使用静态加密从快照中恢复
Atlas 允许您使用客户密钥管理的静态加密从集群的快照中恢复数据。
恢复注意事项
除了先决条件之外,在使用客户密钥管理进行静态加密进行恢复时,还要考虑以下要求和限制。
如果源快照上的
DefaultRWConcern值与目标集群上的DefaultRWConcern值不同,Atlas 会使用目标集群上的值覆盖源快照上的值。 如果目标集群上没有为DefaultRWConcern配置值,Atlas 会保留快照中DefaultRWConcern的值,而无需显式配置。 这可能与该 MongoDB 版本的默认值不同。
此功能仅适用于
M10+专用集群。Atlas 只能恢复到与源集群使用相同加密提供商的集群。从未使用客户密钥管理进行静态加密的集群获取的快照无法恢复到具有静态加密的集群或 Cloud Manager 项目。
当您使用静态加密从不同项目对 Atlas 集群运行自动恢复时,两个集群的 AWS KMS密钥值可以不同,但它们必须在同一区域中创建。
如果目标项目没有启用静态加密的集群,您可以部署启用静态加密的集群,或在现有集群中启用静态加密。
使用 AWS KMS 的集群通过客户的 CMK 加密其 PIT 恢复 oplog 数据。当前 CMK 必须对加密的 oplog 数据有效,才能从快照执行恢复。
Atlas 在恢复之前会删除目标集群上的所有现有数据。根据正在进行的恢复类型,目标集群在恢复期间可能无法使用。
常规优化
要优化性能并减少恢复所需的时间,请在适用的情况下遵循以下原则:
选择非全局或多云的目标集群。
仅在该集群的每个区域都有您计划恢复的快照副本时,选择多区域集群。
选择与快照属于同一 Atlas 项目和同一云提供商区域的目标集群。
选择与源集群使用的原始卷的存储容量相同的集群层。
如果目标集群使用配置的 IOPS 在 AWS 上运行,请选择配置的 IOPS 使其处于配置范围内。
选择未配置为使用 NVMe 存储的集群。NVMe 存储会降低恢复性能。
必需的访问权限
您必须具有包含源集群和目标集群的 Atlas 项目的Project Owner角色,才能将数据从一个 Atlas 集群恢复到另一个集群。
步骤
要使用静态加密从快照中恢复,请执行以下操作:
在 AtlasClusters 中,转到项目的 页面。
如果尚未显示,请选择包含所需项目的组织导航栏中的Organizations菜单。
如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。
如果 Clusters(数据库部署)页面尚未出现,请单击侧边栏中的 Database(数据库)。
此时会显示“集群”页面。
转到集群的Backup 页面。
单击集群的名称。
单击 Backup 标签页。
如果集群没有Backup标签页,则禁用该集群的 Atlas 备份,并且没有可用的快照。您可以在扩展集群时启用备份。
显示“备份”页面。
选择目标 AtlasProject 。
从Restore对话框中,选择要恢复到的目标 Atlas Project 。您可以恢复到经过身份验证的 Atlas 用户具有Project Owner角色的任何 Atlas 项目。
静态加密故障排除
如果 Atlas 快照或目标集群的加密存在问题,则会显示以下错误之一:
错误 | 结果 |
|---|---|
无法将未加密的快照恢复到启用了静态加密的集群。 | 快照无法恢复到 Atlas。 |
目标集群未启用加密。 | 您可以部署具有静态加密功能的新目标集群,也可以在所需目标集群上启用静态加密。 |
目标集群的加密提供程序与所选快照的加密提供程序不匹配。 | 快照和目标集群的加密提供程序不匹配。您可以执行以下任一操作:
|
快照上的加密档案不存在。 | Atlas 无法恢复加密密钥已被删除的快照。 |