本页介绍了备份保险柜、支持的备份模型、区域和资源。
备份保险柜是一种用于存储备份的容器,类似于自有存储空间(您创建的 Cloud Storage 存储桶)。不过,备份保险柜可在安全、隔离且专用的存储空间中保护备份,从而提供额外的好处。备份保险柜旨在支持弹性恢复,以防备份被恶意或意外删除。此功能支持各种数据保护用例,例如从用户错误中恢复和网络恢复。
将备份存储在备份保险柜中时,备份和灾难恢复服务会负责备份数据的存储和管理。您无法直接查看或访问存储数据的底层存储资源,这可保护这些资源免受直接攻击。此外,您还可以通过备份保险柜指定最短强制保留期限,以强制要求备份在指定时间范围过后才能失效,从而防止备份被意外或恶意删除。
您可以使用Google Cloud 备份和灾难恢复服务创建、访问和管理备份保险柜。备份保险柜会在单个区域中存储备份。如果您需要将备份存储到多个区域,请使用自有存储空间。
资源模型
以下部分介绍了备份保险柜资源模型。
备份保险柜采用三级分层资源模型来整理备份数据:
- 备份保险柜。一个顶级用户定义的资源,用于存储Google Cloud 备份和灾难恢复备份数据。
- 数据源。表示要备份的特定资源,例如虚拟机或数据库实例。单个数据源可以包含多个备份。数据源是备份保险柜的子资源。
- 备份。表示数据源指定的资源的单个备份。备份是数据源的子资源。
下图显示了备份保险柜资源模型。
支持的资源
下表可帮助您了解备份保险柜支持的资源以及用于管理这些资源的工具。
| 工作负载 | 管理者 |
|---|---|
| Compute Engine 实例 | Google Cloud 控制台 |
| Google Cloud VMware Engine、Oracle 数据库和 SQL Server 数据库 | 管理控制台 |
为使用 Google Cloud 控制台保护的资源备份模型
本部分介绍了使用 Google Cloud 控制台保护的资源的两种备份模式。
集中式模型:在集中式模型中,组织可以在指定的中央管理员项目中创建备份保险柜和方案,从而简化备份管理。此中央仓库会整合各种资源(例如在多个服务项目中运行的 Compute Engine 虚拟机)的备份。然后,组织可以使用这些集中管理的备份方案来保护位于不同服务项目中的 Compute Engine 虚拟机。
备份管理员还可以通过 IAM 权限向服务项目中的应用或平台所有者授予对备份方案的访问权限。授予访问权限后,平台所有者可以自行负责备份其应用。
分散式模型:在分散式模型中,系统会根据组织的具体需求和所需的隔离级别,在各种项目中创建备份保险柜。这意味着,系统会为包含各种资源(例如 Compute Engine 虚拟机)的每个项目创建一个备份保险柜和备份方案。对于去中心化组织(虚拟机备份工作由相应的应用团队负责),这种方法至关重要。
使用管理控制台保护的资源的备份模型
本部分介绍了使用管理控制台保护的资源的两种备份模式。
集中式模型:在集中式模型中,组织可以通过在指定的中央管理员项目中创建备份保险柜并部署管理控制台,简化备份管理。此中央仓库会整合各种资源(例如在多个服务项目中运行的 VMware Engine 虚拟机)的备份。然后,组织可以在管理控制台中配置政策,以保护位于不同服务项目中的资源。
分散式模型:在分散式模型中,管理控制台和备份保险柜会根据组织的具体需求和所需的隔离级别在各种项目中创建。例如,某个组织可以选择为每个业务领域创建单独的管理控制台。这种方法对于分散式组织非常有用,在这种组织中,管理和备份资源的责任分散在多个团队之间。
备份保险柜支持的区域
以下区域支持备份保险柜。
| 地理区域 | 区域名称 | 区域说明 | |
|---|---|---|---|
| 美洲 | |||
us-central1 |
艾奥瓦 |
 二氧化碳排放量低
|
|
us-east1 |
南卡罗来纳 | ||
us-east4 |
北弗吉尼亚 | ||
us-west1 |
俄勒冈 |
二氧化碳排放量低 |
|
us-west2 |
洛杉矶 | ||
us-west4 |
拉斯维加斯 | ||
southamerica-east1 |
圣保罗 |
二氧化碳排放量低
|
|
| 欧洲 | |||
europe-west1 |
比利时 |
二氧化碳排放量低
|
|
europe-west2 |
伦敦 |
二氧化碳排放量低
|
|
europe-west3 |
法兰克福 |
二氧化碳排放量低
|
|
europe-west4 |
荷兰 |
二氧化碳排放量低
|
|
| 亚太地区 | |||
asia-east1 |
台湾 | ||
asia-southeast1 |
新加坡 | ||
australia-southeast1 |
悉尼 | ||
| 印度 | |||
asia-south1 |
孟买 | ||
asia-south2 |
德里 |
备份保险柜名称
您的备份保险柜名称必须符合以下要求:
- 备份保险柜名称只能包含小写字母、数字字符、短划线 (
-)、下划线 (_) 和句点 (.)。不允许使用空格。 - 备份保险柜名称必须以数字或字母开头和结尾。
- 备份保险柜名称必须包含 3 到 63 个字符。含英文句点的名称最多可以包含 222 个字符,但每个以英文句点分隔的组成部分不得超过 63 个字符。
- 备份保险库名称不得以点分十进制的 IP 地址表示。例如
192.0.2.255。
备份保险柜的最短强制保留期限
借助备份保险柜强制保留期限,您可以控制何时可以删除备份,以保护数据免遭意外或恶意删除。只有在达到最短强制保留期限后,备份保险柜中的备份才符合删除条件。创建新的备份保险柜时,您必须指定介于 1 天到 99 年之间的最短强制保留期限。
您可以通过锁定备份保险柜来防止缩短备份保险柜的最短强制保留期限。在最短强制保留期限被锁定后,您仍然可以延长该期限,请参阅更新最短强制保留期限。
设置锁定时,您必须指定锁定生效的日期。在生效日期到来之前,您可以延长或缩短备份保险柜的强制保留期限。不过,在锁定的生效日期到达后,即使项目所有者也无法缩短该备份保险柜的强制保留期限。
例如,假设您已将强制执行的最短期限设置为 5 天,指定了应锁定保险柜,并将锁定生效日期设置为 2024 年 7 月 31 日凌晨 12:00(世界协调时间)。在 2024 年 7 月 31 日零点(世界协调时间)之前,您可以延长或缩短强制性最低保留期限。之后,您只能延长最短强制保留期限。
备份保险柜的访问权限限制
通过备份保险柜的访问权限限制设置,您可以控制可以将数据备份到备份保险柜或从备份保险柜恢复数据的数据源。此设置决定您可以在备份保险柜中存储的资源类型。
您可以为备份保险柜选择以下某种访问权限限制设置。请注意,此设置是永久性的,无法更改。
- 限制为仅当前组织具有访问权限:仅支持在当前组织内执行备份和恢复操作。进行此选择后,备份保险柜将与通过 Google Cloud 控制台管理的资源(例如 Compute Engine 虚拟机)兼容,但与通过管理控制台管理的资源不兼容。
- 限制为仅当前项目具有访问权限:仅支持在当前项目中执行备份和恢复操作。此选择会使备份保险柜与通过 Google Cloud 控制台管理的资源(例如 Compute Engine 虚拟机)兼容,但与通过管理控制台管理的资源不兼容。
- 限制为仅当前组织具有访问权限,备份设备没有访问限制:对于通过 Google Cloud 控制台管理的资源,备份和恢复操作仅在当前组织内受支持。还支持通过管理控制台管理的资源(例如 VMware Engine 虚拟机),但对这些资源的备份和恢复操作不限于您当前所在的组织。此选择可使备份保险柜与通过 Google Cloud 控制台管理的资源以及通过管理控制台管理的资源兼容。
- 允许无限制访问:允许对任何项目或组织执行备份和恢复操作,或从这些项目或组织执行备份和恢复操作。此选择可使备份保险柜与通过 Google Cloud 控制台管理的资源以及通过管理控制台管理的资源兼容。