Nesta página, descrevemos o plano de backup padrão para backups protegidos, os benefícios dele, como ele funciona e as limitações.
O serviço de Backup e DR usa planos de backup para controlar quando e como os recursos de dados são armazenados em backup, além de por quanto tempo e com que segurança os backups são mantidos. É possível criar planos de backup diferentes para necessidades distintas, e o serviço de backup e DR fornece um plano de backup padrão para proteger instâncias do Compute Engine, do Filestore e do Cloud SQL.
Visão geral do plano de backup padrão do serviço de Backup e DR
Um plano de backup padrão, semelhante aos planos de backup criados no console Google Cloud , oferece uma abordagem simplificada para proteger suas instâncias do Compute Engine, do Filestore e do Cloud SQL. É possível aplicar automaticamente o plano de backup padrão a uma nova instância ao ativar o serviço de Backup e DR no projeto e ter as permissões necessárias para criar a instância. O plano de backup padrão elimina a necessidade de criar um plano de backup manualmente pelo serviço de Backup e DR, criando um nível de proteção básico para suas instâncias.
Configurações padrão do plano de backup
O plano de backup padrão cria um backup diário. Ele armazena o backup por 14 dias no backup vault padrão, sendo o primeiro dia imutável. Durante os 14 dias restantes, o backup pode ser excluído por um usuário autorizado. Após 14 dias, o backup é excluído automaticamente.
| Configuração | Valor |
|---|---|
| Programação de backup | Diariamente entre 00:00 e 06:00 no fuso horário local da região. |
| Armazenamento | Compute Engine: cofre regional criado na mesma região e projeto da instância de origem. Filestore: cofre regional criado na mesma região e projeto da instância de origem. Cloud SQL: cofre multirregional no mesmo projeto para regiões de origem compatíveis; cofre regional no mesmo projeto para regiões de origem multirregionais não compatíveis. |
| Retenção | 14 dias (8 dias para instâncias do Cloud SQL) |
| Retenção obrigatória | Um dia |
É possível modificar a programação de backup e a duração do armazenamento no plano de backup.
É possível editar o período de armazenamento obrigatório modificando o backup vault.
Se o plano de backup padrão não atender aos requisitos da sua organização, você poderá selecionar um plano diferente durante a criação da instância ou desativar o recurso usando a opção Sem backups.
Como funciona o plano de backup padrão
Ao criar uma instância do Compute Engine, do Filestore ou do Cloud SQL, você pode especificar se quer que ela use um plano de backup padrão ou criar um novo plano de backup com configuração manual. Se você selecionar a opção de plano de backup padrão, um backup vault padrão será criado automaticamente no mesmo projeto com o período mínimo de armazenamento obrigatório de um dia. O backup vault padrão não bloqueia o período de armazenamento, mas é possível modificar o período mínimo de armazenamento e ativar o bloqueio de armazenamento. Para instruções, consulte Atualizar o período mínimo de armazenamento obrigatório em um backup vault atual. O plano de backup padrão não pode ser modificado após a criação. Só é possível aplicar um plano de backup padrão por região compatível a uma instância do Compute Engine ou do Filestore.
O plano de backup padrão cria automaticamente backups diários entre 00:00 e 06:00 no horário local da região da carga de trabalho. Esses backups são retidos por 14 dias no backup vault padrão. O plano de backup padrão tem uma política de exclusão de backup de um dia.
Compute Engine: o plano de backup padrão é chamado de
default-compute-instance-plan-<region>. Há um plano de backup padrão para cada região compatível.Filestore: o plano de backup padrão é chamado de
default-filestore-plan-<region>. Há um plano de backup padrão para cada região compatível.Cloud SQL:
Planos com backup vaults multirregionais: um plano em um projeto para multirregiões compatíveis do Cloud SQL:
Para instâncias do Cloud SQL Enterprise Plus: o plano de backup padrão é chamado de
default-csql-instance-ep-plan-<region>-bv-<multi-region-vault-location>Para instâncias do Cloud SQL Enterprise: o plano de backup padrão é chamado de
default-csql-instance-e-plan-<region>-bv-<multi-region-vault-location>.
Planos com backup vaults regionais: um plano em um projeto para regiões de origem multirregionais sem suporte:
Para instâncias do Cloud SQL Enterprise Plus, o plano de backup padrão é chamado de
default-csql-instance-ep-plan-<region>.Para instâncias do Cloud SQL Enterprise, o plano de backup padrão é chamado de
default-csql-instance-e-plan-<region>.
Há um plano de backup padrão para cada região compatível. Esse plano oferece a mesma proteção para todas as instâncias associadas na região.
O plano de backup padrão está disponível apenas para novas instâncias do Compute Engine, do Filestore e do Cloud SQL criadas pelo consoleGoogle Cloud . Ela não afeta os recursos atuais nem as configurações de proteção de dados deles. Se você estiver protegendo instâncias usando snapshots multirregionais de Persistent Disk, poderá configurar manualmente a proteção em vaults de backup multirregionais.
Limitações
- Um plano de backup padrão não pode ser usado se a instância for criada em uma região que está indisponível para o serviço de Backup e DR.
- Só é possível usar o plano de backup padrão na mesma região em que a instância do Compute Engine está localizada.
- Só é possível aplicar um plano de backup padrão por região.
Planos de backup padrão para novas instâncias
O serviço de backup e DR oferece um plano de backup padrão para instâncias do Compute Engine, do Filestore e do Cloud SQL criadas pelo consoleGoogle Cloud . O que você precisa saber:
Como as novas instâncias são afetadas
As novas instâncias do Compute Engine, do Filestore e do Cloud SQL criadas pelo console Google Cloud terão um plano de backup padrão aplicado automaticamente se o projeto tiver o serviço de Backup e DR ativado e o usuário que criar a instância tiver as permissões necessárias.
Vantagens
Planos de backup padrão:
- Melhorar a proteção de dados: o plano de backup padrão melhora o nível básico de proteção para todas as novas instâncias criadas no console Google Cloud . Isso minimiza o risco de perda de dados devido a exclusões acidentais, ataques cibernéticos ou outros eventos imprevistos.
- Simplifique o gerenciamento da proteção de dados: a aplicação automática de um plano de backup padrão elimina a necessidade de configuração manual, facilitando a proteção das instâncias desde o primeiro dia.
- Promover práticas recomendadas: essa mudança incentiva a adoção de medidas robustas de proteção de dados em todo o seu ambiente Google Cloud .
Com esse aprimoramento, suas cargas de trabalho têm um nível fundamental de proteção aprimorado, permitindo que você se concentre em outros aspectos críticos da sua empresa.
Como as instâncias atuais são afetadas
Essa mudança não afeta as instâncias atuais nem as configurações de proteção de dados. Apenas as novas instâncias criadas pelo consoleGoogle Cloud são afetadas.
Como as instâncias criadas usando automação ou Terraform são afetadas
As instâncias criadas usando a CLI gcloud, o Terraform ou outras APIs não serão afetadas por essa mudança.
P: Posso desativar o plano de backup padrão?
R: Sim, é possível recusar ou escolher outro plano de backup durante o processo de criação da instância no console Google Cloud . Essas opções estão na nova guia Proteção de dados. Configure os padrões do projeto com o valor de sua escolha.
R: Não. Sua proteção atual do Backup e DR, incluindo a proteção baseada em tags, não vai mudar. Essa atualização afeta apenas as novas instâncias criadas pelo console Google Cloud . A proteção baseada em tags pode identificar se uma instância tem um plano padrão e não vai proteger duas vezes sua instância se uma tag for aplicada. Marque a instância como Sem backups e continue a adicionar tags a ela se quiser usar a proteção baseada em tags.
P: Devo fazer a transição para esse novo esquema de proteção usando o plano padrão?
Depende das suas necessidades específicas e da configuração atual. Considere estes fatores:
Facilidade de uso: o plano padrão oferece uma solução básica para proteção de instâncias básicas, fornecendo um backup diário retido por 14 dias.
Personalização: se o plano padrão não atender aos requisitos da sua organização, escolha outro plano durante a criação da instância ou desative a opção Sem backups.
P: Se eu estiver protegendo instâncias usando snapshots multirregionais de Persistent Disk, provavelmente não vou querer que minhas novas instâncias sejam direcionadas a um vault de backup regional. Como posso evitar isso?
R: É possível configurar manualmente a proteção em backup vaults multirregionais.
P: Sou cliente do Backup e DR, mas ainda não estou protegendo instâncias do Compute Engine, do Filestore ou do Cloud SQL. Isso significa que minhas novas instâncias vão começar a ser protegidas com um backup vault?
R: Sim. Se você criar novas instâncias pelo console do Google Cloud e tiver o serviço de Backup e DR ativado com as permissões necessárias, elas serão protegidas com o plano de backup padrão e o cofre padrão associado. Se quiser usar um plano de backup diferente, selecione-o ao criar a instância. Se você não quiser proteger sua instância com essa nova experiência, selecione a opção Sem backups.
P: Como esse novo plano de backup padrão se compara à minha proteção atual de disco permanente (supondo que eu use snapshots)?
R: Os dois oferecem proteção de dados, mas com diferenças importantes:
- Snapshots: backups de disco individuais sujeitos a ataques cibernéticos e exclusões maliciosas se um usuário de má-fé tiver acesso aos projetos em que os snapshots estão.
- Backup e DR: oferece a capacidade de armazenar backups em um vault de backup que oferece proteção contra ataques de ransomware e exclusões maliciosas. Você define a duração do armazenamento de backup e da retenção forçada.
P: Devo usar a proteção padrão do plano de backup ou não?
R: Em última análise, a decisão depende dos requisitos e das preferências específicas da sua organização. O plano de backup padrão oferece a tranquilidade de saber que todas as instâncias têm um nível básico de proteção. É possível remover a proteção e usar snapshots de disco permanente ou escolher outro plano de backup no Backup e DR para fazer backups. Se você tiver necessidades de backup complexas, recomendamos configurar suas próprias políticas de plano de backup para cargas de trabalho específicas.
P: O que aconteceria se a instância criada estivesse em uma região diferente em que o plano de backup não é compatível?
Não é possível usar planos de backup padrão se a instância for criada em uma região que é indisponível para o Backup e DR.
P: Posso desativar esse recurso com uma política da organização?
R: Não, não é possível usar a política da organização para desativar esse recurso. Se você não quiser proteger seu recurso de dados, selecione a opção Nenhum backup. Além disso, é possível personalizar a configuração padrão.
P: Quais permissões são necessárias para usar os planos de backup padrão?
Você precisa da permissão backupdr.serviceConfig.initialize para usar planos de backup se estiver usando uma função personalizada nas configurações do IAM. Se você estiver usando uma das funções predefinidas do Backup e DR, como Backup and DR Admin ou Backup and DR User V2, as permissões serão disponibilizadas automaticamente para uso. Se você estiver usando um papel computeAdmin ou
computeInstanceAdmin, as permissões também serão adicionadas automaticamente
a esses papéis. A lista final de permissões que vamos adicionar às funções
roles/compute.admin, roles/compute.instanceAdmin e
roles/compute.instanceAdmin.v1 é:
backupdr.backupPlans.useForComputeInstancebackupdr.serviceConfig.initializebackupdr.backupPlanAssociations.createForComputeInstancebackupdr.backupPlanAssociations.deleteForComputeInstancebackupdr.backupPlanAssociations.triggerBackupForComputeInstancebackupdr.backupPlanAssociations.listbackupdr.locations.list
P: Com quem posso entrar em contato se tiver mais dúvidas?
R: Se você tiver mais dúvidas, entre em contato com gcbdr-default-backup-plans@google.com.