使用預設備份方案,保護新的 Compute Engine、Filestore 和 Cloud SQL 執行個體,以及 AlloyDB 叢集

總覽

本頁面說明 backup vault 備份的預設備份方案、優點、運作方式和限制。

備份和災難復原服務會使用備份方案,控管資料資源的備份時間和方式,以及備份的保留時間和安全性。您可以根據不同需求建立不同的備份方案,備份和災難復原服務也提供預設備份方案,保護 Compute Engine、Filestore 和 Cloud SQL 執行個體。

什麼是備份方案?

備份和災難復原服務預設備份方案總覽

預設備份方案與在 Google Cloud 控制台中建立的備份方案類似,可簡化保護 Compute Engine、Filestore 和 Cloud SQL 執行個體的方法。在專案中啟用備份和災難復原服務,並具備建立執行個體的必要權限時,您可以自動將預設備份方案套用至新執行個體。預設備份方案可免除透過備份和災難復原服務手動建立備份方案的需要,為執行個體建立基本防護等級。

預設備份方案設定

預設備份方案會每天建立備份。並將備份儲存於預設 backup vault 14 天,其中第一天不可變更。在接下來的 14 天內,備份資料可由授權使用者刪除。備份會在 14 天後自動刪除。

設定
備份時間表 每天 00:00 至 06:00 (區域當地時區)。
儲存空間 Compute Engine:在與來源執行個體相同的區域和專案中建立區域性保存庫。
Filestore:在與來源執行個體相同的區域和專案中建立區域性保存庫。
Cloud SQL:在相同專案中建立多區域保存庫 (適用於支援的來源區域);在相同專案中建立區域性保存庫 (適用於不支援多區域的來源區域)。
保留 14 天 (Cloud SQL 執行個體為 8 天)
強制保留期限 有一天

您可以在備份方案中修改備份時間表和儲存時間長度。

您可以編輯備份保存庫,修改強制保留期限。

如果預設備份方案不符合貴機構的需求,您可以在建立執行個體時選取其他方案,或選擇使用「不備份」選項停用備份功能。

預設備份方案的運作方式

建立新的 Compute Engine、Filestore 或 Cloud SQL 執行個體時,您可以指定執行個體要使用預設備份方案,或是建立新的備份方案並手動設定。如果選取預設備份方案選項,系統會在同一專案中自動建立預設備份儲存空間,並強制執行最短保留期限 (一天)。預設備份保存庫不會鎖定保留期限,但您可以修改最短保留期限,並啟用保留期限鎖定功能。如需操作說明,請參閱「更新現有備份保存庫的最短強制保留期限」。請注意,預設備份方案建立完畢後就無法修改,每個支援的區域只能為 Compute Engine 或 Filestore 執行個體套用一個預設備份方案。

預設備份方案會在工作負載當地時區的 00:00 至 06:00 之間,自動建立每日備份。這些備份會保留在預設 backup vault 14 天。預設備份方案的備份刪除政策為一天。

  • Compute Engine:預設備份方案名稱為 default-compute-instance-plan-<region>。每個支援的區域都有一個預設備份方案。

  • Filestore:預設備份方案名稱為 default-filestore-plan-<region>。每個支援的區域都有一個預設備份方案。

  • Cloud SQL:

    • 使用多區域 backup vault 的方案:專案中的方案,適用於 Cloud SQL 的支援多區域

      • Cloud SQL Enterprise Plus 版本執行個體:預設備份方案名為
        default-csql-instance-ep-plan-<region>-bv-<multi-region-vault-location>

      • Cloud SQL Enterprise 版執行個體:預設備份方案名為
        default-csql-instance-e-plan-<region>-bv-<multi-region-vault-location>

    • 使用區域 backup vault 的方案:專案中的方案,適用於不支援的多區域來源區域:

      • 如果是 Cloud SQL Enterprise Plus 版本執行個體,預設備份方案名稱為
        default-csql-instance-ep-plan-<region>

      • Cloud SQL Enterprise 版執行個體的預設備份方案名稱為
        default-csql-instance-e-plan-<region>

每個支援的區域都有一個預設備份方案。這項計畫可為區域中的所有相關聯執行個體提供相同保護。

預設備份方案僅適用於透過Google Cloud 控制台建立的新 Compute Engine、Filestore 和 Cloud SQL 執行個體。不會影響現有資源或其資料保護設定。如果您使用多區域永久磁碟快照保護執行個體,可以手動將保護設定為多區域備份保存庫。

限制

  • 如果執行個體是在備份和災難復原服務不支援的區域建立,就無法使用預設備份方案。
  • 您只能在 Compute Engine 執行個體所在的區域使用預設備份方案。
  • 每個區域只能套用一項預設備份方案。

新執行個體的預設備份方案

備份和災難復原服務會為透過Google Cloud 控制台建立的 Compute Engine、Filestore 和 Cloud SQL 執行個體提供預設備份方案。請參考以下重要須知:

新執行個體會受到什麼影響

如果專案已啟用備份和災難復原服務,且建立執行個體的使用者具備必要權限,透過 Google Cloud 控制台建立的新 Compute Engine、Filestore 和 Cloud SQL 執行個體,就會自動套用預設備份方案。

優點

預設備份方案:

  • 提升資料保護:預設備份方案可提升透過 Google Cloud 控制台建立的所有新執行個體保護基準。這麼做可將意外刪除、網路攻擊或其他無法預測的事件造成的資料遺失風險降到最低。
  • 簡化資料保護管理作業:系統會自動套用預設備份方案,因此您不必手動設定,從第一天起就能輕鬆保護執行個體。
  • 推廣最佳做法:這項異動有助於在整個 Google Cloud 環境中採用完善的資料保護措施。

這項強化功能可提升工作負載的基礎防護等級,讓您專注於業務的其他重要層面。

對現有執行個體的影響

這項異動不會影響現有執行個體或目前的資料保護設定。只有透過Google Cloud 控制台建立的新執行個體會受到影響。

使用自動化或 Terraform 建立的執行個體會受到什麼影響

使用 gcloud CLI、Terraform 或其他 API 建立的執行個體不會受到這項異動影響。

問:我可以選擇不使用預設備份方案嗎?

答:可以。在 Google Cloud 控制台建立執行個體時,您可以選擇停用或改用其他備份方案。這些選項位於新的「資料保護」分頁下方。將專案預設值設定為您選擇的值。

問:我使用備份和災難復原服務的標記式保護功能保護執行個體。這項保障會變更嗎?

答:不會,現有的備份和災難復原保護機制 (包括以標記為準的保護機制) 不會變動。這項更新只會影響透過 Google Cloud 控制台建立的新執行個體。以標記為準的保護機制 可判斷執行個體是否採用預設方案,且不會在套用標記後重複保護執行個體。如要使用以標記為準的保護措施,您必須將執行個體標示為「沒有備份」,並繼續標記執行個體。

問:我是否應使用預設方案,改用這項新保障計畫?

答:這取決於您的具體需求和目前設定。請考量以下幾點:

  • 易於使用:預設方案提供基本解決方案,可保護基本執行個體,每天備份並保留 14 天。

  • 自訂:如果預設方案不符合貴機構的需求,您可以在建立執行個體時選擇其他方案,或使用「不備份」選項選擇停用備份。

問:如果我使用多區域 Persistent Disk 快照保護執行個體,可能不希望新執行個體前往區域備份保存庫。如何避免這種情況?

答:您可以手動將保護機制設定為多區域 backup vault。

問:我是備份和災難復原客戶,但尚未保護 Compute Engine、Filestore 或 Cloud SQL 執行個體。這是否代表我的新執行個體會開始受到備份儲存空間保護?

答:可以。如果您透過 Google Cloud 控制台建立新執行個體,並啟用備份和災難復原服務,且具備必要權限,系統就會使用預設備份方案和相關聯的預設保存庫保護這些執行個體。如要使用其他備份方案,可以在建立執行個體時選取。如果不想透過這項新功能保護執行個體,請選取「沒有備份」選項。

問:與我目前的永久磁碟保護措施 (假設我使用快照) 相比,這個新的預設備份方案有何不同?

答:兩者都能保護資料,但主要差異如下:

  • 快照:個別磁碟備份,如果惡意行為人有權存取快照所在的專案,就容易遭到網路攻擊和惡意刪除。
  • 備份和災難復原:提供將備份儲存到 backup vault 的能力,防範勒索軟體攻擊和惡意刪除。您可以定義備份儲存空間的期限和強制保留期限。

問:我應該使用備份方案的預設保護功能嗎?

答:最終決定取決於貴機構的具體需求和偏好設定。預設備份方案可確保所有執行個體都受到基本保護,讓您安心無虞。您可以移除保護機制,改用永久磁碟快照,或在備份和災難復原服務中選擇其他備份方案來備份資料。如有複雜的備份需求,建議為特定工作負載設定專屬的備份計畫政策。

問:如果建立的執行個體位於備份方案不支援的區域,會發生什麼情況?

答:如果執行個體是在備份和災難復原服務不支援的區域建立,就無法使用預設備份方案。

問:我可以透過機構政策停用這項功能嗎?

答:不可以,您無法使用機構政策停用這項功能。如不打算保護資料資源,請選取「不備份」選項。此外,您也可以自訂預設設定。

問:使用預設備份方案需要哪些權限?

答:如果您在 IAM 設定中使用自訂角色,必須具備 backupdr.serviceConfig.initialize 權限才能使用備份計畫。如果您使用備份和災難復原服務的預先定義角色 (例如 Backup and DR AdminBackup and DR User V2),系統會自動提供權限供您使用。如果您使用 computeAdmincomputeInstanceAdmin 角色,系統也會自動將權限新增至這些角色。我們將新增至 roles/compute.adminroles/compute.instanceAdminroles/compute.instanceAdmin.v1 角色的最終權限清單如下:

  • backupdr.backupPlans.useForComputeInstance
  • backupdr.serviceConfig.initialize
  • backupdr.backupPlanAssociations.createForComputeInstance
  • backupdr.backupPlanAssociations.deleteForComputeInstance
  • backupdr.backupPlanAssociations.triggerBackupForComputeInstance
  • backupdr.backupPlanAssociations.list
  • backupdr.locations.list

問:如有其他問題,可以與誰聯絡?

答:如有其他問題,請傳送電子郵件至 gcbdr-default-backup-plans@google.com 與我們聯絡。