本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将图像作为 Amazon EC2 AMI 导入您的设备
使用Amazon CLI,您可以使用虚拟机导入/导出Amazon功能将图像作为 EC2 实例导入您的Amazon Snowball Edge 设备。在您导入映像后,您需要将其注册为亚马逊系统映像 (AMI),然后将其作为 Amazon EC2 实例启动。
主题
第 1 步:准备映像
您可以Amazon Web Services 云使用虚拟机导入/导出从中导出映像,也可以使用您选择的虚拟化平台在本地生成映像。您也可以从中导出图像Amazon Web Services 云。
-
要Amazon使用 VM Import/Export从中导入映像,请参阅使用 VM Import/Export将虚拟机作为映像导入。
-
要Amazon使用虚拟机导入/导出将映像从 AMI 导出到,请参阅直接从亚马逊系统映像 (AMI) 导出虚拟机。
将图像上传到 Snowball Edge 设备时,请注意以下限制。
-
Snow Family 设备目前仅支持导入 RAW 图像格式的快照。
-
Snow Family 设备目前仅支持导入大小从 1 GB 到 1 TB 的快照。
获得图像后,必须将其上传到设备上的 Amazon S3,因为您只能将镜像作为快照从 Amazon S3 导入设备或集群上可用。在导入过程中,您可以选择 Snowball Edge 设备上的 S3 存储桶来存储图像。
将图像上传到您的 Amazon S3 设备
检查您的 S3 存储桶:
aws s3 ls --endpoint http://snowball-ip:8080 --profileprofile-name
要存储图像,请选择设备上的 Amazon S3 存储桶以将图像作为快照导入:
aws s3 cpimage-paths3://S3-bucket-name--endpoint http://snowball-ip:8080 --profileprofile-name
第 2 步:设置所需权限
要成功导入,您必须为虚拟机导入/导出、Amazon EC2 和用户设置权限。
提供这些权限的服务角色和策略位于 Snow Family 设备上。
VM Import/Export 所需的权限
在您开始导入过程之前,必须创建一个 IAM 角色,并对其应用允许 Snowball VM Import/Export代入该角色的信任策略。向该角色授予了额外权限,以允许 VM 导入/导出访问存储在设备上 S3 存储桶中的映像。
创建信任策略 json 文件
以下是需要附加到角色的信任策略示例,这样 VM Import/Export 才能访问需要从 S3 存储桶导入的快照。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"vmie.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
使用信任策略 json 文件创建角色
角色名称可以是 vmimport。你可以使用命令中的 —role-name 选项对其进行更改:
aws iam create-role --role-namerole-name--assume-role-policy-document file:///trust-policy-json-path--profileprofile-name--endpoint http://snowball-ip:6078 --region snow
下面是create-role命令的示例输出。
{ "Role":{ "AssumeRolePolicyDocument":{ "Version":"2012-10-17", "Statement":[ { "Action":"sts:AssumeRole", "Effect":"Allow", "Principal":{ "Service":"vmie.amazonaws.com" } } ] }, "MaxSessionDuration":3600, "RoleId":"AROACEMGEZDGNBVGY3TQOJQGEZAAAABQBB6NSGNAAAABPSVLTREPY3FPAFOLKJ3", "CreateDate":"2022-04-19T22:17:19.823Z", "RoleName":"vmimport", "Path":"/", "Arn":"arn:aws:iam::123456789012:role/vmimport" } }
为角色创建策略
以下示例策略具有访问 Amazon S3 所需的最低权限。将 Amazon S3 存储桶名称更改为包含您的映像的存储桶名称。您还可以使用前缀来进一步缩小虚拟机导入/导出可以从中导入快照的位置。像这样创建一个策略 json 文件。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:GetMetadata" ], "Resource":[ "arn:aws:s3:::import-snapshot-bucket-name", "arn:aws:s3:::import-snapshot-bucket-name/*" ] } ] }
使用策略文件创建策略:
aws iam create-policy --policy-namepolicy-name--policy-document file:///policy-json-file-path--profileprofile-name--endpoint http://snowball-ip:6078 --region snow
以下是 create-policy 命令的输出示例。
{ "Policy":{ "PolicyName":"vmimport-resource-policy", "PolicyId":"ANPACEMGEZDGNBVGY3TQOJQGEZAAAABOOEE3IIHAAAABWZJPI2VW4UUTFEDBC2R", "Arn":"arn:aws:iam::123456789012:policy/vmimport-resource-policy", "Path":"/", "DefaultVersionId":"v1", "AttachmentCount":0, "IsAttachable":true, "CreateDate":"2020-07-25T23:27:35.690000+00:00", "UpdateDate":"2020-07-25T23:27:35.690000+00:00" } }
将策略附加到角色
向前面的角色附加策略并授予权限以访问所需资源。这允许本地虚拟机导入/导出服务从设备上的 Amazon S3 下载快照。
aws iam attach-role-policy --role-namerole-name--policy-arn arn:aws:iam::123456789012:policy/policy-name--profileprofile-name--endpoint http://snowball-ip:6078 --region snow
来电者所需的权限
除了让 Snowball Edge 虚拟机导入/导出扮演的角色外,您还必须确保用户拥有允许他们将角色传递给 VMIE 的权限。如果您使用默认 root 用户执行导入,则 root 用户已经拥有所需的所有权限,因此您可以跳过此步骤,转到步骤 3。
将以下两个 IAM 权限附加到正在进行导入的用户账户。
-
pass-role -
get-role
为角色创建策略
以下是允许用户对 IAM 角色执行get-role和pass-role操作的示例策略。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": "iam:GetRole", "Resource":"*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "importexport.amazonaws.com" } } } ] }
使用策略文件创建策略:
aws iam create-policy --policy-namepolicy-name--policy-document file:///policy-json-file-path--profileprofile-name--endpoint http://snowball-ip:6078 --region snow
以下是 create-policy 命令的输出示例。
{ "Policy":{ "PolicyName":"caller-policy", "PolicyId":"ANPACEMGEZDGNBVGY3TQOJQGEZAAAABOOOTUOE3AAAAAAPPBEUM7Q7ARPUE53C6R", "Arn":"arn:aws:iam::123456789012:policy/caller-policy", "Path":"/", "DefaultVersionId":"v1", "AttachmentCount":0, "IsAttachable":true, "CreateDate":"2020-07-30T00:58:25.309000+00:00", "UpdateDate":"2020-07-30T00:58:25.309000+00:00" } }
生成策略后,将策略附加到将调用 Amazon EC2 API 或 CLI 操作来导入快照的 IAM 用户。
aws iam attach-user-policy --user-nameyour-user-name--policy-arn arn:aws:iam::123456789012:policy/policy-name--profileprofile-name--endpoint http://snowball-ip:6078 --region snow
在您的设备上调用 Amazon EC2 API 所需的权限
要导入快照,IM 用户必须具有ec2:ImportSnapshot权限。如果不需要限制用户的访问权限,则可以使用权限授予完全的 Amazon EC2 访问ec2:*权限。以下是可以授予或限制您设备上的 Amazon EC2 的权限。使用显示的内容创建策略文件:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ec2:ImportSnapshot", "ec2:DescribeImportSnapshotTasks", "ec2:CancelImportTask", "ec2:DescribeSnapshots", "ec2:DeleteSnapshot", "ec2:RegisterImage", "ec2:DescribeImages", "ec2:DeregisterImage" ], "Resource":"*" } ] }
使用策略文件创建策略:
aws iam create-policy --policy-namepolicy-name--policy-document file:///policy-json-file-path--profileprofile-name--endpoint http://snowball-ip:6078 --region snow
以下是 create-policy 命令的输出示例。
{ "Policy": { "PolicyName": "ec2-import.json", "PolicyId": "ANPACEMGEZDGNBVGY3TQOJQGEZAAAABQBGPDQC5AAAAATYN62UNBFYTF5WVCSCZS", "Arn": "arn:aws:iam::123456789012:policy/ec2-import.json", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "IsAttachable": true, "CreateDate": "2022-04-21T16:25:53.504000+00:00", "UpdateDate": "2022-04-21T16:25:53.504000+00:00" } }
生成策略后,将策略附加到将调用 Amazon EC2 API 或 CLI 操作来导入快照的 IAM 用户。
aws iam attach-user-policy --user-nameyour-user-name--policy-arn arn:aws:iam::123456789012:policy/policy-name--profileprofile-name--endpoint http://snowball-ip:6078 --region snow
第 3 步:将快照导入您设备上的 Amazon S3
下一步是将快照导入设备上的 Amazon S3。S3Bucket 的值应该是包含你的镜像的存储桶,S3Key 应该是这个存储段中的镜像文件路径:
aws ec2 import-snapshot --disk-container "Format=RAW,UserBucket={S3Bucket=bucket-name,S3Key=image-file}" --profileprofile-name--endpoint http://snowball-ip:8008 --region snow
有关更多信息,请参阅导入快照。
此命令不支持以下开关。
[—客户端数据
value][—client-token
value][—dry-run]
[--no-dry-run]
[—加密]
[—未加密]
[--kms-key-id
value][—标签规格
value]
例 输出示例
{ "ImportTaskId":"s.import-snap-1234567890abc", "SnapshotTaskDetail":{ "DiskImageSize":2.0, "Encrypted":false, "Format":"RAW", "Progress":"3", "Status":"active", "StatusMessage":"pending", "UserBucket":{ "S3Bucket":"bucket", "S3Key":"vmimport/image01" } } }
Snowball Edge 目前仅允许每台设备同时运行一个活跃的导入作业。要启动新的导入任务,要么等待当前任务完成,要么在集群中选择另一个可用节点。如果需要,也可以选择取消当前的导入。为防止延迟,请勿在导入过程中重新启动 Snowball Edge 设备。如果重新启动设备,则导入将失败,当设备可访问时,进度将被删除。要查看快照导入任务的状态,请使用以下命令:
aws ec2 describe-import-snapshot-tasks --import-task-idsid--profileprofile-name--endpoint http://snowball-ip:8008 --region snow
第 4 步:将快照注册为 AMI
成功将快照导入设备后,可以使用register-image命令对其进行注册。
只有当 AMI 的所有快照都可用时,才能注册 AMI。
有关更多信息,请参阅注册映像。
例 示例命令
aws ec2 register-image \ --nameami-01\ --descriptionmy-ami-01\ --block-device-mappings "[{\"DeviceName\": \"/dev/sda\",\"Ebs\":{\"Encrypted\":false,\"DeleteOnTermination\":true,\"SnapshotId\":\"snapshot-id\",\"VolumeSize\":30}}]" \ --root-device-name /dev/sda1 \ --profileprofile-name\ --endpoint http://snowball-ip:8008 \ --region snow
以下是块设备映射 JSON 的示例。有关更多信息,请参阅块储存设备映射。
[ { "DeviceName": "/dev/sda", "Ebs": { "Encrypted": false, "DeleteOnTermination": true, "SnapshotId": "snapshot-id", "VolumeSize": 30 } } ]
例 输出示例
{ "ImageId": "s.ami-8de47d2e397937318" }
第 5 步:从 AMI 启动实例
要启动实例,请参阅运行实例。
image-id 值是上一个注册步骤的输出:
aws ec2 run-instances --image-idimage-id--instance-typeinstance-type--profileprofile-name--endpoint http://snowball-ip:8008 --region snow
{ "Instances":[ { "SourceDestCheck":false, "CpuOptions":{ "CoreCount":1, "ThreadsPerCore":2 }, "InstanceId":"s.i-12345a73123456d1", "EnaSupport":false, "ImageId":"s.ami-1234567890abcdefg", "State":{ "Code":0, "Name":"pending" }, "EbsOptimized":false, "SecurityGroups":[ { "GroupName":"default", "GroupId":"s.sg-1234567890abc" } ], "RootDeviceName":"/dev/sda1", "AmiLaunchIndex":0, "InstanceType":"sbe-c.large" } ], "ReservationId":"s.r-1234567890abc" }
描述导入任务
要查看导入进度的当前状态,您可以运行 Amazon EC2describe-import-snapshot-tasks 命令。此 API 支持对进行分页和筛选task-state。
例 示例命令
aws ec2 describe-import-snapshot-tasks --import-task-idsid--profileprofile-name--endpoint http://snowball-ip:8008 --region snow
例 输出示例
{ "ImportSnapshotTasks": [ { "ImportTaskId": "s.import-snap-8f6bfd7fc9ead9aca", "SnapshotTaskDetail": { "Description": "Created by AWS-Snowball-VMImport service for s.import-snap-8f6bfd7fc9ead9aca", "DiskImageSize": 8.0, "Encrypted": false, "Format": "RAW", "Progress": "3", "SnapshotId": "s.snap-848a22d7518ad442b", "Status": "active", "StatusMessage": "pending", "UserBucket": { "S3Bucket": "bucket1", "S3Key": "image1" } } } ] }
此 API 仅显示过去 7 天内成功完成或标记为删除的任务的输出。过滤仅支持Name=task-state,Values=active | deleting | deleted |
completed
此命令不支持以下开关。
[—dry-run]
[--no-dry-run]
取消导入任务
要取消导入任务,请运行cancel-import-task命令。
例 示例命令
aws ec2 cancel-import-task --import-task-idimport-task-id--profileprofile-name--endpoint http://snowball-ip:8008 --region snow
例 输出示例
{ "ImportTaskId": "s.import-snap-8234ef2a01cc3b0c6", "PreviousState": "active", "State": "deleting" }
只有未处于已完成状态的任务才能取消。
此命令不支持以下开关。
[—dry-run]
[--no-dry-run]
描述快照
导入快照后,您可以使用此命令对其进行描述。要筛选快照,您可以--snapshot-ids使用先前导入任务响应中的快照 ID 传入。此 API 支持对volume-idstatus、和进行分页和筛选start-time。
例 示例命令
aws ec2 describe-snapshots --snapshot-idssnapshot-id--profileprofile-name--endpoint http://snowball-ip:8008 --region snow
例 输出示例
{ "Snapshots": [ { "Description": "Created by AWS-Snowball-VMImport service for s.import-snap-8f6bfd7fc9ead9aca", "Encrypted": false, "OwnerId": "123456789012", "SnapshotId": "s.snap-848a22d7518ad442b", "StartTime": "2020-07-30T04:31:05.032000+00:00", "State": "completed", "VolumeSize": 8 } ] }
此命令不支持以下开关。
[--restorable-by-user-ids
value][—dry-run]
[--no-dry-run]
从您的设备中删除快照
要删除您拥有但不再需要的快照,可以使用delete-snapshot命令。
例 示例命令
aws ec2 delete-snapshot --snapshot-idsnapshot-id--profileprofile-name--endpoint http://snowball-ip:8008 --region snow
Snowball Edge 不支持删除处于待处理状态或被指定为 AMI 根设备的快照。
此命令不支持以下开关。
-
[—dry-run]
-
[--no-dry-run]
注销 AMI
要注销不再需要的 AI,您可以运行deregister-image命令。目前不支持注销处于 “待处理” 状态的 AMI。
例 示例命令
aws ec2 deregister-image --image-idimage-id--profileprofile-name--endpoint http://snowball-ip:8008 --region snow
此命令不支持以下开关。
[—dry-run]
[--no-dry-run]