Crea copias de seguridad de las instancias de Compute Engine

El proceso de copia de seguridad administrado por Google para las instancias de Compute Engine implica el envío de datos a una bóveda de copias de seguridad. Estas backup vaults proporcionan inmutabilidad y retención obligatoria. Puedes elegir almacenar copias de seguridad en una sola región o en varias.

El modelo administrado por Google admite dos métodos de ejecución principales: copias de seguridad programadas y copias de seguridad a pedido. En este documento, se muestra cómo configurar y administrar estas copias de seguridad.

Descripción general

El envío de copias de seguridad a una backup vault proporciona inmutabilidad y retención forzada. Con una backup vault, puedes almacenar copias de seguridad en una sola región o en varias. Existen dos métodos principales para crear copias de seguridad de las instancias de Compute Engine:

  • Usa la consola de Google Cloud para crear copias de seguridad de las instancias de Compute Engine: En la consola deGoogle Cloud , puedes crear copias de seguridad de las instancias de Compute Engine en un depósito de copias de seguridad aplicando planes de copias de seguridad. Puedes crear copias de seguridad de tus datos con cualquiera de los siguientes métodos. Ambos métodos te permiten almacenar tus copias de seguridad de forma segura en una bóveda de copias de seguridad, lo que proporciona una forma confiable de recuperar tus instancias de Compute Engine en caso de pérdida de datos o de otros eventos inesperados.

    • Copias de seguridad programadas: Crea copias de seguridad automáticamente de las instancias de Compute Engine en intervalos específicos, como diarios, semanales, mensuales o anuales.

    • Copias de seguridad a pedido: Crea copias de seguridad a pedido cuando sea necesario. Las copias de seguridad bajo demanda son útiles para crear copias de seguridad antes de realizar cambios significativos en tus instancias o para la protección de datos ad hoc.

  • Usa la consola de administración para crear copias de seguridad de las instancias de Compute Engine: Si tienes alguno de los siguientes requisitos de copias de seguridad, puedes usar la consola de administración para crear copias de seguridad de las instancias de Compute Engine:

    • Copias de seguridad entre regiones
    • Copias de seguridad de discos específicos conectados a una máquina virtual (VM)
    • Protección automatizada de VMs de Compute Engine según etiquetas
    • Si los Google Cloud planes de copias de seguridad y los almacenes de copias de seguridad basados en la consola no se encuentran en una ubicación compatible con la región en la que se ejecutan tus VMs de origen

La consola de administración de dispositivos forma parte de Backup and DR para las copias de seguridad administradas por dispositivos. Si debes usar la consola de administración del dispositivo, consulta Cómo detectar y proteger instancias de Compute Engine desde la consola de administración del dispositivo.

Antes de comenzar

  1. Habilita la API del servicio Backup and DR en la ubicación de las instancias de Compute Engine.

    Habilitar la API

  2. Crea una backup vault.

  3. [Crea un plan de copias de seguridad][2].

  4. Asigna roles y permisos de IAM al usuario de la copia de seguridad.

  5. Otorga acceso al almacén de copias de seguridad en el proyecto de Compute Engine.

  6. Configura Observability Analytics en tu bucket para supervisar los trabajos de copia de seguridad de Backup and DR.

Configuración de IAM

Para configurar copias de seguridad programadas o ejecutar copias de seguridad a pedido, un administrador debe otorgar los siguientes roles de IAM en el proyecto de la bóveda de copias de seguridad:

  • Usuario que aplica Backup and DR (roles/backupdr.backupUser)
  • Visualizador (roles/viewer)

Los permisos específicos necesarios para las operaciones de copias de seguridad administradas por Google incluyen los siguientes:

  • backupdr.backupPlans.list
  • backupdr.backupPlanAssociations.createForComputeInstance
  • backupdr.backupPlanAssociations.list
  • backupdr.backupPlanAssociations.get
  • backupdr.backupPlanAssociations.triggerBackupForComputeInstance
  • backupdr.backupPlanAssociations.deleteForComputeInstance
  • backupdr.backupPlans.useForComputeInstance
  • backupdr.locations.list
  • backupdr.operations.get
  • cloudasset.assets.searchAllResources

Además de los permisos de restauración, el usuario debe tener permisos para ver y recuperar los metadatos de la copia de seguridad:

  • backupdr.backupVaults.get
  • backupdr.backupVaults.list
  • backupdr.bvbackups.list
  • backupdr.bvbackups.get
  • backupdr.bvdataSources.list
  • backupdr.bvdataSources.get

Si la instancia de Compute Engine reside en un proyecto diferente del almacén de copias de seguridad, debes otorgar el rol de operador de Compute Engine de Backup and DR (roles/backupdr.computeEngineOperator) al agente de servicio del almacén de copias de seguridad dentro del proyecto de Compute Engine.

En la siguiente tabla, se enumeran los permisos necesarios para cada llamada a la API:

Recurso Acción que se realizará en el recurso Permisos necesarios para cada llamada a la API Proyecto en el que se debe asignar
Backup vault Crea un BackupVault backupdr.backupVaults.create Proyecto del administrador
Borra un BackupVault backupdr.backupVaults.delete Proyecto del administrador
Actualiza BackupVault backupdr.backupVaults.update Proyecto del administrador
Enumera BackupVaults backupdr.backupVaults.list Proyecto del administrador
Obtener BackupVault backupdr.backupVaults.get Proyecto del administrador
Plan de creación de copias de seguridad Crea un BackupPlan backupdr.backupPlans.create Proyecto del administrador
Borra un BackupPlan. backupdr.backupPlans.delete Proyecto del administrador
Obtén BackupPlan backupdr.backupPlans.get Proyecto del administrador
Enumera los planes de copias de seguridad backupdr.backupPlans.list Proyecto del administrador
Asociaciones del plan de copias de seguridad Crea la asociación del plan de copias de seguridad Proyecto de carga de trabajo
backupdr.backupPlanAssociations.createForComputeInstance Proyecto de carga de trabajo
backupdr.backupPlans.useForComputeInstance Proyecto del administrador
Borra la asociación del plan de copias de seguridad backupdr.backupPlanAssociations.deleteForComputeInstance Proyecto de carga de trabajo
Activa una copia de seguridad a pedido en la asociación del plan de copias de seguridad backupdr.backupPlanAssociations.triggerBackupForComputeInstance Proyecto de carga de trabajo
Obtén la asociación del plan de copia de seguridad backupdr.backupPlanAssociations.getForComputeInstance Proyecto de carga de trabajo
Enumera las asociaciones del plan de copias de seguridad backupdr.backupPlanAssociations.list Proyecto de carga de trabajo
Recupera las asociaciones del plan de copia de seguridad backupdr.backupPlanAssociations.fetchForComputeInstance Proyecto de carga de trabajo
Fuente de datos Get DataSource backupdr.bvdataSources.get Proyecto del administrador
Enumera DataSources backupdr.backupPlanAssociations.list Proyecto del administrador
Copias de seguridad Obtener copia de seguridad backupdr.bvbackups.get Proyecto del administrador
Enumera las copias de seguridad backupdr.bvbackups.list Proyecto del administrador
Borrar copia de seguridad backupdr.bvbackups.delete Proyecto del administrador
Restaurar copia de seguridad backupdr.bvbackups.restore Proyecto del administrador
Operaciones Enumerar operaciones backupdr.operations.list Proyecto respectivo
Operaciones Get backupdr.operations.get Proyecto respectivo

Restricciones y limitaciones

Backup and DR no admite copias de seguridad administradas por Google para instancias de Compute Engine que usan las siguientes configuraciones:

  • Instancias con discos persistentes extremos conectados
  • Instancias que usan cualquier tipo de disco hyperdisk-*
  • Instancias que usan tipos de máquinas C3D, H3, A3 o Z3
  • Instancias con claves de encriptación proporcionadas por el cliente (CSEK)
  • Instancias que no tienen discos conectados
  • Instancias que superan los 200 terabytes (TB) de tamaño

Configura una copia de seguridad programada

Sigue estas instrucciones para configurar una copia de seguridad programada para las instancias de Compute Engine.

Console

  1. En la consola de Google Cloud , ve a la página Copias de seguridad almacenadas en vault.

    Ir a Copias de seguridad almacenadas en vault

  2. Haz clic en Programar copias de seguridad.

  3. En la lista Proyectos, haz clic en Explorar y selecciona un proyecto en el que se encuentren las instancias de Compute Engine.

  4. En la lista Región, selecciona la región en la que se encuentran tus instancias.

  5. En la lista Recursos, haz clic en Explorar.

  6. Elige la instancia de Compute Engine de la que deseas crear una copia de seguridad y haz clic en Listo.

  7. Haz clic en Continuar.

  8. En la lista Plan de copia de seguridad, haz clic en Seleccionar.

  9. Elige un plan de copias de seguridad con el que quieras proteger la instancia de Compute Engine.

  10. Haz clic en Listo.

  11. Revisa los detalles de la copia de seguridad y haz clic en Programar.

gcloud

  1. Obtén el ID de la instancia.

      gcloud compute instances describe VM_NAME --zone=VM_ZONE --format="value(id)"

    Reemplaza lo siguiente:

    • VM_NAME: El nombre de la instancia de VM
    • VM_ZONE: Es la ubicación en la que se encuentra la VM.

  2. Configura una copia de seguridad programada.

      gcloud backup-dr backup-plan-associations create BACKUP_PLAN_ASSOCIATION_NAME \
  --location=VM_REGION \
  --resource=projects/VM_PROJECT_ID/zones/VM_ZONE/instances/VM_ID \
  --backup-plan=projects/PROJECT_ID/locations/LOCATION/backupPlans/BACKUP_PLAN

    Reemplaza lo siguiente:

    • BACKUP_PLAN_ASSOCIATION_NAME: Es el nombre de la asociación del plan de copia de seguridad.
    • VM_REGION: Es la región en la que se encuentra la instancia de Compute Engine.
    • VM_PROJECT_ID: Es el nombre del proyecto en el que se encuentran las instancias de Compute Engine.
    • VM_ZONE: Es la zona en la que se encuentra la instancia de Compute Engine.
    • VM_ID: Es el ID de la instancia de Compute Engine.
    • PROJECT_ID: Es el nombre del proyecto en el que existen planes de copia de seguridad.
    • LOCATION: Es la región en la que existen tus planes de copias de seguridad.
    • BACKUP_PLAN: Es el nombre del plan de copia de seguridad con el que deseas asociar la instancia de Compute Engine.

Terraform

Puedes usar un recurso de Terraform para configurar una copia de seguridad programada.


# Before creating a backup plan association, you need to create backup plan (google_backup_dr_backup_plan)
# and compute instance (google_compute_instance).
resource "google_backup_dr_backup_plan_association" "default" {
  provider                   = google-beta
  location                   = "us-central1"
  backup_plan_association_id = "my-bpa"
  resource                   = google_compute_instance.default.id
  resource_type              = "compute.googleapis.com/Instance"
  backup_plan                = google_backup_dr_backup_plan.default.name
}

Coherencia de las aplicaciones para las copias de seguridad de Compute Engine de Backup and DR

Las instantáneas coherentes de aplicación capturan el estado de los datos de aplicación en el momento en que se realizó la copia de seguridad con todas las transacciones de la aplicación completadas y todas las escrituras pendientes vaciadas al disco.

Sigue estas instrucciones para configurar copias de seguridad coherentes con las aplicaciones para las instancias de Compute Engine.

Antes de comenzar

  1. Lee Instantáneas coherentes con la aplicación.

  2. Un plan de copias de seguridad para copias de seguridad de instancias coherentes con la aplicación en un entorno de Linux requiere secuencias de comandos previas y posteriores. Crea las secuencias de comandos previas y posteriores a la instantánea necesarias para un entorno de Linux.

Crea un plan de copias de seguridad coherentes con las aplicaciones en instancias de Compute Engine

Sigue estas instrucciones para crear copias de seguridad coherentes con las aplicaciones para las instancias de Compute Engine.

gcloud

  1. Crea el plan de copias de seguridad.

    gcloud backup-dr backup-plans create BACKUP_PLAN_NAME \
--compute-instance-properties=guest-flush=true \
--resource-type=compute.googleapis.com/Instance \
--location=REGION \
--project=PROJECT_ID \
--backup-vault=BACKUPVAULT_NAME \
--backup-rule=rule-id=RULE_NAME,recurrence=RECURRENCE,hourly-frequency=HOURS, \
time-zone=TIME_ZONE,backup-window-start=START_TIME,backup-window-end=END_TIME,\
retention-days=BACKUP_RETENTION --max-custom-on-demand-retention-days=MAX_ONDEMAND_RETENTION

    Reemplaza lo siguiente:

    • BACKUP_PLAN_NAME: El nombre del plan de copia de seguridad.
    • REGION: La Google Cloud región en la que deseas crear el plan de copia de seguridad.
    • PROJECT_ID: Es el nombre del proyecto en el que reside la bóveda de copias de seguridad.
    • BACKUPVAULT_NAME: Es el nombre de la backup vault que deseas usar para el almacenamiento de copias de seguridad.
    • RULE_NAME: Es el nombre de la regla de copia de seguridad.
    • RECURRENCE: Es la frecuencia con la que se crearán las copias de seguridad. Puede ser por hora, día, semana, mes o año.
    • HOURS: Es la frecuencia de las copias de seguridad por hora. Especifica este valor solo si estableces la recurrencia por hora. El valor predeterminado de la frecuencia horaria mínima es de seis horas.
    • TIME_ZONE: Es la zona horaria del plan de copia de seguridad, como UTC. Usa el formato de zona horaria de IANA para incluir la zona horaria del plan de copias de seguridad.
    • START_TIME: La hora de inicio es la hora del día en formato de 24 horas. La hora de inicio debe ser anterior a la de finalización y se incluye en el período de copia de seguridad.
    • END_TIME: La hora de finalización es la hora del día en formato de 24 horas. La hora de finalización debe ser posterior a la de inicio y es exclusiva para el período de copia de seguridad.
    • BACKUP_RETENTION: Es el período de retención de la copia de seguridad. Ten en cuenta que el período de retención de copias de seguridad debe ser igual o mayor que el período de retención mínimo aplicado de la backup vault.
    • MAX_ONDEMAND_RETENTION: Es el período de retención personalizado máximo permitido (en días) para las copias de seguridad según demanda creadas con este plan de copias de seguridad.

Actualiza un plan de copias de seguridad existente para copias de seguridad coherentes con las aplicaciones de instancias de Compute Engine

Usa las siguientes instrucciones para actualizar un plan de copias de seguridad y producir copias de seguridad coherentes con las aplicaciones de las instancias de Compute Engine.

gcloud

  1. Actualiza el plan de copia de seguridad.

    gcloud backup-dr backup-plans update BACKUP_PLAN_NAME \
--compute-instance-properties=guest-flush=true \
--project=PROJECT_ID \
--location=REGION \
--description=DESCRIPTION \
--backup-rule=BACKUP_RULE \
--add-backup-rule=ADD_BACKUP_RULE \
--remove-backup-rule=REMOVE_BACKUP_RULE \
--max-custom-on-demand-retention-days=MAX_ONDEMAND_RETENTION

    Reemplaza lo siguiente:

    • BACKUP_PLAN_NAME: El nombre del plan de copia de seguridad.
    • PROJECT_ID: Es el nombre del proyecto en el que reside la bóveda de copias de seguridad.
    • REGION: Es la ubicación en la que deseas crear el plan de copia de seguridad.
    • DESCRIPTION: Es la descripción actualizada del plan de copia de seguridad.
    • BACKUP_RULE: Es la definición completa de una regla de copia de seguridad existente con valores actualizados.
    • ADD_BACKUP_RULE: Son los parámetros de la regla de copia de seguridad que se agregarán al plan de copia de seguridad. Esta marca se puede repetir para agregar más reglas de copia de seguridad.
    • REMOVE_BACKUP_RULE: Es la regla de copia de seguridad existente que se quitará del plan de copia de seguridad.
    • MAX_ONDEMAND_RETENTION: Es el período de retención personalizado máximo permitido (en días) para las copias de seguridad según demanda creadas con este plan de copias de seguridad.

Cambia el plan de copias de seguridad aplicado a una instancia de Compute Engine

Puedes cambiar el plan de copia de seguridad aplicado a una instancia de Compute Engine por otro plan. El otro plan de copias de seguridad debe cumplir con los siguientes criterios:

  • Usar la misma bóveda de copias de seguridad
  • Estar en la misma región que la instancia de Compute Engine

Sigue estas instrucciones para cambiar el plan de copias de seguridad asociado a una instancia de Compute Engine.

Console

  1. En la consola de Google Cloud , ve a la página Copias de seguridad almacenadas en vault.

    Ir a Copias de seguridad almacenadas en vault

    En la página Copias de seguridad en la bóveda, solo se enumeran las instancias que tienen planes de copias de seguridad aplicados y sus copias de seguridad almacenadas en una backup vault dentro de un proyecto.

  2. Selecciona la copia de seguridad que tendrá un plan diferente. En la página de detalles de la copia de seguridad o en el menú , selecciona Cambiar plan de copia de seguridad. En la ventana Selecciona un plan de copias de seguridad, solo se muestran los planes de copias de seguridad que son válidos para esta instancia.

  3. Selecciona un plan de copia de seguridad y haz clic en Aplicar.

gcloud

  • Cambiar el plan de copias de seguridad asignado

      gcloud backup-dr backup-plan-associations update BACKUP_PLAN_ASSOCIATION_NAME \
  --workload-project=VM_PROJECT_ID \
  --location=VM_REGION \
  --backup-plan=BACKUP-PLAN \
  --project=PROJECT_ID

    Reemplaza lo siguiente:

    • BACKUP_PLAN_ASSOCIATION_NAME: Es el nombre del recurso de asociación del plan de copia de seguridad.
    • VM_PROJECT_ID: Es el ID del proyecto de la instancia de Compute Engine.
    • VM_REGION: Es la ubicación de la instancia de Compute Engine.
    • BACKUP_PLAN: Es el nombre del plan de copia de seguridad al que cambiarás.
    • PROJECT_ID: Es el ID del proyecto del plan de copia de seguridad seleccionado.

Enumera las copias de seguridad programadas

Sigue estas instrucciones para enumerar las instancias de Compute Engine de las que se creó una copia de seguridad.

Console

  1. En la consola de Google Cloud , ve a la página Copias de seguridad almacenadas en vault.

    Ir a Copias de seguridad almacenadas en vault

    En la página Copias de seguridad en la bóveda, solo se enumeran las instancias que tienen planes de copias de seguridad aplicados y sus copias de seguridad almacenadas en una backup vault dentro de un proyecto.

gcloud

  1. Enumera las copias de seguridad programadas.

      gcloud backup-dr backup-plan-associations list \
  --location=LOCATION \
  --project=PROJECT_ID

    Reemplaza lo siguiente:

    • PROJECT_ID: el nombre del proyecto.
    • LOCATION: Es la ubicación de las copias de seguridad programadas.

Crea una copia de seguridad según demanda

Puedes iniciar una copia de seguridad a pedido para una instancia de Compute Engine con un plan de copias de seguridad. Para ello, activa la regla de copia de seguridad que elijas para que se ejecute de inmediato. Por lo general, las copias de seguridad bajo demanda solo capturan los datos que cambiaron desde la última copia de seguridad (incrementales).

Cuando creas una copia de seguridad bajo demanda, puedes elegir una regla del plan de copia de seguridad asociado a la instancia de Compute Engine. Esta regla determina cuándo se borrará la copia de seguridad a pedido. Puedes verificar el estado del trabajo de copia de seguridad en la página Trabajos. Para obtener más información, consulta Supervisa los trabajos de copia de seguridad y restablecimiento en la consola de Google Cloud .

Sigue estas instrucciones para crear una copia de seguridad bajo demanda.

Console

  1. Ve a Instancias de VM > Detalles > Plan de copia de seguridad para crear una copia de seguridad a pedido.
  2. Haz clic en Crear copia de seguridad a pedido. Debes tener los permisos correctos para crear una copia de seguridad según demanda.

  3. Elige cuándo borrar esta copia de seguridad. Tienes las siguientes opciones:

    • Según el período de retención personalizado De forma predeterminada, el límite se establece como el período de retención mínimo aplicado de la vault de copias de seguridad más 30 días. Para establecer un límite diferente, agrega un período de retención máximo personalizado bajo demanda a tu plan de copias de seguridad.
    • Según una regla de copia de seguridad existente Selecciona una regla en el menú desplegable Borrar copias de seguridad después de.

  4. Haz clic en Crear para iniciar el trabajo de copia de seguridad según demanda.

  5. Para ver el estado del trabajo de copia de seguridad a pedido, haz clic en Notificaciones.

gcloud

  • Crea una copia de seguridad según demanda que use una regla de copia de seguridad.

      gcloud backup-dr backup-plan-associations trigger-backup BACKUP_PLAN_ASSOCIATION_NAME \
  --project=PROJECT_ID \
  --location=REGION \
  --backup-rule-id=RULE_ID
  --labels=LABELS

    Reemplaza lo siguiente:

    • BACKUP_PLAN_ASSOCIATION_NAME: Es el nombre de la asociación del plan de copia de seguridad. Ejecuta el comando gcloud backup-dr backup-plan-associations list --location=LOCATION --project=PROJECT_ID para obtener la lista de los planes de copia de seguridad asociados con el disco de Compute Engine.
    • PROJECT_ID: el nombre del proyecto.
    • REGION: Es la ubicación de las copias de seguridad programadas.
    • RULE_ID: Es el nombre de la regla de copia de seguridad que deseas asociar para ejecutar copias de seguridad a pedido.
    • LABELS: Son etiquetas opcionales para la copia de seguridad como pares clave-valor separados por comas, como webserver=backend,media=images.

  • Crea una copia de seguridad según demanda que use una retención personalizada.

      gcloud backup-dr backup-plan-associations trigger-backup BACKUP_PLAN_ASSOCIATION_NAME \
  --project=PROJECT_ID \
  --location=REGION \
  --custom-retention-days=CUSTOM_RETENTION
  --labels=LABELS

    Reemplaza lo siguiente:

    • BACKUP_PLAN_ASSOCIATION_NAME: Es el nombre de la asociación del plan de copia de seguridad. Ejecuta el comando gcloud backup-dr backup-plan-associations list --location=LOCATION --project=PROJECT_ID para obtener la lista de los planes de copia de seguridad asociados con el disco de Compute Engine.
    • PROJECT_ID: el nombre del proyecto.
    • REGION: Es la ubicación de las copias de seguridad programadas.
    • CUSTOM_RETENTION: Es el período de retención personalizado en días para esta copia de seguridad a pedido. Este valor debe ser igual o mayor que el tiempo de retención de la backup vault y menor o igual que el valor de max-custom-on-demand-retention-days configurado en el plan de copias de seguridad (o el tiempo de retención de la vault más 30 días si no se configuró max-custom-on-demand-retention-days).
    • LABELS: Son etiquetas opcionales para la copia de seguridad como pares clave-valor separados por comas, como webserver=backend,media=images.

Cómo desproteger una instancia de Compute Engine

Puedes quitar la protección de una instancia de Compute Engine quitando el plan de copias de seguridad aplicado a la instancia. Si quitas un plan de copias de seguridad de una instancia de Compute Engine, no se borrará el plan ni las copias de seguridad creadas mientras se usaba la instancia. Aún puedes acceder a estas copias de seguridad existentes y administrarlas.

Sigue estas instrucciones para quitar la protección de una instancia de Compute Engine.

Console

  1. En la consola de Google Cloud , ve a la página Copias de seguridad almacenadas en vault.

    Ir a Copias de seguridad almacenadas en vault

  2. Haz clic en el nombre de la instancia de la que deseas quitar un plan de copias de seguridad.

  3. Selecciona Quitar el plan de copias de seguridad.

gcloud

  1. Desprotege una instancia de Compute Engine.

      gcloud backup-dr backup-plan-associations delete BACKUP_PLAN_ASSOCIATION_NAME\
  --project=PROJECT_ID \
  --location=LOCATION

    Reemplaza lo siguiente:

    • BACKUP_PLAN_ASSOCIATION_NAME: Es el nombre de la copia de seguridad que deseas borrar.
    • PROJECT_ID: el nombre del proyecto.
    • LOCATION: Es la ubicación de la copia de seguridad programada.

¿Qué sigue?