Crea y administra una backup vault

Descripción general

En esta página, se explica cómo crear y administrar una bóveda de copia de seguridad en la consola deGoogle Cloud .

Antes de comenzar

Para obtener los permisos que necesitas para crear y administrar una bóveda de copia de seguridad, pídele a tu administrador que te otorgue el rol de IAM de Administrador de bóvedas de copia de seguridad y DR (roles/backupdr.backupvaultAdmin) en el proyecto en el que deseas crear una bóveda de copia de seguridad. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para crear y administrar una bóveda de copia de seguridad. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Crear backup vault

Usa las siguientes instrucciones para crear una bóveda de copia de seguridad.

resource "google_backup_dr_backup_vault" "default" {
  provider                                   = google-beta
  location                                   = "us-central1"
  backup_vault_id                            = "my-vault"
  description                                = "This vault is created usingTerraform."
  backup_minimum_enforced_retention_duration = "100000s"
  force_update                               = "true"
  force_delete                               = "true"
  allow_missing                              = "true"
}

Enumera las bóvedas de copia de seguridad de un proyecto

Usa las siguientes instrucciones para enumerar las bóvedas de copia de seguridad en un proyecto.

Ver detalles de la backup vault

En la página de detalles de la bóveda de copia de seguridad, se muestra la información de configuración y te permite actualizar los elementos editables.

El campo Estado de bloqueo en la página de detalles de la bóveda de copia de seguridad puede tener uno de los siguientes valores:

• Desbloqueado: No se aplicó ni está pendiente un bloqueo para la bóveda de copia de seguridad.
• El bloqueo se aplica el datetime: Se configuró un bloqueo para que se aplique en la vault de copia de seguridad en la fecha especificada.
• Bloqueado: El valor de los períodos de retención mínimos obligatorios de la bóveda de copias de seguridad está bloqueado para evitar su reducción o eliminación.

Usa las siguientes instrucciones para ver los detalles de la bóveda de copia de seguridad.

Actualiza el período de retención mínimo aplicado en una backup vault existente

Puedes actualizar el período de retención mínimo aplicado según el estado del bloqueo.

• Desbloqueado: Puedes aumentar o disminuir el período de retención mínimo obligatorio.
• Bloqueada: Solo puedes aumentar el período de retención mínima aplicada.

No se puede quitar el bloqueo si ya se alcanzó la fecha de entrada en vigencia. Sin embargo, si aún no se alcanza la fecha de entrada en vigencia, puedes quitar el bloqueo, lo que borrará la fecha de entrada en vigencia especificada originalmente.

Los cambios en el valor del período de retención mínima aplicada solo se aplican a las copias de seguridad creadas después de la actualización. Los cambios en el valor del período de retención mínimo aplicado no afectan la retención obligatoria restante para las copias de seguridad que ya existen en la backup vault. Para garantizar que la creación de copias de seguridad no falle, asegúrate de que la retención mínima obligatoria no supere el cronograma de eliminación de copias de seguridad que definen los planes de copias de seguridad asociados.

Cuando aumentes el período de retención aplicado de una backup vault, asegúrate de que no supere el período de retención del plan de copias de seguridad para las copias de seguridad que almacenarás en la backup vault. Si el valor modificado es más largo que el período de retención de las copias de seguridad, el servicio de copia de seguridad y DR controla estos cambios de manera diferente según el tipo de plan de copia de seguridad.

• Planes basados en la consola deGoogle Cloud : Se evitan los cambios en el valor de la bóveda de copias de seguridad.

• Planes basados en la Consola de administración: Se permiten cambios en el valor de la bóveda de copia de seguridad, pero debes actualizar de inmediato los planes de copia de seguridad relevantes para especificar una retención igual o superior al período de retención mínima obligatoria de la bóveda de copia de seguridad actualizada para evitar que las copias de seguridad fallen.

  Las copias de seguridad que se generan mientras la retención del plan es más corta que la retención mínima obligatoria de la bóveda de copia de seguridad se crean con el período de retención obligatoria establecido en la retención mínima obligatoria de la bóveda de copia de seguridad. Además, el vencimiento de la copia de seguridad se establece para que ocurra después de que se cumpla el período de retención forzosa.

Usa las siguientes instrucciones para actualizar el período de retención mínima aplicada en una bóveda de copia de seguridad existente.

Borra una bóveda de copia de seguridad

Las bóvedas de copia de seguridad solo se pueden borrar si no contienen copias de seguridad. Para borrar un almacén de copias de seguridad, primero borra todas las copias de seguridad que contenga si son aptas para borrarse.

Usa las siguientes instrucciones para borrar una bóveda de copia de seguridad.

Otorga acceso al agente de servicio de backup vault y a los dispositivos de copia de seguridad o recuperación

Cada bóveda de copia de seguridad creada tiene un agente de servicio único vinculado a ella. En el caso de algunos tipos de recursos, el agente de servicio se aprovecha para realizar acciones en nombre del servicio de Backup and DR y, por lo tanto, se deben otorgar los permisos adecuados en los proyectos a los que el agente de servicio de Backup Vault debe acceder. Un agente de servicio es una cuenta de servicio administrada por Google. Para obtener más información, consulta Agentes de servicio.

Para algunos tipos de recursos, como Google Cloud VMware Engine, bases de datos de Oracle y bases de datos de SQL Server, el dispositivo de copia de seguridad y recuperación de Backup and DR debe realizar acciones en la bóveda de copia de seguridad. En esos casos, el dispositivo de copia de seguridad o recuperación necesita los permisos adecuados en la bóveda de copia de seguridad.

Otorga un rol al agente de servicio

Después de encontrar la dirección de correo electrónico del agente de servicio, puedes otorgarle un rol al agente de servicio de la bóveda de copia de seguridad, al igual que lo harías con cualquier otra principal.

Para crear una copia de seguridad de una instancia de VM de Compute Engine en un proyecto diferente del que se creó la vault de copia de seguridad, debes otorgar el rol de IAM de operador de Compute Engine de Backup & DR (roles/backupdr.computeEngineOperator) al agente de servicio de la vault de copia de seguridad dentro del proyecto de Compute Engine. Sin embargo, para crear una copia de seguridad de una instancia de VM de Compute Engine en el mismo proyecto en el que se crea la bóveda de copia de seguridad, no es necesario otorgar roles.

Para restablecer una instancia de Compute Engine, debes otorgar el rol de IAM de operador de Compute Engine de Backup and DR (roles/backupdr.computeEngineOperator) en tu proyecto de restablecimiento al agente de servicio de la bóveda de copia de seguridad.

Usa las siguientes instrucciones para otorgar un rol al agente de servicio.

Otorga roles a la cuenta de servicio del dispositivo de copia de seguridad o recuperación

Puedes acceder a una backup vault desde el proyecto del dispositivo de copia de seguridad o recuperación solo después de que se le otorgue a la cuenta de servicio del dispositivo los roles de IAM de Acceso a la backup vault de Backup and DR (roles/backupdr.backupvaultAccessor) y de Lista de backup vault de Backup and DR (roles/backupdr.backupvaultLister) en el proyecto de la backup vault. Sin estos roles, no puedes acceder a la bóveda de copia de seguridad para completar la configuración y habilitar la creación de copias de seguridad.

Después de otorgar roles a la cuenta de servicio del dispositivo de copia de seguridad o recuperación, puedes crear copias de seguridad de las bases de datos de Google Cloud VMware Engine, Oracle y SQL Server, y restablecerlas en una bóveda de copia de seguridad con la consola de administración.

Usa las siguientes instrucciones para otorgar roles a la cuenta de servicio del dispositivo de copia de seguridad o recuperación:

1. En la consola de Google Cloud , ve a la página Instancias de VM en la que se creó tu dispositivo.

   Ir a la página Instancias de VM

2. Haz clic en la instancia de Compute Engine para la que deseas obtener la cuenta de servicio.

3. En la sección Administración de identidades y APIs, copia la dirección de correo electrónico de la cuenta de servicio del campo Cuenta de servicio.

4. En la consola de Google Cloud , ve a los roles de IAM en tu proyecto de bóveda de copia de seguridad.

   Ir a IAM

5. Haz clic en Otorgar acceso.

6. En el campo Nuevos principales, ingresa la dirección de correo electrónico de la cuenta de servicio del dispositivo.

7. En la lista Seleccionar un rol, selecciona el rol Accesor de la bóveda de copias de seguridad de Backup y DR.

8. Opcional: Para asegurarte de que tu dispositivo de copia de seguridad o recuperación solo tenga acceso a una vault de copia de seguridad específica, haz clic en add Agregar condición de IAM junto al rol Descriptor de acceso a backup vault para Backup and DR.

   1. En el campo Título, ingresa un nombre para la condición.

   2. Haz clic en la pestaña Editor de condiciones.

      • En el campo Editor de expresiones CEL, ingresa la siguiente expresión.

        resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
        /{name}/") == ("BACKUPVAULT_NAME") || resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
        /{name}") == ("BACKUPVAULT_NAME") || resource.name.extract("operations/{op}") != ""```
        

      Reemplaza lo siguiente:

      • BACKUPVAULT_NAME: Es el nombre de la bóveda de copia de seguridad.
      • PROJECT_ID: Es el nombre del proyecto en el que se crea la bóveda de copia de seguridad.

      • LOCATION: Es la ubicación de la bóveda de copia de seguridad.

        Para agregar acceso a bóvedas de copia de seguridad adicionales, agrega sentencias "resource.name.startsWith" adicionales (con el operador lógico "||" O) según sea necesario.

        Por ejemplo, la siguiente sentencia autoriza una bóveda de copia de seguridad llamada “bv-test” y una bóveda de copia de seguridad llamada “user-bv1”, ambas ubicadas en un proyecto llamado “testproject” y en la región “us-central1”.

        resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}/") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}/") == ("user-bv1") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}") == ("user-bv1") || resource.name.extract("operations/{op}") != ""```
        

   3. Haz clic en Guardar.

   4. Haz clic en Agregar otra función.

   5. En la lista Seleccionar un rol, selecciona el rol de Listador de bóvedas de copia de seguridad de Backup and DR.

9. Haz clic en Guardar.

¿Qué sigue?

• Administra fuentes de datos
• Administrar copias de seguridad