A restauração direta do S3 permite que os agentes de backup baixem dados de snapshots diretamente do armazenamento de snapshots do S3 em vez de transmitir dados por meio de servidores de aplicação do Ops Manager. Esse recurso oferece os seguintes benefícios:
Reduz a carga no Ops Manager durante grandes operações de restauração
Melhora o tempo de restauração para implantações com backup em S3
Usa URLs pré-assinadas para que os agentes de backup não precisem de credenciais S3
Importante
Esse recurso requer o Ops Manager 8.0.19 ou posterior.
Casos de uso suportados
Direcionamento do S3 Restore suporta as seguintes configurações:
Tipo de backup: backups contínuos ou agendados que usam um armazenamento de snapshots S3 (gerenciado ou importado)
Tipo de restauração: restaurações de snapshots onde o método de entrega é agente de automação (restaurações em uma implantação gerenciada)
Limitações
Direcionalmente da Restauração S3 não se aplica aos seguintes cenários:
Restaurações manuais de download (download HTTP de dados de snapshots), que continuam a transmitir dados por meio do Ops Manager
Backups que usam armazenamentos de snapshot do sistema de arquivos ou do blockstore do MongoDB
Fluxos de trabalho Ad-hoc
mongorestoreque são executados fora do Ops Manager
Se algum desses cenários for crítico para seu ambiente, continue usando o caminho de restauração padrão para esses fluxos de trabalho.
Como funciona a restauração direta do S3
Depois de ativar a restauração direto da restauração S3:
O gerente de operações planeja a restauração como de costume.
O Ops Manager gera URLs S3 pré-assinados para cada bloco de snapshot usando suas credenciais S3 configuradas.
O Ops Manager instrui o agente de backup a buscar dados de snapshots diretamente do S3 usando essas URLs pré-assinadas.
O agente de backup baixa, descompacta e grava dados de snapshot em disco.
Os agentes de backup não precisam de credenciais S3. O Ops Manager gerencia toda a autenticação S3 por meio de URLs pré-assinados.
Observação
Direcionalmente da Restauração S3 se aplica somente a dados de snapshots. O manuseio do Oplog segue o fluxo existente.
Pré-requisitos
Antes de ativar o Direcionamento do S3 Restore, verifique os seguintes requisitos.
Rede e segurança
Cada host de agente de backup que executa restaurações deve ser capaz de:
Resolva o nome DNS do endpoint compatível com S3 ou S3
Estabeleça conexões HTTPS de saída para esse endpoint
Faça o download dos dados usando as URLs pré-assinadas do S3 que o Ops Manager gera
Os agentes de backup não exigem chaves de acesso S3 ou funções IAM. O Ops Manager gera URLs pré-assinados utilizando as credenciais S3 configuradas para o armazenamento de snapshots.
S3 compatibilidade com armazenamento de snapshots
Direct from S3 Restore funciona com:
Armazenamentos de snapshots S3 gerenciados configurados no Ops Manager
Armazenamentos de snapshots S3 importados no Ops Manager 8.0.19 ou posterior
Configure diretamente da restauração S3
Para configurar o Direct a partir do S3 Restore, conclua as seguintes tarefas:
Ative o sinalizador de recurso no nível do sistema.
Habilite diretamente da restauração do S3 em um armazenamento de snapshots do S3.
Ativar o sinalizador de recurso no nível do sistema
Habilitar diretamente da restauração S3 em um armazenamento de snapshots S3
Importante
A ativação dessa opção não altera os trabalhos de restauração existentes. As novas tarefas de restauração podem usar a restauração direta da restauração S3 somente se o armazenamento de snapshots tiver a opção ativada quando você criar a tarefa.
Use diretamente da restauração S3
Depois de ativar o recurso, use o fluxo de trabalho de restauração padrão. O caminho dos dados muda automaticamente.
Iniciar um trabalho de restauração
Considerações operacionais
Desempenho e dimensionamento
Considere as seguintes características de desempenho:
Carga do Ops Manager: as restaurações geram menos carga de rede e CPU nos servidores de aplicação do Ops Manager.
Hosts do agente: a taxa de transferência de restauração depende da CPU, da E/S do disco e da capacidade da rede nos hosts que executam os agentes de backup.
Caminho de rede: a taxa de transferência de restauração depende do caminho de rede do agente de backup para o3 S, não do Ops Manager para o3 S. Para clusters grandes, confirme se o3 endpoint S , o endpointda VPC ou o proxy podem lidar com a simultaneidade esperada.
Segurança e IAM
O Direct from S3 Restore usa o seguinte modelo de permissões:
Permissões do Ops Manager: os servidores do aplicação de backup do Ops Manager exigem3 acesso de leitura S (e acesso de lista quando necessário) aos buckets e prefixos configurados em seus3 armazenamentos de snapshots S. Configure esse acesso por meio da função do IAM ou das chaves de acesso especificadas para essas lojas no Ops Manager.
Permissões do agente de backup: os agentes de backup não têm3 credenciais S. O Ops Manager gera URLs S pré-assinados3 para cada bloco de snapshot, e os agentes baixam blocos diretamente do S3 usando essas URLs.
Menos privilégio: restrinja o role do IAM ou as chaves de acesso que o Ops Manager usa apenas aos buckets e prefixos necessários para backup e restauração.
Imutabilidade: se você usar o S3 Object Lock, direto do S3 Restore lê a partir de objetos imutáveis usando URLs pré-assinadas. O recurso não ignora a retenção ou exclui as proteções.
Armazenamentos de snapshots S3 importados
Se você restaurar a partir de armazenamentos de snapshots S3 importados, como buckets de backup imutáveis, verifique o seguinte:
Você executa o Ops Manager 8.0.19 ou posterior, que inclui suporte de restauração direto do S3 para snapshots importados.
Você configurou o armazenamento de snapshots importado corretamente em Admin, Backup, Snapshot Stores.
As credenciais do S3 configuradas para este armazenamento no Ops Manager têm acesso de leitura ao bucket e prefixo importados.
Os agentes de backup nos hosts de destino têm conectividade de rede com o3 endpoint S. Os agentes usam URLs pré-assinados que o Ops Manager gera e não exigem roles ou chaves adicionais do IAM.