Sauvegarder des instances Compute Engine dans un coffre de sauvegarde

Cette page explique comment sauvegarder des instances Compute Engine dans un coffre-fort de sauvegarde à l'aide de la console Google Cloud . L'envoi de sauvegardes vers un coffre de sauvegarde offre une immuabilité et une conservation appliquée. Avec un coffre de sauvegarde, vous pouvez stocker des sauvegardes dans une seule région. Si vous rencontrez l'une des exigences de sauvegarde suivantes, vous pouvez utiliser la console de gestion pour sauvegarder des instances Compute Engine:

  • Sauvegardes multirégionales ou interrégionales
  • Sauvegardes de disques spécifiques associés à une VM
  • Protection automatique des VM Google Compute Engine en fonction des tags
  • Si les plans de sauvegarde et les espaces de stockage de sauvegarde basés sur la console Google Cloud ne sont pas compatibles avec la région où vos VM s'exécutent

Dans la console Google Cloud , vous pouvez sauvegarder des instances Compute Engine dans un espace de stockage de sauvegarde en appliquant des plans de sauvegarde. Vous pouvez effectuer une sauvegarde de deux manières différentes. Les deux méthodes vous permettent de stocker vos sauvegardes de manière sécurisée dans un dépôt de sauvegarde, ce qui vous permet de récupérer vos instances Compute Engine de manière fiable en cas de perte de données ou d'autres événements inattendus.

  • Sauvegardes planifiées Vous pouvez sauvegarder automatiquement des instances Compute Engine à des intervalles spécifiques, par exemple quotidien, hebdomadaire, mensuel ou annuel.
  • Sauvegardes à la demande Vous pouvez créer des sauvegardes à la demande à tout moment. Les sauvegardes à la demande sont utiles pour créer des sauvegardes avant d'apporter des modifications importantes à vos instances ou pour protéger des données de manière ponctuelle.

Avant de commencer

  1. Activez l'API du service Backup and DR dans la zone où se trouvent les instances Compute Engine.
  2. Activer l'API
  3. Créer un coffre de sauvegarde
  4. Créer un plan de sauvegarde
  5. Attribuer des rôles et des autorisations IAM à l'utilisateur de secours
  6. Accorder l'accès au coffre de sauvegarde dans le projet Compute Engine
  7. Configurez Log Analytics sur votre bucket pour surveiller les tâches de sauvegarde Backup and DR.

Limites

Le service Backup and DR n'est pas compatible avec la sauvegarde des instances Compute Engine dans un coffre de sauvegarde si l'instance utilise l'une des configurations suivantes:

  • Instances de VM auxquelles sont associés des disques persistants extrêmes
  • Instances de VM associées à des disques Hyperdisk Extreme
  • Instances de VM qui utilisent un type de machine C3D, H3, A3 ou Z3
  • Instances de VM avec des clés de chiffrement gérées par le client (CMEK) ou des clés de chiffrement fournies par le client (CSEK)
  • Instances de VM sans disques associés.
  • Instances de VM de plus de 200 To

Rôles et autorisations IAM de l'utilisateur de secours

Pour obtenir les autorisations nécessaires pour configurer des sauvegardes planifiées ou exécuter des sauvegardes à la demande, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet de coffre-fort de sauvegarde:

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour configurer des sauvegardes planifiées ou exécuter des sauvegardes à la demande. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour configurer des sauvegardes planifiées ou exécuter des sauvegardes à la demande:

  • backupdr.backupPlans.list
  • backupdr.backupPlanAssociations.createForComputeInstance
  • backupdr.backupPlanAssociations.list
  • backupdr.backupPlanAssociations.get
  • backupdr.backupPlanAssociations.triggerBackupForComputeInstance
  • backupdr.backupPlanAssociations.deleteForComputeInstance
  • backupdr.backupPlans.useForComputeInstance
  • backupdr.locations.list
  • backupdr.operations.get
  • cloudasset.assets.searchAllResources

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Accorder l'accès au coffre de sauvegarde dans le projet Compute Engine

Pour sauvegarder une instance de VM Compute Engine dans un projet différent de celui dans lequel le coffre de sauvegarde est créé, vous devez accorder le rôle IAM Opérateur Compute Engine de sauvegarde et de reprise après sinistre (roles/backupdr.computeEngineOperator) à l'agent de service du coffre de sauvegarde dans le projet Compute Engine.

Pour sauvegarder une instance de VM Compute Engine dans le projet où le coffre de sauvegarde est créé, aucun rôle n'est requis.

Pour savoir comment attribuer des rôles à l'agent de service du coffre-fort de sauvegarde dans le projet que vous souhaitez sauvegarder, consultez la section Attribuer un rôle à l'agent de service.

Configurer une sauvegarde planifiée

Suivez les instructions ci-dessous pour configurer une sauvegarde planifiée pour les instances Compute Engine.

Console

  1. Dans la console Google Cloud , accédez à la page Sauvegardes dans un coffre-fort.

    Accéder aux sauvegardes stockées dans un vault

  2. Cliquez sur Programmer des sauvegardes.

  3. Dans la liste Projects (Projets), cliquez sur Browse (Parcourir) et sélectionnez un projet dans lequel se trouvent les instances Compute Engine.

  4. Dans la liste Région, sélectionnez la région dans laquelle se trouvent vos instances.

  5. Dans la liste Ressources, cliquez sur Parcourir.

  6. Sélectionnez l'instance Compute Engine que vous souhaitez sauvegarder, puis cliquez sur OK.

  7. Cliquez sur Continuer.

  8. Dans la liste Plan de sauvegarde, cliquez sur Sélectionner.

  9. Choisissez un plan de sauvegarde avec lequel vous souhaitez protéger l'instance Compute Engine.

  10. Cliquez sur OK.

  11. Vérifiez les informations de la sauvegarde, puis cliquez sur Planifier.

gcloud

  1. Obtenez l'ID de l'instance.

      gcloud compute instances describe VM_NAME --zone=VM_ZONE --format="value(id)"

    Remplacez les éléments suivants :

    • VM_NAME : nom de l'instance de VM
    • VM_ZONE: emplacement de la VM.

  2. Configurez une sauvegarde planifiée.

      gcloud backup-dr backup-plan-associations create BACKUP_PLAN_ASSOCIATION_NAME \
  --location=VM_REGION \
  --resource=projects/VM_PROJECT_ID/zones/VM_ZONE/instances/VM_ID \
  --backup-plan=projects/PROJECT_ID/locations/LOCATION/backupPlans/BACKUP_PLAN

    Remplacez les éléments suivants :

    • BACKUP_PLAN_ASSOCIATION_NAME: nom de l'association de plan de sauvegarde.
    • VM_REGION: région dans laquelle se trouve l'instance Compute Engine.
    • VM_PROJECT_ID: nom du projet dans lequel se trouvent les instances Compute Engine.
    • VM_ZONE: zone dans laquelle se trouve l'instance Compute Engine.
    • VM_ID: ID de l'instance Compute Engine.
    • PROJECT_ID: nom du projet pour lequel des plans de sauvegarde existent.
    • LOCATION: région où se trouvent vos plans de sauvegarde.
    • BACKUP_PLAN: nom du plan de sauvegarde auquel vous souhaitez associer l'instance Compute Engine.

Terraform

Vous pouvez utiliser une ressource Terraform pour configurer une sauvegarde planifiée.


# Before creating a backup plan association, you need to create backup plan (google_backup_dr_backup_plan)
# and compute instance (google_compute_instance).
resource "google_backup_dr_backup_plan_association" "default" {
  provider                   = google-beta
  location                   = "us-central1"
  backup_plan_association_id = "my-bpa"
  resource                   = google_compute_instance.default.id
  resource_type              = "compute.googleapis.com/Instance"
  backup_plan                = google_backup_dr_backup_plan.default.name
}

Répertorier les sauvegardes planifiées

Suivez les instructions ci-dessous pour lister les instances Compute Engine sauvegardées.

Console

  1. Dans la console Google Cloud , accédez à la page Sauvegardes dans un coffre-fort.

    Accéder aux sauvegardes stockées dans un vault

    La page Sauvegardes dans un coffre ne liste que les instances auxquelles des plans de sauvegarde ont été appliqués et dont les sauvegardes sont stockées dans un coffre de sauvegarde au sein d'un projet.

gcloud

  1. Répertorier les sauvegardes planifiées.

      gcloud backup-dr backup-plan-associations list \
  --location=LOCATION \
  --project=PROJECT_ID

    Remplacez les éléments suivants :

    • PROJECT_ID : nom du projet.
    • LOCATION: emplacement des sauvegardes planifiées.

Créer une sauvegarde à la demande

Vous pouvez lancer une sauvegarde à la demande pour une instance Compute Engine avec un plan de sauvegarde en déclenchant l'exécution immédiate de la règle de sauvegarde de votre choix. Les sauvegardes à la demande sont incrémentielles et ne capturent que les données modifiées depuis la dernière sauvegarde.

Lorsque vous créez une sauvegarde à la demande, vous pouvez choisir une règle dans le plan de sauvegarde associé à l'instance Compute Engine. Cette règle détermine quand la sauvegarde à la demande est supprimée. Vous pouvez vérifier l'état de la tâche de sauvegarde sur la page Tâches. Pour en savoir plus, consultez Surveiller les tâches de sauvegarde et de restauration dans la console Google Cloud .

Suivez les instructions ci-dessous pour créer une sauvegarde à la demande.

Console

  1. Accédez à Instances de VM > Détails > Plan de sauvegarde pour créer une sauvegarde à la demande.
  2. Cliquez sur Créer une sauvegarde à la demande. Assurez-vous de disposer des autorisations appropriées pour effectuer une sauvegarde à la demande.
  3. Choisissez une règle de sauvegarde.
  4. Cliquez sur Créer pour lancer le processus de création de la sauvegarde à la demande.
  5. Pour afficher l'état de la tâche de sauvegarde à la demande, cliquez sur Notifications.

gcloud

  1. Créez une sauvegarde à la demande.

      gcloud backup-dr backup-plan-associations trigger-backup BACKUP_PLAN_ASSOCIATION_NAME \
  --project=PROJECT_ID --location=LOCATION \
  --backup-rule-id=RULE_ID

    Remplacez les éléments suivants :

    • BACKUP_PLAN_ASSOCIATION_NAME: nom de l'association de plan de sauvegarde. Exécutez la commande gcloud backup-dr backup-plan-associations list --location=LOCATION --project=PROJECT_ID pour obtenir la liste des plans de sauvegarde associés à l'instance Compute Engine.
    • PROJECT_ID : nom du projet.
    • LOCATION: emplacement des sauvegardes planifiées.
    • RULE_ID: nom de la règle de sauvegarde que vous souhaitez associer pour exécuter des sauvegardes à la demande.

Déprotéger une instance Compute Engine

Vous pouvez déprotéger une instance Compute Engine en supprimant le plan de sauvegarde appliqué à l'instance. Supprimer un plan de sauvegarde d'une instance Compute Engine ne supprime pas le plan de sauvegarde ni les sauvegardes créées pendant l'utilisation de l'instance. Vous pouvez toujours y accéder et les gérer.

Suivez les instructions ci-dessous pour déprotéger une instance Compute Engine.

Console

  1. Dans la console Google Cloud , accédez à la page Sauvegardes dans un coffre-fort.

    Accéder aux sauvegardes stockées dans un vault

  2. Cliquez sur le nom de l'instance pour laquelle vous souhaitez supprimer un plan de sauvegarde.

  3. Sélectionnez Supprimer le plan de sauvegarde.

gcloud

  1. Déprotéger une instance Compute Engine.

      gcloud backup-dr backup-plan-associations delete BACKUP_PLAN_ASSOCIATION_NAME\
  --project=PROJECT_ID \
  --location=LOCATION

    Remplacez les éléments suivants :

    • BACKUP_PLAN_ASSOCIATION_NAME: nom de la sauvegarde que vous souhaitez supprimer.
    • PROJECT_ID : nom du projet.
    • LOCATION: emplacement de la sauvegarde planifiée.

Étape suivante