Le processus de sauvegarde géré par Google pour les instances Compute Engine consiste à envoyer des données vers un coffre-fort de sauvegarde. Ces coffres de sauvegarde offrent l'immuabilité et la conservation forcée. Vous pouvez choisir de stocker les sauvegardes dans une seule ou plusieurs régions.
Le modèle géré par Google est compatible avec deux méthodes d'exécution principales : les sauvegardes planifiées et les sauvegardes à la demande. Ce document vous explique comment configurer et gérer ces sauvegardes.
Présentation
L'envoi de sauvegardes vers un coffre de sauvegarde garantit leur immuabilité et leur conservation forcée. Un coffre de sauvegarde vous permet de stocker des sauvegardes dans une seule région ou dans plusieurs régions. Il existe deux méthodes principales pour sauvegarder les instances Compute Engine :
Utiliser la console Google Cloud pour sauvegarder des instances Compute Engine : dans la consoleGoogle Cloud , vous pouvez sauvegarder des instances Compute Engine dans un coffre de sauvegarde en appliquant des plans de sauvegarde. Vous pouvez sauvegarder vos données à l'aide de l'une des méthodes suivantes. Les deux méthodes vous permettent de stocker vos sauvegardes de manière sécurisée dans un coffre-fort de sauvegarde. Vous disposez ainsi d'un moyen fiable de récupérer vos instances Compute Engine en cas de perte de données ou d'autres événements inattendus.
Sauvegardes planifiées : sauvegardez automatiquement les instances Compute Engine à des intervalles spécifiques (par exemple, quotidiennement, hebdomadairement, mensuellement ou annuellement).
Sauvegardes à la demande : créez des sauvegardes à la demande quand vous en avez besoin. Les sauvegardes à la demande sont utiles pour créer des sauvegardes avant d'apporter des modifications importantes à vos instances ou pour la protection ponctuelle des données.
Utiliser la console de gestion pour sauvegarder les instances Compute Engine : si vous avez l'une des exigences de sauvegarde suivantes, vous pouvez utiliser la console de gestion pour sauvegarder les instances Compute Engine :
- Sauvegardes interrégionales
- Sauvegardes de disques spécifiques associés à une machine virtuelle (VM)
- Protection automatisée des VM Compute Engine basée sur des tags
- Si les plans de sauvegarde et les coffres-forts de sauvegarde basés sur la console Google Cloud ne se trouvent pas dans un emplacement compatible avec la région dans laquelle vos VM sources sont exécutées.
La console de gestion des appliances fait partie de Backup and DR pour les sauvegardes gérées par les appliances. Si vous devez utiliser la console de gestion des appliances, consultez Découvrir et protéger les instances Compute Engine depuis la console de gestion des appliances.
Avant de commencer
Activez l'API du service Backup and DR là où se trouvent les instances Compute Engine.
[Créez un plan de sauvegarde][2].
Attribuez des rôles et des autorisations IAM à l'utilisateur de sauvegarde.
Accordez l'accès au coffre de sauvegarde dans le projet Compute Engine.
Configurez Observability Analytics sur votre bucket pour surveiller les jobs de sauvegarde Backup and DR.
Configuration IAM
Pour configurer des sauvegardes planifiées ou exécuter des sauvegardes à la demande, un administrateur doit accorder les rôles IAM suivants sur le projet du coffre-fort de sauvegarde :
- Utilisateur de sauvegarde et de reprise après sinistre (
roles/backupdr.backupUser) - Lecteur (
roles/viewer)
Voici les autorisations spécifiques requises pour les opérations de sauvegarde gérées par Google :
backupdr.backupPlans.listbackupdr.backupPlanAssociations.createForComputeInstancebackupdr.backupPlanAssociations.listbackupdr.backupPlanAssociations.getbackupdr.backupPlanAssociations.triggerBackupForComputeInstancebackupdr.backupPlanAssociations.deleteForComputeInstancebackupdr.backupPlans.useForComputeInstancebackupdr.locations.listbackupdr.operations.getcloudasset.assets.searchAllResources
En plus des autorisations de restauration, l'utilisateur doit disposer des autorisations permettant d'afficher et de récupérer les métadonnées de sauvegarde :
backupdr.backupVaults.getbackupdr.backupVaults.listbackupdr.bvbackups.listbackupdr.bvbackups.getbackupdr.bvdataSources.listbackupdr.bvdataSources.get
Si l'instance Compute Engine réside dans un projet différent de celui du coffre de sauvegarde, vous devez accorder le rôle Opérateur Backup and DR Compute Engine (roles/backupdr.computeEngineOperator) à l'agent de service du coffre de sauvegarde dans le projet Compute Engine.
Le tableau suivant répertorie les autorisations requises pour chaque appel d'API :
| Ressource | Action à effectuer sur la ressource | Autorisations requises pour chaque appel d'API | Projet auquel il doit être attribué |
|---|---|---|---|
| Coffre de sauvegarde | Créer un coffre de sauvegarde | backupdr.backupVaults.create | Projet administrateur |
| Supprimer le Coffre de sauvegarde | backupdr.backupVaults.delete | Projet administrateur | |
| Mettre à jour le coffre de sauvegarde | backupdr.backupVaults.update | Projet administrateur | |
| Lister les coffres de sauvegarde | backupdr.backupVaults.list | Projet administrateur | |
| Obtenir BackupVault | backupdr.backupVaults.get | Projet administrateur | |
| Plan de sauvegarde | Create BackupPlan | backupdr.backupPlans.create | Projet administrateur |
| Delete BackupPlan | backupdr.backupPlans.delete | Projet administrateur | |
| Obtenir un BackupPlan | backupdr.backupPlans.get | Projet administrateur | |
| Lister les plans de sauvegarde | backupdr.backupPlans.list | Projet administrateur | |
| Associations de plans de sauvegarde | Créer une association de plan de sauvegarde | Projet de charge de travail | |
| backupdr.backupPlanAssociations.createForComputeInstance | Projet de charge de travail | ||
| backupdr.backupPlans.useForComputeInstance | Projet administrateur | ||
| Supprimer l'association du plan de sauvegarde | backupdr.backupPlanAssociations.deleteForComputeInstance | Projet de charge de travail | |
| Déclencher une sauvegarde à la demande sur l'association du plan de sauvegarde | backupdr.backupPlanAssociations.triggerBackupForComputeInstance | Projet de charge de travail | |
| Obtenir l'association du plan de sauvegarde | backupdr.backupPlanAssociations.getForComputeInstance | Projet de charge de travail | |
| Lister les associations de plans de sauvegarde | backupdr.backupPlanAssociations.list | Projet de charge de travail | |
| Récupérer les associations de plans de sauvegarde | backupdr.backupPlanAssociations.fetchForComputeInstance | Projet de charge de travail | |
| Source de données | Obtenir DataSource | backupdr.bvdataSources.get | Projet administrateur |
| Lister les sources de données | backupdr.backupPlanAssociations.list | Projet administrateur | |
| Sauvegardes | Obtenir une sauvegarde | backupdr.bvbackups.get | Projet administrateur |
| Lister les sauvegardes | backupdr.bvbackups.list | Projet administrateur | |
| Supprimer la sauvegarde | backupdr.bvbackups.delete | Projet administrateur | |
| Restaurer une sauvegarde | backupdr.bvbackups.restore | Projet administrateur | |
| Opérations | Répertorier les opérations | backupdr.operations.list | Projet concerné |
| Opérations Get | backupdr.operations.get | Projet concerné |
Contraintes et limites
Backup and DR n'est pas compatible avec les sauvegardes gérées par Google pour les instances Compute Engine qui utilisent les configurations suivantes :
- Instances auxquelles des disques persistants extrêmes sont associés
- Instances utilisant des types de disque hyperdisk-*
- Instances utilisant les types de machines C3D, H3, A3 ou Z3
- Instances avec des clés de chiffrement fournies par le client (CSEK)
- Instances sans disques associés
- Instances dont la taille dépasse 200 téraoctets (To)
Configurer une sauvegarde planifiée
Suivez les instructions ci-dessous pour configurer une sauvegarde planifiée pour les instances Compute Engine.
Console
Dans la console Google Cloud , accédez à la page Sauvegardes archivées.
Cliquez sur Programmer des sauvegardes.
Dans la liste Projets, cliquez sur Parcourir et sélectionnez un projet dans lequel se trouvent les instances Compute Engine.
Dans la liste Région, sélectionnez la région dans laquelle se trouvent vos instances.
Dans la liste Ressources, cliquez sur Parcourir.
Sélectionnez l'instance Compute Engine que vous souhaitez sauvegarder, puis cliquez sur OK.
Cliquez sur Continuer.
Dans la liste Plan de sauvegarde, cliquez sur Sélectionner.
Choisissez un plan de sauvegarde avec lequel vous souhaitez protéger l'instance Compute Engine.
Cliquez sur OK.
Vérifiez les détails de la sauvegarde, puis cliquez sur Programmer.
gcloud
Obtenez l'ID d'instance.
gcloud compute instances describe VM_NAME --zone=VM_ZONE --format="value(id)"Remplacez les éléments suivants :
VM_NAME: nom de l'instance de VMVM_ZONE: emplacement de la VM.
Configurez une sauvegarde planifiée.
gcloud backup-dr backup-plan-associations create BACKUP_PLAN_ASSOCIATION_NAME \ --location=VM_REGION \ --resource=projects/VM_PROJECT_ID/zones/VM_ZONE/instances/VM_ID \ --backup-plan=projects/PROJECT_ID/locations/LOCATION/backupPlans/BACKUP_PLANRemplacez les éléments suivants :
BACKUP_PLAN_ASSOCIATION_NAME: nom de l'association du plan de sauvegarde.VM_REGION: région dans laquelle se trouve l'instance Compute Engine.VM_PROJECT_ID: nom du projet dans lequel se trouvent les instances Compute Engine.VM_ZONE: zone dans laquelle se trouve l'instance Compute Engine.VM_ID: ID de l'instance Compute Engine.PROJECT_ID: nom du projet dans lequel les plans de sauvegarde existent.LOCATION: région où se trouvent vos plans de sauvegarde.BACKUP_PLAN: nom du plan de sauvegarde auquel vous souhaitez associer l'instance Compute Engine.
Terraform
Vous pouvez utiliser une ressource Terraform pour configurer une sauvegarde planifiée.
Cohérence des applications pour les sauvegardes Backup and DR Compute Engine
Les instantanés d'application cohérents capturent l'état des données d'application au moment de la sauvegarde, avec toutes les transactions d'application terminées et toutes les écritures en attente vidées sur le disque.
Suivez les instructions ci-dessous pour configurer des sauvegardes cohérentes avec les applications pour les instances Compute Engine.
Avant de commencer
Consultez Instantanés cohérents avec les applications.
Un plan de sauvegarde pour les sauvegardes d'instances cohérentes avec les applications dans un environnement Linux nécessite des scripts pré- et post-sauvegarde. Créez les scripts pré- et post-instantané nécessaires pour un environnement Linux.
Créer un plan de sauvegarde pour les sauvegardes cohérentes avec les applications sur les instances Compute Engine
Suivez les instructions ci-dessous pour créer des sauvegardes cohérentes avec les applications pour les instances Compute Engine.
gcloud
Créez le plan de sauvegarde.
gcloud backup-dr backup-plans create BACKUP_PLAN_NAME \ --compute-instance-properties=guest-flush=true \ --resource-type=compute.googleapis.com/Instance \ --location=REGION \ --project=PROJECT_ID \ --backup-vault=BACKUPVAULT_NAME \ --backup-rule=rule-id=RULE_NAME,recurrence=RECURRENCE,hourly-frequency=HOURS, \ time-zone=TIME_ZONE,backup-window-start=START_TIME,backup-window-end=END_TIME,\ retention-days=BACKUP_RETENTION --max-custom-on-demand-retention-days=MAX_ONDEMAND_RETENTIONRemplacez les éléments suivants :
BACKUP_PLAN_NAME: nom du plan de sauvegarde.REGION: région Google Cloud dans laquelle vous souhaitez créer le plan de sauvegarde.PROJECT_ID: nom du projet dans lequel se trouve le coffre-fort de sauvegarde.BACKUPVAULT_NAME: nom du coffre-fort de sauvegarde que vous souhaitez utiliser pour stocker les sauvegardes.RULE_NAME: nom de la règle de sauvegarde.RECURRENCE: fréquence à laquelle les sauvegardes doivent être créées. Celui-ci peut être horaire, quotidien, hebdomadaire, mensuel ou annuel.HOURS: fréquence des sauvegardes horaires. Spécifiez cette valeur uniquement si vous définissez la récurrence sur "toutes les heures". La valeur par défaut de la fréquence horaire minimale est de six heures.TIME_ZONE: fuseau horaire du plan de sauvegarde, tel que UTC. Utilisez le format fuseau horaire IANA pour inclure le fuseau horaire du plan de sauvegarde.START_TIME: l'heure de début correspond à l'heure du jour au format 24 heures. L'heure de début doit être antérieure à l'heure de fin et est incluse dans la période de sauvegarde.END_TIME: heure de fin de la journée au format 24 heures. L'heure de fin doit être postérieure à l'heure de début et est exclusive pour l'intervalle de sauvegarde.BACKUP_RETENTION: période de conservation de la sauvegarde. Notez que la période de conservation des sauvegardes doit être égale ou supérieure à la période de conservation minimale appliquée au coffre de sauvegarde.MAX_ONDEMAND_RETENTION: période de conservation personnalisée maximale autorisée (en jours) pour les sauvegardes à la demande créées à l'aide de ce plan de sauvegarde.
Mettre à jour un plan de sauvegarde existant pour les sauvegardes cohérentes avec les applications des instances Compute Engine
Suivez les instructions ci-dessous pour mettre à jour un plan de sauvegarde afin de produire des sauvegardes cohérentes avec les applications des instances Compute Engine.
gcloud
Mettez à jour le plan de sauvegarde.
gcloud backup-dr backup-plans update BACKUP_PLAN_NAME \ --compute-instance-properties=guest-flush=true \ --project=PROJECT_ID \ --location=REGION \ --description=DESCRIPTION \ --backup-rule=BACKUP_RULE \ --add-backup-rule=ADD_BACKUP_RULE \ --remove-backup-rule=REMOVE_BACKUP_RULE \ --max-custom-on-demand-retention-days=MAX_ONDEMAND_RETENTIONRemplacez les éléments suivants :
BACKUP_PLAN_NAME: nom du plan de sauvegarde.PROJECT_ID: nom du projet dans lequel se trouve le coffre-fort de sauvegarde.REGION: emplacement dans lequel vous souhaitez créer le plan de sauvegarde.DESCRIPTION: description mise à jour du plan de sauvegarde.BACKUP_RULE: définition complète d'une règle de sauvegarde existante avec des valeurs mises à jour.ADD_BACKUP_RULE: paramètres de la règle de sauvegarde à ajouter au plan de sauvegarde. Cet indicateur peut être répété pour ajouter d'autres règles de sauvegarde.REMOVE_BACKUP_RULE: règle de sauvegarde existante à supprimer du plan de sauvegarde.MAX_ONDEMAND_RETENTION: période de conservation personnalisée maximale autorisée (en jours) pour les sauvegardes à la demande créées à l'aide de ce plan de sauvegarde.
Modifier le plan de sauvegarde appliqué à une instance Compute Engine
Vous pouvez remplacer le plan de sauvegarde appliqué à une instance Compute Engine par un autre plan de sauvegarde. L'autre forfait de sauvegarde doit répondre aux critères suivants :
- Utiliser le même coffre de sauvegarde
- se trouver dans la même région que l'instance Compute Engine.
Suivez les instructions ci-dessous pour modifier le plan de sauvegarde associé à une instance Compute Engine.
Console
Dans la console Google Cloud , accédez à la page Sauvegardes archivées.
Accéder aux sauvegardes stockées dans un vault
La page Sauvegardes dans un coffre ne liste que les instances auxquelles des plans de sauvegarde ont été appliqués et dont les sauvegardes sont stockées dans un coffre de sauvegarde au sein d'un projet.
Sélectionnez la sauvegarde pour laquelle vous souhaitez changer de forfait. Sur la page d'informations de la sauvegarde ou dans le menu , sélectionnez Modifier le plan de sauvegarde. La fenêtre Sélectionner un plan de sauvegarde ne liste que les plans de sauvegarde valides pour cette instance.
Sélectionnez un forfait de sauvegarde, puis cliquez sur Appliquer.
gcloud
Modifier le plan de sauvegarde attribué
gcloud backup-dr backup-plan-associations update BACKUP_PLAN_ASSOCIATION_NAME \ --workload-project=VM_PROJECT_ID \ --location=VM_REGION \ --backup-plan=BACKUP-PLAN \ --project=PROJECT_IDRemplacez les éléments suivants :
BACKUP_PLAN_ASSOCIATION_NAME: nom de la ressource d'association du plan de sauvegarde.VM_PROJECT_ID: ID du projet de l'instance Compute Engine.VM_REGION: emplacement de l'instance Compute Engine.BACKUP_PLAN: nom du plan de sauvegarde vers lequel vous souhaitez passer.PROJECT_ID: ID du projet du plan de sauvegarde sélectionné.
Lister les sauvegardes planifiées
Suivez les instructions ci-dessous pour lister les instances Compute Engine sauvegardées.
Console
Dans la console Google Cloud , accédez à la page Sauvegardes archivées.
Accéder aux sauvegardes stockées dans un vault
La page Sauvegardes dans un coffre ne liste que les instances auxquelles des plans de sauvegarde ont été appliqués et dont les sauvegardes sont stockées dans un coffre de sauvegarde au sein d'un projet.
gcloud
Lister les sauvegardes planifiées.
gcloud backup-dr backup-plan-associations list \ --location=LOCATION \ --project=PROJECT_IDRemplacez les éléments suivants :
PROJECT_ID: nom du projet.LOCATION: emplacement des sauvegardes planifiées.
Créer une sauvegarde à la demande
Vous pouvez lancer une sauvegarde à la demande pour une instance Compute Engine avec un plan de sauvegarde en déclenchant l'exécution immédiate de la règle de sauvegarde de votre choix. Les sauvegardes à la demande ne capturent généralement que les données modifiées depuis la dernière sauvegarde (incrémentielles).
Lorsque vous créez une sauvegarde à la demande, vous pouvez choisir une règle du plan de sauvegarde associé à l'instance Compute Engine. Cette règle détermine quand la sauvegarde à la demande est supprimée. Vous pouvez vérifier l'état du job de sauvegarde sur la page Jobs. Pour en savoir plus, consultez Surveiller les jobs de sauvegarde et de restauration dans la console Google Cloud .
Suivez les instructions ci-dessous pour créer une sauvegarde à la demande.
Console
- Accédez à Instances de VM > Détails > Plan de sauvegarde pour créer une sauvegarde à la demande.
- Cliquez sur Créer une sauvegarde à la demande. Vous devez disposer des autorisations appropriées pour effectuer une sauvegarde à la demande.
Choisissez quand supprimer cette sauvegarde. Vous disposez des options suivantes :
- D'après une période de conservation personnalisée Par défaut, la limite est définie sur la période de conservation minimale appliquée au coffre de sauvegarde plus 30 jours. Pour définir une limite différente, ajoutez une période de conservation à la demande personnalisée maximale à votre plan de sauvegarde.
- D'après une règle de sauvegarde existante : Sélectionnez une règle dans le menu déroulant Supprimer les sauvegardes après.
Cliquez sur Créer pour démarrer la tâche de sauvegarde à la demande.
Pour afficher l'état du job de sauvegarde à la demande, cliquez sur Notifications.
gcloud
Créez une sauvegarde à la demande qui utilise une règle de sauvegarde.
gcloud backup-dr backup-plan-associations trigger-backup BACKUP_PLAN_ASSOCIATION_NAME \ --project=PROJECT_ID \ --location=REGION \ --backup-rule-id=RULE_ID --labels=LABELSRemplacez les éléments suivants :
BACKUP_PLAN_ASSOCIATION_NAME: nom de l'association du plan de sauvegarde. Exécutez la commandegcloud backup-dr backup-plan-associations list --location=LOCATION --project=PROJECT_IDpour obtenir la liste des plans de sauvegarde associés au disque Compute Engine.PROJECT_ID: nom du projet.REGION: emplacement des sauvegardes planifiées.RULE_ID: nom de la règle de sauvegarde que vous souhaitez associer pour exécuter des sauvegardes à la demande.LABELS: libellés facultatifs pour la sauvegarde sous forme de paires clé/valeur séparées par une virgule, telles quewebserver=backend,media=images.
Créez une sauvegarde à la demande qui utilise une période de conservation personnalisée.
gcloud backup-dr backup-plan-associations trigger-backup BACKUP_PLAN_ASSOCIATION_NAME \ --project=PROJECT_ID \ --location=REGION \ --custom-retention-days=CUSTOM_RETENTION --labels=LABELSRemplacez les éléments suivants :
BACKUP_PLAN_ASSOCIATION_NAME: nom de l'association du plan de sauvegarde. Exécutez la commandegcloud backup-dr backup-plan-associations list --location=LOCATION --project=PROJECT_IDpour obtenir la liste des plans de sauvegarde associés au disque Compute Engine.PROJECT_ID: nom du projet.REGION: emplacement des sauvegardes planifiées.CUSTOM_RETENTION: période de conservation personnalisée en jours pour cette sauvegarde à la demande. Cette valeur doit être supérieure ou égale à la durée de conservation du coffre de sauvegarde et inférieure ou égale à la valeurmax-custom-on-demand-retention-daysconfigurée dans le plan de sauvegarde (ou à la durée de conservation du coffre + 30 jours simax-custom-on-demand-retention-daysn'est pas configurée).LABELS: libellés facultatifs pour la sauvegarde sous forme de paires clé/valeur séparées par une virgule, telles quewebserver=backend,media=images.
Supprimer la protection d'une instance Compute Engine
Vous pouvez supprimer la protection d'une instance Compute Engine en supprimant le plan de sauvegarde appliqué à l'instance. La suppression d'un plan de sauvegarde d'une instance Compute Engine ne supprime pas le plan de sauvegarde ni les sauvegardes créées pendant l'utilisation de l'instance. Vous pourrez toujours accéder à ces sauvegardes existantes et les gérer.
Suivez les instructions ci-dessous pour supprimer la protection d'une instance Compute Engine.
Console
Dans la console Google Cloud , accédez à la page Sauvegardes archivées.
Cliquez sur le nom de l'instance pour laquelle vous souhaitez supprimer un plan de sauvegarde.
Sélectionnez Supprimer le plan de sauvegarde.
gcloud
Dissocier une instance Compute Engine
gcloud backup-dr backup-plan-associations delete BACKUP_PLAN_ASSOCIATION_NAME\ --project=PROJECT_ID \ --location=LOCATIONRemplacez les éléments suivants :
BACKUP_PLAN_ASSOCIATION_NAME: nom de la sauvegarde que vous souhaitez supprimer.PROJECT_ID: nom du projet.LOCATION: emplacement de la sauvegarde planifiée.
Étapes suivantes
- Gérer les sources de données dans la console Google Cloud
- Gérer les sauvegardes dans la console Google Cloud