Crie e faça a gestão de um cofre de cópias de segurança

Overview

Esta página explica como criar e gerir um cofre de cópias de segurança na Google Cloud consola.

Antes de começar

Para receber as autorizações de que precisa para criar e gerir um cofre de cópias de segurança, peça ao seu administrador para lhe conceder a função Administrador do cofre de cópias de segurança do Backup e DR (roles/backupdr.backupvaultAdmin) do IAM no projeto onde quer criar um cofre de cópias de segurança. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Esta função predefinida contém as autorizações necessárias para criar e gerir um cofre de cópias de segurança. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Crie um cofre de cópias de segurança

Use as instruções seguintes para criar um cofre de cópias de segurança.

resource "google_backup_dr_backup_vault" "default" {
  provider                                   = google-beta
  location                                   = "us-central1"
  backup_vault_id                            = "my-vault"
  description                                = "This vault is created usingTerraform."
  backup_minimum_enforced_retention_duration = "100000s"
  force_update                               = "true"
  ignore_inactive_datasources                = "true"
  allow_missing                              = "true"
}

Apresenta cofres de cópias de segurança num projeto

Use as instruções seguintes para listar cofres de cópias de segurança num projeto.

Veja os detalhes do cofre de cópias de segurança

A página de detalhes do cofre de cópias de segurança apresenta as informações de configuração e permite-lhe atualizar os itens editáveis.

O campo Estado do bloqueio na página de detalhes do cofre de cópias de segurança pode ter um dos seguintes valores:

• Desbloqueado: não é aplicada nem está pendente nenhuma proteção para o arquivo de cópias de segurança.
• O bloqueio entra em vigor em datetime: foi definido um bloqueio para entrar em vigor no cofre de cópias de segurança na data especificada.
• Bloqueado: o valor dos períodos de retenção mínimos aplicados do cofre de cópias de segurança está bloqueado contra redução ou remoção.

Use as seguintes instruções para ver os detalhes do cofre de cópias de segurança.

Atualize o período de retenção aplicado mínimo num cofre de cópias de segurança existente

Pode atualizar o período de retenção aplicado mínimo com base no estado do bloqueio.

• Desbloqueado: pode aumentar ou diminuir o período de retenção aplicado mínimo.
• Bloqueado: só pode aumentar o período de retenção aplicado mínimo.

Não é possível remover o bloqueio se a data de entrada em vigor já tiver sido atingida. No entanto, se a data de entrada em vigor ainda não tiver sido atingida, pode remover o bloqueio, o que limpa a data de entrada em vigor especificada originalmente.

As alterações ao valor do período de retenção obrigatório mínimo aplicam-se apenas às cópias de segurança criadas após a atualização. As alterações ao valor do período de retenção aplicado mínimo não afetam o período de retenção aplicado restante para as cópias de segurança que já existem no cofre de cópias de segurança.

Quando aumentar o período de retenção aplicado de um cofre de cópias de segurança, o período de retenção aplicado do cofre de cópias de segurança não deve exceder o período de retenção no plano de cópias de segurança para quaisquer cópias de segurança que armazene no cofre de cópias de segurança. Se o valor alterado for superior ao período de retenção da cópia de segurança, o serviço de cópia de segurança e recuperação de desastres processa estas alterações de forma diferente com base no tipo de plano de cópia de segurança.

• Google Cloud Planos baseados na consola: as alterações ao valor do cofre de cópias de segurança são impedidas.

• Planos baseados na consola de gestão: são permitidas alterações ao valor do cofre de cópias de segurança, mas deve atualizar imediatamente os planos de cópias de segurança relevantes para especificar um período de retenção igual ou superior ao período de retenção mínimo aplicado atualizado do cofre de cópias de segurança.

  As cópias de segurança geradas enquanto a retenção do plano for inferior à retenção mínima aplicada do cofre de cópias de segurança são criadas com o período de retenção aplicado definido como a retenção mínima aplicada do cofre de cópias de segurança. Além disso, a expiração da cópia de segurança está definida para ocorrer após o período de retenção aplicado ter sido cumprido.

Siga estas instruções para atualizar o período de retenção aplicado mínimo num cofre de cópias de segurança existente.

Restrições de recursos para retenção aplicada

Quando faz uma cópia de segurança de alguns tipos de recursos num cofre de cópias de segurança, existem restrições que regem a compatibilidade com as definições de retenção mínima aplicadas do cofre de cópias de segurança.

Os registos do AlloyDB para PostgreSQL e do Cloud SQL são armazenados fora do cofre de cópias de segurança.

Elimine um cofre de cópias de segurança

Só é possível eliminar cofres de cópias de segurança se não contiverem cópias de segurança. Para eliminar um cofre de cópias de segurança, elimine primeiro todas as cópias de segurança contidas nesse cofre, se forem elegíveis para eliminação.

Siga as instruções abaixo para eliminar um cofre de cópias de segurança.

Conceda acesso ao agente do serviço de cofre de cópias de segurança e às aplicações de cópia de segurança/recuperação

Cada cofre de cópias de segurança criado tem um agente de serviço exclusivo associado. Para alguns tipos de recursos, o agente de serviço é usado para realizar ações em nome do serviço de cópia de segurança e recuperação de desastres e, por isso, tem de lhe ser concedidas as autorizações adequadas nos projetos aos quais o agente de serviço do cofre de cópias de segurança tem de aceder. Um agente de serviço é uma conta de serviço gerida pela Google. Para mais informações, consulte o artigo Agentes de serviço.

Para alguns tipos de recursos, como o Google Cloud VMware Engine, as bases de dados Oracle e as bases de dados SQL Server, o dispositivo de cópia de segurança/recuperação do Backup and DR tem de realizar ações no cofre de cópias de segurança. Nestes casos, o dispositivo de cópia de segurança/recuperação precisa de autorizações adequadas no cofre de cópias de segurança. Além disso, o cofre de cópia de segurança de destino tem de ser definido com as restrições de acesso UNRESTRICTED ou WITHIN_ORG_BUT_UNRESTRICTED_FOR_BA.

Conceda uma função ao agente do serviço

Depois de encontrar o endereço de email do agente de serviço, pode conceder uma função ao agente de serviço do cofre de cópias de segurança, tal como concederia uma função a qualquer outro principal.

Para fazer uma cópia de segurança de uma instância de VM do Compute Engine num projeto diferente daquele em que o cofre de cópias de segurança é criado, tem de conceder a função do IAM de operador do Compute Engine do Backup and DR (roles/backupdr.computeEngineOperator) ao agente de serviço do cofre de cópias de segurança no projeto do Compute Engine. No entanto, para fazer uma cópia de segurança de uma instância de VM do Compute Engine no mesmo projeto onde o cofre de cópias de segurança é criado, não é necessário conceder funções.

Para restaurar uma instância do Compute Engine, tem de conceder a função IAM Backup and DR Compute Engine Operator (roles/backupdr.computeEngineOperator) no seu projeto de restauro ao agente do serviço de cofre de cópias de segurança.

Siga as instruções abaixo para conceder uma função ao agente de serviço.

Conceda funções à conta de serviço da aplicação de cópia de segurança/recuperação

Só pode aceder a um cofre de cópias de segurança a partir do projeto do dispositivo de cópia de segurança/recuperação depois de a conta de serviço do dispositivo receber a função de IAM Backup and DR Backup Vault Accessor (roles/backupdr.backupvaultAccessor) no projeto do cofre de cópias de segurança. Sem esta função, não pode aceder ao cofre de cópias de segurança para concluir a configuração e ativar a criação de cópias de segurança.

Depois de conceder funções à conta de serviço do dispositivo de cópia de segurança/recuperação, pode fazer cópias de segurança e restaurar o Google Cloud VMware Engine, as bases de dados Oracle e as bases de dados SQL Server num cofre de cópias de segurança através da consola de gestão.

Use as instruções seguintes para conceder funções à conta de serviço do dispositivo de cópia de segurança/recuperação:

1. Na Google Cloud consola, aceda à página Instâncias de VM onde o dispositivo foi criado.

   Aceda à página de instâncias de VM

2. Clique na instância do Compute Engine para a qual quer obter a conta de serviço.

3. Na secção API e gestão de identidades, copie o endereço de email da conta de serviço do campo Conta de serviço.

4. Na Google Cloud consola, aceda às funções IAM no projeto do cofre de cópias de segurança.

   Aceda ao IAM

5. Clique em Conceder acesso.

6. No campo Novos princípios, introduza o endereço de email da conta de serviço do dispositivo.

7. Na lista Selecionar uma função, selecione a função Backup and DR Backup Vault Accessor.

8. Opcional: para restringir o seu dispositivo de cópia de segurança/recuperação de modo que só tenha acesso a um cofre de cópias de segurança específico, clique em add Adicionar condição do IAM junto à função Acessor do cofre de cópias de segurança do Backup and DR.

   1. No campo Título, introduza um nome para a condição.

   2. Clique no separador Editor de condições.

      • No campo Editor de IEC de expressões, introduza a seguinte expressão.

        resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
        /{name}/") == ("BACKUPVAULT_NAME") || resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
        /{name}") == ("BACKUPVAULT_NAME") || resource.name.extract("operations/{op}") != ""
        

      Substitua o seguinte:

      • BACKUPVAULT_NAME: o nome do cofre de segurança.
      • PROJECT_ID: o nome do projeto onde o cofre de cópias de segurança é criado.

      • LOCATION: a localização do cofre de cópias de segurança.

        Para adicionar acesso a cofres de cópias de segurança adicionais, acrescente declarações "resource.name.startsWith" adicionais (com o operador lógico OR "||") conforme necessário.

        Por exemplo, a seguinte declaração autoriza um cofre de cópias de segurança denominado "bv-test" e um cofre de cópias de segurança denominado "user-bv1", ambos localizados num projeto denominado "testproject" e na localização "us-central1".

        resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}/") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}/") == ("user-bv1") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}") == ("user-bv1") || resource.name.extract("operations/{op}") != ""
        

   3. Clique em Guardar.

9. Clique em Guardar.

O que se segue?

• Faça a gestão das origens de dados
• Faça a gestão das cópias de segurança