Backup Vault erstellen und verwalten

Überblick

Auf dieser Seite wird erläutert, wie Sie einen Sicherungsspeicher in derGoogle Cloud Console erstellen und verwalten.

Hinweise

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Backup and DR Backup Vault Admin (roles/backupdr.backupvaultAdmin) für das Projekt zuzuweisen, in dem Sie einen Sicherungsspeicher erstellen möchten. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Erstellen und Verwalten eines Sicherungsspeichers erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um einen Sicherungsspeicher zu erstellen und zu verwalten:

  • backupdr.backupVaults.create
  • backupdr.backupVaults.list
  • backupdr.backupVaults.get
  • backupdr.backupVaults.update
  • backupdr.backupVaults.delete

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Backup Vault erstellen

Folgen Sie der Anleitung unten, um einen Sicherungsspeicher zu erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherungsspeicher auf.

    Zu Sicherungsspeichern

  2. Klicken Sie auf Backup Vault erstellen.

  3. Geben Sie auf der Seite Backup Vault erstellen die Informationen zum Backup Vault ein.

    1. Geben Sie im Feld Sicherungsspeicher benennen einen Namen ein, der den Anforderungen für Sicherungsspeichernamen entspricht.
    2. Klicken Sie auf Weiter.
    3. Wählen Sie in der Liste Speicherort für Daten auswählen einen Speicherort aus, an dem die Sicherungsdaten dauerhaft gespeichert werden sollen.
    4. Klicken Sie auf Weiter.
    5. Geben Sie im Feld Löschen von Sicherungen für einen Mindestzeitraum verhindern die erzwungene Mindestaufbewahrungsdauer ein, die festlegt, wie lange Sicherungen vor dem Löschen geschützt sind. Das Mindestalter beträgt 1 Tag und das Höchstalter 99 Jahre.
    6. Wenn Sie den Wert der erzwungenen Mindestaufbewahrungsdauer sperren möchten, klicken Sie das Kästchen Erzwungene Aufbewahrung sperren an, klicken Sie auf das Symbol  und wählen Sie das Datum im Kalender aus.
    7. Wählen Sie im Abschnitt Zugriff auf den Backup Vault definieren eine Option aus, um Zugriffsbeschränkungen für den Backup Vault zu definieren. Wenn Sie keine Option auswählen, wird der Sicherungsspeicher mit der Einschränkung Zugriff auf die aktuelle Organisation einschränken erstellt.

  4. Klicken Sie auf Erstellen.

gcloud

  1. Richten Sie in einer der folgenden Entwicklungsumgebungen die gcloud CLI ein:
  2. Cloud Shell: Aktivieren Sie Cloud Shell, um ein Onlineterminal mit der bereits eingerichteten gcloud CLI zu verwenden. Unten auf dieser Seite wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Das Initialisieren der Sitzung kann einige Sekunden dauern.

  3. Lokale Shell: Zur Verwendung einer lokalen Entwicklungsumgebung müssen Sie die gcloud CLI installieren und initialisieren.

  4. Erstellen Sie einen Back-up Vault.

      gcloud backup-dr backup-vaults create BACKUPVAULT_NAME \
  --project=PROJECT_ID \
  --location=LOCATION \
  --backup-min-enforced-retention=RETENTION_PERIOD_IN_DAYS
  --access-restriction=ACCESS_RESTRICTION

    Ersetzen Sie Folgendes:

    • BACKUPVAULT_NAME: der Name des Sicherungsspeichers.
    • PROJECT_ID: der Name des Projekts, in dem Sie das Sicherungsverzeichnis erstellen möchten.
    • LOCATION: der Speicherort, an dem Sie einen Sicherungsspeicher erstellen möchten.
    • RETENTION_PERIOD_IN_DAYS: Der Zeitraum, in dem jedes Back-up im Sicherungsspeicher nicht gelöscht werden kann. Die Mindestdauer beträgt 1 Tag und die maximale Dauer 99 Jahre. 2w1d entspricht beispielsweise zwei Wochen und einem Tag. Weitere Informationen finden Sie unter Erzwungene Mindestaufbewahrungsdauer für Backup Vaults.
    • ACCESS_RESTRICTION: Zugriffsbeschränkungen für den Sicherungsspeicher angeben. Zulässige Werte sind within-project, within-org, unrestricted und within-org-but-unrestricted-for-ba. Wenn Sie keinen Wert angeben, wird der Sicherungsspeicher mit der Einschränkung within-org erstellt.

  5. Prüfen Sie den Status des Vorgangs.

      gcloud backup-dr operations describe FULL_OPERATION_ID

    Ersetzen Sie Folgendes:

    • FULL_OPERATION_ID die Vorgangs-ID, die für den Sicherungsspeicher angezeigt wird. Sie hat folgendes Format: projects/test-project/locations/us-central1/operations/operationID

    Die Ausgabe sieht so aus:

    
    Create in progress for backup vault [projects/test-project/locations/us-central1/operations/operation-1721893921568-41e0dab8938a1-f1dc6ad2-3051b3ce]. Run the [gcloud backup-dr operations describe] command to check the status of this operation.

Terraform

Sie können eine Terraform-Ressource zum Erstellen eines Sicherungsspeichers verwenden.


resource "google_backup_dr_backup_vault" "default" {
  provider                                   = google-beta
  location                                   = "us-central1"
  backup_vault_id                            = "my-vault"
  description                                = "This vault is created usingTerraform."
  backup_minimum_enforced_retention_duration = "100000s"
  force_update                               = "true"
  force_delete                               = "true"
  allow_missing                              = "true"
}

Sicherungsspeicher in einem Projekt auflisten

Anhand der folgenden Anleitung können Sie Backup Vaults in einem Projekt auflisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherungsspeicher auf.

    Zu Sicherungsspeichern

    Back-up-Tresore, die Teil des ausgewählten Projekts sind, werden in der Liste angezeigt.

gcloud

  1. Listen Sie die Sicherungsspeicher auf.

      gcloud backup-dr backup-vaults list \
  --project=PROJECT_ID \
  --location=LOCATION

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Name des Projekts, in dem die Sicherungsspeicher erstellt werden.
    • LOCATION: der Speicherort, an dem die Sicherungsspeicher erstellt werden.

Details zum Backup Vault ansehen

Auf der Seite mit den Details zum Sicherungsspeicher werden die Konfigurationsinformationen angezeigt und Sie können die bearbeitbaren Elemente aktualisieren.

Das Feld Sperrbildschirmstatus auf der Seite mit den Details zum Sicherungsspeicher kann einen der folgenden Werte haben:

  • Entriegelt: Für den Sicherungsspeicher ist keine Sperre angewendet und keine Sperrung ausstehend.
  • Sperre tritt am {datetime} in Kraft: Eine Sperre wurde festgelegt, die am angegebenen Datum für den Sicherungsspeicher in Kraft tritt.
  • Gesperrt: Der Wert der erzwungenen Mindestaufbewahrungsdauern des Sicherungsspeichers kann nicht reduziert oder entfernt werden.

Folgen Sie der Anleitung unten, um Details zum Sicherungsspeicher aufzurufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherungsspeicher auf.

    Zu Sicherungsspeichern

    Auf dieser Seite sind die Sicherungsspeicher aufgeführt, die Teil des ausgewählten Projekts sind.

  2. Klicken Sie auf das Sicherungsverzeichnis, das Sie aufrufen möchten.

    Auf der Seite mit den Details zum Sicherungsspeicher werden die Konfigurationsinformationen angezeigt, einschließlich des Werts für die erzwungene Mindestaufbewahrung und des Sperrstatus.

gcloud

  1. Rufen Sie die Details zum Back-up Vault auf.

      gcloud backup-dr backup-vaults describe BACKUPVAULT_NAME \
  --location=LOCATION \
  --project=PROJECT_ID

    Ersetzen Sie Folgendes:

    • BACKUPVAULT_NAME: der Name des Sicherungsspeichers.
    • LOCATION: den Speicherort des Sicherungsspeichers.
    • PROJECT_ID: der Name des Projekts, in dem das Sicherungsverzeichnis erstellt wird.

Erzwungene Mindestaufbewahrungsdauer für einen vorhandenen Sicherungsspeicher aktualisieren

Sie können die erzwungene Mindestaufbewahrungsdauer entsprechend dem Status der Sperre aktualisieren.

  • Entriegelt: Sie können die erzwungene Mindestaufbewahrungsdauer erhöhen oder verringern.
  • Gesperrt: Sie können nur die erzwungene Mindestaufbewahrung erhöhen.

Die Sperre kann nicht aufgehoben werden, wenn das Datum des Inkrafttretens erreicht wurde. Wenn das Datum des Inkrafttretens jedoch noch nicht erreicht ist, können Sie die Sperre entfernen. Dadurch wird das ursprünglich angegebene Datum des Inkrafttretens gelöscht.

Änderungen am Wert der erzwungenen Mindestaufbewahrung gelten nur für Sicherungen, die nach der Aktualisierung erstellt wurden. Änderungen am Wert der erzwungenen Mindestaufbewahrungsdauer wirken sich nicht auf die verbleibende erzwungene Aufbewahrungsdauer für Sicherungen aus, die sich bereits im Backup Vault befinden. Damit die Erstellung von Sicherungen nicht fehlschlägt, darf die erzwungene Mindestaufbewahrung nicht länger sein als der Zeitplan zum Löschen von Sicherungen, der in den zugehörigen Sicherungsplänen definiert ist.

Wenn Sie die erzwungene Aufbewahrungsdauer für einen Sicherungsspeicher erhöhen, darf die erzwungene Aufbewahrungsdauer des Sicherungsspeichers nicht länger sein als die Aufbewahrungsdauer im Sicherungsplan für alle Sicherungen, die Sie im Sicherungsspeicher speichern. Wenn der geänderte Wert länger als die Aufbewahrungsdauer der Sicherung ist, werden diese Änderungen vom Sicherungs- und Notfallwiederherstellungsdienst je nach Sicherungsplantyp unterschiedlich behandelt.

  • Google Cloud konsolebasierte Pläne: Änderungen am Wert des Sicherungsspeichers werden verhindert.

  • In der Verwaltungskonsole erstellte Pläne: Änderungen am Wert für den Sicherungsspeicher sind zulässig. Sie sollten jedoch sofort die entsprechenden Sicherungspläne aktualisieren, um eine Aufbewahrungsdauer anzugeben, die der erzwungenen Mindestaufbewahrung des aktualisierten Sicherungsspeichers entspricht oder länger ist, um Fehlschläge bei Sicherungen zu vermeiden.

    Sicherungen, die generiert werden, während die Aufbewahrungsdauer des Plans kürzer als die erzwungene Mindestaufbewahrung des Sicherungsspeichers ist, werden mit der erzwungenen Aufbewahrungsdauer erstellt, die der erzwungenen Mindestaufbewahrung des Sicherungsspeichers entspricht. Außerdem ist das Ablaufdatum der Sicherung so festgelegt, dass es erst nach Ablauf der erzwungenen Aufbewahrungsdauer eintritt.

Folgen Sie dieser Anleitung, um die erzwungene Mindestaufbewahrungsdauer für einen vorhandenen Sicherungsspeicher zu aktualisieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherungsspeicher auf.

    Zu Sicherungsspeichern

  2. Klicken Sie in der Liste der Sicherungsspeicher auf den Namen des Sicherungsspeichers, den Sie aktualisieren möchten.

  3. Klicken Sie auf das Symbol .

  4. Geben Sie im Dialogfeld Erzwungene Mindestaufbewahrung bearbeiten den Wert für Neue erzwungene Mindestaufbewahrungsdauer ein. Während dieses Zeitraums können Sicherungen im Sicherungsspeicher nicht gelöscht werden. Das Mindestalter beträgt 1 Tag und das Höchstalter 99 Jahre.

  5. Wenn Sie die erzwungene Mindestaufbewahrung sperren möchten, klicken Sie das Kästchen Erzwungene Mindestaufbewahrung sperren an und wählen Sie dann das Sperrdatum im Kalender aus.

  6. Klicken Sie auf Speichern.

gcloud

  1. Aktualisieren Sie die erzwungene Mindestaufbewahrungsdauer für einen vorhandenen Sicherungsspeicher.

      gcloud backup-dr backup-vaults update BACKUPVAULT_NAME\
  --project=PROJECT_ID \
  --location=LOCATION \
  --backup-min-enforced-retention=RETENTION_PERIOD_IN_DAYS

    Ersetzen Sie Folgendes:

    • BACKUPVAULT_NAME: der Name des Sicherungsspeichers.
    • PROJECT_ID: Der Name des Projekts, in dem das Sicherungsverzeichnis erstellt wird.
    • LOCATION: den Speicherort des Sicherungsspeichers.
    • RETENTION_PERIOD_IN_DAYS: Der Zeitraum, in dem jedes Back-up im Sicherungsspeicher nicht gelöscht werden kann. Das Minimum ist 1 Tag und das Maximum 99 Jahre.

Sicherungsspeicher löschen

Sicherungsspeicher können nur gelöscht werden, wenn sie keine Sicherungen enthalten. Wenn Sie einen Sicherungsspeicher löschen möchten, müssen Sie zuerst alle darin enthaltenen Sicherungen löschen, sofern sie gelöscht werden können.

So löschen Sie einen Sicherungsspeicher:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherungsspeicher auf.

    Zu Sicherungsspeichern

  2. Klicken Sie auf das Sicherungsverzeichnis, das Sie löschen möchten.

  3. Klicken Sie auf Löschen.

  4. Bestätigen Sie im eingeblendeten Fenster, dass Sie den Sicherungsspeicher und seinen Inhalt löschen möchten.

  5. Klicken Sie auf Löschen.

gcloud

  1. Löschen Sie einen Sicherungsspeicher.

      gcloud backup-dr backup-vaults delete BACKUPVAULT_NAME \
  --project=PROJECT_ID \
  --location=LOCATION

    Ersetzen Sie Folgendes:

    • BACKUPVAULT_NAME: der Name des Sicherungsspeichers.
    • PROJECT_ID: der Name des Projekts, in dem das Sicherungsverzeichnis erstellt wird.
    • LOCATION: den Speicherort des Sicherungsspeichers.

Zugriff auf den Backup Vault-Dienst-Agent und auf Sicherungs-/Wiederherstellungs-Appliances gewähren

Mit jedem erstellten Sicherungsspeicher ist ein eindeutiger Dienst-Agent verknüpft. Bei einigen Ressourcentypen wird der Dienst-Agent verwendet, um Aktionen im Namen des Sicherungs- und Notfallwiederherstellungsdiensts auszuführen. Daher müssen ihm entsprechende Berechtigungen für die Projekte gewährt werden, auf die der Backup Vault-Dienst-Agent zugreifen muss. Ein Dienst-Agent ist ein von Google verwaltetes Dienstkonto. Weitere Informationen finden Sie unter Dienst-Agents.

Bei einigen Ressourcentypen wie Google Cloud VMware Engine, Oracle-Datenbanken und SQL Server-Datenbanken muss die Sicherungs-/Wiederherstellungs-Appliance für Sicherung und Notfallwiederherstellung Aktionen auf dem Sicherungsspeicher ausführen. In diesen Fällen benötigt die Sicherungs-/Wiederherstellungs-Appliance entsprechende Berechtigungen für den Sicherungsspeicher.

Dem Dienst-Agent eine Rolle zuweisen

Wenn Sie die E-Mail-Adresse des Dienst-Agents gefunden haben, können Sie ihm eine Rolle zuweisen, wie Sie sie auch einem anderen Hauptkonto zuweisen würden.

Wenn Sie eine Compute Engine-VM-Instanz in einem anderen Projekt sichern möchten, als in dem der Sicherungsspeicher erstellt wurde, müssen Sie dem Dienst-Agent des Sicherungsspeichers im Compute Engine-Projekt die IAM-Rolle „Backup and DR Compute Engine Operator“ (roles/backupdr.computeEngineOperator) gewähren. Wenn Sie jedoch eine Compute Engine-VM-Instanz in dem Projekt sichern möchten, in dem der Sicherungsspeicher erstellt wurde, müssen keine Rollen gewährt werden.

Wenn Sie eine Compute Engine-Instanz wiederherstellen möchten, müssen Sie dem Backup Vault-Dienst-Agent die IAM-Rolle „Backup and DR Compute Engine Operator“ (roles/backupdr.computeEngineOperator) in Ihrem Wiederherstellungsprojekt zuweisen.

Mit der folgenden Anleitung können Sie dem Kundenservicemitarbeiter eine Rolle zuweisen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherungsspeicher auf.

    Zu Sicherungsspeichern

  2. Klicken Sie auf den Namen des Sicherungsspeichers und kopieren Sie die E-Mail-Adresse des Dienst-Agents.

  3. Öffnen Sie in der Google Cloud Console die Seite IAM.

    IAM aufrufen

  4. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Dienst-Agents ein.

  5. Wählen Sie in der Liste Rolle auswählen die entsprechende Rolle basierend auf dem Ressourcentyp aus. Wenn Sie beispielsweise eine Compute Engine-Instanz in einem anderen Projekt sichern möchten, als in dem der Sicherungsspeicher erstellt wurde, wählen Sie die IAM-Rolle „Backup and DR Compute Engine Operator“ (roles/backupdr.computeEngineOperator) aus.

  6. Klicken Sie auf Speichern.

gcloud

  1. Weisen Sie dem Dienst-Agent Rollen zu.

      gcloud projects add-iam-policy-binding PROJECT_ID \
  --member='serviceAccount:SERVICE_ACCOUNT \
  --role=ROLE

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Name des Projekts.
    • SERVICE_ACCOUNT: die E-Mail-Adresse des Service-Agents für den Sicherungsspeicher. Beispiel: my-service-account@my-project.iam.gserviceaccount.com
    • ROLE: Die Rolle, die für das Ressourcenprojekt gewährt werden muss. Wenn Sie beispielsweise eine Compute Engine-Instanz in einem anderen Projekt sichern möchten, als in dem der Sicherungsspeicher erstellt wurde, wählen Sie die IAM-Rolle „Backup and DR Compute Engine Operator“ (roles/backupdr.computeEngineOperator) aus.

Dem Dienstkonto der Sicherungs-/Wiederherstellungs-Appliance Rollen zuweisen

Sie können erst dann über das Projekt der Sicherungs-/Wiederherstellungs-Appliance auf einen Backup Vault zugreifen, wenn dem Dienstkonto der Appliance die IAM-Rollen „Backup and DR Backup Vault Accessor“ (roles/backupdr.backupvaultAccessor) und „Backup and DR Backup Vault Lister“ (roles/backupdr.backupvaultLister) im Backup Vault-Projekt gewährt wurden. Ohne diese Rollen können Sie nicht auf den Sicherungsspeicher zugreifen, um die Einrichtung abzuschließen und die Erstellung von Sicherungen zu aktivieren.

Nachdem Sie dem Dienstkonto der Sicherungs-/Wiederherstellungs-Appliance Rollen zugewiesen haben, können Sie Google Cloud VMware Engine-, Oracle- und SQL Server-Datenbanken mithilfe der Verwaltungskonsole in einem Sicherungsspeicher sichern und wiederherstellen.

So weisen Sie dem Dienstkonto der Sicherungs-/Wiederherstellungs-Appliance Rollen zu:

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf, auf der Ihr Gerät erstellt wurde.

    Zur Seite „VM-Instanzen"

  2. Klicken Sie auf die Compute Engine-Instanz, für die Sie das Dienstkonto abrufen möchten.

  3. Kopieren Sie im Abschnitt API und Identitätsverwaltung die E-Mail-Adresse des Dienstkontos aus dem Feld Dienstkonto.

  4. Rufen Sie in der Google Cloud Console die IAM-Rollen in Ihrem Sicherungsspeicherprojekt auf.

    IAM aufrufen

  5. Klicken Sie auf Zugriff erlauben.

  6. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Dienstkontos des Geräts ein.

  7. Wählen Sie in der Liste Rolle auswählen die Rolle Backup and DR Backup Vault Accessor aus.

  8. Optional: Damit Ihre Sicherungs-/Wiederherstellungs-Appliance nur auf einen bestimmten Sicherungsspeicher zugreifen kann, klicken Sie neben der Rolle Backup and DR Backup Vault Accessor auf  IAM-Bedingung hinzufügen.

    1. Geben Sie im Feld Titel einen Namen für die Bedingung ein.

    2. Klicken Sie auf den Tab Bedingungseditor.

      • Geben Sie im Feld Expression CEL editor (CEL-Ausdruckseditor) den folgenden Ausdruck ein.

        resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
/{name}/") == ("BACKUPVAULT_NAME") || resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
/{name}") == ("BACKUPVAULT_NAME") || resource.name.extract("operations/{op}") != ""```

      Ersetzen Sie Folgendes:

      • BACKUPVAULT_NAME: der Name des Sicherungsspeichers.
      • PROJECT_ID: der Name des Projekts, in dem das Sicherungsverzeichnis erstellt wird.

      • LOCATION: den Speicherort des Sicherungsspeichers.

        Wenn Sie den Zugriff für zusätzliche Sicherungsspeicher hinzufügen möchten, fügen Sie nach Bedarf zusätzliche „resource.name.startsWith“-Anweisungen (mit dem logischen OR-Operator „||“) an.

        Mit der folgenden Anweisung werden beispielsweise ein Sicherungsspeicher namens „bv-test“ und ein Sicherungsspeicher namens „user-bv1“ autorisiert, die sich beide in einem Projekt namens „testproject“ und in der Region „us-central1“ befinden.

        resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}/") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}/") == ("user-bv1") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}") == ("user-bv1") || resource.name.extract("operations/{op}") != ""```

    3. Klicken Sie auf Speichern.

    4. Klicken Sie auf Weitere Rolle hinzufügen.

    5. Wählen Sie in der Liste Rolle auswählen die Rolle Backup and DR Backup Vault Lister aus.

  9. Klicken Sie auf Speichern.

Nächste Schritte