Proteger novas instâncias do Compute Engine usando o plano de backup padrão

Esta página descreve o plano de backup padrão para recursos protegidos, os benefícios dele, como ele funciona e as limitações.

O serviço de backup e DR usa planos de backup para controlar quando e como os recursos de dados são armazenados em backup, além de por quanto tempo e com que segurança os backups são mantidos. É possível criar planos de backup diferentes para necessidades diferentes, e o serviço de Backup e DR fornece um plano de backup padrão para proteger as instâncias do Compute Engine.

O que é um plano de backup?

Visão geral do plano de backup padrão do serviço de backup e DR

Um plano de backup padrão, semelhante aos planos de backup criados no console Google Cloud , oferece uma abordagem simplificada para proteger suas VMs do Compute Engine. É possível aplicar automaticamente o plano de backup padrão a uma nova VM do Compute Engine quando você ativa o serviço de backup e DR no seu projeto e tem as permissões necessárias para criar a VM. O plano de backup padrão elimina a necessidade de criar manualmente um plano de backup pelo serviço de Backup e DR, criando um nível básico de proteção para suas VMs.

Configurações padrão do plano de backup

O plano de backup padrão cria um backup diário. Ele armazena o backup por 14 dias no backup vault padrão, sendo o primeiro dia imutável. Durante os 14 dias restantes, o backup pode ser excluído por um usuário autorizado. Após 14 dias, o backup é excluído automaticamente.

Configuração Valor
Programação de backup Diariamente entre 00:00 e 06:00 no fuso horário local da região.
Armazenamento O backup vault padrão
Retenção 14 dias
Retenção obrigatória Um dia

É possível modificar a programação de backup e a duração do armazenamento no plano de backup.

É possível editar o período de armazenamento obrigatória no backup vault.

Se o plano de backup padrão não atender aos requisitos da sua organização, você poderá selecionar um plano diferente durante a criação da VM ou desativar usando a opção Sem backups.

Vantagens

O plano de backup padrão oferece os seguintes benefícios:

  • Melhorar a proteção de dados: o plano de backup padrão melhora o nível de proteção de todas as novas VMs criadas no console do Google Cloud . Isso minimiza o risco de perda de dados por exclusões acidentais, ataques cibernéticos ou outros eventos imprevistos.
  • Simplifique o gerenciamento da proteção de dados: a aplicação automática de um plano de backup padrão elimina a necessidade de configuração manual, facilitando a proteção das suas VMs desde o primeiro dia.
  • Promova as práticas recomendadas: o plano de backup padrão promove uma proteção robusta de dados em todo o ambiente do Google Cloud .

Como funciona o plano de backup padrão para instâncias do Compute Engine

Ao criar uma instância do Compute Engine, você pode especificar se quer que ela use um plano de backup padrão ou criar um novo plano com configuração manual. Se você deixar a opção de plano de backup padrão, um backup vault padrão será criado automaticamente no mesmo projeto com o período mínimo de retenção aplicado de um dia. O backup vault padrão não bloqueia o período de armazenamento. No entanto, é possível modificar o período mínimo de retenção e ativar o bloqueio de retenção. Para instruções, consulte Atualizar o período mínimo de retenção obrigatória em um backup vault atual. O plano de backup padrão não pode ser modificado após a criação. Só é possível aplicar um plano de backup padrão por região compatível a uma instância do Compute Engine.

O plano de backup padrão cria automaticamente backups diários entre 0h e 6h no fuso horário local da região da carga de trabalho. Esses backups são retidos por 14 dias no backup vault padrão. O plano de backup padrão tem uma política de exclusão de backup de um dia.

O plano de backup padrão é chamado de default-compute-instance-plan-<region>. Há um plano de backup padrão para cada região compatível. Esse plano oferece a mesma proteção para todas as instâncias associadas do Compute Engine nas regiões.

O plano de backup padrão está disponível apenas para novas VMs do Compute Engine criadas pelo console Google Cloud . Isso não afeta as VMs atuais nem as configurações de proteção de dados delas. Se você estiver protegendo VMs usando snapshots multirregionais de Persistent Disk, poderá configurar manualmente a proteção em cofres de backup multirregionais.

Limitações

  • Um plano de backup padrão não pode ser usado se a VM for criada em uma região que não é compatível com o serviço de Backup e DR.
  • Só é possível usar o plano de backup padrão na mesma região em que a instância do Compute Engine está localizada.
  • Só é possível aplicar um plano de backup padrão por região.

Planos de backup padrão para novas máquinas virtuais do Compute Engine

O serviço de backup e DR apresenta um plano de backup padrão para novas VMs do Compute Engine criadas pelo console Google Cloud . Confira o que você precisa saber:

Como as novas VMs do Compute Engine são afetadas

As novas VMs do Compute Engine criadas pelo console do Google Cloud terão um plano de backup padrão aplicado automaticamente se o projeto tiver o serviço de Backup e DR ativado e o usuário que criar a VM tiver as permissões necessárias.

Vantagens

Reconhecemos a importância de proteger seus dados e cargas de trabalho valiosos no Compute Engine. Essa mudança tem como objetivo:

  • Melhorar a proteção de dados: o plano de backup padrão melhora o nível básico de proteção para todas as novas VMs criadas pelo console Google Cloud . Isso minimiza o risco de perda de dados devido a exclusões acidentais, ataques cibernéticos ou outros eventos imprevistos.
  • Simplifique o gerenciamento da proteção de dados: a aplicação automática de um plano de backup padrão elimina a necessidade de configuração manual, facilitando a proteção das suas VMs desde o primeiro dia.
  • Promover práticas recomendadas: essa mudança incentiva a adoção de medidas robustas de proteção de dados em todo o ambiente do Google Cloud .

Com essa melhoria, suas cargas de trabalho têm um nível fundamental de proteção aprimorado, permitindo que você se concentre em outros aspectos críticos da sua empresa.

Como as VMs atuais são afetadas

Essa mudança não afeta as VMs atuais nem as configurações de proteção de dados. Apenas as novas VMs criadas pelo console Google Cloud são afetadas.

Como as VMs criadas usando automação ou Terraform são afetadas

As VMs criadas com a Google Cloud CLI, o Terraform ou outras APIs não serão afetadas por essa mudança.

P: Posso desativar o plano de backup padrão?

R: Sim, é possível recusar ou escolher outro plano de backup durante o processo de criação da VM no console Google Cloud . Essas opções estão na nova guia Proteção de dados. Configure os padrões do projeto com o valor de sua escolha.

P: Estou protegendo VMs com a proteção baseada em tags do Backup e DR. Essa proteção vai mudar?

R: Não. Sua proteção atual do Backup e DR, incluindo a proteção baseada em tags, vai continuar a mesma. Essa atualização só afeta as novas VMs criadas pelo console do Cloud depois que o recurso for lançado. A proteção baseada em tags pode identificar se uma VM tem um plano padrão e não vai proteger sua instância duas vezes se uma tag for aplicada. Marque a VM como Sem backups e continue a adicionar tags a ela se quiser usar a proteção baseada em tags.

P: Preciso fazer algo para garantir que minha proteção atual de Backup e DR permaneça como está?

R: Você não precisa fazer nada. As VMs atuais e as configurações de backup associadas não serão modificadas automaticamente.

P: Devo fazer a transição para esse novo esquema de proteção usando o plano padrão?

R: Depende das suas necessidades específicas e da configuração atual. Considere estes fatores:

  • Facilidade de uso: o plano padrão oferece uma solução básica para proteção de VM com um backup diário retido por 14 dias.
  • Personalização: se o plano padrão não atender aos requisitos da sua organização, escolha outro plano durante a criação da VM ou desative a opção usando Sem backups.

P: Se eu estiver protegendo VMs usando snapshots Persistent Disk multirregionais, provavelmente não vou querer que minhas novas VMs sejam direcionadas a um cofre de backup regional. Como posso garantir isso? (Visualização)

R: É possível configurar manualmente a proteção em backup vaults multirregionais.

P: Sou cliente do Backup e DR, mas não estou protegendo VMs (por exemplo, apenas bancos de dados). Isso significa que minhas novas VMs vão começar a ser protegidas com um backup vault?

R: Sim. Se você criar novas VMs pelo console Google Cloud e tiver o serviço de backup e DR ativado com as permissões necessárias, elas serão protegidas com o plano de backup padrão e o cofre padrão associado. Se você quiser usar um plano de backup diferente, selecione-o ao criar a VM. Se você não quiser proteger sua VM com essa nova experiência, selecione a opção Sem backups.

P: Como esse novo plano de backup padrão se compara à minha proteção atual de disco permanente (supondo que eu use snapshots)?

R: Ambas oferecem proteção de dados, mas com diferenças importantes:

  • Snapshots: backups de disco individuais sujeitos a ataques cibernéticos e exclusões maliciosas se um usuário mal-intencionado tiver acesso aos projetos em que os snapshots estão.
  • Backup e DR: oferece a capacidade de armazenar backups em um vault de backup que oferece proteção contra ataques de ransomware e exclusões maliciosas. Você define a duração do armazenamento de backup e da retenção forçada.

P: Devo usar a proteção padrão do plano de backup ou não?

R: Em última análise, a decisão depende dos requisitos e das preferências específicas da sua organização. O plano de backup padrão oferece a tranquilidade de saber que todas as VMs têm um nível básico de proteção. É possível remover a proteção e usar snapshots de disco permanente ou escolher outro plano de backup no Backup e DR para fazer backups. Se você tiver necessidades de backup complexas, recomendamos configurar suas próprias políticas de plano de backup para cargas de trabalho específicas.

P: O que aconteceria se a VM criada estivesse em uma região diferente em que o plano de backup não é compatível?

R: Um usuário não pode usar planos de backup padrão se a VM for criada em uma região que não é compatível com o Backup e DR.

P: Posso desativar esse recurso usando a política da organização?

R: Não, não é possível usar a política da organização para desativar esse recurso. Se você não pretende proteger sua VM, selecione a opção Sem backups. Além disso, é possível personalizar a configuração padrão na página de configurações do Compute Engine.

P: Quais permissões são necessárias para usar os planos de backup padrão?

R: Você precisa da permissão backupdr.serviceConfig.initialize para usar planos de backup se estiver usando um papel personalizado nas configurações do IAM. Se você estiver usando uma das funções predefinidas do Backup e DR, como Backup and DR Admin ou Backup and DR User V2, as permissões serão disponibilizadas automaticamente para uso. Se você estiver usando um papel computeAdmin ou computeInstanceAdmin, as permissões também serão adicionadas automaticamente a esses papéis. A lista final de permissões que vamos adicionar às funções roles/compute.admin, roles/compute.instanceAdmin e roles/compute.instanceAdmin.v1 é:

  • backupdr.backupPlans.useForComputeInstance
  • backupdr.serviceConfig.initialize
  • backupdr.backupPlanAssociations.createForComputeInstance
  • backupdr.backupPlanAssociations.deleteForComputeInstance
  • backupdr.backupPlanAssociations.triggerBackupForComputeInstance
  • backupdr.backupPlanAssociations.list
  • backupdr.locations.list

P: Com quem posso entrar em contato se tiver mais dúvidas?

R: Se você tiver mais dúvidas, entre em contato com gcbdr-default-backup-plans@google.com.