使用默认备份方案保护新的 Compute Engine 实例

备份和灾难恢复服务采用备份方案来控制数据资源的备份时间和方式,以及备份的保留期限和保留方式。您可以根据不同的需求创建不同的备份方案,而 Backup and DR Service 提供了用于保护 Compute Engine 实例的默认备份方案。

什么是备份计划?

本页介绍了归档资源的默认备份方案、其优势、运作方式和限制。

默认备份方案

默认备份方案类似于在 Google Cloud 控制台中创建的备份方案,可让您以简化的方式保护 Compute Engine 虚拟机。如果您在项目中启用了 Backup and DR Service,并且拥有创建虚拟机所需的权限,则可以将默认备份方案自动应用于新的 Compute Engine 虚拟机。借助默认备份方案,您无需通过 Backup and DR Service 手动创建备份方案,从而确保为虚拟机提供基本保护级别。

默认备份计划设置

默认备份方案会创建每日备份。它会将备份存储在默认备份保险柜中 14 天,其中第一天是不可变的。在 14 天剩余时间内,获授权的用户可以删除备份。14 天后,系统会自动删除该备份。

设置
备份计划 每天的 00:00 至 06:00(当地时区)。
存储 默认备份保险柜
留存率 14 天
强制保留 1 天

您可以在备份方案中修改备份时间表和存储时长。

您可以通过修改备份保险柜来修改强制保留期限。

如果默认备份方案不符合贵组织的要求,您可以在创建虚拟机时选择其他方案,也可以选择使用无备份选项停用备份。

优势

默认备份方案具有以下优势:

  • 增强数据保护:默认备份方案可提高通过 Google Cloud 控制台创建的所有新虚拟机的基本保护级别。这样可以最大限度地降低因意外删除、网络攻击或其他意外事件而导致数据丢失的风险。
  • 简化数据保护管理:自动应用默认备份方案可免去手动配置的麻烦,让您从第一天起更轻松地保护虚拟机。
  • 推广最佳实践:默认备份方案可在您的 Google Cloud 环境中推广强大的数据保护。

Compute Engine 实例的默认备份方案的运作方式

创建新的 Compute Engine 实例时,您可以指定是希望 Compute Engine 实例使用默认备份方案,还是希望手动配置以创建新的备份方案。如果您不更改默认备份方案选项,系统会在同一项目中自动创建一个默认备份保险柜,并强制设置最短保留期限为 1 天。默认的备份保险柜不会锁定保留期限,但您可以修改最短保留期限并启用保留锁定。如需了解相关说明,请参阅更新现有备份保险柜的最短强制保留期限。请注意,默认备份方案在创建后无法修改。您只能为 Compute Engine 实例在每个受支持的区域应用一个默认备份方案。

默认备份方案会在工作负载所在的当地时间区域的 00:00 到 06:00 之间自动创建每日备份。这些备份会在默认备份保险柜中保留 14 天。默认备份方案的备份删除政策为 1 天。

默认备份方案的名称为 default-compute-instance-plan-<region>。每个受支持的区域都有一个默认备份计划。此方案可为这些区域中的所有关联 Compute Engine 实例提供相同的保护。

默认备份方案仅适用于通过 Google Cloud 控制台创建的新 Compute Engine 虚拟机。这不会影响现有虚拟机或其数据保护配置。如果您要保护多区域永久性磁盘快照,则可以继续通过现有管理控制台保护虚拟机,以确保您获得多区域永久性磁盘快照支持。

限制

  • 如果虚拟机是在 Backup and DR Service 不支持的区域中创建的,则无法使用默认备份方案。
  • 您只能在 Compute Engine 实例所在的区域使用默认备份方案。
  • 您只能为每个区域应用一个默认备份方案。

常见问题解答:适用于新 Compute Engine 虚拟机的默认备份方案功能

Backup and DR Service 为通过 Google Cloud 控制台创建的新 Compute Engine 虚拟机引入了默认备份方案。以下是您需要知晓的信息:

问:具体变化是什么?

答:如果项目启用了备份和灾难恢复服务,并且创建虚拟机的用户拥有必要的权限,则系统可以自动为通过 Google Cloud 控制台创建的新 Compute Engine 虚拟机应用默认备份方案。

问: Google Cloud 为何要进行此项变更?

答:我们深知保护您在 Compute Engine 中的重要数据和工作负载至关重要。此次变更旨在:

  • 增强数据保护:默认备份方案可提高通过 Google Cloud 控制台创建的所有新虚拟机的基本保护级别。这样可以最大限度地降低因意外删除、网络攻击或其他意外事件而导致数据丢失的风险。
  • 简化数据保护管理:自动应用默认备份方案可免去手动配置的麻烦,让您从第一天起更轻松地保护虚拟机。
  • 推广最佳实践:此项变更鼓励您在 Google Cloud 环境中采用强大的数据保护措施。

通过这项增强功能,您的工作负载将获得更完善的基础级保护,让您可以专注于业务的其他关键方面。

问:我的现有虚拟机是否会受到影响?

答:不会,此更改不会影响您的现有虚拟机或其当前的数据保护配置。只有通过 Google Cloud 控制台创建的新虚拟机会受到影响。

问题:如果我使用自动化或 Terraform 创建虚拟机,该怎么办?

答:使用 Google Cloud CLI、Terraform 或其他 API 创建的虚拟机不会受到此次变更的影响。

问:我可以选择停用默认的备份方案吗?

答:可以,您可以在 Google Cloud 控制台中的虚拟机创建过程中选择停用此功能或选择其他备份方案。您可以在新的数据保护标签页下找到这些选项。

问题:我使用基于标记的备份和灾难恢复保护功能来保护虚拟机。这项保护功能会发生变化吗?

答:不会,您现有的备份和灾难恢复保护(包括基于标记的保护)将保持不变。此次更新仅影响在该功能发布后通过 Cloud 控制台创建的新虚拟机。基于标签的保护功能可以确定虚拟机是否采用默认方案,并且在应用标签后不会对实例进行双重保护。如果您想使用基于标记的保护功能,则需要将虚拟机标记为无备份,并继续为虚拟机添加标记。

问题:如果创建的虚拟机位于不受备份方案支持的其他区域,会怎么样?

答:如果虚拟机是在 Backup and DR 不支持的区域中创建的,用户将无法使用默认备份方案。

问:我需要执行什么操作来确保现有的备份和灾难恢复保护措施保持不变吗?

答:您无需采取任何行动。您的现有虚拟机及其关联的备份配置不会自动修改。

问题:我是否应改用默认方案,从而采用这种新的保护方案?

答:这取决于您的具体需求和当前设置。请考虑以下因素:

  • 易用:默认方案提供基本虚拟机保护的基本解决方案,可提供每日备份并将其保留 14 天。
  • 自定义:如果默认方案不符合贵组织的要求,您可以在创建虚拟机时选择完全不同的方案,也可以选择使用不进行备份选项停用备份功能。

问题:如果我要保护多区域永久性磁盘快照,则可能不希望将新的虚拟机放入区域备份保险库。如何确保这一点?

答:您可以继续通过管理控制台保护虚拟机。

问题:我使用的是 Backup and DR,但并未保护虚拟机(例如,仅保护数据库)。这是否意味着我的新虚拟机将开始受备份保险库保护?

答:是的,如果您通过 Google Cloud 控制台创建新的虚拟机,并启用了备份和灾难恢复服务并拥有必要的权限,则系统会使用默认备份方案和关联的默认保险柜来保护这些虚拟机。如果您想使用其他备份方案,可以在创建虚拟机时选择该方案。如果您不想通过这种新体验保护虚拟机,请选择无备份选项。

问题:与我当前的永久性磁盘保护(假设我使用快照)相比,这个新的默认备份方案如何?

答:这两种方案都提供数据保护,但存在一些关键区别:

  • 快照:如果作恶方有权访问存储快照的项目,则单个磁盘备份容易遭到网络攻击和恶意删除。
  • 备份和灾难恢复:提供将备份存储到备份保险柜的功能,以防范勒索软件攻击和恶意删除。您可以定义备份存储空间以及其强制保留时长。

问:我是否应使用备份方案的默认保护?

答:最终,此决定取决于贵组织的具体要求和偏好。默认备份计划可让您放心,因为所有虚拟机都具有基准级别的保护。您可以移除保护措施并改用永久性磁盘快照,也可以在备份和灾难恢复中选择其他备份方案来进行备份。如果您有复杂的备份需求,我们建议您为特定工作负载配置自己的备份方案政策。

问:我可以通过组织政策停用此功能吗?

答:不可以,您无法使用组织政策停用此功能。如果您不打算保护虚拟机,请选择无备份选项。此外,您还可以在 Compute Engine 设置页面中自定义默认配置。

问:我需要哪些权限才能使用默认备份方案?

答:如果您在 IAM 设置中使用自定义角色,则需要 backupdr.serviceConfig.initialize 权限才能使用备份方案。如果您使用的是备份和灾难恢复预定义角色(例如 Backup and DR AdminBackup and DR User V2),则系统会自动为您提供相应权限。如果您使用的是 computeAdmincomputeInstanceAdmin 角色,系统也会自动将这些权限添加到这些角色。我们将向 roles/compute.adminroles/compute.instanceAdminroles/compute.instanceAdmin.v1 角色添加的最终权限列表如下:

  • backupdr.backupPlans.useForComputeInstance
  • backupdr.serviceConfig.initialize
  • backupdr.backupPlanAssociations.createForComputeInstance
  • backupdr.backupPlanAssociations.deleteForComputeInstance
  • backupdr.backupPlanAssociations.triggerBackupForComputeInstance
  • backupdr.backupPlanAssociations.list
  • backupdr.locations.list

问题:如果我有其他问题,应该联系谁?

答:如果您还有其他问题,请发送电子邮件至 gcbdr-default-backup-plans@google.com 与我们联系。