本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
还原测试
恢复测试是提供的一项功能 Amazon Backup,它可以自动定期评估恢复的可行性,并能够监控恢复作业的持续时间。
内容
概述
首先,创建还原测试计划,在其中提供计划的名称、还原测试的频率和目标开始时间。然后,分配要包含在计划中的资源。然后,您可以选择在测试中包括特定或随机的恢复点。 Amazon Backup backup 可以智能地推断出成功还原任务所需的元数据。
当计划中的预定时间到来时, Amazon Backup 会根据您的计划启动恢复作业,并监控完成恢复所需的时间。
在还原测试计划完成运行后,您可以使用结果来证明是否符合组织或监管要求,例如,成功完成还原测试方案或还原作业的完成时间。
或者,您可以使用恢复测试验证来确认恢复测试结果。
在可选的验证完成或验证窗口关闭后,将 Amazon Backup 删除与还原测试相关的资源,并且这些资源将根据服务进行删除SLAs。
在测试过程结束时,您可以查看测试的结果和完成时间。
还原测试与还原过程的比较
还原测试以与按需还原相同的方式运行还原作业,并使用与按需还原相同的恢复点(备份)。对于通过恢复测试启动StartRestoreJob
的每项作业,你将看到调用 CloudTrail (如果选择加入)
但是,计划还原测试的操作和按需还原操作之间有一些区别:
还原测试 | 还原 | |
---|---|---|
账户 |
推荐的最佳做法是指定一个用于还原测试的账户 |
您可以从账户还原资源 |
Amazon Backup Audit Manager |
可以启用控制功能以确认还原测试是否达到指定的还原目标 |
|
节奏 |
作为计划的一部分定期实施。 |
按需 |
资源 |
您可以为测试计划分配的资源类型包括:Aurora、Amazon DocumentDB、亚马逊 DynamoDB、亚马逊、亚马逊、亚马逊、EBSEC2亚马逊(Lustre EFS、、Open、ZFS Windows)ONTAP、FSx亚马逊 Neptune、亚马逊和亚马逊 S3。RDS |
所有资源均可还原。 |
结果 |
恢复测试任务完成后,还原的资源将在恢复测试验证窗口结束后删除。 |
还原作业完成后,资源的还原版本将保留。 |
标签 |
对于在还原时支持标签的资源类型,测试功能会在还原时应用标签。 |
对于支持的资源,标签是可选的。 |
还原测试管理
您可以在 Amazon Backup 控制台
您可以使用 Amazon CLIaws backup
。
数据删除
恢复测试完成后, Amazon Backup 开始删除测试中涉及的资源。此删除操作不会即时完成。每种资源都有一个底层配置,用于确定这些资源的存储方式和生命周期方式。例如,如果 Amazon S3 存储桶是还原测试的一部分,则会将生命周期规则添加到存储桶。执行规则和完全删除存储桶及其对象最多可能需要几天时间,但对于这些资源,只会在生命周期规则启动日之前(默认情况下为 1 天)收费。删除速度将取决于资源类型。
作为还原测试计划一部分的资源包含一个名为 awsbackup-restore-test
的标签。如果用户删除了此标签,则 Amazon Backup 无法在测试期结束时删除该资源,用户必须手动将其删除。
要检查资源未按预期删除的原因,可以在控制台中搜索失败的任务,或者使用命令行界面调用API请求DescribeRestoreJob
来检索删除状态消息。
Backup 计划(非恢复测试计划)会忽略恢复测试创建的资源(标签awsbackup-restore-test
或名称以开头的资源awsbackup-restore-test
)。
成本控制
对于还原测试,按每次还原测试收费。根据您的还原测试计划中包含的资源,作为计划一部分的还原作业也可能产生费用。有关详细信息,请参阅 Amazon Backup 定价
首次设置还原测试计划时,您可能会发现包括最少数量的资源类型和受保护资源会很有用,这样可以熟悉相关的功能、流程和平均成本。您可以在创建计划后对其进行更新,以添加更多资源类型和受保护的资源。
创建还原测试计划
还原测试计划分为两个部分:创建计划和分配资源。
使用控制台时,这些部分是按顺序进行的。在第一部分中,您将要设置名称、频率和开始时间。在第二部分中,您将要为测试计划分配资源。
使用 Amazon CLI 和时API,请先使用create-restore-testing-plan
。在您收到成功响应且计划已创建后 create-restore-testing-selection
,请使用计划中要包含的每种资源类型。
在您创建还原测试计划时,我们会为您创建一个与服务相关的角色。有关更多信息,请参阅 使用角色进行还原测试。
恢复点确定
每次运行测试计划时(根据您指定的频率和开始时间),还原测试都会为所选的每个受保护资源恢复一个符合条件的恢复点。如果某个资源的恢复点不符合恢复点选择标准,则该资源将不包括在测试中。
如果满足指定时间范围内的标准并将文件库包含在还原测试计划中,则测试选择中受保护资源的恢复点符合条件。
如果资源测试选择包括资源类型,并且满足以下任一条件,则会选择受保护的资源:
-
资源ARN在该选择中指定;或者,
-
该选择的标签条件与资源最新恢复点上的标签相匹配
更新还原测试计划
您可以通过控制台或 Amazon CLI更新部分还原测试计划以及其中的资源选项。
查看现有的还原测试计划
查看还原测试作业
删除还原测试计划
审核还原测试
恢复与 Audit m Amazon Backup anager 的测试集成,以帮助您评估恢复的资源是否在目标还原时间内完成。
有关更多信息,请参阅 Amazon Backup Audit Manager 控制和修复中的资源还原时间满足目标控制。
还原测试配额和参数
-
100 个还原测试计划
-
可向每个还原测试计划中添加 50 个标签
-
每个计划 30 个选项
-
ARNs每个选择 30 个受保护的资源
-
每个选项 30 个受保护的资源条件(包括
StringEquals
和StringNotEquals
中的条件) -
每个选项 30 个保管库选择器
-
最大选择时段天数:365 天
-
开始时段小时数:最短:1 小时;最长:168 小时(7 天)
-
计划名称的最大长度:50 个字符
-
选项名称的最大长度:50 个字符
有关限制的更多信息,可通过 Amazon Backup 配额进行查看。
恢复测试失败疑难解答
如果您的恢复测试任务的恢复状态为Failed
,则以下原因可以帮助您确定原因和补救措施。
可以在 Amazon Backup 控制台的任务状态详细信息页面中查看错误消息,也可以使用CLI命令list-restore-jobs-by-protected-resource
或来查看list-restore-jobs
。
-
错误:
No default VPC for this user.
GroupName
is only supported for EC2-Classic and default VPC.解决方案 1:更新您的还原测试选择并覆盖该参数
SubnetId
。 Amazon Backup 控制台将此参数显示为 “子网”。解决方案 2:重新创建默认值VPC。
受影响的资源类型:Amazon EC2
-
错误:
No subnets found for the default VPC [vpc]. Please specify a subnet.
解决方案 1:更新您的还原测试选择并覆盖
SubnetId
还原参数。 Amazon Backup 控制台将此参数显示为 “子网”。解决方案 2:在默认子网中创建默认子网VPC。
受影响的资源类型:Amazon EC2
-
错误:
No default subnet detected in VPC. Please contact Amazon Web Services Support to recreate default Subnets.
解决方案 1:更新您的还原测试选择并覆盖
DBSubnetGroupName
还原参数。 Amazon Backup 控制台将此参数显示为子网组。解决方案 2:在默认子网中创建默认子网VPC。
受影响的资源类型:亚马逊 Aurora、亚马逊 DocumentDB、亚马逊、Neptun RDS e
-
错误:
IAM Role cannot be assumed by Amazon Backup
。解决方案:还原角色必须由担任。 Amazon Backup要么更新角色的信任策略IAM以允许其代替,要
"backup.amazonaws.com"
么更新您的还原测试选择以使用可由 Amazon Backup担任的角色。受影响的资源类型:全部
-
错误:
Access denied to KMS key.
或The specified Amazon KMS key ARN does not exist, is not enabled or you do not have permissions to access it.
解决方案:验证以下内容:
-
还原角色可以访问用于加密备份的 Amazon KMS 密钥,以及用于加密已还原资源的KMS密钥(如果适用)。
-
上述KMS密钥的资源策略允许还原角色访问它们。
如果尚未满足上述条件,请配置还原角色和资源策略以获得适当的访问权限。然后,再次运行恢复测试作业。
受影响的资源类型:全部
-
-
错误:
User
或ARN
is not authorized to performaction
onresource
because no identity based policy allows theaction
.Access denied performing
。s3:CreateBucket
onawsbackup-restore-test-xxxxxx
解决方案:还原角色没有足够的权限。更新中恢复角色IAM的权限。
受影响的资源类型:全部
-
错误:
User
或ARN
is not authorized to performaction
onresource
because no resource-based policy allows theaction
.User
ARN
is not authorized to performaction
onresource
with an explicit deny in a resource based policy.解决方案:还原角色对消息中指定的资源没有足够的访问权限。更新上述资源的资源政策。
受影响的资源类型:全部