Esta página explica como criar e gerir um cofre de cópias de segurança na Google Cloud consola.
Antes de começar
Para receber as autorizações de que
precisa para criar e gerir um cofre de cópias de segurança,
peça ao seu administrador para lhe conceder a função
Administrador do cofre de cópias de segurança do Backup e DR (roles/backupdr.backupvaultAdmin
)
do IAM no projeto onde quer criar um cofre de cópias de segurança.
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Esta função predefinida contém as autorizações necessárias para criar e gerir um cofre de cópias de segurança. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:
Autorizações necessárias
As seguintes autorizações são necessárias para criar e gerir um cofre de cópias de segurança:
-
backupdr.backupVaults.create
-
backupdr.backupVaults.list
-
backupdr.backupVaults.get
-
backupdr.backupVaults.update
-
backupdr.backupVaults.delete
Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.
Crie um cofre de cópias de segurança
Use as instruções seguintes para criar um cofre de cópias de segurança.
Consola
Na Google Cloud consola, aceda à página Cofres de cópias de segurança.
Clique em Criar cofre de cópias de segurança.
Na página Crie um cofre de cópias de segurança, introduza as informações do cofre de cópias de segurança.
- No campo Dê um nome ao seu arquivo de cópias de segurança, introduza um nome que cumpra os requisitos do nome do arquivo de cópias de segurança.
- Clique em Continuar.
- Na lista Escolha onde quer armazenar os seus dados, selecione uma localização onde os dados de cópia de segurança vão ser armazenados permanentemente.
- Clique em Continuar.
No campo Impedir eliminação de cópias de segurança, introduza o período de retenção aplicado mínimo que define durante quanto tempo as cópias de segurança estão protegidas contra eliminação. O período mínimo é de 1 dia e o máximo é de 99 anos.
Impedir a eliminação durante o período especificado na regra de cópia de segurança: pode definir o cofre para herdar o valor Eliminar cópias de segurança após definido num plano de cópia de segurança. Não é possível eliminar manualmente as cópias de segurança. Estas são eliminadas de acordo com o valor no respetivo plano de cópia de segurança associado.
Bloqueie a retenção aplicada: se quiser bloquear o valor do período de retenção aplicado mínimo, selecione esta opção e, de seguida, clique no ícone
e selecione a data no calendário.
Na secção Defina o acesso ao seu cofre de cópias de segurança, selecione uma opção para definir restrições de acesso para o cofre de cópias de segurança. Se não selecionar uma opção, o cofre de segurança é criado com a restrição Restringir o acesso à organização atual.
Clique em Criar.
gcloud
- Num dos seguintes ambientes de desenvolvimento, configure a CLI gcloud:
- Cloud Shell: para usar um terminal online com a CLI gcloud já configurada, ative o Cloud Shell. Na parte inferior desta página, é iniciada uma sessão do Cloud Shell e é apresentado um comando. A sessão pode demorar alguns segundos a ser inicializada.
Shell local: para usar um ambiente de desenvolvimento local, instale e inicialize a CLI gcloud.
Crie um cofre de cópias de segurança.
gcloud backup-dr backup-vaults create BACKUPVAULT_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --backup-retention-inheritance=RETENTION_PERIOD_INHERITANCE --backup-min-enforced-retention=RETENTION_PERIOD_IN_DAYS --access-restriction=ACCESS_RESTRICTION
Substitua o seguinte:
BACKUPVAULT_NAME
: o nome do cofre de segurança.PROJECT_ID
: o nome do projeto onde quer criar o cofre de cópias de segurança.LOCATION
: a localização onde quer criar um cofre de cópias de segurança.RETENTION_PERIOD_INHERITANCE
: o modo de herança para a hora de fim da retenção aplicada da cópia de segurança neste cofre de cópias de segurança. Depois de definido, não é possível alterar o modo de herança. A predefinição é inherit-vault-retention. Se estiver definido como inherit-vault-retention, o período de retenção da cópia de segurança é herdado do cofre de cópias de segurança. Se estiver definido como match-backup-expire-time, o período de retenção da cópia de segurança é igual ao tempo de expiração da cópia de segurança.RETENTION_PERIOD_IN_DAYS
: o período durante o qual não é possível eliminar cada cópia de segurança no cofre de cópias de segurança. O período mínimo é de 1 dia e o máximo é de 99 anos. Por exemplo,2w1d
são duas semanas e um dia. Para mais informações, consulte o artigo Período de retenção mínimo aplicado do cofre de cópias de segurança.ACCESS_RESTRICTION
: especifique restrições de acesso para o cofre de cópias de segurança. Os valores permitidos sãowithin-project
,within-org
,unrestricted
ewithin-org-but-unrestricted-for-ba
. Se não especificar um valor, o cofre de segurança alternativo é criado com a restriçãowithin-org
.
Verifique o estado da operação.
gcloud backup-dr operations describe FULL_OPERATION_ID
Substitua o seguinte:
FULL_OPERATION_ID
o ID da operação apresentado para o cofre de cópias de segurança. Está no seguinte formato:projects/test-project/locations/us-central1/operations/operationID
O resultado é apresentado da seguinte forma:
Create in progress for backup vault [projects/test-project/locations/us-central1/operations/operation-1721893921568-41e0dab8938a1-f1dc6ad2-3051b3ce]. Run the [gcloud backup-dr operations describe] command to check the status of this operation.
Terraform
Pode usar um recurso do Terraform para criar um cofre de cópias de segurança.
Apresenta cofres de cópias de segurança num projeto
Use as instruções seguintes para listar cofres de cópias de segurança num projeto.
Consola
Na Google Cloud consola, aceda à página Cofres de cópias de segurança.
Aceda aos cofres de cópias de segurança
Os cofres de cópias de segurança que fazem parte do projeto selecionado aparecem na lista.
gcloud
Indicar os cofres de segurança alternativos.
gcloud backup-dr backup-vaults list \ --project=PROJECT_ID \ --location=LOCATION
Substitua o seguinte:
PROJECT_ID
: o nome do projeto onde os cofres de cópias de segurança são criados.LOCATION
: a localização onde os cofres de cópias de segurança são criados.
Veja os detalhes do cofre de cópias de segurança
A página de detalhes do cofre de cópias de segurança apresenta as informações de configuração e permite-lhe atualizar os itens editáveis.
O campo Estado do bloqueio na página de detalhes do cofre de cópias de segurança pode ter um dos seguintes valores:
- Desbloqueado: não é aplicada nem está pendente nenhuma proteção para o arquivo de cópias de segurança.
- O bloqueio entra em vigor em datetime: foi definido um bloqueio para entrar em vigor no cofre de cópias de segurança na data especificada.
- Bloqueado: o valor dos períodos de retenção mínimos aplicados do cofre de cópias de segurança está bloqueado contra redução ou remoção.
Use as seguintes instruções para ver os detalhes do cofre de cópias de segurança.
Consola
Na Google Cloud consola, aceda à página Cofres de cópias de segurança.
Aceda aos cofres de cópias de segurança
Os cofres de cópias de segurança que fazem parte do projeto selecionado são apresentados nesta página.
Clique no cofre de cópias de segurança que quer ver.
A página de detalhes do cofre de cópias de segurança apresenta as informações de configuração, incluindo o valor do período de retenção aplicado mínimo e o respetivo estado de bloqueio.
gcloud
Veja os detalhes do cofre de cópias de segurança.
gcloud backup-dr backup-vaults describe BACKUPVAULT_NAME \ --location=LOCATION \ --project=PROJECT_ID
Substitua o seguinte:
BACKUPVAULT_NAME
: o nome do cofre de segurança.LOCATION
: a localização do cofre de cópias de segurança.PROJECT_ID
: o nome do projeto onde o cofre de cópias de segurança é criado.
Atualize o período de retenção aplicado mínimo num cofre de cópias de segurança existente
Pode atualizar o período de retenção aplicado mínimo com base no estado do bloqueio.
- Desbloqueado: pode aumentar ou diminuir o período de retenção aplicado mínimo.
- Bloqueado: só pode aumentar o período de retenção aplicado mínimo.
Não é possível remover o bloqueio se a data de entrada em vigor já tiver sido atingida. No entanto, se a data de entrada em vigor ainda não tiver sido atingida, pode remover o bloqueio, o que limpa a data de entrada em vigor especificada originalmente.
As alterações ao valor do período de retenção obrigatório mínimo aplicam-se apenas às cópias de segurança criadas após a atualização. As alterações ao valor do período de retenção aplicado mínimo não afetam o período de retenção aplicado restante para as cópias de segurança que já existem no cofre de cópias de segurança.
Quando aumentar o período de retenção aplicado de um cofre de cópias de segurança, o período de retenção aplicado do cofre de cópias de segurança não deve exceder o período de retenção no plano de cópias de segurança para quaisquer cópias de segurança que armazene no cofre de cópias de segurança. Se o valor alterado for superior ao período de retenção da cópia de segurança, o serviço de cópia de segurança e recuperação de desastres processa estas alterações de forma diferente com base no tipo de plano de cópia de segurança.
Google Cloud Planos baseados na consola: as alterações ao valor do cofre de cópias de segurança são impedidas.
Planos baseados na consola de gestão: são permitidas alterações ao valor do cofre de cópias de segurança, mas deve atualizar imediatamente os planos de cópias de segurança relevantes para especificar um período de retenção igual ou superior ao período de retenção mínimo aplicado atualizado do cofre de cópias de segurança.
As cópias de segurança geradas enquanto a retenção do plano for inferior à retenção mínima aplicada do cofre de cópias de segurança são criadas com o período de retenção aplicado definido como a retenção mínima aplicada do cofre de cópias de segurança. Além disso, a expiração da cópia de segurança está definida para ocorrer após o período de retenção aplicado ter sido cumprido.
Siga estas instruções para atualizar o período de retenção aplicado mínimo num cofre de cópias de segurança existente.
Consola
Na Google Cloud consola, aceda à página Cofres de cópias de segurança.
Na lista de cofres de cópias de segurança, clique no nome do cofre de cópias de segurança que quer atualizar.
Clique no ícone
.Na caixa de diálogo Editar retenção mínima aplicada, introduza o valor do Novo período de retenção mínima aplicada. Este é o período durante o qual não é possível eliminar cada cópia de segurança no cofre de cópias de segurança. O mínimo é de 1 dia e o máximo é de 99 anos.
Se quiser bloquear o período de retenção aplicado mínimo, selecione a caixa de verificação Bloquear a retenção aplicada e, em seguida, selecione a data de entrada em vigor do bloqueio no calendário.
Clique em Guardar.
gcloud
Atualize o período de retenção aplicado mínimo num cofre de cópias de segurança existente.
gcloud backup-dr backup-vaults update BACKUPVAULT_NAME\ --project=PROJECT_ID \ --location=LOCATION \ --backup-min-enforced-retention=RETENTION_PERIOD_IN_DAYS
Substitua o seguinte:
BACKUPVAULT_NAME
: o nome do cofre de segurança.PROJECT_ID
: o nome do projeto onde o cofre de cópias de segurança é criado.LOCATION
: a localização do cofre de cópias de segurança.RETENTION_PERIOD_IN_DAYS
: o período durante o qual não é possível eliminar cada cópia de segurança no cofre de cópias de segurança. O período mínimo é de 1 dia e o máximo é de 99 anos.
Restrições de recursos para retenção aplicada
Quando faz uma cópia de segurança de alguns tipos de recursos num cofre de cópias de segurança, existem restrições que regem a compatibilidade com as definições de retenção mínima aplicadas do cofre de cópias de segurança.
Tipo do recurso | Retenção aplicada mínima (cópias de segurança) | Retenção aplicada mínima (registos) | Impedir a eliminação manual |
---|---|---|---|
AlloyDB para PostgreSQL | 1 a 365 dias | 1 a 35 dias | Obrigatória |
Cloud SQL | 1 dia a 99 anos | Não aplicável | Opcional |
Compute Engine | 1 dia a 99 anos | Não aplicável | Opcional |
Os registos do AlloyDB para PostgreSQL e do Cloud SQL são armazenados fora do cofre de cópias de segurança.
Elimine um cofre de cópias de segurança
Só é possível eliminar cofres de cópias de segurança se não contiverem cópias de segurança. Para eliminar um cofre de cópias de segurança, elimine primeiro todas as cópias de segurança contidas nesse cofre, se forem elegíveis para eliminação.
Siga as instruções abaixo para eliminar um cofre de cópias de segurança.
Consola
Na Google Cloud consola, aceda à página Cofres de cópias de segurança.
Clique no cofre de cópias de segurança que quer eliminar.
Clique em Eliminar.
Na janela de sobreposição apresentada, confirme que quer eliminar o cofre de cópias de segurança e o respetivo conteúdo.
Clique em Eliminar.
gcloud
Elimine um cofre de cópias de segurança.
gcloud backup-dr backup-vaults delete BACKUPVAULT_NAME \ --project=PROJECT_ID \ --location=LOCATION
Substitua o seguinte:
BACKUPVAULT_NAME
: o nome do cofre de segurança.PROJECT_ID
: o nome do projeto onde o cofre de cópias de segurança é criado.LOCATION
: a localização do cofre de cópias de segurança.
Conceda acesso ao agente do serviço de cofre de cópias de segurança e às aplicações de cópia de segurança/recuperação
Cada cofre de cópias de segurança criado tem um agente de serviço exclusivo associado. Para alguns tipos de recursos, o agente de serviço é usado para realizar ações em nome do serviço de cópia de segurança e recuperação de desastres e, por isso, tem de lhe ser concedidas as autorizações adequadas nos projetos aos quais o agente de serviço do cofre de cópias de segurança tem de aceder. Um agente de serviço é uma conta de serviço gerida pela Google. Para mais informações, consulte o artigo Agentes de serviço.
Para alguns tipos de recursos, como o Google Cloud VMware Engine, as bases de dados Oracle e as bases de dados SQL Server, o dispositivo de cópia de segurança/recuperação do Backup and DR tem de realizar ações no cofre de cópias de segurança. Nestes casos, o dispositivo de cópia de segurança/recuperação precisa de autorizações adequadas no cofre de cópias de segurança. Além disso, o cofre de cópia de segurança de destino tem de ser definido com as restrições de acesso UNRESTRICTED ou WITHIN_ORG_BUT_UNRESTRICTED_FOR_BA.
Conceda uma função ao agente do serviço
Depois de encontrar o endereço de email do agente de serviço, pode conceder uma função ao agente de serviço do cofre de cópias de segurança, tal como concederia uma função a qualquer outro principal.
Para fazer uma cópia de segurança de uma instância de VM do Compute Engine num projeto diferente daquele em que o
cofre de cópias de segurança é criado, tem de conceder a função do IAM de operador do Compute Engine do Backup and DR
(roles/backupdr.computeEngineOperator
) ao agente de serviço do cofre de cópias de segurança no projeto do Compute Engine. No entanto, para fazer uma cópia de segurança de uma instância de VM do Compute Engine no mesmo projeto onde o cofre de cópias de segurança é criado, não é necessário conceder funções.
Para restaurar uma instância do Compute Engine, tem de conceder a função IAM
Backup and DR Compute Engine Operator (roles/backupdr.computeEngineOperator
)
no seu projeto de restauro ao agente do serviço de cofre de cópias de segurança.
Siga as instruções abaixo para conceder uma função ao agente de serviço.
Consola
Na Google Cloud consola, aceda à página Cofres de cópias de segurança.
Clique no nome do cofre de cópias de segurança e copie o endereço de email do agente do serviço.
Na Google Cloud consola, aceda à página IAM.
No campo Novos princípios, introduza o endereço de email do agente de serviço.
Na lista Selecionar uma função, selecione a função adequada com base no tipo de recurso. Por exemplo, para fazer uma cópia de segurança de uma instância do Compute Engine num projeto diferente daquele onde o cofre de cópias de segurança é criado, selecione a função do IAM do operador do Compute Engine do Backup and DR (
roles/backupdr.computeEngineOperator
).Clique em Guardar.
gcloud
Conceda funções ao agente do serviço.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member='serviceAccount:SERVICE_ACCOUNT \ --role=ROLE
Substitua o seguinte:
PROJECT_ID
: o nome do projeto.SERVICE_ACCOUNT
: o endereço de email do agente do serviço de cofre suplementar. Por exemplo,my-service-account@my-project.iam.gserviceaccount.com
.ROLE
: a função necessária para conceder no projeto de recursos. Por exemplo, para fazer uma cópia de segurança de uma instância do Compute Engine num projeto diferente daquele em que o cofre de cópias de segurança é criado, selecione a função do IAM Backup and DR Compute Engine Operator (roles/backupdr.computeEngineOperator
).
Conceda funções à conta de serviço da aplicação de cópia de segurança/recuperação
Só pode aceder a um cofre de cópias de segurança a partir do projeto do dispositivo de cópia de segurança/recuperação depois de
a conta de serviço do dispositivo receber a função de IAM Backup and DR Backup Vault Accessor
(roles/backupdr.backupvaultAccessor
) no projeto do cofre de cópias de segurança. Sem esta função, não pode aceder ao cofre de cópias de segurança
para concluir a configuração e ativar a criação de cópias de segurança.
Depois de conceder funções à conta de serviço do dispositivo de cópia de segurança/recuperação, pode fazer cópias de segurança e restaurar o Google Cloud VMware Engine, as bases de dados Oracle e as bases de dados SQL Server num cofre de cópias de segurança através da consola de gestão.
Use as instruções seguintes para conceder funções à conta de serviço do dispositivo de cópia de segurança/recuperação:
Na Google Cloud consola, aceda à página Instâncias de VM onde o dispositivo foi criado.
Clique na instância do Compute Engine para a qual quer obter a conta de serviço.
Na secção API e gestão de identidades, copie o endereço de email da conta de serviço do campo Conta de serviço.
Na Google Cloud consola, aceda às funções IAM no projeto do cofre de cópias de segurança.
Clique em Conceder acesso.
No campo Novos princípios, introduza o endereço de email da conta de serviço do dispositivo.
Na lista Selecionar uma função, selecione a função Backup and DR Backup Vault Accessor.
Opcional: para restringir o seu dispositivo de cópia de segurança/recuperação de modo que só tenha acesso a um cofre de cópias de segurança específico, clique em
Adicionar condição do IAM junto à função Acessor do cofre de cópias de segurança do Backup and DR.- No campo Título, introduza um nome para a condição.
Clique no separador Editor de condições.
No campo Editor de IEC de expressões, introduza a seguinte expressão.
resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults /{name}/") == ("BACKUPVAULT_NAME") || resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults /{name}") == ("BACKUPVAULT_NAME") || resource.name.extract("operations/{op}") != ""
Substitua o seguinte:
BACKUPVAULT_NAME
: o nome do cofre de segurança.PROJECT_ID
: o nome do projeto onde o cofre de cópias de segurança é criado.LOCATION
: a localização do cofre de cópias de segurança.Para adicionar acesso a cofres de cópias de segurança adicionais, acrescente declarações "resource.name.startsWith" adicionais (com o operador lógico OR "||") conforme necessário.
Por exemplo, a seguinte declaração autoriza um cofre de cópias de segurança denominado "bv-test" e um cofre de cópias de segurança denominado "user-bv1", ambos localizados num projeto denominado "testproject" e na localização "us-central1".
resource.name.extract("projects/testproject/locations/us-central1/backupVaults /{name}/") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults /{name}") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults /{name}/") == ("user-bv1") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults /{name}") == ("user-bv1") || resource.name.extract("operations/{op}") != ""
Clique em Guardar.
Clique em Guardar.