关于备份 VPC
使用 IBM Cloud® Backup for VPC 可自动创建备份,并从备份快照手动恢复 Block Storage for VPC 卷和 File Storage for VPC 共享。 通过使用此服务,您可以防止数据丢失,管理风险并提高数据合规性。 您可以确保定期备份数据,并且可以在需要备份时保留备份。 您可以使用 API 或 Terraform 在控制台中通过 CLI 创建和管理备份策略和计划。
备份和快照服务与 灾难恢复(DR)服务或工作负载从罕见重大事故和大规模故障(如服务中断)中恢复的能力。 这包括影响整个地区的自然灾害、数据库损坏或导致工作负荷增加的服务中断。 这种影响超出了高可用性设计所能承受的范围。 解决方案不同,后者通过自动故障转移来持续备份数据。 从备份或快照中恢复卷或共享是一项耗时的手动操作。 如果需要更高级别的服务以进行灾难恢复,请参阅 IBM的 云灾难恢复解决方案。
备份服务概念
您可以使用 IBM Cloud Backup for VPC 服务在一个区域中最多创建 10 个 备份策略。 每个策略最多可以创建四个计划,并根据需要对其进行编辑和删除。 如果未对备份调度或保留时间需求作出决定,那么可以在没有计划的情况下创建备份策略,然后添加一个备份策略。
您可以选择备份单个 Block Storage for VPC 卷或通过标记标识的 File Storage for VPC 共享。 您也可以选择为作为一致性组的成员附加到特定虚拟服务器实例的所有 Block Storage for VPC 卷创建备份。 为 一致性组 配置备份时,可以选择包含引导卷或将其保留。 创建多卷备份时,将标记添加到虚拟服务器实例。
当您请求一致性组的备份快照时,系统将确保在生成快照之前完成所有写操作。 然后,系统将生成同时连接到虚拟服务器实例的所有选定 Block Storage 卷的快照。 根据附加卷的数量和大小以及要捕获的数据量,您可能会观察到轻微的 IO 暂停。 此 IO 暂停可以从几毫秒到 4 秒不等。 建议在非高峰时段运行自动备份策略,以最大程度降低对性能的任何影响。
当用户提供的与卷或共享相关的 标签 与备份策略中目标资源的标签相匹配时,就会备份单个卷或共享。 当您选择备份附加到虚拟服务器实例的所有 Block Storage 卷时,用户提供的标记将与虚拟服务器实例关联。 当备份计划触发调度备份时,将备份具有匹配标记的所有资源。
备份要求您正在备份的卷已连接到正在运行的虚拟服务器实例。 换句话说,您无法备份未连接的卷。
如果卷或共享有多个标签,只需有一个标签匹配即可触发备份。 您可以随时在 创建虚拟服务器实例 或更新卷时向引导卷和数据卷添加用户标记。
必须为备份设置保留期。 它可以基于要保留备份的天数。 或者,它可以基于在删除最旧的备份之前要保留的备份总数。 或者,可以通过同时指定要保留的时间限制和最大备份数来设置该值。 规划备份的保留和删除可降低成本。
在按预定时间间隔触发备份时,Snapshot for VPC 服务将创建卷的备份副本。 生成第一个备份快照时,将在 IBM Cloud® Object Storage中复制并保留卷的全部内容。 同一卷的后续备份将捕获自上次备份以来发生的更改。 您最多可以执行卷的 750 个备份。
创建或删除备份快照的备份工作根据备份计划和保留策略运行。 您可以 在控制台、CLI、API 或 Terraform 中查看备份任务的状态。 如果作业失败,健康状态代码会显示失败原因。 您还可以设置与 Event Notifications 的连接,并接收发送到首选目的地的通知。
块存储备份(如块存储快照)的生命周期独立于Block Storage for VPC。 文件存储备份(如文件共享快照)与其父文件共享共存,且生命周期相互关联。 如果删除文件共享,其快照和备份也会自动删除。
您可以将块存储器备份快照从一个区域复制到另一个区域,然后使用该快照来复原新区域中的卷。 当您需要在不同区域中打开虚拟服务器实例和数据卷时,可以在灾难恢复方案中使用 跨区域副本。 远程拷贝可以作为备份计划的一部分自动创建,也可以稍后手动创建。
在计划的时间间隔内触发文件共享备份时,会对共享进行时间点快照。 第一次备份快照时,共享的全部内容都会被复制并保留在与共享相同的位置。 同一卷的后续备份将捕获自上次备份以来发生的更改。 一个共享最多可备份 750 次。 如果文件共享在另一区域有副本,其备份会自动复制到副本位置。 但是,文件共享备份不能独立复制到其他区域或地区。 更多信息,请参阅 关于 File Storage for VPC 快照。
您可以 复原 数据从备份快照到新的完全供应卷。 如果备份是引导卷,那么可以使用它来供应新实例。 但是,当您通过从可引导备份快照复原引导卷来供应实例时,您可能期望一开始就会降低性能。 在复原过程中,数据将从 IBM Cloud® Object Storage 复制到 Block Storage for VPC,因此在该过程完成之前无法完全实现供应的 IOPS。
通过快速复原功能,您可以在所选的指定区域中高速缓存快照。 通过这种方式,可以几乎立即从快照复原卷,并且新卷将在完全 IOPS 的情况下立即运行。 与从常规备份快照复原相比,快速复原功能可以更快地实现 恢复时间目标在灾难恢复计划中,指灾难发生后业务流程恢复所需的时间。 (RTO)。 选择快速复原时,将调整现有区域套餐,包括计费。 对于在其中启用快速复原功能的每个区域,将以额外的每小时费率计费,而不考虑快照的大小。 与保留常规快照相比,维护快速复原克隆的成本要高得多。 快速复原功能仅支持单个卷备份,而不支持一致性组备份。
您还可以从文件共享的备份快照中还原数据。 您可以直接通过挂载目标访问备份快照,从而创建文件共享或还原单个文件。 从备份创建的新共享可立即完全用于读写操作。
作为企业帐户管理员,您可以从一个位置查看和管理用于合规性报告和计费的子帐户的备份策略和计划。 有关更多信息,请参阅 备份策略的作用域 部分。
备份和快照的比较
备份实际上是有保留日期的自动快照。 在控制台中,备份与快照出现在相同的列表中。 块存储快照和备份在“VPC 的块存储快照”页面中列出。 文件共享快照和备份可在每个文件共享的“快照”选项卡上找到。 备份的标识方式是备份策略,而不是用户。 快照和备份这两个术语在文档中可以互换使用,具体取决于上下文。 快照和备份之间有许多相似之处,也有一些不同之处。 下表比较了备份和快照:
| 功能 | 账户级块卷备份 | 企业级块卷备份 | 区块卷快照 | 文件共享快照 | 文件共享备份 |
|---|---|---|---|---|---|
| 备份 Block Storage for VPC 引导和数据卷。 |  |
|
|
不适用 | 不适用 |
| 备份 File Storage for VPC 股份 | 不适用 | 不适用 | 不适用 | |
|
| 从快照中手动还原整个卷或共享。 | |
|
|
|
|
| 从快照中手动恢复单个文件 | 不适用 | 不适用 | 不适用 | |
|
| 按调度备份数据。 | |
|
否 | 否 | |
| 立即备份数据。 | 否 | 否 | |
|
否 |
| 在特定时间点复制数据。 | |
|
|
|
|
| 设置自动删除的保留期。 | |
|
否 | 否 | |
| 每个卷或共享最多可拍摄 750 个快照。 | |
|
|
|
|
| 快速复原克隆 | |
|
|
不支持 | 不支持 |
| 跨区域副本 | |
|
|
不支持 | 不支持 |
| 多卷一致性组 | |
|
|
不适用 | 不适用 |
| 成本基于每月 GB 数。 | |
|
|
|
|
创建备份的优点
IBM Cloud Backup for VPC 为您提供了以下优势。
-
防止数据丢失-通过调度定期备份来保护关键数据。 制定数据恢复计划,快速恢复受损的卷或共享。 减少意外中断带来的技术和财务影响。
-
防止小规模故障-发生主机故障或恶意攻击时,从可引导快照复原引导卷。
-
提高合规性-通过确保备份到位并可轻松复原数据,可防止出现与合规性和法规要求相关的问题。
-
节省成本-备份策略保留计划意味着定期删除备份,通过不存储比需要更多的数据来降低成本。
-
易于管理-与第三方备份服务相比,IBM的备份服务更易于管理,因为它与 VPC 资源完全集成。
备份策略和备份计划
备份策略标识目标资源类型并列出用于标识要备份的资源的标记。 该策略包含一个或多个备份计划,用于定义自动备份创建和数据保留的调度。
在备份计划中,您可以安排备份频率。在 控制台 中,您可以选择每天、每周或每月。 或者,可以使用 cron 表达式来指定频率。
在备份计划中,您将调度备份的频率。 从 CLI 创建计划时,可以使用 cron 表达式来指定频率。
在备份计划中,您将调度备份的频率。 使用 API 创建计划时,可以使用 cron 表达式来指定频率。
在备份计划中,您将调度备份的频率。 使用 Terraform 创建计划时,可以使用 cron 表达式来指定频率。
在删除最旧的备份之前,可以指定保留期或备份总数。 创建备份的时间间隔及其保留期可以相同,也可以不同。 默认保留期为30天,但您可以将保留期设置为1到1000天之间的任何天数。 您还可以将备份总数设置为每个卷最多保留 750 个备份。 超过该数字时,将删除最旧的备份。
如果同时指定了生存期和备份数,那么生存期将优先确定何时删除快照。 仅当最旧的快照在存在时间范围内时,计数才适用。
下面我们来看一看以下示例:
- 示例 1-创建保留期为 14 天且没有要保留的最大快照数的每日计划。 您将保留 14 个备份,最旧的备份将为 2 周。
- 示例 2-您创建每周计划,其保留期为 365 天,最大计数为 8。 实际上,您将在链中最多获取 8 个快照,最旧的快照为 8 周。
- 示例 2-您创建每月计划并将保留期设置为 80 天,最大计数为 10。 在实践中,您将始终保留最多 3 个快照。 在执行 4th 备份时,第一个备份将满足 80 天标记,并且将被删除。
您最多可以为每个备份策略创建四个计划,并随时修改备份调度和保留时间策略。 您的四个套餐可以具有不同的频率。 例如,可以是每日。 另一个可以是“每周”或“每月”。 所有计划都适用于具有与备份策略匹配的标记的卷。 备份计划创建的备份将继承父卷资源组详细信息。
您可以在创建,修改或删除备份时 查看备份作业状态。
备份策略的作用域
作为企业帐户管理员,您可以在企业帐户下的子帐户之间共同管理备份计划和策略。 企业帐户用户可以查看由企业帐户创建的所有备份策略。 企业帐户用户可以查看由企业备份策略启动的所有备份作业,即使这些作业在子帐户中运行也是如此。
企业中每个帐户内的用户都可以对资源进行创建、使用和协作,就像可以在独立帐户中执行这些操作一样。 有关更多信息,请参阅 使用企业中的资源。
当企业管理员看到由其策略创建的所有备份快照的引用时,子帐户仅会看到在其帐户中创建的备份。
子帐户的用户可以查看企业级策略在其帐户中创建的备份快照。 他们可以通过创建备份的企业级备份策略的 CRN 来识别这些备份。 但是,它们无法查看企业级备份策略本身。 子帐户的用户可以使用备份来创建其他卷。
子帐户中的授权用户还可以在其帐户中创建特定于帐户的备份策略。
从备份恢复卷或共享
您可以从备份快照中创建单独的卷或共享。 这一过程被称为“还原”。 其工作方式与从手动创建的快照复原数据相同。 从备份快照复原卷将创建完全供应的 Block Storage for VPC 引导或数据卷。
可以在创建实例,修改实例或创建独立卷时复原卷。 卷数据复原将立即开始,因为卷已水合,但 性能已降级,直到卷完全复原为止。 从可引导快照复原比使用常规引导卷慢。
恢复的加密卷具有与原始加密卷相同的容量和加密卷配置文件。 有关更多信息,请参阅 从备份快照复原卷。
不支持直接从快照一致性组标识复原虚拟服务器实例。 但是,您可以通过从属于一致性组的快照复原虚拟服务器实例的所有引导卷和数据卷来复原虚拟服务器实例。
文件共享备份也可用于创建新的共享。 由于快照与文件共享位于同一位置,因此在初始化过程中不会影响新共享的性能。 但是,出于同样的原因,文件共享备份不能自行复制到另一个区域或区来创建新的共享。 有关更多信息,请参阅 从快照恢复共享。
使用快速复原来复原卷
使用快速复原来复原块存储卷时,将创建完全水合的卷。
您可以创建具有快速复原区域的 备份策略计划,稍后根据需要添加或除去区域。 快速复原功能将备份快照的一个或多个副本高速缓存到您选择的区域。 稍后,您可以使用这些备份克隆在同一区域内的任何专区中创建卷。
有关更多信息,请参阅 从备份快照复原卷。
跨区域备份副本
您可以将块存储器备份从一个区域复制到另一个区域,然后使用该快照来复原新区域中的卷。 您可以独立于父卷或原始快照来使用和管理目标区域中的跨区域快照。
当备份策略创建的作业包含跨区域副本时,服务会等待启动请求,以便在目标区域创建副本。 在源快照达到_稳定_状态后,服务开始创建副本。
首次创建备份快照的远程副本时,该远程副本包含父卷的所有数据。 后续副本可以是增量副本,也可以是完整副本。
远程复制是否为增量取决于链中紧接着的前一个备份快照。 如果目标区域中存在紧随其后的快照,则副本可以是递增的。 如果前一个快照不存在或不稳定,新副本必须是父卷的完整快照。
如果备份计划要求在前一个备份副本稳定之前创建远程副本,备份服务将启动完整副本,而不是增量副本。
| 容量 | 备份计划时间表 | 递增副本 |
|---|---|---|
| 10 GB | 1 小时 | 已启用 |
| 50 GB | 1 小时 | 已启用 |
| 100 GB | 1 小时 | 已启用 |
| 200 GB | 1 小时 | 已启用 |
| 250 GB | 1 小时 | 已禁用 |
| 250 GB | 2 小时 | 已启用 |
| 500 GB | 2 小时 | 已禁用 |
| 500 GB | 3小时 | 已启用 |
| 1000 GB | 4 小时 | 已禁用 |
| 1000 GB | 5 小时 | 已启用 |
| 2000 GB | 8 小时 | 已禁用 |
| 2000 GB | 9 小时 | 已启用 |
| 3000 GB | 12 小时 | 已禁用 |
| 3000 GB | 每日 | 已启用 |
卷的容量越大,在另一区域创建快照副本所需的时间就越长。 例如,在远程区域创建一个 3 TB 存储卷的副本可能需要超过 12.5 个小时。 因此,当您的计划指定每 12 小时创建一个带有远程副本的快照时,系统会启动一个完整副本,因为前一个副本尚未完成且完全稳定。
如果未使用客户密钥对源快照进行加密,那么副本的加密仍由提供者管理。 如果源快照受客户管理的密钥保护,那么必须指定要用于加密新副本的客户管理的密钥。
每个区域中只能存在备份快照的一个副本。 无法在源 (本地) 区域中创建备份快照的副本。
创建跨区域副本会影响计费。 您将单独针对目标区域中的数据传输和存储器消耗收取费用。
限制
此版本有以下限制。
备份政策:
- 您可以在一个地区内为每个账户创建最多10个备份策略。 这个配额不能增加。
卷备份:
- 根据您的备份策略,您可以在帐户和区域中对每个卷执行总共 750 个备份。 如果超过此限制,那么不会执行进一步的备份。
- 第一个备份和整个卷备份不能超过 10 TB。
- 无法备份已拆离的卷。
- 无法在源 (本地) 区域中创建备份快照的副本。
- 您可以在另一个区域中创建块存储器备份的副本。 但是,每个区域中只能存在备份快照的一个副本。
- 蒙特利尔(
ca-mon)MZR不支持跨区域复制。 - 一致性组由虚拟服务器实例 (例如引导卷和数据卷) 的已连接 Block Storage 卷组成。 不包括实例存储卷和虚拟服务器实例配置。
- 一致性组的多卷备份不支持快速恢复功能。
文件共享备份:
- 每个文件共享可进行 750 次备份。
- 无法在其他区域创建文件存储备份的副本。 文件共享快照和备份与其源共享绑定。 如果共享被删除,备份也会被删除。
- 对于具有“VPC”访问控制模式的共享,不支持备份快照。
- 文件共享备份不支持快速恢复功能。
保护数据
IBM Cloud® IBM Cloud® Virtual Private Cloud 时提供安全专用工具和功能,帮助您安全地管理数据。 下一节将介绍使用备份服务时的访问控制、数据加密、配置管理和审计选项。
备份策略的 IAM 角色
备份需要 IAM 许可权才能进行基于角色的访问控制。 根据您作为备份用户分配的角色,您可以创建和管理备份策略。 有关详细信息,请参阅 针对 VPC 的区域备份即服务的 IAM 角色和操作。
有关更多信息,请参阅分配访问权的最佳实践。 有关完整的 IAM 过程(包括邀请用户加入帐户和分配 Cloud IAM 访问权),请参阅 IAM 入门教程。
服务到服务授权
需要特定的 IAM 用户角色才能授予服务到服务的权限。 备份服务和Cloud Block Storage、VPC快照以及VPC虚拟服务器之间需要进行服务间授权,以便备份服务能够检测卷标并创建快照。 如果要创建文件共享的自动快照,请在备份服务和 Cloud File Storage 服务之间设置服务对服务授权。 更多信息,请参阅 建立服务对服务授权。
基于上下文的限制
您可以为所有块卷和文件共享操作启用基于上下文的限制 (CBR)。 这些限制与基于身份的传统 IAM 策略配合使用,可提供额外的保护层。 有关详细信息,请参阅 使用基于上下文的限制保护虚拟私有云(VPC)基础设施服务。
创建 基于上下文的规则 时,请确保它允许私有端点。 备份服务工作所需的所有服务间连接都是专用的。
静态和传输过程中的加密
备份快照的加密类型和加密密钥与父卷或共享(客户管理或提供商管理)相同。
卷备份可从 IBM Cloud® Object Storage 中存储和检索。 数据在传输过程中被加密,并存储在与原始卷相同的区域。
活动跟踪和审计
创建备份时,会触发 备份服务 和 快照服务 的事件。 同样,当服务因授权缺失而无法创建备份时,也会触发事件通知您。 创建或删除备份策略或计划时也会创建事件日志。 更多信息,请参阅 IBM Cloud VPC 的活动跟踪事件。