Creare e gestire un vault di backup

Panoramica

Questa pagina spiega come creare e gestire una cassetta di sicurezza di backup nella console Google Cloud .

Prima di iniziare

Per ottenere le autorizzazioni necessarie per creare e gestire un vault di backup, chiedi all'amministratore di concederti il ruolo IAM Backup and DR Backup Vault Admin (roles/backupdr.backupvaultAdmin) nel progetto in cui vuoi creare un vault di backup. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per creare e gestire un vault di backup. Per visualizzare le autorizzazioni esatta richieste, espandi la sezione Autorizzazioni richieste:

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Crea un vault di backup

Segui le istruzioni riportate di seguito per creare un vault di backup.

resource "google_backup_dr_backup_vault" "default" {
  provider                                   = google-beta
  location                                   = "us-central1"
  backup_vault_id                            = "my-vault"
  description                                = "This vault is created usingTerraform."
  backup_minimum_enforced_retention_duration = "100000s"
  force_update                               = "true"
  force_delete                               = "true"
  allow_missing                              = "true"
}

Elenca i vault di backup in un progetto

Segui le istruzioni riportate di seguito per elencare i vault di backup in un progetto.

Visualizza i dettagli del vault di backup

La pagina dei dettagli della cassetta di sicurezza di backup mostra le informazioni di configurazione e ti consente di aggiornare gli elementi modificabili.

Il campo Stato blocco nella pagina dei dettagli del vault di backup può avere uno dei seguenti valori:

• Sbloccato: non è stato applicato né è in attesa un blocco per il backup vault.
• Il blocco diventa effettivo il giorno datetime: è stato impostato un blocco che verrà applicato al vault di backup nella data specificata.
• Blocca: il valore dei periodi di conservazione minima obbligatori del vault di backup è bloccato per impedire la riduzione o la rimozione.

Segui le istruzioni riportate di seguito per visualizzare i dettagli del vault di backup.

Aggiornare il periodo di conservazione minimo applicato in un vault di backup esistente

Puoi aggiornare il periodo di conservazione minimo applicato in base allo stato del blocco.

• Sbloccato: puoi aumentare o diminuire il periodo di conservazione minimo imposto.
• Bloccato: puoi solo aumentare il periodo di conservazione minima forzata.

Il blocco non può essere rimosso se è stata raggiunta la data di validità. Tuttavia, se la data di validità non è ancora stata raggiunta, puoi rimuovere il blocco, che cancella la data di validità specificata in origine.

Le modifiche al valore del periodo di conservazione minima applicata si applicano solo ai backup creati dopo l'aggiornamento. Le modifiche al valore del periodo di conservazione minimo applicato non influiscono sulla conservazione minima rimanente per i backup che esistono già nel vault di backup. Per assicurarti che la creazione dei backup non abbia esito negativo, verifica che la conservazione minima applicata non superi la tempistica di eliminazione dei backup definita dai piani di backup associati.

Quando aumenti il periodo di conservazione forzato per un vault di backup, assicurati che non superi il periodo di conservazione nel piano di backup per i backup che archivi nel vault di backup. Se il valore modificato è più lungo del periodo di conservazione del backup, il servizio di Backup e DR gestisce queste modifiche in modo diverso in base al tipo di piano di backup.

• Piani basati sulla consoleGoogle Cloud : le modifiche al valore della cassetta di sicurezza di backup vengono impedite.

• Piani basati sulla console di gestione: le modifiche al valore della cassetta di sicurezza per i backup sono consentite, ma devi aggiornare immediatamente i piani di backup pertinenti per specificare una conservazione uguale o superiore al periodo di conservazione minima applicata della cassetta di sicurezza aggiornata per evitare che i backup non vadano a buon fine.

  I backup generati quando la conservazione del piano è inferiore alla conservazione minima applicata del backup vault vengono creati con il periodo di conservazione minima applicata impostato sulla conservazione minima applicata del backup vault. Inoltre, la scadenza del backup è impostata per verificarsi dopo il completamento del periodo di conservazione obbligatorio.

Segui le istruzioni riportate di seguito per aggiornare il periodo di conservazione minimo applicato su un vault di backup esistente.

Eliminare un vault di backup

I vault di backup possono essere eliminati solo se non contengono backup. Per eliminare una cassetta di sicurezza di backup, elimina prima tutti i backup contenuti al suo interno, se sono idonei per l'eliminazione.

Segui le istruzioni riportate di seguito per eliminare un vault di backup.

Concedi l'accesso all'agente di servizio del vault di backup e alle appliance di backup/ripristino

A ogni vault di backup creato è collegato un agente di servizio univoco. Per alcuni tipi di risorse, l'agente di servizio viene utilizzato per eseguire azioni per conto del servizio di Backup e DR e, pertanto, è necessario concedergli le autorizzazioni appropriate per i progetti a cui deve accedere. Un agente di servizio è un account di servizio gestito da Google. Per ulteriori informazioni, consulta Agenti di servizio.

Per alcuni tipi di risorse, come Google Cloud VMware Engine, database Oracle e database SQL Server, l'appliance di backup/ripristino di Backup e RE deve eseguire azioni sulla cassetta di sicurezza di backup. In questi casi, l'appliance di backup/ripristino deve disporre delle autorizzazioni appropriate per il vault di backup.

Concedi un ruolo all'agente di servizio

Dopo aver trovato l'indirizzo email dell'agente di servizio, puoi assegnare un ruolo all'agente di servizio del vault di backup come faresti con qualsiasi altro entità.

Per eseguire il backup di un'istanza VM di Compute Engine in un progetto diverso da quello in cui viene creato il vault di backup, devi concedere il ruolo IAM Operatore Compute Engine per il backup e il DR (roles/backupdr.computeEngineOperator) all'agente di servizio del vault di backup all'interno del progetto Compute Engine. Tuttavia, per eseguire il backup di un'istanza VM Compute Engine nel progetto in cui è stato creato il vault di backup, non è necessario concedere alcun ruolo.

Per ripristinare un'istanza Compute Engine, devi concedere all'agente di servizio del vault di backup il ruolo IAM Operatore Compute Engine per il backup e il RE (roles/backupdr.computeEngineOperator) nel progetto di ripristino.

Segui le istruzioni riportate di seguito per concedere un ruolo all'agente di servizio.

Concedi i ruoli all'account di servizio dell'appliance di backup/recupero

Puoi accedere a un vault di backup dal progetto dell'appliance di backup/ripristino solo dopo aver concesso all'account di servizio dell'appliance i ruoli IAM Backup and DR Backup Vault Accessor (roles/backupdr.backupvaultAccessor) e Backup and DR Backup Vault Lister (roles/backupdr.backupvaultLister) nel progetto del vault di backup. Senza questi ruoli, non puoi accedere al vault di backup per completare la configurazione e abilitare la creazione del backup.

Dopo aver concesso i ruoli all'account di servizio dell'appliance di backup/recupero, puoi eseguire il backup e il ripristino di Google Cloud VMware Engine, dei database Oracle e dei database SQL Server in un backup vault utilizzando la console di gestione.

Segui le istruzioni riportate di seguito per concedere i ruoli all'account di servizio dell'appliance di backup/recupero:

1. Nella console Google Cloud , vai alla pagina Istanze VM in cui è stato creato l'appliance.

   Vai alla pagina Istanze VM

2. Fai clic sull'istanza Compute Engine per cui vuoi ottenere l'account di servizio.

3. Nella sezione Gestione API e identità, copia l'indirizzo email dell'account di servizio dal campo Account di servizio.

4. Nella console Google Cloud , vai ai ruoli IAM nel progetto della cassetta di sicurezza di backup.

   Vai a IAM

5. Fai clic su Concedi accesso.

6. Nel campo Nuove entità, inserisci l'indirizzo email dell'account di servizio dell'appliance.

7. Nell'elenco Seleziona un ruolo, seleziona il ruolo Accesso a Backup Vault per backup e DR.

8. (Facoltativo) Per assicurarti che l'appliance di backup/recupero abbia accesso solo a un vault di backup specifico, fai clic su add Aggiungi condizione IAM accanto al ruolo Backup and DR Backup Vault Accessor.

   1. Nel campo Title (Titolo), inserisci un nome per la condizione.

   2. Fai clic sulla scheda Editor delle condizioni.

      • Nel campo Editor di espressioni CEL, inserisci la seguente espressione.

        resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
        /{name}/") == ("BACKUPVAULT_NAME") || resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
        /{name}") == ("BACKUPVAULT_NAME") || resource.name.extract("operations/{op}") != ""```
        

      Sostituisci quanto segue:

      • BACKUPVAULT_NAME: il nome del vault di backup.
      • PROJECT_ID: il nome del progetto in cui viene creato il vault di backup.

      • LOCATION: la posizione del vault di backup.

        Per aggiungere l'accesso ad altri backup vault, aggiungi altre istruzioni "resource.name.startsWith" (con l'operatore logico OR "||") in base alle necessità.

        Ad esempio, la seguente istruzione autorizza un backup vault denominato "bv-test" e un altro backup vault denominato "user-bv1", entrambi situati in un progetto denominato "testproject" e nella regione "us-central1".

        resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}/") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}/") == ("user-bv1") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}") == ("user-bv1") || resource.name.extract("operations/{op}") != ""```
        

   3. Fai clic su Salva.

   4. Fai clic su Aggiungi un altro ruolo.

   5. Nell'elenco Seleziona un ruolo, seleziona il ruolo Backup and DR Backup Vault Lister.

9. Fai clic su Salva.

Passaggi successivi

• Gestire le origini dati
• Gestire i backup