 (NICs) 连接到网关,然后分别将内部流量(网关到虚拟机管理程序)和外部流量(网关到)定向到网关,从而为内部和外部流量维护单独的网络。 AWS
默认情况下,连接到 AWS Backup 网关的虚拟机只有一个网络适配器 (`eth0`)。该网络包括虚拟机监控程序、虚拟机以及与广泛的互联网通信的网络网关(Backup Gateway)。
下面是一个具有多个虚拟网络接口的设置示例:
```
eth0:
- IP: 10.0.3.83
- routes: 10.0.3.0/24
eth1:
- IP: 10.0.0.241
- routes: 10.0.0.0/24
- default gateway: 10.0.0.1
```
+ 在此示例中,如果连接到 IP 为 `10.0.3.123` 的管理程序,网关将使用 `eth0`,因为管理程序 IP 是 `10.0.3.0/24` 块的一部分
+ 要连接到 IP 为 `10.0.0.234` 的管理程序,网关将使用 `eth1`
+ 要连接到本地网络之外的 IP(例如 `34.193.121.211`),网关将回退到默认网关 `10.0.0.1`,该网关位于 `10.0.0.0/24` 块中,因此通过 `eth1`
添加其他网络适配器的第一个步骤序列发生在 vSphere 客户端中:
1. 在 VMware vSphere 客户端中,打开网关虚拟机的快捷菜单(右键单击),然后选择**编辑**设置。
1. 在**虚拟机属性**对话框的**虚拟硬件**选项卡上,打开**添加新设备**菜单,然后选择**网络适配器**来添加新的网络适配器。
1.
1. 展开**新建网络**详细信息以配置新适配器。
1. 确保选中**开机时连接**。
1. 有关**适配器类型**,请参阅《vCenter Server 文档》[ ESXi 和《vCenter Server](https://docs.vmware.com/en/VMware-vSphere/index.html) 文档》中的网络适配器类型。
1. 单击**确定**保存新网络适配器设置。
配置其他适配器的下一个步骤是在 AWS Backup 网关控制台中进行的(请注意,这与管理备份和其他服务的 AWS 管理控制台的界面不同)。
将新 NIC 添加到网关虚拟机中后,您需要
+ 转到 `Command Prompt` 并打开新适配器
+ IPs 为每个新 NIC 配置静态网卡
+ 将首选 NIC 设置为默认值
为此,请执行以下操作:
1. 在 VMware vSphere 客户端中,选择您的网关虚拟机并**启动 Web 控制台**以访问 Backup 网关本地控制台。
1. 有关访问本地控制台的更多信息,请参阅使用以下方式[访问 Gateway 本地控制台 VMware ESXi](https://docs.aws.amazon.com/storagegateway/latest/tgw/accessing-local-console.html#MaintenanceConsoleWindowVMware-common)
1. 退出命令提示符并转到“网络配置”>“配置静态 IP”,然后按照设置说明更新路由表。
1. 在网络适配器的子网内分配静态 IP。
1. 设置网络掩码。
1. 输入默认网关的 IP 地址。这是连接到本地网络之外的所有流量的网络网关。
1. 选择**设置默认适配器**,指定将作为默认设备连接到云的适配器。
1. 网关的所有 IP 地址均可显示在本地控制台和 VMware vSphere 的虚拟机摘要页面上。
## VMware 权限
本节列出了使用所需的最低 VMware 权限 AWS Backup gateway。这些权限是 Backup Gateway 发现、备份和还原虚拟机所必需的权限。
要在 VMware Cloud™ 开启 AWS 或 C VMware loud™ 开启的情况下使用 Backup 网关,您必须使用默认管理员用户`cloudadmin@vmc.local`或将 CloudAdmin 角色分配给您的专用用户。 AWS Outposts
要在 VMware 本地虚拟机上使用 Backup 网关,请创建一个具有下列权限的专用用户。
**全局**
+ 禁用方法
+ 启用方法
+ 许可证
+ 日志事件
+ 管理自定义属性
+ 设置自定义属性
**vSphere 标记**
+ 分配或取消分配 vSphere 标签
**DataStore**
+ 分配空间
+ 浏览数据存储
+ 配置数据存储(适用于 vSAN 数据存储)
+ 低级文件操作
+ 更新虚拟机文件
**主机**
+ 配置
+ 高级设置
+ 存储分区配置
**Folder**
+ 创建文件夹
**网络**
+ 分配网络
**dvPortGroup**
+ Create
+ 删除
**资源**
+ 将虚拟机分配到资源池
**虚拟机**
+ 更改配置
+ 获取磁盘租约
+ 添加现有磁盘
+ 添加新磁盘
+ 高级配置
+ 更改设置
+ 配置原始设备。
+ 修改设备设置
+ 删除磁盘
+ 设置注释
+ 切换磁盘变更跟踪
+ 编辑清单
+ 从现有创建
+ 新建
+ 注册
+ 删除
+ 取消注册
+ 交互
+ 关闭
+ 打开
+ 预置
+ 允许访问磁盘
+ 允许只读访问磁盘
+ 允许虚拟机下载
+ 快照管理
+ 创建快照
+ 删除快照
+ 恢复为快照
# 使用网关
要使用备份和恢复虚拟机 (VMs) AWS Backup,必须先安装 Backup 网关。网关是 OVF(开放虚拟化格式)模板形式的软件,它将 Amazon Web Services Backup 连接到您的虚拟机管理程序,允许它自动检测您的虚拟机,并允许您对其进行备份和恢复。
一个网关可以同时运行多达 4 个备份或还原作业。要同时运行 4 个以上的作业,请创建更多网关并将其与您的管理程序相关联。
## 创建网关
您可以使用两种方法创建备份网关:
+ **控制台方法(标准)**:通过 AWS Backup 控制台创建具有自动激活功能的网关
+ **手动方法**:通过获取激活密钥并使用 AWS CLI 命令使用网关 VM 的本地控制台创建网关
这两种方法都需要先下载并部署 OVF 模板(请参阅[下载虚拟机软件](vm-backups.md#download-vm-software))。
这两种方法都允许网关进行通信 IPv6,这需要网关设备版本 2.x\$1,并在[双](https://docs.aws.amazon.com/aws-backup/latest/devguide/configure-infrastructure-bgw.html#bgw-firewall-configuration)栈端点上进行额外的防火墙配置。
**重要**
**IPv6 虚拟机管理程序要求:**如果您的网关是通过激活的 IPv6,则**必须**使用地址创建虚拟机管理程序。 IPv6 例如,使用 `2607:fda8:1001:210::252` 而不是 `10.0.0.252`。如果将 IPv6 网关与 IPv4 虚拟机管理程序关联,则备份和恢复任务可能会失败。
### 控制台方法
**要创建网关,请执行以下操作:**
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 在左导航窗格的**外部资源**部分下,选择**网关**。
1. 选择**创建网关**。
1. 在**设置网关**部分,按照以下说明下载和部署 OVF 模板。
#### 正在下载 VMware 软件
**连接管理程序**
网关 AWS Backup 连接到您的虚拟机管理程序,因此您可以创建和存储虚拟机的备份。要开启网关 VMware ESXi,请下载 [OVF 模板](https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.vm_admin.doc/GUID-AE61948B-C2EE-436E-BAFB-3C7209088552.html)。下载可能需要大约 10 分钟。
完成后,继续执行以下步骤:
1. 使用 v VMware Sphere 连接到您的虚拟机虚拟机管理程序。
1. 右键单击虚拟机的父对象,然后选择*部署 OVF 模板*。
![\[“部署 OVF 模板”菜单项。\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/images/gateway-user-deploy-ovf-template-20.png)
1. 选择 “**本地文件**”,然后上传您下载的 **aws-appliance-latest.ova** 文件。
![\[“选择 OVF 模板”面板上的“本地文件”选项。\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/images/gateway-user-select-ovf-template-50.png)
1. 按照部署向导的步骤进行部署。在**选择存储**页面上,选择虚拟磁盘格式 **Thick Provision Lazy Zeroed**。
![\[“选择存储”面板上的“厚供应延迟清零”选项。\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/images/gateway-user-thick-provision-lazy-70.png)
1. 部署 OVF 后,右键单击网关并选择**编辑设置**。
![\[The Edit Settings menu item.\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/images/gateway-user-edit-settings-30.png)
1. 在**虚拟机选项** 下,转到**虚拟机工具**。
1. 确保在**与主机同步时间**中选中**在启动和恢复时同步**。
![\[“在启动和恢复时同步”虚拟机选项。\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/images/gateway-user-synchronize-time-60.png)
1. 从**操作**菜单中选择“开机”,打开虚拟机。
![\[“开机”菜单项。\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/images/gateway-user-power-on-vm-40.png)
1. 从虚拟机摘要中复制 IP 地址,然后在下面输入它。
![\[“摘要”页面上的“IP 地址”字段。\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/images/gateway-user-copy-ip-address-10.png)
VMWare 软件下载完成后,请完成以下步骤:
1. 在**网关连接**部分,键入网关的 **IP 地址**。
1. 要查找此 IP 地址,请前往 vSphere 客户端。
1. 在**摘要**选项卡下选择您的网关。
1. 复制 **IP 地址**并将其粘贴到 AWS Backup 控制台文本栏中。
1. 在**网关设置**部分,
1. 键入**网关名称**。
1. 验证 AWS 区域。
1. 选择端点是可公开访问还是托管在您的虚拟私有云 (VPC) 中。
+ 如果选择了**可公开访问**,请为网关连接选择 IP 版本(IPv4 或 IPv6)。
+ 如果选择了 **VPC**,请输入 VPC 终端节点 DNS 名称。有关更多信息,请参阅[创建 VPC 端点](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-network.html#backup-privatelink)。
1. *[可选]* 在**网关标签**部分,可以通过输入**键**和*可选***值**来分配标签。要添加多个标签,请单击**添加另一个标签**。
1. 要完成该过程,请单击**创建网关**,此时将进入网关详细信息页面。
### 手动创建网关
#### 获取激活密钥
要接收网关的激活密钥,请向网关虚拟机 (VM) 发出 Web 请求或使用网关本地控制台。网关 VM 返回包含激活密钥的响应,然后将激活密钥作为 `CreateGateway` API 指定网关配置的参数之一传递。
**提示**
如果未使用,网关激活密钥将在 30 分钟后过期。
**使用网络请求获取激活密钥**
以下示例向您展示如何使用 HTTP 请求获取激活密钥。您可以使用以下 URLs命令使用 Web 浏览器或 Linux curl 或等效命令。
**注意**
将突出显示的变量替换为您的网关的实际值。可接受的值如下所示:
*gateway\$1ip\$1address*-您的网关 IPv4 地址,例如 `172.31.29.201`
*region\$1code*-您要激活网关的区域。请参阅**《AWS 一般参考指南》中的[区域端点](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints)。如果未指定此参数,或者提供的值拼写错误或与有效区域不匹配,则该命令将默认为 `us-east-1` 区域。
IPv4:
```
curl "http://gateway_ip_address/?activationRegion=region_code&gatewayType=BACKUP_VM&endpointType=DUALSTACK&ipVersion=ipv4&no_redirect"
```
IPv6:
```
curl "http://gateway_ip_address/?activationRegion=region_code&gatewayType=BACKUP_VM&endpointType=DUALSTACK&ipVersion=ipv6&no_redirect"
```
**使用本地控制台获取激活密钥**
以下示例向您展示如何使用网关主机的本地控制台获取激活密钥
1. 登录您的虚拟机控制台。
1. 从 “**AWS 设备激活-配置**” 主菜单中`0`,选择**获取激活密钥**
1. 为**网关系列选项选择 `2` Backup** Gateway
1. 输入您要激活网关的 AWS 区域
1. 对于网络类型,输入 “`1`公共” 或 “VPC `2` 终端节点”
1. 对于端点类型,`1`为标准端点或`2`双堆栈端点输入
1. 对于双堆栈端点,请`1`为 IPv4 或`2`选择 IPv6
1. 激活密钥将自动填充
#### 创建网关
获取激活密钥后,使用创建网关: AWS CLI
1. 使用 curl 命令或本地控制台方法获取激活密钥
1. 使用创建网关 AWS CLI,有关更多信息,请参阅 *Backup 网关 API 参考[CreateGateway](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_CreateGateway.html)*中的。
```
aws backup-gateway create-gateway \
--region region_code \
--activation-key activation_key \
--gateway-display-name gateway_name \
--gateway-type BACKUP_VM
```
1. 验证网关出现在 AWS Backup 控制台的 “**外部资源**” → “**网关**” 下
## 编辑或删除网关
**要编辑或删除网关,请执行以下操作:**
1. 在左导航窗格的**外部资源**部分下,选择**网关**。
1. 在**网关**部分,按**网关名称**选择网关。
1. 要编辑网关名称,请选择**编辑**。
1. 要删除网关,请选择**删除**,然后选择**删除网关**。
您无法重新激活已删除的网关。如果要再次连接到管理程序,请按照[创建网关](#create-gateway)中的过程进行操作。
1. 要连接到管理程序,请在**已连接的管理程序** 部分,选择**连接**。
每个网关都连接到一个管理程序。但是,可以将多个网关连接到同一个管理程序,以便将它们之间的带宽增加到超过第一个网关的带宽。
1. 要分配、编辑或管理标签,请在**标签**部分选择**管理标签**。
## Backup Gateway 带宽限制
**注意**
此功能将在 2022 年 12 月 15 日之后部署的新网关上提供。对于现有网关,这项新功能将在 2023 年 1 月 30 日当天或之前通过自动软件更新提供。要手动将网关更新到最新版本,请使用 AWS CLI 命令[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_UpdateGatewaySoftwareNow.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_UpdateGatewaySoftwareNow.html)。
您可以将网关的上传吞吐量限制为 AWS Backup ,以控制网关使用的网络带宽量。默认情况下,已激活的网关没有任何速率限制。
您可以使用 AWS Backup 控制台配置带宽速率限制计划,也可以通过 AWS CLI () [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_PutBandwidthRateLimitSchedule.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_PutBandwidthRateLimitSchedule.html)使用 API 来配置带宽速率限制计划。使用带宽速率限制计划时,可以将限制配置为在一天或一周内自动进行更改。
带宽速率限制的工作方式是平衡所有上传数据的吞吐量,即每秒的平均值。虽然在任何给定的微秒或毫秒内,上传都可能短暂超过带宽速率限制,但这通常不会导致在较长时间内出现较大的峰值。
最多可以添加 20 个间隔。上传速率的最大值为 800 万 Mbps。
### 使用控制台查看和编辑网关的带宽速率限制计划。 AWS Backup
本节介绍如何查看和编辑网关的带宽速率限制计划。
**查看和编辑带宽速率限制计划**
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 在左侧导航窗格中,选择**网关**。在“网关”窗格中,网关按名称显示。单击要管理的网关名称旁边的单选按钮。
1. 选中单选按钮后,即可单击下拉菜单**操作**。单击**操作**,然后单击**编辑带宽速率限制计划**。此时将显示当前计划。默认情况下,新的或未经编辑的网关没有定义带宽速率限制。
**注意**
也可以在网关详细信息页面中单击**管理计划**,导航到 “编辑带宽” 页面。
1. *(可选)*选择**添加间隔**以向计划添加新的可配置间隔。对于每个间隔,请输入以下信息:
1. **每周日期** - 选择要应用间隔的重复日期。选择后,这些日期将显示在下拉菜单下方。您可以单击该日期旁边的 **X** 将其删除。
1. **开始时间** - 使用 *HH: MM* 24 小时格式输入带宽间隔的开始时间。时间以协调世界时 (UTC) 呈现。
注意:您的 bandwidth-rate-limit间隔从指定分钟开始时开始。
1. **结束时间** - 使用 *HH: MM* 24 小时格式输入带宽间隔的结束时间。时间以协调世界时 (UTC) 呈现。
**重要**
bandwidth-rate-limit间隔在指定的分钟结束时结束。要计划在小时结束时结束的间隔,请输入 `59`。要计划不间断的连续备份间隔,在小时开始时转换,并且在各个间隔之间没有中断,请对第一个间隔的结束分钟输入 `59`。对后续间隔的开始分钟输入 `00`。
1. **上传速率** - 以兆位/秒 (Mbps) 为单位输入上传速率限制。最小值为 102 兆字节/秒 (Mbps)。
1. *(可选)*根据需要重复上一个步骤,直到带宽速率限制计划完成。如果您需要从计划中删除间隔,请选择**删除**。
**重要**
带宽速率限制间隔不能重叠。间隔的开始时间必须出现在前一个间隔的结束时间之后和下一个间隔的开始时间之前;其结束时间必须出现在下一个间隔的开始时间之前。
1. 完成后,单击**保存更改**按钮。
### 使用查看和编辑网关的带宽速率限制计划。 AWS CLI
[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_GetBandwidthRateLimitSchedule.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_GetBandwidthRateLimitSchedule.html) 操作可用于查看指定网关的带宽限制计划。如果未设置任何计划,计划将是一个空间隔列表。以下是使用获取网关带宽计划的示例: AWS CLI
```
aws backup-gateway get-bandwidth-rate-limit-schedule --gateway-arn "arn:aws:backup-gateway:region:account-id:gateway/bgw-gw id"
```
要编辑网关的带宽限制计划,可以执行 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_PutBandwidthRateLimitSchedule.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_PutBandwidthRateLimitSchedule.html) 操作。请注意,您只能整体更新网关的计划,而不能修改、添加或删除单个间隔。调用此操作将覆盖网关之前的带宽限制计划。
```
aws backup-gateway put-bandwidth-rate-limit-schedule --gateway-arn "arn:aws:backup-gateway:region:account-id:gateway/gw-id" --bandwidth-rate-limit-intervals ...
```
# 使用管理程序
完成后[创建网关](working-with-gateways.md#create-gateway),您可以将其连接到虚拟机管理程序, AWS Backup 以便与该虚拟机管理程序管理的虚拟机一起使用。例如,的虚拟机管理程序是 vCenter Ser VMware VMs ver VMware 。确保您的管理程序配置了[对 AWS Backup的必要权限](https://docs.aws.amazon.com/aws-backup/latest/devguide/configure-infrastructure-bgw.html#bgw-vmware-permissions)。
## 添加管理程序
**要添加管理程序,请执行以下操作:**
1. 在左导航窗格的**外部资源**部分下,选择**管理程序**。
1. 选择**添加管理程序**。
1. 在**管理程序设置** 部分,键入**管理程序名称**。
1. 对于 **vCenter Server 主机**,使用下拉菜单选择 **IP 地址**或 **FQDN**(完全限定域名)。键入相应的值。
1. AWS Backup ****要允许在虚拟机管理程序上发现虚拟机,请输入虚拟机管理程序的用户名和密码。****
1. 加密您的密码。您可以通过使用下拉菜单选择特定的服务托管 KMS 密钥或客户托管 KMS 密钥来[指定此加密](https://docs.aws.amazon.com/aws-backup/latest/devguide/bgw-hypervisor-encryption-page.html),也可以选择**创建 KMS 密钥**。如果您未选择特定密钥, AWS Backup 将使用服务拥有的密钥对您的密码进行加密。
1. 在**连接网关**部分,使用下拉列表指定要连接到管理程序的网关。
1. 选择**测试网关连接**以验证您之前的输入。
1. *或者*,在**管理程序标签**部分,可以通过选择**添加新标签**为管理程序分配标签。
1. *可选VMware *[https://docs.aws.amazon.com/aws-backup/latest/devguide/backing-up-vms.html#backup-gateway-vmwaretags](https://docs.aws.amazon.com/aws-backup/latest/devguide/backing-up-vms.html#backup-gateway-vmwaretags):您最多可以添加当前在虚拟机上使用的 10 个 VMware 标签来生成 AWS 标签。
1. 在**日志组设置**面板中,您可以选择与 [Amazon Lo CloudWatch g](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) s 集成以维护虚拟机管理程序的日志(标准[CloudWatch 日志定价](https://aws.amazon.com/cloudwatch/pricing/)将根据使用情况而定)。每个管理程序可以属于一个日志组。
1. 如果您尚未创建日志组,请选中**创建新的日志组**单选按钮。您正在编辑的管理程序将与该日志组关联。
1. 如果您之前已为不同管理程序创建日志组,则可以将该日志组用于此管理程序。选择**使用现有日志组**。
1. 如果您不想 CloudWatch 记录日志,请选择 “**停用日志记录**”。
1. 选择**添加管理程序**,此时将进入其详细信息页面。
**提示**
您可以使用 Amazon CloudWatch Logs(参见上面的步骤 11)来获取有关您的虚拟机管理程序的信息,包括错误监控、网关和虚拟机管理程序之间的网络连接以及网络配置信息。有关 CloudWatch 日志组的信息,请参阅 *Amazon CloudWatch 用户指南*中的[使用日志组和日志流](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)。
## 查看管理程序管理的虚拟机
**要查看管理程序上的虚拟机,请执行以下操作:**
1. 在左导航窗格的**外部资源**部分下,选择**管理程序**。
1. 在**管理程序**部分,按**管理程序名称**选择管理程序,进入其详细信息页面。
1. 在**管理程序摘要**下的部分中,选择**虚拟机**选项卡。
1. 在**已连接的虚拟机**部分中,将自动填充虚拟机列表。
## 查看连接到管理程序的网关
**要查看连接到管理程序的网关,请执行以下操作:**
1. 选择**网关**选项卡。
1. 在**已连接的网关**部分中,将自动填充网关列表。
## 将管理程序连接到其他网关
您的备份和还原速度可能会受到网关和管理程序之间连接带宽的限制。您可以通过将一个或多个附加网关连接到管理程序来提高这些速度。您可以在**已连接的网关**部分执行此操作,如下所示:
1. 选择**连接**。
1. 使用下拉菜单选择其他网关。或者,选择**创建网关**以创建新网关。
1. 选择**连接**。
## 编辑管理程序配置
如果不使用**测试网关连接**功能,那么您添加管理程序所用的用户名或密码可能会出错。在这种情况下,管理程序的连接状态始终为 `Pending`。或者,您可能轮换用户名或密码访问管理程序。使用以下过程返回这些信息:
**要编辑已添加的管理程序,请执行以下操作:**
1. 在左导航窗格的**外部资源**部分下,选择**管理程序**。
1. 在**管理程序**部分,按**管理程序名称**选择管理程序,进入其详细信息页面。
1. 选择**编辑**。
1. 顶部面板名为**管理程序设置**。
1. 在 **vCenter Server 主机**下,还可以编辑 FQDN(完全限定域名)或 IP 地址。
1. *(可选)*输入管理程序的**用户名**和**密码**。
1. 在**日志组设置**面板中,您可以选择与 [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 集成 CloudWatch以维护您的虚拟机管理程序日志(标准[CloudWatch 定价](https://aws.amazon.com/cloudwatch/pricing/)将根据使用情况而定)。每个管理程序可以属于一个日志组。
1. 如果您尚未创建日志组,请选中**创建新的日志组**单选按钮。您正在编辑的管理程序将与该日志组关联。
1. 如果您之前已为不同管理程序创建日志组,则可以将该日志组用于此管理程序。选择**使用现有日志组**。
1. 如果您不想 CloudWatch 记录日志,请选择 “**停用日志记录**”。
**提示**
您可以使用 Amazon CloudWatch Logs(参见上面的步骤 5)来获取有关您的虚拟机管理程序的信息,包括错误监控、网关和虚拟机管理程序之间的网络连接以及网络配置信息。有关 CloudWatch 日志组的信息,请参阅 *Amazon CloudWatch 用户指南*中的[使用日志组和日志流](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)。
要以编程方式更新虚拟机管理程序,请使用 CLI 命令 [upd](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup-gateway/update-hypervisor.html) ate-hypervisor 和 API 调用。[ UpdateHypervisor](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_UpdateHypervisor.html)
## 删除管理程序配置
如果您需要删除已添加的管理程序,请删除管理程序配置并添加另一个管理程序配置。此删除操作适用于连接到管理程序的配置。它不会实际删除管理程序。
**要删除连接到已添加的管理程序的配置,请执行以下操作:**
1. 在左导航窗格的**外部资源**部分下,选择**管理程序**。
1. 在**管理程序**部分,按**管理程序名称**选择管理程序,进入其详细信息页面。
1. 选择**删除**,然后选择**删除管理程序**。
1. 可选:使用[添加管理程序](#add-hypervisor)中的步骤替换已删除的管理程序配置。
## 了解管理程序状态
以下内容描述每个可能的管理程序状态以及补救措施(如果适用)。`ONLINE` 状态是管理程序的正常状态。虚拟机管理程序在用于备份和恢复由虚拟机管理程序 VMs 管理的全部或大部分时间都应处于此状态。
**管理程序状态**
| Status | 含义和补救措施 |
| --- | --- |
| ONLINE | 您已将虚拟机管理程序添加至 AWS Backup网关,并可通过网络与该网关连接,对由该管理程序管理的虚拟机执行备份和恢复。 您可以随时对这些虚拟机执行[按需备份和计划备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/backing-up-vms.html)。 |
| PENDING | 你添加了虚拟机管理程序, AWS Backup 但是: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/working-with-hypervisors.html) 要将管理程序状态从 `PENDING` 更改为 `ONLINE`,请[创建网关](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html#create-gateway)并[将管理程序连接到该网关](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-hypervisors.html#add-more-gateways)。 |
| OFFLINE | 您已将虚拟机管理程序添加到网关 AWS Backup 并将其与网关关联,但该网关无法通过您的网络连接到虚拟机管理程序。 要将管理程序状态从 `OFFLINE` 更改为 `ONLINE`,请验证您的[网络配置](https://docs.aws.amazon.com/aws-backup/latest/devguide/configure-infrastructure-bgw.html#bgw-network-configuration)是否正确。 如果问题仍然存在,请验证您的管理程序的 IP 地址或完全限定域名是否正确。如果它们不正确,请[使用正确的信息再次添加管理程序并测试网关连接](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-hypervisors.html#add-hypervisor)。 |
| ERROR | 您已将虚拟机管理程序添加到网关并将其 AWS Backup 与网关关联,但该网关无法与虚拟机管理程序通信。 要将管理程序状态从 `ERROR` 更改为 `ONLINE`,请验证管理程序的用户名和密码是否正确。如果它们不正确,请[编辑管理程序配置](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-hypervisors.html#edit-hypervisor)。 |
**后续步骤**
要在管理程序上备份虚拟机,请参阅[备份虚拟机](backing-up-vms.md)。
# 备份虚拟机
在[添加管理程序](working-with-hypervisors.md#add-hypervisor)之后,Backup Gateway 会自动列出您的虚拟机。您可以通过在左导航窗格中选择**管理程序**或**虚拟机**来查看您的虚拟机。
+ 选择**管理程序**可仅查看由特定管理程序管理的虚拟机。使用此视图,可以一次使用一台虚拟机。
+ 选择 “**虚拟机**”,查看添加到您的所有虚拟机管理程序中的所有虚拟机。 AWS 账户使用此视图,可以跨多个管理程序使用部分或全部虚拟机。
无论选择哪个视图,要在特定虚拟机上执行备份操作,请选择其**虚拟机名称**以打开其详细信息页面。虚拟机详细信息页面是执行以下过程的起点。
## 创建虚拟机的按需备份
[按需](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-on-demand-backup.html)备份是您手动启动的一次性完整备份。您可以使用按需备份 AWS Backup来测试备份和还原功能。
**要创建虚拟机的按需备份,请执行以下操作:**
1. 选择**创建按需备份**。
1. [配置按需备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-on-demand-backup.html)。
1. 选择**创建按需备份**。
1. 检查您的备份作业何时处于 `Completed` 状态。在左导航窗格中,选择**作业**。
1. 选择**备份作业 ID** 以查看备份作业信息,例如**备份大小**以及从**创建日期**到**完成日期**之间经过的时间。
## 增量虚拟机备份
较新的 VMware 版本包含一项名为 Change [d Block Tracking 的功能,该功能可在虚拟机的存储块随时间变化时对其进行跟踪](https://kb.vmware.com/s/article/1020128)。当您使用 AWS Backup 备份虚拟机时,会 AWS Backup 尝试使用 CBT 数据(如果有)。 AWS Backup 使用 CBT 数据来加快备份过程;如果没有 CBT 数据,备份作业通常会变慢,并且会占用更多的虚拟机管理程序资源。即使 CBT 数据无效或不可用,备份仍可以成功完成。例如,如果虚拟机或 ESXi 主机遇到硬关机,CBT 数据可能无效或不可用。
如果 CBT 数据无效或不可用,则会显示备份状态 `Successful` 和一条消息。在这些情况下,该消息将表明,在没有 CBT 数据的情况下, AWS Backup 使用了自己的专有变更检测机制来完成备份,而不是 VMware的 CBT 数据。随后的备份将重新尝试使用 CBT 数据,并且在大多数情况下,CBT 数据将变为有效且可用。如果问题仍然存在,请参阅[ VMware 故障排除](https://docs.aws.amazon.com/aws-backup/latest/devguide/vm-troubleshooting.html)以了解补救措施。
要让 CBT 正常运行,必须满足以下条件:
+ 主机必须是 ESXi 4.0 或更高版本
+ 拥有磁盘的虚拟机必须具有硬件版本 7 或更高版本
+ 必须为虚拟机启用 CBT(默认情况下处于启用状态)
要验证虚拟磁盘是否已启用 CBT,请执行以下操作:
1. 打开 vSphere Client,然后选择已关闭的虚拟机。
1. 右键单击虚拟机并导航至**编辑设置** > **选项** > **高级/常规** > **配置参数**。
1. 选项 `ctkEnabled` 需要等于 `True`。
## 通过为备份计划分配资源自动执行虚拟机备份
[备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/about-backup-plans.html)是一种用户定义的数据保护策略,它可以跨许多 AWS 服务和第三方应用程序自动保护数据。首先要通过指定备份频率、保留期、生命周期策略和许多其他选项来创建备份计划。要创建备份计划,请参阅入门教程。
创建备份计划后,您可以将 AWS Backup支持的资源(包括虚拟机)分配给该备份计划。 AWS Backup 提供了[多种分配资源的方式](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html),包括分配账户中的所有资源,包括或排除单个特定资源,或者添加带有特定标签的资源。
除了现有的资源分配功能外,对虚拟机的 AWS Backup 支持还引入了多项新功能,可帮助您快速将虚拟机分配给备份计划。在**虚拟机**页面上,可以为多个虚拟机分配标签,也可以使用新的**将资源分配给计划**功能。使用这些功能来分配 AWS Backup 网关已发现的虚拟机。
如果您预计将来会发现和分配其他虚拟机,并希望自动执行资源分配步骤以包括这些未来的虚拟机,请使用新的**创建组分配**功能。
## VMware 标签
[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_VmwareTag.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_VmwareTag.html)是键值对,可用于管理、筛选和搜索您的资源。
VMware 标签由**类别**和**标签名称**组成。 VMware 标签用于对虚拟机进行分组。标签名称是分配给虚拟机的标签。类别是标签名称的集合。
在 AWS 标签中,可以使用 UTF-8 字母、数字、空格和特殊字符之间的字符`+ - = . _ : /`。
如果要在虚拟机上使用标签,可以在 AWS Backup 中添加最多 10 个匹配标签帮助进行整理。您最多可以将 10 个 VMware 标签映射到 AWS 标签。在[AWS Backup 控制台](https://console.aws.amazon.com/backup/)中,可以在**外部资源 > 虚拟机 > AWS 标签或**VMware 标签****中找到。
### VMware 标签映射
如果要在虚拟机上使用标签,可以在 AWS Backup 中添加最多 10 个匹配标签进行额外的澄清和整理。映射适用于管理程序上的任何虚拟机。
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 在控制台中,转到**编辑管理程序**(依次单击**外部资源**、**管理程序**和管理程序名称,然后单击**管理映射**)。
1. 最后一个窗格是**VMware 标签映射**,它包含四个文本框字段,您可以在其中将 VMware 标签信息输入到相应的 AWS 标签中。这四个字段是 **VMware 标签类别**、**VMware 标签名称**、**AWS 标签键**和**AWS 标签值**(*例如:类别 = 操作系统;标签名称 = Windows;标签键 = OS-Windows, AWS 标签值 = Windows, AWS 标签值 = Windows*)。
1. 输入首选值后,单击**添加映射**。如果出错,可以单击**删除**删除输入的信息。
1. 添加映射后,指定您打算用于将这些 AWS 标签应用于 VMware 虚拟机的 IAM 角色。
策略 [https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#aws-managed-policies](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#aws-managed-policies) 包含所需的权限。您可以将此策略附加到您要使用的角色(或让管理员附加此策略),也可以为要使用的角色创建自定义策略。
1. 最后,单击**添加管理程序**或**保存**。
应修改 IAM 角色信任关系以添加 backup-gateway.amazonaws.com 和 backup.amazonaws.com 服务。如果没有此服务,则在映射标签时可能会遇到错误。要编辑现有角色的信任关系,请执行以下操作:
1. 登录 [IAM 控制台](https://console.aws.amazon.com/iamv2/home?region=us-west-2#/home)。
1. 在控制台的导航窗格中,选择**角色**。
1. 选择要修改的角色的名称,然后在详细信息页面中选择**信任关系**选项卡。
1. 在**策略文档**下,粘贴以下内容:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"backup.amazonaws.com",
"backup-gateway.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 选择**更新信任策略**。
有关更多详细信息,请参阅《AWS Directory Service 管理指南》中的[编辑现有角色的信任关系](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/edit_trust.html)。**
### 查看 VMware 标签映射
在 [AWS Backup 控制台](https://console.aws.amazon.com/backup/)中,单击**外部资源**,然后单击**虚拟机监控程序**,然后单击虚拟机监控程序名称链接以查看所选虚拟机监控程序的属性。摘要窗格下有四个选项卡,最后一个是**VMware 标签映射**。请注意,如果您还没有映射,请选择 “没有 VMware 标签映射”。。
在这里,您可以同步虚拟机管理程序发现的虚拟机的元数据,可以将映射复制到您的虚拟机管理程序,可以将映射到 AWS 标签的标签添加到备份计划的备份选择中,也可以管理映射。 VMware
在控制台中,要查看哪些标签应用于选定的虚拟机,请单击**虚拟机**,然后单击虚拟机名称,然后单击**AWS VMware 标签****或标记**。您可以查看与此虚拟机关联的标签,此外还可以管理这些标签。
### 使用 VMware 标签映射将虚拟机分配给计划
要使用映射的标签将虚拟机分配给备份计划,请执行以下操作:
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 在控制台中,转到虚拟机管理程序详细信息页面上的 VMware 标签映射(单击 “**外部资源**”,然后单击 “虚拟机管理程序”,然后单击**虚拟机管理程序**名称)。
1. 选中映射的多个标签旁边的复选框,将这些标签分配给同一个备份计划。
1. 单击**添加到资源分配**。
1. 从下拉列表中选择一个现有的**备份计划**。或者,可以选择**创建备份计划**创建新的备份计划。
1. 单击**确认**。这将打开**分配资源**页面,其中的**使用标签优化选择**字段已预先填充值。
### VMware 标签使用 AWS CLI
AWS Backup 使用 API 调用[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_PutHypervisorPropertyMappings.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_PutHypervisorPropertyMappings.html)将内部管理程序实体属性映射到中的属性。 AWS
在中 AWS CLI,使用以下操作`put-hypervisor-property-mappings`:
```
aws backup-gateway put-hypervisor-property-mappings \
--hypervisor-arn arn:aws:backup-gateway:region:account:hypervisor/hypervisorId \
--vmware-to-aws-tag-mappings list of VMware to AWS tag mappings \
--iam-role-arn arn:aws:iam::account:role/roleName \
--region AWSRegion
--endpoint-url URL
```
示例如下:
```
aws backup-gateway put-hypervisor-property-mappings \
--hypervisor-arn arn:aws:backup-gateway:us-east-1:123456789012:hypervisor/hype-12345 \
--vmware-to-aws-tag-mappings VmwareCategory=OS,VmwareTagName=Windows,AwsTagKey=OS-Windows,AwsTagValue=Windows \
--iam-role-arn arn:aws:iam::123456789012:role/SyncRole \
--region us-east-1
```
还可以使用 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_GetHypervisorPropertyMappings.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_GetHypervisorPropertyMappings.html) 帮助获取属性映射信息。在中 AWS CLI,使用操作`get-hypervisor-property-mappings`。示例模板如下:
```
aws backup-gateway get-hypervisor-property-mappings --hypervisor-arn HypervisorARN
--region AWSRegion
```
示例如下:
```
aws backup-gateway get-hypervisor-property-mappings \
--hypervisor-arn arn:aws:backup-gateway:us-east-1:123456789012:hypervisor/hype-12345 \
--region us-east-1
```
### AWS 使用 API、CLI 或 SDK 同步虚拟机管理程序发现的虚拟机的元数据
您可以同步虚拟机的元数据。当你这样做时,虚拟机上存在的作为映射一部分的 VMware 标签将被同步。此外, AWS 映射到虚拟机上存在的 VMware 标签将应用于 AWS 虚拟机资源。
AWS Backup 使用 API 调[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_StartVirtualMachinesMetadataSync.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_StartVirtualMachinesMetadataSync.html)用同步虚拟机管理程序发现的虚拟机的元数据。要使用 AWS CLI同步管理程序发现的虚拟机的元数据,请执行操作 `start-virtual-machines-metadata-sync`。
示例模板:
```
aws backup-gateway start-virtual-machines-metadata-sync \
--hypervisor-arn Hypervisor ARN
--region AWSRegion
```
示例:
```
aws backup-gateway start-virtual-machines-metadata-sync \
--hypervisor-arn arn:aws:backup-gateway:us-east-1:123456789012:hypervisor/hype-12345 \
--region us-east-1
```
您还可以使用 [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_GetHypervisor.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_GetHypervisor.html) 来帮助获取管理程序信息,例如主机、状态、最新元数据同步的状态,还可以检索上次成功的元数据同步时间。在中 AWS CLI,使用操作`get-hypervisor`。
示例模板:
```
aws backup-gateway get-hypervisor \
--hypervisor-arn Hypervisor ARN
--region AWSRegion
```
示例:
```
aws backup-gateway get-hypervisor \
--hypervisor-arn arn:aws:backup-gateway:us-east-1:123456789012:hypervisor/hype-12345 \
--region us-east-1
```
有关更多信息,请参阅 API 文档[VmwareTag](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_VmwareTag.html)和[ VmwareToAwsTagMapping](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_VmwareToAwsTagMapping.html)。
此功能将在 2022 年 12 月 15 日之后部署的新网关上提供。对于现有网关,这项新功能将在 2023 年 1 月 30 日当天或之前通过自动软件更新提供。要手动将网关更新到最新版本,请使用 AWS CLI 命令[ UpdateGatewaySoftwareNow](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_UpdateGatewaySoftwareNow.html)。
示例:
```
aws backup-gateway update-gateway-software-now \
--gateway-arn arn:aws:backup-gateway:us-east-1:123456789012:gateway/bgw-12345 \
--region us-east-1
```
## 使用标签分配虚拟机
您可以为当前发现的 AWS Backup虚拟机以及其他 AWS Backup 资源分配一个您已经分配给现有备份计划的标签。您还可以创建[新备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)和新的[基于标签的资源分配](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)。备份计划每次运行备份作业时都会检查是否有新分配的资源。
**要使用同一标签标记多个虚拟机,请执行以下操作:**
1. 在左侧导航窗格中,选择**虚拟机**。
1. 选中**虚拟机名称**旁边的复选框以选择您的所有虚拟机。或者,选中要标记的虚拟机名称旁边的复选框。
1. 选择**添加标签**。
1. 键入标签**键**。
1. 推荐:键入标签**值**。
1. 选择**确认**。
## 使用“将资源分配给计划” 功能分配虚拟机
您可以使用 “将**资源分配给计划” 功能将当前发现的虚拟机分配给现有或新的备份计划**。 AWS Backup
**要使用“将资源分配给计划” 功能分配虚拟机,请执行以下操作:**
1. 在左侧导航窗格中,选择**虚拟机**。
1. 选中**虚拟机名称**旁边的复选框以选择您的所有虚拟机。或者,选中多个虚拟机名称旁边的复选框,将它们分配给同一个备份计划。
1. 选择**分配**,然后选择**将资源分配给计划**。
1. 键入**资源分配名称**。
1. 选择资源分配 **IAM 角色**以创建备份和管理恢复点。如果您没有特定 IAM 角色可供使用,我们建议使用具有正确权限的**默认角色**。
1. 在**备份计划**部分,从下拉列表中选择现有**备份计划**。或者,选择**创建备份计划**创建新的备份计划。
1. 选择**分配资源**。
1. 可选:选择**查看备份计划**,验证您的虚拟机是否已分配到备份计划。然后,在**资源分配**部分,选择资源分配**名称**。
## 使用“创建组分配”功能分配虚拟机
与前两个虚拟机的资源分配功能不同,**创建组分配功能不仅可以分配**当前发现的虚拟机 AWS Backup,还可以分配将来在您定义的文件夹或虚拟机管理程序中发现的虚拟机。
此外,您无需选中任何复选框即可使用**创建组分配**功能。
**要使用“将资源分配给计划” 功能分配虚拟机,请执行以下操作:**
1. 在左侧导航窗格中,选择**虚拟机**。
1. 选择**分配**,然后选择**创建组分配**。
1. 键入**资源分配名称**。
1. 选择资源分配 **IAM 角色**以创建备份和管理恢复点。如果您没有特定 IAM 角色可供使用,我们建议使用具有正确权限的**默认角色**。
1. 在**资源组**部分,选择**组类型**下拉菜单。选项包括**文件夹**或**管理程序**。
1. 选择**文件夹**可分配管理程序文件夹中的所有虚拟机。使用下拉菜单选择文件夹**组名称**,例如 `datacenter/vm`。您也可以选择包括**子文件夹**。
**注意**
要进行基于文件夹的分配,请在发现过程中使用虚拟机在发现过程中找到的文件夹来 AWS Backup 标记虚拟机。如果您稍后将虚拟机移至其他文件夹,则由于标记最佳做法, AWS Backup 无法为您更新 AWS 标记。此分配方法可能会导致继续备份已移出所分配文件夹的虚拟机。
1. 选择**管理程序**可分配由管理程序管理的所有虚拟机。使用下拉菜单选择管理程序 ID **组名称**。
1. 在**备份计划**部分,从下拉列表中选择现有**备份计划**。或者,选择**创建备份计划**创建新的备份计划。
1. 选择**创建组分配**。
1. 可选:选择**查看备份计划**,验证您的虚拟机是否已分配到备份计划。在**资源分配**部分,选择资源分配**名称**。
**后续步骤**
要还原虚拟机,请参阅[使用恢复虚拟机 AWS Backup](restoring-vm.md)。
# 有关 Backup Gateway 的第三方源组件的信息
在本节中,您可以找到有关我们提供 Backup Gateway 功能所依赖的第三方工具和许可证的信息。
可在以下网址下载 Backup Gateway 软件附带的某些第三方源软件组件的源代码:
+ 对于部署在上的网关 VMware ESXi,请下载 s [ources](https://s3.amazonaws.com/aws-storage-gateway-terms/bgw_backup_vm/third-party-sources.tgz) .tgz。
[该产品包括由 OpenSSL 项目开发的用于 OpenSSL 工具包的软件 (https://www.openssl.org/)。](https://www.openssl.org/)
本产品包括由 VMware® vSphere 软件开发套件 () [https://www.vmware.com](https://www.vmware.com)开发的软件。
有关所有依赖的第三方工具的相关许可证,请参阅 [Third-Party Licenses](https://s3.amazonaws.com/aws-storage-gateway-terms/bgw_backup_vm/third-party-licenses.txt)。
## AWS 设备的开源组件
一些第三方工具和许可证用于为 Backup Gateway 提供功能。
使用以下链接下载 AWS 设备软件中包含的某些开源软件组件的源代码:
+ 对于部署在上的网关 VMware ESXi,请下载 [sources.tar](https://s3.amazonaws.com/aws-storage-gateway-terms/sources.tar)
[该产品包括由 OpenSSL 项目开发的用于 OpenSSL 工具包的软件 (https://www.openssl.org/)。](https://www.openssl.org)有关所有依赖的第三方工具的相关许可证,请参阅 [Third-Party Licenses](https://s3.amazonaws.com/aws-storage-gateway-terms/THIRD_PARTY_LICENSES.txt)。
# 排查虚拟机问题
## 增量备份/CBT 问题和消息
**失败消息:** `"The VMware Change Block Tracking (CBT) data was invalid during this backup, but the incremental backup was successfully completed with our proprietary change detection mechanism."`
如果此消息仍然存在,请按照的指示[重置 CBT](https://knowledge.broadcom.com/external/article?legacyId=1020128)。 VMware
**消息说明 CBT 未开启或不可用:***“此虚拟机无法使用VMware 变更块跟踪 (CBT),但是使用我们专有的变更机制成功完成了增量备份*。”
检查以确保 CBT 已开启。要验证虚拟磁盘是否已启用 CBT,请执行以下操作:
1. 打开 vSphere Client,然后选择已关闭的虚拟机。
1. 右键单击虚拟机并导航至**编辑设置** > **选项** > **高级/常规** > **配置参数**。
1. 选项 `ctkEnabled` 需要等于 `True`。
如果已开启,请确保您正在使用 up-to-date VMware 功能。主机必须是 ESXi 4.0 或更高版本,拥有待跟踪磁盘的虚拟机必须是硬件版本 7 或更高版本。
如果 CBT 已开启(启用)并且软件和硬件为最新,请关闭虚拟机,然后再次将其打开。确保 CBT 已开启。然后,再次执行备份。
## VMware 备份失败
当 VMware 备份失败时,可能与以下情况之一有关:
**失败消息:**`"Failed to process backup data. Aborted backup job."` 或 `"Error opening disk on the virtual machine"`。
**可能的原因:**出现此错误的原因可能是配置问题;或者, VMware 版本或磁盘不受支持。
**补救措施 1:**确保您的基础设施配置为使用网关,并确保所有必需的端口都已打开。
1. 访问 [Backup Gateway 控制台](https://docs.aws.amazon.com/storagegateway/latest/tgw/accessing-local-console.html#MaintenanceConsoleWindowVMware-common)。请注意,这与 AWS Backup 控制台不同。
1. 在 **Backup Gateway 配置**页面上,输入选项 **3** 以测试网络连接。
1. 如果网络测试成功,请输入 **X**。
1. 返回到 Backup Gateway 配置页面。
1. 输入 **7** 以访问命令提示符。
1. 运行以下命令以验证网络连接:
`ncport -d ESXi Host-p 902`
`ncport -d ESXi Host-p 443`
**补救措施 2:**使用 [支持的 VMs](vm-backups.md#supported-vms) 版本。
**补救措施 3:**如果网关设备配置的 DNS 服务器不正确,则备份将失败。要验证 DNS 配置,请完成以下步骤:
1. 访问 [Backup Gateway 控制台](https://docs.aws.amazon.com/storagegateway/latest/tgw/accessing-local-console.html#MaintenanceConsoleWindowVMware-common)。
1. 在 **Backup Gateway 配置**页面上,输入选项 **2** 以导航到网络配置。
1. 在**网络配置**中,输入 **7** 以查看 DNS 配置。
1. 查看 DNS 服务器 IP 地址。如果 DNS 服务器 IP 地址不正确,系统会提示您返回到**网络配置**。
1. 在**网络配置**中,输入 **6** 以编辑 DNS 配置。
1. 输入正确的 DNS 服务器 IP 地址。然后,输入 **X** 以完成网络配置。
要获取有关您的虚拟机管理程序的更多信息,例如错误、网络配置和连接,请参阅将虚拟机管理程序配置[编辑管理程序配置](working-with-hypervisors.md#edit-hypervisor)为与 Amazon Logs 集成。 CloudWatch
## 由于网络连接问题导致的备份失败
**失败消息:**`"Failed to upload backup during data ingestion. Aborted backup job."` 或 `"Cloud network request timed out during data ingestion"`。
**可能的原因:**如果网络连接不足以处理数据上传,则可能会出现此错误。如果网络带宽较低,则虚拟机和虚拟机之间的链路 AWS Backup 可能会变得拥塞并导致备份失败。
所需的网络带宽取决于多个因素,包括虚拟机的大小、为每个虚拟机备份生成的增量数据、备份时段和还原要求。
**补救措施:**最佳实践和建议包括将本地 VMs 连接的最低带宽设置为 1000 Mbps 的上传带宽。 AWS Backup确认带宽后,重试备份作业。
## 备份作业已中止
**失败消息:** `"Failed to create backup during snapshot creation. Aborted backup job."`
**可能的原因:**网关设备所在 VMware 的主机可能出现问题。
**补救措施:**检查 VMware 主机的配置并查看其是否存在问题。有关更多信息,请参阅 [编辑管理程序配置](working-with-hypervisors.md#edit-hypervisor)。
## 没有可用的网关
**失败消息:** `"No gateways available to work on job."`
**可能的原因:**所有连接的网关都忙于其他作业。每个网关最多只能有四个并发作业(备份或还原)。
如需了解**补救措施**,请参阅下一节有关增加网关数量的步骤以及延长备份计划时段时间的步骤。
## VMware 备份任务失败
**失败消息:**`"Abort signal detected"`
**可能的原因:**
+ **网络带宽过低**:网络带宽不足会阻碍在完成时段内完成备份。当备份作业需要的带宽超过可用带宽时,可能会导致失败并触发“检测到中止信号”错误。
+ **Backup Gateways 数量不足**:如果备份网关的数量不足以处理所有配置的备份轮换 VMs,则备份任务可能会失败。当备份计划用于完成备份的时段过短或备份网关数量不足时,就会发生这种情况。
+ 备份计划完成时段过短。
**补救措施:**
**增加带宽:**考虑增加与本地环境 AWS 之间的网络容量。此步骤将为备份过程提供更多带宽,使数据能够顺利传输而不触发错误。建议您至少有 100-Mbps 的带宽 AWS 用于本地 VMware VMs 备份。 AWS Backup
如果为备份网关配置了带宽速率限制,则可能会限制数据流并导致备份失败。提高带宽速率限制以确保足够的数据传输容量可能有助于减少失败次数。此调整可以抑制“检测到中止信号”错误的发生。有关更多信息,请参阅 [Backup Gateway 带宽限制](working-with-gateways.md#backup-gateway-bandwidth-throttling)。
**增加备份网关的数量:**一个备份网关一次最多可以处理 4 个备份和还原作业。其他作业将排队等候网关释放,直到备份启动时段结束。如果备份时段已过,而排队的作业尚未启动,这些备份作业将失败,并显示“检测到中止信号”。您可以增加备份网关的数量,以减少失败的作业数量。有关更多详细信息,请参阅[使用网关](working-with-gateways.md)。
**延长备份计划时段时间:**您可以增加备份计划中备份时段的**完成期限**。有关更多详细信息,请参阅[备份计划选项和配置](plan-options-and-configuration.md)。
要获得解决这些问题的帮助,请参阅 [AWS 知识中心](https://repost.aws/knowledge-center/backup-troubleshoot-vmware-backups)。
# 创建 Windows VSS 备份
使用 AWS Backup,您可以备份和恢复在 Amazon EC2 实例上运行的支持 VSS(卷影复制服务)的 Windows 应用程序。如果应用程序已在 Windows VSS 中注册了 VSS 写入器,则会为该应用程序 AWS Backup 创建一致的快照。
您可以执行一致的恢复,同时使用与保护其他 AWS 资源相同的托管备份服务。借助于 EC2 上的应用程序一致性 Windows 备份,您可以获得与传统备份工具相同的一致性设置和应用程序感知。
**注意**
AWS Backup 仅支持在 Amazon EC2 上运行的资源的应用程序一致性备份,特别是通过使用备份创建的新实例替换现有实例来恢复应用程序数据的备份方案。Windows VSS 备份并非支持所有实例类型或应用程序。
有关更多信息,请参阅《Amazon EC2 用户指南》**中的[创建基于 VSS 的快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-vss-snaps.html)。
要备份和还原运行 Amazon EC2 的支持 VSS 的 Windows 资源,请按照以下步骤完成所需的先决任务。有关说明,请参阅《Amazon EC2 用户指南》**中的[创建基于 Windows VSS 的 EBS 快照的先决条件](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/application-consistent-snapshots-prereqs.html)。
1. 在中下载、安装和配置 SSM 代理。 AWS Systems Manager这个步骤为必填项。有关说明,请参阅《AWS Systems Manager 用户指南》**中的[在适用于 Windows Server 的 EC2 实例上使用 SSM Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-windows.html)。
1. 在进行 Windows VSS(卷影复制服务)备份之前,向 IAM 角色添加 IAM 策略并将该角色附加到 Amazon EC2 实例。有关说明,请参阅《Amazon EC2 用户指南》**中的[使用 IAM 托管式策略为基于 VSS 的快照授予权限](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vss-iam-reqs.html)。如需 IAM 策略示例,请参阅[的托管策略 AWS Backup](security-iam-awsmanpol.md)。
1. [下载并安装 VSS 组件](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/application-consistent-snapshots-getting-started.html)到 Amazon EC2 实例上的 Windows
1. 在 AWS Backup以下位置启用 VSS:
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 在控制面板上,选择要创建的备份类型,要么**创建按需备份**,要么**管理备份计划**。提供您的备份类型所需的信息。
1. 分配资源时,选择 **EC2**。当前仅对 EC2 实例支持 Windows VSS 备份。
1. 在**高级设置**部分,选择 **Windows VSS**。这样,您将能够创建与应用程序保持一致的 Windows VSS 备份。
1. 创建您的备份。
状态为 `Completed` 的备份作业并不能保证 VSS 部分成功;是否包含 VSS 是在尽力而为的基础上进行的。请继续执行以下步骤以确定备份具有应用程序一致性、崩溃一致性还是失败:
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 在左导航栏的**我的账户**下,单击**作业**。
1. 状态为 `Completed` 表示应用程序一致性 (VSS) 作业成功。
状态为 `Completed with issues` 表示 VSS 操作失败,因此只有崩溃一致性备份成功。此状态还将显示弹出框消息`"Windows VSS Backup Job Error encountered, trying for regular backup"`。
如果备份不成功,则状态将为 `Failed`。
1. 要查看备份作业的其他详细信息,请单击单个作业。例如,详细信息可能显示为 `Windows VSS Backup attempt failed because of timeout on VSS enabled snapshot creation`。
支持 VSS 的备份如果包含非 Windows 或非 VSS 组件 Windows 的目标且作业成功,则将是无 VSS 的崩溃一致性备份。
## 不受支持的 Amazon EC2 实例
支持 VSS 的 Windows 备份不支持以下 Amazon EC2 实例类型,因为它们是小型实例,可能无法成功进行备份。
+ t3.nano
+ t3.micro
+ t3a.nano
+ t3a.micro
+ t2.nano
+ t2.micro