Halaman ini menjelaskan backup vault Layanan Backup and DR, termasuk model pencadangan yang didukung, lokasi dan resource yang tersedia, fitur utama seperti periode retensi yang diterapkan dan batasan akses, serta cara mengelolanya.
Ringkasan vault cadangan Backup and DR Service
Vault cadangan adalah container yang menyimpan cadangan, mirip dengan penyimpanan yang dikelola sendiri, yang memungkinkan Anda membuat bucket Cloud Storage untuk menyimpan data Anda. Namun, backup vault memberikan manfaat tambahan dengan melindungi cadangan dalam penyimpanan yang aman, terisolasi, dan khusus. Vault cadangan dirancang untuk mendukung ketahanan terhadap penghapusan cadangan yang disengaja atau tidak disengaja dengan menyediakan cadangan yang tidak dapat diubah dan dihapus. Kemampuan ini mendukung berbagai kasus penggunaan perlindungan data, seperti pemulihan dari kesalahan pengguna dan pemulihan siber.
Dalam konteks backup vault, cadangan dirancang agar tidak dapat diubah dan dihapus:
- Tidak dapat diubah: setelah cadangan dibuat dalam vault cadangan, kontennya tidak dapat diubah. Hal ini memastikan bahwa data cadangan tetap sama persis seperti saat dibuat, sehingga melindungi dari perubahan yang tidak sah atau tidak disengaja.
- Tidak dapat dihapus: cadangan dalam backup vault tidak dapat dihapus sebelum periode retensi yang diterapkan telah berlalu. Hal ini melindungi dari penghapusan yang tidak disengaja atau berbahaya, sehingga memastikan bahwa cadangan tersedia saat diperlukan.
Cara kerja brankas cadangan
Saat cadangan disimpan di vault cadangan, Backup and DR Service menangani penyimpanan dan pengelolaan data cadangan. Anda tidak memiliki visibilitas atau akses langsung ke resource penyimpanan pokok tempat data disimpan, yang melindungi resource tersebut dari serangan langsung. Selain itu, vault cadangan memungkinkan Anda menentukan periode retensi minimum yang diterapkan, yang mewajibkan cadangan tidak dapat berakhir hingga jangka waktu yang ditentukan telah berlalu dan membantu melindungi dari penghapusan yang tidak disengaja atau berbahaya.
Saat menggunakan vault cadangan yang dikonfigurasi dengan benar, Backup and DR Service telah dinilai memenuhi persyaratan utama "tulis sekali, baca berkali-kali" (WORM) SEC sebagaimana dijelaskan dalam SEC (Amerika Serikat).
Anda membuat, mengakses, dan mengelola vault cadangan menggunakan Google Cloud Backup and DR Service. Vault cadangan menyimpan cadangan di region atau di multi-region.
Model resource vault cadangan
Vault cadangan memiliki model resource hierarkis tiga tingkat untuk mengatur data cadangan:
Backup vault: resource tingkat teratas yang ditentukan pengguna untuk menyimpan data cadangan Backup and DR Service.
Sumber data: resource tertentu yang dicadangkan, seperti instance atau cluster database atau virtual machine (VM). Satu sumber data dapat berisi beberapa cadangan. Sumber data adalah resource turunan dari vault cadangan.
Pencadangan: satu pencadangan untuk resource yang ditentukan oleh sumber data. Cadangan adalah resource turunan dari sumber data.
Diagram berikut menunjukkan model resource vault cadangan:
Resource yang didukung
Tabel berikut membantu Anda memahami resource yang didukung brankas cadangan dan yang Anda gunakan untuk mengelolanya.
| Workload | Dikelola oleh |
|---|---|
| Instance Compute Engine | KonsolGoogle Cloud |
| Disk Compute Engine | KonsolGoogle Cloud |
| Instance Filestore | KonsolGoogle Cloud |
| Cluster AlloyDB (Pratinjau) | KonsolGoogle Cloud |
| Instance Cloud SQL (Pratinjau) | KonsolGoogle Cloud |
| Google Cloud VMware Engine, database Oracle, dan database SQL Server | Konsol pengelolaan |
Model cadangan untuk resource yang dilindungi menggunakan konsol Google Cloud
Bagian ini menjelaskan dua model pencadangan untuk resource yang dilindungi menggunakan konsolGoogle Cloud .
Model terpusat: Dalam model terpusat, organisasi menyederhanakan pengelolaan cadangan dengan membuat vault dan rencana pencadangan dalam project administrator pusat yang ditetapkan. Repositori pusat ini menggabungkan cadangan berbagai resource, seperti VM Compute Engine yang berjalan di beberapa project layanan. Kemudian, organisasi menggunakan rencana pencadangan yang dikelola secara terpusat ini untuk melindungi VM Compute Engine mereka yang berada di project layanan yang berbeda.
Administrator pencadangan juga dapat memberikan akses ke rencana pencadangan kepada pemilik aplikasi atau platform dalam project layanan melalui izin IAM. Pemberian akses memungkinkan pemilik platform mengambil alih kepemilikan pencadangan aplikasi mereka.
Model terdesentralisasi: Dalam model terdesentralisasi, brankas cadangan dibuat di berbagai project berdasarkan kebutuhan spesifik organisasi dan tingkat isolasi yang diperlukan. Artinya, brankas cadangan dan rencana pencadangan dibuat untuk setiap project dengan berbagai resource, seperti VM Compute Engine. Pendekatan ini sangat penting bagi organisasi terdesentralisasi di mana tanggung jawab untuk mencadangkan VM berada di tim aplikasi masing-masing.
Model cadangan untuk resource yang dilindungi menggunakan konsol pengelolaan
Bagian ini menjelaskan dua model pencadangan untuk resource yang dilindungi menggunakan konsol pengelolaan.
Model terpusat: Dalam model terpusat, organisasi menyederhanakan pengelolaan cadangan dengan membuat vault cadangan dan men-deploy konsol pengelolaan dalam project administrator pusat yang ditetapkan. Repositori terpusat ini menggabungkan cadangan berbagai resource, seperti VM Google Cloud VMware Engine yang berjalan di beberapa project layanan. Kemudian, organisasi mengonfigurasi kebijakan dalam konsol pengelolaan untuk melindungi resource mereka yang berada di project layanan yang berbeda.
Model terdesentralisasi: Dalam model terdesentralisasi, konsol pengelolaan dan vault cadangan dibuat di berbagai project berdasarkan kebutuhan spesifik organisasi dan tingkat isolasi yang diperlukan. Misalnya, organisasi dapat memilih untuk memiliki konsol pengelolaan terpisah untuk setiap lini bisnis. Pendekatan ini berguna bagi organisasi yang terdesentralisasi di mana tanggung jawab untuk mengelola dan mencadangkan resource dibagi di antara beberapa tim.
Lokasi yang didukung untuk vault cadangan
Vault cadangan dapat dibuat di region dan di multi-region.
Region
Vault cadangan dapat dibuat di region berikut:
| Area Geografis | Nama Region | Deskripsi Region | |
|---|---|---|---|
| Amerika Utara | |||
northamerica-northeast1 * |
Montréal |
 CO Rendah2
|
|
northamerica-northeast2 |
Toronto |
CO Rendah2
|
|
us-central1 |
Iowa |
CO2 rendah
|
|
us-east1 |
South Carolina | ||
us-east4 |
Northern Virginia | ||
us-east5 |
Columbus | ||
us-south1 |
Dallas |
CO2 Rendah
|
|
us-west1 |
Oregon |
CO2 rendah |
|
us-west2 |
Los Angeles | ||
us-west3 |
Salt Lake City | ||
us-west4 |
Las Vegas | ||
northamerica-south1 * |
Querétaro | ||
| Amerika Selatan | |||
southamerica-east1 |
Sao Paulo |
CO Rendah2
|
|
southamerica-west1 |
Santiago |
CO Rendah2
|
|
| Eropa | |||
europe-central2 |
Warsawa | ||
europe-north1 |
Finlandia |
CO2 rendah
|
|
europe-north2 |
Stockholm |
CO Rendah2
|
|
europe-southwest1 |
Madrid |
CO2 rendah
|
|
europe-west1 |
Belgia |
CO2 rendah
|
|
europe-west2 |
London |
CO Rendah2
|
|
europe-west3 |
Frankfurt | ||
europe-west4 |
Belanda |
CO2 rendah
|
|
europe-west6 |
Zürich |
CO Rendah2
|
|
europe-west8 |
Milan | ||
europe-west9 |
Paris |
CO Rendah2
|
|
europe-west10 |
Berlin | ||
europe-west12 |
Turin | ||
| Timur Tengah | |||
me-central1 |
Doha | ||
me-central2 |
Dammam | ||
me-west1 |
Israel | ||
| Afrika | |||
africa-south1 |
Johannesburg | ||
| Asia Pasifik | |||
asia-east1 |
Taiwan | ||
asia-east2 |
Hong Kong | ||
asia-northeast1 |
Tokyo | ||
asia-northeast2 * |
Osaka | ||
asia-northeast3 |
Seoul | ||
asia-southeast1 |
Singapura | ||
asia-southeast2 |
Jakarta | ||
australia-southeast1 |
Sydney | ||
australia-southeast2 |
Melbourne | ||
| India | |||
asia-south1 |
Mumbai | ||
asia-south2 |
Delhi |
* Querétaro, Montréal, dan Osaka masing-masing memiliki tiga zona yang ditempatkan di satu atau dua pusat data fisik. Jika terjadi bencana yang jarang terjadi, data yang disimpan di region ini dapat hilang.
Multi-region
Vault cadangan dapat dibuat di multi-region berikut:
| Nama Multi-Region | Deskripsi Multi-Region |
|---|---|
ASIA |
Pusat data di Asia |
EU |
Pusat data di Uni Eropa |
US |
Pusat data di Amerika Serikat |
Kompatibilitas lokasi workload
Tabel ini menjelaskan lokasi brankas pencadangan yang kompatibel untuk setiap workload yang didukung, saat menggunakan brankas pencadangan regional. Perhatikan bahwa rencana pencadangan di konsol Google Cloud harus dibuat di region yang sama dengan workload sumber.
| Workload | Apakah vault cadangan harus berada di region yang sama dengan workload sumber? | Region vault cadangan yang didukung |
|---|---|---|
| Instance Compute Engine | Ya | Semua wilayah yang didukung |
| Disk Compute Engine | Ya | Semua wilayah yang didukung |
| Instance Filestore | Ya | Bukan multi-region |
| Cluster AlloyDB (Pratinjau) | Ya | Bukan multi-region |
| Instance Cloud SQL (Pratinjau) | Ya | Bukan multi-region |
| Google Cloud VMware Engine, database Oracle, dan database SQL Server | Tidak | Semua wilayah yang didukung |
Jika workload mendukung penggunaan vault cadangan multi-region, lokasi workload sumber harus kompatibel dengan lokasi vault cadangan multi-region.
Kompatibilitas multi-region ditentukan oleh awalan lokasi workload:
- Resource di region dengan awalan "asia" hanya diizinkan untuk dicadangkan ke multi-region "asia".
- Resource di region dengan awalan "us" hanya diizinkan untuk dicadangkan ke multi-region "us"
- Resource di region dengan awalan "europe" hanya diizinkan untuk dicadangkan ke multi-region "eu".
Tabel ini menjelaskan lokasi brankas cadangan yang kompatibel untuk setiap beban kerja yang didukung saat menggunakan brankas cadangan multi-region.
| Workload | Mendukung penggunaan brankas cadangan multi-region? | Multi-region brankas pencadangan yang didukung |
|---|---|---|
| Instance Compute Engine | Ya | asia, eropa, amerika serikat |
| Disk Compute Engine | Ya | asia, eropa, amerika serikat |
| Instance Filestore | Tidak | T/A |
| Cluster AlloyDB (Pratinjau) | Tidak | T/A |
| Instance Cloud SQL (Pratinjau) | Tidak | T/A |
| Google Cloud VMware Engine, database Oracle, dan database SQL Server | Tidak | T/A |
Ketersediaan
Vault cadangan yang dibuat di lokasi regional memberikan ketahanan terhadap pemadaman layanan satu zona. Data cadangan disimpan secara redundan di setidaknya dua zona terpisah.
Vault cadangan yang dibuat di lokasi multi-region memberikan ketahanan terhadap pemadaman layanan di satu region. Data cadangan disimpan secara redundan di setidaknya dua region terpisah.
Nama vault cadangan
Nama brankas cadangan Anda harus memenuhi persyaratan berikut:
- Nama brankas cadangan hanya boleh berisi huruf kecil, karakter numerik, tanda hubung (
-), garis bawah (_), dan titik (.). Tidak diperbolehkan ada spasi. - Nama brankas cadangan harus diawali dan diakhiri dengan angka atau huruf.
- Nama brankas cadangan harus berisi 3-63 karakter. Nama yang berisi titik dapat berisi hingga 222 karakter, tetapi setiap komponen yang dipisahkan titik tidak boleh lebih dari 63 karakter.
- Nama brankas cadangan tidak dapat direpresentasikan sebagai alamat IP dalam notasi desimal bertitik. Misalnya,
192.0.2.255.
Mencegah penghapusan cadangan
Cadangan akan disimpan selama jangka waktu minimum ini sebelum dapat dihapus. Data di vault akan dikenai biaya penyimpanan selama durasi periode ini.
Retensi minimum yang diterapkan
Periode retensi minimum yang diterapkan di vault cadangan memungkinkan Anda mengontrol kapan cadangan dapat dihapus untuk melindungi data dari penghapusan yang tidak disengaja atau berbahaya. Cadangan di dalam vault cadangan hanya memenuhi syarat untuk dihapus setelah mencapai akhir durasi retensi minimum yang diterapkan. Saat membuat brankas cadangan baru, Anda harus menentukan periode retensi minimum yang diterapkan antara 1 hari dan 99 tahun.
Jika Anda membuat brankas cadangan dengan Retensi minimum yang diterapkan selama tiga hari, Maka setiap aturan pencadangan yang menyimpan cadangan di brankas ini harus memiliki nilai Hapus cadangan setelah yang sama dengan atau lebih besar dari tiga hari.
Mencegah penghapusan selama durasi yang ditentukan dalam aturan pencadangan
Setelan ini memungkinkan backup vault menerapkan periode retensi yang ditentukan dalam rencana pencadangan terkait, dan memperlakukannya sebagai kunci yang tidak dapat dihapus.
Jika Anda mengaktifkan opsi ini di brankas cadangan:
- Periode retensi yang ditentukan dalam aturan pencadangan lebih diutamakan dan bertindak sebagai retensi yang diterapkan. Periode Retensi yang diterapkan minimum vault diabaikan.
- Penghapusan manual dicegah. Cadangan tidak dapat dihapus secara manual selama periode retensi yang diterapkan ini. Cadangan akan otomatis dihapus hanya setelah durasi yang ditentukan dalam aturan rencana pencadangan berakhir.
- Jika setelan ini aktif, Kolom retensi yang diterapkan untuk brankas cadangan akan menunjukkan Diwarisi dari aturan.
Contoh: Prioritas retensi
Jika Anda memiliki konfigurasi berikut:
- Vault cadangan Retensi minimum yang diterapkan: 3 hari
- Vault cadangan Cegah penghapusan selama durasi yang ditentukan dalam aturan pencadangan: Diaktifkan
- Rencana pencadangan Hapus cadangan setelah: 7 hari
Hasil:
Retensi minimum 3 hari brankas diabaikan. Cadangan dikunci selama periode 7 hari yang ditentukan dalam aturan paket pencadangan. Cadangan tidak dapat dihapus secara manual selama waktu ini dan akan otomatis dihapus hanya setelah 7 hari berlalu.
Mengunci periode retensi data yang diterapkan
Anda dapat mencegah pemendekan periode retensi minimum yang diterapkan pada brankas cadangan dengan mengunci brankas cadangan. Anda tetap dapat memperpanjang periode retensi minimum yang diterapkan setelah dikunci, lihat Memperbarui periode retensi minimum yang diterapkan.
Saat menyetel penguncian, Anda harus menentukan tanggal saat penguncian berlaku. Sebelum tanggal efektif tercapai, Anda dapat memperpanjang atau memperpendek periode retensi yang diterapkan di brankas cadangan. Namun, setelah tanggal berlaku kunci tercapai, bahkan pemilik project tidak dapat mengurangi periode retensi yang diterapkan untuk vault cadangan tersebut.
Misalnya, Anda telah menetapkan periode minimum yang diterapkan menjadi lima hari, menentukan bahwa brankas harus dikunci, dan telah menetapkan tanggal efektif penguncian menjadi 31 Juli 2024, pukul 00.00 UTC. Hingga 31 Juli 2024, pukul 00.00 UTC, Anda dapat menambah atau mengurangi periode retensi minimum yang diterapkan. Setelah itu, Anda hanya dapat memperpanjang periode retensi minimum yang diterapkan.
Pembatasan akses brankas cadangan
Setelan batasan akses brankas cadangan memungkinkan Anda mengontrol sumber tempat data dapat dicadangkan ke atau dipulihkan dari brankas cadangan. Setelan ini menentukan jenis resource yang dapat Anda simpan di brankas cadangan.
Anda dapat memilih salah satu setelan pembatasan akses berikut untuk vault cadangan. Perhatikan bahwa setelan ini bersifat permanen dan tidak dapat diubah.
- Membatasi akses ke organisasi saat ini: operasi pencadangan dan pemulihan hanya didukung dalam organisasi Anda saat ini. Pilihan ini membuat vault cadangan kompatibel dengan resource yang dikelola melalui konsolGoogle Cloud , seperti VM Compute Engine, tetapi tidak dengan resource yang dikelola melalui konsol pengelolaan.
- Membatasi akses ke project saat ini: operasi pencadangan dan pemulihan hanya didukung dalam project saat ini. Pilihan ini membuat vault cadangan kompatibel dengan resource yang dikelola melalui konsolGoogle Cloud (misalnya, VM Compute Engine), tetapi tidak dengan resource yang dikelola melalui konsol pengelolaan.
- Batasi akses ke organisasi saat ini & akses tidak terbatas untuk solusi pencadangan: untuk resource yang dikelola melalui konsol Google Cloud , operasi pencadangan dan pemulihan hanya didukung dalam organisasi Anda saat ini. Resource yang dikelola melalui konsol pengelolaan (misalnya, VM Google Cloud VMware Engine) juga didukung, tetapi operasi pencadangan dan pemulihan untuk resource tersebut tidak dibatasi untuk organisasi Anda saat ini. Opsi ini membuat vault cadangan kompatibel dengan resource yang dikelola melalui konsolGoogle Cloud dan dengan resource yang dikelola melalui konsol pengelolaan.
- Izinkan akses tidak terbatas: mengizinkan operasi pencadangan dan pemulihan ke atau dari project atau organisasi apa pun. Dengan pilihan ini, brankas cadangan akan kompatibel dengan resource yang dikelola melalui konsol Google Cloud dan dengan resource yang dikelola melalui konsol pengelolaan.
Langkah berikutnya
- Membuat dan mengelola brankas cadangan di konsol Google Cloud
- Mengelola sumber data di konsol Google Cloud
- Mengelola pencadangan di konsol Google Cloud
- Membuat dan mengelola brankas cadangan di konsol Google Cloud
- Mencadangkan instance Compute Engine ke vault cadangan
- Mencadangkan cluster AlloyDB ke vault cadangan
- Mencadangkan instance Cloud SQL ke vault cadangan
- Mencadangkan disk ke vault cadangan
- Mengelola sumber data di konsol Google Cloud
- Mengelola pencadangan di konsol Google Cloud