Membuat dan mengelola vault cadangan

Ringkasan

Halaman ini menjelaskan cara membuat dan mengelola vault cadangan di konsolGoogle Cloud .

Sebelum memulai

Untuk mendapatkan izin yang diperlukan guna membuat dan mengelola vault cadangan, minta administrator untuk memberi Anda peran IAM Backup and DR Backup Vault Admin (roles/backupdr.backupvaultAdmin) di project tempat Anda ingin membuat vault cadangan. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk membuat dan mengelola vault cadangan. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk membuat dan mengelola vault cadangan:

  • backupdr.backupVaults.create
  • backupdr.backupVaults.list
  • backupdr.backupVaults.get
  • backupdr.backupVaults.update
  • backupdr.backupVaults.delete

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Membuat vault cadangan

Gunakan petunjuk berikut untuk membuat vault cadangan.

Konsol

  1. Di konsol Google Cloud , buka halaman Backup vault.

    Buka Repositori cadangan

  2. Klik Buat vault cadangan.

  3. Di halaman Buat vault cadangan, masukkan informasi vault cadangan Anda.

    1. Di kolom Beri nama vault cadangan Anda, masukkan nama yang memenuhi persyaratan nama vault cadangan.
    2. Klik Lanjutkan.
    3. Dari daftar Pilih tempat untuk menyimpan data, pilih Lokasi tempat data cadangan akan disimpan secara permanen.
    4. Klik Lanjutkan.
    5. Di kolom Cegah penghapusan cadangan, masukkan periode retensi minimum yang diterapkan yang menentukan berapa lama cadangan dilindungi dari penghapusan. Minimumnya adalah 1 hari dan maksimumnya adalah 99 tahun.
    6. Jika Anda ingin mengunci nilai periode retensi minimum yang diterapkan, centang kotak Lock the enforced retention, klik ikon , lalu pilih tanggal dari kalender.
    7. Di bagian Tentukan akses ke vault cadangan Anda, pilih opsi untuk menentukan pembatasan akses untuk vault cadangan. Jika Anda tidak memilih opsi, vault cadangan akan dibuat dengan batasan Batasi akses ke organisasi saat ini.

  4. Klik Create.

gcloud

  1. Di salah satu lingkungan pengembangan berikut, siapkan gcloud CLI :
  2. Cloud Shell: untuk menggunakan terminal online dengan gcloud CLI yang sudah disiapkan, aktifkan Cloud Shell. Di bagian bawah halaman ini, sesi Cloud Shell akan dimulai dan menampilkan perintah command line. Diperlukan waktu beberapa detik untuk melakukan inisialisasi sesi.

  3. Shell lokal: untuk menggunakan lingkungan pengembangan lokal, instal dan lakukan inisialisasi gcloud CLI.

  4. Buat vault cadangan.

      gcloud backup-dr backup-vaults create BACKUPVAULT_NAME \
  --project=PROJECT_ID \
  --location=LOCATION \
  --backup-min-enforced-retention=RETENTION_PERIOD_IN_DAYS
  --access-restriction=ACCESS_RESTRICTION

    Ganti kode berikut:

    • BACKUPVAULT_NAME: nama vault cadangan.
    • PROJECT_ID: nama project tempat Anda ingin membuat vault cadangan.
    • LOCATION: lokasi tempat Anda ingin membuat vault cadangan.
    • RETENTION_PERIOD_IN_DAYS: jangka waktu setiap cadangan di vault cadangan tidak dapat dihapus. Minimumnya adalah 1 hari dan maksimumnya adalah 99 tahun. Misalnya, 2w1d adalah dua minggu dan satu hari. Untuk mengetahui informasi selengkapnya, lihat Periode retensi minimum yang diterapkan untuk vault cadangan.
    • ACCESS_RESTRICTION: menentukan batasan akses untuk vault cadangan. Nilai yang diizinkan adalah within-project, within-org, unrestricted, dan within-org-but-unrestricted-for-ba. Jika Anda tidak menentukan nilai, vault cadangan akan dibuat dengan batasan within-org.

  5. Periksa status operasi.

      gcloud backup-dr operations describe FULL_OPERATION_ID

    Ganti kode berikut:

    • FULL_OPERATION_ID ID operasi yang ditampilkan untuk vault cadangan. Formatnya adalah sebagai berikut projects/test-project/locations/us-central1/operations/operationID

    Output ditampilkan sebagai berikut:

    
    Create in progress for backup vault [projects/test-project/locations/us-central1/operations/operation-1721893921568-41e0dab8938a1-f1dc6ad2-3051b3ce]. Run the [gcloud backup-dr operations describe] command to check the status of this operation.

Terraform

Anda dapat menggunakan resource Terraform untuk membuat vault cadangan.


resource "google_backup_dr_backup_vault" "default" {
  provider                                   = google-beta
  location                                   = "us-central1"
  backup_vault_id                            = "my-vault"
  description                                = "This vault is created usingTerraform."
  backup_minimum_enforced_retention_duration = "100000s"
  force_update                               = "true"
  force_delete                               = "true"
  allow_missing                              = "true"
}

Mencantumkan vault cadangan dalam project

Gunakan petunjuk berikut untuk mencantumkan vault cadangan dalam project.

Konsol

  1. Di konsol Google Cloud , buka halaman Backup vault.

    Buka Repositori cadangan

    Vault cadangan yang merupakan bagian dari project yang dipilih akan muncul dalam daftar.

gcloud

  1. Mencantumkan vault cadangan.

      gcloud backup-dr backup-vaults list \
  --project=PROJECT_ID \
  --location=LOCATION

    Ganti kode berikut:

    • PROJECT_ID: nama project tempat vault cadangan dibuat.
    • LOCATION: lokasi pembuatan vault cadangan.

Melihat detail vault pencadangan

Halaman detail vault cadangan menampilkan informasi konfigurasi dan memungkinkan Anda memperbarui item yang dapat diedit.

Kolom Status kunci di halaman detail vault cadangan dapat memiliki salah satu nilai berikut:

  • Tidak terkunci: Kunci tidak diterapkan atau tertunda untuk vault cadangan.
  • Kunci berlaku pada tanggal waktu: Kunci telah ditetapkan untuk berlaku di vault cadangan pada tanggal yang ditentukan.
  • Terkunci: Nilai periode retensi minimum yang diterapkan di repositori cadangan dikunci agar tidak dikurangi atau dihapus.

Gunakan petunjuk berikut untuk melihat detail vault cadangan.

Konsol

  1. Di konsol Google Cloud , buka halaman Backup vault.

    Buka Repositori cadangan

    Vault cadangan yang merupakan bagian dari project yang dipilih tercantum di halaman ini.

  2. Klik vault cadangan yang ingin Anda lihat.

    Halaman detail vault cadangan menampilkan informasi konfigurasi, termasuk nilai periode retensi minimum yang diterapkan, dan status kuncinya.

gcloud

  1. Lihat detail vault pencadangan.

      gcloud backup-dr backup-vaults describe BACKUPVAULT_NAME \
  --location=LOCATION \
  --project=PROJECT_ID

    Ganti kode berikut:

    • BACKUPVAULT_NAME: nama vault cadangan.
    • LOCATION: lokasi vault cadangan.
    • PROJECT_ID: nama project tempat vault cadangan dibuat.

Memperbarui periode retensi minimum yang diterapkan di vault cadangan yang ada

Anda dapat memperbarui periode retensi minimum yang diterapkan berdasarkan status kunci.

  • Tidak terkunci: Anda dapat meningkatkan atau menurunkan periode retensi minimum yang diterapkan.
  • Terkunci: Anda hanya dapat meningkatkan periode retensi minimum yang diterapkan.

Kunci tidak dapat dihapus jika tanggal mulai berlaku telah tercapai. Namun, jika tanggal mulai berlaku belum tercapai, Anda dapat menghapus kunci, yang akan menghapus tanggal mulai berlaku yang ditentukan sebelumnya.

Perubahan pada nilai periode retensi minimum yang diterapkan hanya berlaku untuk pencadangan yang dibuat setelah update. Perubahan pada nilai periode retensi minimum yang diterapkan tidak memengaruhi retensi yang diterapkan yang tersisa untuk pencadangan yang sudah ada di vault pencadangan. Untuk memastikan pembuatan cadangan tidak gagal, pastikan retensi minimum yang diterapkan tidak melebihi linimasa penghapusan cadangan yang ditentukan oleh rencana cadangan terkait.

Saat meningkatkan periode retensi yang diterapkan untuk vault cadangan, pastikan periode retensi yang diterapkan vault cadangan tidak melebihi periode retensi dalam rencana cadangan untuk cadangan apa pun yang akan Anda simpan di vault cadangan. Jika nilai yang diubah lebih lama dari periode retensi cadangan, Layanan Pencadangan dan DR akan menangani perubahan ini secara berbeda berdasarkan jenis paket cadangan.

  • Paket berbasis konsol : Perubahan pada nilai vault cadangan dicegah.

  • Rencana berbasis konsol pengelolaan: Perubahan pada nilai vault cadangan diizinkan, tetapi Anda harus segera memperbarui rencana cadangan yang relevan untuk menentukan retensi yang sama dengan atau lebih lama dari periode retensi minimum yang diterapkan untuk vault cadangan yang diperbarui guna mencegah kegagalan pencadangan.

    Cadangan yang dibuat saat retensi paket lebih pendek dari retensi minimum yang diterapkan vault cadangan dibuat dengan periode retensi yang diterapkan ditetapkan ke retensi minimum yang diterapkan vault cadangan. Selain itu, masa berlaku pencadangan ditetapkan untuk terjadi setelah periode retensi yang diterapkan telah terpenuhi.

Gunakan petunjuk berikut untuk memperbarui periode retensi minimum yang diterapkan di repositori cadangan yang ada.

Konsol

  1. Di konsol Google Cloud , buka halaman Backup vault.

    Buka Repositori cadangan

  2. Dalam daftar vault cadangan, klik nama vault cadangan yang ingin Anda perbarui.

  3. Klik ikon .

  4. Di dialog Edit retensi minimum yang diterapkan, masukkan nilai Periode retensi minimum baru yang diterapkan. Ini adalah jangka waktu setiap cadangan di vault cadangan tidak dapat dihapus. Minimumnya adalah 1 hari dan maksimumnya adalah 99 tahun.

  5. Jika Anda ingin mengunci periode retensi minimum yang diterapkan, centang kotak Lock the enforced retention, lalu pilih tanggal mulai penguncian dari kalender.

  6. Klik Simpan.

gcloud

  1. Memperbarui periode retensi minimum yang diterapkan di repositori cadangan yang ada.

      gcloud backup-dr backup-vaults update BACKUPVAULT_NAME\
  --project=PROJECT_ID \
  --location=LOCATION \
  --backup-min-enforced-retention=RETENTION_PERIOD_IN_DAYS

    Ganti kode berikut:

    • BACKUPVAULT_NAME: nama vault cadangan.
    • PROJECT_ID: nama project tempat vault cadangan dibuat.
    • LOCATION: lokasi vault cadangan.
    • RETENTION_PERIOD_IN_DAYS: jangka waktu setiap cadangan di vault cadangan tidak dapat dihapus. Minimumnya adalah 1 hari dan maksimumnya adalah 99 tahun.

Menghapus repositori cadangan

Vault cadangan hanya dapat dihapus jika tidak berisi cadangan. Untuk menghapus vault cadangan, hapus semua cadangan yang terdapat dalam vault tersebut terlebih dahulu jika memenuhi syarat untuk dihapus.

Gunakan petunjuk berikut untuk menghapus vault cadangan.

Konsol

  1. Di konsol Google Cloud , buka halaman Backup vault.

    Buka Repositori cadangan

  2. Klik repositori cadangan yang ingin dihapus.

  3. Klik Hapus.

  4. Di jendela overlay yang muncul, konfirmasi bahwa Anda ingin menghapus vault cadangan beserta isinya.

  5. Klik Hapus.

gcloud

  1. Menghapus vault cadangan.

      gcloud backup-dr backup-vaults delete BACKUPVAULT_NAME \
  --project=PROJECT_ID \
  --location=LOCATION

    Ganti kode berikut:

    • BACKUPVAULT_NAME: nama vault cadangan.
    • PROJECT_ID: nama project tempat vault cadangan dibuat.
    • LOCATION: lokasi vault cadangan.

Memberikan akses ke agen layanan vault cadangan dan ke perangkat pencadangan/pemulihan

Setiap vault cadangan yang dibuat memiliki agen layanan unik yang ditautkan ke dalamnya. Untuk beberapa jenis resource, agen layanan dimanfaatkan untuk melakukan tindakan atas nama Layanan Pencadangan dan DR. Oleh karena itu, agen layanan tersebut harus diberi izin yang sesuai di project, tempat agen layanan vault pencadangan perlu diakses. Agen layanan adalah akun layanan yang dikelola Google; untuk mengetahui informasi selengkapnya, lihat Agen layanan.

Untuk beberapa jenis resource, seperti Google Cloud VMware Engine, database Oracle, dan database SQL Server, aplikasi pencadangan/pemulihan Backup dan DR harus melakukan tindakan pada vault pencadangan. Dalam kasus tersebut, appliance pencadangan/pemulihan memerlukan izin yang sesuai di vault pencadangan.

Memberikan peran ke agen layanan

Setelah menemukan alamat email agen layanan, Anda dapat memberikan peran kepada agen layanan vault cadangan seperti saat memberikan peran kepada akun utama lainnya.

Untuk mencadangkan instance VM Compute Engine di project yang berbeda dengan tempat vault cadangan dibuat, Anda harus memberikan peran IAM Backup dan DR Compute Engine Operator (roles/backupdr.computeEngineOperator) ke agen layanan vault cadangan dalam project Compute Engine. Namun, untuk mencadangkan instance VM Compute Engine di project yang sama dengan tempat vault cadangan dibuat, tidak ada peran yang perlu diberikan.

Untuk memulihkan instance Compute Engine, Anda harus memberikan peran IAM Backup and DR Compute Engine Operator (roles/backupdr.computeEngineOperator) di project pemulihan ke agen layanan vault cadangan.

Gunakan petunjuk berikut untuk memberikan peran kepada agen layanan.

Konsol

  1. Di konsol Google Cloud , buka halaman Backup vault.

    Buka Repositori cadangan

  2. Klik nama repositori cadangan dan salin alamat email agen layanan.

  3. Di konsol Google Cloud , buka halaman IAM.

    Buka IAM

  4. Di kolom New principles, masukkan alamat email agen layanan.

  5. Dari daftar Select a role, pilih peran yang sesuai berdasarkan jenis resource. Misalnya, untuk mencadangkan instance Compute Engine dalam project yang berbeda dengan tempat vault pencadangan dibuat, pilih peran IAM Backup dan DR Compute Engine Operator (roles/backupdr.computeEngineOperator).

  6. Klik Simpan.

gcloud

  1. Berikan peran ke agen layanan.

      gcloud projects add-iam-policy-binding PROJECT_ID \
  --member='serviceAccount:SERVICE_ACCOUNT \
  --role=ROLE

    Ganti kode berikut:

    • PROJECT_ID: nama project.
    • SERVICE_ACCOUNT: alamat email agen layanan vault cadangan. Contoh, my-service-account@my-project.iam.gserviceaccount.com.
    • ROLE: peran yang diperlukan untuk diberikan pada project resource. Misalnya, untuk mencadangkan instance Compute Engine dalam project yang berbeda dengan tempat vault cadangan dibuat, pilih peran IAM Backup dan DR Compute Engine Operator (roles/backupdr.computeEngineOperator).

Memberikan peran ke akun layanan perangkat pencadangan/pemulihan

Anda dapat mengakses vault cadangan dari project appliance pencadangan/pemulihan hanya setelah akun layanan appliance diberi peran IAM Backup and DR Backup Vault Accessor (roles/backupdr.backupvaultAccessor) dan Backup and DR Backup Vault Lister (roles/backupdr.backupvaultLister) di project vault cadangan. Tanpa peran ini, Anda tidak dapat mengakses vault cadangan untuk menyelesaikan penyiapan guna mengaktifkan pembuatan cadangan.

Setelah memberikan peran ke akun layanan appliance pencadangan/pemulihan, Anda dapat mencadangkan dan memulihkan Google Cloud VMware Engine, database Oracle, dan database SQL Server ke vault cadangan menggunakan konsol pengelolaan.

Gunakan petunjuk berikut untuk memberikan peran ke akun layanan perangkat pencadangan/pemulihan:

  1. Di konsol Google Cloud , buka halaman Instance VM tempat appliance Anda dibuat.

    Buka halaman Instance VM

  2. Klik instance Compute Engine yang ingin Anda dapatkan akun layanannya.

  3. Di bagian API and identity management, salin alamat email akun layanan dari kolom Service account.

  4. Di konsol Google Cloud , buka peran IAM di project vault cadangan Anda.

    Buka IAM

  5. Klik Grant access.

  6. Di kolom New principles, masukkan alamat email akun layanan appliance.

  7. Dari daftar Select a role, pilih peran Backup and DR Backup Vault Accessor.

  8. Opsional: Untuk memastikan bahwa appliance pencadangan/pemulihan Anda hanya memiliki akses ke vault cadangan tertentu, klik Tambahkan kondisi IAM di samping peran Backup and DR Backup Vault Accessor.

    1. Di kolom Title, masukkan nama untuk kondisi.

    2. Klik tab Editor kondisi.

      • Di kolom Expression CEL editor, masukkan ekspresi berikut.

        resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
/{name}/") == ("BACKUPVAULT_NAME") || resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
/{name}") == ("BACKUPVAULT_NAME") || resource.name.extract("operations/{op}") != ""```

      Ganti kode berikut:

      • BACKUPVAULT_NAME: nama vault cadangan.
      • PROJECT_ID: nama project tempat vault cadangan dibuat.

      • LOCATION: lokasi vault cadangan.

        Untuk menambahkan akses ke vault cadangan tambahan, tambahkan pernyataan "resource.name.startsWith" tambahan (dengan operator logika OR "||") sesuai kebutuhan.

        Misalnya, pernyataan berikut memberikan otorisasi ke vault cadangan bernama "bv-test" dan vault cadangan bernama "user-bv1", yang keduanya berada di project bernama "testproject" dan di region "us-central1".

        resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}/") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}/") == ("user-bv1") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}") == ("user-bv1") || resource.name.extract("operations/{op}") != ""```

    3. Klik Simpan.

    4. Klik Add another role.

    5. Dari daftar Select a role, pilih peran Backup and DR Backup Vault Lister.

  9. Klik Simpan.

Langkah selanjutnya