En esta página, se proporcionan instrucciones para crear copias de seguridad de instancias de Compute Engine en una backup vault del servicio Backup and DR, lo que incluye cómo otorgar acceso a la backup vault en tu proyecto de Compute Engine, configurar copias de seguridad programadas, crear copias de seguridad bajo demanda y administrar las copias de seguridad almacenadas en la bóveda.
Descripción general
El envío de copias de seguridad a una backup vault proporciona inmutabilidad y retención aplicada. Con una backup vault, puedes almacenar copias de seguridad en una sola región o en varias. Existen dos métodos principales para crear copias de seguridad de las instancias de Compute Engine:
Usa la consola de administración para crear copias de seguridad de las instancias de Compute Engine: Si tienes alguno de los siguientes requisitos de copias de seguridad, puedes usar la consola de administración para crear copias de seguridad de las instancias de Compute Engine:
- Copias de seguridad entre regiones
- Copias de seguridad de discos específicos conectados a una máquina virtual (VM)
- Protección automática de VMs de Google Compute Engine basada en etiquetas
- Si los Google Cloud planes de copias de seguridad y los almacenes de copias de seguridad basados en la consola no se encuentran en una ubicación compatible con la región en la que se ejecutan tus VMs de origen
El acceso a las backup vaults multirregionales solo está disponible por invitación. Si deseas solicitar acceso a bóvedas de copias de seguridad multirregionales en tu proyecto de Google Cloud, comunícate con tu representante de ventas.Usa la consola de Google Cloud para crear copias de seguridad de las instancias de Compute Engine: En la consola deGoogle Cloud , puedes crear copias de seguridad de las instancias de Compute Engine en una bóveda de copias de seguridad aplicando planes de copias de seguridad. Puedes crear copias de seguridad de tus datos con cualquiera de los siguientes métodos. Ambos métodos te permiten almacenar tus copias de seguridad de forma segura en una bóveda de copias de seguridad, lo que proporciona una forma confiable de recuperar tus instancias de Compute Engine en caso de pérdida de datos o de otros eventos inesperados.
Copias de seguridad programadas: Crea copias de seguridad automáticamente de las instancias de Compute Engine en intervalos específicos, como diarios, semanales, mensuales o anuales.
Copias de seguridad a pedido: Crea copias de seguridad a pedido cuando sea necesario. Las copias de seguridad a pedido son útiles para crear copias de seguridad antes de realizar cambios significativos en tus instancias o para la protección de datos ad hoc.
Antes de comenzar
Habilita la API del servicio Backup and DR donde se encuentran las instancias de Compute Engine.
Asigna roles y permisos de IAM al usuario de la copia de seguridad.
Otorga acceso al almacén de copias de seguridad en el proyecto de Compute Engine.
Configura Log Analytics en tu bucket para supervisar los trabajos de copia de seguridad de Backup and DR.
Limitaciones
El servicio Backup and DR no admite la creación de copias de seguridad de instancias de Compute Engine en un backup vault si la instancia usa alguna de las siguientes configuraciones:
- Instancias de VM con discos persistentes extremos conectados
- Instancias de VM con cualquier tipo de disco hyperdisk-*. Usa Disk-Backup
- Instancias de VM que usan un tipo de máquina C3D, H3, A3 o Z3
- Instancias de VM con claves de encriptación administradas por el cliente (CMEK) o claves de encriptación proporcionadas por el cliente (CSEK)
- Instancias de VM sin discos adjuntos.
- Instancias de VM de más de 200 terabytes (TB)
Roles y permisos de IAM para el usuario de la copia de seguridad
Para obtener los permisos que necesitas para configurar copias de seguridad programadas o ejecutar copias de seguridad a pedido, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto de bóveda de copias de seguridad:
-
Usuario de copia de seguridad de Backup and DR (
roles/backupdr.backupUser) -
Visualizador (
roles/viewer)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para configurar copias de seguridad programadas o ejecutar copias de seguridad a pedido. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para configurar copias de seguridad programadas o ejecutar copias de seguridad a demanda:
-
backupdr.backupPlans.list -
backupdr.backupPlanAssociations.createForComputeInstance -
backupdr.backupPlanAssociations.list -
backupdr.backupPlanAssociations.get -
backupdr.backupPlanAssociations.triggerBackupForComputeInstance -
backupdr.backupPlanAssociations.deleteForComputeInstance -
backupdr.backupPlans.useForComputeInstance -
backupdr.locations.list -
backupdr.operations.get -
cloudasset.assets.searchAllResources
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
En la siguiente tabla, se enumeran los permisos dinámicos necesarios para cada llamada a la API:
| Recurso | Acción que se realizará en el recurso | Permisos necesarios para cada llamada a la API | Proyecto en el que se debe asignar |
|---|---|---|---|
| Backup vault | Crea un BackupVault | backupdr.backupVaults.create | Proyecto del administrador |
| Borra BackupVault | backupdr.backupVaults.delete | Proyecto del administrador | |
| Actualiza BackupVault | backupdr.backupVaults.update | Proyecto del administrador | |
| Enumera BackupVaults | backupdr.backupVaults.list | Proyecto del administrador | |
| Obtén BackupVault | backupdr.backupVaults.get | Proyecto del administrador | |
| Plan de creación de copias de seguridad | Crea un BackupPlan | backupdr.backupPlans.create | Proyecto del administrador |
| Borra BackupPlan | backupdr.backupPlans.delete | Proyecto del administrador | |
| Obtén BackupPlan | backupdr.backupPlans.get | Proyecto del administrador | |
| Enumera los planes de copias de seguridad | backupdr.backupPlans.list | Proyecto del administrador | |
| Asociaciones del plan de creación de copias de seguridad | Crea la asociación del plan de creación de copias de seguridad | compute.instances.updateBackupDrConfig | Proyecto de carga de trabajo |
| backupdr.backupPlanAssociations.createForComputeInstance | Proyecto de carga de trabajo | ||
| backupdr.backupPlans.useForComputeInstance | Proyecto del administrador | ||
| Borra la asociación del plan de copias de seguridad | backupdr.backupPlanAssociations.deleteForComputeInstance | Proyecto de carga de trabajo | |
| compute.instances.updateBackupDrConfig | Proyecto de carga de trabajo | ||
| Activa una copia de seguridad a pedido en la asociación del plan de creación de copias de seguridad | backupdr.backupPlanAssociations.triggerBackupForComputeInstance | Proyecto de carga de trabajo | |
| Obtén la asociación del plan de copia de seguridad | backupdr.backupPlanAssociations.getForComputeInstance | Proyecto de carga de trabajo | |
| Enumera las asociaciones del plan de copias de seguridad | backupdr.backupPlanAssociations.list | Proyecto de carga de trabajo | |
| Recupera asociaciones del plan de copia de seguridad | backupdr.backupPlanAssociations.fetchForComputeInstance | Proyecto de carga de trabajo | |
| Fuente de datos | Get DataSource | backupdr.bvdataSources.get | Proyecto del administrador |
| Enumera DataSources | backupdr.backupPlanAssociations.list | Proyecto del administrador | |
| Restablecimiento de PITR | backupdr.bvdataSources.useReadOnlyForComputeInstance | Proyecto del administrador | |
| Copias de seguridad | Obtener copia de seguridad | backupdr.bvbackups.get | Proyecto del administrador |
| Enumera las copias de seguridad | backupdr.bvbackups.list | Proyecto del administrador | |
| Borrar copia de seguridad | backupdr.bvbackups.delete | Proyecto del administrador | |
| Restaurar copia de seguridad | backupdr.bvbackups.useReadOnlyForComputeInstance | Proyecto del administrador | |
| Referencias de fuentes de datos | Obtén la referencia de DataSource | backupdr.dataSourceReferences.getForComputeInstance | Proyecto de carga de trabajo |
| Recupera referencias de DataSource | backupdr.dataSourceReferences.fetchForComputeInstance | Proyecto de carga de trabajo | |
| Operaciones | Enumerar operaciones | backupdr.operations.list | Proyecto respectivo |
| Operaciones Get | backupdr.operations.get | Proyecto respectivo |
Otorga acceso a la backup vault en el proyecto de Compute Engine
Para crear una copia de seguridad de una instancia de VM de Compute Engine en un proyecto diferente de aquel en el que se creó la backup vault, debes otorgar el rol de IAM de operador de Backup and DR Compute Engine (roles/backupdr.computeEngineOperator) al agente de servicio de la backup vault dentro del proyecto de Compute Engine.
Para crear una copia de seguridad de una instancia de VM de Compute Engine en el mismo proyecto en el que se creó el almacén de copias de seguridad, no es necesario otorgar roles.
Para obtener información sobre cómo otorgar roles al agente de servicio de la bóveda de copias de seguridad en el proyecto del que deseas crear una copia de seguridad, consulta Otorga un rol al agente de servicio.
Configura una copia de seguridad programada
Sigue estas instrucciones para configurar una copia de seguridad programada para las instancias de Compute Engine.
Console
En la consola de Google Cloud , ve a la página Copias de seguridad protegidas.
Haz clic en Programar copias de seguridad.
En la lista Proyectos, haz clic en Explorar y selecciona un proyecto en el que se encuentren las instancias de Compute Engine.
En la lista Región, selecciona la región en la que se encuentran tus instancias.
En la lista Recursos, haz clic en Explorar.
Elige la instancia de Compute Engine de la que deseas crear una copia de seguridad y haz clic en Listo.
Haz clic en Continuar.
En la lista Plan de copia de seguridad, haz clic en Seleccionar.
Elige un plan de copias de seguridad con el que quieras proteger la instancia de Compute Engine.
Haz clic en Listo.
Revisa los detalles de la copia de seguridad y haz clic en Programar.
gcloud
Obtén el ID de la instancia.
gcloud compute instances describe VM_NAME --zone=VM_ZONE --format="value(id)"Reemplaza lo siguiente:
VM_NAME: El nombre de la instancia de VMVM_ZONE: Es la ubicación en la que se encuentra la VM.
Configura una copia de seguridad programada.
gcloud backup-dr backup-plan-associations create BACKUP_PLAN_ASSOCIATION_NAME \ --location=VM_REGION \ --resource=projects/VM_PROJECT_ID/zones/VM_ZONE/instances/VM_ID \ --backup-plan=projects/PROJECT_ID/locations/LOCATION/backupPlans/BACKUP_PLANReemplaza lo siguiente:
BACKUP_PLAN_ASSOCIATION_NAME: Es el nombre de la asociación del plan de copia de seguridad.VM_REGION: Es la región en la que se encuentra la instancia de Compute Engine.VM_PROJECT_ID: Es el nombre del proyecto en el que se encuentran las instancias de Compute Engine.VM_ZONE: Es la zona en la que se encuentra la instancia de Compute Engine.VM_ID: Es el ID de la instancia de Compute Engine.PROJECT_ID: Es el nombre del proyecto en el que existen planes de copia de seguridad.LOCATION: Es la región en la que existen tus planes de copias de seguridad.BACKUP_PLAN: Es el nombre del plan de copia de seguridad con el que deseas asociar la instancia de Compute Engine.
Terraform
Puedes usar un recurso de Terraform para configurar una copia de seguridad programada.
Cambia el plan de copias de seguridad aplicado a una instancia de Compute Engine
Puedes cambiar el plan de copia de seguridad aplicado a una instancia de Compute Engine por otro plan. El otro plan de copias de seguridad debe cumplir con los siguientes criterios:
- Usar la misma bóveda de copias de seguridad
- Estar en la misma región que la instancia de Compute Engine
Sigue estas instrucciones para cambiar el plan de copias de seguridad asociado a una instancia de Compute Engine.
Console
En la consola de Google Cloud , ve a la página Copias de seguridad protegidas.
Ir a Copias de seguridad almacenadas en la vault
En la página Copias de seguridad en la bóveda, solo se enumeran las instancias que tienen planes de copias de seguridad aplicados y sus copias de seguridad almacenadas en una backup vault dentro de un proyecto.
Selecciona la copia de seguridad que tendrá un plan diferente. En la página de detalles de la copia de seguridad o en el menú , selecciona Cambiar plan de copia de seguridad. En la ventana Selecciona un plan de copias de seguridad, solo se muestran los planes de copias de seguridad que son válidos para esta instancia.
Selecciona un plan de copia de seguridad y haz clic en Aplicar.
gcloud
Cambiar el plan de copias de seguridad asignado
gcloud backup-dr backup-plan-associations update BACKUP_PLAN_ASSOCIATION_NAME \ --workload-project=VM_PROJECT_ID \ --location=VM_REGION \ --backup-plan=BACKUP-PLAN \ --project=PROJECT_IDReemplaza lo siguiente:
BACKUP_PLAN_ASSOCIATION_NAME: Es el nombre del recurso de asociación del plan de copia de seguridad.VM_PROJECT_ID: Es el ID del proyecto de la instancia de Compute Engine.VM_REGION: Es la ubicación de la instancia de Compute Engine.BACKUP_PLAN: Es el nombre del plan de copia de seguridad al que cambiarás.PROJECT_ID: Es el ID del proyecto del plan de copia de seguridad seleccionado.
Enumera las copias de seguridad programadas
Sigue estas instrucciones para enumerar las instancias de Compute Engine de las que se creó una copia de seguridad.
Console
En la consola de Google Cloud , ve a la página Copias de seguridad protegidas.
Ir a Copias de seguridad almacenadas en la vault
En la página Copias de seguridad en la bóveda, solo se enumeran las instancias que tienen planes de copias de seguridad aplicados y sus copias de seguridad almacenadas en una backup vault dentro de un proyecto.
gcloud
Enumera las copias de seguridad programadas.
gcloud backup-dr backup-plan-associations list \ --location=LOCATION \ --project=PROJECT_IDReemplaza lo siguiente:
PROJECT_ID: el nombre del proyecto.LOCATION: Es la ubicación de las copias de seguridad programadas.
Crea una copia de seguridad según demanda
Puedes iniciar una copia de seguridad a pedido para una instancia de Compute Engine con un plan de copias de seguridad. Para ello, activa la regla de copia de seguridad que elijas para que se ejecute de inmediato. Por lo general, las copias de seguridad bajo demanda capturan solo los datos que cambiaron desde la última copia de seguridad (incrementales).
Cuando creas una copia de seguridad a pedido, puedes elegir una regla del plan de copia de seguridad asociado a la instancia de Compute Engine. Esta regla determina cuándo se borrará la copia de seguridad bajo demanda. Puedes verificar el estado del trabajo de copia de seguridad en la página Trabajos. Para obtener más información, consulta Supervisa los trabajos de copia de seguridad y restablecimiento en la consola de Google Cloud .
Sigue estas instrucciones para crear una copia de seguridad bajo demanda.
Console
- Ve a Instancias de VM > Detalles > Plan de copia de seguridad para crear una copia de seguridad a pedido.
- Haz clic en Crear copia de seguridad a pedido. Debes tener los permisos correctos para crear una copia de seguridad a pedido.
- Elige una regla de copia de seguridad.
- Haz clic en Crear para iniciar el proceso de creación de la copia de seguridad según demanda.
- Para ver el estado del trabajo de copia de seguridad a pedido, haz clic en Notificaciones.
gcloud
Crea una copia de seguridad según demanda.
gcloud backup-dr backup-plan-associations trigger-backup BACKUP_PLAN_ASSOCIATION_NAME \ --project=PROJECT_ID --location=LOCATION \ --backup-rule-id=RULE_IDReemplaza lo siguiente:
BACKUP_PLAN_ASSOCIATION_NAME: Es el nombre de la asociación del plan de copia de seguridad. Ejecuta el comandogcloud backup-dr backup-plan-associations list --location=LOCATION --project=PROJECT_IDpara obtener la lista de los planes de copias de seguridad asociados con la instancia de Compute Engine.PROJECT_ID: el nombre del proyecto.LOCATION: Es la ubicación de las copias de seguridad programadas.RULE_ID: Es el nombre de la regla de copia de seguridad que deseas asociar para ejecutar copias de seguridad a pedido.
Cómo desproteger una instancia de Compute Engine
Puedes quitar la protección de una instancia de Compute Engine quitando el plan de copias de seguridad aplicado a la instancia. Quitar un plan de copia de seguridad de una instancia de Compute Engine no borra el plan ni las copias de seguridad creadas mientras se usaba la instancia. Aún puedes acceder a estas copias de seguridad existentes y administrarlas.
Sigue estas instrucciones para quitar la protección de una instancia de Compute Engine.
Console
En la consola de Google Cloud , ve a la página Copias de seguridad protegidas.
Haz clic en el nombre de la instancia de la que deseas quitar un plan de copias de seguridad.
Selecciona Quitar el plan de creación de copias de seguridad.
gcloud
Desprotege una instancia de Compute Engine.
gcloud backup-dr backup-plan-associations delete BACKUP_PLAN_ASSOCIATION_NAME\ --project=PROJECT_ID \ --location=LOCATIONReemplaza lo siguiente:
BACKUP_PLAN_ASSOCIATION_NAME: Es el nombre de la copia de seguridad que deseas borrar.PROJECT_ID: el nombre del proyecto.LOCATION: Es la ubicación de la copia de seguridad programada.
¿Qué sigue?
- Administra fuentes de datos en la Google Cloud consola
- Administra copias de seguridad en la Google Cloud consola