使用Amazon EBS快照轻松保护关键数据

使用Amazon EBS快照轻松保护关键数据

关键字: [Amazon Web Services re:Invent 2024， 亚马逊云科技， Amazon EBS Snapshots， Amazon Ebs Snapshots， Data Protection， Immutability Protection， Ransomware Protection， Lifecycle Management]

导读

Amazon EBS快照为块数据、启动卷和本地数据提供了一种安全、简单的备份和恢复机制。了解它们如何在帮助组织降低存储成本的同时提供数据保护。探索EBS卷和快照加密、从快照创建和恢复卷，以及使用Amazon数据生命周期管理器在亚马逊云科技账户和区域之间自动化您的快照工作流程。了解如何加强快照的安全态势以防范勒索软件，并轻松读取EBS快照中的文件。听取SAP的介绍，了解它如何使用EBS快照来确保数万个SAP系统和数千客户的数据完整性和合规性。

演讲精华

以下是小编为您整理的本次演讲的精华。

本次会议由Rabi主持，他首先询问了与会者对EBS快照的熟悉程度，大部分人举手表示有所了解。当被问及是否正在使用EBS快照时，相当一部分与会者表示有使用经验，这为Rabi深入探讨这项技术奠定了基础。

Rabi概述了亚马逊云科技的存储产品组合，重点介绍了三大核心服务:S3用于对象级存储、EBS用于块级存储、EFS和FSx用于文件级存储。此外，他还提到了混合云和边缘计算能力，如Amazon DataSync和Amazon Storage Gateway，以及数据保护和工作流程服务，如Amazon Backup和EBS快照。

在讨论块存储产品组合时，Rabi将其分为两大类:实例存储和弹性块存储(EBS)。他解释说，实例存储是临时存储，附加于EC2实例，如i4实例的SSD存储和d3实例的HDD存储。在EBS方面，他举例说明了SSD卷如gp3和io2，以及HDD卷如sc1和st1。

Rabi阐明，客户使用快照来备份EBS卷，快照是特定时间点的副本，包含了恢复卷至创建快照时状态所需的全部数据。从快照创建卷时，该卷最初是原始卷的精确副本，数据会在后台加载，允许立即使用。

Rabi强调了快照的增量特性，即只有自上次快照以来发生变化的数据会存储在当前快照中。这一特性不仅加快了快照创建速度，还通过避免每次快照都存储完整数据副本的方式节省了成本。

对于跨越多个EBS卷并附加于单个实例的大型数据库或文件系统，Rabi提到可以通过单个API调用创建崩溃一致性快照，无需停止实例或在卷之间协调数据。

Rabi概述了EBS快照的四大主要用例:备份和灾难恢复、刷新、扩展和数据交付工作流程，其中中央团队构建最新版本的Amazon Machine Image (AMI)，包含已批准的日志记录、监控和安全补丁，并使用基于EBS的AMI将其分发给组织内其他团队;从本地数据中心迁移到云;第三方自动化和编排解决方案，以满足恢复目标。

Rabi举例说明了快照的工作原理。如果创建了1TB的EBS卷但未写入任何数据，初始快照将为空且不产生费用。但如果写入了三个块或文件并创建快照(Snapshot 1)，该快照将包含这三个需计费的块。如果再添加三个文件并创建另一个快照(Snapshot 2)，则只有增量块(4、5、6)需计费，而块1、2和3将引用自Snapshot 1。继续这个例子，如果再添加三个块并创建Snapshot 3，这三个块将属于Snapshot 3，而块1到6将引用自Snapshots 1和2。

Rabi重申了关于快照的关键点:它们是特定时间点的副本，包含恢复卷所需的全部数据;它们具有增量特性;客户只需为后续快照之间的变化或增量块付费。

在讨论安全方面时，Rabi提到了使用Amazon Key Management Service (KMS)对EBS卷和快照进行AES-256加密。他解释说，在账户级别启用默认加密可确保所有新创建的资源，包括卷及其快照，都会自动加密。

Rabi强调了跨区域和账户复制快照的能力，这对于灾难恢复和扩展需求至关重要。他还介绍了最近推出的基于时间的快照复制功能，允许客户指定15分钟到48小时的持续时间来完成快照复制过程，满足恢复点目标(RPO)，并确保工作流程的可预测性和一致性。值得注意的是，基于时间的快照复制没有并发快照限制，与标准复制不同，客户可以根据需要复制任意多个快照，只要保持在大约2000 Mbps的账户级吞吐量配额内即可，该配额可根据需求提高。

在讨论共享快照时，Rabi解释说，快照默认是私有的，但可以私下与其他账户共享或公开共享，尽管出于安全考虑不建议公开共享。他介绍了EBS快照的阻止公共访问功能，可在账户级别启用，以禁止对新快照或所有现有快照的公共访问，有两种模式:阻止新共享和阻止所有共享。

Rabi接着讨论了快照锁定功能，用于满足业务和合规性法规对不可变性和写入一次读取多次(WORM)保护的需求。快照锁定可以在指定的持续时间内防止快照被删除，有两种模式:治理模式，允许某些用户获得权限移除锁定;合规模式，任何用户都无法移除锁定，只能延长持续时间。

来自SAP的JP接着讨论了EBS快照如何帮助RISE with SAP(他们的托管云ERP解决方案)实现不可变性和防止勒索软件攻击。他强调了SAP与亚马逊云科技之间的合作，包括验证和测试高达24TB大小的大型HANA部署，并利用亚马逊云科技专家的反馈来改进面向客户的解决方案。

JP解释说，RISE with SAP是一个旨在为SAP的云ERP提供托管服务的计划，提供云产品、标准化运营以及SAP的频繁创新和更新方法。他强调备份作为最后一道防线的重要性，以防灾难、数据中心中断或勒索软件攻击。

JP指出传统备份面临的挑战，如数据量不断增加、备份和恢复时间长、弹性问题、应用程序性能影响、恢复点目标(RPO)以及安全性和加密要求，并强调EBS快照如何帮助克服这些挑战。

由于增量快照，JP表示EBS快照可提供更快的备份和恢复时间，每天只需几分钟而不是几小时。此外，快照在区域级别存储，确保在发生区域中断时数据可用，而且快照过程发生在存储层面，不会影响应用程序性能。

JP赞赏了EBS快照所带来的灵活生命周期管理，可以通过为快照添加标签并使用Lambda函数根据标签管理生命周期，从而为不同系统设置不同的保留期限。他还指出，增量快照的成本效益，只需为初始快照后的变化数据块付费。

在讨论不可变性和防止勒索软件攻击时，JP赞赏了快照锁定功能，SAP与亚马逊云科技团队就此进行了深入讨论以满足他们的要求。通过在创建快照时启用快照锁定并指定保留期限，数据就无法被修改、删除或覆盖，满足了不可变性的关键方面。快照锁定的合规模式可防止任何用户禁用锁定，而治理模式则允许某些用户在需要时移除锁定。

JP提供了SAP快照流程的高级架构，包括识别相关卷、与应用程序或数据库进行一致性通信、创建启用了锁定的快照，以及为保留期和生命周期管理添加标签。恢复过程包括从区域快照存储创建EBS卷、分离现有卷并附加新卷，以使系统重新上线。

JP强调了对HANA工作负载启用快速快照恢复(FSR)的重要性，他解释说，如果无法获得100%的读取性能，启动HANA并将数据加载到内存中的速度将大幅降低，从而影响生产系统性能。通过在创建卷之前启用FSR，数据将从快照存储复制到指定可用区域的EBS存储，确保在创建卷时获得最大读取性能。

JP透露，SAP目前在亚马逊云科技环境中运行近40，000个EC2实例和7，000多个HANA实例，在HANA系统、SAP SEAC系统、IQ实例、MaxDB和各种应用程序中利用EBS卷、NVME SSD、快照和快照锁定功能。

来自亚马逊云科技的Denton随后讨论了Amazon Data Lifecycle Manager (DLM)，这是一种基于策略的EBS快照生命周期管理解决方案。客户创建策略，指定要创建快照的卷、频率和保留期限，DLM会自动管理生命周期，包括启用快速快照恢复、归档和跨区域复制。客户只需支付相关的EBS快照存储费用。

Denton强调，DLM能够自动为自行管理的数据库(如MySQL、PostgreSQL、Windows应用程序和SAP HANA)创建应用程序一致性快照。该功能于2023年底推出，利用Amazon Systems Manager冻结数据库、创建崩溃一致性快照，然后解冻数据库，确保更顺利的恢复。

DLM提供三种策略类型:单卷快照策略、针对连接到EC2实例的所有卷(可选择排除特定卷)的多卷崩溃一致性快照策略，以及用于创建基于EBS的Amazon Machine Images (AMIs)的策略。应用程序一致性快照功能基于多卷崩溃一致性快照策略类型，与Systems Manager协同工作。

Denton介绍了DLM的默认策略，该策略使存储管理员能够确保其账户中的所有EC2实例和EBS卷都得到备份，而无需为已有备份的卷重复创建快照。该功能解决了跨多租户账户维护可见性和确保全面备份覆盖的挑战，这些账户由不同团队和备份策略管理。

Denton还讨论了EBS快照和AMI的回收站功能，该功能可防止意外或恶意删除。客户可以创建保留规则，指定在删除时应将哪些快照和AMI保留在回收站中，从而允许从快照进行还原或创建卷。规则锁定功能可防止恶意行为者立即修改或删除保留规则，为检测和响应提供了7至30天的时间窗口。

Denton强调了最近添加的账户级保留规则排除标记功能，使客户能够将非必需的快照和AMI(如为安全扫描过程创建且不用于恢复目的的快照和AMI)从回收站中排除。

总之，该会议全面探讨了EBS快照作为保护关键数据的强大且安全机制，利用了加密、快照锁定以实现不可变性、基于时间的快照复制以满足RPO要求，以及Amazon Data Lifecycle Manager来自动化快照生命周期管理(包括应用程序一致性备份和防止意外或恶意删除)等功能。

下面是一些演讲现场的精彩瞬间：

演讲者介绍了本次会议将涵盖的主题，包括EBS快照、与EBS快照相关的安全方面、SAP RISE和不可变性加上勒索软件保护，以及数据保护。

亚马逊云科技提供了一个全面的存储产品组合，可满足您的需求，包括用于对象存储的S3、用于块存储的EBS、用于文件存储的EFS和FSx，以及混合、边缘、数据移动和数据保护服务。

Amazon EBS引入了基于时间的快照副本，允许客户指定快照副本过程的持续时间，以满足其灾难恢复工作流程的恢复点目标(RPO)。

解释了私有或公开共享EBS快照的选项，以及阻止公共访问以增强安全性的能力。

亚马逊云科技引入了一个强大的安全功能“阻止所有公共共享”，以防止意外暴露EC2快照，确保数据保护和隐私。

演讲者重点介绍了Amazon Data Lifecycle Manager的功能，包括基于时间的快照副本和带有排除标签的回收站，并鼓励观众尝试使用它们。

总结

在这个富有洞见的演讲中，演讲者们深入探讨了利用Amazon EBS快照保护关键数据的复杂性。他们首先介绍了EBS快照，它是EBS卷的增量、特定时间点的副本，强调了其创建备份的经济高效和快速性。演讲者随后探讨了各种安全功能，包括加密、阻止公共访问和快照锁定，这些功能使组织能够增强其备份的安全态势并满足合规性要求。

演讲接着转移到SAP RISE，这是一项针对云ERP解决方案的托管服务。来自SAP的演讲者JP分享了他们如何利用EBS快照为客户系统实现不可变性和勒索软件保护。他详细介绍了他们的工作流程，包括识别相关卷、以合规模式启用快照锁定，以及通过标记和Lambda函数实现生命周期管理。此外，JP强调了对HANA工作负载进行快速快照恢复(FSR)的重要性，以确保在恢复期间获得最佳读取性能。

最后一位演讲者Denton介绍了Amazon Data Lifecycle Manager (DLM)，这是一种基于策略的解决方案，用于自动化EBS快照管理。他讨论了为自管理数据库创建应用程序一致性快照以及跨账户确保全面备份覆盖的默认策略等功能。Denton还涉及了EBS快照和Amazon Machine Images的回收站，它通过保留规则和规则锁定保护免受意外或恶意删除。

总之，演讲者们全面概述了如何将EBS快照与各种亚马逊云科技服务和功能相结合，使组织能够有效保护关键数据、满足合规性要求，并在发生灾难或勒索软件攻击时确保业务连续性。

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者。提供200多类广泛而深入的云服务，服务全球245个国家和地区的数百万客户。做为全球生成式AI前行者，亚马逊云科技正在携手广泛的客户和合作伙伴，缔造可见的商业价值 – 汇集全球40余款大模型，亚马逊云科技为10万家全球企业提供AI及机器学习服务，守护3/4中国企业出海。