Criar e gerenciar um backup vault

Visão geral

Esta página explica como criar e gerenciar um cofre de backup no console do Google Cloud .

Antes de começar

Para ter as permissões necessárias para criar e gerenciar um cofre de backup, peça ao administrador para conceder a você o Backup and DR Backup Vault Admin (roles/backupdr.backupvaultAdmin) no projeto em que você quer criar um cofre de backup. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém as permissões necessárias para criar e gerenciar um cofre de backup. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Criar um backup vault

Use as instruções a seguir para criar um cofre de backup.

resource "google_backup_dr_backup_vault" "default" {
  provider                                   = google-beta
  location                                   = "us-central1"
  backup_vault_id                            = "my-vault"
  description                                = "This vault is created usingTerraform."
  backup_minimum_enforced_retention_duration = "100000s"
  force_update                               = "true"
  force_delete                               = "true"
  allow_missing                              = "true"
}

Listar cofres de backup em um projeto

Use as instruções a seguir para listar os backup vaults em um projeto.

Conferir detalhes do backup vault

A página de detalhes do cofre de backup mostra as informações de configuração e permite atualizar os itens editáveis.

O campo Status de bloqueio na página de detalhes do cofre de backup pode ter um dos seguintes valores:

• Desbloqueado: não há uma trava aplicada nem pendente para o backup vault.
• O bloqueio entra em vigor na data e hora: uma trava foi definida para entrar em vigor no backup vault na data especificada.
• Trancado: o valor dos períodos de retenção mínimo aplicado ao cofre de backup é bloqueado contra redução ou remoção.

Use as instruções a seguir para conferir os detalhes do backup vault.

Atualizar o período de armazenamento mínima aplicada em um backup vault

É possível atualizar o período de armazenamento mínima aplicada com base no status do bloqueio.

• Desbloqueado: é possível aumentar ou diminuir o período mínimo de retenção aplicado.
• Bloqueada: só é possível aumentar o período de armazenamento mínimo aplicado.

A trava não pode ser removida se a data de início da vigência já tiver sido atingida. No entanto, se a data efetiva ainda não tiver sido alcançada, você poderá remover o bloqueio, o que limpa a data efetiva especificada originalmente.

As mudanças no valor do período mínimo de retenção aplicado são válidas apenas para backups criados após a atualização. As mudanças no valor do período de armazenamento mínima aplicada não afetam a retenção restante para backups que já existem no backup vault. Para garantir que a criação de backups não falhe, confirme que a retenção mínima aplicada não excede o cronograma de exclusão de backup definido pelos planos de backup associados.

Ao aumentar o período de armazenamento aplicado de um backup vault, verifique se ele não excede o período de armazenamento no plano de backup para todos os backups que você vai armazenar no backup vault. Se o valor alterado for maior que o período de retenção de backup, o serviço de backup e DR vai processar essas mudanças de maneira diferente com base no tipo de plano de backup.

• Planos baseados no console do Google Cloud : as mudanças no valor do cofre de backup são impedidas.

• Planos baseados no console de gerenciamento: as mudanças no valor do cofre de backup são permitidas, mas é necessário atualizar imediatamente os planos de backup relevantes para especificar uma retenção igual ou maior que o período mínimo de retenção aplicado pelo cofre de backup atualizado para evitar falhas nos backups.

  Os backups gerados enquanto a retenção do plano é menor que a retenção mínima aplicada do backup vault são criados com o período de armazenamento aplicado definido como a retenção mínima aplicada do backup vault. Além disso, a expiração do backup é definida para ocorrer após o período de armazenamento obrigatório ter sido atendido.

Use as instruções a seguir para atualizar o período mínimo de retenção aplicada em um backup vault.

Excluir um cofre de backup

Os repositórios de backup só podem ser excluídos se não contiverem backups. Para excluir um cofre de backup, primeiro exclua todos os backups contidos nele se eles estiverem qualificados para exclusão.

Use as instruções a seguir para excluir um cofre de backup.

Conceder acesso ao agente de serviço do backup vault e aos dispositivos de backup/recuperação

Cada cofre de backup criado tem um agente de serviço exclusivo vinculado a ele. Para alguns tipos de recurso, o agente de serviço é usado para realizar ações em nome do serviço de backup e DR e, portanto, precisa receber as permissões adequadas nos projetos, onde o agente de serviço do backup vault precisa acessar. Um agente de serviço é uma conta serviço gerenciado pelo Google. Para mais informações, consulte Agentes de serviço.

Para alguns tipos de recursos, como o Google Cloud VMware Engine, os bancos de dados Oracle e SQL Server, o dispositivo de backup/recuperação precisa realizar ações no cofre de backup. Nesses casos, o dispositivo de backup/recuperação precisa de permissões adequadas no backup vault.

Conceder um papel ao agente de serviço

Depois de encontrar o endereço de e-mail do agente de serviço, é possível conceder um papel a ele da mesma forma que faria com qualquer outro principal.

Para fazer backup de uma instância de VM do Compute Engine em um projeto diferente daquele em que o backup vault foi criado, conceda o papel do IAM de operador de backup e DR do Compute Engine (roles/backupdr.computeEngineOperator) ao agente de serviço do backup vault no projeto do Compute Engine. No entanto, para fazer backup de uma instância de VM do Compute Engine no projeto em que o backup vault foi criado, não é necessário conceder papéis.

Para restaurar uma instância do Compute Engine, é necessário conceder ao agente de serviço do backup vault a função do IAM Operador de Backup e DR do Compute Engine (roles/backupdr.computeEngineOperator) no seu projeto de restauração.

Use as instruções a seguir para conceder uma função ao agente de serviço.

Conceder papéis à conta de serviço do dispositivo de backup/recuperação

Só é possível acessar um backup vault do projeto do dispositivo de backup/recuperação depois que a conta de serviço do dispositivo recebe os papéis de IAM de acessório de backup e DR (roles/backupdr.backupvaultAccessor) e de listador de backup e DR de backup vault (roles/backupdr.backupvaultLister) no projeto do backup vault. Sem essas funções, não é possível acessar o backup vault para concluir a configuração e ativar a criação de backups.

Depois de conceder papéis à conta de serviço do appliance de backup/recuperação, é possível fazer backup e restaurar bancos de dados do Google Cloud VMware Engine, do Oracle e do SQL Server em um cofre de backup usando o console de gerenciamento.

Use as instruções a seguir para conceder papéis à conta de serviço do dispositivo de backup/recuperação:

1. No console do Google Cloud , acesse a página Instâncias de VM em que o dispositivo foi criado.

   Acessar a página "Instâncias de VM"

2. Clique na instância do Compute Engine para a qual você quer acessar a conta de serviço.

3. Na seção Gerenciamento de APIs e identidades, copie o endereço de e-mail da conta de serviço no campo Conta de serviço.

4. No console do Google Cloud , acesse as funções do IAM no projeto do cofre de backup.

   Acessar IAM

5. Clique em Conceder acesso.

6. No campo Novos princípios, insira o endereço de e-mail da conta de serviço do dispositivo.

7. Na lista Selecionar um papel, selecione o papel Acessor de backup e DR do Backup Vault.

8. Opcional: para garantir que o dispositivo de backup/recuperação só tenha acesso a um backup vault específico, clique em add Adicionar condição do IAM ao lado do papel Acessador de Backup e DR do Backup Vault.

   1. No campo Título, insira um nome para a condição.

   2. Clique na guia Editor da condição.

      • No campo Editor de expressão CEL, insira a seguinte expressão.

        resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
        /{name}/") == ("BACKUPVAULT_NAME") || resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
        /{name}") == ("BACKUPVAULT_NAME") || resource.name.extract("operations/{op}") != ""```
        

      Substitua:

      • BACKUPVAULT_NAME: o nome do cofre de backup.
      • PROJECT_ID: o nome do projeto em que o cofre de backup foi criado.

      • LOCATION: o local do cofre de backup.

        Para adicionar acesso a outros repositórios de backup, adicione outras instruções "resource.name.startsWith" (com o operador lógico "||" OR) conforme necessário.

        Por exemplo, a declaração a seguir autoriza um repositório de backup chamado "bv-test" e um repositório de backup chamado "user-bv1", ambos localizados em um projeto chamado "testproject" e na região "us-central1".

        resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}/") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}/") == ("user-bv1") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}") == ("user-bv1") || resource.name.extract("operations/{op}") != ""```
        

   3. Clique em Salvar.

   4. Clique em Adicionar outro papel.

   5. Na lista Selecionar um papel, selecione o papel Backup e DR Backup Vault Lister.

9. Clique em Salvar.

A seguir

• Gerenciar fontes de dados
• Gerenciar backups