Amazon EBS local snapshots on Outposts - Amazon EBS
常见问题先决条件注意事项使用 IAM 控制访问使用本地快照

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon EBS local snapshots on Outposts

Amazon EBS 快照是您的 EBS 卷的 point-in-time副本。

默认情况下,上的 EBS 卷的快照存储在所在区域AWS Outpost的 Amazon S3 中。Outpost您还可以在 Outposts 上使用 Amazon EBS 本地快照将卷的快照存储在Outpost本地的 Amazon Outpost S3 中。这样可以确保快照数据驻留在Outpost您的内部和您的内部环境中。此外,您可以使用 AWS Identity and Access Management (IAM) 策略和权限来设置数据驻留强制政策,以确保快照数据不会离开。Outpost如果您居住的国家或地区尚未由某个地区提供服务,并且有数据驻留要求,则 AWS 此功能特别有用。

此主题提供有关使用 Outposts 上的 Amazon EBS 本地快照 的信息。有关 Amazon EBS 快照和在某个 AWS 地区使用快照的更多信息,请参阅Amazon EBS 快照

有关更多信息,请参阅AWS Outposts 家庭AWS Outposts 家庭文档

常见问题

1. 什么是 本地快照?

默认情况下,上各卷的 Amazon EBS 快照存储在所在区域Outpost的 Amazon S3 中。Outpost如果在 Out Outpost posts 上配置了 S3,则可以选择将快照存储在Outpost本地本身。本地快照采用增量更新,这意味着只保存在最新快照之后更改的卷数据块。您可以随时使用这些快照来恢复与快照Outpost相同的卷。有关 Amazon EBS 快照的更多信息,请参阅 Amazon EBS 快照

2. 为什么应该使用 本地快照?

快照是备份数据的便捷方法。使用本地快照时,您的所有快照数据都存储在本地上Outpost。这意味着数据不会离开您的本地环境。如果您居住的国家或地区尚未由某个地区提供服务,并且有居留要求,则 AWS 此功能特别有用。

此外,在带宽受限的环境中,使用本地快照可以帮助减少区域之间用于通信Outpost的带宽。

3. 如何在上强制执行快照数据驻留Outpost?

您可以使用 AWS Identity and Access Management (IAM) 策略来控制委托人(AWS 账户、IAM 用户和 IAM 角色)在处理本地快照时拥有的权限,并强制执行数据驻留。您可以创建一项策略,防止委托人从Outpost卷和实例创建快照以及将快照存储在某个 AWS 区域。目前,不支持将快照和图像从区域复制Outpost到某个区域。有关更多信息,请参阅 使用 IAM 控制访问

4. 是否支持多卷、崩溃一致性本地快照?

是的,您可以从上的实例创建多卷、崩溃一致的本地快照。Outpost

5. 我该如何创建本地快照?

您可以使用 AWS Command Line Interface (AWS CLI) 或 Amazon EC2 控制台手动创建快照。有关更多信息,请参阅使用本地快照。您还可以使用 Amazon Data Lifecycle Manager 自动执行本地快照的生命周期。有关更多信息,请参阅 在上自动执行快照 Outpost

6. 如果我与本地快照的区域Outpost断开连接,我能否创建、使用或删除本地快照?

不是。 Outpost必须与其区域建立连接,因为该区域提供对快照运行状况至关重要的访问、授权、日志记录和监控服务。如果没有连接,则您无法创建新的本地快照、创建卷或从现有本地快照实例启动实例,也无法删除本地快照。

7. 删除本地快照多久后 Amazon S3 存储容量可供使用?

Amazon S3 存储容量在删除引用它们的本地快照和卷后 72 小时内可供使用。

8. 如何确保我的 Amazon S3 容量不会用完Outpost?

我们建议您使用 Amazon CloudWatch 警报来监控您的 Amazon S3 存储容量,并删除不再需要的快照和卷,以免存储容量耗尽。如果您在使用 Amazon Data Lifecycle Manager 自动执行本地快照的生命周期,请确保快照保留策略保留快照的时间不超过所需时长。

9. 如果我的本地 Amazon S3 容量用完了会Outpost怎样?

如果您在上的本地 Amazon S3 容量用完Outpost,Amazon Data Lifecycle Manager 将无法在上成功创建本地快照Outpost。Amazon Data Lifecycle Manager 将尝试在上创建本地快照Outpost,但快照会立即过渡到error状态,并最终被亚马逊数据生命周期管理器删除。我们建议您使用 SnapshotsCreateFailed Amazon CloudWatch 指标来监控快照生命周期策略,以防快照创建失败。有关更多信息,请参阅 使用监控数据生命周期管理器策略 CloudWatch

10. 我能否在 Spot 实例和 Spot 队列中使用本地快照并由本地快照提供 AMIs 支持?

不可以,您不能使用本地快照或本地快照 AMIs 支持来启动 Spot 实例或 Spot 队列。

11. 我能否在 Amazon A EC2 uto Scaling 中使用本地快照并由本地快照提供 AMIs 支持?

可以,您可以使用本地快照并由本地快照 AMIs 支持的子网启动 Auto Scaling 组,该子网与快照位于同一Outpost子网中。Amazon A EC2 uto Scaling 组服务相关角色必须有权使用用于加密快照的 KMS 密钥。

您不能使用本地快照或由本地快照 AMIs 支持的在 AWS 区域中启动 Auto Scaling 群组。

先决条件

要在上存储快照Outpost,您必须在 O Outpost utposts 上配置了 S3。有关 Outposts 上的 S3 的更多信息,请参阅 Amaz on S3 on Outposts 用户指南中的 Out post s 上的 S3

注意事项

使用本地快照时请记住以下事项。

  • Outpost必须与其 AWS 所在区域建立连接才能使用本地快照。

  • 快照元数据存储在与关联的 AWS 区域中Outpost。其中不包括任何快照数据。

  • 默认情况下,存储在上的快照Outpost是加密的。不支持非加密快照。在上创建的快照Outpost和复制到的快照将使用该区域的默认 KMS 密钥或您在请求时指定的其他 KMS 密钥进行加密。Outpost

  • Outpost从本地快照创建卷时,无法使用其他 KMS 密钥重新加密该卷。从 本地快照 创建的卷必须使用与源快照相同的 KMS 密钥 进行加密。

  • 从中删除本地快照后Outpost,删除的快照所使用的 Amazon S3 存储容量将在 72 小时内变为可用。有关更多信息,请参阅 删除本地快照

  • 您无法从中导出本地快照Outpost。

  • 您不能为本地快照启用快速快照还原。

  • 本地快照 APIs 不支持 EBS Direct。

  • 您不能复制本地快照,也不能 AMIs 从一个区域复制Outpost到另一个 AWS 区域,也不能从一个区域复制Outpost到另一个区域,也不能在区域内复制快照Outpost。但是,您可以将快照从一个 AWS 区域复制到Outpost。有关更多信息,请参阅 将快照从一个 AWS 区域复制到 Outpost

  • 将快照从 AWS 区域复制到时Outpost,数据将通过服务链接传输。同时复制多个快照可能会影响上运行的其他服务Outpost。

  • 您不能共享本地快照。

  • 您必须使用 IAM policy 来确保满足数据驻留要求。有关更多信息,请参阅使用 IAM 控制访问

  • 本地快照执行增量备份。只保存卷中在最近快照之后发生更改的数据块。每个本地快照都包含将数据(拍摄快照时存在的数据)还原到新 EBS 卷所需的全部信息。有关更多信息,请参阅 Amazon EBS 快照的工作原理

  • 您不能使用 IAM 策略强制执行数据驻留CopySnapshotCopyImage操作。

使用 IAM 控制访问

您可以使用 AWS Identity and Access Management (IAM) 策略来控制委托人(AWS 账户、IAM 用户和 IAM 角色)在处理本地快照时拥有的权限。以下示例策略可用于授予或拒绝对本地快照执行特定操作的权限。

重要

目前不支持将快照和图像从区域复制Outpost到某个区域。因此,您目前无法使用 IAM 策略强制执行数据驻留CopySnapshotCopyImage操作。

为快照执行数据驻留

以下示例策略禁止所有委托人从某个区域上的Outpostarn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef卷和实例创建快照,也禁止将快照数据存储在某个 AWS 区域。委托人仍然可以创建本地快照。此策略可确保所有快照都保留在Outpost。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots"
            ],
            "Resource": "arn:aws:ec2:us-east-1::snapshot/*",
            "Condition": {
                "StringEquals": {
                    "ec2:SourceOutpostArn": "arn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef0"
                },
                "Null": {
                    "ec2:OutpostArn": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSnapshot",
                "ec2:CreateSnapshots"
            ],
            "Resource": "*"
        }
    ]
}

禁止委托人删除本地快照

以下示例策略禁止所有委托人删除存储在其上的Outpostarn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef0本地快照。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ec2:DeleteSnapshot"
            ],
            "Resource": "arn:aws:ec2:us-east-1::snapshot/*",
            "Condition": {
                "StringEquals": {
                    "ec2:OutpostArn": "arn:aws:outposts:us-east-1:123456789012:outpost/op-1234567890abcdef0"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteSnapshot"
            ],
            "Resource": "*"
        }
    ]
}

使用本地快照

下面几节介绍如何使用本地快照。

存储快照的规则

以下规则适用于快照存储:

  • 如果卷的最新快照存储在上Outpost,则所有连续的快照都必须存储在同一快照上Outpost。

  • 如果卷的最新快照存储在某个 AWS 区域中,则所有连续的快照都必须存储在同一个区域中。要开始从该卷创建本地快照,请执行以下操作:

    1. AWS 在该区域创建卷的快照。

    2. 将快照Outpost从该 AWS 区域复制到。

    3. 从本地快照创建新卷:

    4. 将卷连接到上的实例Outpost。

    对于上的新卷Outpost,下一个快照可以存储在Outpost或 AWS 区域中。然后必须将所有后续快照存储在同一位置。

  • 本地快照,包括在上创建的快照Outpost和Outpost从某个 AWS 区域复制到的快照,只能用于在同一区域上创建卷Outpost。

  • 如果您根据某个区域Outpost的快照在上创建卷,则该新卷的所有连续快照都必须位于同一区域中。

  • 如果您通过本地快照在Outpost上创建卷,则该新卷的所有连续快照都必须相同Outpost。

使用上的卷创建本地快照 Outpost

您可以根据自己的卷创建本地快照Outpost。您可以选择将快照存储在与源卷Outpost相同的位置上,也可以选择存储在区域中Outpost。

本地快照Outpost只能用于在同一个上创建卷。

有关更多信息,请参阅 创建 Amazon EBS 快照

AMIs 从本地快照创建

您可以使用本地快照和存储在该地区的快照的组合来创建 Amazon 系统映像 (AMIs) Outpost。例如,如果您有输入us-east-1,则可以创建一个 AMI,其数据卷由该区域的本地快照支持Outpost,根卷由该us-east-1区域的快照支持。Outpost

注意

  • 您不能创建 AMIs 包含存储在多个快照中的备份快照Outposts。

  • 目前,您无法通过正在Outpost使用的 CreateImageAPI 或亚马逊 EC2控制台上的实例 AMIs 直接创建Outpost。

  • AMIs 由本地快照支持的Outpost只能用于在同一个快照上启动实例。

在某个区域的Outpost来自快照上创建 AMI

  1. 将快照从该区域复制到Outpost。有关更多信息,请参阅 将快照从一个 AWS 区域复制到 Outpost

  2. 使用 Amazon EC2 控制台或 register-image 命令使用上的快照副本创建 AMI。Outpost有关更多信息,请参阅从快照创建 AMI

要在上创建 AMI,请Outpost从上的实例创建 AMI Outpost

  1. 从上的实例创建快照Outpost并将快照存储在上Outpost。有关更多信息,请参阅 创建 Amazon EBS 快照

  2. 使用 Amazon EC2 控制台或 register-image 命令使用本地快照创建 AMI。有关更多信息,请参阅从快照创建 AMI

在区域中通过实例创建 AMI Outpost

  1. 在上创建实例的快照,Outpost并将快照存储在该区域中。有关更多信息,请参阅 使用上的卷创建本地快照 Outpost创建 Amazon EBS 快照

  2. 使用亚马逊 EC2 控制台或 regi ster-image 命令使用该地区的快照副本创建 AMI。有关更多信息,请参阅从快照创建 AMI

将快照从一个 AWS 区域复制到 Outpost

您可以将快照从一个 AWS 区域复制到Outpost。只有当快照位于的区域时,您才能执行此操作Outpost。如果快照位于不同的区域,则必须先将快照复制到的区域Outpost,然后将其从该区域复制到Outpost。

注意

您不能将本地快照从一个区域复制Outpost到另一个区域,也不能从一个区域复制Outpost到另一个区域,也不能在同一个区域内复制本地快照Outpost。

有关更多信息,请参阅 复制 Amazon EBS 快照

AMIs 从一个 AWS 区域复制到一个 Outpost

您可以 AMIs 从一个 AWS 地区复制到Outpost。当您将 AMI 从一个区域复制到时Outpost,与该 AMI 关联的所有快照都将从该区域复制到Outpost。

Outpost只有当与 AMI 关联的快照位于该区域时,您才能将 AMI 从某个区域复制到该区域Outpost。如果快照位于不同的区域,则必须先将 AMI 复制到的区域Outpost,然后将其从该区域复制到Outpost。

注意

您不能将 AMI 从一个区域复制Outpost到一个区域、从一个区域复制Outpost到另一个区域,也不能在区域内复制Outpost。

您只能Outpost使用 cop y-imag e AWS CLI 命令 AMIs 从区域复制到。

从本地快照创建卷

您可以在本地快照Outpost上创建卷。必须在与源快照Outpost相同的地方创建卷。您不能使用本地快照在区域中为创建卷Outpost。

从 本地快照 创建卷时,不能使用不同的 KMS 密钥 对卷重新加密。从 本地快照 创建的卷必须使用与源快照相同的 KMS 密钥 进行加密。

有关更多信息,请参阅 创建 Amazon EBS 卷

从本地快照 AMIs 支持的实例启动

您可以启动由本地快照支持的实例。 AMIs 您必须在与源 AMI Outpost 相同的位置上启动实例。有关更多信息,请参阅AWS Outposts 用户指南Outpost中的在上启动实例

删除本地快照

您可以从中删除本地快照Outpost。从中删除快照后Outpost,删除的快照所使用的 Amazon S3 存储容量将在删除快照和引用该快照的卷后的 72 小时内变为可用。

由于 Amazon S3 存储容量不会立即可用,因此我们建议您使用亚马逊 CloudWatch 警报来监控您的 Amazon S3 存储容量。应删除不再需要的快照和卷,以避免存储容量耗尽。

有关删除快照的更多信息,请参阅删除快照

在上自动执行快照 Outpost

您可以创建 Amazon Data Lifecycle Manager 快照生命周期策略,自动创建、复制、保留和删除您的卷和实例的快照Outpost。您可以选择是将快照存储在某个区域中,还是将其存储在本地上Outpost。此外,您可以自动将在一个 AWS 区域中创建和存储的快照复制到Outpost。

下表提供了支持功能的概述。

资源位置 快照目标 跨区域复制 快速快照还原 跨账户共享
复制到区域 至 Outpost
区域 区域
Outpost 区域
Outpost Outpost
注意事项

  • 目前仅支持 Amazon EBS 快照生命周期策略。不支持由 EBS 支持的 AMI 策略和跨账户共享事件策略。

  • 如果有策略管理某个区域中卷或实例的快照,则快照将在源资源所在同一区域中创建。

  • 如果策略管理的是上的卷或实例的快照Outpost,则可以在源上创建快照Outpost,也可以在区域中为该快照创建快照Outpost。

  • 单个策略不能同时管理一个区域中的快照和一个区域的快照Outpost。如果您需要在某个区域和上自动创建快照Outpost,则必须创建单独的策略。

  • 在上创建的快照或复制到的快照不支持快速快照恢复Outpost。Outpost

  • 在上创建的快照不支持跨账户共享。Outpost

有关创建可管理本地快照的快照生命周期的更多信息,请参阅自动化快照生命周期