本頁面說明如何使用 Google Cloud 控制台將 Compute Engine 執行個體備份至備份金庫。將備份傳送至 backup vault 可提供不可變動性和強制保留功能。您可以使用備份金鑰庫,在單一區域或多個區域中儲存備份。如果您有下列任何備份需求,可以使用管理控制台備份 Compute Engine 執行個體:
- 跨區域備份
- 備份連接至 VM 的特定磁碟
- 根據標記自動保護 Google Compute Engine VM
- 如果 Google Cloud 控制台備份方案和備份金庫不在與來源 VM 執行區域相容的位置。
在 Google Cloud 控制台中,您可以套用備份方案,將 Compute Engine 執行個體備份至備份金庫。您可以透過這兩種方式進行備份。這兩種方法都能讓您將備份安全地儲存在備份金庫中,在資料遺失或發生其他意外事件時,提供可靠的方式來復原 Compute Engine 執行個體。
- 排定的備份:您可以按照特定間隔 (例如每天、每週、每月或每年),自動備份 Compute Engine 執行個體。
- 隨選備份:您可以視需要隨時建立隨選備份。如要針對執行個體進行重大變更,或為臨時資料保護建立備份,按照需求執行的備份功能就很實用。
事前準備
- 在 Compute Engine 執行個體所在位置啟用 Backup and DR Service API。
- 啟用 API
- 建立備份金庫
- 建立備份方案
- 為備用使用者指派 IAM 角色和權限
- 在 Compute Engine 專案中授予備份保險箱存取權
- 在 bucket 中設定 Log Analytics,以便監控備份和災難復原備份工作。
限制
如果執行個體使用下列任何一種設定,備份和災難復原服務就無法將 Compute Engine 執行個體備份至備份金庫:
- 已連結極端永久磁碟的 VM 執行個體。
- 已連結任何 Hyperdisk Extreme 磁碟的 VM 執行個體。
- 使用 C3D、H3、A3 或 Z3 機型的 VM 執行個體。
- 使用客戶管理的加密金鑰 (CMEK) 或客戶提供的加密金鑰 (CSEK) 的 VM 執行個體。
- 沒有任何已連結磁碟的 VM 執行個體。
- 超過 200 TB 的 VM 執行個體。
備份使用者的身分與存取權管理角色和權限
如要取得設定排程備份或執行隨選備份所需的權限,請要求管理員為您授予備份金庫專案的下列 IAM 角色:
-
備份和災難復原備份使用者 (
roles/backupdr.backupUser) -
觀眾 (
roles/viewer)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
這些預先定義的角色包含設定排程備份或執行隨選備份所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:
所需權限
如要設定排程備份或執行隨選備份,必須具備下列權限:
-
backupdr.backupPlans.list -
backupdr.backupPlanAssociations.createForComputeInstance -
backupdr.backupPlanAssociations.list -
backupdr.backupPlanAssociations.get -
backupdr.backupPlanAssociations.triggerBackupForComputeInstance -
backupdr.backupPlanAssociations.deleteForComputeInstance -
backupdr.backupPlans.useForComputeInstance -
backupdr.locations.list -
backupdr.operations.get -
cloudasset.assets.searchAllResources
在 Compute Engine 專案中授予備份金鑰存儲庫存取權
如要在建立備份金庫的專案以外,備份 Compute Engine VM 執行個體,您必須將備份和災難復原 Compute Engine 操作員 (roles/backupdr.computeEngineOperator) IAM 角色授予 Compute Engine 專案中的備份金庫服務代理。
如要備份建立備份金庫的專案中,所屬的 Compute Engine VM 執行個體,則不需要授予任何角色。
如要瞭解如何在您要備份的專案中,將角色授予 backup vault 服務代理,請參閱「為服務代理授予角色」。
設定排定備份
請按照下列操作說明,為 Compute Engine 執行個體設定排程備份。
主控台
在 Google Cloud 控制台中,前往「Vault 備份」頁面。
按一下「排定備份時間」。
在「專案」清單中,按一下「瀏覽」,然後選取 Compute Engine 執行個體所在的專案。
在「Region」清單中,選取執行個體所在的地區。
在「資源」清單中,按一下「瀏覽」。
選擇要備份的 Compute Engine 執行個體,然後按一下「完成」。
按一下「繼續」。
在「Backup plan」(備份方案) 清單中按一下「Select」(選取)。
選擇要用來保護 Compute Engine 執行個體的備份方案。
按一下 [完成]。
查看備份詳細資料,然後按一下「排程」。
gcloud
取得執行個體 ID。
gcloud compute instances describe VM_NAME --zone=VM_ZONE --format="value(id)"更改下列內容:
VM_NAME:VM 執行個體的名稱。VM_ZONE:VM 所在的位置。
設定排定備份。
gcloud backup-dr backup-plan-associations create BACKUP_PLAN_ASSOCIATION_NAME \ --location=VM_REGION \ --resource=projects/VM_PROJECT_ID/zones/VM_ZONE/instances/VM_ID \ --backup-plan=projects/PROJECT_ID/locations/LOCATION/backupPlans/BACKUP_PLAN更改下列內容:
BACKUP_PLAN_ASSOCIATION_NAME:備份方案關聯的名稱。VM_REGION:Compute Engine 執行個體所在的區域。VM_PROJECT_ID:Compute Engine 執行個體所在的專案名稱。VM_ZONE:Compute Engine 執行個體所在的可用區。VM_ID:Compute Engine 執行個體 ID。PROJECT_ID:備份方案所在專案的名稱。LOCATION:備份方案所在的區域。BACKUP_PLAN:您要將 Compute Engine 執行個體與其建立關聯的備份方案名稱。
Terraform
您可以使用 Terraform 資源設定定期備份作業。
變更套用至 Compute Engine 執行個體的備份方案
您可以將套用至 Compute Engine 執行個體的備份方案變更為其他備份方案。其他備份方案必須符合下列條件:
- 使用相同的備份金庫
- 與 Compute Engine 執行個體位於相同的地區
請按照下列操作說明,變更與 Compute Engine 執行個體相關聯的備份方案。
主控台
在 Google Cloud 控制台中,前往「Vault 備份」頁面。
「Vaulted backups」頁面只會列出已套用備份方案的執行個體,且備份儲存在專案中的 backup vault。
選取要套用其他方案的備份。在備份的詳細資料頁面或 選單中,選取「變更備份方案」。「Select a backup plan」視窗只會列出適用於此執行個體的備份方案。
選取備份方案,然後按一下「套用」。
gcloud
變更指派的備份方案。
gcloud backup-dr backup-plan-associations update BACKUP_PLAN_ASSOCIATION_NAME \ --workload-project=VM_PROJECT_ID \ --location=VM_REGION \ --backup-plan=BACKUP-PLAN \ --project=PROJECT_ID更改下列內容:
BACKUP_PLAN_ASSOCIATION_NAME:備份方案關聯資源的名稱。VM_PROJECT_ID:Compute Engine 執行個體的專案 ID。VM_REGION:Compute Engine 執行個體的位置。BACKUP_PLAN:您要切換的備份方案名稱。PROJECT_ID:所選備份方案的專案 ID。
列出排定的備份
請按照下列操作說明,列出已備份的 Compute Engine 執行個體。
主控台
在 Google Cloud 控制台中,前往「Vault 備份」頁面。
「Vaulted backups」頁面只會列出已套用備份方案的執行個體,且備份儲存在專案中的 backup vault。
gcloud
列出排定的備份。
gcloud backup-dr backup-plan-associations list \ --location=LOCATION \ --project=PROJECT_ID更改下列內容:
PROJECT_ID:專案名稱。LOCATION:排定備份的位置。
建立按照需求執行的備份
您可以為備份方案中的 Compute Engine 執行個體啟動按需求備份,方法是觸發所選備份規則立即執行。按照需求執行的備份通常只會擷取上次備份後發生的資料異動 (增量備份)。
建立隨選備份時,您可以從與 Compute Engine 執行個體相關聯的備份方案中選擇規則。這項規則會決定按需求備份的刪除時間點。您可以前往「工作」頁面查看備份工作狀態。詳情請參閱「在 Google Cloud 控制台監控備份與還原作業」。
請按照下列操作說明建立隨選備份。
主控台
- 依序前往「VM 執行個體」 >「詳細資料」 >「備份方案」,即可建立隨選備份。
- 按一下「建立按照需求執行的備份」。您必須具備正確的權限,才能建立隨選備份。
- 選擇備份規則。
- 按一下「建立」,即可開始建立按照需求執行的備份。
- 如要查看按需備份工作的狀態,請按一下「通知」。
gcloud
建立隨選備份。
gcloud backup-dr backup-plan-associations trigger-backup BACKUP_PLAN_ASSOCIATION_NAME \ --project=PROJECT_ID --location=LOCATION \ --backup-rule-id=RULE_ID更改下列內容:
BACKUP_PLAN_ASSOCIATION_NAME:備份方案關聯的名稱。執行gcloud backup-dr backup-plan-associations list --location=LOCATION --project=PROJECT_ID指令,取得與 Compute Engine 執行個體相關聯的備份方案清單。PROJECT_ID:專案名稱。LOCATION:排定備份的位置。RULE_ID:要與隨選備份作業相關聯的備份規則名稱。
解除保護 Compute Engine 執行個體
您可以移除套用至執行個體的備份方案,解除 Compute Engine 執行個體的保護狀態。從 Compute Engine 執行個體中移除備份方案,不會刪除備份方案或在執行個體使用期間建立的任何備份。但仍可存取及管理這些現有備份。
請按照下列操作說明,解除保護 Compute Engine 執行個體。
主控台
在 Google Cloud 控制台中,前往「Vault 備份」頁面。
按一下要移除備份方案的執行個體名稱。
選取「移除備份方案」。
gcloud
解除保護 Compute Engine 執行個體。
gcloud backup-dr backup-plan-associations delete BACKUP_PLAN_ASSOCIATION_NAME\ --project=PROJECT_ID \ --location=LOCATION更改下列內容:
BACKUP_PLAN_ASSOCIATION_NAME:要刪除的備份名稱。PROJECT_ID:專案名稱。LOCATION:排定備份的位置。