Proteggere le nuove istanze Compute Engine utilizzando il piano di backup predefinito

Il servizio di backup e RE utilizza i piani di backup per controllare quando e come viene eseguito il backup delle risorse di dati e per quanto tempo e in tutta sicurezza conservare i backup. Puoi creare piani di backup diversi per esigenze diverse e il servizio Backup e DR fornisce un piano di backup predefinito per proteggere le istanze Compute Engine.

Che cos'è un piano di backup?

Questa pagina descrive il piano di backup predefinito per le risorse nel vault, i relativi vantaggi, il funzionamento e le limitazioni.

Il piano di backup predefinito

Un piano di backup predefinito, simile ai piani di backup creati nella console Google Cloud, offre un approccio semplificato per proteggere le VM Compute Engine. Puoi applicare automaticamente il piano di backup predefinito a una nuova VM Compute Engine quando attivi il servizio Backup & DR nel tuo progetto e disponi delle autorizzazioni necessarie per creare la VM. Il piano di backup predefinito elimina la necessità di creare manualmente un piano di backup tramite il servizio di Backup e DR, garantendo un livello di protezione di base per le VM.

Impostazioni predefinite del piano di backup

Il piano di backup predefinito crea un backup giornaliero. Il backup viene archiviato per 14 giorni nel vault di backup predefinito, di cui il primo giorno è immutabile. Per il resto dei 14 giorni, il backup può essere eliminato da un utente autorizzato. Dopo 14 giorni il backup viene eliminato automaticamente.

Impostazione Valore
Pianificazione backup Ogni giorno dalle ore 00:00 alle ore 06:00 nel fuso orario locale della regione.
Archiviazione Il vault di backup predefinito
Conservazione 14 giorni
Conservazione forzata Un giorno

Puoi modificare la pianificazione del backup e la durata di archiviazione nel piano di backup.

Puoi modificare il periodo di conservazione applicato modificando il backup vault.

Se il piano di backup predefinito non soddisfa i requisiti della tua organizzazione, puoi selezionare un piano diverso durante la creazione della VM o scegliere di disattivarlo utilizzando l'opzione Nessun backup.

Vantaggi

Il piano di backup predefinito offre i seguenti vantaggi:

  • Migliora la protezione dei dati: il piano di backup predefinito migliora il livello di protezione di base per tutte le nuove VM create tramite la console Google Cloud. In questo modo minimizzi il rischio di perdita di dati a causa di eliminazioni accidentali, attacchi informatici o altri eventi imprevisti.
  • Semplifica la gestione della protezione dei dati: l'applicazione automatica di un piano di backup predefinito elimina la necessità di configurazione manuale, semplificando la protezione delle VM fin dal primo giorno.
  • Promuovi le best practice: il piano di backup predefinito promuove una protezione solida dei dati in tutto l' Google Cloud ambiente.

Come funziona il piano di backup predefinito per le istanze Compute Engine

Quando crei una nuova istanza Compute Engine, puoi specificare se vuoi che un'istanza Compute Engine utilizzi un piano di backup predefinito o crei un nuovo piano di backup con configurazione manuale. Se lasci l'opzione del piano di backup predefinito, viene creato automaticamente un vault di backup predefinito nello stesso progetto con il periodo di conservazione forzato minimo di un giorno. Il vault di backup predefinito non blocca il periodo di conservazione, ma puoi modificare il periodo di conservazione minimo e attivare il blocco della conservazione. Per le istruzioni, consulta Aggiornare il periodo di conservazione minimo applicato in un backup vault esistente. Tieni presente che il piano di backup predefinito non può essere modificato dopo la creazione. Puoi applicare un solo piano di backup predefinito per regione supportata per un'istanza Compute Engine.

Il piano di backup predefinito crea automaticamente i backup giornalieri tra le 00:00 e le 06:00 nell'ora locale del carico di lavoro. Questi backup vengono conservati per 14 giorni nel vault di backup predefinito. Il piano di backup predefinito ha una norma di eliminazione dei backup per un giorno.

Il piano di backup predefinito si chiama default-compute-instance-plan-<region>. Esiste un piano di backup predefinito per ogni regione supportata. Questo piano fornisce la stessa protezione per tutte le istanze Compute Engine associate nelle regioni.

Il piano di backup predefinito è disponibile solo per le nuove VM Compute Engine create tramite la console Google Cloud. Non influisce sulle VM esistenti o sulle relative configurazioni di protezione dei dati. Se stai proteggendo gli snapshot dei dischi permanenti multiregionali, puoi continuare a proteggere le tue VM tramite la console di gestione esistente per assicurarti di avere il supporto degli snapshot dei dischi permanenti multiregione.

Limitazioni

  • Non è possibile utilizzare un piano di backup predefinito se la VM viene creata in una regione non supportata dal servizio di Backup e DR.
  • Puoi utilizzare il piano di backup predefinito solo nella stessa regione in cui risiede l'istanza Compute Engine.
  • Puoi applicare un solo piano di backup predefinito per regione.

Domande frequenti: funzionalità del piano di backup predefinito per le nuove VM Compute Engine

Il servizio di backup e RE introduce un piano di backup predefinito per le nuove VM Compute Engine create tramite la console Google Cloud. Ecco cosa devi sapere:

D: Che cosa cambia?

R: alle nuove VM Compute Engine create tramite la console Google Cloud può essere applicato automaticamente un piano di backup predefinito se nel progetto è attivato il servizio di backup e RP e l'utente che crea la VM dispone delle autorizzazioni necessarie.

D: Perché Google Cloud stiamo apportando questa modifica?

R: siamo consapevoli dell'importanza fondamentale della protezione dei tuoi dati e dei tuoi carichi di lavoro preziosi in Compute Engine. Questa modifica mira a:

  • Migliora la protezione dei dati: il piano di backup predefinito migliora il livello di protezione di base per tutte le nuove VM create tramite la console Google Cloud. In questo modo si riduce al minimo il rischio di perdita di dati a causa di eliminazioni accidentali, attacchi informatici o altri eventi imprevisti.
  • Semplifica la gestione della protezione dei dati: l'applicazione automatica di un piano di backup predefinito elimina la necessità di configurazione manuale, semplificando la protezione delle VM fin dal primo giorno.
  • Promuovere le best practice: questa modifica incoraggia l'adozione di solide misure di protezione dei dati nell' Google Cloud ambiente.

Grazie a questo miglioramento, i tuoi carichi di lavoro avranno un livello di protezione di base migliore, che ti consentirà di concentrarti su altri aspetti critici della tua attività.

D: Le mie VM esistenti sono interessate?

R: No, questa modifica non influirà sulle VM esistenti o sulle relative configurazioni di protezione dei dati attuali. Sono interessate solo le nuove VM create tramite la console Google Cloud.

D: Che cosa succede se creo VM utilizzando l'automazione o Terraform?

R: le VM create utilizzando Google Cloud CLI, Terraform o altre API non saranno interessate da questa modifica.

D: Posso disattivare il piano di backup predefinito?

R: Sì, puoi disattivare o scegliere un altro piano di backup durante la procedura di creazione della VM nella console Google Cloud. Le troverai nella nuova scheda Protezione dei dati.

D: Sto proteggendo le VM con la protezione basata su tag di Backup e DR. Questa protezione cambierà?

R: No, la protezione esistente di Backup e DR, inclusa la protezione basata su tag, rimarrà invariata. Questo aggiornamento interessa solo le nuove VM create tramite la console Cloud dopo il rilascio di questa funzionalità. La protezione basata su tag può identificare se una VM ha un piano predefinito e non proteggerà due volte la tua istanza se viene applicato un tag. Se vuoi utilizzare la protezione basata su tag, dovrai contrassegnare la VM come Nessun backup e continuare a taggarla.

D: Che cosa succede se la VM creata si trova in una regione diversa in cui il piano di backup non è supportato?

R: un utente non può utilizzare i piani di backup predefiniti se la VM viene creata in una regione non supportata da Backup e DR.

D: Devo fare qualcosa per assicurarmi che la mia protezione di backup e RE esistente rimanga invariata?

R: Non è necessario alcun intervento da parte tua. Le VM esistenti e le relative configurazioni di backup associate non verranno modificate automaticamente.

D.: Devo passare a questo nuovo schema di protezione utilizzando il piano predefinito?

A: dipende dalle tue esigenze specifiche e dalla configurazione attuale. Prendi in considerazione questi fattori:

  • Facilità d'uso: il piano predefinito offre una soluzione di base per la protezione di VM di base, fornendo un backup giornaliero conservato per 14 giorni.
  • Personalizzazione: se il piano predefinito non soddisfa i requisiti della tua organizzazione, puoi scegliere un piano diverso durante la creazione della VM o disattivare l'opzione utilizzando l'opzione Nessun backup.

D: Se proteggo gli snapshot dei dischi permanenti multiregionali, probabilmente non voglio che le mie nuove VM vengano trasferite in una vault di backup regionale. Come faccio ad assicurarmi?

R: puoi continuare a proteggere le tue VM tramite la console di gestione.

D: Sono cliente di Backup e DR, ma non proteggo le VM (ad esempio, solo i database). Significa che le mie nuove VM inizieranno a essere protette con una cassetta di sicurezza di backup?

R: Sì, se crei nuove VM tramite la console Google Cloud e hai attivato il servizio di backup e DR con le autorizzazioni necessarie, queste verranno protette con il piano di backup predefinito e la vault predefinita associata. Se vuoi utilizzare un piano di backup diverso, puoi selezionarlo quando crei la VM. Se non vuoi proteggere la tua VM tramite questa nuova esperienza, seleziona l'opzione Nessun backup.

D: Quali sono le differenze tra questo nuovo piano di backup predefinito e la mia attuale protezione del disco permanente (supponendo che io utilizzi gli snapshot)?

R: Entrambi offrono protezione dei dati, ma con differenze fondamentali:

  • Snapshot: singoli backup dei dischi soggetti a cyberattacchi ed eliminazioni dannose se un malintenzionato ha accesso ai progetti in cui si trovano gli snapshot.
  • Backup e DR: offre la possibilità di archiviare i backup in un backup vault che fornisce protezione contro attacchi di ransomware ed eliminazioni dannose. Definisci la durata sia dello spazio di archiviazione del backup sia della relativa conservazione obbligatoria.

D: Devo utilizzare o meno la protezione predefinita del piano di backup?

R: in ultima analisi, la decisione dipende dalle esigenze e dalle preferenze della tua organizzazione specifica. Il piano di backup predefinito ti consente di dormire sonni tranquilli sapendo che tutte le VM hanno un livello di protezione di base. Puoi rimuovere la protezione e passare all'utilizzo di snapshot di dischi permanenti oppure scegliere un piano di backup diverso in Backup e DR per eseguire i backup. Se hai esigenze di backup complesse, ti consigliamo di configurare i tuoi criteri di piano di backup per carichi di lavoro specifici.

D: Posso disattivare questa funzionalità tramite i criteri dell'organizzazione?

R: No, non puoi utilizzare i criteri dell'organizzazione per disattivare questa funzionalità. Se non intendi proteggere la tua VM, seleziona l'opzione Nessun backup. Inoltre, puoi personalizzare la configurazione predefinita nella pagina delle impostazioni di Compute Engine.

D: Quali autorizzazioni sono necessarie per utilizzare i piani di backup predefiniti?

R: Per utilizzare i piani di backup, devi disporre dell'autorizzazione backupdr.serviceConfig.initialize se utilizzi un ruolo personalizzato nelle impostazioni IAM. Se utilizzi uno dei ruoli predefiniti di Backup e DR, come Backup and DR Admin o Backup and DR User V2, le autorizzazioni saranno disponibili automaticamente. Se utilizzi un ruolo computeAdmin o computeInstanceAdmin, le autorizzazioni sono state aggiunte automaticamente anche a questi ruoli. L'elenco finale delle autorizzazioni che aggiungeremo ai ruoli roles/compute.admin, roles/compute.instanceAdmin e roles/compute.instanceAdmin.v1 è il seguente:

  • backupdr.backupPlans.useForComputeInstance
  • backupdr.serviceConfig.initialize
  • backupdr.backupPlanAssociations.createForComputeInstance
  • backupdr.backupPlanAssociations.deleteForComputeInstance
  • backupdr.backupPlanAssociations.triggerBackupForComputeInstance
  • backupdr.backupPlanAssociations.list
  • backupdr.locations.list

D: Chi posso contattare per ulteriori domande?

R: per eventuali altre domande, contattaci all'indirizzo gcbdr-default-backup-plans@google.com.