Protéger les nouvelles instances Compute Engine à l'aide du plan de sauvegarde par défaut

Le service Backup and DR utilise des plans de sauvegarde pour contrôler quand et comment vos ressources de données sont sauvegardées, ainsi que la durée et la sécurité de conservation des sauvegardes. Vous pouvez créer différents plans de sauvegarde pour différents besoins. Le service Backup and DR fournit un plan de sauvegarde par défaut pour protéger les instances Compute Engine.

Qu'est-ce qu'un plan de sauvegarde ?

Cette page décrit le plan de sauvegarde par défaut pour les ressources de l'espace de stockage sécurisé, ses avantages, son fonctionnement et ses limites.

Plan de sauvegarde par défaut

Un plan de sauvegarde par défaut, semblable aux plans de sauvegarde créés dans la console Google Cloud, offre une approche simplifiée pour protéger vos VM Compute Engine. Vous pouvez appliquer automatiquement le plan de sauvegarde par défaut à une nouvelle VM Compute Engine lorsque vous activez le service Backup and DR dans votre projet et que vous disposez des autorisations requises pour créer la VM. Le plan de sauvegarde par défaut vous évite de créer manuellement un plan de sauvegarde via le service Backup and DR, ce qui garantit un niveau de protection de référence pour vos VM.

Paramètres du plan de sauvegarde par défaut

Le plan de sauvegarde par défaut crée une sauvegarde quotidienne. Il stocke la sauvegarde pendant 14 jours dans le coffre de sauvegarde par défaut, dont le premier jour est immuable. Pendant les 14 jours restants, la sauvegarde peut être supprimée par un utilisateur autorisé. Au bout de 14 jours, la sauvegarde est automatiquement supprimée.

Paramètre Valeur
Planning des sauvegardes Tous les jours entre 00h00 et 06h00, dans le fuseau horaire local de la région.
Stockage Coffre de sauvegarde par défaut
Fidélisation 14 jours
Conservation appliquée Un jour

Vous pouvez modifier la planification des sauvegardes et la durée de conservation dans le plan de sauvegarde.

Vous pouvez modifier la période de conservation appliquée en modifiant le coffre-fort de sauvegarde.

Si le plan de sauvegarde par défaut ne répond pas aux exigences de votre organisation, vous pouvez sélectionner un autre plan lors de la création de la VM ou désactiver les sauvegardes à l'aide de l'option Aucune sauvegarde.

Avantages

Le plan de sauvegarde par défaut offre les avantages suivants:

  • Amélioration de la protection des données: le plan de sauvegarde par défaut améliore le niveau de protection de base pour toutes les nouvelles VM créées via la console Google Cloud. Cela réduit le risque de perte de données en cas de suppression accidentelle, de cyberattaque ou d'autres événements imprévus.
  • Simplifiez la gestion de la protection des données: l'application automatique d'un plan de sauvegarde par défaut élimine le besoin de configuration manuelle, ce qui facilite la protection de vos VM dès le premier jour.
  • Promouvoir les bonnes pratiques: le plan de sauvegarde par défaut favorise une protection robuste des données dans l'ensemble de votre environnement Google Cloud .

Fonctionnement du plan de sauvegarde par défaut pour les instances Compute Engine

Lorsque vous créez une instance Compute Engine, vous pouvez spécifier si vous souhaitez qu'elle utilise un plan de sauvegarde par défaut ou créer un plan de sauvegarde avec une configuration manuelle. Si vous laissez l'option de plan de sauvegarde par défaut, un coffre de sauvegarde par défaut est automatiquement créé dans le même projet avec une période de conservation minimale appliquée d'un jour. Le coffre de sauvegarde par défaut ne verrouille pas la période de conservation. Toutefois, vous pouvez modifier la période de conservation minimale et activer le verrouillage de la conservation. Pour obtenir des instructions, consultez la section Mettre à jour la période de conservation minimale appliquée à un backup vault existant. Notez que le plan de sauvegarde par défaut ne peut pas être modifié après sa création. Vous ne pouvez appliquer qu'un seul plan de sauvegarde par défaut par région compatible pour une instance Compute Engine.

Le plan de sauvegarde par défaut crée automatiquement des sauvegardes quotidiennes entre 00h00 et 06h00 dans le fuseau horaire local de la charge de travail. Ces sauvegardes sont conservées pendant 14 jours dans le coffre de sauvegarde par défaut. Le plan de sauvegarde par défaut dispose d'une stratégie de suppression des sauvegardes d'un jour.

Le plan de sauvegarde par défaut est nommé default-compute-instance-plan-<region>. Il existe un plan de sauvegarde par défaut pour chaque région prise en charge. Ce forfait offre la même protection à toutes les instances Compute Engine associées dans les régions.

Le plan de sauvegarde par défaut n'est disponible que pour les nouvelles VM Compute Engine créées via la console Google Cloud. Cela n'a aucune incidence sur les VM existantes ni sur leurs configurations de protection des données. Si vous protégez des instantanés de disques persistants multirégionaux, vous pouvez continuer à protéger vos VM via la console de gestion existante pour vous assurer que vous disposez de la prise en charge des instantanés de disques persistants multirégionaux.

Limites

  • Vous ne pouvez pas utiliser de plan de sauvegarde par défaut si la VM est créée dans une région non compatible avec le service Backup and DR.
  • Vous ne pouvez utiliser le plan de sauvegarde par défaut que dans la même région que l'instance Compute Engine.
  • Vous ne pouvez appliquer qu'un seul plan de sauvegarde par défaut par région.

Questions fréquentes: Fonctionnalité de plan de sauvegarde par défaut pour les nouvelles VM Compute Engine

Le service Backup and DR introduit un plan de sauvegarde par défaut pour les nouvelles VM Compute Engine créées via la console Google Cloud. Voici ce que vous devez savoir:

Q: Qu'est-ce qui change ?

A: Un plan de sauvegarde par défaut peut être automatiquement appliqué aux nouvelles VM Compute Engine créées via la console Google Cloud si le service de sauvegarde et de reprise après sinistre est activé dans le projet et que l'utilisateur qui crée la VM dispose des autorisations nécessaires.

Q: Pourquoi Google Cloud apporte-t-il ce changement ?

R: Nous sommes conscients de l'importance cruciale de protéger vos données et charges de travail importantes dans Compute Engine. Ce changement vise à:

  • Amélioration de la protection des données: le plan de sauvegarde par défaut améliore le niveau de protection de base pour toutes les nouvelles VM créées via la console Google Cloud. Vous limitez ainsi le risque de perte de données en cas de suppression accidentelle, de cyberattaque ou d'autres événements imprévus.
  • Simplifiez la gestion de la protection des données: l'application automatique d'un plan de sauvegarde par défaut élimine le besoin de configuration manuelle, ce qui facilite la protection de vos VM dès le premier jour.
  • Promouvoir les bonnes pratiques: ce changement encourage l'adoption de mesures de protection des données robustes dans l'ensemble de votre Google Cloud environnement.

Grâce à cette amélioration, vos charges de travail bénéficieront d'un niveau de protection de base amélioré, ce qui vous permettra de vous concentrer sur d'autres aspects critiques de votre activité.

Q: Mes VM existantes sont-elles concernées ?

A: Non, ce changement n'aura aucune incidence sur vos VM existantes ni sur leurs configurations de protection des données actuelles. Seules les nouvelles VM créées via la console Google Cloud sont concernées.

Q: Que se passe-t-il si je crée des VM à l'aide de l'automatisation ou de Terraform ?

A: Les VM créées à l'aide de la Google Cloud CLI, de Terraform ou d'autres API ne seront pas affectées par ce changement.

Q: Puis-je désactiver le plan de sauvegarde par défaut ?

R: Oui, vous pouvez désactiver la sauvegarde ou choisir un autre plan de sauvegarde lors du processus de création de la VM dans la console Google Cloud. Vous trouverez ces options dans le nouvel onglet Protection des données.

Q: Je protège des VM avec la protection basée sur des tags Backup and DR. Cette protection va-t-elle changer ?

R: Non, votre protection existante de sauvegarde et de reprise après sinistre, y compris la protection basée sur les tags, ne changera pas. Cette mise à jour ne concerne que les nouvelles VM créées via la console Cloud après la publication de cette fonctionnalité. La protection basée sur les tags peut identifier si une VM dispose d'un plan par défaut et ne doublera pas la protection de votre instance si une balise est appliquée. Vous devez marquer la VM comme Aucune sauvegarde et continuer à la taguer si vous souhaitez utiliser la protection basée sur les tags.

Q: Que se passe-t-il si la VM créée se trouve dans une région différente où le plan de sauvegarde n'est pas pris en charge ?

A: Un utilisateur ne peut pas utiliser de plans de sauvegarde par défaut si la VM est créée dans une région non compatible avec Backup and DR.

Q: Dois-je faire quelque chose pour que ma protection de sauvegarde et de reprise après sinistre reste inchangée ?

A: Aucune action n'est requise de votre part. Vos VM existantes et leurs configurations de sauvegarde associées ne seront pas modifiées automatiquement.

Q: Dois-je passer à ce nouveau système de protection en utilisant le forfait par défaut ?

A: Cela dépend de vos besoins spécifiques et de votre configuration actuelle. Tenez compte des facteurs suivants:

  • Facilité d'utilisation: le forfait par défaut offre une solution de base pour la protection de base des VM, avec une sauvegarde quotidienne conservée pendant 14 jours.
  • Personnalisation: si le plan par défaut ne répond pas aux exigences de votre organisation, vous pouvez choisir un autre plan lors de la création de la VM ou désactiver la sauvegarde à l'aide de l'option Aucune sauvegarde.

Q: Si je protège des instantanés de disques persistants multirégionaux, je ne souhaite probablement pas que mes nouvelles VM soient stockées dans un coffre de sauvegarde régional. Comment puis-je m'en assurer ?

A: Vous pouvez continuer à protéger vos VM via la console de gestion.

Q: Je suis client Backup and DR, mais je ne protège pas les VM (par exemple, uniquement les bases de données). Cela signifie-t-il que mes nouvelles VM commenceront à être protégées par un coffre-fort de sauvegarde ?

R: Oui. Si vous créez des VM via la console Google Cloud et que le service de sauvegarde et de reprise après sinistre est activé avec les autorisations nécessaires, elles seront protégées par le plan de sauvegarde par défaut et le coffre-fort par défaut associé. Si vous souhaitez utiliser un autre plan de sauvegarde, vous pouvez le sélectionner lorsque vous créez la VM. Si vous ne souhaitez pas protéger votre VM via cette nouvelle expérience, sélectionnez l'option Aucune sauvegarde.

Q: Quelle est la différence entre ce nouveau plan de sauvegarde par défaut et ma protection actuelle des disques persistants (en supposant que j'utilise des instantanés) ?

A: Les deux offrent une protection des données, mais avec des différences importantes:

  • Instantanés: sauvegardes de disque individuelles sujettes aux cyberattaques et aux suppressions malveillantes si un acteur malintentionné a accès aux projets dans lesquels les instantanés résident.
  • Sauvegarde et reprise après sinistre: permet de stocker des sauvegardes dans un coffre de sauvegarde qui protège contre les attaques de rançongiciels et les suppressions malveillantes. Vous définissez la durée du stockage des sauvegardes et de leur conservation forcée.

Q: Dois-je utiliser la protection par défaut du plan de sauvegarde ?

A: En définitive, la décision dépend des exigences et des préférences de votre organisation. Le plan de sauvegarde par défaut vous permet de savoir que toutes les VM disposent d'un niveau de protection de référence. Vous pouvez supprimer la protection et utiliser des instantanés de disque persistant, ou choisir un autre plan de sauvegarde dans Backup and DR pour effectuer des sauvegardes. Si vous avez des besoins de sauvegarde complexes, nous vous recommandons de configurer vos propres règles de plan de sauvegarde pour des charges de travail spécifiques.

Q: Puis-je désactiver cette fonctionnalité via la stratégie de l'organisation ?

R: Non, vous ne pouvez pas utiliser la règle d'administration pour désactiver cette fonctionnalité. Si vous n'avez pas l'intention de protéger votre VM, sélectionnez l'option Aucune sauvegarde. En outre, vous pouvez personnaliser votre configuration par défaut sur la page des paramètres de Compute Engine.

Q: De quelles autorisations ai-je besoin pour utiliser les plans de sauvegarde par défaut ?

A: Vous avez besoin de l'autorisation backupdr.serviceConfig.initialize pour utiliser des plans de sauvegarde si vous utilisez un rôle personnalisé dans vos paramètres IAM. Si vous utilisez l'un des rôles prédéfinis de sauvegarde et de reprise après sinistre, tels que Backup and DR Admin ou Backup and DR User V2, les autorisations seront automatiquement disponibles. Si vous utilisez un rôle computeAdmin ou computeInstanceAdmin, les autorisations ont également été automatiquement ajoutées à ces rôles. Voici la liste finale des autorisations que nous allons ajouter aux rôles roles/compute.admin, roles/compute.instanceAdmin et roles/compute.instanceAdmin.v1:

  • backupdr.backupPlans.useForComputeInstance
  • backupdr.serviceConfig.initialize
  • backupdr.backupPlanAssociations.createForComputeInstance
  • backupdr.backupPlanAssociations.deleteForComputeInstance
  • backupdr.backupPlanAssociations.triggerBackupForComputeInstance
  • backupdr.backupPlanAssociations.list
  • backupdr.locations.list

Q: Qui puis-je contacter si j'ai d'autres questions ?

R: Si vous avez d'autres questions, contactez-nous à l'adresse gcbdr-default-backup-plans@google.com.