本頁說明保存資源的預設備份方案、優點、運作方式和限制。
備份和災難復原服務會使用備份方案,控管資料資源的備份時間和方式,以及備份的保留時間和安全性。您可以根據不同需求建立不同的備份方案,備份和災難復原服務也提供預設備份方案,保護 Compute Engine 和 Cloud SQL 執行個體。
備份和災難復原服務預設備份方案總覽
預設備份方案與在 Google Cloud 控制台中建立的備份方案類似,可簡化保護 Compute Engine 和 Cloud SQL 執行個體的方法。在專案中啟用 Backup and DR 服務,並具備建立 VM 的必要權限後,預設備份方案就會自動套用至新的 Compute Engine 或 Cloud SQL 執行個體。預設備份方案可免除透過備份和災難復原服務手動建立備份方案的需要,為 VM 建立基本防護等級。
預設備份方案設定
預設備份方案會每天建立備份。並將備份儲存於預設 backup vault 14 天,其中第一天不可變更。在接下來的 14 天內,備份資料可由授權使用者刪除。備份會在 14 天後自動刪除。
| 設定 | 值 |
|---|---|
| 備份時間表 | 每天 00:00 至 06:00 (區域當地時區)。 |
| 儲存空間 | 預設 backup vault |
| 保留 | 14 天 |
| 強制保留期限 | 有一天 |
您可以在備份方案中修改備份時間表和儲存時間長度。
您可以編輯備份保存庫,修改強制保留期限。
如果預設備份方案不符合貴機構的需求,您可以在建立 VM 時選取其他方案,也可以選擇使用「不備份」選項停用備份功能。
優點
預設備份方案具有下列優點:
- 提升資料保護力:預設備份方案可提高透過 Google Cloud 控制台建立的所有新 VM 的基本保護等級。這麼做可將意外刪除、網路攻擊或其他無法預測的事件,造成資料遺失的風險降到最低。
- 簡化資料保護管理:系統會自動套用預設備份計畫,因此您不必手動設定,從一開始就能輕鬆保護 VM。
- 採用最佳做法:預設備份計畫可為整個 Google Cloud 環境提供完善的資料保護。
Compute Engine 和 Cloud SQL 執行個體的預設備份方案運作方式
建立新的 Compute Engine 執行個體時,您可以指定要讓 Compute Engine 執行個體使用預設備份計畫,或是建立新的備份計畫並手動設定。如果保留預設備份方案選項,系統會在同一專案中自動建立預設備份 vault,並強制保留至少一天。預設 backup vault 不會鎖定保留期限,但您可以修改最短保留期限,並啟用保留鎖定功能。如需操作說明,請參閱「更新現有備份保存庫的最短強制保留期限」。請注意,預設備份方案建立完畢後就無法修改,每個支援的區域只能為 Compute Engine 執行個體套用一個預設備份方案。
預設備份方案會在工作負載所在時區的 00:00 至 06:00,自動建立每日備份。備份會保留在預設 backup vault 14 天。預設備份方案的備份刪除政策為一天。
預設備份方案的名稱為「預設備份方案」default-compute-instance-plan-<region>。每個支援的區域都有一個預設備份方案。這個方案會為區域中所有相關聯的 Compute Engine 和 Cloud SQL 執行個體提供相同防護。
預設備份方案僅適用於透過 Google Cloud 控制台建立的新 Compute Engine 和 Cloud SQL 執行個體。不會影響現有 VM 或其資料保護設定。如果您使用多區域永久磁碟快照保護 VM,可以手動將保護設定為多區域備份保存庫。
限制
- 如果 VM 是在備份和災難復原服務不支援的區域中建立,就無法使用預設備份方案。
- 您只能在 Compute Engine 執行個體所在的相同區域中使用預設備份方案。
- 每個區域只能套用一項預設備份方案。
新 Compute Engine 虛擬機器的預設備份方案
備份和災難復原服務會為透過 Google Cloud 控制台建立的 Compute Engine 和 Cloud SQL 執行個體提供預設備份方案。請參考以下重要須知:
新 Compute Engine 和 Cloud SQL 執行個體受到的影響
如果專案已啟用 Backup and DR 服務,且建立 VM 的使用者具備必要權限,透過 Google Cloud 控制台建立的新 Compute Engine 和 Cloud SQL 執行個體就會自動套用預設備份方案。
優點
我們瞭解保護 Compute Engine 中寶貴資料和工作負載的重要性。這項異動的目的是:
- 提升資料保護力:預設備份方案可提升透過 Google Cloud 控制台建立的所有新 VM 的基本保護等級。這麼做可將意外刪除、網路攻擊或其他無法預測的事件造成的資料遺失風險降到最低。
- 簡化資料保護管理作業:系統會自動套用預設備份計畫,因此您不必手動設定,從第一天起就能輕鬆保護 VM。
- 宣導最佳做法:這項異動有助於在 Google Cloud 環境中採用完善的資料保護措施。
這項強化功能可提升工作負載的基礎防護層級,讓您專注於業務的其他重要層面。
對現有 VM 的影響
這項異動不會影響現有 VM 或目前的資料保護設定。只有透過Google Cloud 控制台建立的新 VM 會受到影響。
使用自動化或 Terraform 建立的 VM 會受到什麼影響
使用 Google Cloud CLI、Terraform 或其他 API 建立的 VM 不會受到這項異動影響。
問:我可以選擇不使用預設備份方案嗎?
答:可以。在 Google Cloud 控制台中建立 VM 時,您可以選擇停用或改用其他備份方案。這些選項位於新的「資料保護」分頁下方。將專案預設值設定為您選擇的值。
答:不會。現有的備份和災難復原保護機制 (包括以標記為基礎的保護機制) 不會變動。這項更新只會影響透過 Google Cloud 控制台建立的新 VM。以標記為基礎的保護機制可以判斷 VM 是否有預設方案,且不會在套用標記時重複保護執行個體。如要使用以標記為準的保護機制,您必須將 VM 標示為「沒有備份」,並繼續標記 VM。
問:我是否需要採取任何行動,確保現有的備份和災難復原保護措施維持不變?
答:您不需要採取任何行動。現有 VM 和相關聯的備份設定不會自動修改。
問:我是否應使用預設方案,改用這項新保障計畫?
答:這取決於您的具體需求和目前設定。請考量以下幾點:
- 易於使用:預設方案提供基本的 VM 保護解決方案,每天備份並保留 14 天。
- 自訂:如果預設方案不符合貴機構的需求,您可以在建立 VM 時選擇其他方案,或使用「不備份」選項選擇停用。
問:如果我使用多區域永久磁碟快照保護 VM,可能不希望新的 VM 移至區域備份 vault。如何確保?
答:您可以手動將保護設定為多區域備份儲存空間。
問:我是 Backup and DR 客戶,但未保護 VM (例如只保護資料庫)。這是否表示新的 VM 會開始受到備份保存庫保護?
答:可以。如果您透過 Google Cloud 控制台建立新的 VM,並啟用備份和災難復原服務,且具備必要權限,系統就會使用預設備份方案和相關聯的預設保存庫保護這些 VM。如要使用其他備份方案,可以在建立 VM 時選取。如果不想透過這項新功能保護 VM,請選取「沒有備份」選項。
問:與我目前的永久磁碟保護措施 (假設我使用快照) 相比,這項新的預設備份方案有何不同?
答:兩者都能保護資料,但主要差異如下:
- 快照:個別磁碟備份,如果惡意行為人有權存取快照所在的專案,快照就容易遭到網路攻擊和惡意刪除。
- 備份和災難復原:可將備份儲存到 backup vault,防範勒索軟體攻擊和惡意刪除行為。您可以定義備份儲存空間的期限和強制保留期限。
問:我應該使用備份方案的預設保護措施嗎?
答:最終決定取決於貴機構的具體需求和偏好設定。預設備份計畫可確保所有 VM 都有基本防護等級,讓您安心無虞。您可以移除保護措施並改用永久磁碟快照,或在備份和災難復原服務中選擇其他備份方案來備份資料。如有複雜的備份需求,建議您為特定工作負載設定專屬的備份計畫政策。
問:如果建立的 VM 位於備份方案不支援的區域,會發生什麼情況?
答:如果 VM 是在備份和災難復原服務不支援的區域中建立,使用者就無法使用預設備份方案。
問:我可以透過機構政策停用這項功能嗎?
答:否,您無法使用機構政策停用這項功能。如果您不想保護 VM,請選取「不備份」選項。此外,您可以在 Compute Engine 設定頁面中自訂預設設定。
問:使用預設備份方案需要哪些權限?
答:如果您在 IAM 設定中使用自訂角色,必須具備 backupdr.serviceConfig.initialize 權限才能使用備份計畫。如果您使用備份和災難復原預先定義的角色 (例如 Backup and DR Admin 或 Backup and DR User V2),系統會自動提供權限供您使用。如果您使用 computeAdmin 或 computeInstanceAdmin 角色,系統也會自動將權限新增至這些角色。我們將新增至 roles/compute.admin、roles/compute.instanceAdmin 和 roles/compute.instanceAdmin.v1 角色的最終權限清單如下:
backupdr.backupPlans.useForComputeInstancebackupdr.serviceConfig.initializebackupdr.backupPlanAssociations.createForComputeInstancebackupdr.backupPlanAssociations.deleteForComputeInstancebackupdr.backupPlanAssociations.triggerBackupForComputeInstancebackupdr.backupPlanAssociations.listbackupdr.locations.list
問:如有其他問題,可以與誰聯絡?
答:如有其他問題,請來信至 gcbdr-default-backup-plans@google.com。