本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
邏輯氣隙隔離保存庫的主要備份
概觀
邏輯氣隙隔離保存庫主要備份功能可讓您針對排程和隨需備份任務,將邏輯氣隙隔離保存庫指定為相同帳戶中的主要備份目的地。這不需要在標準備份文件庫和邏輯氣隙隔離文件庫中維護單獨的副本,降低成本並簡化工作流程,同時保留邏輯氣隙隔離的安全優勢。
您可以指派邏輯氣隙隔離保存庫做為備份計畫、全組織政策或隨需備份的主要目標。先前,若要備份到邏輯氣隙隔離保存庫,您必須先在備份保存庫中建立備份,然後將其複製到邏輯氣隙隔離保存庫。使用此功能,視資源類型而定, AWS Backup 可以直接在邏輯氣隙隔離保存庫中建立備份,或自動管理臨時備份,這些備份會複製到邏輯氣隙隔離保存庫,然後刪除。
行為取決於兩個因素:
-
邏輯氣隙隔離保存庫是否支援 資源類型。
-
資源類型是否支援完整 AWS Backup 管理。
警告
如果您採用此功能,我們建議您整合邏輯氣隙隔離保存庫與多方核准 (MPA)。即使保存庫擁有的帳戶無法存取,這也能復原保存庫中的備份。
此功能沒有新的定價。您只需支付存放在邏輯氣隙隔離保存庫中的備份,以及以現行費率存放適用資源的臨時快照 (在其系統中的保留期間) 的費用。如需詳細資訊,請參閱AWS Backup 定價
運作方式
您可以更新現有的備份計畫或建立新的備份計畫,並將邏輯氣隙隔離保存庫 ARN (欄位名稱:TargetLogicallyAirGappedBackupVaultArn) 新增為主要備份目標,以加入此功能。您可以透過 AWS Backup 主控台或 CLI AWS Backup 命令執行此操作。
"TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:AirGappedVault",
當您同時指定備份保存庫和邏輯氣隙隔離保存庫做為備份任務的目標時, 會根據資源類型和加密組態來 AWS Backup 決定適當的工作流程。
支援將主要備份到邏輯氣隙隔離保存庫的資源
若要檢視邏輯氣隙隔離保存庫支援的完整資源清單,請參閱 AWS Backup 功能可用性。使用此功能時,支援邏輯氣隙隔離保存庫的所有資源都遵循僅維護一個備份複本的原則,而不是存放兩個單獨的複本。
警告
此功能目前不支援的資源未來可能會啟用其支援。發生這種情況時,您新支援的資源將使用上述工作流程,自動開始在邏輯氣隙隔離保存庫中備份。
考量事項和限制:
-
僅限相同的帳戶和區域 – 邏輯氣隙隔離保存庫必須與資源位於相同的 AWS 帳戶和區域,才能使用此功能。您無法直接建立跨帳戶或跨區域備份。我們建議在相同區域中備份到邏輯氣隙隔離保存庫,以加快復原速度,而無需複製。如果您需要第二個區域中資料的複本以進行災難復原 (DR),建議您跨區域複寫主要資源,以便快速容錯移轉或跨區域復原點複製到鎖定的備份保存庫。
-
使用 AWS 受管金鑰的限制 – 不支援完整 AWS Backup 管理和使用 AWS 受管金鑰加密的資源 (例如
aws/ebs、aws/rds) 無法複製到邏輯氣隙隔離保存庫。這些資源必須使用客戶受管 KMS 金鑰加密或未加密。支援完整 AWS Backup 管理的資源沒有此限制。 -
備份頻率和並行副本 – 對於不支援完整 AWS Backup 管理的資源,請確保您的備份頻率有足夠的時間讓副本完成。如果排程備份的頻率高於副本可以完成的頻率,則複製任務將排入佇列,最終可能會失敗。如需並行複製限制的指引,請參閱配額。
-
生命週期相容性 – 備份計劃中指定的保留期必須與邏輯氣隙隔離保存庫設定的最短和最長保留期相容。
-
鎖定的備份保存庫 – 如果您的目標備份保存庫已啟用保存庫鎖定,則暫時復原點無法手動刪除,並會保留直到複製完成或保留期間過期為止。
-
還原測試、索引和掃描 – 還原測試、復原點索引和惡意軟體掃描會忽略具有
DELETE_AFTER_COPY生命週期的暫時復原點。復原點索引不支援邏輯氣隙隔離保存庫中的復原點。惡意軟體掃描不支援對複製的復原點進行排程掃描,其中包括作為邏輯氣隙隔離保存庫主要備份一部分而擷取的自動副本。
支援完整 AWS Backup 管理的資源
有些支援完整 AWS Backup 管理的資源類型,例如 Amazon EFS、Amazon S3、Amazon DynamoDB 和AWS Backup 進階功能等,可以直接備份到邏輯氣隙隔離保存庫。您的備份文件庫中不會建立任何復原點,也不需要複製操作。備份計畫中的任何排程複製動作都會使用邏輯氣隙隔離保存庫中的復原點做為來源。
支援連續備份的資源,例如 Amazon S3,也可以直接對邏輯氣隙隔離保存庫執行連續備份。
如需支援完整 AWS Backup 管理和邏輯氣隙隔離保存庫的資源類型清單,請參閱「完整管理」和「邏輯氣隙隔離保存庫」欄中資源的功能可用性。
資源不支援完整 AWS Backup 管理
Amazon EBS/EC2、Amazon Aurora 和 Amazon FSx 等資源無法直接備份到邏輯氣隙隔離保存庫。對於這些資源類型, 會在備份保存庫中 AWS Backup 建立暫時復原點,然後自動將其複製到邏輯氣隙隔離保存庫。
暫時復原點具有稱為 的特殊生命週期設定DELETE_AFTER_COPY。複製到邏輯氣隙隔離保存庫成功完成後, AWS Backup 會自動刪除暫時復原點。備份計畫中的所有其他排程複製動作會與複製到邏輯氣隙隔離保存庫並行開始,不會影響您目前的複製體驗。
如果複製到邏輯氣隙隔離保存庫失敗,會根據您指定的保留期間,暫時復原點會保留在您的備份保存庫中。這可確保備份任務完成後,您隨時都有可用的復原點。如果復原點稍後手動複製到邏輯氣隙隔離保存庫,則會根據DELETE_AFTER_COPY規則自動清除。
警告
使用 AWS 受管金鑰加密的資源 (例如 aws/ebs) 不支援複製到邏輯氣隙隔離保存庫。這些資源必須使用 AWS Key Management Service 客戶受管金鑰加密或未加密。支援完整 AWS Backup 管理的資源沒有此限制。
複製生命週期後刪除
暫時復原點有一個名為 的新生命週期屬性DeleteAfterEvent,值為 DELETE_AFTER_COPY。此屬性表示在所有複製任務完成後,或您指定的保留期之後,復原點將自動刪除,以先到者為準。
當下列所有條件都成立時,會刪除暫時復原點:
-
所有自動和排程的複製任務都已完成。
-
您的目標邏輯氣隙隔離保存庫有已完成的複製任務,保留期至少為來源復原點。
如果您需要防止在副本進行時手動刪除暫時復原點,請考慮使用鎖定的備份保存庫作為目標備份保存庫。
資源不支援完整 AWS Backup 管理的持續備份
對於 Amazon Aurora 等資源,如果您啟用連續備份, 會在備份文件庫中 AWS Backup 建立連續復原點,並拍攝臨時快照,該快照會複製到邏輯氣隙隔離文件庫。無論複製成功或失敗,暫時快照一律會在複製完成後刪除,因為您會在備份文件庫中保留持續復原點。
如果您不想在備份保存庫中為 Amazon Aurora 建立連續復原點,但希望在邏輯氣隙隔離保存庫中為 Amazon S3 建立連續復原點,則可以停用目前計畫中的連續備份 (EnableContinuousBackup) 設定,並從不同的計畫啟用 S3 連續。
您可以在了解 Amazon Aurora 備份儲存用量中進一步了解 Aurora 備份儲存。
不支援的資源
如果邏輯氣隙隔離保存庫不支援資源類型,或者如果非完全受管資源使用 AWS 受管金鑰加密,則 只會在您的備份保存庫中 AWS Backup 建立備份。不會嘗試複製到邏輯氣隙隔離保存庫。備份任務已成功完成,並顯示為什麼備份未前往邏輯氣隙隔離保存庫的訊息。
成本考量
-
此功能不會產生新的費用。您只需為保存庫中的儲存付費。
-
對於支援完整 AWS Backup 管理的資源,與在備份文件庫和邏輯氣隙隔離文件庫中維護兩個備份副本相比,僅在邏輯氣隙隔離文件庫中維護備份可以大幅節省成本。
-
對於不支援完整 AWS Backup 管理的資源,您需要支付備份文件庫中暫時復原點和邏輯氣隙隔離文件庫中復原點的費用。
-
您仍然可以透過保留單一備份複本來節省大量成本,但這些節省可能會根據您的備份頻率和變更率而有所不同。
-
較低的備份頻率通常可節省更多成本,因為臨時復原點佔用儲存空間的計費期間百分比較短。
-
有些資源的計費持續時間最短,這會增加暫時復原點的成本。
-
-
如果您不使用這些 S3 功能,請在備份組態中停用標籤或 ACLs 中繼資料擷取。這可減少 API 呼叫和複製操作期間中繼資料檢查的相關費用。
設定邏輯氣隙隔離保存庫主要備份
您可以透過 AWS Backup 主控台 AWS CLI AWS CloudFormation、 或 備份政策,設定邏輯氣隙隔離保存庫主要 AWS Organizations 備份。
設定 Backup 計畫
設定隨需備份
監控邏輯氣隙隔離保存庫主要備份
您可以使用 AWS Backup 主控台 AWS CLI或 Amazon EventBridge 事件來監控備份和複製任務的狀態。
監控備份任務
監控備份任務狀態 (DescribeBackupJob),以確保您的資源持續受到保護。失敗的備份任務表示未建立任何復原點。
-
驗證復原點建立位置 - 當備份任務成功完成時,您在目標備份保存庫或目標邏輯氣隙隔離保存庫中有復原點。檢查
BackupVaultArn欄位以判斷復原點的建立位置。 -
驗證任務狀態 - 如果邏輯氣隙隔離保存庫不支援資源,則備份任務會以
MessageCategory完成,LOGICALLY_AIR_GAPPED_BACKUP_VAULT_NOT_SUPPORTED並顯示狀態訊息,說明備份文件庫中建立備份的原因。 -
驗證暫時復原點類型 - 若要檢查復原點是否為暫時,請尋找值為 的
RecoveryPointLifecycle.DeleteAfterEvent欄位DELETE_AFTER_COPY。
監控複製任務
監控複製到邏輯氣隙隔離保存庫的複製任務 (ListCopyJobs) 是否有失敗。失敗的複製任務表示您的復原點會保留在您的標準備份保存庫中,而沒有邏輯氣隙隔離保存庫保護。
-
驗證複製任務狀態 - 您可以使用現有的
Copy Job State ChangeEventBridge 事件監控複製任務狀態。或者,篩選目的地保存庫 (destinationBackupVaultArn),以專注於邏輯氣隙隔離保存庫複本。 -
驗證來源復原點的複本 - 使用
ListCopyJobsAPI 搭配新的BySourceRecoveryPointArn篩選條件來尋找與特定復原點相關聯的所有複製任務,包括自動複製到邏輯氣隙隔離保存庫,以及排程複製到其他目的地。 -
確認刪除暫時復原點 - 追蹤暫時復原點刪除的完成。如果複製任務狀態為
RUNNING,則尚未刪除復原點。如果複製到邏輯氣隙隔離保存庫的複本具有FAILED,則復原點將依照您指定的保留期間保留。
注意
複製任務記錄會過期,並在完成後 30 天移除。在此期間之後,您無法使用 ListCopyJobs 來判斷歷史複製狀態。
監控復原點
監控EXPIRED復原點 (ListRecoveryPointsByBackupVault),這可能表示 AWS Backup 無法刪除它們 (可能由於缺少許可)。EXPIRED復原點可能會造成成本影響。
-
驗證復原點狀態 - 使用現有的復原點狀態變更 EventBridge 事件來監控過期。
-
確認刪除暫時復原點 - 如果
DeleteAfterEvent: DELETE_AFTER_COPY尚未刪除具有 的復原點,請使用ListCopyJobsAPI 判斷原因,如上所述。
加入和遷移
如果您目前使用複製動作將備份複製到邏輯氣隙隔離保存庫,則可以遷移至邏輯氣隙隔離保存庫主要備份,以降低成本。您也可以將現有的 Amazon S3 連續備份從備份保存庫遷移到邏輯氣隙隔離保存庫。本指南說明遷移至邏輯氣隙隔離保存庫主要備份功能所需的先決條件和步驟。
先決條件和最佳實務
在有效使用邏輯氣隙隔離保存庫主要備份功能之前,有先決條件和建議的最佳實務。
先決條件
目前,作為主要備份目標的邏輯氣隙隔離保存庫僅支援與備份資源位於相同 AWS 帳戶和 AWS 區域內的備份。邏輯氣隙隔離保存庫備份本質上儲存在單獨的服務帳戶中,提供跨帳戶/跨組織隔離,而無需將副本複製到單獨的帳戶。如果您需要跨區域備份,請繼續使用邏輯氣隙隔離保存庫作為複製目的地。遷移至此功能之前,請確定您符合下列要求:
-
區域和帳戶需求
-
邏輯氣隙隔離保存庫必須與資源位於相同的 AWS 帳戶和區域
-
-
資源相容性
-
確認 資源在特徵可用性中受到邏輯氣隙隔離保存庫的支援。
-
檢查您的資源是否支援完整 AWS Backup 管理。建立氣隙隔離備份的體驗在這兩種類型的資源之間有所不同,即使兩者的結果相似。
-
-
加密要求
-
不支援完整 AWS Backup 管理的資源必須未加密或使用客戶受管金鑰 (CMKs) 加密。 AWS 邏輯氣隙隔離保存庫不支援受管金鑰 (AMK) 加密的資源。
-
最佳實務
-
從非關鍵資源的試行遷移開始。
-
根據複製任務效能檢閱和調整備份頻率。
-
在完全遷移之前實作全面的監控。
-
定期驗證預期保存庫中的復原點建立。
規劃您的遷移
-
檢閱現有的備份計畫和政策。
-
識別哪些資源支援完整 AWS Backup 管理,哪些則不支援。
-
支援完整 AWS Backup 管理的資源 (例如 EFS、S3) - 可以直接備份到邏輯氣隙隔離保存庫
-
不支援完整 AWS Backup 管理的資源 (例如 EC2、EBS、FSx) - 需要在備份文件庫中暫時備份,才能複製到邏輯氣隙隔離文件庫
-
-
檢閱您目前的備份磁碟區和頻率,並確保您的組態符合不支援完整 AWS Backup 管理之所有資源的並行複製限制。
-
略過此步驟 如果您已經以與標準保存庫備份相同的頻率複製到邏輯氣隙隔離保存庫。
-
如有需要,請考慮調整備份頻率,以防止複製任務佇列。
-
如果發生複製任務佇列,在等待將副本複製到邏輯氣隙隔離保存庫時,標準備份保存庫中仍會有可用的復原點。不過,該復原點不會提供邏輯氣隙隔離保存庫提供的保護層級。
-
支援完整 AWS Backup 管理遷移路徑的資源
對於全受管資源,您可以直接備份到邏輯氣隙隔離保存庫,而無需複製操作。
對於快照型備份
此程序適用於所有快照案例,無論您的備份保存庫是否已鎖定。遷移現有備份計劃或使用現有備份保存庫 (主要) 和邏輯氣隙隔離保存庫 (複製) 時,請在新的備份計劃中:
-
維護現有的備份文件庫,或將其新增為備份目標 (
TargetBackupVaultName)。此保存庫不會存放任何備份,但必須提供才能回溯相容性。 -
更新您的備份計劃,以包含邏輯氣隙隔離保存庫 (
TargetLogicallyAirGappedBackupVaultArn),該保存庫存在於同一個帳戶中,作為主要目標。 -
檢閱對另一個邏輯氣隙隔離保存庫的任何現有複製動作,以判斷是否仍然需要。如果此保存庫位於相同帳戶中,您也可以在步驟 2 中將此保存庫移動為主要目標。
對於 Amazon S3 連續備份
邏輯氣隙隔離保存庫作為主要備份目標,支援 Amazon S3 的連續備份。不過,在單一保存庫中,每個資源只能維持一個作用中的連續復原點。如果您有現有的作用中 Amazon S3 持續復原點,您必須先取消關聯或刪除它,才能在不同的保存庫中建立新的復原點。使用現有的作用中 Amazon S3 持續復原點,將邏輯氣隙隔離保存庫目標 (來自相同帳戶) 新增至備份計畫,會導致連續備份任務失敗。
若要將 Amazon S3 持續復原點從解除鎖定的備份保存庫遷移至邏輯氣隙隔離保存庫:
-
更新您的備份計劃,將複製動作新增至邏輯氣隙隔離保存庫。這將降低您在邏輯氣隙隔離保存庫中產生初始備份的成本。如果您已複製到本機邏輯氣隙隔離保存庫,請略過此步驟。
-
在繼續之前,請確認邏輯氣隙隔離保存庫中至少有一個快照副本已成功完成。
-
取消現有 Amazon S3 持續復原點的關聯。呼叫 DisassociateRecoveryPoint API,將復原點狀態從可用變更為已停止。此動作會保留您現有的備份資料,同時停止新增新資料。
-
更新備份計畫以新增邏輯氣隙隔離保存庫 (
TargetLogicallyAirGappedBackupVaultArn) 作為備份目標。 -
移除計畫中任何先前的複製動作。
-
在下一個備份計畫執行時,將會在邏輯氣隙隔離保存庫中建立新的持續復原點。根據從步驟 1 複製的快照,此復原點將是增量的。
若要將 Amazon S3 持續復原點從鎖定的備份保存庫遷移至邏輯氣隙隔離保存庫:
-
更新您的備份計劃,將複製動作新增至邏輯氣隙隔離保存庫。這將降低您在邏輯氣隙隔離保存庫中產生初始備份的成本。如果您已複製到本機邏輯氣隙隔離保存庫,請略過此步驟。
-
在繼續之前,請確認邏輯氣隙隔離保存庫中至少有一個快照副本已成功完成。確保複製的快照具有足夠長的保留期,以保持可用狀態,直到您完成所有步驟為止。
-
新增邏輯氣隙隔離保存庫做為主要目標,並移除任何複製動作。
-
此步驟是必要的,因為鎖定的保存庫不支援取消連續復原點的關聯。
-
您在鎖定備份文件庫中現有的持續復原點將繼續累積資料,直到根據其生命週期過期為止。
-
新的連續備份任務將會失敗,因為每個資源只能有一個作用中的連續復原點。由於這些任務失敗,因此不會執行任何複製動作。
-
-
等待現有的持續復原點過期。過期後,將在邏輯氣隙隔離保存庫中建立新的持續復原點。如果快照仍存在於邏輯氣隙隔離保存庫中,則此復原點將根據從步驟 1 複製的快照遞增。
-
標準保存庫中累積的任何資料都會在過期時遺失。只有在邏輯氣隙隔離保存庫中建立新復原點之後備份的資料才會保留。
不支援完整 AWS Backup 管理遷移路徑的資源
非完全受管資源需要對邏輯氣隙隔離保存庫進行複製操作。程序會在您的標準備份保存庫中建立暫時復原點 (可計費),自動複製到邏輯氣隙隔離保存庫,然後在複製完成後刪除。當您更新備份計劃以包含邏輯氣隙隔離保存庫目標時:
-
備份任務會在備份文件庫中建立復原點。這具有由
DELETE_AFTER_COPY事件指定的生命週期。 -
複製任務會自動啟動將復原點轉移到邏輯氣隙隔離保存庫。
-
複製成功完成後,會刪除保存庫中的暫時復原點。
-
如果複製失敗,臨時復原點會根據您指定的保留期間保留最長期間,以確保您有可用的復原點。
疑難排解
備份或複製任務失敗,並發生生命週期不相容錯誤
備份任務的錯誤: Backup job failed because the lifecycle is outside the valid range for backup vault.
複製任務的錯誤: Copy job failed. The retention specified in the job is not within the range specified for the target Backup Vault.
可能原因:備份任務或複製任務失敗,因為保留期與邏輯氣隙隔離保存庫的最短或最長保留設定不相容。
解決方案:更新您的備份計畫,以指定在邏輯氣隙隔離保存庫設定的最短和最長保留期間內的保留期。
連續備份任務失敗並「已啟用連續備份」
錯誤:Bucket {bucket_name} already has continuous backup enabled for another vault Backup job failed.
可能原因:持續備份任務失敗,因為另一個保存庫中的資源已有持續復原點。
解決方案:每個資源只能有一個連續復原點。如果您的備份保存庫已解除鎖定,請使用 disassociate-recovery-point 命令取消現有持續復原點的關聯。如果您的備份保存庫已鎖定,請等待現有的持續復原點根據其生命週期過期。
備份任務以「問題完成」完成 - 不支援的資源類型
訊息:Backup job completed successfully to the target backup vault. This resource type is not supported by logically air-gapped backup vault.
可能原因:不支援的非完全受管資源的備份任務會顯示「已完成問題」,其中包含表示不支援資源的訊息。
解決方案:不支援的資源類型只會備份到備份保存庫。如果您想要將這些備份保留在備份文件庫中,則不需要採取任何動作。如果您不想將不支援的資源與邏輯氣隙隔離保存庫混合,您可以:
-
從這些資源的備份計畫中移除資源或邏輯氣隙隔離保存庫目標,並繼續僅備份至備份保存庫。您之後可以將資源新增為不同計劃的一部分。
備份任務以「問題完成」完成 - 不支援的加密金鑰
訊息:Backup job completed successfully to the target backup vault. This resource is encrypted with an AWS managed key and cannot be copied to a logically air-gapped backup vault.
可能原因:不支援的非完全受管資源的備份任務會顯示「已完成問題」,並顯示訊息指出資源已使用 AWS 受管金鑰加密。
解決方案:使用受管金鑰加密的非完全 AWS 受管資源無法複製到邏輯氣隙隔離保存庫。如果您想要將這些備份保留在備份文件庫中,則不需要採取任何動作。如果您不想將不支援的資源與邏輯氣隙隔離保存庫混合,您可以:
-
使用客戶受管 KMS 金鑰重新加密您的資源,或
-
從這些資源的備份計畫中移除資源或邏輯氣隙隔離保存庫目標,並繼續僅備份至備份保存庫。您之後可以將資源新增為不同計劃的一部分。
復原點保持 EXPIRED 狀態
可能原因:暫時復原點會轉換為 EXPIRED 狀態,但不會刪除。
Resolution: AWS Backup 可能缺少刪除復原點的許可。確認您的備份角色具有必要的 IAM 許可。您可能需要手動刪除expired復原點。
由於高備份頻率,複製任務會排入佇列或失敗
可能原因:將任務複製到邏輯氣隙隔離保存庫正在排入佇列或失敗,因為備份排程的頻率高於複本可以完成的頻率。
解決方案:降低備份頻率或調整備份排程,以允許備份之間有更多的時間。如需並行複製限制的相關資訊,請參閱AWS Backup 配額文件。
