Esta página descreve como fazer backup de instâncias do Compute Engine em um cofre de backup usando o console do Google Cloud . O envio de backups para um backup vault oferece imutabilidade e retenção obrigatória. Com um backup vault, você pode armazenar backups em uma única região. Se você tiver algum dos requisitos de backup a seguir, use o console de gerenciamento para fazer backup das instâncias do Compute Engine:
- Backups multirregionais ou entre regiões
- Backups de discos específicos anexados a uma VM
- Proteção automatizada de VMs do Google Compute Engine com base em tags
- Se os planos de backup e os cofres de backup baseados no console do Google Cloud não tiverem suporte na região em que as VMs estão em execução
No console do Google Cloud , é possível fazer backup de instâncias do Compute Engine em um arquivo de backup aplicando planos de backup. É possível fazer backup de duas maneiras. Os dois métodos permitem armazenar os backups com segurança em um backup vault, oferecendo uma maneira confiável de recuperar as instâncias do Compute Engine em caso de perda de dados ou outros eventos inesperados.
- Backups programados. É possível fazer backup automático de instâncias do Compute Engine em intervalos específicos, como diário, semanal, mensal ou anual.
- Backups sob demanda. É possível criar backups sob demanda sempre que necessário. Os backups sob demanda são úteis para criar backups antes de fazer mudanças significativas nas suas instâncias ou para proteção de dados ad hoc.
Antes de começar
- Ative a API Backup and DR Service onde as instâncias do Compute Engine estão localizadas.
- Ativar a API
- Criar um backup vault
- Criar um plano de backup
- Atribuir papéis e permissões do IAM ao usuário de backup
- Conceder acesso ao backup vault no projeto do Compute Engine
- Configure a análise de registros no seu bucket para monitorar jobs de backup e DR.
Limitações
O serviço de backup e DR não oferece suporte a backups de instâncias do Compute Engine em um vault de backup se a instância usa uma das seguintes configurações:
- Instâncias de VM com discos permanentes extremos anexados.
- Instâncias de VM com discos Hyperdisk Extreme conectados.
- Instâncias de VM que usam um tipo de máquina C3D, H3, A3 ou Z3.
- Instâncias de VM com chaves de criptografia gerenciadas pelo cliente (CMEK) ou chaves de criptografia fornecidas pelo cliente (CSEK).
- Instâncias de VM sem discos anexados.
- Instâncias de VM maiores que 200 terabytes (TB).
Papéis e permissões do IAM para o usuário de backup
Para receber as permissões necessárias e configurar backups programados ou executar backups sob demanda, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto do cofre de backup:
-
Usuário de backup e DR (
roles/backupdr.backupUser) -
Leitor (
roles/viewer)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos contêm as permissões necessárias para configurar backups programados ou executar backups sob demanda. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para configurar backups programados ou executar backups sob demanda:
-
backupdr.backupPlans.list -
backupdr.backupPlanAssociations.createForComputeInstance -
backupdr.backupPlanAssociations.list -
backupdr.backupPlanAssociations.get -
backupdr.backupPlanAssociations.triggerBackupForComputeInstance -
backupdr.backupPlanAssociations.deleteForComputeInstance -
backupdr.backupPlans.useForComputeInstance -
backupdr.locations.list -
backupdr.operations.get -
cloudasset.assets.searchAllResources
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Conceder acesso ao backup vault no projeto do Compute Engine
Para fazer backup de uma instância de VM do Compute Engine em um projeto diferente daquele em que o
backup vault foi criado, conceda o papel do IAM de operador de backup e DR do Compute Engine
(roles/backupdr.computeEngineOperator) ao agente de serviço do backup vault
no projeto do Compute Engine.
Para fazer backup de uma instância de VM do Compute Engine no projeto em que o backup vault foi criado, não é necessário conceder papéis.
Para informações sobre como conceder papéis ao agente de serviço do cofre de backup no projeto que você pretende fazer backup, consulte Conceder um papel ao agente de serviço.
Configurar um backup programado
Use as instruções a seguir para configurar um backup programado para instâncias do Compute Engine.
Console
No console do Google Cloud , acesse a página Backups no cofre.
Clique em Programar backups.
Na lista Projects, clique em Browse e selecione um projeto em que as instâncias do Compute Engine estão localizadas.
Na lista Região, selecione a região em que as instâncias estão localizadas.
Na lista Recursos, clique em Procurar.
Escolha a instância do Compute Engine que você quer fazer backup e clique em Concluído.
Clique em Continuar.
Na lista Backup plan, clique em Select.
Escolha um plano de backup para proteger a instância do Compute Engine.
Clique em Concluído.
Confira os detalhes do backup e clique em Programar.
gcloud
Consiga o ID da instância.
gcloud compute instances describe VM_NAME --zone=VM_ZONE --format="value(id)"Substitua:
VM_NAME: o nome da instância de VM.VM_ZONE: o local onde a VM está localizada.
Configure um backup programado.
gcloud backup-dr backup-plan-associations create BACKUP_PLAN_ASSOCIATION_NAME \ --location=VM_REGION \ --resource=projects/VM_PROJECT_ID/zones/VM_ZONE/instances/VM_ID \ --backup-plan=projects/PROJECT_ID/locations/LOCATION/backupPlans/BACKUP_PLANSubstitua:
BACKUP_PLAN_ASSOCIATION_NAME: o nome da associação do plano de backup.VM_REGION: a região em que a instância do Compute Engine está localizada.VM_PROJECT_ID: o nome do projeto em que as instâncias do Compute Engine estão localizadas.VM_ZONE: a zona em que a instância do Compute Engine está localizada.VM_ID: o ID da instância do Compute Engine.PROJECT_ID: o nome do projeto em que os planos de backup existem.LOCATION: a região em que seus planos de backup existem.BACKUP_PLAN: o nome do plano de backup que você quer associar à instância do Compute Engine.
Terraform
É possível usar um recurso do Terraform para configurar um backup programado.
Listar backups programados
Use as instruções a seguir para listar as instâncias do Compute Engine com backup.
Console
No console do Google Cloud , acesse a página Backups no cofre.
A página Backups no vault lista apenas as instâncias com planos de backup aplicados e os backups armazenados em um backup vault em um projeto.
gcloud
Lista backups programados.
gcloud backup-dr backup-plan-associations list \ --location=LOCATION \ --project=PROJECT_IDSubstitua:
PROJECT_ID: o nome do projeto.LOCATION: o local dos backups programados.
Criar um backup sob demanda
É possível iniciar um backup sob demanda para uma instância do Compute Engine com um plano de backup, acionando a regra de backup escolhida para execução imediata. Os backups sob demanda são incrementais e capturam apenas os dados alterados desde o último backup.
Ao criar um backup sob demanda, você pode escolher uma regra do plano de backup associado à instância do Compute Engine. Essa regra determina quando o backup sob demanda é excluído. É possível verificar o status do job de backup na página Jobs. Para mais informações, consulte Monitorar trabalhos de backup e restauração no console do Google Cloud .
Use as instruções a seguir para criar um backup sob demanda.
Console
- Acesse Instâncias de VM > Detalhes > Plano de backup para criar um backup sob demanda.
- Clique em Criar backup sob demanda. Verifique se você tem as permissões corretas para fazer um backup sob demanda.
- Escolha uma regra de backup.
- Clique em Criar para iniciar o processo de criação de backup sob demanda.
- Para conferir o status do job de backup sob demanda, clique em Notificações.
gcloud
Crie um backup sob demanda.
gcloud backup-dr backup-plan-associations trigger-backup BACKUP_PLAN_ASSOCIATION_NAME \ --project=PROJECT_ID --location=LOCATION \ --backup-rule-id=RULE_IDSubstitua:
BACKUP_PLAN_ASSOCIATION_NAME: o nome da associação do plano de backup. Execute o comandogcloud backup-dr backup-plan-associations list --location=LOCATION --project=PROJECT_IDpara conferir a lista de planos de backup associados à instância do Compute Engine.PROJECT_ID: o nome do projeto.LOCATION: o local dos backups programados.RULE_ID: o nome da regra de backup que você quer associar para executar backups sob demanda.
Desproteger uma instância do Compute Engine
Para remover a proteção de uma instância do Compute Engine, remova o plano de backup aplicado a ela. A remoção de um plano de backup de uma instância do Compute Engine não exclui o plano de backup nem os backups criados enquanto a instância estava em uso. Ainda é possível acessar e gerenciar esses backups.
Use as instruções abaixo para remover a proteção de uma instância do Compute Engine.
Console
No console do Google Cloud , acesse a página Backups no cofre.
Clique no nome da instância de que você quer remover um plano de backup.
Selecione Remover plano de backup.
gcloud
Desproteger uma instância do Compute Engine.
gcloud backup-dr backup-plan-associations delete BACKUP_PLAN_ASSOCIATION_NAME\ --project=PROJECT_ID \ --location=LOCATIONSubstitua:
BACKUP_PLAN_ASSOCIATION_NAME: o nome do backup que você quer excluir.PROJECT_ID: o nome do projeto.LOCATION: o local do backup programado.