Compute Engine-Instanzen in einem Sicherungsspeicher sichern

Auf dieser Seite finden Sie eine Anleitung zum Sichern von Compute Engine-Instanzen in einem Backup Vault des Backup- und DR-Dienstes. Dazu gehört auch, wie Sie den Zugriff auf den Backup Vault in Ihrem Compute Engine-Projekt gewähren, geplante Sicherungen konfigurieren, On-Demand-Sicherungen erstellen und Ihre Vault-Sicherungen verwalten.

Übersicht

Wenn Sie Sicherungen an einen Backup Vault senden, sind sie unveränderlich und die Aufbewahrungsdauer wird erzwungen. Mit einem Backup Vault können Sie Back-ups in einer einzelnen Region oder in einer Multi-Region speichern. Es gibt zwei Hauptmethoden zum Sichern von Compute Engine-Instanzen:

  • Compute Engine-Instanzen über die Verwaltungskonsole sichern: Wenn Sie eine der folgenden Anforderungen an die Sicherung haben, können Sie Compute Engine-Instanzen über die Verwaltungskonsole sichern:

    • Regionenübergreifende Sicherungen
    • Sicherungen bestimmter Laufwerke, die an eine VM angehängt sind
    • Automatisierter Schutz von Google Compute Engine-VMs basierend auf Tags
    • Wenn sich die Google Cloud konsolenbasierten Sicherungspläne und Sicherungsspeicherorte nicht an einem Standort befinden, der mit der Region kompatibel ist, in der Ihre Quell-VMs ausgeführt werden.
    Der Zugriff auf multiregionale Backup Vaults ist nur auf Einladung möglich. Wenn Sie Zugriff auf Sicherungstresore mit mehreren Regionen in Ihrem Google Cloud-Projekt anfordern möchten, wenden Sie sich an Ihren Vertriebsmitarbeiter.

  • Compute Engine-Instanzen mit der Google Cloud Konsole sichern: In derGoogle Cloud Konsole können Sie Compute Engine-Instanzen in einem Backup Vault sichern, indem Sie Sicherungspläne anwenden. Sie können Ihre Daten mit einer der folgenden Methoden sichern. Mit beiden Methoden können Sie Ihre Sicherungen sicher in einem Sicherungstresor speichern. So können Sie Ihre Compute Engine-Instanzen im Falle von Datenverlust oder anderen unerwarteten Ereignissen zuverlässig wiederherstellen.

    • Geplante Back-ups: Compute Engine-Instanzen werden automatisch in bestimmten Intervallen gesichert, z. B. täglich, wöchentlich, monatlich oder jährlich.

    • On-Demand-Sicherungen: Sie können jederzeit On-Demand-Sicherungen erstellen. On-Demand-Sicherungen sind nützlich, um Sicherungen zu erstellen, bevor Sie wichtige Änderungen an Ihren Instanzen vornehmen, oder für den Ad-hoc-Datenschutz.

Hinweise

  1. Aktivieren Sie die Backup and DR Service API dort, wo sich die Compute Engine-Instanzen befinden.

    API aktivieren

  2. Backup Vault erstellen

  3. Erstellen Sie einen Sicherungsplan.

  4. IAM-Rollen und Berechtigungen dem Sicherungsnutzer zuweisen

  5. Backup Vault-Zugriff im Compute Engine-Projekt gewähren

  6. Richten Sie Log Analytics für Ihren Bucket ein, um Backup- und DR-Sicherungsjobs zu überwachen.

Beschränkungen

Der Backup- und DR-Dienst unterstützt das Sichern von Compute Engine-Instanzen in einem Backup Vault nicht, wenn die Instanz eine der folgenden Konfigurationen verwendet:

  • VM-Instanzen mit angehängten extrem nichtflüchtigen Speichern.
  • VM-Instanzen mit angehängten Google Cloud Hyperdisk Extreme-Laufwerken.
  • VM-Instanzen, die einen C3D-, H3-, A3- oder Z3-Maschinentyp verwenden.
  • VM-Instanzen mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) oder vom Kunden bereitgestellten Verschlüsselungsschlüsseln (CSEK).
  • VM-Instanzen ohne angehängte Laufwerke.
  • VM-Instanzen, die größer als 200 TB sind.

IAM-Rollen und ‑Berechtigungen für den Sicherungsnutzer

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Backup Vault-Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren geplanter Back-ups oder zum Ausführen von On-Demand-Back-ups benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Konfigurieren geplanter Back-ups oder zum Ausführen von On-Demand-Back-ups erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um geplante Sicherungen zu konfigurieren oder On-Demand-Sicherungen auszuführen:

  • backupdr.backupPlans.list
  • backupdr.backupPlanAssociations.createForComputeInstance
  • backupdr.backupPlanAssociations.list
  • backupdr.backupPlanAssociations.get
  • backupdr.backupPlanAssociations.triggerBackupForComputeInstance
  • backupdr.backupPlanAssociations.deleteForComputeInstance
  • backupdr.backupPlans.useForComputeInstance
  • backupdr.locations.list
  • backupdr.operations.get
  • cloudasset.assets.searchAllResources

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

In der folgenden Tabelle sind die dynamischen Berechtigungen aufgeführt, die für jeden API-Aufruf erforderlich sind:

Ressource Aktion, die für die Ressource ausgeführt werden soll Für jeden API-Aufruf erforderliche Berechtigungen Projekt, dem es zugewiesen werden muss
Backup Vault Backup Vault erstellen backupdr.backupVaults.create Administratorprojekt
Backup Vault löschen backupdr.backupVaults.delete Administratorprojekt
Backup Vault aktualisieren backupdr.backupVaults.update Administratorprojekt
Backup Vaults auflisten backupdr.backupVaults.list Administratorprojekt
Backup Vault abrufen backupdr.backupVaults.get Administratorprojekt
Sicherungsplan BackupPlan erstellen backupdr.backupPlans.create Administratorprojekt
BackupPlan löschen backupdr.backupPlans.delete Administratorprojekt
BackupPlan abrufen backupdr.backupPlans.get Administratorprojekt
Sicherungspläne auflisten backupdr.backupPlans.list Administratorprojekt
Verknüpfungen von Sicherungsplänen Verknüpfung des Sicherungsplans erstellen compute.instances.updateBackupDrConfig Arbeitslastprojekt
backupdr.backupPlanAssociations.createForComputeInstance Arbeitslastprojekt
backupdr.backupPlans.useForComputeInstance Administratorprojekt
Verknüpfung des Sicherungsplans löschen backupdr.backupPlanAssociations.deleteForComputeInstance Arbeitslastprojekt
compute.instances.updateBackupDrConfig Arbeitslastprojekt
On‑Demand-Sicherung bei Verknüpfung des Sicherungsplans auslösen backupdr.backupPlanAssociations.triggerBackupForComputeInstance Arbeitslastprojekt
Verknüpfung des Sicherungsplans abrufen backupdr.backupPlanAssociations.getForComputeInstance Arbeitslastprojekt
Sicherungsplanverknüpfungen auflisten backupdr.backupPlanAssociations.list Arbeitslastprojekt
Verknüpfungen des Sicherungsplans abrufen backupdr.backupPlanAssociations.fetchForComputeInstance Arbeitslastprojekt
Datenquelle DataSource abrufen backupdr.bvdataSources.get Administratorprojekt
List DataSources backupdr.backupPlanAssociations.list Administratorprojekt
Wiederherstellung zu einem bestimmten Zeitpunkt backupdr.bvdataSources.useReadOnlyForComputeInstance Administratorprojekt
Sicherungen Sicherung abrufen backupdr.bvbackups.get Administratorprojekt
Sicherungen auflisten backupdr.bvbackups.list Administratorprojekt
Sicherung löschen backupdr.bvbackups.delete Administratorprojekt
Sicherung wiederherstellen backupdr.bvbackups.useReadOnlyForComputeInstance Administratorprojekt
Referenzen für Datenquellen DataSource-Referenz abrufen backupdr.dataSourceReferences.getForComputeInstance Arbeitslastprojekt
DataSource-Referenzen abrufen backupdr.dataSourceReferences.fetchForComputeInstance Arbeitslastprojekt
Vorgänge Vorgänge auflisten backupdr.operations.list Entsprechendes Projekt
Vorgänge abrufen backupdr.operations.get Entsprechendes Projekt

Backup Vault-Zugriff im Compute Engine-Projekt gewähren

Wenn Sie eine Compute Engine-VM-Instanz in einem anderen Projekt als dem, in dem der Backup Vault erstellt wurde, sichern möchten, müssen Sie dem Backup Vault-Dienst-Agent im Compute Engine-Projekt die IAM-Rolle „Backup and DR Compute Engine Operator“ (roles/backupdr.computeEngineOperator) zuweisen.

Wenn Sie eine Compute Engine-VM-Instanz in dem Projekt sichern möchten, in dem auch der Backup Vault erstellt wurde, müssen keine Rollen gewährt werden.

Informationen zum Zuweisen von Rollen zum Dienst-Agent für den Sicherungstresor im Projekt, das Sie sichern möchten, finden Sie unter Rolle für den Dienst-Agent zuweisen.

Geplante Sicherung konfigurieren

Folgen Sie der Anleitung unten, um eine geplante Sicherung für Compute Engine-Instanzen zu konfigurieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Vaulted Backups auf.

    Zu Vault-Sicherungen

  2. Klicken Sie auf Sicherungen planen.

  3. Klicken Sie in der Liste Projekte auf Durchsuchen und wählen Sie ein Projekt aus, in dem sich die Compute Engine-Instanzen befinden.

  4. Wählen Sie in der Liste Region die Region aus, in der sich Ihre Instanzen befinden.

  5. Klicken Sie in der Liste Ressourcen auf Durchsuchen.

  6. Wählen Sie die Compute Engine-Instanz aus, die Sie sichern möchten, und klicken Sie auf Fertig.

  7. Klicken Sie auf Weiter.

  8. Klicken Sie in der Liste Sicherungsplan auf Auswählen.

  9. Wählen Sie einen Sicherungsplan aus, mit dem Sie die Compute Engine-Instanz schützen möchten.

  10. Klicken Sie auf Fertig.

  11. Prüfen Sie die Sicherungsdetails und klicken Sie auf Planen.

gcloud

  1. Rufen Sie die Instanz-ID ab.

      gcloud compute instances describe VM_NAME --zone=VM_ZONE --format="value(id)"

    Ersetzen Sie Folgendes:

    • VM_NAME ist der Name der VM-Instanz.
    • VM_ZONE: der Standort, an dem sich die VM befindet.

  2. Geplante Sicherung konfigurieren

      gcloud backup-dr backup-plan-associations create BACKUP_PLAN_ASSOCIATION_NAME \
  --location=VM_REGION \
  --resource=projects/VM_PROJECT_ID/zones/VM_ZONE/instances/VM_ID \
  --backup-plan=projects/PROJECT_ID/locations/LOCATION/backupPlans/BACKUP_PLAN

    Ersetzen Sie Folgendes:

    • BACKUP_PLAN_ASSOCIATION_NAME: der Name der Sicherungsplanverknüpfung.
    • VM_REGION: die Region, in der sich die Compute Engine-Instanz befindet.
    • VM_PROJECT_ID: Der Name des Projekts, in dem sich die Compute Engine-Instanzen befinden.
    • VM_ZONE: die Zone, in der sich die Compute Engine-Instanz befindet.
    • VM_ID: die Compute Engine-Instanz-ID.
    • PROJECT_ID: Der Name des Projekts, in dem Sicherungspläne vorhanden sind.
    • LOCATION: die Region, in der sich Ihre Sicherungspläne befinden.
    • BACKUP_PLAN: der Name des Sicherungsplans, dem Sie die Compute Engine-Instanz zuordnen möchten.

Terraform

Sie können eine Terraform-Ressource verwenden, um eine geplante Sicherung zu konfigurieren.


# Before creating a backup plan association, you need to create backup plan (google_backup_dr_backup_plan)
# and compute instance (google_compute_instance).
resource "google_backup_dr_backup_plan_association" "default" {
  provider                   = google-beta
  location                   = "us-central1"
  backup_plan_association_id = "my-bpa"
  resource                   = google_compute_instance.default.id
  resource_type              = "compute.googleapis.com/Instance"
  backup_plan                = google_backup_dr_backup_plan.default.name
}

Sicherungsplan für eine Compute Engine-Instanz ändern

Sie können den auf eine Compute Engine-Instanz angewendeten Sicherungsplan in einen anderen Sicherungsplan ändern. Der andere Sicherungsplan muss die folgenden Kriterien erfüllen:

  • Dasselbe Backup Vault verwenden
  • Muss sich in derselben Region wie die Compute Engine-Instanz befinden

Folgen Sie der Anleitung unten, um den Sicherungsplan zu ändern, der einer Compute Engine-Instanz zugeordnet ist.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Vaulted Backups auf.

    Zu Vault-Sicherungen

    Auf der Seite Vaulted backups (Gesicherte Backups) werden nur die Instanzen aufgeführt, auf die Sicherungspläne angewendet wurden und deren Sicherungen in einem Backup Vault innerhalb eines Projekts gespeichert sind.

  2. Wählen Sie die Sicherung aus, für die ein anderer Tarif gelten soll. Wählen Sie entweder auf der Seite mit den Sicherungsdetails für die Sicherung oder im Menü  die Option Sicherungsplan ändern aus. Im Fenster Sicherungsplan auswählen werden nur die Sicherungspläne aufgeführt, die für diese Instanz gültig sind.

  3. Wählen Sie einen Sicherungsplan aus und klicken Sie auf Anwenden.

gcloud

  • Den zugewiesenen Sicherungsplan ändern.

      gcloud backup-dr backup-plan-associations update BACKUP_PLAN_ASSOCIATION_NAME \
  --workload-project=VM_PROJECT_ID \
  --location=VM_REGION \
  --backup-plan=BACKUP-PLAN \
  --project=PROJECT_ID

    Ersetzen Sie Folgendes:

    • BACKUP_PLAN_ASSOCIATION_NAME: der Name der Ressource für die Zuordnung des Sicherungsplans.
    • VM_PROJECT_ID: die Projekt-ID der Compute Engine-Instanz.
    • VM_REGION: der Standort der Compute Engine-Instanz.
    • BACKUP_PLAN: der Name des Sicherungsplans, zu dem Sie wechseln.
    • PROJECT_ID: die Projekt-ID des ausgewählten Sicherungsplans.

Geplante Sicherungen auflisten

Folgen Sie der Anleitung unten, um die gesicherten Compute Engine-Instanzen aufzulisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Vaulted Backups auf.

    Zu Vault-Sicherungen

    Auf der Seite Vaulted backups (Gesicherte Backups) werden nur die Instanzen aufgeführt, auf die Sicherungspläne angewendet wurden und deren Sicherungen in einem Backup Vault innerhalb eines Projekts gespeichert sind.

gcloud

  1. Geplante Sicherungen auflisten.

      gcloud backup-dr backup-plan-associations list \
  --location=LOCATION \
  --project=PROJECT_ID

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Name des Projekts.
    • LOCATION: Der Speicherort der geplanten Sicherungen.

On-Demand-Sicherung erstellen

Sie können eine On-Demand-Sicherung für eine Compute Engine-Instanz mit einem Sicherungsplan starten, indem Sie die gewünschte Sicherungsregel sofort ausführen. Bei On‑Demand-Sicherungen werden in der Regel nur die Daten erfasst, die sich seit der letzten Sicherung geändert haben (inkrementell).

Wenn Sie eine On-Demand-Sicherung erstellen, können Sie eine Regel aus dem Sicherungsplan auswählen, der der Compute Engine-Instanz zugeordnet ist. Diese Regel bestimmt, wann die On‑Demand-Sicherung gelöscht wird. Sie können den Status des Sicherungsjobs auf der Seite Jobs prüfen. Weitere Informationen finden Sie unter Sicherungs- und Wiederherstellungsjobs in der Google Cloud Console überwachen.

So erstellen Sie eine On-Demand-Sicherung:

Console

  1. Rufen Sie VM-Instanzen > Details > Sicherungsplan auf, um eine On-Demand-Sicherung zu erstellen.
  2. Klicken Sie auf On‑Demand-Sicherung erstellen. Sie benötigen die erforderlichen Berechtigungen, um ein On-Demand-Backup zu erstellen.
  3. Wählen Sie eine Sicherungsregel aus.
  4. Klicken Sie auf Erstellen, um die On-Demand-Sicherung zu erstellen.
  5. Klicken Sie auf Benachrichtigungen, um den Status des On-Demand-Sicherungsjobs aufzurufen.

gcloud

  1. Erstellen Sie eine On-Demand-Sicherung.

      gcloud backup-dr backup-plan-associations trigger-backup BACKUP_PLAN_ASSOCIATION_NAME \
  --project=PROJECT_ID --location=LOCATION \
  --backup-rule-id=RULE_ID

    Ersetzen Sie Folgendes:

    • BACKUP_PLAN_ASSOCIATION_NAME: der Name der Sicherungsplanverknüpfung. Führen Sie den Befehl gcloud backup-dr backup-plan-associations list --location=LOCATION --project=PROJECT_ID aus, um die Liste der Sicherungspläne abzurufen, die mit der Compute Engine-Instanz verknüpft sind.
    • PROJECT_ID: der Name des Projekts.
    • LOCATION: Der Speicherort der geplanten Sicherungen.
    • RULE_ID: Der Name der Sicherungsregel, die Sie zum Ausführen von On-Demand-Sicherungen zuordnen möchten.

Compute Engine-Instanzschutz aufheben

Sie können den Schutz einer Compute Engine-Instanz aufheben, indem Sie den auf die Instanz angewendeten Sicherungsplan entfernen. Wenn Sie einen Sicherungsplan aus einer Compute Engine-Instanz entfernen, wird der Sicherungsplan oder Sicherungen, die während der Verwendung der Instanz erstellt wurden, nicht gelöscht. Sie können weiterhin auf diese vorhandenen Sicherungen zugreifen und sie verwalten.

Folgen Sie der Anleitung unten, um den Schutz einer Compute Engine-Instanz aufzuheben.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Vaulted Backups auf.

    Zu Vault-Sicherungen

  2. Klicken Sie auf den Namen der Instanz, für die Sie einen Sicherungsplan entfernen möchten.

  3. Wählen Sie Sicherungsplan entfernen aus.

gcloud

  1. Schutz einer Compute Engine-Instanz aufheben

      gcloud backup-dr backup-plan-associations delete BACKUP_PLAN_ASSOCIATION_NAME\
  --project=PROJECT_ID \
  --location=LOCATION

    Ersetzen Sie Folgendes:

    • BACKUP_PLAN_ASSOCIATION_NAME: der Name der Sicherung, die Sie löschen möchten.
    • PROJECT_ID: der Name des Projekts.
    • LOCATION: der Speicherort der geplanten Sicherung.

Nächste Schritte