Sauvegarder des disques dans un coffre-fort de sauvegarde

Cette page explique comment sauvegarder des disques dans un coffre-fort de sauvegarde. L'envoi de sauvegardes vers un coffre de sauvegarde garantit leur immuabilité et leur conservation forcée. Un coffre de sauvegarde vous permet de stocker des sauvegardes dans une région ou dans une région multiple.

Dans la console Google Cloud , vous pouvez sauvegarder des disques dans un coffre-fort de sauvegarde en appliquant des plans de sauvegarde. Vous pouvez effectuer des sauvegardes de deux manières :

  • Sauvegardes planifiées : vous pouvez sauvegarder automatiquement des disques à des intervalles spécifiques, par exemple quotidiennement, hebdomadairement, mensuellement ou annuellement.
  • Sauvegardes à la demande : vous pouvez créer des sauvegardes à la demande chaque fois que vous en avez besoin. Les sauvegardes à la demande sont utiles pour créer des sauvegardes avant d'apporter des modifications importantes à vos instances ou pour la protection des données ad hoc.

Les deux méthodes vous permettent de stocker vos sauvegardes de manière sécurisée dans un coffre de sauvegarde. Vous disposez ainsi d'un moyen fiable de récupérer vos disques en cas de perte de données ou d'autres événements inattendus.

Avant de commencer

  1. Activez l'API du service Backup and DR là où se trouvent les disques.
  2. Activer l'API
  3. Créer un coffre de sauvegarde
  4. Créer un plan de sauvegarde
  5. Attribuer des rôles et des autorisations IAM à l'utilisateur de sauvegarde
  6. Accorder l'accès au coffre de sauvegarde dans le projet Compute Engine
  7. Configurez Observability Analytics sur votre bucket pour surveiller les jobs de sauvegarde Backup and DR.

Limites

Le service Backup and DR n'est pas compatible avec :

  • Sauvegarde de disques dans un coffre de sauvegarde pour les disques avec des clés de chiffrement fournies par le client (CSEK).
  • La sauvegarde des disques avec le mode d'accès READ_WRITE_MANY n'est pas prise en charge.
  • Plusieurs sauvegardes par heure.

  • Sauvegardes interrégionales

Rôles et autorisations IAM pour l'utilisateur de sauvegarde

Pour obtenir les autorisations nécessaires pour configurer des sauvegardes planifiées ou exécuter des sauvegardes à la demande, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet de chambre forte de sauvegarde :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour configurer des sauvegardes planifiées ou exécuter des sauvegardes à la demande. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour configurer des sauvegardes planifiées ou exécuter des sauvegardes à la demande :

  • backupdr.backupPlans.list
  • backupdr.backupPlanAssociations.createForComputeDisk
  • backupdr.backupPlanAssociations.list
  • backupdr.backupPlanAssociations.get
  • backupdr.backupPlanAssociations.triggerBackupForComputeDisk
  • backupdr.backupPlanAssociations.deleteForComputeDisk
  • backupdr.backupPlans.useForComputeDisk
  • backupdr.locations.list
  • backupdr.operations.get
  • cloudasset.assets.searchAllResources

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Accorder l'accès au coffre de sauvegarde dans le projet où se trouvent les disques

Pour sauvegarder un disque dans un projet différent de celui dans lequel le coffre de sauvegarde est créé, vous devez accorder le rôle IAM Opérateur de disque Backup and DR (roles/backupdr.diskOperator) à l'agent de service du coffre de sauvegarde dans le projet où se trouvent les disques.

Pour sauvegarder un disque dans le projet où le coffre de sauvegarde est créé, aucun rôle n'est requis.

Si le disque est protégé par des clés de chiffrement gérées par le client (CMEK), vous devez attribuer le rôle Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) à l'agent de service du coffre de sauvegarde (service-BACKUP_VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com) sur la clé KMS utilisée pour chiffrer le disque. Cette autorisation est requise pour que le service Backup and DR puisse accéder à la clé lors des opérations de sauvegarde et de restauration.

Pour savoir comment attribuer des rôles à l'agent de service du coffre de sauvegarde dans le projet que vous souhaitez sauvegarder, consultez Attribuer un rôle à l'agent de service.

Configurer une sauvegarde planifiée

Suivez les instructions ci-dessous pour configurer une sauvegarde planifiée pour les disques.

Console

  1. Dans la console Google Cloud , accédez à la page Sauvegardes archivées.

    Accéder aux sauvegardes stockées dans un vault

  2. Cliquez sur Programmer des sauvegardes.

  3. Pour Type de ressource, sélectionnez Disques.

  4. Dans la liste Projets, cliquez sur Parcourir et sélectionnez un projet dans lequel se trouvent les disques.

  5. Dans la liste Région, sélectionnez la région dans laquelle se trouvent vos disques.

  6. Dans la liste Ressources, cliquez sur Parcourir.

  7. Sélectionnez les disques que vous souhaitez sauvegarder, puis cliquez sur OK.

  8. Cliquez sur Continuer.

  9. Dans la liste Plan de sauvegarde, cliquez sur Sélectionner.

  10. Choisissez un plan de sauvegarde avec lequel vous souhaitez protéger les disques.

  11. Cliquez sur OK.

  12. Vérifiez les détails de la sauvegarde, puis cliquez sur Programmer. À ce stade, vous avez associé un plan de sauvegarde aux disques. Le plan de sauvegarde planifie la sauvegarde des disques choisis en fonction de la fréquence définie dans la règle de sauvegarde, mais ils ne sont pas encore sauvegardés. Si l'heure actuelle se trouve dans la fenêtre définie dans le plan de sauvegarde, la première tâche de sauvegarde démarre dans quelques minutes. Si l'heure actuelle est en dehors de la période du forfait, créez une sauvegarde à la demande.

gcloud

  1. Obtenez l'ID d'instance.

      gcloud compute instances describe DISK_NAME --zone=DISK_ZONE --format="value(id)"

    Remplacez les éléments suivants :

    • DISK_NAME : nom du disque.
    • DISK_ZONE : emplacement du disque.

  2. Configurez une sauvegarde planifiée.

      gcloud backup-dr backup-plan-associations create BACKUP_PLAN_ASSOCIATION_NAME \
  --location=DISK_REGION \
  --resource=projects/DISK_PROJECT_ID/zones/DISK_ZONE/disks/DISK_ID \
  --resource-type=compute.googleapis.com/Disk \
  --backup-plan=projects/PROJECT_ID/locations/LOCATION/backupPlans/BACKUP_PLAN

    Remplacez les éléments suivants :

    • BACKUP_PLAN_ASSOCIATION_NAME : nom de l'association du plan de sauvegarde.
    • DISK_REGION : région où se trouvent les disques.
    • DISK_PROJECT_ID : nom du projet dans lequel se trouvent les disques.
    • DISK_ZONE : zone où se trouvent les disques.
    • DISK_ID : ID du disque.
    • PROJECT_ID : nom du projet dans lequel les plans de sauvegarde existent.
    • LOCATION : région où se trouvent vos plans de sauvegarde.
    • BACKUP_PLAN : nom du plan de sauvegarde que vous souhaitez associer au disque.

Terraform

Vous pouvez utiliser une ressource Terraform pour configurer une sauvegarde planifiée.


# Before creating a backup plan association, you need to create backup plan (google_backup_dr_backup_plan)
# and compute disk (google_compute_disk or google_compute_region_disk).
resource "google_backup_dr_backup_plan_association" "disk_association" {
  provider                   = google-beta
  location                   = "us-central1"
  backup_plan_association_id = "my-disk-bpa"
  resource                   = google_compute_disk.default.id
  resource_type              = "compute.googleapis.com/Disk"
  backup_plan                = google_backup_dr_backup_plan.disk_default.name
}

Cohérence des applications pour les sauvegardes de disque Backup and DR

Les instantanés d'application cohérents capturent l'état des données d'application au moment de la sauvegarde, avec toutes les transactions d'application terminées et toutes les écritures en attente vidées sur le disque.

Suivez les instructions ci-dessous pour configurer des sauvegardes cohérentes avec les applications pour les disques. Cette procédure ne peut être effectuée que via la gcloud CLI.

Avant de commencer

Créer un plan de sauvegarde pour les sauvegardes de disque cohérentes avec les applications

Suivez les instructions ci-dessous pour créer des sauvegardes cohérentes avec les applications pour les disques. Cette procédure ne peut être effectuée qu'avec la gcloud CLI.

gcloud

  1. Créez le plan de sauvegarde.

    gcloud backup-dr backup-plans create BACKUP_PLAN_NAME \
--disk-properties=guest-flush=true \
--resource-type=compute.googleapis.com/Disk \
--location=REGION \
--project=PROJECT_ID \
--backup-vault=BACKUPVAULT_NAME \
--backup-rule=rule-id=RULE_NAME,recurrence=RECURRENCE,hourly-frequency=HOURS,time-zone=TIME_ZONE,backup-window-start=START_TIME,backup-window-end=END_TIME,retention-days=BACKUP_RETENTION --max-custom-on-demand-retention-days=MAX_ONDEMAND_RETENTION

    Remplacez les éléments suivants :

    • BACKUP_PLAN_NAME : nom du plan de sauvegarde.
    • REGION : région Google Cloud dans laquelle vous souhaitez créer le plan de sauvegarde.
    • PROJECT_ID : nom du projet dans lequel se trouve le coffre-fort de sauvegarde.
    • BACKUPVAULT_NAME : nom du coffre-fort de sauvegarde que vous souhaitez utiliser pour stocker les sauvegardes.
    • RULE_NAME : nom de la règle de sauvegarde.
    • RECURRENCE : fréquence à laquelle les sauvegardes doivent être créées. Celui-ci peut être horaire, quotidien, hebdomadaire, mensuel ou annuel.
    • HOURS : fréquence des sauvegardes horaires. Spécifiez cette valeur uniquement si vous définissez la récurrence sur "toutes les heures". La durée minimale par heure est toujours définie sur six heures.
    • TIME_ZONE : fuseau horaire du plan de sauvegarde, tel que UTC. Utilisez le format fuseau horaire IANA pour inclure le fuseau horaire du plan de sauvegarde.
    • START_TIME : l'heure de début correspond à l'heure du jour au format 24 heures. L'heure de début doit être antérieure à l'heure de fin et est incluse dans la période de sauvegarde.
    • END_TIME : heure de fin de la journée au format 24 heures. L'heure de fin doit être postérieure à l'heure de début et est exclusive pour l'intervalle de sauvegarde.
    • BACKUP_RETENTION : période de conservation de la sauvegarde. Notez que la période de conservation des sauvegardes doit être égale ou supérieure à la période de conservation minimale appliquée au coffre de sauvegarde.
    • MAX_ONDEMAND_RETENTION : période de conservation personnalisée maximale autorisée (en jours) pour les sauvegardes à la demande créées à l'aide de ce plan de sauvegarde.

Mettre à jour un plan de sauvegarde existant pour les sauvegardes de disque cohérentes avec l'application

Suivez les instructions ci-dessous pour mettre à jour un plan de sauvegarde afin de produire des sauvegardes de disque cohérentes avec les applications.

gcloud

  1. Mettez à jour le plan de sauvegarde.

    gcloud backup-dr backup-plans update BACKUP_PLAN_NAME \
--disk-properties=guest-flush=true \
--project=PROJECT_ID\
--location=REGION \
--description=DESCRIPTION \
--backup-rule=BACKUP_RULE \
--add-backup-rule=ADD_BACKUP_RULE \
--remove-backup-rule=REMOVE_BACKUP_RULE
--max-custom-on-demand-retention-days=MAX_ONDEMAND_RETENTION

    Remplacez les éléments suivants :

    • BACKUP_PLAN_NAME : nom du plan de sauvegarde.
    • PROJECT_ID : nom du projet dans lequel se trouve le coffre-fort de sauvegarde.
    • REGION : emplacement dans lequel vous souhaitez créer le plan de sauvegarde.
    • DESCRIPTION : description mise à jour du plan de sauvegarde.
    • BACKUP_RULE : définition complète d'une règle de sauvegarde existante avec des valeurs mises à jour.
    • ADD_BACKUP_RULE : paramètres de la règle de sauvegarde à ajouter au plan de sauvegarde. Cet indicateur peut être répété pour ajouter d'autres règles de sauvegarde.
    • REMOVE_BACKUP_RULE : règle de sauvegarde existante à supprimer du plan de sauvegarde.
    • MAX_ONDEMAND_RETENTION : période de conservation personnalisée maximale autorisée (en jours) pour les sauvegardes à la demande créées à l'aide de ce plan de sauvegarde.

Modifier le plan de sauvegarde associé aux disques

Vous pouvez remplacer le plan de sauvegarde associé à un disque par un autre plan de sauvegarde. L'autre plan de sauvegarde doit :

  • Utiliser le même coffre de sauvegarde
  • se trouver dans la même région que l'instance Compute Engine du disque.

Suivez les instructions ci-dessous pour modifier le plan de sauvegarde associé aux disques.

Console

  1. Dans la console Google Cloud , accédez à la page Sauvegardes archivées.

    Accéder aux sauvegardes stockées dans un vault

    La page Sauvegardes dans un coffre ne liste que les instances auxquelles des plans de sauvegarde ont été appliqués et dont les sauvegardes sont stockées dans un coffre de sauvegarde au sein d'un projet.

  2. Sélectionnez la ressource de données pour obtenir un autre forfait. Sur la page des détails de la sauvegarde ou dans le menu  tout à droite d'une instance Compute Engine, sélectionnez Modifier le plan de sauvegarde.

  3. La fenêtre Sélectionner un plan de sauvegarde ne liste que les plans de sauvegarde valides pour cette instance. Sélectionnez un forfait de sauvegarde, puis cliquez sur Appliquer.

gcloud

  • Modifier le plan de sauvegarde attribué

      gcloud backup-dr backup-plan-associations update BACKUP_PLAN_ASSOCIATION_NAME \
  --resource-type=compute.googleapis.com/Disk \
  --workload-project=DISK_PROJECT_ID \
  --location=DISK_REGION \
  --backup-plan=BACKUP-PLAN \
  --project=PROJECT_ID

    Remplacez les éléments suivants :

    • BACKUP_PLAN_ASSOCIATION_NAME : nom de la ressource d'association du plan de sauvegarde.
    • DISK_PROJECT_ID : ID de projet du disque.
    • DISK_REGION : emplacement du disque.
    • BACKUP_PLAN : nom du plan de sauvegarde vers lequel vous passez.
    • PROJECT_ID : ID du projet du plan de sauvegarde sélectionné.

Lister les sauvegardes planifiées et à la demande

Suivez les instructions ci-dessous pour lister les disques sauvegardés ou dont la sauvegarde est planifiée.

Console

  1. Dans la console Google Cloud , accédez à la page Sauvegardes archivées.

    Accéder aux sauvegardes stockées dans un vault

    La page Sauvegardes dans un coffre ne liste que les instances et les disques auxquels des plans de sauvegarde ont été appliqués et dont les sauvegardes sont stockées dans un coffre de sauvegarde au sein d'un projet.

  2. Cliquez sur un disque pour afficher toutes les sauvegardes (planifiées et à la demande) disponibles pour ce disque.

gcloud

  1. Lister les sauvegardes programmées et à la demande

      gcloud backup-dr backup-plan-associations list \
  --location=LOCATION \
  --project=PROJECT_ID

    Remplacez les éléments suivants :

    • LOCATION : emplacement des sauvegardes planifiées.
    • PROJECT_ID : nom du projet.

Créer une sauvegarde à la demande

Vous pouvez lancer une sauvegarde à la demande pour les disques disposant d'un plan de sauvegarde en déclenchant l'exécution immédiate de la règle de sauvegarde de votre choix. Les sauvegardes à la demande sont incrémentielles et ne capturent que les données modifiées depuis la dernière sauvegarde.

Lorsque vous créez une sauvegarde à la demande, vous pouvez choisir une règle du plan de sauvegarde associé au disque. Cette règle détermine quand la sauvegarde à la demande est supprimée. Vous pouvez vérifier l'état du job de sauvegarde sur la page Jobs. Pour en savoir plus, consultez Surveiller les jobs de sauvegarde et de restauration dans la console Google Cloud .

Suivez les instructions ci-dessous pour créer une sauvegarde à la demande.

Console

  1. Accédez à Sauvegardes stockées dans un vault.
  2. Sélectionnez le disque à sauvegarder.
  3. Cliquez sur Créer une sauvegarde à la demande.

  4. Choisissez quand supprimer cette sauvegarde. Vous disposez des options suivantes :

    • D'après une période de conservation personnalisée Par défaut, la limite est définie sur la période de conservation minimale appliquée au coffre de sauvegarde plus 30 jours. Pour définir une limite différente, ajoutez une période de conservation à la demande personnalisée maximale à votre plan de sauvegarde.
    • D'après une règle de sauvegarde existante : Sélectionnez une règle dans le menu déroulant Supprimer les sauvegardes après.

  5. Cliquez sur Créer pour lancer le processus de création de la sauvegarde à la demande.

  6. Pour afficher l'état du job de sauvegarde à la demande, cliquez sur Notifications.

gcloud

  • Créez une sauvegarde à la demande qui utilise une règle de sauvegarde.

      gcloud backup-dr backup-plan-associations trigger-backup BACKUP_PLAN_ASSOCIATION_NAME \
  --project=PROJECT_ID \
  --location=REGION \
  --backup-rule-id=RULE_ID
  --labels=LABELS

    Remplacez les éléments suivants :

    • BACKUP_PLAN_ASSOCIATION_NAME : nom de l'association du plan de sauvegarde. Exécutez la commande gcloud backup-dr backup-plan-associations list --location=LOCATION --project=PROJECT_ID pour obtenir la liste des plans de sauvegarde associés au disque Compute Engine.
    • PROJECT_ID : nom du projet.
    • REGION : emplacement des sauvegardes planifiées.
    • RULE_ID : nom de la règle de sauvegarde que vous souhaitez associer pour exécuter des sauvegardes à la demande.
    • LABELS : libellés facultatifs pour la sauvegarde sous forme de paires clé/valeur séparées par une virgule, telles que webserver=backend,media=images.

  • Créez une sauvegarde à la demande qui utilise une période de conservation personnalisée.

      gcloud backup-dr backup-plan-associations trigger-backup BACKUP_PLAN_ASSOCIATION_NAME \
  --project=PROJECT_ID \
  --location=REGION \
  --custom-retention-days=CUSTOM_RETENTION
  --labels=LABELS

    Remplacez les éléments suivants :

    • BACKUP_PLAN_ASSOCIATION_NAME : nom de l'association du plan de sauvegarde. Exécutez la commande gcloud backup-dr backup-plan-associations list --location=LOCATION --project=PROJECT_ID pour obtenir la liste des plans de sauvegarde associés au disque Compute Engine.
    • PROJECT_ID : nom du projet.
    • REGION : emplacement des sauvegardes planifiées.
    • CUSTOM_RETENTION : période de conservation personnalisée en jours pour cette sauvegarde à la demande. Cette valeur doit être supérieure ou égale à la durée de conservation du coffre de sauvegarde et inférieure ou égale à la valeur max-custom-on-demand-retention-days configurée dans le plan de sauvegarde (ou à la durée de conservation du coffre + 30 jours si max-custom-on-demand-retention-days n'est pas configurée).
    • LABELS : libellés facultatifs pour la sauvegarde sous forme de paires clé/valeur séparées par une virgule, telles que webserver=backend,media=images.

Supprimer la protection des disques

Vous pouvez supprimer la protection des disques en supprimant le plan de sauvegarde qui leur est appliqué. La suppression d'un plan de sauvegarde des disques ne supprime pas le plan de sauvegarde ni les sauvegardes créées pendant l'utilisation de l'instance. Vous pourrez toujours accéder à ces sauvegardes existantes et les gérer.

Pour supprimer la protection d'un disque, procédez comme suit :

Console

  1. Dans la console Google Cloud , accédez à la page Sauvegardes archivées.

    Accéder aux sauvegardes stockées dans un vault

  2. Cliquez sur le nom du disque à partir duquel vous souhaitez supprimer un plan de sauvegarde.

  3. Sélectionnez Supprimer le plan de sauvegarde.

gcloud

  1. Supprimez la protection des disques.

      gcloud backup-dr backup-plan-associations delete BACKUP_PLAN_ASSOCIATION_NAME\
  --project=PROJECT_ID \
  --location=REGION

    Remplacez les éléments suivants :

    • BACKUP_PLAN_ASSOCIATION_NAME : nom de l'association de plan de sauvegarde à supprimer.
    • PROJECT_ID : nom du projet.
    • REGION : emplacement de la sauvegarde planifiée.