Créer et gérer un coffre de sauvegarde

Présentation

Cette page explique comment créer et gérer un coffre-fort de sauvegarde dans la consoleGoogle Cloud .

Avant de commencer

Pour obtenir les autorisations nécessaires pour créer et gérer un coffre-fort de sauvegarde, demandez à votre administrateur de vous accorder le rôle IAM Administrateur du coffre-fort de sauvegarde et de DR (roles/backupdr.backupvaultAdmin) sur le projet pour lequel vous souhaitez créer un coffre-fort de sauvegarde. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient les autorisations requises pour créer et gérer un coffre-fort de sauvegarde. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer un coffre de sauvegarde

Suivez les instructions ci-dessous pour créer un dépôt de sauvegarde.

resource "google_backup_dr_backup_vault" "default" {
  provider                                   = google-beta
  location                                   = "us-central1"
  backup_vault_id                            = "my-vault"
  description                                = "This vault is created usingTerraform."
  backup_minimum_enforced_retention_duration = "100000s"
  force_update                               = "true"
  force_delete                               = "true"
  allow_missing                              = "true"
}

Répertorier les coffres de sauvegarde d'un projet

Suivez les instructions ci-dessous pour lister les coffres de sauvegarde d'un projet.

Afficher les détails du coffre de sauvegarde

La page d'informations sur le coffre-fort de sauvegarde affiche les informations de configuration et vous permet de mettre à jour les éléments modifiables.

Le champ État de verrouillage de la page d'informations sur le coffre-fort de sauvegarde peut prendre l'une des valeurs suivantes:

• Déverrouillé: aucun verrouillage n'est appliqué ni en attente pour le backup vault.
• Le verrouillage prend effet le datetime: un verrouillage a été défini pour prendre effet sur le coffre de sauvegarde à la date spécifiée.
• Verouillé: la valeur des périodes de conservation minimales appliquées au coffre de sauvegarde est verrouillée pour éviter toute réduction ou suppression.

Suivez les instructions ci-dessous pour afficher les détails du coffre de sauvegarde.

Modifier la période de conservation minimale appliquée à un coffre de sauvegarde existant

Vous pouvez modifier la période de conservation minimale appliquée en fonction de l'état du verrouillage.

• Déverrouillé: vous pouvez augmenter ou réduire la période de conservation minimale appliquée.
• Verrouillée: vous ne pouvez augmenter que la période de conservation minimale appliquée.

Le verrouillage ne peut pas être supprimé si la date d'entrée en vigueur a été atteinte. Toutefois, si la date d'entrée en vigueur n'est pas encore atteinte, vous pouvez supprimer le verrouillage, ce qui effacera la date d'entrée en vigueur spécifiée à l'origine.

Les modifications apportées à la valeur de la période de conservation minimale appliquée ne s'appliquent qu'aux sauvegardes créées après la mise à jour. Les modifications apportées à la valeur de la période de conservation minimale appliquée n'ont aucune incidence sur la période de conservation restante appliquée aux sauvegardes déjà présentes dans le coffre de sauvegarde. Pour éviter que la création de sauvegardes n'échoue, vérifiez que la période de conservation minimale appliquée ne dépasse pas le délai de suppression des sauvegardes défini par les plans de sauvegarde concernés.

Lorsque vous augmentez la période de conservation appliquée pour un coffre de sauvegarde, assurez-vous qu'elle ne dépasse pas la période de conservation du plan de sauvegarde pour toutes les sauvegardes que vous allez stocker dans le coffre de sauvegarde. Si la valeur modifiée est plus longue que la période de conservation des sauvegardes, le service Backup and DR gère ces modifications différemment en fonction du type de plan de sauvegarde.

• Google Cloud  : plans basés sur la console : les modifications apportées à la valeur du vault de sauvegarde sont empêchées.

• Plans basés sur la console de gestion: les modifications de la valeur du coffre de sauvegarde sont autorisées, mais vous devez immédiatement mettre à jour les plans de sauvegarde concernés pour spécifier une durée de conservation égale ou supérieure à la période de conservation minimale appliquée du coffre de sauvegarde mis à jour afin d'éviter que les sauvegardes échouent.

  Les sauvegardes générées lorsque la durée de conservation du plan est inférieure à la période de conservation minimale appliquée du backup vault sont créées avec la période de conservation appliquée définie sur la période de conservation minimale appliquée du backup vault. De plus, l'expiration de la sauvegarde est définie pour se produire une fois la période de conservation appliquée terminée.

Suivez les instructions ci-dessous pour mettre à jour la période de conservation minimale appliquée à un coffre de sauvegarde existant.

Supprimer un coffre de sauvegarde

Les coffres de sauvegarde ne peuvent être supprimés que s'ils ne contiennent pas de sauvegardes. Pour supprimer un coffre-fort de sauvegarde, commencez par supprimer toutes les sauvegardes qu'il contient si elles peuvent être supprimées.

Suivez les instructions ci-dessous pour supprimer un coffre-fort de sauvegarde.

Accorder l'accès à l'agent de service du coffre de sauvegarde et aux appareils de sauvegarde/restauration

Chaque coffre-fort de sauvegarde créé est associé à un agent de service unique. Pour certains types de ressources, l'agent de service est utilisé pour effectuer des actions au nom du service Backup and DR. Il doit donc disposer des autorisations appropriées sur les projets auxquels l'agent de service du coffre de sauvegarde doit accéder. Un agent de service est un compte de service géré par Google. Pour en savoir plus, consultez la page Agents de service.

Pour certains types de ressources, tels que Google Cloud VMware Engine, les bases de données Oracle et les bases de données SQL Server, l'appareil de sauvegarde/restauration Backup and DR doit effectuer des actions sur le coffre de sauvegarde. Dans ce cas, l'appareil de sauvegarde/restauration a besoin des autorisations appropriées sur le coffre de sauvegarde.

Attribuer un rôle à l'agent de service

Une fois que vous avez trouvé l'adresse e-mail de l'agent de service, vous pouvez lui attribuer un rôle, comme vous le feriez pour un autre compte principal.

Pour sauvegarder une instance de VM Compute Engine dans un projet différent de celui dans lequel le coffre de sauvegarde est créé, vous devez accorder le rôle IAM Opérateur Compute Engine de sauvegarde et de reprise après sinistre (roles/backupdr.computeEngineOperator) à l'agent de service du coffre de sauvegarde dans le projet Compute Engine. Toutefois, pour sauvegarder une instance de VM Compute Engine dans le projet où le coffre de sauvegarde est créé, aucun rôle n'est requis.

Pour restaurer une instance Compute Engine, vous devez accorder le rôle IAM Opérateur Compute Engine Backup and DR (roles/backupdr.computeEngineOperator) dans votre projet de restauration à l'agent de service du coffre de sauvegarde.

Suivez les instructions ci-dessous pour attribuer un rôle à l'agent de service.

Attribuer des rôles au compte de service de l'appliance de sauvegarde/restauration

Vous ne pouvez accéder à un coffre de sauvegarde à partir du projet d'appareil de sauvegarde/restauration qu'après avoir attribué au compte de service de l'appareil les rôles IAM Backup and DR Backup Vault Accessor (roles/backupdr.backupvaultAccessor) et Backup and DR Backup Vault Lister (roles/backupdr.backupvaultLister) dans le projet de coffre de sauvegarde. Sans ces rôles, vous ne pouvez pas accéder au coffre de sauvegarde pour terminer la configuration et activer la création de sauvegardes.

Après avoir accordé des rôles au compte de service de l'appliliance de sauvegarde/restauration, vous pouvez sauvegarder et restaurer Google Cloud VMware Engine, les bases de données Oracle et les bases de données SQL Server dans un coffre-fort de sauvegarde à l'aide de la console de gestion.

Suivez les instructions ci-dessous pour attribuer des rôles au compte de service de l'appliance de sauvegarde/restauration:

1. Dans la console Google Cloud , accédez à la page Instances de VM où votre appareil a été créé.

   Accéder à la page "Instances de VM"

2. Cliquez sur l'instance Compute Engine pour laquelle vous souhaitez obtenir le compte de service.

3. Dans la section API et gestion des identités, copiez l'adresse e-mail du compte de service dans le champ Compte de service.

4. Dans la console Google Cloud , accédez aux rôles IAM dans votre projet de coffre-fort de sauvegarde.

   Accéder à IAM

5. Cliquez sur Accorder l'accès.

6. Dans le champ Nouveaux principes, saisissez l'adresse e-mail du compte de service de l'appareil.

7. Dans la liste Sélectionner un rôle, sélectionnez le rôle Accès au coffre de sauvegarde et de DR.

8. Facultatif: Pour vous assurer que votre appareil de sauvegarde/restauration n'a accès qu'à un coffre de sauvegarde spécifique, cliquez sur add Ajouter une condition IAM à côté du rôle Accesseur de coffre de sauvegarde pour Backup and DR.

   1. Dans le champ Titre, saisissez un nom pour la condition.

   2. Cliquez sur l'onglet Éditeur de conditions.

      • Dans le champ Éditeur d'expression CEL, saisissez l'expression suivante.

        resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
        /{name}/") == ("BACKUPVAULT_NAME") || resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
        /{name}") == ("BACKUPVAULT_NAME") || resource.name.extract("operations/{op}") != ""```
        

      Remplacez les éléments suivants :

      • BACKUPVAULT_NAME: nom du coffre-fort de sauvegarde.
      • PROJECT_ID: nom du projet dans lequel le coffre-fort de sauvegarde est créé.

      • LOCATION: emplacement du coffre de sauvegarde.

        Pour ajouter des accès à des espaces de stockage de sauvegarde supplémentaires, ajoutez des instructions "resource.name.startsWith" supplémentaires (avec l'opérateur logique OU "||") si nécessaire.

        Par exemple, l'instruction suivante autorise un vault de sauvegarde nommé "bv-test" et un vault de sauvegarde nommé "user-bv1", tous deux situés dans un projet nommé "testproject" et dans la région "us-central1".

        resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}/") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}/") == ("user-bv1") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}") == ("user-bv1") || resource.name.extract("operations/{op}") != ""```
        

   3. Cliquez sur Enregistrer.

   4. Cliquez sur Ajouter un autre rôle.

   5. Dans la liste Sélectionner un rôle, sélectionnez le rôle Listeur de l'espace de stockage de sauvegarde et de sauvegarde de DR.

9. Cliquez sur Enregistrer.

Étape suivante

• Gérer les sources de données
• Gérer les sauvegardes