使用默认备份方案保护新的 Compute Engine、Filestore 和 Cloud SQL 实例以及 AlloyDB 集群

概览

本页面介绍了保险柜备份的默认备份方案,以及它的优势、工作原理和限制。

Backup and DR Service 采用备份方案来控制数据资源的备份时间和方式,以及备份的保留时间和安全性。 您可以根据不同的需求创建不同的备份方案,Backup and DR Service 提供了一个默认备份方案来保护 Compute Engine、Filestore 和 Cloud SQL 实例。

什么是备份方案?

Backup and DR Service 默认备份方案概览

默认备份方案与在 Google Cloud 控制台中创建的 备份方案类似,提供了一种简化的方法来保护 Compute Engine、Filestore 和 Cloud SQL 实例。在项目中启用 Backup and DR Service 并拥有创建实例所需的权限后,您可以自动将默认备份方案应用于新实例。默认备份方案无需您通过 Backup and DR Service 手动创建备份方案,从而为您的实例创建基准级别的保护。

默认备份方案设置

默认备份方案会创建每日备份。它会将备份存储在默认备份保险柜中保留 14 天,其中第一天是不可变的。在剩余的 14 天内,授权用户可以删除备份。14 天后,备份会自动删除。

设置
备份计划 每天 00:00 到 06:00(区域本地时区)。
存储 Compute Engine:在与源实例相同的区域和项目中创建的区域保险柜。
Filestore:在与源实例相同的区域和项目中创建的区域保险柜。
Cloud SQL:对于受支持的源区域,在同一项目中创建的多区域保险柜;对于不受支持的多区域源区域,在同一项目中创建的区域保险柜。
保留 14 天(Cloud SQL 实例为 8 天)
强制保留期限 一天

您可以在备份方案中修改备份计划和存储时长。

您可以通过修改备份保险柜来修改强制保留期限。

如果默认备份方案不符合贵组织的要求,您可以在创建实例期间选择其他方案,也可以选择使用无备份 选项停用该方案。

默认备份方案的工作原理

创建新的 Compute Engine、Filestore 或 Cloud SQL 实例时,您可以指定实例是使用默认备份方案,还是 创建具有手动配置的新备份方案。如果您选择默认备份方案选项,系统会在同一项目中自动创建一个默认备份保险柜,其最短强制保留期限为一天。 默认备份保险柜不会锁定保留期限,但您可以修改最短保留期限并启用保留锁定。如需了解相关说明, 请参阅更新现有备份保险柜的最短强制保留期限。 请注意,默认备份方案在创建后无法修改。对于 Compute Engine 或 Filestore 实例,每个受支持的区域只能应用一个默认备份方案。

默认备份方案会在工作负载所在区域的本地时间 00:00 到 06:00 之间自动创建每日备份。这些备份会在默认备份保险柜中保留 14 天。默认备份方案的备份删除政策为一天。

  • Compute Engine:默认备份方案的名称为 default-compute-instance-plan-<region>。每个受支持的区域都有一个默认备份方案。

  • Filestore:默认备份方案的名称为 default-filestore-plan-<region>。每个受支持的区域都有一个默认备份方案。

  • Cloud SQL:

    • 具有多区域备份保险柜的方案:适用于 Cloud SQL 的受支持 多区域 的项目中的方案:

      • 对于 Cloud SQL 企业 Plus 版实例:默认备份方案的名称为
        default-csql-instance-ep-plan-<region>-bv-<multi-region-vault-location>

      • 对于 Cloud SQL 企业版实例:默认备份方案的名称为
        default-csql-instance-e-plan-<region>-bv-<multi-region-vault-location>

    • 具有区域备份保险柜的方案:适用于不受支持的多区域源区域的项目中的方案:

      • 对于 Cloud SQL 企业 Plus 版实例,默认备份方案的名称为
        default-csql-instance-ep-plan-<region>

      • 对于 Cloud SQL 企业版实例,默认备份方案的名称为
        default-csql-instance-e-plan-<region>

每个受支持的区域都有一个默认备份方案。此方案为该区域中的所有关联实例提供相同的保护。

默认备份方案仅适用于通过 Google Cloud 控制台创建的新 Compute Engine、 Filestore 和 Cloud SQL 实例。它不会影响现有资源或其数据保护配置。如果您使用多区域 Persistent Disk 快照保护实例,则可以手动将保护配置到多区域备份保险柜中。

限制

  • 如果实例是在 Backup and DR Service 不支持的区域中创建的,则无法使用默认备份方案。
  • 您只能在 Compute Engine 实例所在的同一区域中使用默认备份方案。
  • 每个区域只能应用一个默认备份方案。

新实例的默认备份方案

Backup and DR Service 为通过 Google Cloud 控制台创建的 Compute Engine、 Filestore 和 Cloud SQL 实例提供默认备份方案。您有必要了解以下注意事项:

新实例受到的影响

如果项目启用了 Backup and DR Service,并且创建实例的用户拥有必要的权限,则通过 控制台创建的新 Compute Engine、Filestore 和 Cloud SQL 实例会自动 应用默认备份方案。 Google Cloud

福利

默认备份方案:

  • 增强数据保护:默认备份方案可提高通过 Google Cloud 控制台创建的所有新实例的基准保护级别。这可以最大限度地降低因意外删除、网络攻击或其他意外事件而导致的数据丢失风险。
  • 简化数据保护管理:自动应用默认 备份方案无需手动配置,让您从一开始就能更轻松地 保护实例。
  • 推广最佳实践:此更改鼓励您在整个环境中采用可靠的数据 保护措施。 Google Cloud

通过此增强功能,您的工作负载具有更高的基础保护级别,让您可以专注于业务的其他关键方面。

现有实例受到的影响

此更改不会影响现有实例或其当前数据保护配置。只有通过 Google Cloud 控制台创建的新实例会受到影响。

使用自动化或 Terraform 创建的实例受到的影响

使用 gcloud CLI、Terraform 或其他 API 创建的实例不会 受到此更改的影响。

问:我可以停用默认备份方案吗?

答:可以,您可以在控制台中创建实例的过程中停用或选择其他备份方案。 Google Cloud 您可以在新的数据保护 标签页下找到这些选项。将项目默认设置 配置为您选择的值。

问:我使用 Backup and DR 基于标记的保护来保护实例。这种保护会发生变化吗?

答:不会,您现有的 Backup and DR 保护(包括基于标记的保护)将保持不变。此更新仅影响通过 控制台 Google Cloud 创建的新实例。基于标记的保护可以识别实例是否具有默认方案,如果应用了标记,则不会对实例进行双重保护。您需要将实例标记为无备份,如果您想使用基于标记的保护,请继续标记实例。

问:我应该使用默认方案过渡到这种新的保护方案吗?

答:这取决于您的具体需求和当前设置。请考虑以下因素:

  • 易用性:默认方案为基本实例保护提供了一个基本解决方案,提供每日备份,保留 14 天。

  • 自定义:如果默认方案不符合贵组织的要求,您可以在创建实例期间选择其他方案,也可以选择使用无备份 选项停用该方案。

问:如果我使用多区域 Persistent Disk 快照来保护实例,那么我可能不希望我的新实例进入区域备份保险柜。如何防止这种情况发生?

答:您可以手动将保护配置到多区域备份保险柜中。

问:我是 Backup and DR 客户,但尚未保护 Compute Engine、Filestore 或 Cloud SQL 实例。这是否意味着我的新实例将开始受到备份保险柜的保护?

答:是的,如果您通过 Google Cloud 控制台创建新实例,并且启用了 Backup and DR Service 并拥有必要的权限,则这些实例将受到 默认备份方案和关联的默认保险柜的保护。如果您想使用其他备份方案,可以在创建实例时选择该方案。如果您不想通过这种新体验来保护实例,请选择无备份 选项。

问:与我当前的永久性磁盘保护(假设我使用快照)相比,这种新的默认备份方案如何?

答:两者都提供数据保护,但存在一些关键差异

  • 快照:单个磁盘备份,如果作恶方有权访问快照所在的项目,则容易受到网络攻击和恶意删除。
  • Backup and DR:能够将备份存储到备份保险柜中,从而防范勒索软件攻击和恶意删除。您可以定义备份存储的时长及其强制保留期限。

问:我应该使用备份方案默认保护吗?

答:最终,决定取决于贵组织的具体要求和偏好。默认备份方案让您安心,因为所有实例都具有基准保护级别。您可以移除保护并切换为使用永久性磁盘快照,也可以在 Backup and DR 中选择其他备份方案进行备份。如果您有复杂的备份需求,建议您为特定工作负载配置自己的备份方案政策。

问:如果创建的实例位于不支持备份方案的其他区域,会发生什么情况?

答:如果实例是在 Backup and DR 不支持的区域中创建的,则无法使用默认备份方案。

问:我可以通过组织政策停用此功能吗?

答:不可以,您无法使用组织政策停用此功能。如果您不打算保护数据资源,请选择无备份 选项。此外,您还可以自定义默认配置。

问:我需要哪些权限才能使用默认备份方案?

答:如果您在 IAM 设置中使用自定义角色,则需要 backupdr.serviceConfig.initialize 权限才能使用备份方案。如果您使用的是 Backup and DR 预定义角色之一(例如 Backup and DR AdminBackup and DR User V2),则系统会自动提供这些权限供您使用。如果您使用的是 computeAdmincomputeInstanceAdmin 角色,系统也会自动将这些权限添加到这些角色中。我们将添加到 roles/compute.adminroles/compute.instanceAdminroles/compute.instanceAdmin.v1 角色的最终权限列表如下:

  • backupdr.backupPlans.useForComputeInstance
  • backupdr.serviceConfig.initialize
  • backupdr.backupPlanAssociations.createForComputeInstance
  • backupdr.backupPlanAssociations.deleteForComputeInstance
  • backupdr.backupPlanAssociations.triggerBackupForComputeInstance
  • backupdr.backupPlanAssociations.list
  • backupdr.locations.list

问:如果我有其他问题,可以与谁联系?

答:如果您有任何其他问题,请通过 gcbdr-default-backup-plans@google.com 与我们联系。