Questa pagina fornisce istruzioni su come eseguire il backup delle istanze Compute Engine in un vault di backup del servizio di backup e DR, tra cui come concedere l'accesso al vault di backup nel progetto Compute Engine, configurare i backup pianificati, creare backup on demand e gestire i backup archiviati.
Panoramica
L'invio dei backup a un vault di backup garantisce l'immutabilità e la conservazione forzata. Con un vault di backup, puoi archiviare i backup in una singola regione o in più regioni. Esistono due metodi principali per il backup delle istanze Compute Engine:
Utilizza la console di gestione per eseguire il backup delle istanze Compute Engine: se hai uno dei seguenti requisiti di backup, puoi utilizzare la console di gestione per eseguire il backup delle istanze Compute Engine:
- Backup tra regioni
- Backup di dischi specifici collegati a una macchina virtuale (VM)
- Protezione automatica delle VM di Google Compute Engine in base ai tag
- Se i piani di backup e i vault di backup basati sulla console Google Cloud non si trovano in una posizione compatibile con la regione in cui sono in esecuzione le VM di origine.
L'accesso ai vault di backup multiregionali è disponibile solo su invito. Se vuoi richiedere l'accesso ai vault di backup multiregionali nel tuo progetto Google Cloud, contatta il tuo rappresentante di vendita.Utilizza la console Google Cloud per eseguire il backup delle istanze Compute Engine: nella consoleGoogle Cloud , puoi eseguire il backup delle istanze Compute Engine in un vault di backup applicando i piani di backup. Puoi eseguire il backup dei dati utilizzando uno dei seguenti metodi. Entrambi i metodi ti consentono di archiviare i backup in modo sicuro in un vault di backup, fornendo un modo affidabile per recuperare le istanze Compute Engine in caso di perdita di dati o altri eventi imprevisti.
Backup pianificati: esegui automaticamente il backup delle istanze Compute Engine a intervalli specifici, ad esempio giornalieri, settimanali, mensili o annuali.
Backup on demand: crea backup on demand ogni volta che ne hai bisogno. I backup on demand sono utili per creare backup prima di apportare modifiche significative alle istanze o per la protezione dei dati ad hoc.
Prima di iniziare
Abilita l'API del servizio di backup e DR in cui si trovano le istanze Compute Engine.
Concedi l'accesso al vault di backup nel progetto Compute Engine.
Configura Log Analytics nel bucket per monitorare i job di backup di Backup e RE.
Limitazioni
Il servizio di backup e DR non supporta il backup delle istanze Compute Engine in un vault di backup se l'istanza utilizza una delle seguenti configurazioni:
- Istanze VM con dischi permanenti con carico estremo collegati.
- Istanze VM con dischi Google Cloud Hyperdisk Extreme collegati.
- Istanze VM che utilizzano un tipo di macchina C3D, H3, A3 o Z3.
- Istanze VM con chiavi di crittografia gestite dal cliente (CMEK) o chiavi di crittografia fornite dal cliente (CSEK).
- Istanze VM senza dischi collegati.
- Istanze VM di dimensioni superiori a 200 terabyte (TB).
Ruoli e autorizzazioni IAM per l'utente di backup
Per ottenere le autorizzazioni necessarie per configurare i backup pianificati o eseguire backup on demand, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto del vault di backup:
-
Backup and DR Backup User (
roles/backupdr.backupUser) -
Visualizzatore (
roles/viewer)
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per configurare i backup pianificati o eseguire backup on demand. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per configurare i backup pianificati o eseguire backup on demand sono necessarie le seguenti autorizzazioni:
-
backupdr.backupPlans.list -
backupdr.backupPlanAssociations.createForComputeInstance -
backupdr.backupPlanAssociations.list -
backupdr.backupPlanAssociations.get -
backupdr.backupPlanAssociations.triggerBackupForComputeInstance -
backupdr.backupPlanAssociations.deleteForComputeInstance -
backupdr.backupPlans.useForComputeInstance -
backupdr.locations.list -
backupdr.operations.get -
cloudasset.assets.searchAllResources
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
La tabella seguente elenca le autorizzazioni dinamiche richieste per ogni chiamata API:
| Risorsa | Azione da eseguire sulla risorsa | Autorizzazioni richieste per ogni chiamata API | Progetto a cui deve essere assegnato |
|---|---|---|---|
| Vault di backup | Crea BackupVault | backupdr.backupVaults.create | Progetto amministratore |
| Elimina BackupVault | backupdr.backupVaults.delete | Progetto amministratore | |
| Aggiorna BackupVault | backupdr.backupVaults.update | Progetto amministratore | |
| List BackupVaults | backupdr.backupVaults.list | Progetto amministratore | |
| Ottenere BackupVault | backupdr.backupVaults.get | Progetto amministratore | |
| Piano di backup | Crea BackupPlan | backupdr.backupPlans.create | Progetto amministratore |
| Elimina BackupPlan | backupdr.backupPlans.delete | Progetto amministratore | |
| Recupero BackupPlan | backupdr.backupPlans.get | Progetto amministratore | |
| Elenca i piani di backup | backupdr.backupPlans.list | Progetto amministratore | |
| Associazioni del piano di backup | Crea associazione piano di backup | compute.instances.updateBackupDrConfig | Progetto di workload |
| backupdr.backupPlanAssociations.createForComputeInstance | Progetto di workload | ||
| backupdr.backupPlans.useForComputeInstance | Progetto amministratore | ||
| Elimina l'associazione del piano di backup | backupdr.backupPlanAssociations.deleteForComputeInstance | Progetto di workload | |
| compute.instances.updateBackupDrConfig | Progetto di workload | ||
| Attivare un backup on demand in Associazione piano di backup | backupdr.backupPlanAssociations.triggerBackupForComputeInstance | Progetto di workload | |
| Get Backup Plan Association | backupdr.backupPlanAssociations.getForComputeInstance | Progetto di workload | |
| Elenca le associazioni dei piani di backup | backupdr.backupPlanAssociations.list | Progetto di workload | |
| Recupera associazioni del piano di backup | backupdr.backupPlanAssociations.fetchForComputeInstance | Progetto di workload | |
| Origine dati | Recupero DataSource | backupdr.bvdataSources.get | Progetto amministratore |
| List DataSources | backupdr.backupPlanAssociations.list | Progetto amministratore | |
| Ripristino PiTR | backupdr.bvdataSources.useReadOnlyForComputeInstance | Progetto amministratore | |
| Backup | Recupera backup | backupdr.bvbackups.get | Progetto amministratore |
| Elenco dei backup | backupdr.bvbackups.list | Progetto amministratore | |
| Elimina backup | backupdr.bvbackups.delete | Progetto amministratore | |
| Ripristina backup | backupdr.bvbackups.useReadOnlyForComputeInstance | Progetto amministratore | |
| Riferimenti all'origine dati | Recupera riferimento origine dati | backupdr.dataSourceReferences.getForComputeInstance | Progetto di workload |
| Recupera riferimenti sorgente dati | backupdr.dataSourceReferences.fetchForComputeInstance | Progetto di workload | |
| Operazioni | Elenco operazioni | backupdr.operations.list | Progetto in questione |
| Operazioni "Get" | backupdr.operations.get | Progetto in questione |
Concedi l'accesso al vault di backup nel progetto Compute Engine
Per eseguire il backup di un'istanza VM di Compute Engine in un progetto diverso da quello in cui viene creato il vault di backup, devi concedere il ruolo IAM Operatore Compute Engine di Backup e DR (roles/backupdr.computeEngineOperator) all'agente di servizio del vault di backup all'interno del progetto Compute Engine.
Per eseguire il backup di un'istanza VM di Compute Engine nello stesso progetto in cui viene creato il vault di backup, non è necessario concedere ruoli.
Per informazioni sulla concessione dei ruoli all'agente di servizio del vault di backup all'interno del progetto di cui vuoi eseguire il backup, consulta Concedere un ruolo all'agente di servizio.
Configura un backup pianificato
Segui queste istruzioni per configurare un backup pianificato per le istanze Compute Engine.
Console
Nella console Google Cloud , vai alla pagina Backup protetti.
Fai clic su Pianifica backup.
Nell'elenco Progetti, fai clic su Sfoglia e seleziona un progetto in cui si trovano le istanze Compute Engine.
Nell'elenco Regione, seleziona la regione in cui si trovano le istanze.
Nell'elenco Risorse, fai clic su Sfoglia.
Scegli l'istanza di Compute Engine di cui vuoi eseguire il backup e fai clic su Fine.
Fai clic su Continua.
Nell'elenco Piano di backup, fai clic su Seleziona.
Scegli un piano di backup con cui proteggere l'istanza Compute Engine.
Fai clic su Fine.
Controlla i dettagli del backup e fai clic su Pianifica.
gcloud
Recupera l'ID istanza.
gcloud compute instances describe VM_NAME --zone=VM_ZONE --format="value(id)"Sostituisci quanto segue:
VM_NAME: il nome dell'istanza VM.VM_ZONE: la località in cui si trova la VM
Configura un backup pianificato.
gcloud backup-dr backup-plan-associations create BACKUP_PLAN_ASSOCIATION_NAME \ --location=VM_REGION \ --resource=projects/VM_PROJECT_ID/zones/VM_ZONE/instances/VM_ID \ --backup-plan=projects/PROJECT_ID/locations/LOCATION/backupPlans/BACKUP_PLANSostituisci quanto segue:
BACKUP_PLAN_ASSOCIATION_NAME: il nome dell'associazione del piano di backup.VM_REGION: la regione in cui si trova l'istanza di Compute Engine.VM_PROJECT_ID: il nome del progetto in cui si trovano le istanze Compute Engine.VM_ZONE: la zona in cui si trova l'istanza Compute Engine.VM_ID: l'ID istanza Compute Engine.PROJECT_ID: il nome del progetto in cui esistono i piani di backup.LOCATION: la regione in cui esistono i piani di backup.BACKUP_PLAN: il nome del piano di backup a cui vuoi associare l'istanza Compute Engine.
Terraform
Puoi utilizzare una risorsa Terraform per configurare un backup pianificato.
Modificare il piano di backup applicato a un'istanza Compute Engine
Puoi modificare il piano di backup applicato a un'istanza Compute Engine con un altro piano di backup. L'altro piano di backup deve soddisfare i seguenti criteri:
- Utilizzare lo stesso vault di backup
- Trovarsi nella stessa regione dell'istanza Compute Engine
Segui le istruzioni riportate di seguito per modificare il piano di backup associato a un'istanza Compute Engine.
Console
Nella console Google Cloud , vai alla pagina Backup protetti.
Vai a Backup archiviati nel vault
La pagina Backup protetti elenca solo le istanze a cui sono applicati piani di backup e i cui backup sono archiviati in un vault di backup all'interno di un progetto.
Seleziona il backup a cui verrà assegnato un piano diverso. Dalla pagina dei dettagli del backup o dal menu , seleziona Modifica piano di backup. La finestra Seleziona un piano di backup elenca solo i piani di backup validi per questa istanza.
Seleziona un piano di backup e fai clic su Applica.
gcloud
Modifica il piano di backup assegnato.
gcloud backup-dr backup-plan-associations update BACKUP_PLAN_ASSOCIATION_NAME \ --workload-project=VM_PROJECT_ID \ --location=VM_REGION \ --backup-plan=BACKUP-PLAN \ --project=PROJECT_IDSostituisci quanto segue:
BACKUP_PLAN_ASSOCIATION_NAME: il nome della risorsa di associazione del piano di backup.VM_PROJECT_ID: l'ID progetto dell'istanza Compute Engine.VM_REGION: la posizione dell'istanza Compute Engine.BACKUP_PLAN: il nome del piano di backup a cui stai passando.PROJECT_ID: l'ID progetto del piano di backup selezionato.
Elenco dei backup pianificati
Utilizza le seguenti istruzioni per elencare le istanze Compute Engine di cui è stato eseguito il backup.
Console
Nella console Google Cloud , vai alla pagina Backup protetti.
Vai a Backup archiviati nel vault
La pagina Backup protetti elenca solo le istanze a cui sono applicati piani di backup e i cui backup sono archiviati in un vault di backup all'interno di un progetto.
gcloud
Elenca i backup pianificati.
gcloud backup-dr backup-plan-associations list \ --location=LOCATION \ --project=PROJECT_IDSostituisci quanto segue:
PROJECT_ID: il nome del progetto.LOCATION: la posizione dei backup pianificati.
Crea un backup on demand
Puoi avviare un backup on demand per un'istanza Compute Engine con un piano di backup attivando l'esecuzione immediata della regola di backup che preferisci. I backup on demand in genere acquisiscono solo i dati modificati dall'ultimo backup (incrementale).
Quando crei un backup on demand, puoi scegliere una regola dal piano di backup associato all'istanza Compute Engine. Questa regola determina quando viene eliminato il backup on demand. Puoi controllare lo stato del job di backup dalla pagina Job. Per ulteriori informazioni, vedi Monitorare i job di backup e ripristino nella console Google Cloud .
Utilizza le seguenti istruzioni per creare un backup on demand.
Console
- Vai a Istanze VM > Dettagli > Piano di backup per creare un backup on demand.
- Fai clic su Crea backup on demand. Devi disporre delle autorizzazioni corrette per eseguire un backup on demand.
- Scegli una regola di backup.
- Fai clic su Crea per avviare il processo di creazione del backup on demand.
- Per visualizzare lo stato del job di backup on demand, fai clic su Notifiche.
gcloud
Crea un backup on demand.
gcloud backup-dr backup-plan-associations trigger-backup BACKUP_PLAN_ASSOCIATION_NAME \ --project=PROJECT_ID --location=LOCATION \ --backup-rule-id=RULE_IDSostituisci quanto segue:
BACKUP_PLAN_ASSOCIATION_NAME: il nome dell'associazione del piano di backup. Esegui il comandogcloud backup-dr backup-plan-associations list --location=LOCATION --project=PROJECT_IDper ottenere l'elenco dei piani di backup associati all'istanza Compute Engine.PROJECT_ID: il nome del progetto.LOCATION: la posizione dei backup pianificati.RULE_ID: il nome della regola di backup che vuoi associare per eseguire backup on demand.
Rimuovere la protezione di un'istanza Compute Engine
Puoi rimuovere la protezione di un'istanza Compute Engine rimuovendo il piano di backup applicato all'istanza. La rimozione di un piano di backup da un'istanza Compute Engine non elimina il piano di backup o eventuali backup creati durante l'utilizzo dell'istanza. Puoi comunque accedere a questi backup esistenti e gestirli.
Segui queste istruzioni per rimuovere la protezione da un'istanza Compute Engine.
Console
Nella console Google Cloud , vai alla pagina Backup protetti.
Fai clic sul nome dell'istanza da cui vuoi rimuovere un piano di backup.
Seleziona Rimuovi piano di backup.
gcloud
Rimuovi la protezione di un'istanza Compute Engine.
gcloud backup-dr backup-plan-associations delete BACKUP_PLAN_ASSOCIATION_NAME\ --project=PROJECT_ID \ --location=LOCATIONSostituisci quanto segue:
BACKUP_PLAN_ASSOCIATION_NAME: il nome del backup che vuoi eliminare.PROJECT_ID: il nome del progetto.LOCATION: la posizione del backup pianificato.