关于 Block Storage for VPC 快照
Block Storage for VPC 快照是一项区域性服务,用于创建引导或数据卷的特定时间点副本。 您生成的初始快照是卷的完全备份。 同一卷的后续快照是增量快照,因此只能捕捉上次快照后发生的更改。 您可以在实例供应期间,从现有实例以及创建未连接的卷时将数据复原到新卷。
快照概念
单个卷快照
快照是您在控制台或 CLI 中手动获取的卷的副本,或通过 API 或 Terraform 以编程方式创建的副本。 您可以为连接到运行中的虚拟服务器实例的第一代启动卷或数据卷制作快照。 “可引导”快照是引导卷的快照。 “不可引导”快照是数据卷的快照。 您可以根据需要尽可能频繁地生成快照。 但是,您无法获取处于降级状态的卷的快照。
要自动创建 Block Storage for VPC 卷的快照吗? 借助 Backup for VPC,您可以创建备份策略以调度常规卷备份。 有关更多信息,请参阅 关于备份 VPC。
首次生成卷的快照时,将复制该卷的所有内容。 当您生成第二个快照时,它仅捕获自上次生成快照以来发生的更改。 因此,快照的大小可能会增大或缩小,具体取决于要上载到 IBM Cloud® Object Storage的内容。 快照数量会随您生成的每个连续快照而增加。 您所在区域的每个卷最多可拍摄 750 份快照。 在此限制内,您可以获取并保留每小时快照 30 天,以及一些额外快照。 从该配额中删除快照可为更多快照释放空间。 卷的快照不能大于 10 TB。
您可以创建一个虚拟服务器实例,该实例的启动卷由快照初始化。 新实例的实例配置文件无需与用于创建快照的实例相匹配。 您也可以在创建数据卷并将其附加到实例时导入数据卷的快照。 您可以为这些快照指定用户标记。
您可以随时从快照创建卷。 此过程称为复原卷,可以在创建实例,修改实例或创建独立卷时执行此过程。 有关更多信息,请参阅 从快照复原卷。 您还可以在初始供应后使用快速复原功能来复原完全配置的卷。
快照具有独立于源 Block Storage for VPC 卷的生命周期。 您可以删除原始卷,并且快照仍存在。 但是,请勿在快照创建期间从实例拆离卷。 您需要等到快照变为 stable 之后再进行拆离,否则无法将卷重新连接到实例。 快照是崩溃一致的。 如果虚拟服务器由于任何原因停止,那么快照数据在磁盘上是安全的。
快照的成本是根据每月存储的 GB 容量计算的,除非持续时间小于 1 个月。 由于快照基于为原始卷供应的容量,因此快照容量不会变化。
通过 IBM Cloud® Identity and Access Management,您可以在账户中设置资源组,以便用户访问快照。 IAM 角色确定您是否可以创建和管理快照。 有关详细信息,请参阅 用于创建和管理快照的 IAM 角色。
您可以与其他账户共享快照,并允许其他账户使用该快照创建卷。 为此,请使用快照远程账户恢复器角色设置 跨账户授权,并与其他账户共享快照的 CRN。 具有快照远程账户恢复器角色的其他账户用户可以使用 CRN 在控制台、CLI、API 或 Terraform 中创建卷。
拍摄快照前,请确保磁盘上有所有缓存数据,尤其是在拍摄 Windows 和 Linux® 操作系统实例的快照时。 例如,在 Linux 操作系统上,运行 sync 命令可强制将所有缓存数据立即写入磁盘。
对于具有特殊访问权的客户,将提供数据隔离以存储您从专用主机创建的快照。 借助数据隔离的额外安全性,您的数据将使用唯一密钥进行静态加密,并且对数据的访问受专用防火墙保护。
快速复原快照克隆
通过使用快照快速复原功能,可以在 VPC 区域内的区域中创建并保留数据的克隆。 换言之,创建卷时,您的数据完全可用,因为它已在 VPC 区域中,而不是在 Object Storage中。 相反,如果未从快速复原快照克隆复原数据,那么在一段时间内将卷连接到实例时,将从 Object Storage 复制卷数据。 与从常规快照复原相比,快速复原功能可以更快地实现 恢复时间目标在灾难恢复计划中,指灾难发生后业务流程恢复所需的时间。 (RTO)。
快速恢复功能可在控制台、CLI、API 或 Terraform 中启用。 在 CLI,API 和 Terraform 中,响应显示 clones。 UI 将快速复原快照克隆显示为快速复原快照,但它们是相同的。
根据实例小时数以统一费率设置快速复原功能的计费。 对于启用该功能的每个区域,该功能将按额外的每小时费率计费,而不考虑快照的大小。 与保留常规快照相比,维护快速复原克隆的成本要高得多。
有关更多信息,请参阅 使用快速复原功能来复原卷。
跨区域快照副本
您可以将快照从一个区域复制到另一个区域,然后使用该快照在新区域中复原卷。 当您需要在不同区域中启动虚拟服务器实例和数据卷时,可以在灾难恢复方案中使用此功能。 或者,可以使用远程拷贝在新区域中创建存储卷以扩展 VPC。
选择创建快照的跨区域副本时,需要指定要复制到目标区域的单个快照。 快照将正常创建,并存储在区域 Object Storage中。 快照稳定后,会在目标区域的Object Storage桶中创建快照副本。
当远程区域中的快照副本稳定后,就可以独立于父卷卷或原始快照来使用和管理它。
在远程区域创建副本需要时间。 卷的容量越大,远程区域的副本稳定所需的时间就越长。 例如,在远程区域创建一个 3 TB 卷的完整快照可能需要长达 12.5 个小时。
首次创建跨区域副本时,该快照是父卷数据的完整副本。 后续副本可以是增量副本,也可以是完整副本。 远程副本是否为增量取决于链中紧接着的前一个快照。 如果目标区域中存在紧随其后的快照,则副本可以是递增的。 如果前一个快照不存在,则副本必须是父卷的完整快照。
如果未使用客户密钥对源快照进行加密,那么副本的加密仍由提供者管理。
如果源快照受客户管理的密钥保护,那么必须指定要用于加密新副本的客户管理的密钥。
如果更改父卷的加密类型或加密密钥,下一个远程副本必须是父快照的完整副本,而不是增量副本。
每个区域中只能存在快照的一个副本。 无法在本地 (源) 区域中创建副本。
创建跨区域副本会影响计费。 您将单独针对目标区域中的数据传输和存储器消耗收取费用。
当您创建快照或列出快照的详细信息时,系统仅列出您指定的快照的直接副本。 如果创建副本的副本,则在查询原始快照时不会返回第二个副本。
快照一致性组
快照一致性组包含连接到同一虚拟服务器实例的多个 Block Storage 卷的快照。 可以包含或排除引导卷。 不包含实例存储器。
当您请求一致性组的快照时,系统将确保在获取快照之前完成所有写操作。 然后,系统将生成同时连接到虚拟服务器实例的所有已标记 Block Storage 卷的快照。 根据附加卷的数量和大小以及要捕获的数据量,您可能会观察到轻微的 IO 暂停。 此 IO 暂停可以从几毫秒到 4 秒不等。
一致性组必须具有不能超过 64 个字符的唯一名称。 如果未提供名称,那么系统会自动为您生成名称。 一致性组中的快照使用组名的前 16 个字符和 3-4 自动生成的字符进行命名,因此它们的名称也是唯一的。 稍后,您可以根据需要重命名成员快照。
快照一致性组有自己的生命周期,它会保留对成员快照的引用。 因此,如果删除或重命名成员快照,那么还会更新一致性组。
组中的快照松散耦合。 您可以像管理任何其他快照一样管理一致性组中的快照。 您可以根据需要从一致性组中删除个别快照。 您可以在决定删除一致性组后保留个别快照。
您可以使用快照一致性组的成员单独复原卷。 不支持直接从快照一致性组标识复原实例。 您可以单独创建快照集成员的跨区域副本,但不能在另一个区域或区域中创建一致性组的副本。
快照的工作方式
生成快照时,将不间断地执行从虚拟服务器实例到卷的读和写操作。 检索卷数据后,快照将进入 pending 状态,直到创建快照为止。 成功创建快照并且处于 stable 状态时,您可以恢复卷管理活动,例如删除卷,调整卷大小或拆离卷。 您还可以获取更多快照。
在从虚拟机管理程序传输到 IBM Cloud® Object Storage 的过程中,为所请求快照采集的卷数据将被加密。 初始快照是 Block Storage for VPC 卷的整个副本。 后续快照仅复制自上次快照以来更改的内容。
您可以通过控制台、CLI、API 或 Terraform 从运行中的虚拟服务器实例 还原 启动卷或数据卷。 从快照复原数据将创建新的完全供应卷。 它不会覆盖快照父卷中的数据。
从引导卷的快照复原将创建新的引导卷,您可以使用该引导卷来供应另一个实例。 从数据卷快照还原会创建一个辅助卷,该卷可以附加到实例上,也可以作为独立(未附加)数据卷保存。
从一致性组中的快照复原卷时,可以选择部分或全部快照。
卷数据恢复在卷创建后立即开始,但性能会有所下降,直到从 Object Storage 复制完所有数据并完全恢复卷。
限制
本版本有以下限制:
- 在一个区域中,每个卷最多可拍摄 750 份快照。
- 无法生成处于 已降级状态 的卷的快照。
- 无法在源 (本地) 区域中创建快照的副本。
- 在其他区域中创建快照副本时,每个区域中只能存在一个副本。 这意味着 9 全局复制。
- 蒙特利尔(
ca-mon)MZR不支持跨区域复制。 - 不支持生成大于 10 TB 的卷的快照。
- 您可以删除拍摄的任何快照。 但是,快照必须处于
stable或pending状态,并且不能主动复原卷。 - 您可以删除 Block Storage for VPC 卷及其所有快照。 所有快照都必须处于
stable或pending状态。 任何快照都不能主动复原卷。 - 不支持直接从快照一致性组标识复原实例。
保护数据
IBM Cloud® IBM Cloud® Virtual Private Cloud 时,提供特定的安全工具和功能,帮助您安全地管理数据。 下一节将介绍可用于块存储快照的访问控制、数据加密、配置管理和审计选项。
IAM角色,用于处理单个快照和一致性组快照
快照需要 IAM 权限才能进行基于角色的访问控制。 您需要正确的平台角色来创建和管理您自己账户中的快照,以及正确的服务角色来使用快照从另一个账户恢复数据。 有关详细信息,请参阅 Block Storage Snapshots for VPC 的 IAM 角色和操作。
与其他帐户共享快照时,必须将 Snapshot Remote Account Restorer 角色分配给其他帐户的用户,以允许他们访问快照。 他们的账户中还必须有 Restore Volume From Remote Account Snapshot 角色,才能在控制台中使用远程快照的 CRN 创建卷。
与其他账户共享快照时,必须将 SnapshotRemoteAccountRestorer 角色分配给其他账户的用户,以允许他们访问快照。 他们的账户中还必须有 VolumeRemoteAccountSnapshotRestorer 角色,才能通过 CLI 创建带有远程快照 CRN 的卷。
与其他账户共享快照时,必须将 SnapshotRemoteAccountRestorer 角色分配给其他账户的用户,以允许他们访问快照。 他们的账户中还必须有 VolumeRemoteAccountSnapshotRestorer 角色,才能使用 API 创建带有远程快照 CRN 的卷。
与其他账户共享快照时,必须将 SnapshotRemoteAccountRestorer 角色分配给其他账户的用户,以允许他们访问快照。 他们的账户中还必须有 VolumeRemoteAccountSnapshotRestorer 角色,才能使用 Terraform 创建带有远程快照 CRN 的卷。
更多信息,请参阅 Block Storage 的 IAM 角色和操作、VPC 的快照 、IAM 角色和操作、VPC 的多卷快照 、IAM 角色和操作以及 Block Storage for VPC。
有关更多信息,请参阅分配访问权的最佳实践。 有关完整的 IAM 过程(包括邀请用户加入帐户和分配 Cloud IAM 访问权),请参阅 IAM 入门教程。
静态和传输过程中的加密
快照的加密类型和加密密钥与父卷(客户管理或提供商管理)相同。 将从 IBM Cloud® Object Storage存储和检索快照。 在传输时对数据进行加密,并将其存储在与原始卷相同的区域中。
管理安全性和合规性
VPC 快照服务与 IBM Cloud® Security and Compliance Center 集成,可帮助您管理组织的安全性和合规性。 对于快照,可以设置一个目标来检查快照是否使用客户管理的密钥进行加密。 通过使用 Security and Compliance Center 根据配置文件验证账户中的快照资源配置,可以在出现问题时及时发现。
由于快照是从 Block Storage for VPC 卷创建的,因此 Block Storage for VPC 目标提供了额外的安全级别。 更多信息,请参阅 Security and Compliance Center 入门。 有关创建安全与合规目标的更多信息,请参阅安全与合规文档中的 定义规则。
活动跟踪事件
您可以使用 IBM Cloud® Activity Tracker Event Routing 配置如何路由审计事件。 审计事件是安全操作的关键数据,也是满足合规要求的关键因素。 创建、修改或删除快照时会触发此类事件。 有关活动跟踪事件的更多信息,请参阅 快照事件。
JSON 格式的活动跟踪快照事件示例
下面的示例显示了成功创建快照后生成的活动跟踪事件的 JSON 输出。 您给快照起的名称会出现在响应信息中,原因代码为 Created。
{
"eventTime": "2022-02-22T17:59:07.57+0000",
"action": "is.snapshot.create",
"outcome": "success",
"message": "Block Storage Snapshots for VPC: create my-snapshot-1",
"initiator": {
"id": "ABCid-45B7R6TVH4",
"typeURI": "service/security/account/user",
"name": "myname@mycompany.com",
"host": {
"address": "192.0.2.0"
},
"credential": {
"type": "token"
}
},
"target": {
"id": "crn:v1::public:is::a/a1234567::snapshot:09ca2bab-c5c4-4c06-b034-dda9bbeb859c",
"typeURI": "is.snapshot/snapshot",
"name": "my-snapshot-1"
},
"observer": {
"name": "ActivityTracker"
},
"reason": {
"reasonCode": 201,
"reasonType": "Created"
},
"severity": "normal",
"requestData": {
"generation": "2"
},
"responseData": {
"responseURI": "/v1/snapshots/09ca2bab-c5c4-4c06-b034-dda9bbeb859c"
},
"dataEvent": false,
"logSourceCRN": "crn:v1::public:is::a/a1234567::snapshot:09ca2bab-c5c4-4c06-b034-dda9bbeb859c",
"saveServiceCopy": true
}
下面的示例显示了按 ID 列出快照详细信息时生成的事件:
{
"eventTime": "2022-01-16T17:55:25.60+0000",
"action": "is.snapshot.read",
"outcome": "success",
"message": "Block Storage Snapshots for VPC: read my-snapshot-2",
"initiator": {
"id": "IBMid-50A7R6DVH5",
"typeURI": "service/security/account/user",
"name": "myuser@mycompany.com",
"host": {
"address": "192.0.2.0"
},
"credential": {
"type": "token"
}
},
"target": {
"id": "crn:v1::public:is::a/a1234567::snapshot:4e3252d7-cf32-4586-93e9-f7d9a497bed4",
"typeURI": "is.snapshot/snapshot",
"name": "my-snapshot-2"
},
"observer": {
"name": "ActivityTracker"
},
"reason": {
"reasonCode": 200,
"reasonType": "OK"
},
"severity": "normal",
"requestData": {
"generation": "2"
},
"responseData": {
"responseURI": "/v1/snapshots/4e3252d7-cf32-4586-93e9-f7d9a497bed4"
},
"dataEvent": false,
"logSourceCRN": "crn:v1::public:is::a/a1234567::snapshot:4e3252d7-cf32-4586-93e9-f7d9a497bed4",
"saveServiceCopy": true
}
后续步骤
在开始之前,请查看 “规划 Block Storage for VPC 快照”主题。
您可以使用 UI,CLI,API 和 Terraform 来创建和管理快照。
- 要使用 UI,请登录 IBM Cloud 控制台。
- 要使用 CLI,请下载并安装所需的 CLI 插件。 有关更多信息,请参阅 CLI 参考。
- 要使用 API,请设置 VPC API。
- 要使用 Terraform,请下载 Terraform CLI 并配置 IBM Cloud Provider 插件。 有关更多信息,请参阅 Terraform 入门。
有关创建和管理快照以及从快照复原卷的更多信息,请参阅以下主题。
有关创建和管理一致性组的更多信息,请参阅以下主题。