单个卷快照

快照是您在控制台或 CLI 中手动获取的卷的副本，或通过 API 或 Terraform 以编程方式创建的副本。 您可以为连接到运行中的虚拟服务器实例的第一代启动卷或数据卷制作快照。 “可引导”快照是引导卷的快照。 “不可引导”快照是数据卷的快照。 您可以根据需要尽可能频繁地生成快照。 但是，您无法获取处于降级状态的卷的快照。

要自动创建 Block Storage for VPC 卷的快照吗? 借助 Backup for VPC，您可以创建备份策略以调度常规卷备份。 有关更多信息，请参阅 关于备份 VPC。

首次生成卷的快照时，将复制该卷的所有内容。 当您生成第二个快照时，它仅捕获自上次生成快照以来发生的更改。 因此，快照的大小可能会增大或缩小，具体取决于要上载到 IBM Cloud® Object Storage的内容。 快照数量会随您生成的每个连续快照而增加。 您所在区域的每个卷最多可拍摄 750 份快照。 在此限制内，您可以获取并保留每小时快照 30 天，以及一些额外快照。 从该配额中删除快照可为更多快照释放空间。 卷的快照不能大于 10 TB。

您可以创建一个虚拟服务器实例，该实例的启动卷由快照初始化。 新实例的实例配置文件无需与用于创建快照的实例相匹配。 您也可以在创建数据卷并将其附加到实例时导入数据卷的快照。 您可以为这些快照指定用户标记。

您可以随时从快照创建卷。 此过程称为复原卷，可以在创建实例，修改实例或创建独立卷时执行此过程。 有关更多信息，请参阅 从快照复原卷。 您还可以在初始供应后使用快速复原功能来复原完全配置的卷。

快照具有独立于源 Block Storage for VPC 卷的生命周期。 您可以删除原始卷，并且快照仍存在。 但是，请勿在快照创建期间从实例拆离卷。 您需要等到快照变为 stable 之后再进行拆离，否则无法将卷重新连接到实例。 快照是崩溃一致的。 如果虚拟服务器由于任何原因停止，那么快照数据在磁盘上是安全的。

快照的成本是根据每月存储的 GB 容量计算的，除非持续时间小于 1 个月。 由于快照基于为原始卷供应的容量，因此快照容量不会变化。

通过 IBM Cloud® Identity and Access Management，您可以在账户中设置资源组，以便用户访问快照。 IAM 角色确定您是否可以创建和管理快照。 有关详细信息，请参阅 用于创建和管理快照的 IAM 角色。

您可以与其他账户共享快照，并允许其他账户使用该快照创建卷。 为此，请使用快照远程账户恢复器角色设置 跨账户授权，并与其他账户共享快照的 CRN。 具有快照远程账户恢复器角色的其他账户用户可以使用 CRN 在控制台、CLI、API 或 Terraform 中创建卷。

拍摄快照前，请确保磁盘上有所有缓存数据，尤其是在拍摄 Windows 和 Linux® 操作系统实例的快照时。 例如，在 Linux 操作系统上，运行 sync 命令可强制将所有缓存数据立即写入磁盘。

对于具有特殊访问权的客户，将提供数据隔离以存储您从专用主机创建的快照。 借助数据隔离的额外安全性，您的数据将使用唯一密钥进行静态加密，并且对数据的访问受专用防火墙保护。

快速复原快照克隆

通过使用快照快速复原功能，可以在 VPC 区域内的区域中创建并保留数据的克隆。 换言之，创建卷时，您的数据完全可用，因为它已在 VPC 区域中，而不是在 Object Storage中。 相反，如果未从快速复原快照克隆复原数据，那么在一段时间内将卷连接到实例时，将从 Object Storage 复制卷数据。 与从常规快照复原相比，快速复原功能可以更快地实现 恢复时间目标在灾难恢复计划中，指灾难发生后业务流程恢复所需的时间。 (RTO)。

快速恢复功能可在控制台、CLI、API 或 Terraform 中启用。 在 CLI，API 和 Terraform 中，响应显示 clones。 UI 将快速复原快照克隆显示为快速复原快照，但它们是相同的。

根据实例小时数以统一费率设置快速复原功能的计费。 对于启用该功能的每个区域，该功能将按额外的每小时费率计费，而不考虑快照的大小。 与保留常规快照相比，维护快速复原克隆的成本要高得多。

有关更多信息，请参阅 使用快速复原功能来复原卷。

跨区域快照副本

您可以将快照从一个区域复制到另一个区域，然后使用该快照在新区域中复原卷。 当您需要在不同区域中启动虚拟服务器实例和数据卷时，可以在灾难恢复方案中使用此功能。 或者，可以使用远程拷贝在新区域中创建存储卷以扩展 VPC。

选择创建快照的跨区域副本时，需要指定要复制到目标区域的单个快照。 快照将正常创建，并存储在区域 Object Storage中。 快照稳定后，会在目标区域的Object Storage桶中创建快照副本。

当远程区域中的快照副本稳定后，就可以独立于父卷卷或原始快照来使用和管理它。

在远程区域创建副本需要时间。 卷的容量越大，远程区域的副本稳定所需的时间就越长。 例如，在远程区域创建一个 3 TB 卷的完整快照可能需要长达 12.5 个小时。

首次创建跨区域副本时，该快照是父卷数据的完整副本。 后续副本可以是增量副本，也可以是完整副本。 远程副本是否为增量取决于链中紧接着的前一个快照。 如果目标区域中存在紧随其后的快照，则副本可以是递增的。 如果前一个快照不存在，则副本必须是父卷的完整快照。

如果未使用客户密钥对源快照进行加密，那么副本的加密仍由提供者管理。

如果源快照受客户管理的密钥保护，那么必须指定要用于加密新副本的客户管理的密钥。

如果更改父卷的加密类型或加密密钥，下一个远程副本必须是父快照的完整副本，而不是增量副本。

每个区域中只能存在快照的一个副本。 无法在本地 (源) 区域中创建副本。

创建跨区域副本会影响计费。 您将单独针对目标区域中的数据传输和存储器消耗收取费用。

当您创建快照或列出快照的详细信息时，系统仅列出您指定的快照的直接副本。 如果创建副本的副本，则在查询原始快照时不会返回第二个副本。

快照一致性组

快照一致性组包含连接到同一虚拟服务器实例的多个 Block Storage 卷的快照。 可以包含或排除引导卷。 不包含实例存储器。

当您请求一致性组的快照时，系统将确保在获取快照之前完成所有写操作。 然后，系统将生成同时连接到虚拟服务器实例的所有已标记 Block Storage 卷的快照。 根据附加卷的数量和大小以及要捕获的数据量，您可能会观察到轻微的 IO 暂停。 此 IO 暂停可以从几毫秒到 4 秒不等。

一致性组必须具有不能超过 64 个字符的唯一名称。 如果未提供名称，那么系统会自动为您生成名称。 一致性组中的快照使用组名的前 16 个字符和 3-4 自动生成的字符进行命名，因此它们的名称也是唯一的。 稍后，您可以根据需要重命名成员快照。

快照一致性组有自己的生命周期，它会保留对成员快照的引用。 因此，如果删除或重命名成员快照，那么还会更新一致性组。

组中的快照松散耦合。 您可以像管理任何其他快照一样管理一致性组中的快照。 您可以根据需要从一致性组中删除个别快照。 您可以在决定删除一致性组后保留个别快照。

您可以使用快照一致性组的成员单独复原卷。 不支持直接从快照一致性组标识复原实例。 您可以单独创建快照集成员的跨区域副本，但不能在另一个区域或区域中创建一致性组的副本。

IAM角色，用于处理单个快照和一致性组快照

快照需要 IAM 权限才能进行基于角色的访问控制。 您需要正确的平台角色来创建和管理您自己账户中的快照，以及正确的服务角色来使用快照从另一个账户恢复数据。 有关详细信息，请参阅 Block Storage Snapshots for VPC 的 IAM 角色和操作。

与其他帐户共享快照时，必须将 Snapshot Remote Account Restorer 角色分配给其他帐户的用户，以允许他们访问快照。 他们的账户中还必须有 Restore Volume From Remote Account Snapshot 角色，才能在控制台中使用远程快照的 CRN 创建卷。

与其他账户共享快照时，必须将 SnapshotRemoteAccountRestorer 角色分配给其他账户的用户，以允许他们访问快照。 他们的账户中还必须有 VolumeRemoteAccountSnapshotRestorer 角色，才能通过 CLI 创建带有远程快照 CRN 的卷。

与其他账户共享快照时，必须将 SnapshotRemoteAccountRestorer 角色分配给其他账户的用户，以允许他们访问快照。 他们的账户中还必须有 VolumeRemoteAccountSnapshotRestorer 角色，才能使用 API 创建带有远程快照 CRN 的卷。

与其他账户共享快照时，必须将 SnapshotRemoteAccountRestorer 角色分配给其他账户的用户，以允许他们访问快照。 他们的账户中还必须有 VolumeRemoteAccountSnapshotRestorer 角色，才能使用 Terraform 创建带有远程快照 CRN 的卷。

更多信息，请参阅 Block Storage 的 IAM 角色和操作、VPC 的快照 、IAM 角色和操作、VPC 的多卷快照 、IAM 角色和操作以及 Block Storage for VPC。

有关更多信息，请参阅分配访问权的最佳实践。 有关完整的 IAM 过程（包括邀请用户加入帐户和分配 Cloud IAM 访问权），请参阅 IAM 入门教程。

静态和传输过程中的加密

快照的加密类型和加密密钥与父卷（客户管理或提供商管理）相同。 将从 IBM Cloud® Object Storage存储和检索快照。 在传输时对数据进行加密，并将其存储在与原始卷相同的区域中。

管理安全性和合规性

VPC 快照服务与 IBM Cloud® Security and Compliance Center 集成，可帮助您管理组织的安全性和合规性。 对于快照，可以设置一个目标来检查快照是否使用客户管理的密钥进行加密。 通过使用 Security and Compliance Center 根据配置文件验证账户中的快照资源配置，可以在出现问题时及时发现。

由于快照是从 Block Storage for VPC 卷创建的，因此 Block Storage for VPC 目标提供了额外的安全级别。 更多信息，请参阅 Security and Compliance Center 入门。 有关创建安全与合规目标的更多信息，请参阅安全与合规文档中的 定义规则。

活动跟踪事件

您可以使用 IBM Cloud® Activity Tracker Event Routing 配置如何路由审计事件。 审计事件是安全操作的关键数据，也是满足合规要求的关键因素。 创建、修改或删除快照时会触发此类事件。 有关活动跟踪事件的更多信息，请参阅 快照事件。

{
    "eventTime": "2022-02-22T17:59:07.57+0000",
    "action": "is.snapshot.create",
    "outcome": "success",
    "message": "Block Storage Snapshots for VPC: create my-snapshot-1",
    "initiator": {
        "id": "ABCid-45B7R6TVH4",
        "typeURI": "service/security/account/user",
        "name": "myname@mycompany.com",
        "host": {
            "address": "192.0.2.0"
        },
        "credential": {
            "type": "token"
        }
    },
    "target": {
        "id": "crn:v1::public:is::a/a1234567::snapshot:09ca2bab-c5c4-4c06-b034-dda9bbeb859c",
        "typeURI": "is.snapshot/snapshot",
        "name": "my-snapshot-1"
    },
    "observer": {
        "name": "ActivityTracker"
    },
    "reason": {
        "reasonCode": 201,
        "reasonType": "Created"
    },
    "severity": "normal",
    "requestData": {
        "generation": "2"
    },
    "responseData": {
        "responseURI": "/v1/snapshots/09ca2bab-c5c4-4c06-b034-dda9bbeb859c"
    },
    "dataEvent": false,
    "logSourceCRN": "crn:v1::public:is::a/a1234567::snapshot:09ca2bab-c5c4-4c06-b034-dda9bbeb859c",
    "saveServiceCopy": true
}

{
    "eventTime": "2022-01-16T17:55:25.60+0000",
    "action": "is.snapshot.read",
    "outcome": "success",
    "message": "Block Storage Snapshots for VPC: read my-snapshot-2",
    "initiator": {
        "id": "IBMid-50A7R6DVH5",
        "typeURI": "service/security/account/user",
        "name": "myuser@mycompany.com",
        "host": {
            "address": "192.0.2.0"
        },
        "credential": {
            "type": "token"
        }
    },
    "target": {
        "id": "crn:v1::public:is::a/a1234567::snapshot:4e3252d7-cf32-4586-93e9-f7d9a497bed4",
        "typeURI": "is.snapshot/snapshot",
        "name": "my-snapshot-2"
    },
    "observer": {
        "name": "ActivityTracker"
    },
    "reason": {
        "reasonCode": 200,
        "reasonType": "OK"
    },
    "severity": "normal",
    "requestData": {
        "generation": "2"
    },
    "responseData": {
        "responseURI": "/v1/snapshots/4e3252d7-cf32-4586-93e9-f7d9a497bed4"
    },
    "dataEvent": false,
    "logSourceCRN": "crn:v1::public:is::a/a1234567::snapshot:4e3252d7-cf32-4586-93e9-f7d9a497bed4",
    "saveServiceCopy": true
}

快照的用户标记

用户标签由云资源名称 (CRN) 标识符唯一标识。 创建用户标记时，将在计费帐户中提供唯一名称。 您可以使用标签或键值格式定义用户标记。 您可以创建用户标记或将现有标记添加到快照。

您可以使用 UICLIAPITerraform创建，查看和管理用户标记，并随时将其除去。

Block Storage for VPC 快照的访问管理标记

您可以使用访问管理标记来组织访问控制，方法是创建灵活的资源分组，使存储资源能够增长，而无需更新 Cloud Identity and Access Management (IAM) 策略。 您可以在 IAM 中或使用全局搜索和标记 API 创建访问管理标记，然后 将其添加到新快照或现有快照。

有关管理帐户的标记的更多信息，请参阅 使用标记。