Compute Engine-Instanzen in einem Sicherungsspeicher sichern

Auf dieser Seite wird beschrieben, wie Sie Compute Engine-Instanzen mit der Google Cloud Console in einem Sicherungsspeicher sichern. Wenn Sie Sicherungen an einen Backup Vault senden, sind sie unveränderlich und werden für eine bestimmte Zeit aufbewahrt. Mit einem Sicherungsspeicher können Sie Sicherungen in einer einzelnen Region speichern. Wenn Sie eine der folgenden Sicherungsanforderungen haben, können Sie Compute Engine-Instanzen über die Verwaltungskonsole sichern:

  • Multiregionale oder regionenübergreifende Sicherungen
  • Sicherungen bestimmter Laufwerke, die an eine VM angehängt sind
  • Automatischer Schutz von Google Compute Engine-VMs basierend auf Tags
  • Wenn die consolebasierten Sicherungspläne und Sicherungsspeicher von Google Cloud in der Region, in der Ihre VMs ausgeführt werden, nicht unterstützt werden

In der Google Cloud -Konsole können Sie Compute Engine-Instanzen mithilfe von Sicherungsplänen in einem Sicherungsspeicher sichern. Es gibt zwei Möglichkeiten, eine Sicherung durchzuführen. Mit beiden Methoden können Sie Ihre Sicherungen sicher in einem Sicherungsspeicher aufbewahren. So können Sie Ihre Compute Engine-Instanzen im Falle von Datenverlusten oder anderen unerwarteten Ereignissen zuverlässig wiederherstellen.

  • Geplante Sicherungen Sie können Compute Engine-Instanzen automatisch in bestimmten Intervallen sichern, z. B. täglich, wöchentlich, monatlich oder jährlich.
  • On-Demand-Sicherungen Sie können On-Demand-Sicherungen jederzeit erstellen. On-Demand-Sicherungen eignen sich zum Erstellen von Sicherungen, bevor Sie erhebliche Änderungen an Ihren Instanzen vornehmen, oder für den Ad-hoc-Datenschutz.

Hinweise

  1. Aktivieren Sie die Backup- und DR-Dienst-API an dem Ort, an dem sich die Compute Engine-Instanzen befinden.
  2. API aktivieren
  3. Backup Vault erstellen
  4. Sicherungsplan erstellen
  5. Dem Nutzer für den Notfall IAM-Rollen und Berechtigungen zuweisen
  6. Zugriff auf den Sicherungsspeicher im Compute Engine-Projekt gewähren
  7. Richten Sie Log Analytics in Ihrem Bucket ein, um Sicherungs- und Notfallwiederherstellungsjobs zu überwachen.

Beschränkungen

Der Sicherungs- und Notfallwiederherstellungsdienst unterstützt die Sicherung von Compute Engine-Instanzen in einem Back-up Vault nicht, wenn für die Instanz eine der folgenden Konfigurationen verwendet wird:

  • VM-Instanzen mit angehängten extrem nichtflüchtigen Speichern
  • VM-Instanzen mit angehängten Hyperdisk Extreme-Laufwerken
  • VM-Instanzen mit den Maschinentypen C3D, H3, A3 oder Z3
  • VM-Instanzen mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) oder vom Kunden bereitgestellten Verschlüsselungsschlüsseln (CSEK)
  • VM-Instanzen ohne angehängte Laufwerke
  • VM-Instanzen mit mehr als 200 Terabyte (TB)

IAM-Rollen und -Berechtigungen für den Ersatznutzer

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Sicherungsspeicher-Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren geplanter Sicherungen oder zum Ausführen von Sicherungen auf Abruf benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Konfigurieren geplanter Sicherungen oder zum Ausführen von Sicherungen auf Abruf erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um geplante Sicherungen zu konfigurieren oder Sicherungen auf Abruf auszuführen:

  • backupdr.backupPlans.list
  • backupdr.backupPlanAssociations.createForComputeInstance
  • backupdr.backupPlanAssociations.list
  • backupdr.backupPlanAssociations.get
  • backupdr.backupPlanAssociations.triggerBackupForComputeInstance
  • backupdr.backupPlanAssociations.deleteForComputeInstance
  • backupdr.backupPlans.useForComputeInstance
  • backupdr.locations.list
  • backupdr.operations.get
  • cloudasset.assets.searchAllResources

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Zugriff auf den Sicherungsspeicher im Compute Engine-Projekt gewähren

Wenn Sie eine Compute Engine-VM-Instanz in einem anderen Projekt sichern möchten, als in dem der Sicherungsspeicher erstellt wurde, müssen Sie dem Dienst-Agent des Sicherungsspeichers im Compute Engine-Projekt die IAM-Rolle „Backup and DR Compute Engine Operator“ (roles/backupdr.computeEngineOperator) gewähren.

Wenn Sie eine Compute Engine-VM-Instanz im selben Projekt sichern möchten, in dem der Sicherungsspeicher erstellt wird, müssen keine Rollen gewährt werden.

Informationen zum Zuweisen von Rollen für den Dienst-Agent des Sicherungsspeichers im Projekt, das Sie sichern möchten, finden Sie unter Dem Dienst-Agent eine Rolle zuweisen.

Geplante Sicherung konfigurieren

Folgen Sie der Anleitung unten, um eine geplante Sicherung für Compute Engine-Instanzen zu konfigurieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sichergestellte Back-ups auf.

    Zu Vault-Sicherungen

  2. Klicken Sie auf Sicherungen planen.

  3. Klicken Sie in der Liste Projekte auf Suchen und wählen Sie ein Projekt aus, in dem sich die Compute Engine-Instanzen befinden.

  4. Wählen Sie in der Liste Region die Region aus, in der sich Ihre Instanzen befinden.

  5. Klicken Sie in der Liste Ressourcen auf Durchsuchen.

  6. Wählen Sie die Compute Engine-Instanz aus, die Sie sichern möchten, und klicken Sie auf Fertig.

  7. Klicken Sie auf Weiter.

  8. Klicken Sie in der Liste Sicherungsplan auf Auswählen.

  9. Wählen Sie einen Sicherungsplan aus, mit dem Sie die Compute Engine-Instanz schützen möchten.

  10. Klicken Sie auf Fertig.

  11. Prüfen Sie die Sicherungsdetails und klicken Sie auf Zeitplan.

gcloud

  1. Rufen Sie die Instanz-ID ab.

      gcloud compute instances describe VM_NAME --zone=VM_ZONE --format="value(id)"

    Ersetzen Sie Folgendes:

    • VM_NAME ist der Name der VM-Instanz.
    • VM_ZONE: der Standort, an dem sich die VM befindet.

  2. Planen Sie eine Sicherung.

      gcloud backup-dr backup-plan-associations create BACKUP_PLAN_ASSOCIATION_NAME \
  --location=VM_REGION \
  --resource=projects/VM_PROJECT_ID/zones/VM_ZONE/instances/VM_ID \
  --backup-plan=projects/PROJECT_ID/locations/LOCATION/backupPlans/BACKUP_PLAN

    Ersetzen Sie Folgendes:

    • BACKUP_PLAN_ASSOCIATION_NAME: der Name der Sicherungsplanverknüpfung.
    • VM_REGION: die Region, in der sich die Compute Engine-Instanz befindet.
    • VM_PROJECT_ID: den Namen des Projekts, in dem sich die Compute Engine-Instanzen befinden.
    • VM_ZONE: die Zone, in der sich die Compute Engine-Instanz befindet.
    • VM_ID: die Compute Engine-Instanz-ID.
    • PROJECT_ID: der Name des Projekts, in dem Sicherungspläne vorhanden sind.
    • LOCATION: die Region, in der sich Ihre Sicherungspläne befinden.
    • BACKUP_PLAN: der Name des Sicherungsplans, dem Sie die Compute Engine-Instanz zuordnen möchten.

Terraform

Sie können eine Terraform-Ressource zum Konfigurieren einer geplanten Sicherung verwenden.


# Before creating a backup plan association, you need to create backup plan (google_backup_dr_backup_plan)
# and compute instance (google_compute_instance).
resource "google_backup_dr_backup_plan_association" "default" {
  provider                   = google-beta
  location                   = "us-central1"
  backup_plan_association_id = "my-bpa"
  resource                   = google_compute_instance.default.id
  resource_type              = "compute.googleapis.com/Instance"
  backup_plan                = google_backup_dr_backup_plan.default.name
}

Geplante Sicherungen auflisten

Anhand der folgenden Anleitung können Sie die gesicherten Compute Engine-Instanzen auflisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sichergestellte Back-ups auf.

    Zu Vault-Sicherungen

    Auf der Seite Sicherungen im Sicherungsspeicher sind nur die Instanzen aufgeführt, auf die Sicherungspläne angewendet wurden und deren Sicherungen in einem Sicherungsspeicher innerhalb eines Projekts gespeichert sind.

gcloud

  1. Geplante Sicherungen auflisten.

      gcloud backup-dr backup-plan-associations list \
  --location=LOCATION \
  --project=PROJECT_ID

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Name des Projekts.
    • LOCATION: Speicherort der geplanten Sicherungen.

Bedarfsorientierte Sicherung erstellen

Sie können ein On-Demand-Sicherungsprogramm für eine Compute Engine-Instanz mit einem Sicherungsplan starten, indem Sie die Sicherungsregel Ihrer Wahl auslösen, damit sie sofort ausgeführt wird. On-Demand-Sicherungen sind inkrementell und erfassen nur die Daten, die sich seit der letzten Sicherung geändert haben.

Wenn Sie ein On-Demand-Sicherungselement erstellen, können Sie eine Regel aus dem Sicherungsplan auswählen, der mit der Compute Engine-Instanz verknüpft ist. Mit dieser Regel wird festgelegt, wann die Sicherung auf Abruf gelöscht wird. Sie können den Status des Sicherungsjobs auf der Seite Jobs prüfen. Weitere Informationen finden Sie unter Sicherungs- und Wiederherstellungsjobs in der Google Cloud Console überwachen.

So erstellen Sie eine On-Demand-Sicherung:

Console

  1. Rufen Sie VM-Instanzen > Details > Sicherungsplan auf, um eine On-Demand-Sicherung zu erstellen.
  2. Klicken Sie auf On-Demand-Sicherung erstellen. Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Erstellen einer On-Demand-Sicherung haben.
  3. Wählen Sie eine Sicherungsregel aus.
  4. Klicken Sie auf Erstellen, um mit der Erstellung der On-Demand-Sicherung zu beginnen.
  5. Klicken Sie auf Benachrichtigungen, um den Status des On-Demand-Sicherungsjobs aufzurufen.

gcloud

  1. Erstellen Sie eine On-Demand-Sicherung.

      gcloud backup-dr backup-plan-associations trigger-backup BACKUP_PLAN_ASSOCIATION_NAME \
  --project=PROJECT_ID --location=LOCATION \
  --backup-rule-id=RULE_ID

    Ersetzen Sie Folgendes:

    • BACKUP_PLAN_ASSOCIATION_NAME: der Name der Sicherungsplanverknüpfung. Führen Sie den Befehl gcloud backup-dr backup-plan-associations list --location=LOCATION --project=PROJECT_ID aus, um eine Liste der mit der Compute Engine-Instanz verknüpften Sicherungspläne aufzurufen.
    • PROJECT_ID: der Name des Projekts.
    • LOCATION: Speicherort der geplanten Sicherungen.
    • RULE_ID: der Name der Sicherungsregel, die Sie dem Ausführen von Sicherungen auf Abruf zuordnen möchten.

Schutz einer Compute Engine-Instanz aufheben

Sie können den Schutz einer Compute Engine-Instanz aufheben, indem Sie den auf die Instanz angewendeten Sicherungsplan entfernen. Wenn Sie einen Sicherungsplan aus einer Compute Engine-Instanz entfernen, werden der Sicherungsplan und alle Sicherungen, die während der Nutzung der Instanz erstellt wurden, nicht gelöscht. Sie können weiterhin auf diese vorhandenen Sicherungen zugreifen und sie verwalten.

Folgen Sie der folgenden Anleitung, um den Schutz einer Compute Engine-Instanz aufzuheben.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sichergestellte Back-ups auf.

    Zu Vault-Sicherungen

  2. Klicken Sie auf den Namen der Instanz, für die Sie einen Sicherungsplan entfernen möchten.

  3. Wählen Sie Sicherungsplan entfernen aus.

gcloud

  1. Entfernen Sie den Schutz einer Compute Engine-Instanz.

      gcloud backup-dr backup-plan-associations delete BACKUP_PLAN_ASSOCIATION_NAME\
  --project=PROJECT_ID \
  --location=LOCATION

    Ersetzen Sie Folgendes:

    • BACKUP_PLAN_ASSOCIATION_NAME: der Name der Sicherung, die Sie löschen möchten.
    • PROJECT_ID: der Name des Projekts.
    • LOCATION: Speicherort der geplanten Sicherung.

Nächste Schritte