本页介绍了保险库资源默认备份方案的优势、工作原理和限制。
Backup and DR Service 采用备份方案来控制数据资源的备份时间和方式,以及备份的保留时长和安全性。 您可以根据不同的需求创建不同的备份方案,而 Backup and DR Service 提供默认备份方案来保护 Compute Engine 和 Cloud SQL 实例。
Backup and DR Service 默认备份方案概览
默认备份方案与在 Google Cloud 控制台中创建的备份方案类似,可提供一种简化的方法来保护您的 Compute Engine 和 Cloud SQL 实例。在项目中启用 Backup and DR Service 并拥有创建虚拟机的必要权限后,您可以自动将默认备份方案应用到新的 Compute Engine 或 Cloud SQL 实例。借助默认备份方案,您无需通过 Backup and DR Service 手动创建备份方案,即可为虚拟机创建基准保护级别。
默认备份计划设置
默认备份方案会创建每日备份。它会将备份存储在默认备份保险柜中 14 天,其中第一天是不可变的。在剩余的 14 天内,授权用户可以删除备份。14 天后,系统会自动删除该备份。
| 设置 | 值 |
|---|---|
| 备份计划 | 每天 00:00 到 06:00(区域的当地时区时间)。 |
| 存储 | 默认备份保险柜 |
| 保留 | 14 天 |
| 强制保留期限 | 有一天 |
您可以在备份方案中修改备份时间表和存储时长。
您可以修改强制保留期限,方法是修改备份保险柜。
如果默认备份方案不符合贵组织的要求,您可以在创建虚拟机时选择其他方案,也可以选择使用“无备份”选项来选择不备份。
优势
默认备份方案具有以下优势:
- 增强数据保护:默认备份计划可提高通过 Google Cloud 控制台创建的所有新虚拟机的基准保护级别。这样可以最大限度地降低因意外删除、网络攻击或其他不可预见事件而导致的数据丢失风险。
- 简化数据保护管理:自动应用默认备份方案,无需手动配置,让您从第一天起就能轻松保护虚拟机。
- 推广最佳实践:默认备份方案可为整个 Google Cloud 环境提供强大的数据保护。
默认备份方案如何适用于 Compute Engine 和 Cloud SQL 实例
创建新的 Compute Engine 实例时,您可以指定 Compute Engine 实例是使用默认备份方案,还是创建新的备份方案并进行手动配置。如果您选择默认备份方案选项,系统会在同一项目中自动创建一个默认备份保险柜,其最短强制保留期限为 1 天。默认备份保险柜不会锁定保留期限,但您可以修改最短保留期限,并启用保留期限锁定。如需查看相关说明,请参阅更新现有备份保险柜的最短强制保留期限。 请注意,默认备份方案创建后无法修改。对于 Compute Engine 实例,您只能为每个受支持的区域应用一个默认备份方案。
默认备份方案会自动在工作负载所在区域的本地时间 00:00 到 06:00 之间创建每日备份。这些备份会保留在默认备份保险柜中 14 天。默认备份方案的备份删除政策为 1 天。
默认备份方案的名称为 default-compute-instance-plan-<region>。每个受支持的区域都有一个默认备份计划。此方案可为区域中的所有关联的 Compute Engine 和 Cloud SQL 实例提供相同的保护。
默认备份方案仅适用于通过 Google Cloud 控制台创建的新 Compute Engine 和 Cloud SQL 实例。它不会影响现有虚拟机或其数据保护配置。如果您使用多区域 Persistent Disk 快照来保护虚拟机,则可以手动将保护配置到多区域备份保险库中。
限制
- 如果虚拟机是在 Backup and DR Service 不支持的区域中创建的,则无法使用默认备份方案。
- 您只能在 Compute Engine 实例所在的同一区域中使用默认备份方案。
- 每个区域只能应用一个默认备份方案。
新 Compute Engine 虚拟机的默认备份方案
Backup and DR Service 为通过 Google Cloud 控制台创建的 Compute Engine 和 Cloud SQL 实例提供默认备份计划。您有必要了解以下注意事项:
新 Compute Engine 实例和 Cloud SQL 实例会受到哪些影响
如果项目已启用 Backup and DR 服务,并且创建虚拟机的用户拥有必要的权限,则通过 Google Cloud 控制台创建的新 Compute Engine 和 Cloud SQL 实例会自动应用默认备份方案。
优势
我们深知在 Compute Engine 中保护您的宝贵数据和工作负载至关重要。此变更旨在:
- 增强数据保护:默认备份计划可提高通过 Google Cloud 控制台创建的所有新虚拟机的基准保护级别。这样可以最大限度地降低因意外删除、网络攻击或其他不可预见的事件而导致的数据丢失风险。
- 简化数据保护管理:自动应用默认备份方案,无需手动配置,让您从第一天起就能轻松保护虚拟机。
- 推广最佳实践:此变更旨在鼓励在整个 Google Cloud 环境中采用可靠的数据保护措施。
通过此增强功能,您的工作负载将获得更完善的基础级保护,让您可以专注于业务的其他关键方面。
现有虚拟机受到的影响
此更改不会影响现有虚拟机或其当前的数据保护配置。只有通过Google Cloud 控制台创建的新虚拟机才会受到影响。
使用自动化工具或 Terraform 创建的虚拟机会受到哪些影响
使用 Google Cloud CLI、Terraform 或其他 API 创建的虚拟机不会受到此变更的影响。
问:我可以选择停用默认备份方案吗?
答:可以。您可以在 Google Cloud 控制台中的虚拟机创建过程中选择不启用此功能,也可以选择其他备份方案。您可以在新的数据保护标签页下找到这些选项。将项目默认设置配置为您选择的值。
答:不会,您现有的备份和灾难恢复保护(包括基于标记的保护)将保持不变。此更新仅影响通过 Google Cloud 控制台创建的新虚拟机。基于标记的保护可以识别虚拟机是否具有默认方案,并且在应用标记后不会对实例进行双重保护。如果您想使用基于标记的保护,则需要将虚拟机标记为无备份,然后继续标记虚拟机。
问:我需要做些什么才能确保现有的备份和灾难恢复保护保持不变?
答:您无需采取任何行动。现有虚拟机及其关联的备份配置不会自动修改。
问:我是否应使用默认方案改用这种新的保护方案?
答:这取决于您的具体需求和当前设置。请考虑以下因素:
- 易用性:默认方案提供了一个基本的虚拟机保护解决方案,可进行每日备份,并保留 14 天。
- 自定义:如果默认方案不符合组织的要求,您可以在创建虚拟机时选择其他方案,也可以选择使用无备份选项来选择不备份。
问:如果我使用多区域 Persistent Disk 快照来保护虚拟机,那么我可能不希望将新虚拟机备份到区域级备份保险柜。如何确保这一点?
答:您可以手动将保护配置到多区域备份保险柜中。
问:我是 Backup and DR 客户,但未保护虚拟机(例如,仅保护数据库)。这是否意味着我的新虚拟机将开始受到备份保险库的保护?
答:可以。如果您通过 Google Cloud 控制台创建新虚拟机,并且已启用 Backup and DR Service 并拥有必要的权限,则新虚拟机将受到默认备份方案和关联的默认备份保险库的保护。如果您想使用其他备份方案,可以在创建虚拟机时选择该方案。如果您不想通过这种新体验来保护虚拟机,请选择不备份选项。
问:与我当前的永久性磁盘保护(假设我使用快照)相比,这个新的默认备份方案有何不同?
答:两者都提供数据保护,但存在关键区别:
- 快照:单个磁盘备份,如果作恶方有权访问快照所在的项目,则容易遭受网络攻击和恶意删除。
- Backup and DR:提供将备份存储到备份保险柜中的功能,可防范勒索软件攻击和恶意删除。您可以定义备份存储时长及其强制保留时长。
问:我是否应该使用备份方案的默认保护设置?
答:最终,决定取决于您所在组织的具体要求和偏好。默认备份方案可让您安心无忧,因为您知道所有虚拟机都具有基准级别的保护。您可以移除保护并改用永久性磁盘快照,也可以在 Backup and DR 中选择其他备份方案来执行备份。如果您有复杂的备份需求,建议您为特定工作负载配置自己的备份方案政策。
问:如果创建的虚拟机位于不支持备份方案的其他区域,会怎么样?
答:如果虚拟机是在 Backup and DR 不支持的区域中创建的,则用户无法使用默认备份方案。
问:我可以通过组织政策停用此功能吗?
答:不可以,您无法使用组织政策停用此功能。如果您不打算保护虚拟机,请选择不备份选项。此外,您还可以在 Compute Engine 设置页面中自定义默认配置。
问:我需要哪些权限才能使用默认备份方案?
答:如果您在 IAM 设置中使用自定义角色,则需要具有 backupdr.serviceConfig.initialize 权限才能使用备份方案。如果您使用的是 Backup and DR 预定义角色(例如 Backup and DR Admin 或 Backup and DR User V2),则可以自动使用这些权限。如果您使用的是 computeAdmin 或 computeInstanceAdmin 角色,系统也会自动向这些角色添加相应权限。我们将添加到 roles/compute.admin、roles/compute.instanceAdmin 和 roles/compute.instanceAdmin.v1 角色的最终权限列表如下:
backupdr.backupPlans.useForComputeInstancebackupdr.serviceConfig.initializebackupdr.backupPlanAssociations.createForComputeInstancebackupdr.backupPlanAssociations.deleteForComputeInstancebackupdr.backupPlanAssociations.triggerBackupForComputeInstancebackupdr.backupPlanAssociations.listbackupdr.locations.list
问:如果我有其他问题,应该联系谁?
答:如果您有任何其他问题,请发送电子邮件至 gcbdr-default-backup-plans@google.com 与我们联系。