Faça uma cópia de segurança de instâncias do Compute Engine para um cofre de cópias de segurança

Esta página fornece instruções sobre como fazer uma cópia de segurança de instâncias do Compute Engine para um cofre de cópias de segurança do serviço de cópias de segurança e recuperação de desastres, incluindo como conceder acesso ao cofre de cópias de segurança no seu projeto do Compute Engine, configurar cópias de segurança agendadas, criar cópias de segurança a pedido e gerir as cópias de segurança no cofre.

Vista geral

O envio de cópias de segurança para um cofre de cópias de segurança oferece imutabilidade e retenção forçada. Com um cofre de cópias de segurança, pode armazenar cópias de segurança numa única região ou numa região múltipla. Existem dois métodos principais para fazer cópias de segurança de instâncias do Compute Engine:

  • Use a consola de gestão para fazer uma cópia de segurança das instâncias do Compute Engine: se tiver algum dos seguintes requisitos de cópia de segurança, pode usar a consola de gestão para fazer uma cópia de segurança das instâncias do Compute Engine:

    • Cópias de segurança entre regiões
    • Cópias de segurança de discos específicos associados a uma máquina virtual (VM)
    • Proteção automática de VMs do Google Compute Engine com base em etiquetas
    • Se os Google Cloud planos de cópia de segurança e os cofres de cópias de segurança baseados na consola Google Cloud não estiverem numa localização compatível com a região onde as VMs de origem estão a ser executadas.
    O acesso aos cofres de cópias de segurança em várias regiões só está disponível por convite. Se quiser pedir acesso a cofres de cópias de segurança multirregionais no seu projeto, contacte o seu representante de vendas. Google Cloud

  • Use a Google Cloud consola para fazer uma cópia de segurança de instâncias do Compute Engine: na Google Cloud consola, pode fazer uma cópia de segurança de instâncias do Compute Engine para um cofre de cópias de segurança aplicando planos de cópias de segurança. Pode fazer uma cópia de segurança dos seus dados através de qualquer um dos seguintes métodos. Ambos os métodos permitem-lhe armazenar as suas cópias de segurança em segurança num cofre de cópias de segurança, o que lhe oferece uma forma fiável de recuperar as suas instâncias do Compute Engine em caso de perda de dados ou outros eventos inesperados.

    • Cópias de segurança agendadas: faça automaticamente cópias de segurança de instâncias do Compute Engine a intervalos específicos, como diários, semanais, mensais ou anuais.

    • Cópias de segurança a pedido: crie cópias de segurança a pedido sempre que precisar. As cópias de segurança a pedido são úteis para criar cópias de segurança antes de fazer alterações significativas às suas instâncias ou para proteção de dados ad hoc.

Antes de começar

  1. Ative a API Backup and DR Service onde as instâncias do Compute Engine estão localizadas.

    Ative a API

  2. Crie um cofre de cópias de segurança.

  3. Crie um plano de contingência.

  4. Atribua funções e autorizações do IAM ao utilizador de cópia de segurança.

  5. Conceda acesso ao cofre de cópias de segurança no projeto do Compute Engine.

  6. Configure o Log Analytics no seu contentor para monitorizar as tarefas de cópia de segurança do Backup and DR.

Limitações

O serviço de cópia de segurança e recuperação de desastres não suporta a criação de cópias de segurança de instâncias do Compute Engine num cofre de cópias de segurança se a instância usar qualquer uma das seguintes configurações:

  • Instâncias de VM com discos persistentes extremos anexados.
  • Instâncias de VM com discos Hyperdisk Extreme do Google Cloud anexados.
  • Instâncias de VM que usam um tipo de máquina C3D, H3, A3 ou Z3.
  • Instâncias de VMs com chaves de encriptação geridas pelo cliente (CMEK) ou chaves de encriptação fornecidas pelo cliente (CSEK).
  • Instâncias de VM sem discos anexados.
  • Instâncias de VM com mais de 200 terabytes (TB).

Funções e autorizações da IAM para o utilizador de cópia de segurança

Para receber as autorizações de que precisa para configurar cópias de segurança agendadas ou executar cópias de segurança a pedido, peça ao seu administrador para lhe conceder as seguintes funções da IAM no projeto do cofre de cópias de segurança:

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Estas funções predefinidas contêm as autorizações necessárias para configurar cópias de segurança agendadas ou executar cópias de segurança a pedido. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

São necessárias as seguintes autorizações para configurar cópias de segurança agendadas ou executar cópias de segurança a pedido:

  • backupdr.backupPlans.list
  • backupdr.backupPlanAssociations.createForComputeInstance
  • backupdr.backupPlanAssociations.list
  • backupdr.backupPlanAssociations.get
  • backupdr.backupPlanAssociations.triggerBackupForComputeInstance
  • backupdr.backupPlanAssociations.deleteForComputeInstance
  • backupdr.backupPlans.useForComputeInstance
  • backupdr.locations.list
  • backupdr.operations.get
  • cloudasset.assets.searchAllResources

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

A tabela seguinte lista as autorizações dinâmicas necessárias para cada chamada API:

Recurso Ação a executar no recurso Autorizações necessárias para cada chamada de API Projeto onde tem de ser atribuído
Cofre de cópias de segurança Create BackupVault backupdr.backupVaults.create Projeto do administrador
Elimine o BackupVault backupdr.backupVaults.delete Projeto do administrador
Atualize o BackupVault backupdr.backupVaults.update Projeto do administrador
Listar BackupVaults backupdr.backupVaults.list Projeto do administrador
Get BackupVault backupdr.backupVaults.get Projeto do administrador
Plano de segurança Crie um BackupPlan backupdr.backupPlans.create Projeto do administrador
Eliminar BackupPlan backupdr.backupPlans.delete Projeto do administrador
Get BackupPlan backupdr.backupPlans.get Projeto do administrador
Apresente planos de cópia de segurança backupdr.backupPlans.list Projeto do administrador
Associações do plano de cópia de segurança Crie uma associação de plano de cópia de segurança compute.instances.updateBackupDrConfig Projeto de carga de trabalho
backupdr.backupPlanAssociations.createForComputeInstance Projeto de carga de trabalho
backupdr.backupPlans.useForComputeInstance Projeto do administrador
Elimine a associação do plano de cópia de segurança backupdr.backupPlanAssociations.deleteForComputeInstance Projeto de carga de trabalho
compute.instances.updateBackupDrConfig Projeto de carga de trabalho
Acione uma cópia de segurança a pedido na associação do plano de cópia de segurança backupdr.backupPlanAssociations.triggerBackupForComputeInstance Projeto de carga de trabalho
Obtenha a associação do plano de cópia de segurança backupdr.backupPlanAssociations.getForComputeInstance Projeto de carga de trabalho
Apresentar associações do plano de cópia de segurança backupdr.backupPlanAssociations.list Projeto de carga de trabalho
Obtenha associações do plano de cópia de segurança backupdr.backupPlanAssociations.fetchForComputeInstance Projeto de carga de trabalho
Origem de dados Get DataSource backupdr.bvdataSources.get Projeto do administrador
List DataSources backupdr.backupPlanAssociations.list Projeto do administrador
Restauro de PiTR backupdr.bvdataSources.useReadOnlyForComputeInstance Projeto do administrador
Cópias de segurança Obter cópia de segurança backupdr.bvbackups.get Projeto do administrador
Liste as cópias de segurança backupdr.bvbackups.list Projeto do administrador
Elimine a cópia de segurança backupdr.bvbackups.delete Projeto do administrador
Restaurar cópia de segurança backupdr.bvbackups.useReadOnlyForComputeInstance Projeto do administrador
Referências da origem de dados Get DataSource Reference backupdr.dataSourceReferences.getForComputeInstance Projeto de carga de trabalho
Obter referências de origens de dados backupdr.dataSourceReferences.fetchForComputeInstance Projeto de carga de trabalho
Operações Apresentar operações backupdr.operations.list Projeto respetivo
Obter operações backupdr.operations.get Projeto respetivo

Conceda acesso ao cofre de cópias de segurança no projeto do Compute Engine

Para fazer uma cópia de segurança de uma instância de VM do Compute Engine num projeto diferente daquele em que o cofre de cópias de segurança é criado, tem de conceder a função do IAM de operador do Compute Engine do Backup and DR (roles/backupdr.computeEngineOperator) ao agente de serviço do cofre de cópias de segurança no projeto do Compute Engine.

Para fazer uma cópia de segurança de uma instância de VM do Compute Engine no mesmo projeto onde o cofre de cópias de segurança é criado, não é necessário conceder funções.

Para ver informações sobre a concessão de funções ao agente do serviço de cofre de cópias de segurança no projeto do qual pretende fazer uma cópia de segurança, consulte o artigo Conceda uma função ao agente do serviço.

Configure uma cópia de segurança agendada

Siga as instruções abaixo para configurar uma cópia de segurança agendada para instâncias do Compute Engine.

Consola

  1. Na Google Cloud consola, aceda à página Cópias de segurança protegidas.

    Aceda às cópias de segurança protegidas

  2. Clique em Agendar cópias de segurança.

  3. Na lista Projetos, clique em Procurar e selecione um projeto onde se encontram as instâncias do Compute Engine.

  4. Na lista Região, selecione a região onde as suas instâncias estão localizadas.

  5. Na lista Recursos, clique em Procurar.

  6. Escolha a instância do Compute Engine da qual quer fazer uma cópia de segurança e clique em Concluído.

  7. Clique em Continuar.

  8. Na lista Plano alternativo, clique em Selecionar.

  9. Escolha um plano de cópia de segurança com o qual quer proteger a instância do Compute Engine.

  10. Clique em Concluído.

  11. Reveja os detalhes da cópia de segurança e clique em Agendar.

gcloud

  1. Obtenha o ID da instância.

      gcloud compute instances describe VM_NAME --zone=VM_ZONE --format="value(id)"

    Substitua o seguinte:

    • VM_NAME: o nome da instância de VM.
    • VM_ZONE: a localização onde a VM está localizada.

  2. Configure uma cópia de segurança agendada.

      gcloud backup-dr backup-plan-associations create BACKUP_PLAN_ASSOCIATION_NAME \
  --location=VM_REGION \
  --resource=projects/VM_PROJECT_ID/zones/VM_ZONE/instances/VM_ID \
  --backup-plan=projects/PROJECT_ID/locations/LOCATION/backupPlans/BACKUP_PLAN

    Substitua o seguinte:

    • BACKUP_PLAN_ASSOCIATION_NAME: o nome da associação do plano de contingência.
    • VM_REGION: a região onde a instância do Compute Engine está localizada.
    • VM_PROJECT_ID: o nome do projeto onde as instâncias do Compute Engine estão localizadas.
    • VM_ZONE: a zona onde a instância do Compute Engine está localizada.
    • VM_ID: o ID da instância do Compute Engine.
    • PROJECT_ID: o nome do projeto onde existem planos de cópia de segurança.
    • LOCATION: a região onde os seus planos de cópia de segurança existem.
    • BACKUP_PLAN: o nome do plano de cópia de segurança ao qual quer associar a instância do Compute Engine.

Terraform

Pode usar um recurso do Terraform para configurar uma cópia de segurança agendada.


# Before creating a backup plan association, you need to create backup plan (google_backup_dr_backup_plan)
# and compute instance (google_compute_instance).
resource "google_backup_dr_backup_plan_association" "default" {
  provider                   = google-beta
  location                   = "us-central1"
  backup_plan_association_id = "my-bpa"
  resource                   = google_compute_instance.default.id
  resource_type              = "compute.googleapis.com/Instance"
  backup_plan                = google_backup_dr_backup_plan.default.name
}

Altere o plano de cópia de segurança aplicado a uma instância do Compute Engine

Pode alterar o plano de cópia de segurança aplicado a uma instância do Compute Engine para outro plano de cópia de segurança. O outro plano de contingência tem de cumprir estes critérios:

  • Use o mesmo cofre de cópias de segurança
  • Estar na mesma região que a instância do Compute Engine

Siga estas instruções para alterar o plano de cópia de segurança associado a uma instância do Compute Engine.

Consola

  1. Na Google Cloud consola, aceda à página Cópias de segurança protegidas.

    Aceda às cópias de segurança protegidas

    A página Cópias de segurança protegidas apresenta apenas as instâncias que têm planos de cópia de segurança aplicados e as respetivas cópias de segurança armazenadas num cofre de cópias de segurança num projeto.

  2. Selecione a cópia de segurança que vai ter um plano diferente. Na página de detalhes da cópia de segurança ou no menu , selecione Alterar plano de cópia de segurança. A janela Selecionar um plano de cópia de segurança apresenta apenas os planos de cópia de segurança que são válidos para esta instância.

  3. Selecione um plano de cópia de segurança e clique em Aplicar.

gcloud

  • Altere o plano de cópia de segurança atribuído.

      gcloud backup-dr backup-plan-associations update BACKUP_PLAN_ASSOCIATION_NAME \
  --workload-project=VM_PROJECT_ID \
  --location=VM_REGION \
  --backup-plan=BACKUP-PLAN \
  --project=PROJECT_ID

    Substitua o seguinte:

    • BACKUP_PLAN_ASSOCIATION_NAME: o nome do recurso de associação do plano de cópia de segurança.
    • VM_PROJECT_ID: o project-id da instância do Compute Engine.
    • VM_REGION: a localização da instância do Compute Engine.
    • BACKUP_PLAN: o nome do plano alternativo para o qual está a mudar.
    • PROJECT_ID: o project-id do plano de backup selecionado.

Liste as cópias de segurança agendadas

Siga as instruções abaixo para listar as instâncias do Compute Engine com cópia de segurança.

Consola

  1. Na Google Cloud consola, aceda à página Cópias de segurança protegidas.

    Aceda às cópias de segurança protegidas

    A página Cópias de segurança protegidas apresenta apenas as instâncias que têm planos de cópia de segurança aplicados e as respetivas cópias de segurança armazenadas num cofre de cópias de segurança num projeto.

gcloud

  1. Listar cópias de segurança agendadas.

      gcloud backup-dr backup-plan-associations list \
  --location=LOCATION \
  --project=PROJECT_ID

    Substitua o seguinte:

    • PROJECT_ID: o nome do projeto.
    • LOCATION: a localização das cópias de segurança agendadas.

Crie uma cópia de segurança a pedido

Pode iniciar uma cópia de segurança a pedido para uma instância do Compute Engine com um plano de cópia de segurança acionando a regra de cópia de segurança à sua escolha para execução imediata. Normalmente, as cópias de segurança a pedido captam apenas os dados alterados desde a última cópia de segurança (incremental).

Quando cria uma cópia de segurança a pedido, pode escolher uma regra do plano de cópia de segurança associado à instância do Compute Engine. Esta regra determina quando a cópia de segurança a pedido é eliminada. Pode verificar o estado da tarefa de cópia de segurança na página Tarefas. Para mais informações, consulte o artigo Monitorize tarefas de cópia de segurança e restauro na Google Cloud consola.

Use as instruções seguintes para criar uma cópia de segurança a pedido.

Consola

  1. Aceda a Instâncias de VM > Detalhes > Plano de cópia de segurança para criar uma cópia de segurança a pedido.
  2. Clique em Criar cópia de segurança a pedido. Tem de ter as autorizações corretas para fazer uma cópia de segurança a pedido.
  3. Escolha uma regra de cópia de segurança.
  4. Clique em Criar para iniciar o processo de criação de cópias de segurança a pedido.
  5. Para ver o estado da tarefa de cópia de segurança a pedido, clique em Notificações.

gcloud

  1. Crie uma cópia de segurança a pedido.

      gcloud backup-dr backup-plan-associations trigger-backup BACKUP_PLAN_ASSOCIATION_NAME \
  --project=PROJECT_ID --location=LOCATION \
  --backup-rule-id=RULE_ID

    Substitua o seguinte:

    • BACKUP_PLAN_ASSOCIATION_NAME: o nome da associação do plano de contingência. Execute o comando gcloud backup-dr backup-plan-associations list --location=LOCATION --project=PROJECT_ID para obter a lista dos planos de cópia de segurança associados à instância do Compute Engine.
    • PROJECT_ID: o nome do projeto.
    • LOCATION: a localização das cópias de segurança agendadas.
    • RULE_ID: o nome da regra de cópia de segurança que quer associar para executar cópias de segurança a pedido.

Desproteger uma instância do Compute Engine

Pode desproteger uma instância do Compute Engine removendo o plano de cópia de segurança aplicado à instância. A remoção de um plano de cópia de segurança de uma instância do Compute Engine não elimina o plano de cópia de segurança nem as cópias de segurança criadas enquanto a instância estava em utilização. Continua a poder aceder e gerir estas cópias de segurança existentes.

Use as seguintes instruções para remover a proteção de uma instância do Compute Engine.

Consola

  1. Na Google Cloud consola, aceda à página Cópias de segurança protegidas.

    Aceda às cópias de segurança protegidas

  2. Clique no nome da instância da qual quer remover um plano de cópia de segurança.

  3. Selecione Remover plano de cópia de segurança.

gcloud

  1. Desproteger uma instância do Compute Engine.

      gcloud backup-dr backup-plan-associations delete BACKUP_PLAN_ASSOCIATION_NAME\
  --project=PROJECT_ID \
  --location=LOCATION

    Substitua o seguinte:

    • BACKUP_PLAN_ASSOCIATION_NAME: o nome da cópia de segurança que quer eliminar.
    • PROJECT_ID: o nome do projeto.
    • LOCATION: a localização da cópia de segurança agendada.

O que se segue?