使用默认备份方案保护新的 Compute Engine 实例

本页面介绍了保险库资源默认备份方案的优势、工作原理和限制。

备份和灾难恢复服务采用备份方案来控制数据资源的备份时间和方式,以及备份的保留时间和安全性。 您可以根据不同的需求创建不同的备份方案,而 Backup and DR Service 提供默认备份方案来保护 Compute Engine 实例。

什么是备份方案?

Backup and DR Service 默认备份方案概览

默认备份方案与在 Google Cloud 控制台中创建的备份方案类似,可提供一种简化的方法来保护您的 Compute Engine 虚拟机。在项目中启用 Backup and DR Service 并拥有创建虚拟机的必要权限后,您可以在创建新的 Compute Engine 虚拟机时自动应用默认备份方案。借助默认备份方案,您无需通过 Backup and DR Service 手动创建备份方案,即可为虚拟机创建基准保护级别。

默认备份计划设置

默认备份方案会创建每日备份。它会将备份存储在默认备份保险柜中 14 天,其中第一天是不可变的。在剩余的 14 天内,授权用户可以删除备份。14 天后,系统会自动删除备份。

设置
备份计划 每天在相应区域本地时区的 00:00 至 06:00 之间运行。
存储 默认备份保险柜
保留 14 天
强制保留期限 有一天

您可以在备份方案中修改备份时间表和存储时长。

您可以通过修改备份保险柜来修改强制保留期限。

如果默认备份方案不符合贵组织的要求,您可以在创建虚拟机时选择其他方案,也可以选择使用无备份选项来选择停用。

优势

默认备份方案具有以下优势:

  • 增强数据保护:默认备份计划可提高通过 Google Cloud 控制台创建的所有新虚拟机的基准保护级别。这样可以最大限度地降低因意外删除、网络攻击或其他不可预见的事件而导致的数据丢失风险。
  • 简化数据保护管理:自动应用默认备份方案,无需手动配置,让您从第一天起就能轻松保护虚拟机。
  • 推广最佳实践:默认备份方案可为整个 Google Cloud 环境提供强大的数据保护。

默认备份方案对 Compute Engine 实例的适用方式

创建新的 Compute Engine 实例时,您可以指定 Compute Engine 实例是使用默认备份方案,还是通过手动配置创建新的备份方案。如果您选择默认备份方案选项,系统会在同一项目中自动创建一个默认备份保险柜,其最短强制保留期限为 1 天。 默认备份保险柜不会锁定保留期限,但您可以修改最短保留期限并启用保留期限锁定。如需查看相关说明,请参阅更新现有备份保险柜的最短强制保留期限。 请注意,默认备份方案创建后无法修改。对于 Compute Engine 实例,每个受支持的区域只能应用一个默认备份方案。

默认备份方案会在工作负载所在区域的本地时间 00:00 到 06:00 之间自动创建每日备份。这些备份会保留在默认备份保险柜中 14 天。默认备份方案的备份删除政策为 1 天。

默认备份方案的名称为 default-compute-instance-plan-<region>。每个受支持的区域都有一个默认备份计划。此方案可为相应区域中的所有关联 Compute Engine 实例提供同等保护。

默认备份方案仅适用于通过 Google Cloud 控制台创建的新 Compute Engine 虚拟机。它不会影响现有虚拟机或其数据保护配置。如果您使用多区域 Persistent Disk 快照来保护虚拟机,则可以手动将保护配置到多区域备份保险库中。

限制

  • 如果虚拟机是在 Backup and DR Service 不支持的区域中创建的,则无法使用默认备份方案。
  • 您只能在 Compute Engine 实例所在的同一区域中使用默认备份方案。
  • 每个区域只能应用一个默认备份方案。

新 Compute Engine 虚拟机的默认备份方案

Backup and DR Service 为通过 Google Cloud 控制台创建的新 Compute Engine 虚拟机引入了默认备份方案。以下是您需要了解的信息:

新 Compute Engine 虚拟机受到的影响

如果项目已启用 Backup and DR Service,并且创建虚拟机的用户拥有必要的权限,则通过 Google Cloud 控制台创建的新 Compute Engine 虚拟机将自动应用默认备份方案。

优势

我们深知在 Compute Engine 中保护您的宝贵数据和工作负载至关重要。此变更旨在:

  • 增强数据保护:默认备份计划可提高通过 Google Cloud 控制台创建的所有新虚拟机的基准保护级别。这样可以最大限度地降低因意外删除、网络攻击或其他不可预见的事件而导致的数据丢失风险。
  • 简化数据保护管理:自动应用默认备份方案,无需手动配置,让您从第一天起就能轻松保护虚拟机。
  • 推广最佳实践:此变更旨在鼓励在整个 Google Cloud 环境中采用可靠的数据保护措施。

通过此增强功能,您的工作负载将获得更完善的基础级保护,从而让您可以专注于业务的其他关键方面。

现有虚拟机受到的影响

此变更不会影响现有虚拟机或其当前的数据保护配置。只有通过Google Cloud 控制台创建的新虚拟机才会受到影响。

使用自动化工具或 Terraform 创建的虚拟机会受到哪些影响

使用 Google Cloud CLI、Terraform 或其他 API 创建的虚拟机不会受到此变更的影响。

问:我可以选择不使用默认备份方案吗?

答:可以。您可以在 Google Cloud 控制台中的虚拟机创建过程中选择不启用此功能,也可以选择其他备份方案。您可以在新的数据保护标签页下找到这些选项。将项目默认值配置为您选择的值。

问:我正在使用基于标记的保护功能来保护虚拟机。该保护措施是否会发生变化?

答:不会,您现有的 Backup and DR 保护(包括基于标记的保护)将保持不变。此更新仅影响在该功能发布后通过 Cloud 控制台创建的新虚拟机。基于标记的保护可以识别虚拟机是否具有默认方案,并且在应用标记后不会对实例进行双重保护。如果您想使用基于标记的保护,则需要将虚拟机标记为无备份,然后继续标记虚拟机。

问:我需要做些什么来确保现有的备份和灾难恢复保护保持不变?

答:您无需采取任何行动。现有虚拟机及其关联的备份配置不会自动修改。

问:我是否应使用默认方案改用这种新的保护方案?

答:这取决于您的具体需求和当前设置。请考虑以下因素:

  • 易用性:默认方案提供了一个基本的虚拟机保护解决方案,可进行每日备份,并保留 14 天。
  • 自定义:如果默认方案不符合组织的要求,您可以在创建虚拟机时选择其他方案,也可以选择使用无备份选项来选择不备份。

问:如果我使用多区域 Persistent Disk 快照来保护虚拟机,那么我可能不希望将新虚拟机备份到区域级备份保险库。如何确保这一点?预览版

答:您可以手动将保护配置到多区域备份保险柜中。

问:我是 Backup and DR 客户,但未保护虚拟机(例如,仅保护数据库)。这是否意味着我的新虚拟机将开始受到备份保险库的保护?

答:可以。如果您通过 Google Cloud 控制台创建新的虚拟机,并且已启用 Backup and DR Service 并拥有必要的权限,则这些虚拟机将受到默认备份方案和关联的默认备份保险库的保护。如果您想使用其他备份方案,可以在创建虚拟机时选择该方案。如果您不想通过这种新体验来保护虚拟机,请选择不备份选项。

问:与我当前的永久性磁盘保护(假设我使用快照)相比,这个新的默认备份方案如何?

答:两者都提供数据保护,但存在关键区别

  • 快照:单个磁盘备份,如果作恶方有权访问快照所在的项目,则容易遭受网络攻击和恶意删除。
  • Backup and DR:提供将备份存储到备份保险柜中的功能,可防范勒索软件攻击和恶意删除。您可以定义备份存储时长和强制保留时长。

问:我是否应该使用备份方案的默认保护?

答:最终,决定取决于您所在组织的具体要求和偏好。默认备份方案可让您安心无忧,因为您知道所有虚拟机都具有基准级别的保护。您可以移除保护并改用永久性磁盘快照,也可以在 Backup and DR 中选择其他备份方案来执行备份。如果您有复杂的备份需求,建议您为特定工作负载配置自己的备份方案政策。

问:如果创建的虚拟机位于不支持备份方案的其他区域,会怎么样?

答:如果虚拟机是在 Backup and DR 不支持的区域中创建的,则用户无法使用默认备份方案。

问:我可以通过组织政策停用此功能吗?

答:不可以,您无法使用组织政策停用此功能。如果您不打算保护虚拟机,请选择不备份选项。此外,您还可以在 Compute Engine 设置页面中自定义默认配置。

问:我需要哪些权限才能使用默认备份方案?

答:如果您在 IAM 设置中使用自定义角色,则需要具有 backupdr.serviceConfig.initialize 权限才能使用备份方案。如果您使用的是 Backup and DR 预定义角色(例如 Backup and DR AdminBackup and DR User V2),则可以自动使用这些权限。如果您使用的是 computeAdmincomputeInstanceAdmin 角色,系统也会自动向这些角色添加相应权限。我们将添加到 roles/compute.adminroles/compute.instanceAdminroles/compute.instanceAdmin.v1 角色的最终权限列表如下:

  • backupdr.backupPlans.useForComputeInstance
  • backupdr.serviceConfig.initialize
  • backupdr.backupPlanAssociations.createForComputeInstance
  • backupdr.backupPlanAssociations.deleteForComputeInstance
  • backupdr.backupPlanAssociations.triggerBackupForComputeInstance
  • backupdr.backupPlanAssociations.list
  • backupdr.locations.list

问:如果我有其他问题,应该联系谁?

答:如果您有任何其他问题,请发送电子邮件至 gcbdr-default-backup-plans@google.com 与我们联系。