S3 復元からの直接アクセスでは、Ops Managerアプリケーションサーバーを介してデータをストリーミングする代わりに、バックアップエージェントが S3読み取りからスナップショット データを直接ダウンロードできます。この機能には、次のメリットがあります。
大規模な復元操作中に Ops Manager の負荷を軽減
S3 にバックアップされた配置の復元時間を改善します
事前に署名された URL を使用するため、バックアップエージェントは S3 認証情報を必要としません
重要
この機能には Ops Manager 8.0.19 以降が必要です。
サポートされているユースケース
S3 復元からの直接接続 は、次の構成をサポートしています。
バックアップタイプ: S3読み取り(管理またはインポート)を使用する継続的またはスケジュールされたバックアップ
復元タイプ: 配信方法がオートメーションエージェントであるスナップショット復元(マネージド配置に復元)
制限
S3 復元からの直接使用は、次のシナリオには適用されません。
手動ダウンロード復元(スナップショット データのHTTPダウンロード): Ops Manager を介してデータを引き続きストリーミング転送します
ファイルシステムまたはMongoDBブロックストアスナップショット ストアを使用するバックアップ
Ops Manager 外で実行されるアドホック
mongorestoreワークフロー
以下のシナリオのいずれかが環境にとって重要な場合は、それらのワークフローの標準復元パスを引き続き使用します。
S3 からの直接復元の仕組み
S3 復元からの直接接続を有効にする と、次の操作を実行します。
Ops Manager は通常どおり復元を計画します。
Ops Manager は、構成された S3 認証情報を使用して、各スナップショット ブロックに対して事前に署名された S3 URL を生成します。
Ops Manager は、バックアップエージェントがこれらの事前署名付き URL を使用して S3 から直接スナップショット データを取得するように指示します。
バックアップエージェントは、スナップショットデータをダウンロード、解凍し、ディスクに書込みます。
バックアップエージェントには S3 の認証情報は必要ありません。 MongoDB Ops Manager はすべての S3認証を事前署名された URL を通じて管理します。
注意
S3 復元からの直接操作は、スナップショット データにのみ適用されます。 oplog の処理は既存のフローに従います。
前提条件
S3 復元からの直接接続を有効にする前に、次の要件を確認してください。
ネットワークセキュリティとネットワーク
復元を実行する各バックアップエージェントホストは、次の条件を満たす必要があります。
S3 または S3 互換エンドポイントの DNS 名を解決する
そのエンドポイントへのアウトバウンド HTTPS 接続を確立します
Ops Manager が生成する S3 事前署名付き URL を使用してデータをダウンロードする
バックアップエージェントには S3 アクセス キーまたは IAM ロールは必要ありません。 Ops Manager は、 読み取り用に構成された S3 認証情報を使用して、事前に署名された URL を生成します。
S3 スナップショット ストアの互換性
S3 からの直接復元は、次のノードで動作します。
Ops Manager で構成された管理対象 S3 スナップショット ストア
Ops Manager 8.0.19 以降で S3 スナップショット ストアをインポートしました
S3 復元からの直接構成
S3 復元から直接構成するには、次のタスクを実行します。
システムレベルの機能フラグを有効にします。
S3読み取りで S3 復元からの直接復元を有効にします。
システムレベルの機能フラグを有効にする
S3 スナップショット ストアでの S3 復元からの直接有効化
重要
このオプションを有効にしても、既存の復元ジョブは変更されません。新しい復元ジョブでは、ジョブを作成するときに読み取りでオプションが有効になっている場合にのみ、 S3 復元からの直接使用できます 。
S3 復元からの直接使用
機能を有効にした後、標準の復元ワークフローを使用します。データパスは自動的に変更されます。
復元ジョブの開始
操作上の考慮事項
パフォーマンスとサイズ設定
次のパフォーマンス特性を考慮してください。
Ops Manager 負荷: Ops Managerアプリケーションサーバーで生成されるネットワークと CPU 負荷を復元します。
エージェント ホスト: 復元スループットは、バックアップエージェントを実行するホストの CPU、ディスク I/O、およびネットワークキャパシティーによって異なります。
ネットワーク パス: 復元スループットは、Ops Manager から S へのネットワーク3 パスではなく、バックアップエージェントから S へのネットワーク3 パスによって異なります。大規模なクラスターの場合は、S3 エンドポイント、 VPCエンドポイント、またはプロキシが期待される同時実行性を処理できることを確認します。
セキュリティと IAM
S3 復元からの直接操作では、次の権限モデルが使用されます。
Ops Manager 権限: Ops Managerバックアップアプリケーションサーバーには、S3 スナップショット ストアに構成されたバケットとプレフィックスへの S 読み取りアクセス権(および、必要に応じてリスト3 アクセス権)が必要です。このアクセスは、Ops Manager 内のそれらのストアに対して指定した IAM ロールまたはアクセス キーを使用して構成します。
バックアップエージェントの権限: バックアップエージェントには S3 認証情報がありません。 Ops Manager3 は、各スナップショット ブロックに対して事前に署名された S URL3 を生成し、エージェントはそれらの URL を使用して S からブロックを直接ダウンロードします。
最小特権: Ops Manager が使用する IAM ロールまたはアクセス キーを、バックアップと復元に必要なバケットとプレフィックスのみに制限します。
不変性: S3 オブジェクト ロックを使用する場合、S3 復元からの直接操作は、事前に署名された URL を使用して不変オブジェクトから読み取ります。この機能は保持または削除保護をバイパスしません。
インポートされた S3 スナップショット ストア
インポートされた S3 スナップショット ストア(不変バックアップバケットなど)から復元する場合は、次の点を確認してください。
インポートされたスナップショットの S3 復元からの直接サポートを含む Ops Manager 8.0.19 以降を実行している。
インポートされた読み取りがAdmin、Backup、Snapshot Stores で正しく構成されました。
Ops Manager 内のそのストアに対して構成された S3 認証情報は、インポートされたバケットとプレフィックスへの読み取りアクセス権を持ちます。
ターゲット ホスト上のバックアップエージェントは、S エンドポイントへのネットワーク接続を持ちます。エージェントは、Ops Manager が生成する事前署名付き URL を使用するため、追加の3 IAM ロールやキーは必要ありません。