Amazon S3 备份 - Amazon Backup
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon S3 备份

Amazon Backup 支持将数据单独存储在 S3 中或与其他数据库、存储和计算 Amazon 服务一起存储数据的应用程序的集中备份和恢复。许多功能可用于进行 S3 备份,包括 Backup Audit Manager。

您可以在中使用单一备份策略 Amazon Backup 来集中自动创建应用程序数据的备份。 Amazon Backup 自动将不同 Amazon 服务和第三方应用程序的备份组织到一个集中的加密位置(称为备份保管库),以便您可以通过集中式体验管理整个应用程序的备份。对于 S3,您可以创建连续备份,还原存储在 S3 中的应用程序数据,只需单击一下 point-in-time即可将备份还原到。

使用 Amazon Backup,您可以为 S3 存储桶创建以下类型的备份,包括对象数据、标签、访问控制列表 (ACLs) 和用户定义的元数据:

  • 连续备份允许您还原至最近 35 天内的任何时间点。仅应在一个备份计划中配置 S3 存储桶的连续备份。

    有关支持的服务列表以及如何使用 Amazon Backup 进行连续备份的说明,请参阅时间点故障恢复

  • 定期备份使用数据快照,允许您在指定的持续时间内保留数据,最长可达 99 年。您可以按照 1 小时、12 小时、1 天、1 周或 1 个月等频率安排定期备份。 Amazon Backup 在备份计划中定义的备份时段内进行定期备份。

    要了解如何将备份计划 Amazon Backup 应用于您的资源,请参阅创建备份计划。

跨账户和跨区域副本可用于 S3 备份,但连续备份的副本不具有 point-in-time还原功能。

S3 存储桶的连续和定期备份必须位于同一个备份保管库中。

对于这两种备份类型,第一次备份是完整备份,而后续备份是对象级别的增量备份。

注意

您必须在 S3 存储桶上启用 S3 版本控制才能用 Amazon Backup 于 Amazon S3。我们保留这一先决条件是因为在 Amazon 中,我们建议将 S3 版本控制作为数据保护的最佳实践。

建议您为 S3 版本设置生命周期过期时段。不设置生命周期过期可能会增加 S3 成本,因为会 Amazon Backup 备份和存储所有未过期的 S3 数据。要了解有关设置 S3 生命周期策略的更多信息,请按照本页上的说明进行操作。

比较 S3 备份类型

您的 S3 资源备份策略可以仅包括连续备份,也可以仅包括定期(快照)备份,或者两者兼而有之。以下信息可以帮助您选择最适合贵组织的方法:

仅连续备份:

  • 完成现有数据的第一次完整备份后,系统会实时跟踪您的 S3 存储桶数据的更改。

  • 跟踪的更改允许您在连续备份的保留期内使用PITR(point-in-time 恢复)。要执行还原作业,请选择要还原到的时间点。

  • 每次连续备份的保留期最长为 35 天。

仅定期(快照)备份(计划备份或按需备份):

  • Amazon Backup 扫描整个 S3 存储桶,检索每个对象ACL和标签,然后为之前的快照中但在正在创建的快照中未找到的每个对象发起 Head 请求。

  • 备份是一 point-in-time致的。

  • 记录的备份日期和时间是 Amazon Backup 完成存储桶遍历的时间,而不是创建备份任务的时间。

  • 存储桶的第一次备份是完整备份。后续的每次备份都是增量备份,表示自上次快照以来数据发生的变化。

  • 对于定期备份创建的快照,保留期最长可达 99 年。

连续备份与定期/快照备份相结合:

  • 完成现有数据(每一个存储桶)的第一次完整备份后,系统会实时跟踪您的存储桶的更改。

  • 您可以从连续 point-in-time恢复点执行恢复。

  • 快照是一 point-in-time致的。

  • 快照直接从连续恢复点拍摄,无需重新扫描存储桶,从而加快处理速度。

  • 快照和连续恢复点共享数据沿袭;快照和连续恢复点之间的数据存储不会重复。

支持的 S3 存储类

Amazon Backup 允许您备份存储在以下 S3 存储类中的 S3 数据:

  • S3 标准

  • S3 标准版-不频繁访问 (IA)

  • S3 单区 - IA

  • S3 Glacier Instant Retrieval

  • S3 智能分层 (S3) INT

存储类别 S3 智能分层 (INT) 中的对象的备份可以访问这些对象。此访问会触发 S3 智能分层自动将这些对象移至 “频繁访问”。

访问不频繁访问层的备份,包括 S3 标准-不频繁访问 (IA) 和 S3 One Zone-IA 类别,将按频繁访问的 S3 存储费用移动(适用于不频繁访问或存档即时访问层)。

除 Glacier 即时检索外,不支持存档存储类别。

有关 Amazon S3 存储定价的更多信息,请参阅 A mazon S3 定价

亚马逊 S3 Amazon Backup 的注意事项

在备份 S3 资源时,应考虑以下几点:

  • 重点对象元数据支持- Amazon Backup 支持以下元数据:标签、访问控制列表 (ACLs)、用户定义的元数据、原始创建日期和版本 ID。您也可以还原除原始创建日期、版本 ID、存储类和电子标签之外的所有备份数据和元数据。

  • 当您恢复 S3 对象时,即使原始对象未使用校验和功能,我们也会应用校验和值。

  • S3 对象密钥名称可以由大多数 UTF -8 个可编码的字符串组成。允许使用以下 Unicode 字符:#x9 | #xA | #xD | #x20 to #xD7FF | #xE000 to #xFFFD | #x10000 to #x10FFFF

    包含不在此列表中的字符的对象密钥名称可能会从备份中排除。

  • 冷存储过渡-使用 Amazon Backup 生命周期管理策略来定义备份到期的时间表。不支持 S3 备份的冷存储过渡。

  • 不支持备份包含同一对象的多个版本的 S3 存储桶,这些版本是在同一秒创建的。

  • 对于定期备份, Amazon Backup 请尽最大努力跟踪对象元数据的所有更改。但是,如果您在 1 分钟内更新标签或ACL多次更新,则 Amazon Backup 可能无法捕获所有中间状态。

  • Amazon Backup 不支持 SSE-C-encrypted对象备份。 Amazon Backup 也不支持存储桶配置的备份,包括存储桶策略、设置、名称或访问点。

  • Amazon Backup 不支持在上备份 S3 Amazon Outposts。

  • CloudTrail logging — 如果您@@ 记录数据读取事件,则必须将 CloudTrail 日志保存到不同的目标存储桶。如果您将 CloudTrail 日志保存在他们记录的存储桶中,则会出现无限循环,这可能会导致意外费用。

    有关更多信息,请参阅《CloudTrail 用户指南》中的数据事件

  • 服务器访问日志-如果您启用服务器访问日志记录,则必须将日志传输到其他目标存储桶。如果您将这些日志保存在它们记录的存储桶中,则会出现无限循环。有关更多信息,请参阅启用 Amazon S3 服务器访问日志记录

S3 备份完成窗口

下表显示了不同大小的存储桶示例,可帮助您估计 S3 存储桶初始完整备份的完成时间。备份时间将因每个存储桶的大小、内容、配置和设置而异。

存储桶大小 对象数 预计完成初始备份所需的时间
425 GB 1.35 亿 31 小时
800 TB 6.7 亿 38 小时
6 PB 50 亿 100 小时
370 TB 75 亿 180 小时

Amazon S3 备份和还原权限和策略

要备份、复制和还原 S3 资源,您的角色中必须有正确的策略。要添加这些策略,请转到 Amazon 托管策略。将AWSBackupServiceRolePolicyForS3BackupAWSBackupServiceRolePolicyForS3Restore添加到您打算用来备份和恢复 S3 存储桶的角色中。

如果您没有足够的权限,需请求贵组织管理(管理员)账户的经理将这些策略添加到目标角色。

有关更多信息,请参阅《IAM用户指南》中的托管策略和内联策略

Amazon Backup 因为 S3 依赖于通过亚马逊接收 S3 事件 EventBridge。如果在 S3 存储桶通知设置中禁用此设置,则在关闭此设置的情况下,将停止对这些存储桶的连续备份。有关更多信息,请参阅使用 EventBridge

S3 备份的最佳实践和成本注意事项

最佳实践

对于对象数超过 3 亿的存储桶:

  • 对于对象数超过 3 亿的存储桶,在存储桶的初始完整备份期间,备份速率最高可达每秒 17,000 个对象(增量备份的速度会有所不同);包含的对象数少于 3 亿的存储桶以接近每秒 1,000 个对象的速率进行备份。

  • 建议进行连续备份。

  • 如果计划的备份生命周期超过 35 天,还可以在存储连续备份的同一个保管库中为存储桶启用快照备份。

成本注意事项

  • S3 生命周期策略具有一项名为删除过期对象删除标记的可选功能。此功能停用后,删除标记(有时为数百万个)将在没有清理计划的情况下过期。备份没有此功能的存储桶时,有两个问题会影响时间和成本:

    • 就像对象一样备份删除标记。备份时间和还原时间可能会受到影响,具体取决于对象与删除标记的比例。

    • 备份的每个对象和标记都有最低费用。每个删除标记的费用与 128KiB 对象相同。

  • 对于至少每天或更频繁地进行备份的客户,如果备份中的数据在两次备份之间变化最小,则使用连续备份可以实现成本效益。

  • 不经常更改的较大存储桶可以从连续备份中受益,因为无需对先前存在的对象(与之前的备份相比未更改的对象)执行整个存储桶的扫描以及每个对象的多个请求时,这可以降低成本。

  • 如果备份计划既包含保留期为 2 天的连续备份,又包含保留期更长的快照,则包含超过 1 亿个对象且删除率与总体备份大小相比较小的存储桶可能会实现成本效益。

  • 当不需要执行存储桶扫描时,定期(快照)备份时间与备份过程的开始时间一致。在同时包含连续备份和快照的存储桶中不需要执行扫描,因为在这些情况下,快照是从连续恢复点拍摄的。

  • 对于单个 S3-GIR(Amazon S3 Glacier 即时检索)中的每个对象, Amazon Backup 执行多个调用,这将在执行备份时产生取回费用。

    类似的检索成本适用于对象为 S3-IA 和 S3 One Zone-IA 存储类别的存储桶。

  • Amazon KMS CloudTrail、和 Amazon 作为备份策略一部分的 CloudWatch 功能可能会导致除 S3 存储桶数据存储之外的额外成本。有关如何调整这些功能的信息,请参阅以下内容:

    • 使用亚马逊 S3 用户指南中的 KMS Amazon S3 存储桶密钥降低成本。SSE

    • 您可以通过排除 Amazon KMS 事件和禁用 S3 数据事件来降低 CloudTrail 成本:

      • 排除 Amazon KMS 事件:在《CloudTrail 用户指南》中,在控制台中创建跟踪(基本事件选择器)允许选择排除 Amazon KMS 事件,从而将这些事件过滤出您的跟踪(默认设置包括所有KMS事件):

      • 只有在跟踪中记录管理KMS事件时,才可使用记录或排除事件的选项。如果您选择不记录管理事件,则不会记录KMS事件,也无法更改KMS事件日志记录设置。

      • Amazon KMS 诸如EncryptDecrypt、和之类的操作GenerateDataKey通常会生成大量事件(超过 99%)。这些操作现在记录为读取事件。诸如DisableDelete、和ScheduleKey(通常占事件量不到 0.5%)之类的低容量相关KMS操作被记录为写入KMS事件。

      • 如果要排除大批量事件(例如 EncryptDecryptGenerateDataKey),但仍然记录相关事件(例如 DisableDeleteScheduleKey),请选择记录写入管理事件,然后清除排除 Amazon KMS 事件复选框。

      • 禁用 S3 数据事件:默认情况下,跟踪和事件数据存储不记录数据事件。在初始备份之前禁用 S3 数据事件可降低成本。

    • 为了降低 CloudWatch 成本,您可以在更新跟踪以禁用 “ CloudWatch 日志” 设置时停止向 CloudWatch 日志发送 CloudTrail 事件。

还原 S3 备份

您可以将使用 Amazon Backup 备份的 S3 数据恢复到 S3 标准存储类别。您可以将 S3 数据还原到现有存储桶,包括原始存储桶。在还原期间,还可以创建一个新的 S3 存储桶作为还原目标。您只能将 S3 备份还原到备份 Amazon Web Services 区域 所在的位置。

您可以还原整个 S3 存储桶,也可以还原存储桶中的文件夹或对象。 Amazon Backup 还原该对象的当前版本。

要使用恢复 S3 数据 Amazon Backup,请参阅使用恢复 S3 数据 Amazon Backup