Fazer backup de discos em um cofre de backup

Nesta página, descrevemos como fazer backup de discos em um cofre de backup. O envio de backups para um backup vault oferece imutabilidade e retenção obrigatória. Com um backup vault, é possível armazenar backups em uma região ou em uma multirregião.

No console do Google Cloud , é possível fazer backup de discos em um cofre de backup aplicando planos de backup. É possível fazer backup de duas maneiras:

  • Backups programados: é possível fazer backup automático dos discos em intervalos específicos, como diário, semanal, mensal ou anual.
  • Backups sob demanda: é possível criar backups sob demanda sempre que necessário. Os backups sob demanda são úteis para criar backups antes de fazer mudanças significativas nas instâncias ou para proteção de dados ad hoc.

Os dois métodos permitem armazenar seus backups com segurança em um backup vault, oferecendo uma maneira confiável de recuperar seus discos em caso de perda de dados ou outros eventos inesperados.

Antes de começar

  1. Ative a API do serviço de Backup e DR onde os discos estão localizados.
  2. Ativar a API
  3. Criar um backup vault
  4. Criar um plano de backup
  5. Atribuir papéis e permissões do IAM ao usuário de backup
  6. Conceder acesso ao backup vault no projeto do Compute Engine
  7. Configure a Análise de observabilidade no bucket para monitorar os jobs de backup do Backup e DR.

Limitações

O serviço de Backup e DR não é compatível com:

  • Fazer backup de discos em um backup vault para discos com chaves de criptografia fornecidas pelo cliente (CSEK).
  • Não é possível fazer backup de discos com o modo de acesso READ_WRITE_MANY.
  • Mais de um backup por hora.

  • Backups entre regiões.

Permissões e papéis do IAM para o usuário de backup

Para ter as permissões necessárias para configurar backups programados ou executar backups sob demanda, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto do backup vault:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para configurar backups programados ou executar backups sob demanda. Para acessar as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para configurar backups programados ou executar backups sob demanda:

  • backupdr.backupPlans.list
  • backupdr.backupPlanAssociations.createForComputeDisk
  • backupdr.backupPlanAssociations.list
  • backupdr.backupPlanAssociations.get
  • backupdr.backupPlanAssociations.triggerBackupForComputeDisk
  • backupdr.backupPlanAssociations.deleteForComputeDisk
  • backupdr.backupPlans.useForComputeDisk
  • backupdr.locations.list
  • backupdr.operations.get
  • cloudasset.assets.searchAllResources

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Conceder acesso ao backup vault no projeto em que os discos estão

Para fazer backup de um disco em um projeto diferente de onde o backup vault foi criado, conceda o papel do IAM de operador de disco do Backup e DR (roles/backupdr.diskOperator) ao agente de serviço do backup vault no projeto em que os discos estão.

Para fazer backup de um disco no projeto em que o backup vault foi criado, não é necessário conceder papéis.

Se o disco estiver protegido por chaves de criptografia gerenciadas pelo cliente (CMEK), conceda a função Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) ao agente de serviço do cofre de backup (service-BACKUP_VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com) na chave do KMS usada para criptografar o disco. Essa permissão é necessária para que o serviço de backup e DR acesse a chave durante as operações de backup e restauração.

Para informações sobre como conceder papéis ao agente de serviço do cofre de backup no projeto que você quer fazer backup, consulte Conceder um papel ao agente de serviço.

Configurar um backup programado

Siga estas instruções para configurar um backup programado para discos.

Console

  1. No console Google Cloud , acesse a página Backups em cofre.

    Acessar backups em vault

  2. Clique em Programar backups.

  3. Em Tipo de recurso, selecione Discos.

  4. Na lista Projetos, clique em Procurar e selecione um projeto em que os discos estão localizados.

  5. Na lista Região, selecione a região em que seus discos estão localizados.

  6. Na lista Recursos, clique em Procurar.

  7. Escolha os discos que você quer armazenar em backup e clique em Concluído.

  8. Clique em Continuar.

  9. Na lista Plano de backup, clique em Selecionar.

  10. Escolha um plano de backup para proteger os discos.

  11. Clique em Concluído.

  12. Revise os detalhes do backup e clique em Programar. Neste ponto, você associou um plano de backup aos discos. O plano de backup agenda os discos escolhidos para backup de acordo com a frequência definida na política de backup, mas eles ainda não foram copiados. Se o horário atual estiver dentro da janela definida no plano de backup, o primeiro job de backup vai começar em alguns minutos. Se o horário atual estiver fora da janela do plano, crie um backup sob demanda.

gcloud

  1. Consiga o ID da instância.

      gcloud compute instances describe DISK_NAME --zone=DISK_ZONE --format="value(id)"

    Substitua:

    • DISK_NAME: o nome do disco.
    • DISK_ZONE: o local em que o disco está localizado.

  2. Configure um backup programado.

      gcloud backup-dr backup-plan-associations create BACKUP_PLAN_ASSOCIATION_NAME \
  --location=DISK_REGION \
  --resource=projects/DISK_PROJECT_ID/zones/DISK_ZONE/disks/DISK_ID \
  --resource-type=compute.googleapis.com/Disk \
  --backup-plan=projects/PROJECT_ID/locations/LOCATION/backupPlans/BACKUP_PLAN

    Substitua:

    • BACKUP_PLAN_ASSOCIATION_NAME: o nome da associação do plano de backup.
    • DISK_REGION: a região em que os discos estão localizados.
    • DISK_PROJECT_ID: o nome do projeto em que os discos estão localizados.
    • DISK_ZONE: a zona em que os discos estão localizados.
    • DISK_ID: o ID do disco.
    • PROJECT_ID: o nome do projeto em que os planos de backup estão.
    • LOCATION: a região em que seus planos de backup estão.
    • BACKUP_PLAN: o nome do plano de backup que você quer associar ao disco.

Terraform

É possível usar um recurso do Terraform para configurar um backup programado.


# Before creating a backup plan association, you need to create backup plan (google_backup_dr_backup_plan)
# and compute disk (google_compute_disk or google_compute_region_disk).
resource "google_backup_dr_backup_plan_association" "disk_association" {
  provider                   = google-beta
  location                   = "us-central1"
  backup_plan_association_id = "my-disk-bpa"
  resource                   = google_compute_disk.default.id
  resource_type              = "compute.googleapis.com/Disk"
  backup_plan                = google_backup_dr_backup_plan.disk_default.name
}

Consistência de aplicativos para backups de disco do Backup e DR

Os snapshots consistentes do aplicativo capturam o estado dos dados do aplicativo no momento do backup, com todas as transações do aplicativo concluídas e todas as gravações pendentes liberadas para o disco.

Use as instruções a seguir para configurar backups consistentes com o aplicativo para discos. Esse procedimento só pode ser realizado pela Google Cloud CLI.

Antes de começar

Criar um plano de backup para backups de disco consistentes com o aplicativo

Use as instruções a seguir para criar backups consistentes com o aplicativo para discos. Esse procedimento só pode ser realizado pela CLI gcloud.

gcloud

  1. Crie o plano de backup.

    gcloud backup-dr backup-plans create BACKUP_PLAN_NAME \
--disk-properties=guest-flush=true \
--resource-type=compute.googleapis.com/Disk \
--location=REGION \
--project=PROJECT_ID \
--backup-vault=BACKUPVAULT_NAME \
--backup-rule=rule-id=RULE_NAME,recurrence=RECURRENCE,hourly-frequency=HOURS,time-zone=TIME_ZONE,backup-window-start=START_TIME,backup-window-end=END_TIME,retention-days=BACKUP_RETENTION --max-custom-on-demand-retention-days=MAX_ONDEMAND_RETENTION

    Substitua:

    • BACKUP_PLAN_NAME: o nome do plano de backup.
    • REGION: a Google Cloud região em que você quer criar o plano de backup.
    • PROJECT_ID: o nome do projeto em que o backup vault reside.
    • BACKUPVAULT_NAME: o nome do backup vault que você quer usar para armazenamento de backups.
    • RULE_NAME: o nome da regra de backup.
    • RECURRENCE: a frequência com que os backups serão criados. Pode ser de hora em hora, diária, semanal, mensal ou anual.
    • HOURS: a frequência dos backups por hora. Especifique esse valor somente se você definir a recorrência como horária. O mínimo por hora é sempre definido como seis horas.
    • TIME_ZONE: o fuso horário do plano de backup, como UTC. Use o formato de fuso horário da IANA para incluir o fuso horário no plano de backup.
    • START_TIME: o horário de início é a hora do dia no formato de 24 horas. O horário de início precisa ser anterior ao horário de término e está incluído na janela de backup.
    • END_TIME: o horário de término é a hora do dia em um formato de 24 horas. O horário de término precisa ser posterior ao horário de início e é exclusivo para a janela de backup.
    • BACKUP_RETENTION: o período de armazenamento do backup. O período de armazenamento do backup precisa ser igual ou maior que o período mínimo de retenção obrigatória do backup vault.
    • MAX_ONDEMAND_RETENTION: o período máximo de armazenamento personalizado permitido (em dias) para backups sob demanda criados usando este plano de backup.

Atualizar um plano de backup para backups de disco consistentes com aplicativos

Use as instruções a seguir para atualizar um plano de backup e gerar backups de disco consistentes com o aplicativo.

gcloud

  1. Atualize o plano de backup.

    gcloud backup-dr backup-plans update BACKUP_PLAN_NAME \
--disk-properties=guest-flush=true \
--project=PROJECT_ID\
--location=REGION \
--description=DESCRIPTION \
--backup-rule=BACKUP_RULE \
--add-backup-rule=ADD_BACKUP_RULE \
--remove-backup-rule=REMOVE_BACKUP_RULE
--max-custom-on-demand-retention-days=MAX_ONDEMAND_RETENTION

    Substitua:

    • BACKUP_PLAN_NAME: o nome do plano de backup.
    • PROJECT_ID: o nome do projeto em que o backup vault reside.
    • REGION: o local onde você quer criar o plano de backup.
    • DESCRIPTION: a descrição atualizada do plano de backup.
    • BACKUP_RULE: definição completa de uma regra de backup atual com valores atualizados.
    • ADD_BACKUP_RULE: parâmetros da regra de backup a serem adicionados ao plano de backup. Essa flag pode ser repetida para adicionar mais regras de backup.
    • REMOVE_BACKUP_RULE: a regra de backup atual a ser removida do plano de backup.
    • MAX_ONDEMAND_RETENTION: o período máximo de armazenamento personalizado permitido (em dias) para backups sob demanda criados usando este plano de backup.

Mudar o plano de backup associado aos discos

É possível mudar o plano de backup associado a um disco para outro. O outro plano de backup precisa:

  • Usar o mesmo backup vault
  • Estar na mesma região que a instância do Compute Engine do disco

Siga as instruções abaixo para mudar o plano de backup associado aos discos.

Console

  1. No console Google Cloud , acesse a página Backups em cofre.

    Acessar backups em vault

    A página Backups em vault lista apenas as instâncias que têm planos de backup aplicados e os backups armazenados em um backup vault em um projeto.

  2. Selecione o recurso de dados para assinar um plano diferente. Na página de detalhes do backup ou no menu no canto direito de uma instância do Compute Engine, selecione Mudar plano de backup.

  3. A janela Selecionar um plano de backup lista apenas os planos válidos para essa instância. Selecione um plano de backup e clique em Aplicar.

gcloud

  • Mude o plano de backup atribuído.

      gcloud backup-dr backup-plan-associations update BACKUP_PLAN_ASSOCIATION_NAME \
  --resource-type=compute.googleapis.com/Disk \
  --workload-project=DISK_PROJECT_ID \
  --location=DISK_REGION \
  --backup-plan=BACKUP-PLAN \
  --project=PROJECT_ID

    Substitua:

    • BACKUP_PLAN_ASSOCIATION_NAME: o nome do recurso de associação do plano de backup.
    • DISK_PROJECT_ID: o ID do projeto do disco.
    • DISK_REGION: o local do disco.
    • BACKUP_PLAN: o nome do plano de backup para o qual você está mudando.
    • PROJECT_ID: o ID do projeto do plano de backup selecionado.

Listar backups programados e sob demanda

Use as instruções a seguir para listar os discos que têm backup ou estão programados para ter backup.

Console

  1. No console Google Cloud , acesse a página Backups em cofre.

    Acessar backups em vault

    A página Backups em vault lista apenas as instâncias e os discos que têm planos de backup aplicados e os backups armazenados em um backup vault em um projeto.

  2. Clique em um disco para conferir todos os backups (programados e sob demanda) disponíveis para ele.

gcloud

  1. Listar backups programados e sob demanda.

      gcloud backup-dr backup-plan-associations list \
  --location=LOCATION \
  --project=PROJECT_ID

    Substitua:

    • LOCATION: o local dos backups programados.
    • PROJECT_ID: o nome do projeto.

Criar um backup sob demanda

É possível iniciar um backup on demand para discos com um plano de backup acionando a regra de backup escolhida para execução imediata. Os backups sob demanda são incrementais e capturam apenas os dados alterados desde o último backup.

Ao criar um backup on demand, é possível escolher uma regra do plano de backup associado ao disco. Essa regra determina quando o backup on demand será excluído. É possível verificar o status do job de backup na página Jobs. Para mais informações, consulte Monitorar jobs de backup e restauração no Google Cloud console.

Use as instruções a seguir para criar um backup sob demanda.

Console

  1. Acesse Backups em vault.
  2. Selecione o disco para fazer backup.
  3. Clique em Criar backup sob demanda.

  4. Escolha quando excluir este backup. Você poderá fazer o seguinte:

    • Com base no período de armazenamento personalizado Por padrão, o limite é definido como o período mínimo de armazenamento obrigatório do vault de backup, mais 30 dias. Para definir um limite diferente, adicione um período de armazenamento máximo personalizado sob demanda ao seu plano de backup.
    • Com base em uma regra de backup atual. Selecione uma regra no menu suspenso Excluir backups após.

  5. Clique em Criar para iniciar o processo de criação de backup sob demanda.

  6. Para conferir o status do job de backup sob demanda, clique em Notificações.

gcloud

  • Crie um backup sob demanda que use uma regra de backup.

      gcloud backup-dr backup-plan-associations trigger-backup BACKUP_PLAN_ASSOCIATION_NAME \
  --project=PROJECT_ID \
  --location=REGION \
  --backup-rule-id=RULE_ID
  --labels=LABELS

    Substitua:

    • BACKUP_PLAN_ASSOCIATION_NAME: o nome da associação do plano de backup. Execute o comando gcloud backup-dr backup-plan-associations list --location=LOCATION --project=PROJECT_ID para receber a lista de planos de backup associados ao disco do Compute Engine.
    • PROJECT_ID: o nome do projeto.
    • REGION: o local dos backups programados.
    • RULE_ID: o nome da regra de backup que você quer associar para executar backups sob demanda.
    • LABELS: rótulos opcionais para o backup como pares de chave-valor separados por vírgulas, como webserver=backend,media=images.

  • Crie um backup sob demanda que use retenção personalizada.

      gcloud backup-dr backup-plan-associations trigger-backup BACKUP_PLAN_ASSOCIATION_NAME \
  --project=PROJECT_ID \
  --location=REGION \
  --custom-retention-days=CUSTOM_RETENTION
  --labels=LABELS

    Substitua:

    • BACKUP_PLAN_ASSOCIATION_NAME: o nome da associação do plano de backup. Execute o comando gcloud backup-dr backup-plan-associations list --location=LOCATION --project=PROJECT_ID para receber a lista de planos de backup associados ao disco do Compute Engine.
    • PROJECT_ID: o nome do projeto.
    • REGION: o local dos backups programados.
    • CUSTOM_RETENTION: o período de armazenamento personalizado em dias para este backup sob demanda. Esse valor precisa ser igual ou maior que o tempo de retenção do backup vault e menor ou igual ao valor de "max-custom-on-demand-retention-days" configurado no plano de backup (ou o tempo de retenção do vault + 30 dias se "max-custom-on-demand-retention-days" não estiver configurado).
    • LABELS: rótulos opcionais para o backup como pares de chave-valor separados por vírgulas, como webserver=backend,media=images.

Remover a proteção dos discos

É possível remover a proteção dos discos removendo o plano de backup aplicado a eles. Remover um plano de backup dos discos não exclui o plano nem os backups criados enquanto a instância estava em uso. Você ainda pode acessar e gerenciar esses backups.

Siga estas instruções para remover a proteção de um disco:

Console

  1. No console Google Cloud , acesse a página Backups em cofre.

    Acessar backups em vault

  2. Clique no nome do disco para remover um plano de backup.

  3. Selecione Remover plano de backup.

gcloud

  1. Remova a proteção dos discos.

      gcloud backup-dr backup-plan-associations delete BACKUP_PLAN_ASSOCIATION_NAME\
  --project=PROJECT_ID \
  --location=REGION

    Substitua:

    • BACKUP_PLAN_ASSOCIATION_NAME: o nome da associação do plano de backup a ser excluída.
    • PROJECT_ID: o nome do projeto.
    • REGION: o local do backup programado.