AWS Backup 常见问题

一般性问题

AWS Backup 是一项完全托管的服务,集中并自动化了 AWS 服务中的数据保护,如 Amazon Simple Storage service(S3)、Amazon FSx、Amazon Elastic Compute Cloud(EC2)和 Amazon 关系数据库服务(RDS),以及 VMware 本地、VMware Cloud on AWS 和 VMware Cloud on AWS Outposts 等混合工作负载。AWS Backup 提供了一种经济高效、完全托管且基于策略的服务,可进一步简化大规模数据保护。使用 AWS Backup Audit Manager,您可以审核和报告您的数据保护策略的合规性,从而帮助满足业务和监管需求。与 AWS Organizations 相结合时,可以使用 AWS Backup 集中部署数据保护策略,从而跨 AWS 账户和资源配置、管理和治理您的备份活动。

使用 AWS Backup,您可以定义一个称为备份计划的数据保护中心策略,该策略可以跨 AWS 服务进行计算、存储和数据库工作。备份计划定义了备份频率和备份保留期等参数。定义数据保护策略并向策略分配 AWS 资源后,AWS Backup 自动创建备份并将这些备份存储在您指定的加密备份库中。 AWS Backup 中的中心策略还可以帮助您定义访问控制,在 AWS Organizations 内的所有账户中自动进行备份访问管理。您可以使用 AWS Backup 的中央控制台查看正在受到保护的 AWS 资源,从备份还原,以及监控备份和还原活动。此外,通过 AWS Backup,您可以生成合规性指标报告,如备份频率、数据留存期和整个 AWS 资源的备份覆盖率,并向审计人员展示合规性。

保护数据是实现业务和监管合规要求的重要一步。即使是持久资源也容易受到威胁,例如应用程序中可能会导致意外删除或损坏的缺陷。以合规且一致的方式在所有应用程序中构建和管理您自己的备份工作流程,这是一项既复杂成本又高的任务。AWS Backup 提供完全托管式、基于策略的数据保护解决方案,因而无需采用价格昂贵的定制解决方案或人工流程。

AWS Backup 提供了一个集中式备份控制台、自动备份计划、备份保留管理以及备份监控和提示。AWS Backup 提供高级功能,如生命周期策略等,可将备份过渡到低成本存储层。它还包括独立于其源数据的备份存储和加密,利用 AWS Backup Audit Manager 的审计和合规性报告功能,以及使用 AWS 备份保管库锁删除保护。

您可以使用 AWS Backup 创建和管理以下 AWS 服务的备份:

Amazon Elastic Block Store(EBS)卷

Amazon EC2 实例(包括 Windows 应用程序)

AWS CloudFormation 堆栈

Windows Volume Shadow Copy Service (VSS) 在 EC2 上支持的应用程序(包括 Windows Server、Microsoft SQL Server 和 Microsoft Exchange Server)。

Amazon RDS 数据库(包括 Amazon Aurora 集群)

Amazon DynamoDB 表、Amazon Elastic File System(EFS)文件系统

Amazon FSx for NetApp ONTAP 文件系统

Amazon FSx for OpenZFS 文件系统

Amazon FSx for Windows File Server 文件系统

Amazon FSx for Lustre 文件系统

Amazon Neptune 数据库

Amazon DocumentDB(与 MongoDB 兼容)数据库

AWS Storage Gateway 卷

Amazon S3

VMware CloudTM on AWS 和本地 VMware 虚拟机

Amazon Redshift 手动快照

SAP HANA on EC2

Amazon Timestream 数据库

可以。您可以使用 AWS Backup 备份本地 Storage Gateway 卷和 VMware 虚拟机,从而提供在本地和 AWS 中管理应用程序数据备份的常用方法。

符合。可以使用 AWS Backup 访问使用具有现有备份功能(例如 EBS 快照)的服务创建的备份。同样,可以使用源服务访问由 AWS Backup 创建的备份。

AWS 服务提供了备份功能来保护数据,例如 Amazon S3 复制、Amazon EBS 快照、Amazon RDS 快照、Amazon FSx 备份、Amazon DynamoDB 备份和 AWS Storage Gateway 快照。所有现有的每项服务备份功能保持不变。AWS Backup 提供了一种新的通用方法,用于在 AWS 云和本地跨 AWS 服务管理备份。AWS Backup 是一项提供备份计划、保留管理和备份监控的集中式服务。 AWS Backup 支持由 S3、EBS、RDS、Amazon FSx、DynamoDB 和 Storage Gateway 提供的现有备份功能。对于具有基于 AWS Backup 构建的备份功能的 AWS 服务,如 Amazon EFS 和 DynamoDB,AWS Backup 提供了备份管理功能。其他功能包括将备份转换到低成本存储层的生命周期、独立于其源数据的备份存储和加密,以及备份访问策略。

在 AWS Backup 中创建的 Amazon Data Lifecycle Manager 策略和备份计划彼此独立工作,并提供两种方法来管理 EBS 快照。Amazon Data Lifecycle Manager 提供了一种管理 EBS 资源生命周期的简化方法,例如卷快照。当您想要自动实现 EBS 快照的创建、保留和删除时,请使用 Amazon Data Lifecycle Manager。使用 AWS Backup 从一个位置管理和监控您使用的各种 AWS 服务(包括 EBS 卷)的备份。

AWS Backup 包括用于跟踪备份、复制和还原任务等备份活动的控制面板。AWS Backup 的本机控制面板提供一种可扩展的机制,可通过跨账户和跨区域支持监控多个环境中的备份运行状况。此外,您可以使用内置指标来显示和精确定位组织内的特定失败任务。

在不支持 AWS Backup 本机控制面板的区域,AWS Backup 控制台中包含 Amazon CloudWatch 控制面板,允许客户查看已完成或失败的备份、复制和还原任务的指标。在此仪表板中,您可以按时间段查看作业状态,并根据需要的计划进行自定义。

AWS Backup 与 AWS CloudTrail 集成,提供备份活动日志的统一视图,并简化受保护资源的审计过程。

AWS Backup 与 Amazon Simple Notification Service(Amazon SNS)集成,自动向您发出备份活动的提示,例如备份成功时或启动还原时。

为了获得全面托管体验,您可以使用 AWS Backup Audit Manager 来监控和报告您的账户和区域的备份活动。

核心概念

恢复点表示指定时间的资源内容。恢复点还包括元数据,例如有关资源、还原参数和标记的信息。

备份计划是一个策略表达式,用于确定备份 AWS 资源(例如 DynamoDB 表或 EFS 文件系统)的时间和方式。您可以将资源分配给备份计划,然后 AWS Backup 会根据备份计划自动进行备份和保留这些资源的备份。备份计划由一个或多个备份规则组成。每个备份规则由以下内容组成:1) 备份计划,其中包括备份频率(恢复点目标 [RPO])和备份时段;2) 生命周期规则,用于指定何时将备份从一个存储层转换到另一个存储层,以及何时让恢复点过期;3) 备份文件库,用于放置创建的恢复点;以及 4) 创建时添加到备份的标记。例如,一个备份计划可能具有一个“每日备份规则”和一个“每月备份规则”。 每日规则在每天午夜备份资源,并且保留备份一个月。每月规则在每个月的月初进行一次备份,并且保留备份一年。

备份文件库是 AWS 账户中的一个加密存储位置,用于存储和组织您的备份(恢复点)。您可以在 AWS Backup 可用的每个 AWS 区域中创建新的备份文件库。使用 AWS 备份保管库锁对备份文件库启用删除保护,以防止恶意行为者重新加密您的数据。AWS Backup 将您连续备份和定期快照存储在您偏好的备份库中,您可以按要求浏览和恢复备份。

AWS Backup 的生命周期功能可以自动将恢复点从暖存储层过渡到成本低廉的冷存储层。冷存储层仅用于存储 EBS、EFS、DynamoDB、Timestream 和 VMware 虚拟机的备份。

EFS、DynamoDB、S3、Timestream 和 VMware 虚拟机的备份均独立于源服务进行传输中和静态加密,从而增加了额外的保护。加密是在备份文件库级别配置的。来自其他服务(EC2、EBS、Amazon FSx、RDS、Aurora、Amazon DocumentDB、Neptune、Storage Gateway)的备份使用源服务的备份加密方法进行加密。例如,使用创建快照的卷的加密密钥来对 EBS 快照进行加密。

AWS Backup 可以在备份文件库上设置基于资源的策略,从而使您可以控制对备份文件库及其中备份的访问。

基于 AWS Backup 具有备份功能的服务还支持其他备份功能,如备份到低成本存储层的生命周期分层、独立于其源数据的备份存储和加密,以及备份访问策略。目前,S3、EFS、Timestream、SAP HANA on EC2 和 DynamoDB 支持 AWS Backup 的高级功能,其备份功能与 AWS Backup 集成。要为 DynamoDB 激活 AWS Backup 的高级功能,您必须通过设置选择加入。EFS、S3、Timestream、SAP HANA on EC2 和 VMware 虚拟机自动支持 AWS Backup 高级功能。AWS Backup for S3 支持备份访问策略,及使用不同的密钥对备份进行加密,但不支持冷存储层。

委派 AWS Organizations 中的备份策略管理和 AWS Backup 中的跨账户监控。这允许将备份管理委派给专用的备份管理账户,从而不需要成员账户访问备份管理的管理账户。委派的备份管理员可以跨账户创建和管理备份策略以及监控备份活动。通过组织范围内的备份管理委派,您可以安全地大规模集中进行备份管理。

合规性

利用 AWS Backup Audit Manager 审计和报告您的数据保护策略的合规性。 AWS Backup 可帮助您根据企业最佳实践和监管标准跨 AWS 服务集中和自动化数据保护策略。AWS Backup Audit Manager 有助于维护和证明遵守这些策略。

使用 AWS Backup Audit Manager,验证您在 AWS 中创建(或迁移到 AWS)的工作负载符合数据保护要求。AWS Backup Audit Manager 简化了备份管理和合规性策略的实施、跟踪和演示。

您可以通过 AWS 管理控制台、CLI、API 或 SDK 使用 AWS Backup Audit Manager。AWS Backup Audit Manager 提供了内置的合规控件。您可以自定义这些控件来定义数据保护策略。它旨在自动检测违反您定义的数据保护政策的行为,并将提示您采取纠正措施。借助 AWS Backup Audit Manager,持续评估备份活动并生成证明符合法规要求的审计报告。

AWS Backup Audit Manager 控件是设计用于审计备份要求(例如,备份频率或备份保留期)合规性的程序。AWS Backup Audit Manager 框架是可作为单个实体部署和管理的控件的集合。

AWS Backup Audit Manager 控件对照定义的配置设置评估您的备份资源的配置。如果资源符合在控件中定义的配置,则该控件的资源合规性状态为 COMPLIANT。如果不符合,则状态为 NON_COMPLIANT。如果 AWS Backup Audit Manager 控件评估的所有资源都符合要求,则控件的合规性状态为 COMPLIANT。同样,如果框架中的所有控件都符合要求,则框架的合规性状态为 COMPLIANT。

在 AWS Backup 控制台上,导航到 AWS Backup Audit Manager Frameworks(框架)部分,然后选择框架名称以查看框架和控件的合规性状态。

您可创建与您的 AWS Backup 活动有关的报告。这些报告可帮助您获得备份、复制和还原任务的详细信息。您可以使用这些报告监控运行状态,并识别可能需要进一步操作的任何故障。

AWS Config 可以持续监控和记录您的 AWS 资源配置,因此您可以依据所需的配置自动评估记录的配置。AWS Backup Audit Manager 可与 AWS Config 集成,以跟踪备份活动并将数据保护策略转录到备份控件中。当您部署了备份控件后,AWS Backup Audit Manager 将对照您的控件评估备份活动,并记录备份合规性状态。您还可以生成报告,用于审计和监控用途。使用 AWS Backup Audit Manager,您可以从 AWS 组织的管理账户创建多区域和多账户报告。

AWS 在云中拥有运行时间最长的合规性计划,并致力于帮助客户满足其要求。已对 AWS Backup 进行了评估,以满足全球和行业安全标准。除了符合 HIPAA 要求以外,它还符合 PCI DSS、ISO 9001270012701727018。这使您能够简化验证我们的安全性,并履行您自己的义务。有关更多信息和资源,请访问我们的合规性页面。您也可以转到按合规性计划提供的范围内服务页面,以查看服务和认证的完整列表。

您可以使用还原测试计划自动进行还原测试,该计划定义了还原测试的频率、目标开始时间和恢复点选择标准。然后,为您的计划分配资源,并指定执行内部测试的默认还原参数和保留期。

恢复测试计划执行完成后,您可以使用结果来显示还原测试场景的成功完成情况和还原任务的完成时间,从而满足合规性和治理要求。 

符合。AWS Backup 符合 PCI-DSS,这意味着您可以使用它来传输付款信息。您可以在 AWS Artifact 中下载 PCI 合规性文件包,以详细了解如何在 AWS 上实现 PCI 合规性。

符合。AWS Backup 符合 HIPAA,这意味着如果您有适用于 AWS 的 HIPAA BAA,则可以使用 AWS Backup 来传输受保护的健康信息(PHI)。

一次写入多次读取(WORM)

AWS 备份保管库锁是一项功能,可帮助您防止对备份生命周期进行更改,以及防止手动删除备份,从而帮助您满足合规性要求。AWS 备份保管库锁实施相应的保障措施,验证您是否使用一次写入多次读取(WORM)模式来存储备份。

AWS 备份保管库锁可验证任何用户(包括管理员或恶意操作者)都不能删除您的备份或更改其生命周期设置,如保留期和对冷存储的转换。 AWS Backup 根据您计划的保留周期保存这些备份,以帮助您实现业务连续性目标。AWS 备份保管库锁还适用于备份策略,如保留期、冷存储过渡和跨账户/区域复制。这提供了额外的保护层,有助于满足您的合规性要求。AWS 备份保管库锁可防止您保留不符合可接受的最低和最高保留期限的备份。

AWS 备份保管库锁适用于 AWS Backup 备份文件库中的数据,而 S3 Glacier 文件库锁定适用于单个 S3 Glacier 文件库。 AWS 备份保管库锁可防止手动删除备份和更改备份生命周期设置,以帮助您跨 AWS 服务集中保护备份。S3 Glacier 文件库锁定使您能够实施旨在支持单个 S3 Glacier 文件库的长期记录保留的合规性控制。 

AWS 备份保管库锁是处于 AWS Backup 文件库级的可选配置,由三个属性组成:最低可接受保留天数、最高可接受保留天数以及宽限期。它可以阻止备份删除操作和对备份生命周期的更改。

如果您激活 AWS 备份保管库锁配置,AWS Backup 将保护文件库中所有新创建的恢复点,防止删除以及它们的生命周期遭受更改。AWS Backup 也会使所有保留期不满足 AWS 备份保管库锁可接受保留期的备份作业失败。

AWS 备份保管库锁可验证您的备份在达到保留期和过期之前是否均可用。 如果任何用户(包括根账户用户)试图在锁定的文件库中删除备份或更新其生命周期属性,AWS Backup 将拒绝该操作。

有了宽限期,您可以在定义的天数内测试该功能。只要宽限期未过期,您就可以更新并删除 AWS 备份保管库锁配置。当宽限期过期后,AWS Backup 将不允许对配置进行任何更改。

AWS Backup for Amazon S3

使用 AWS Backup,您可以定义一个中心备份策略,用以管理跨 AWS 服务的计算、存储和数据库服务的应用程序的备份和还原。 定义备份策略并分配 S3 资源后,AWS Backup 自动创建 S3 备份并将这些备份存储在您指定的加密存储库中。为 S3 存储桶创建持续备份或定期备份,包括对象数据、对象标签、访问控制列表(ACL)和用户定义元数据。第一次备份为完全快照备份,而随后的备份为递增备份。如果发生数据中断事件,请从备份库中选择一个备份,并将一个 S3 存储桶(或单独的 S3 对象)还原到一个新的或现有的 S3 存储桶。AWS Backup 中的中心策略还可以帮助您定义访问控制,在 AWS Organizations 内的所有账户中自动进行备份访问管理。

AWS Backup 和 Amazon S3 均具有帮助您管理应用程序业务连续性的功能。您可以利用 AWS Backup 跨多个 AWS 服务集中管理应用程序的备份和还原,而利用 S3 功能,您可以管理 S3 存储桶和对象中的数据。如果您是一名备份管理员,负责多个 AWS 服务中应用程序的备份、还原和合规性,您可以使用 AWS Backup 满足这些需求。借助版本控制对象锁定、和复制等 Amazon S3 的功能,可帮助存储管理员保存数据,防止意外删除 Amazon S3 数据。您可以将两组功能组合使用,从而管理组织内部的数据备份和还原。

如果您已经制定应用程序的备份计划,且希望为 Amazon S3 采用,您只需使用标签或 S3 存储桶 ARN 将 Amazon S3 资源添加到现有备份计划中即可。AWS Backup 会比对 S3 存储桶中的标签和分配给备份计划的标签,并将这些资源与应用程序使用的其他 AWS 服务一起进行备份。

AWS Backup 中可用于 Amazon S3 资源的备份选项有两个:连续备份和定期备份。连续备份可以将 Amazon S3 资源还原到过去 35 天内的任何时间点。您可以使用时间点功能将 Amazon S3 资源还原到过去 35 天内的任何时间。定期备份会无限期地保留数据。您可以按照 1 小时、12 小时、1 天、1 周或 1 个月的频率计划快照备份时间,也可按需创建快照。连续备份适合用于防止意外删除,而定期快照有助于满足长期数据留存的需要。

有。创建 S3 存储桶备份和对象的前提条件是开启 S3 版本控制。由于 AWS Backup 会备份和存储 S3 数据的所有未过期版本,因此还需要为您的版本设置生命周期过期时间,否则可能会增加您的 S3 成本。请参阅技术文档以了解更多信息。

AWS Backup 对 VMWare 的支持

AWS Backup 将云中、完全托管式服务的功能扩展到您的 VMware 环境,为您提供 AWS 和本地部署的 AWS 环境中备份的视图。AWS Backup 集成 VMware ESXi VMs,预定 VMware 备份的时间并对其进行管理,并在 AWS 中存储备份,因此您可以从 AWS 中对 VMware 数据保护进行全面管理。利用 AWS Backup,您可以高效地在 AWS 中存储备份,跨 AWS 区域和账户复制备份,实现业务连续性和勒索软件保护。您可以在本地部署或在 AWS 上恢复 VMware 备份,用于业务连续性验证和测试/开发使用案例。AWS Backup 的策略驱动方法可帮助您以自动化、可扩展方式,集中管理对 VMware 工作负载以及所支持的 AWS 计算、存储和数据库服务的保护。

AWS Backup 使用您部署在 VMware 环境中的 AWS Backup 网关连接到 VMware 工作负载。AWS Backup 网关通过 VMware vCenter Server 发现虚拟机,拍摄虚拟机快照,管理 AWS Backup 和 VMware 环境之间的数据备份和还原。您可以使用标签、VM 资源 ID 或 VM 文件夹或虚拟机管理程序的组分配来将 VM 分配给备份策略。这些通过支持的 AWS Backup 服务集中管理 VMware 虚拟机的数据保护。完成这些步骤之后,AWS Backup 开始将虚拟机安全备份到存储库中。您可以从 AWS Backup 中查看 VMware 备份,根据需要在本地或 AWS 中还原备份。

AWS Backup 支持 VMware ESXi 6.7.X、NFS 上运行的 7.0.X 虚拟机、VMFS、以及在本地、VMware CloudTM on AWS 和 VMware CloudTM on AWS Outposts 中的 VSAN 的数据存储。AWS Backup 还支持 SCSI Hot-Add 和 网络块设备(NBD)这两种将数据从源虚拟机(VM)复制到 AWS 的传输模式。

您可以使用 AWS Backup 保护您在 VMware CloudTM on AWS Outposts 上的虚拟机。AWS Backup 将您的 VM 备份存储到您的 VMware CloudTM on AWS Outposts 连接到的 AWS 区域中。当使用 VMware CloudTM 满足应用程序数据的低延迟和本地数据处理需求时,您可以使用 AWS Backup 保护您的 VMware CloudTM on AWS Outposts 虚拟机。根据您的数据驻留需求,您可以选择 AWS Backup 将应用程序数据的备份存储在 Outposts 连接到的父 AWS 区域中。

您可以从 AWS Backup 控制台将 VMware 备份恢复到一个本地部署的新 VMware 虚拟主机、VMware CloudTM on AWS、VMware CloudTM on AWS Outposts、Amazon EBS 或 Amazon EC2。

可以。根据企业需要,您可以在 AWS Backup 中配置生命周期策略,将 VMware 备份自动从暖存储转移到成本低廉的冷存储。传输到冷存储的备份最短需存储 90 天,未满 90 天删除的备份会产生按比例支付的费用,该费用等于剩余天数的存储费用。

AWS Backup 首先支持对 VMware 虚拟机的完全备份,然后支持永久递增备份,您可以按需或通过备份计划中配置的时间表创建备份。

原定设置下,AWS Backup 通过使用虚拟机上的 VMware Tool 静默设置获取应用程序一致的 VMware 虚拟机备份。如果静默功能不可用,则 AWS Backup 获取崩溃一致性备份。

支持。在 VMware 备份传输至 AWS 的过程中,AWS Backup 对 VMware 备份进行压缩,帮助您以最佳方式实现与 AWS 的联网。

是。您的 VM 备份在传输和静止时使用 AES-256 加密算法进行加密。您还可以使用客户托管密钥加密存储在云端的备份。

将 VMware 备份的副本存储在与您的生产备份不同的 AWS 区域,以满足业务连续性、灾难恢复和合规性要求。

可以。您可以将 VMware 备份复制到其他 AWS 账户,帮助您在生产、开发/测试环境,以及在不同部门和项目账户间使用备份。 通过 AWS Backup 和 AWS Organizations 的集成,将 VMware 备份到另一个 AWS 账户,还提供了额外级别的账户隔离和安全。

所需的网络带宽取决于您希望保护的 VMware VM、每个 VM 生成的递增数据,以及您的备份窗口和恢复要求。我们建议您至少为 AWS 提供 100mbps 的带宽,以使用 AWS Backup 备份本地 VMware 虚拟机。

我们将按您的 VPC 端点保持预置状态的小时数收费。我们将按照由 VPC 端点处理的每 GB 数据收取数据处理费用,无论流量的来源或目的地如何。请访问 AWS PrivateLink 定价以了解更多信息。