Amazon EBS local snapshots on Outposts - Amazon EBS
常见问题先决条件注意事项使用 IAM 控制访问使用本地快照

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon EBS local snapshots on Outposts

Amazon EBS 快照是您的 EBS 卷的 point-in-time副本。

默认情况下,AWS Outpost 上 EBS 卷的快照存储在 Outpost 区域的 Amazon S3 中。您还可以使用 Outposts 上的 Amazon EBS 本地快照,将 Outpost 上的卷快照存储在 Outpost 自身的 Amazon S3 本地。这确保快照数据驻留在 Outpost 上和您本地。此外,您可以使用 AWS Identity and Access Management (IAM) 策略和权限来设置数据驻留强制政策,以确保快照数据不会离开。Outpost如果您居住的国家或地区尚未由某个地区提供服务,并且有数据驻留要求,则 AWS 此功能特别有用。

此主题提供有关使用 Outposts 上的 Amazon EBS 本地快照 的信息。有关 Amazon EBS 快照和在某个 AWS 地区使用快照的更多信息,请参阅Amazon EBS 快照

有关更多信息,请参阅 AWS Outposts FamilyAWS Outposts Family Documentation

常见问题

1. 什么是 本地快照?

默认情况下,Outpost 上卷的 Amazon EBS 快照存储在 Outpost 区域的 Amazon S3 中。如果 Outpost 预置了 S3 on Outposts,您可以选择在 Outpost 自身上本地存储快照。本地快照采用增量更新,这意味着只保存在最新快照之后更改的卷数据块。您随时可以使用这些快照在快照所在同一 Outpost 上还原卷。有关 Amazon EBS 快照的更多信息,请参阅 Amazon EBS 快照

2. 为什么应该使用 本地快照?

快照是备份数据的便捷方法。使用本地快照,您的所有快照数据都在 Outpost 上本地存储。这意味着数据不会离开您的本地环境。如果您居住的国家或地区尚未由某个地区提供服务,并且有居留要求,则 AWS 此功能特别有用。

此外,使用本地快照可以在带宽受限环境中帮助减少区域和 Outpost 之间的通信所使用的带宽。

3. 如何在 Outpost 上执行快照数据驻留?

您可以使用 AWS Identity and Access Management (IAM) 策略来控制委托人(AWS 账户、IAM 用户和 IAM 角色)在处理本地快照时拥有的权限,并强制执行数据驻留。您可以创建一个策略,防止委托人从Outpost卷和实例创建快照以及将快照存储在某个 AWS 区域。目前,不支持从 Outpost 向区域复制快照和映像。有关更多信息,请参阅 使用 IAM 控制访问

4. 是否支持多卷、崩溃一致性本地快照?

是的,您可以从 Outpost 上的实例创建多卷、崩溃一致性本地快照。

5. 我该如何创建本地快照?

您可以使用 AWS Command Line Interface (AWS CLI) 或 Amazon EC2 控制台手动创建快照。有关更多信息,请参阅使用本地快照。您还可以使用 Amazon Data Lifecycle Manager 自动执行本地快照的生命周期。有关更多信息,请参阅 在 Outpost 上自动执行快照

6. 如果我的 Outpost 失去了与其区域的连接,我可以创建、使用或删除本地快照吗?

不可以。Outpost 必须与其区域建立连接,因为该区域提供对快照的运行状况至关重要的访问、授权、日志记录和监控服务。如果没有连接,则您无法创建新的本地快照、创建卷或从现有本地快照实例启动实例,也无法删除本地快照。

7. 删除本地快照多久后 Amazon S3 存储容量可供使用?

Amazon S3 存储容量在删除引用它们的本地快照和卷后 72 小时内可供使用。

8. 如何确保不会在我的 Outpost 上耗尽 Amazon S3 容量?

我们建议您使用 Amazon CloudWatch 警报来监控您的 Amazon S3 存储容量,并删除不再需要的快照和卷,以免存储容量耗尽。如果您在使用 Amazon Data Lifecycle Manager 自动执行本地快照的生命周期,请确保快照保留策略保留快照的时间不超过所需时长。

9. 如果我的 Outpost 上的本地 Amazon S3 容量用尽,会发生什么情况?

如果 Outpost 上的本地 Amazon S3 容量用尽,Amazon Data Lifecycle Manager 将无法在 Outpost 上成功创建本地快照。Amazon Data Lifecycle Manager 将尝试在 Outpost 上创建本地快照,但快照会立即过渡到 error 状态,最终会被 Amazon Data Lifecycle Manager 删除。我们建议您使用 SnapshotsCreateFailed Amazon CloudWatch 指标来监控快照生命周期策略,以防快照创建失败。有关更多信息,请参阅 使用监控数据生命周期管理器策略 CloudWatch

10. 我能否在 Spot 实例和 Spot 队列中使用本地快照并由本地快照提供 AMIs 支持?

不可以,您不能使用本地快照或由本地快照 AMIs 支持来启动 Spot 实例或 Spot 队列。

11. 我能否在 Amazon A EC2 uto Scaling 中使用本地快照并由本地快照提供 AMIs 支持?

是的,您可以使用本地快照并由本地快照 AMIs 支持的子网启动 Auto Scaling 组,该子网与快照位于同一Outpost子网中。Amazon A EC2 uto Scaling 组服务相关角色必须有权使用用于加密快照的 KMS 密钥。

您不能使用本地快照或由本地快照 AMIs 支持的在 AWS 区域中启动 Auto Scaling 群组。

先决条件

要在 Outpost 上存储快照,您必须拥有预置了 S3 on Outposts 的 Outpost。有关 S3 on Outposts 的更多信息,请参阅《Amazon S3 on Outposts 用户指南》中的 S3 on Outposts

注意事项

使用本地快照时请记住以下事项。

  • Outpost必须与其 AWS 所在区域建立连接才能使用本地快照。

  • 快照元数据存储在与关联的 AWS 区域中Outpost。其中不包括任何快照数据。

  • 存储在 Outpost 上的快照默认处于加密状态。不支持非加密快照。在 Outpost 上创建的快照和复制到 Outpost 的快照将使用区域的默认 KMS 密钥或您在请求时指定的其他 KMS 密钥进行加密。

  • 当您从本地快照在 Outpost 上创建卷时,不能使用其他 KMS 密钥对卷重新加密。从 本地快照 创建的卷必须使用与源快照相同的 KMS 密钥 进行加密。

  • 从 Outpost 中删除本地快照后,删除的快照所使用的 Amazon S3 存储容量将在 72 小时内可供使用。有关更多信息,请参阅 删除本地快照

  • 您不能从 Outpost 导出本地快照。

  • 您不能为本地快照启用快速快照还原。

  • 本地快照 APIs 不支持 EBS 直接。

  • 您不能复制本地快照,也不能 AMIs 从一个区域复制Outpost到另一个 AWS 区域,也不能从一个区域复制Outpost到另一个区域,也不能复制到另一个区域内Outpost。但是,您可以将快照从 AWS 区域复制到 Outpost。有关更多信息,请参阅 将快照从一个 AWS 区域复制到 Outpost

  • 将快照从 AWS 区域复制到时Outpost,数据将通过服务链接传输。同时复制多个快照可能会影响在 Outpost 上运行的其他服务。

  • 您不能共享本地快照。

  • 您必须使用 IAM policy 来确保满足数据驻留要求。有关更多信息,请参阅使用 IAM 控制访问

  • 本地快照执行增量备份。只保存卷中在最近快照之后发生更改的数据块。每个本地快照都包含将数据(拍摄快照时存在的数据)还原到新 EBS 卷所需的全部信息。有关更多信息,请参阅 Amazon EBS 快照的工作原理

  • 您不能使用 IAM 策略强制执行数据驻留CopySnapshotCopyImage操作。

使用 IAM 控制访问

您可以使用 AWS Identity and Access Management (IAM) 策略来控制委托人(AWS 账户、IAM 用户和 IAM 角色)在处理本地快照时拥有的权限。以下示例策略可用于授予或拒绝对本地快照执行特定操作的权限。

重要

目前不支持将快照和映像从 Outpost 复制到区域。因此,您目前无法使用 IAM 策略强制执行数据驻留CopySnapshotCopyImage操作。

为快照执行数据驻留

以下示例策略禁止所有委托人从某个区域上的Outpostarn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef卷和实例创建快照,也禁止将快照数据存储在某个 AWS 区域。委托人仍然可以创建本地快照。此策略可确保所有快照都保留在 Outpost 上。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots"
            ],
            "Resource": "arn:aws:ec2:us-east-1::snapshot/*",
            "Condition": {
                "StringEquals": {
                    "ec2:SourceOutpostArn": "arn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef0"
                },
                "Null": {
                    "ec2:OutpostArn": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots"
            ],
            "Resource": "*"
        }
    ]
}

禁止委托人删除本地快照

以下示例策略禁止所有主体删除存储在 Outpost arn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef0 上的本地快照。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ec2:DeleteSnapshot"
            ],
            "Resource": "arn:aws:ec2:us-east-1::snapshot/*",
            "Condition": {
                "StringEquals": {
                    "ec2:OutpostArn": "arn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef0"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteSnapshot"
            ],
            "Resource": "*"
        }
    ]
}

使用本地快照

下面几节介绍如何使用本地快照。

存储快照的规则

以下规则适用于快照存储:

  • 如果卷的最新快照存储在某个 Outpost 上,则所有后续快照都必须存储在同一 Outpost 中。

  • 如果卷的最新快照存储在某个 AWS 区域中,则所有连续的快照都必须存储在同一个区域中。要开始从该卷创建本地快照,请执行以下操作:

    1. AWS 在该区域创建卷的快照。

    2. 将快照Outpost从该 AWS 区域复制到。

    3. 从本地快照创建新卷:

    4. 将卷附加到 Outpost 上的实例。

    对于 Outpost 上的新卷,下一个快照可以存储在 Outpost 或 AWS 区域中。然后必须将所有后续快照存储在同一位置。

  • 本地快照,包括在上创建的快照Outpost和Outpost从某个 AWS 区域复制到的快照,只能用于在同一区域上创建卷Outpost。

  • 如果您从某个区域中的快照在 Outpost 上创建卷,则该新卷的所有后续快照都必须位于同一区域中。

  • 如果您从本地快照在 Outpost 上创建卷,则该新卷的所有后续快照都必须位于同一 Outpost 中。

从 Outpost 上的卷创建本地快照

您可以从 Outpost 上的卷创建本地快照。您可以选择将快照存储在源卷所在的同一 Outpost 中,也可以选择将快照存储在 Outpost 的区域中。

本地快照只能用于在同一 Outpost 上创建卷。

有关更多信息,请参阅 创建 Amazon EBS 快照

AMIs 从本地快照创建

您可以使用本地快照和存储在该地区的快照的组合来创建 Amazon 系统映像 (AMIs) Outpost。例如,如果您在 us-east-1 中有一个 Outpost,则可以使用由该 Outpost 上的本地快照支持的数据卷以及由 us-east-1 区域中的快照支持的根卷来创建 AMI。

注意

  • 您不能创建 AMIs 包含存储在多个快照中的备份快照Outposts。

  • 目前,您无法通过正在Outpost使用的 CreateImageAPI 或亚马逊 EC2控制台上的实例 AMIs 直接创建Outpost。

  • AMIs 由本地快照支持的Outpost只能用于在同一个快照上启动实例。

从区域中的快照在 Outpost 上创建 AMI

  1. 将快照从区域复制到 Outpost。有关更多信息,请参阅 将快照从一个 AWS 区域复制到 Outpost

  2. 使用 Amazon EC2 控制台或 register-image 命令使用上的快照副本创建 AMI。Outpost有关更多信息,请参阅从快照创建 AMI

从 Outpost 上的实例在 Outpost 上创建 AMI

  1. 从 Outpost 上的实例创建快照并将快照存储在 Outpost 上。有关更多信息,请参阅 创建 Amazon EBS 快照

  2. 使用 Amazon EC2 控制台或 register-image 命令使用本地快照创建 AMI。有关更多信息,请参阅从快照创建 AMI

从 Outpost 上的实例在区域中创建 AMI

  1. 从 Outpost 上的实例创建快照并将快照存储在区域中。有关更多信息,请参阅 从 Outpost 上的卷创建本地快照创建 Amazon EBS 快照

  2. 使用亚马逊 EC2 控制台或 regi ster-image 命令使用该地区的快照副本创建 AMI。有关更多信息,请参阅从快照创建 AMI

将快照从一个 AWS 区域复制到 Outpost

您可以将快照从一个 AWS 区域复制到Outpost。仅当快照位于 Outpost 的区域中时,才能执行此操作。如果快照位于其他区域,则必须先将快照复制到该 Outpost 的区域,再将其从该区域复制到该 Outpost。

注意

您不能将本地快照从 Outpost 复制到某个区域、在 Outpost 之间或在同一 Outpost 内复制。

有关更多信息,请参阅 复制 Amazon EBS 快照

AMIs 从一个 AWS 区域复制到一个 Outpost

您可以 AMIs 从一个 AWS 地区复制到Outpost。当您将 AMI 从区域复制到 Outpost 时,与该 AMI 关联的所有快照都将从该区域复制到该 Outpost。

仅当与 AMI 关联的快照位于 Outpost 的区域中时,您才能将该 AMI 从该区域复制到该 Outpost。如果快照位于其他区域,则必须先将 AMI 复制到该 Outpost 的区域,再将其从该区域复制到该 Outpost。

注意

您不能将 AMI 从 Outpost 复制到某个区域、在 Outpost 之间或在 Outpost 内复制。

您只能Outpost使用 cop y-imag e AWS CLI 命令 AMIs 从区域复制到。

从本地快照创建卷

您可以从本地快照在 Outpost 上创建卷。卷必须在源快照所在同一 Outpost 上创建。您不能使用本地快照在 Outpost 的区域中创建卷。

从 本地快照 创建卷时,不能使用不同的 KMS 密钥 对卷重新加密。从 本地快照 创建的卷必须使用与源快照相同的 KMS 密钥 进行加密。

有关更多信息,请参阅 创建 Amazon EBS 卷

从本地快照 AMIs 支持的实例启动

您可以启动由本地快照支持的实例。 AMIs 您必须在源 AMI 所在的同一 Outpost 中启动实例。有关更多信息,请参阅《AWS Outposts 用户指南》中的在 Outpost 上启动实例

删除本地快照

您可以从 Outpost 中删除本地快照。从 Outpost 中删除快照后,已删除快照使用的 Amazon S3 存储容量将在删除快照和引用该快照的卷后 72 小时内可用。

由于 Amazon S3 存储容量不会立即可用,因此我们建议您使用亚马逊 CloudWatch 警报来监控您的 Amazon S3 存储容量。应删除不再需要的快照和卷,以避免存储容量耗尽。

有关删除快照的更多信息,请参阅删除快照

在 Outpost 上自动执行快照

您可以创建 Amazon Data Lifecycle Manager 快照生命周期策略,使之自动创建、复制、保留和删除 Outpost 上卷和实例的快照。您可以选择是将快照存储在区域中,还是在 Outpost 上本地存储。此外,您可以自动将在一个 AWS 区域中创建和存储的快照复制到Outpost。

下表提供了支持功能的概述。

资源位置 快照目标 跨区域复制 快速快照还原 跨账户共享
复制到区域 至 Outpost
Region Region
Outpost Region
Outpost Outpost
注意事项

  • 目前仅支持 Amazon EBS 快照生命周期策略。不支持由 EBS 支持的 AMI 策略和跨账户共享事件策略。

  • 如果有策略管理某个区域中卷或实例的快照,则快照将在源资源所在同一区域中创建。

  • 如果有策略管理 Outpost 上卷或实例的快照,则可以在源 Outpost 或该 Outpost 的区域中创建快照。

  • 单个策略无法同时管理区域中的快照和 Outpost 上的快照。如果您需要在区域和 Outpost 中自动执行快照,则必须分别创建策略。

  • 在 Outpost 上创建的快照或复制到 Outpost 的快照不支持快照还原。

  • 在 Outpost 上创建的快照不支持跨账户共享。

有关创建可管理本地快照的快照生命周期的更多信息,请参阅自动化快照生命周期