Auf dieser Seite wird der Standardsicherungsplan für Vaulted-Sicherungen beschrieben. Außerdem werden die Vorteile, die Funktionsweise und die Einschränkungen erläutert.
Der Backup- und DR-Dienst verwendet Sicherungspläne, um zu steuern, wann und wie Ihre Datenressourcen gesichert werden und wie lange und wie sicher die Sicherungen aufbewahrt werden. Sie können verschiedene Sicherungspläne für unterschiedliche Anforderungen erstellen. Der Backup- und DR-Dienst bietet einen Standardsicherungsplan zum Schutz von Compute Engine-, Filestore- und Cloud SQL-Instanzen.
Übersicht über den Standardsicherungsplan des Backup- und DR-Dienstes
Ein Standardsicherungsplan, ähnlich den Sicherungsplänen, die in der Google Cloud Konsole erstellt wurden, bietet einen optimierten Ansatz zum Schutz Ihrer Compute Engine-, Filestore- und Cloud SQL-Instanzen. Sie können den Standardsicherungsplan automatisch auf eine neue Instanz anwenden, wenn Sie den Backup- und DR-Dienst in Ihrem Projekt aktivieren und die erforderlichen Berechtigungen zum Erstellen der Instanz haben. Mit dem Standardsicherungsplan müssen Sie keinen Sicherungsplan mehr manuell über den Backup- und DR-Dienst erstellen. So wird ein grundlegendes Schutzniveau für Ihre Instanzen geschaffen.
Standardeinstellungen für Sicherungspläne
Mit dem Standardsicherungsplan wird täglich eine Sicherung erstellt. Die Sicherung wird 14 Tage lang im Standard-Backup Vault gespeichert. Der erste Tag ist unveränderlich. Während der verbleibenden 14 Tage kann die Sicherung von einem autorisierten Nutzer gelöscht werden. Nach 14 Tagen wird die Sicherung automatisch gelöscht.
| Einstellung | Wert |
|---|---|
| Zeitplan für die Sicherung | Täglich zwischen 00:00 und 06:00 Uhr in der lokalen Zeitzone der Region. |
| Speicher | Compute Engine: Regionaler Tresor, der in derselben Region und demselben Projekt wie die Quellinstanz erstellt wird. Filestore: Regionaler Tresor, der in derselben Region und demselben Projekt wie die Quellinstanz erstellt wird. Cloud SQL: Multiregionaler Tresor im selben Projekt für unterstützte Quellregionen; regionaler Tresor im selben Projekt für nicht unterstützte multiregionale Quellregionen. |
| Kundenbindung | 14 Tage (8 Tage für Cloud SQL-Instanzen) |
| Erzwungene Aufbewahrung | Eines Tages |
Sie können den Sicherungszeitplan und die Speicherdauer im Sicherungsplan ändern.
Sie können die erzwungene Aufbewahrungsdauer ändern, indem Sie den Backup Vault bearbeiten.
Wenn der Standardsicherungsplan nicht den Anforderungen Ihrer Organisation entspricht, können Sie beim Erstellen der Instanz einen anderen Plan auswählen oder die Option Keine Sicherungen verwenden, um die Sicherung zu deaktivieren.
So funktioniert der Standardsicherungsplan
Wenn Sie eine neue Compute Engine-, Filestore- oder Cloud SQL-Instanz erstellen, können Sie angeben, ob die Instanz einen Standardsicherungsplan verwenden soll oder ob Sie einen neuen Sicherungsplan mit manueller Konfiguration erstellen möchten. Wenn Sie die Option für den Standardsicherungsplan auswählen, wird automatisch ein Standard-Backup Vault im selben Projekt mit der erzwungenen Mindestaufbewahrungsdauer von einem Tag erstellt. Beim Standard-Backup Vault wird die Aufbewahrungsdauer nicht gesperrt. Sie können jedoch die Mindestaufbewahrungsdauer ändern und die Aufbewahrungssperre aktivieren. Eine Anleitung finden Sie unter Mindestaufbewahrungsdauer für einen vorhandenen Backup Vault aktualisieren. Der Standardsicherungsplan kann nach der Erstellung nicht mehr geändert werden. Sie können pro unterstützter Region nur einen Standard-Sicherungsplan für eine Compute Engine- oder Filestore-Instanz anwenden.
Mit dem Standardsicherungsplan werden automatisch täglich Sicherungen zwischen 00:00 und 06:00 Uhr in der lokalen Zeitzone der Arbeitslast erstellt. Diese Sicherungen werden 14 Tage lang im Standard-Backup Vault aufbewahrt. Für den Standardsicherungsplan gilt eine Richtlinie zum Löschen von Sicherungen nach einem Tag.
Compute Engine: Der Standardsicherungsplan hat den Namen
default-compute-instance-plan-<region>. Für jede unterstützte Region gibt es einen Standardsicherungsplan.Filestore: Der Standardsicherungsplan heißt
default-filestore-plan-<region>. Für jede unterstützte Region gibt es einen Standardsicherungsplan.Cloud SQL:
Pläne mit multiregionalen Backup-Vaults: Ein Plan in einem Projekt für unterstützte Multiregionen für Cloud SQL:
Für Cloud SQL Enterprise Plus-Instanzen: Der Standard-Sicherungsplan heißt
default-csql-instance-ep-plan-<region>-bv-<multi-region-vault-location>Für Cloud SQL Enterprise-Instanzen: Der Standardsicherungsplan heißt
default-csql-instance-e-plan-<region>-bv-<multi-region-vault-location>.
Pläne mit regionalen Backup Vaults: Ein Plan in einem Projekt für nicht unterstützte Multi-Region-Quellregionen:
Für Cloud SQL Enterprise Plus-Instanzen heißt der Standardsicherungsplan
default-csql-instance-ep-plan-<region>.Für Cloud SQL Enterprise-Instanzen heißt der Standardsicherungsplan
default-csql-instance-e-plan-<region>.
Für jede unterstützte Region gibt es einen Standardsicherungsplan. Dieser Plan bietet denselben Schutz für alle zugehörigen Instanzen in der Region.
Der Standardsicherungsplan ist nur für neue Compute Engine-, Filestore- und Cloud SQL-Instanzen verfügbar, die über dieGoogle Cloud -Konsole erstellt wurden. Vorhandene Ressourcen oder ihre Konfigurationen für den Datenschutz sind davon nicht betroffen. Wenn Sie Instanzen mit multiregionalen Persistent Disk-Snapshots schützen, können Sie den Schutz manuell in multiregionalen Backup Vaults konfigurieren.
Beschränkungen
- Ein Standardsicherungsplan kann nicht verwendet werden, wenn die Instanz in einer Region erstellt wird, die vom Backup- und DR-Dienst nicht unterstützt wird.
- Sie können den Standardsicherungsplan nur in derselben Region verwenden, in der sich die Compute Engine-Instanz befindet.
- Sie können nur einen Standardsicherungsplan pro Region anwenden.
Standardsicherungspläne für neue Instanzen
Der Backup- und DR-Dienst bietet einen Standardsicherungsplan für Compute Engine-, Filestore- und Cloud SQL-Instanzen, die über dieGoogle Cloud Console erstellt wurden. Was Sie dazu wissen sollten:
Auswirkungen auf neue Instanzen
Auf neue Compute Engine-, Filestore- und Cloud SQL-Instanzen, die über die Google Cloud Konsole erstellt werden, wird automatisch ein Standardsicherungsplan angewendet, wenn der Backup and DR-Dienst für das Projekt aktiviert ist und der Nutzer, der die Instanz erstellt, die erforderlichen Berechtigungen hat.
Vorteile
Standardsicherungspläne:
- Datenschutz verbessern: Der Standardsicherungsplan verbessert das grundlegende Schutzniveau für alle neuen Instanzen, die über die Google Cloud Console erstellt werden. So wird das Risiko von Datenverlusten durch versehentliches Löschen, Cyberangriffe oder andere unvorhergesehene Ereignisse minimiert.
- Verwaltung des Datenschutzes vereinfachen: Durch die automatische Anwendung eines Standard-Sicherungsplans ist keine manuelle Konfiguration erforderlich. So können Sie Ihre Instanzen von Anfang an schützen.
- Best Practices fördern: Diese Änderung fördert die Einführung robuster Datenschutzmaßnahmen in Ihrer Google Cloud Umgebung.
Durch diese Verbesserung haben Ihre Arbeitslasten ein höheres grundlegendes Schutzniveau, sodass Sie sich auf andere wichtige Aspekte Ihres Unternehmens konzentrieren können.
Auswirkungen auf vorhandene Instanzen
Diese Änderung hat keine Auswirkungen auf Ihre vorhandenen Instanzen oder deren aktuelle Datenschutzkonfigurationen. Nur neue Instanzen, die über dieGoogle Cloud -Konsole erstellt wurden, sind betroffen.
Auswirkungen auf Instanzen, die mit Automatisierung oder Terraform erstellt wurden
Instanzen, die mit der gcloud CLI, Terraform oder anderen APIs erstellt wurden, sind von dieser Änderung nicht betroffen.
F: Kann ich den Standardsicherungsplan deaktivieren?
A: Ja, Sie können die Sicherung deaktivieren oder einen anderen Sicherungsplan auswählen, wenn Sie die Instanz in der Google Cloud Console erstellen. Sie finden diese Optionen auf dem neuen Tab Datenschutz. Konfigurieren Sie die Standardeinstellungen für Ihr Projekt auf den gewünschten Wert.
A: Nein. Ihr bestehender Backup- und DR-Schutz, einschließlich des tagbasierten Schutzes, bleibt unverändert. Dieses Update betrifft nur neue Instanzen, die über die Google Cloud Konsole erstellt wurden. Der tagbasierte Schutz kann erkennen, ob eine Instanz einen Standardplan hat, und schützt Ihre Instanz nicht doppelt, wenn ein Tag angewendet wird. Sie müssen die Instanz als Keine Sicherungen markieren und weiterhin taggen, wenn Sie den tagbasierten Schutz verwenden möchten.
F: Sollte ich mit dem Standardplan auf dieses neue Schutzschema umstellen?
A: Das hängt von Ihren spezifischen Anforderungen und Ihrer aktuellen Einrichtung ab. Berücksichtigen Sie dabei folgende Faktoren:
Einfache Bedienung: Der Standardplan bietet eine einfache Lösung für den grundlegenden Instanzschutz mit einer täglichen Sicherung, die 14 Tage lang aufbewahrt wird.
Anpassung: Wenn der Standardplan nicht den Anforderungen Ihrer Organisation entspricht, können Sie beim Erstellen der Instanz einen anderen Plan auswählen oder die Option Keine Sicherungen verwenden, um die Sicherung zu deaktivieren.
F: Wenn ich Instanzen mit multiregionalen Persistent Disk-Snapshots schütze, möchte ich wahrscheinlich nicht, dass meine neuen Instanzen in einem regionalen Backup Vault gespeichert werden. Wie kann ich das verhindern?
A: Sie können den Schutz manuell in multiregionalen Backup Vaults konfigurieren.
F: Ich bin Backup and DR-Kunde, schütze aber noch keine Compute Engine-, Filestore- oder Cloud SQL-Instanzen. Bedeutet das, dass meine neuen Instanzen mit einem Backup Vault geschützt werden?
A: Ja. Wenn Sie neue Instanzen über die Google Cloud -Konsole erstellen und der Backup- und DR-Dienst mit den erforderlichen Berechtigungen aktiviert ist, werden sie mit dem Standard-Sicherungsplan und dem zugehörigen Standard-Vault geschützt. Wenn Sie einen anderen Sicherungsplan verwenden möchten, können Sie ihn beim Erstellen der Instanz auswählen. Wenn Sie Ihre Instanz nicht mit dieser neuen Funktion schützen möchten, wählen Sie die Option Keine Sicherungen aus.
F: Wie unterscheidet sich dieser neue Standard-Sicherungsplan von meinem aktuellen Schutz für nichtflüchtige Speicher (vorausgesetzt, ich verwende Snapshots)?
A: Beide bieten Datenschutz, aber mit wichtigen Unterschieden:
- Snapshots: Einzelne Laufwerksicherungen, die anfällig für Cyberangriffe und böswillige Löschungen sind, wenn ein böswilliger Akteur Zugriff auf Projekte hat, in denen sich Snapshots befinden.
- Backup and DR: Bietet die Möglichkeit, Sicherungen in einem Backup Vault zu speichern, der vor Ransomware-Angriffen und böswilligem Löschen schützt. Sie legen die Dauer sowohl des Sicherungsspeichers als auch der erzwungenen Aufbewahrung fest.
F: Soll ich den Standardschutz des Sicherungsplans verwenden?
A: Letztendlich hängt die Entscheidung von den Anforderungen und Präferenzen Ihrer Organisation ab. Der Standardsicherungsplan bietet Ihnen die Gewissheit, dass alle Instanzen ein grundlegendes Schutzniveau haben. Sie können den Schutz entfernen und stattdessen Snapshots von Persistent Disks verwenden oder einen anderen Sicherungsplan in Backup und DR auswählen, um Sicherungen zu erstellen. Wenn Sie komplexe Anforderungen an die Sicherung haben, empfehlen wir, eigene Richtlinien für Sicherungspläne für bestimmte Arbeitslasten zu konfigurieren.
F: Was passiert, wenn die erstellte Instanz in einer anderen Region liegt, in der der Sicherungszeitplan nicht unterstützt wird?
A: Sie können keine Standardsicherungspläne verwenden, wenn die Instanz in einer Region erstellt wird, die von Backup und DR nicht unterstützt wird.
F: Kann ich diese Funktion über eine Organisationsrichtlinie deaktivieren?
A: Nein, Sie können diese Funktion nicht über eine Organisationsrichtlinie deaktivieren. Wenn Sie Ihre Datenressource nicht schützen möchten, wählen Sie die Option Keine Sicherungen aus. Außerdem können Sie Ihre Standardkonfiguration anpassen.
F: Welche Berechtigungen benötige ich, um die Standardsicherungspläne zu verwenden?
A: Sie benötigen die Berechtigung backupdr.serviceConfig.initialize, um Sicherungspläne zu verwenden, wenn Sie eine benutzerdefinierte Rolle in Ihren IAM-Einstellungen verwenden. Wenn Sie eine der vordefinierten Rollen für Backup und DR wie Backup and DR Admin oder Backup and DR User V2 verwenden, sind die Berechtigungen automatisch verfügbar. Wenn Sie eine computeAdmin- oder computeInstanceAdmin-Rolle verwenden, wurden die Berechtigungen auch automatisch diesen Rollen hinzugefügt. Die endgültige Liste der Berechtigungen, die wir den Rollen roles/compute.admin, roles/compute.instanceAdmin und roles/compute.instanceAdmin.v1 hinzufügen, lautet:
backupdr.backupPlans.useForComputeInstancebackupdr.serviceConfig.initializebackupdr.backupPlanAssociations.createForComputeInstancebackupdr.backupPlanAssociations.deleteForComputeInstancebackupdr.backupPlanAssociations.triggerBackupForComputeInstancebackupdr.backupPlanAssociations.listbackupdr.locations.list
F: An wen kann ich mich wenden, wenn ich weitere Fragen habe?
A: Wenn Sie weitere Fragen haben, wenden Sie sich bitte an gcbdr-default-backup-plans@google.com.