直接从 S3 恢复允许备份代理直接从 S3快照存储下载快照数据,而不是通过Ops Manager应用程序服务器流媒体数据。此功能具有以下优点:
减少大型恢复操作期间Ops Manager 的负载
缩短了备份到 S3 的部署的恢复时间
使用预签名 URL,因此备份代理不需要 S3凭证
重要
此功能需要Ops Manager 8.0.19 或更高版本。
支持的使用案例
直接从 S3 恢复支持以下配置:
备份类型:使用 S3快照存储(托管或导入)的连续或计划备份
恢复类型:交付方法为“自动化代理”的快照恢复(恢复到托管部署)
限制
直接从 S3 恢复应用用于以下情况:
手动下载恢复(快照数据的HTTP下载),继续通过Ops Manager流数据
使用文件系统或MongoDB块存储快照存储的备份
在Ops Manager外部运行的临时
mongorestore工作流程
如果其中任何场景对您的环境至关重要,请继续使用这些工作流程的标准恢复路径。
直接从 S3 恢复的工作原理
启用直接从 S3 恢复后:
Ops Manager照常计划恢复。
Ops Manager使用其配置的 S3凭证为每个快照区块生成预签名的 S3 URL。
Ops Manager指示备份代理使用这些预签名 URL 直接从 S3 获取快照数据。
备份代理下载、解压缩快照数据并将其写入磁盘。
备份代理不需要 S3凭证。Ops Manager通过预签名 URL 管理所有 S3身份验证。
注意
直接从 S3 恢复仅适用于快照数据。Oplog 处理遵循现有流程。
先决条件
在启用直接从 S3 恢复之前,请验证是否满足以下要求。
网络和安全
每台执行恢复的备份代理托管必须能够:
解析 S3 或 S3 兼容终结点的 DNS 名称
建立与该终结点的出站 HTTPS 连接
使用Ops Manager生成的 S3 预签名 URL 下载数据
备份代理不需要 S3访问权限密钥或 IAM 角色。Ops Manager使用为快照存储配置的 S3凭证生成预签名 URL。
S3 快照存储兼容性
直接从 S3 恢复适用于:
在Ops Manager中配置的托管 S3快照存储
在Ops Manager 8.0.19 或更高版本上导入的 S3快照存储
直接从 S3 恢复配置
要配置直接从 S3 恢复,请完成以下任务:
启用系统级功能标志。
在 S3快照存储上启用直接从 S3 恢复。
启用系统级功能标志
在 S3 快照存储上启用直接从 S3 恢复
重要
启用此选项不会更改现有恢复作业。只有在创建作业时快照存储启用了该选项,新的恢复作业才能使用直接从 S3 恢复。
使用直接从 S3 恢复
启用该功能后,使用标准恢复工作流程。数据路径会自动更改。
启动恢复作业
操作注意事项
性能和大小调整
请考虑以下性能特征:
Ops Manager负载:恢复在Ops Manager应用程序服务器上产生的网络和 CPU 负载较少。
代理主机:恢复吞吐量取决于运行备份代理的主机上的 CPU、磁盘 I/O 和网络容量。
网络路径:恢复吞吐量取决于从备份代理到 S3 的网络路径,而不是从Ops Manager到 S3 的网络路径。对于大型集群,请确认您的 S3 终结点、VPC 终结点或代理可以处理预期的并发量。
安全和 IAM
直接从 S3 恢复使用以下权限模型:
Ops Manager权限: Ops Manager备份应用程序服务器需要对 S3快照存储上配置的存储桶和前缀具有 S3 读取访问权限(以及需要的列表访问权限)。通过IAM角色或您在Ops Manager中为这些存储指定的访问权限密钥来配置此访问权限。
备份代理权限:备份代理没有 S3凭证。Ops Manager为每个快照区块生成预签名的 S3 URL,代理使用这些 URL 直接从 S3下载块。
最小权限:将Ops Manager使用的 IAM 角色或访问权限密钥限制为仅备份和恢复所需的存储桶和前缀。
不变性:如果使用 S3 对象锁,则直接从 S3 恢复会使用预签名 URL 从不可变对象中读取。该功能不会绕过保留或删除保护。
导入的 S3 快照存储
如果您从导入的 S3快照存储(例如不可变备份桶)恢复,请验证以下内容:
运行Ops Manager 8.0.19 或更高版本,其中包括对导入快照的直接从 S3 恢复支持。
您在 Admin、Backup、Snapshot Stores 下正确配置了导入的快照存储。
在Ops Manager中为该存储配置的 S3凭证具有对导入的存储桶和前缀的读取访问权限。
目标主机上的备份代理具有到 S3 终结点的网络连接。代理使用Ops Manager生成的预签名 URL,不需要额外的 IAM 角色或密钥。