Criar e gerenciar um cofre de backup no console do Google Cloud

Visão geral

Nesta página, explicamos como criar e gerenciar um backup vault no console doGoogle Cloud . Saiba mais sobre os backup vaults em Backup vaults para backups imutáveis e indeléveis.

Antes de começar

Para receber as permissões necessárias para criar e gerenciar um cofre de backup, peça ao administrador para conceder a você o papel do IAM de Administrador do cofre de backup do Backup and DR (roles/backupdr.backupvaultAdmin) no projeto em que você quer criar um cofre de backup. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém as permissões necessárias para criar e gerenciar um backup vault. Para acessar as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para criar e gerenciar um backup vault:

  • backupdr.backupVaults.create
  • backupdr.backupVaults.list
  • backupdr.backupVaults.get
  • backupdr.backupVaults.update
  • backupdr.backupVaults.delete
  • backupdr.bvbackups.restore

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Criar um backup vault

Use as instruções a seguir para criar um backup vault.

Console

  1. No console Google Cloud , acesse a página Cofres de backup.

    Acessar cofres de backup

  2. Clique em Criar backup vault.

  3. Na página Criar um backup vault, insira as informações do seu backup vault.

    1. No campo Nomeie seu cofre de backup, insira um nome que atenda aos requisitos de nome do cofre de backup.
    2. Na lista Escolha onde armazenar seus dados, selecione um local compatível onde os dados de backup serão armazenados permanentemente.

    3. No campo Impedir a exclusão de backup, insira o período de retenção mínima obrigatória que define por quanto tempo os backups ficam protegidos contra exclusão. O mínimo é 1 dia e o máximo é 99 anos.

      Se quiser bloquear o valor do período mínimo de armazenamento obrigatório, selecione Bloquear o armazenamento obrigatório e clique no ícone para selecionar a data na agenda.

      • Impedir a exclusão pelo período especificado na regra de backup: é possível definir para que o cofre herde o valor Excluir backups após definido em um plano de backup. Os backups não podem ser excluídos manualmente. Eles serão excluídos de acordo com o valor no plano de backup associado.

      • Bloquear o período de armazenamento obrigatório: se você quiser bloquear o valor do período mínimo de armazenamento obrigatório, marque essa opção e clique no ícone . Depois, selecione a data no calendário.

    4. Se você quiser usar sua própria chave de criptografia, em Criptografia, selecione a opção Chave de criptografia gerenciada pelo cliente (CMEK) e escolha sua chave na lista suspensa. Somente chaves do mesmo local do backup vault são exibidas. Só é possível configurar a CMEK ao criar um cofre de backup. Para mais detalhes sobre o uso da CMEK, consulte Criptografia.

      Para saber mais sobre as permissões necessárias, consulte Permissões da CMEK.

    1. Na seção Definir o acesso ao backup vault, selecione uma opção para definir restrições de acesso ao backup vault. Se você não selecionar uma opção, o backup vault será criado com a restrição Restringir o acesso à organização atual.

  4. Clique em Criar.

gcloud

  1. Em um dos ambientes de desenvolvimento a seguir, configure a CLI gcloud:
  2. Cloud Shell: para usar um terminal on-line com a CLI gcloud já configurada, ative o Cloud Shell. Na parte de baixo desta página, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. A inicialização da sessão pode levar alguns segundos.

  3. Shell local: para usar um ambiente de desenvolvimento local, instale e inicialize a CLI gcloud.

  4. Crie um backup vault.

      gcloud backup-dr backup-vaults create BACKUPVAULT_NAME \
  --project=PROJECT_ID \
  --location=LOCATION \
  --backup-retention-inheritance=RETENTION_PERIOD_INHERITANCE \
  --backup-min-enforced-retention=RETENTION_PERIOD_IN_DAYS \
  --kms-key=KMS_KEY \
  --access-restriction=ACCESS_RESTRICTION

    Substitua:

    • BACKUPVAULT_NAME: o nome do backup vault.
    • PROJECT_ID: o nome do projeto em que você quer criar o backup vault.
    • LOCATION: o local onde você quer criar um backup vault.

    • RETENTION_PERIOD_INHERITANCE: o modo de herança para o horário de término da retenção obrigatória do backup neste cofre de backup. Depois de definido, o modo de herança não pode ser alterado. O padrão é inherit-vault-retention.

      • Se definido como "inherit-vault-retention", o período de retenção do backup será herdado do backup vault.
      • Se definido como "match-backup-expire-time", o período de armazenamento do backup será o mesmo que o tempo de expiração do backup.

    • RETENTION_PERIOD_IN_DAYS: o período em que cada backup no backup vault não pode ser excluído. O mínimo é 1 dia e o máximo é 99 anos. Por exemplo, 2w1d é duas semanas e um dia. Para mais informações, consulte Período mínimo de armazenamento obrigatório do backup vault.

    • KMS_KEY: a chave de criptografia gerenciada pelo cliente (CMEK) a ser usada para criptografia, no formato projects/KMS_PROJECT_ID/locations/KMS_LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME. Se você fornecer uma chave, a CMEK será ativada no backup vault. Só é possível configurar a CMEK ao criar um cofre de backup. Para mais detalhes sobre o uso da CMEK, consulte Criptografia. Para saber mais sobre as permissões necessárias, consulte Permissões da CMEK.

    • ACCESS_RESTRICTION: especifique restrições de acesso para o backup vault. Os valores permitidos são within-project, within-org, unrestricted e within-org-but-unrestricted-for-ba. Se você não especificar um valor, o backup vault será criado com a restrição within-org.

    O Backup e DR oferece suporte à proteção da CMEK apenas para backups de instâncias do Compute Engine e Persistent Disk armazenados em backup vaults.

  5. Verifique o status da operação.

      gcloud backup-dr operations describe FULL_OPERATION_ID

    Substitua:

    • FULL_OPERATION_ID o ID da operação que é mostrado para o cofre de backup. Ele está no seguinte formato: projects/test-project/locations/us-central1/operations/operationID

    A saída é exibida da seguinte forma:

    
    Create in progress for backup vault [projects/test-project/locations/us-central1/operations/operation-1721893921568-41e0dab8938a1-f1dc6ad2-3051b3ce]. Run the [gcloud backup-dr operations describe] command to check the status of this operation.

Terraform

É possível usar um recurso do Terraform para criar um backup vault.


resource "google_backup_dr_backup_vault" "default" {
  provider                                   = google-beta
  location                                   = "us-central1"
  backup_vault_id                            = "my-vault"
  description                                = "This vault is created usingTerraform."
  backup_minimum_enforced_retention_duration = "100000s"
  force_update                               = "true"
  ignore_inactive_datasources                = "true"
  allow_missing                              = "true"
}

Listar backup vaults em um projeto

Use as instruções a seguir para listar os backup vaults em um projeto.

Console

  1. No console Google Cloud , acesse a página Cofres de backup.

    Acessar cofres de backup

    Os cofres de backup que fazem parte do projeto selecionado aparecem na lista.

gcloud

  1. Liste os backup vaults.

      gcloud backup-dr backup-vaults list \
  --project=PROJECT_ID \
  --location=LOCATION

    Substitua:

    • PROJECT_ID: o nome do projeto em que os cofres de backup são criados.
    • LOCATION: o local em que os cofres de backup são criados.

Conferir detalhes do backup vault

A página de detalhes do backup vault mostra as informações de configuração e permite atualizar os itens editáveis.

  • Criado: a data em que o backup vault foi criado.
  • Última atualização: a data mais recente em que o backup vault foi modificado.
  • Descrição: uma descrição opcional do backup vault.
  • Status: Ativo
  • Tipo de local: região ou multirregião
  • Local: a região ou multirregião selecionada, como us-central1 (Iowa) ou us.
  • Bytes armazenados: a quantidade de dados armazenados no backup vault.
  • Retenção obrigatória
    • Mínimo para backups: selecione um valor mínimo para este backup vault.
    • Herdado da regra de backup: use o valor já definido em uma regra de backup para backups que serão armazenados neste backup vault.
  • Status do bloqueio de retenção
    • Desbloqueado: não há um bloqueio aplicado nem pendente para o backup vault.
    • O bloqueio entra em vigor em datetime: um bloqueio foi definido para entrar em vigor no backup vault na data especificada.
    • Bloqueado: o valor dos períodos mínimos de retenção aplicados do backup vault está bloqueado contra redução ou remoção.
  • Tipo de criptografia: Google-managed encryption key
    • Chave de criptografia: a chave de criptografia gerenciada pelo cliente em uso.
  • Restrição de acesso: nenhuma restrição ou Restringir o acesso à organização atual

Use as instruções a seguir para conferir os detalhes do backup vault.

Console

  1. No console Google Cloud , acesse a página Cofres de backup.

    Acessar cofres de backup

    Os backup vaults que fazem parte do projeto selecionado são listados nesta página.

  2. Clique no backup vault que você quer acessar.

    A página de detalhes do vault de backup mostra as informações de configuração, incluindo o valor do período mínimo de retenção obrigatória e o status de bloqueio.

gcloud

  1. Confira os detalhes do backup vault.

      gcloud backup-dr backup-vaults describe BACKUPVAULT_NAME \
  --location=LOCATION \
  --project=PROJECT_ID

    Substitua:

    • BACKUPVAULT_NAME: o nome do cofre de backup.
    • LOCATION: o local do backup vault.
    • PROJECT_ID: o nome do projeto em que o backup vault é criado.

Atualizar o período de armazenamento mínimo obrigatório em um backup vault

É possível atualizar o período de armazenamento mínima obrigatória com base no status do bloqueio.

  • Desbloqueado: é possível aumentar ou diminuir o período mínimo de armazenamento aplicado.
  • Bloqueado: só é possível aumentar o período de armazenamento mínimo obrigatório.

O bloqueio não pode ser removido se a data de início da vigência já foi atingida. No entanto, se o início da vigência ainda não tiver sido atingido, você poderá remover o bloqueio, o que vai limpar o início da vigência especificado originalmente.

As mudanças no valor do período mínimo de armazenamento obrigatório só se aplicam a backups criados após a atualização. As mudanças no valor do período de armazenamento mínimo obrigatório não afetam a retenção obrigatória restante para backups que já existem no backup vault.

Ao aumentar o período de aplicação obrigatória de um backup vault, o período de aplicação obrigatória do backup vault não pode exceder o período de armazenamento no plano de backup para nenhum backup que você armazene no backup vault. Se o valor alterado for maior que o período de retenção de backup, o serviço de Backup e DR vai processar essas mudanças de maneira diferente com base no tipo de plano de backup.

  • Google Cloud Planos baseados no console: as mudanças no valor do backup vault são impedidas.

  • Planos baseados no console de gerenciamento: é possível mudar o valor do backup vault, mas atualize imediatamente os planos de backup relevantes para especificar um período de armazenamento igual ou maior que o período mínimo de armazenamento atualizado do backup vault.

    Os backups gerados enquanto a retenção do plano for menor que a retenção mínima obrigatória do backup vault serão criados com o período de armazenamento obrigatório definido como a retenção mínima obrigatória do backup vault. Além disso, a expiração do backup é definida para ocorrer após o período de armazenamento obrigatório ser concluído.

Use as instruções a seguir para atualizar o período mínimo de retenção obrigatória em um backup vault.

Console

  1. No console Google Cloud , acesse a página Cofres de backup.

    Acessar cofres de backup

  2. Na lista de cofres de backup, clique no nome do cofre de backup que você quer atualizar.

  3. Clique no ícone .

  4. Na caixa de diálogo Editar período de armazenamento mínimo obrigatório, insira o valor do Novo período de armazenamento mínimo obrigatório. É o período em que cada backup no backup vault não pode ser excluído. O mínimo é de 1 dia e o máximo é de 99 anos.

  5. Se você quiser bloquear o período mínimo de armazenamento obrigatório, marque a caixa de seleção Bloquear a retenção obrigatória e selecione o início da vigência do bloqueio no calendário.

  6. Clique em Salvar.

gcloud

  1. Atualize o período mínimo de armazenamento obrigatório em um backup vault atual.

      gcloud backup-dr backup-vaults update BACKUPVAULT_NAME\
  --project=PROJECT_ID \
  --location=LOCATION \
  --backup-min-enforced-retention=RETENTION_PERIOD_IN_DAYS

    Substitua:

    • BACKUPVAULT_NAME: o nome do cofre de backup.
    • PROJECT_ID: o nome do projeto em que o backup vault é criado.
    • LOCATION: o local do backup vault.
    • RETENTION_PERIOD_IN_DAYS: o período em que cada backup no backup vault não pode ser excluído. O mínimo é 1 dia e o máximo é 99 anos.

Restrições de recursos para a retenção aplicada

Ao fazer backup de alguns tipos de recursos em um backup vault, há restrições que regem a compatibilidade com as configurações de retenção mínima obrigatória do backup vault.

Tipo de recurso Retenção mínima aplicada (backups) Retenção mínima aplicada (registros) Impedir exclusão manual
AlloyDB para PostgreSQL 1 a 365 dias 1 a 35 dias Obrigatório
Cloud SQL 1 dia a 10 anos Não relevante Opcional
Instância do Compute Engine 1 dia a 99 anos Não relevante Opcional
Disco do Compute Engine 1 dia a 99 anos Não relevante Opcional
Filestore 1 dia a 99 anos Não relevante Opcional

Excluir um backup vault

Não é possível excluir um backup vault até que todos os backups contidos nele atendam ao armazenamento obrigatório e estejam expirados ou excluídos manualmente.

Use as instruções a seguir para excluir um backup vault depois que todos os backups contidos nele expirarem ou forem excluídos.

Console

  1. No console Google Cloud , acesse a página Cofres de backup.

    Acessar cofres de backup

  2. Clique no backup vault que você quer excluir.

  3. Clique em Excluir.

  4. Na janela de sobreposição que aparece, confirme que você quer excluir o backup vault e o conteúdo dele.

  5. Clique em Excluir.

gcloud

  1. Exclui um backup vault.

      gcloud backup-dr backup-vaults delete BACKUPVAULT_NAME \
  --project=PROJECT_ID \
  --location=LOCATION

    Substitua:

    • BACKUPVAULT_NAME: o nome do cofre de backup.
    • PROJECT_ID: o nome do projeto em que o backup vault é criado.
    • LOCATION: o local do backup vault.

Conceder acesso ao agente de serviço do backup vault e aos dispositivos de backup/recuperação

Cada backup vault criado tem um agente de serviço exclusivo vinculado a ele. Para alguns tipos de recursos, o agente de serviço é usado para realizar ações em nome do serviço de Backup e DR e, portanto, precisa receber as permissões adequadas nos projetos em que o agente de serviço do backup vault precisa acessar. Um agente de serviço é uma conta serviço gerenciado pelo Google. Para mais informações, consulte Agentes de serviço.

Para alguns tipos de recursos, como Google Cloud VMware Engine, bancos de dados Oracle e SQL Server, o dispositivo de backup/recuperação do Backup e DR precisa realizar ações no backup vault. Nesses casos, o dispositivo de backup/recuperação precisa das permissões adequadas no backup vault. Além disso, o backup vault de destino precisa ser definido com as restrições de acesso UNRESTRICTED ou WITHIN_ORG_BUT_UNRESTRICTED_FOR_BA.

Conceder um papel ao agente de serviço

Depois de encontrar o endereço de e-mail do agente de serviço, é possível conceder um papel ao agente de serviço do backup vault da mesma forma que faria com qualquer outro principal.

Para fazer backup de uma instância de VM do Compute Engine em um projeto diferente de onde o backup vault foi criado, conceda o papel do IAM de operador do Compute Engine do Backup e DR (roles/backupdr.computeEngineOperator) ao agente de serviço do backup vault no projeto do Compute Engine. No entanto, para fazer backup de uma instância de VM do Compute Engine no mesmo projeto em que o backup vault foi criado, não é necessário conceder papéis.

Para restaurar uma instância do Compute Engine, conceda o papel do IAM de operador do Compute Engine do Backup e DR (roles/backupdr.computeEngineOperator) no projeto de restauração ao agente de serviço do backup vault.

Siga estas instruções para conceder um papel ao agente de serviço.

Console

  1. No console Google Cloud , acesse a página Cofres de backup.

    Acessar cofres de backup

  2. Clique no nome do backup vault e copie o endereço de e-mail do agente de serviço.

  3. No console do Google Cloud , acesse a página IAM.

    Acessar IAM

  4. No campo Novos membros, insira o endereço de e-mail do agente de serviço.

  5. Na lista Selecionar um papel, escolha o papel adequado com base no tipo de recurso. Por exemplo, para fazer backup de uma instância do Compute Engine em um projeto diferente de onde o backup vault foi criado, selecione a função do IAM "Operador de Backup e DR do Compute Engine" (roles/backupdr.computeEngineOperator).

  6. Clique em Salvar.

gcloud

  1. Conceda papéis ao agente de serviço.

      gcloud projects add-iam-policy-binding PROJECT_ID \
  --member='serviceAccount:SERVICE_ACCOUNT \
  --role=ROLE

    Substitua:

    • PROJECT_ID: o nome do projeto.
    • SERVICE_ACCOUNT: o endereço de e-mail do agente de serviço do backup vault. Exemplo, my-service-account@my-project.iam.gserviceaccount.com
    • ROLE: o papel necessário para conceder no projeto de recurso. Por exemplo, para fazer backup de uma instância do Compute Engine em um projeto diferente de onde o backup vault foi criado, selecione a função do IAM "Operador do Compute Engine de Backup e DR" (roles/backupdr.computeEngineOperator).

Conceder papéis à conta de serviço do dispositivo de backup/recuperação

Só é possível acessar um backup vault do projeto do dispositivo de backup/recuperação depois que a conta de serviço do dispositivo recebe o papel de Acessador do backup vault do Backup e DR (roles/backupdr.backupvaultAccessor) do IAM no projeto do backup vault. Sem essa função, não é possível acessar o backup vault para concluir a configuração e ativar a criação de backups.

Depois de conceder papéis à conta de serviço do appliance de backup/recuperação, é possível fazer backup e restaurar o Google Cloud VMware Engine, bancos de dados Oracle e bancos de dados SQL Server em um backup vault usando o console de gerenciamento do appliance.

Use as instruções a seguir para conceder papéis à conta de serviço do appliance de backup/recuperação:

  1. No console do Google Cloud , acesse a página Instâncias de VM em que o dispositivo foi criado.

    Acessar a página "Instâncias de VM"

  2. Clique na instância do Compute Engine para a qual você quer receber a conta de serviço.

  3. Na seção Gerenciamento de APIs e identidades, copie o endereço de e-mail da conta de serviço no campo Conta de serviço.

  4. No console do Google Cloud , acesse os papéis do IAM no projeto do cofre de backup.

    Acessar IAM

  5. Clique em Conceder acesso.

  6. No campo Novos principais, insira o endereço de e-mail da conta de serviço do dispositivo.

  7. Na lista Selecionar um papel, escolha o papel Backup e DR Backup Vault Accessor.

  8. Opcional: para restringir o acesso do dispositivo de backup/recuperação a um backup vault específico, clique em Adicionar condição do IAM ao lado da função Acessador do backup vault do Backup e DR.

    1. No campo Título, insira um nome para a condição.

    2. Clique na guia Editor da condição.

      • No campo Editor de expressões CEL, insira a seguinte expressão:

        resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
/{name}/") == ("BACKUPVAULT_NAME") || resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
/{name}") == ("BACKUPVAULT_NAME") || resource.name.extract("operations/{op}") != ""

      Substitua:

      • BACKUPVAULT_NAME: o nome do cofre de backup.
      • PROJECT_ID: o nome do projeto em que o backup vault é criado.

      • LOCATION: o local do backup vault.

        Para adicionar acesso a outros backup vaults, adicione outras instruções "resource.name.startsWith" (com o operador lógico "||" OR) conforme necessário.

        Por exemplo, a instrução a seguir autoriza um backup vault chamado "bv-test" e outro backup vault chamado "user-bv1", ambos localizados em um projeto chamado "testproject" e no local "us-central1".

        resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}/") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}/") == ("user-bv1") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}") == ("user-bv1") || resource.name.extract("operations/{op}") != ""

    3. Clique em Salvar.

  9. Clique em Salvar.

A seguir