恢复 Amazon EC2 实例 - Amazon Backup
使用 Amazon Backup 控制台恢复 Amazon EC2 恢复点 EC2 使用以下方式恢复亚马逊 Amazon CLI故障排除
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

恢复 Amazon EC2 实例

恢复 EC2 实例时, Amazon Backup 会创建亚马逊系统映像 (AMI)、实例、亚马逊 EBS 根卷、Amazon EBS 数据卷(如果受保护的资源有数据卷)和 Amazon EBS 快照。您可以使用 Amazon Backup 控制台自定义一些实例设置,也可以使用或 Amazon SDK 自定义更多设置。 Amazon CLI

以下注意事项适用于恢复 EC2 实例:

  • Amazon Backup 将还原的实例配置为使用与受保护资源最初使用的密钥对相同。在还原过程中,您无法为已还原的实例指定不同的密钥对。

  • Amazon Backup 不会备份和还原启动 Amazon EC2 实例时使用的用户数据。

  • 配置已还原的实例时,您可以选择使用受保护资源最初所用的相同实例配置文件,或在没有实例配置文件的情况下启动。这是为了防止可能出现权限升级。您可以使用 Amazon EC2 控制台更新已还原实例的实例配置文件。

    如果您使用原始实例配置文件,则必须授予 Amazon Backup 以下权限,其中资源 ARN 是与实例配置文件关联的 IAM 角色的 ARN。

    {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::account-id:role/role-name"
},

  • 恢复期间,所有 Amazon EC2 配额和配置限制均适用。

  • 如果包含您的 Amazon EC2 恢复点的保管库有文件库锁,请参阅了解其它安全注意事项更多信息。

使用 Amazon Backup 控制台恢复 Amazon EC2 恢复点

您可以从单个恢复点恢复整个 Amazon EC2 实例,包括根卷、数据卷和一些实例配置设置,例如实例类型和 key pair。

使用 Amazon Backup 控制台恢复 Amazon EC2 资源

  1. https://console.aws.amazon.com/backup 上打开 Amazon Backup 控制台。

  2. 在导航窗格中,选择受保护的资源,然后选择 Amazon EC2 资源的 ID 以打开资源详情页面。

  3. 恢复点窗格中,选择要还原的恢复点 ID 旁边的单选按钮。在窗格的右上角,选择还原

  4. 网络设置窗格中,我们使用受保护实例中的设置,为实例类型、VPC、子网、安全组和实例 IAM 角色选择默认值。您可以使用这些默认值,也可以根据需要进行更改。

  5. 还原角色窗格中,使用默认角色或使用选择 IAM 角色来指定授予还原备份 Amazon Backup 权限的 IAM 角色。

  6. 受保护的资源标签窗格中,默认选择将标签从受保护的资源复制到还原的资源。如果不想复制这些标签,请清除该复选框。

  7. 高级设置窗格中,接受实例设置的默认值或根据需要进行更改。有关这些设置的信息,请选择该设置的信息以打开其帮助窗格。

  8. 完成实例配置后,选择还原备份

EC2 使用以下方式恢复亚马逊 Amazon CLI

在命令行界面中,start-restore-job允许您使用最多 32 个参数(包括一些无法通过 Amazon Backup 控制台自定义的参数)进行恢复。

以下列表是您可以传递的用于恢复 Amazon EC2 恢复点的可接受元数据。

InstanceType
KeyName
SubnetId
Architecture
EnaSupport
SecurityGroupIds
IamInstanceProfileName
CpuOptions
InstanceInitiatedShutdownBehavior
HibernationOptions
DisableApiTermination
CreditSpecification
Placement
RootDeviceType
RamdiskId
KernelId
UserData
Monitoring
NetworkInterfaces
ElasticGpuSpecification
CapacityReservationSpecification
InstanceMarketOptions
LicenseSpecifications
EbsOptimized
VirtualizationType
Platform
RequireIMDSv2
BlockDeviceMappings
aws:backup:request-id

Amazon Backup 接受以下仅提供信息的属性。但是,添加它们不会影响还原:

vpcId

BlockDeviceMappings是您可以包含的可选参数。 Amazon Backup 支持以下BlockDeviceMappings属性。

注意

不支持 SnapshotIdOutpostArn

{
  "BlockDeviceMappings": [
    {
        "DeviceName" : string,
        "NoDevice" : string,
        "VirtualName" : string,
        "Ebs": {
            "DeleteOnTermination": boolean,
            "Iops": number,
            "VolumeSize": number,
            "VolumeType": string,
            "Throughput": number,
            "Encrypted": boolean,
            "KmsKeyId": string
        }
    }
 }

例如:

{
  "BlockDeviceMappings": [
    {
      "DeviceName": "/def/tuvw",
      "Ebs": {
        "DeleteOnTermination": true,
        "Iops": 3000,
        "VolumeSize": 16,
        "VolumeType": "gp3",
        "Throughput": 125,
        "Encrypted": true,
        "KmsKeyId": "arn:aws:kms:us-west-2:123456789012:key/ab3cde45-67f8-9g01-hi2j-3456klmno7p8"
      }
    },
    {
      "DeviceName": "/abc/xyz",
      "Ebs": {
        "DeleteOnTermination": false,
        "Iops": 3000,
        "VolumeSize": 16,
        "VolumeType": "gp3",
        "Throughput": 125,
        "Encrypted": false
      }
    }
  ]
}

您也可以在不包含任何存储参数的情况下恢复 Amazon EC2 实例。 Amazon Backup 控制台上的 “受保护资源” 选项卡上提供了此选项。

重要

如果您在从跨账户或跨区域备份还原BlockDeviceMappings时未覆盖中的 Amazon KMS 密钥,则还原可能会失败。有关更多信息,请参阅 对 Amazon EC2 实例还原问题进行故障排除

对 Amazon EC2 实例还原问题进行故障排除

跨账户还原失败

描述:尝试从与您的账户共享的备份中恢复时,Amazon EC2 实例恢复失败。

可能的问题:您的账户可能无法访问共享账户中用于加密源卷的 Amazon KMS 密钥。KMS 密钥可能不会与您的账户共享。

或者,连接到源实例的卷未加密。

解决方案:要解决此问题,请将encrypted属性设置为true,然后执行以下任一操作:

  • 覆盖中的 KMS 密钥BlockDeviceMappings并指定您在账户中拥有的 KMS 密钥。

  • 通过更新 KMS 密钥策略,请求拥有者账户授予您访问用于加密卷的 KMS 密钥的权限。有关更多信息,请参阅允许其他账户中的用户使用 KMS 密钥

跨区域还原失败

描述:尝试从跨区域备份还原时,Amazon EC2 实例还原失败。

问题:备份中的卷可能使用目标区域中不可用的单区域 Amazon KMS 密钥进行加密。或者,连接到源实例的卷未加密。

解决方案:要解决此问题,请将encrypted属性设置为true,然后BlockDeviceMappings使用目标区域的 KMS 密钥覆盖中的 KMS 密钥。