Auf dieser Seite wird der Backup-Tresor des Backup- und DR-Dienstes beschrieben. Dazu gehören unterstützte Sicherungsmodelle, verfügbare Standorte und Ressourcen, wichtige Funktionen wie erzwungene Aufbewahrungszeiträume und Zugriffsbeschränkungen sowie die Verwaltung des Tresors.
Übersicht über den Backup Vault des Backup- und DR-Dienstes
Ein Sicherungstresor ist ein Container, in dem Sicherungen gespeichert werden. Er ähnelt dem selbstverwalteten Speicher, mit dem Sie einen Cloud Storage-Bucket zum Speichern Ihrer Daten erstellen können. Ein Backup Vault bietet jedoch zusätzliche Vorteile, da Sicherungen in einem sicheren, isolierten und spezialisierten Speicher geschützt werden. Backup Vaults sind so konzipiert, dass sie die Robustheit gegen böswilliges oder versehentliches Löschen von Sicherungen unterstützen, indem sie unveränderliche und nicht löschbare Sicherungen bereitstellen. Diese Funktion unterstützt verschiedene Anwendungsfälle für den Datenschutz, z. B. die Wiederherstellung nach Nutzerfehlern und die Cyber-Wiederherstellung.
Im Zusammenhang mit einem Backup Vault sind Sicherungen so konzipiert, dass sie unveränderlich und nicht löschbar sind:
- Unveränderlich:Nachdem ein Backup in einem Backup Vault erstellt wurde, kann sein Inhalt nicht mehr geändert werden. So bleiben die Sicherungsdaten genau so, wie sie bei der Erstellung waren, und sind vor unbefugten oder versehentlichen Änderungen geschützt.
- Unlöschbar:Sicherungen in einem Backup Vault können erst gelöscht werden, wenn die erzwungene Aufbewahrungsdauer abgelaufen ist. So wird verhindert, dass Sicherungen versehentlich oder böswillig gelöscht werden, und sie sind bei Bedarf verfügbar.
Funktionsweise von Backup Vaults
Wenn Sicherungen in einem Backup Vault gespeichert werden, übernimmt der Backup- und DR-Dienst die Speicherung und Verwaltung der Sicherungsdaten. Sie haben keinen direkten Zugriff auf die zugrunde liegenden Speicherressourcen, in denen die Daten gespeichert sind. Dadurch sind diese Ressourcen vor direkten Angriffen geschützt. Außerdem können Sie für Backup Vaults eine erzwungene Mindestaufbewahrungsdauer festlegen. Dadurch wird verhindert, dass eine Sicherung vor Ablauf des angegebenen Zeitraums abläuft. Das schützt vor versehentlichem oder böswilligem Löschen.
Bei Verwendung eines ordnungsgemäß konfigurierten Sicherungstresors erfüllt der Backup and DR Service die wichtigsten WORM-Anforderungen (Write Once, Read Many) der SEC (US), wie unter SEC (US) beschrieben.
Sie erstellen, greifen auf Backup Vaults zu und verwalten sie mit demGoogle Cloud Backup- und DR-Dienst. In Backup Vaults werden Sicherungen in Regionen oder Multiregionen gespeichert.
Das Backup Vault-Ressourcenmodell
Backup Vaults haben ein dreistufiges hierarchisches Ressourcenmodell zum Organisieren von Sicherungsdaten:
Backup Vault: Eine benutzerdefinierte Ressource der obersten Ebene zum Speichern von Sicherungsdaten des Backup- und DR-Dienstes.
Datenquelle: Die spezifische Ressource, die gesichert wird, z. B. eine VM (virtuelle Maschine), eine Datenbankinstanz oder ein Cluster. Eine einzelne Datenquelle kann mehrere Sicherungen enthalten. Eine Datenquelle ist eine untergeordnete Ressource eines Sicherungstresors.
Sicherung: Eine einzelne Sicherung für die Ressource, die von der Datenquelle angegeben wird. Eine Sicherung ist eine untergeordnete Ressource einer Datenquelle.
Das folgende Diagramm zeigt das Ressourcenmodell für Backup-Tresore:
Unterstützte Ressourcen
Die folgende Tabelle enthält Informationen zu den Ressourcen, die von Sicherungstresoren unterstützt werden, und dazu, wie Sie sie verwalten.
| Arbeitslast | Verwaltet von |
|---|---|
| Compute Engine-Instanz | Google Cloud Console |
| Compute Engine-Laufwerk | Google Cloud Console |
| Filestore-Instanz | Google Cloud Console |
| AlloyDB-Cluster (Vorabversion) | Google Cloud Console |
| Cloud SQL-Instanz (Vorschau) | Google Cloud Console |
| Google Cloud VMware Engine, Oracle-Datenbank und SQL Server-Datenbank | Verwaltungskonsole |
Sicherungsmodelle für Ressourcen, die mit der Google Cloud Console geschützt sind
In diesem Abschnitt werden die beiden Sicherungsmodelle für Ressourcen beschrieben, die mit derGoogle Cloud Console geschützt werden.
Zentralisiertes Modell: In diesem Modell optimieren Organisationen die Sicherungsverwaltung, indem sie Backup Vaults und ‑pläne in einem bestimmten zentralen Administratorprojekt erstellen. In diesem zentralen Repository werden Back-ups verschiedener Ressourcen wie Compute Engine-VMs konsolidiert, die in mehreren Dienstprojekten ausgeführt werden. Organisationen verwenden diese zentral verwalteten Sicherungspläne dann, um ihre Compute Engine-VMs zu schützen, die sich in verschiedenen Dienstprojekten befinden.
Sicherungsadministratoren können Anwendungs- oder Plattforminhabern in Dienstprojekten auch über IAM-Berechtigungen Zugriff auf Sicherungspläne gewähren. Durch die Gewährung des Zugriffs können Plattforminhaber die Verantwortung für die Sicherung ihrer Anwendungen übernehmen.
Dezentrales Modell: Im dezentralen Modell werden Sicherungstresore in verschiedenen Projekten erstellt, basierend auf den spezifischen Anforderungen der Organisation und den erforderlichen Isolationsstufen. Das bedeutet, dass für jedes Projekt mit verschiedenen Ressourcen wie Compute Engine-VMs ein Backup Vault und ein Sicherungsplan erstellt werden. Dieser Ansatz ist für dezentrale Organisationen von entscheidender Bedeutung, in denen die Verantwortung für die Sicherung von VMs beim jeweiligen Anwendungsteam liegt.
Sicherungsmodelle für Ressourcen, die über die Verwaltungskonsole geschützt sind
In diesem Abschnitt werden die beiden Sicherungsmodelle für Ressourcen beschrieben, die über die Verwaltungskonsole geschützt werden.
Zentralisiertes Modell: In diesem Modell optimieren Organisationen die Sicherungsverwaltung, indem sie Backup Vaults erstellen und die Verwaltungskonsole in einem dafür vorgesehenen zentralen Administratorprojekt bereitstellen. In diesem zentralen Repository werden Back-ups verschiedener Ressourcen konsolidiert, z. B. von Google Cloud VMware Engine-VMs, die in mehreren Dienstprojekten ausgeführt werden. Organisationen konfigurieren dann Richtlinien in der Verwaltungskonsole, um ihre Ressourcen in verschiedenen Dienstprojekten zu schützen.
Dezentrales Modell: Im dezentralen Modell werden Verwaltungskonsolen und Backup-Tresore in verschiedenen Projekten erstellt, die auf die spezifischen Anforderungen und erforderlichen Isolationsstufen der Organisation abgestimmt sind. Eine Organisation kann beispielsweise für jede Sparte eine separate Verwaltungskonsole verwenden. Dieser Ansatz ist nützlich für dezentrale Organisationen, in denen die Verantwortung für die Verwaltung und Sicherung von Ressourcen auf mehrere Teams aufgeteilt ist.
Unterstützte Standorte für Backup Vaults
Backup Vaults können in Regionen und Multiregionen erstellt werden.
Regionen
Backup Vaults können in den folgenden Regionen erstellt werden:
| Geografischer Bereich | Name der Region | Beschreibung der Region | |
|---|---|---|---|
| Nordamerika | |||
northamerica-northeast1 * |
Montreal |
 Niedriger CO2-Wert
|
|
northamerica-northeast2 |
Toronto |
Niedriger CO2-Wert
|
|
us-central1 |
Iowa |
Niedriger CO2-Wert
|
|
us-east1 |
South Carolina | ||
us-east4 |
Northern Virginia | ||
us-east5 |
Columbus | ||
us-south1 |
Dallas |
Niedriger CO2-Wert
|
|
us-west1 |
Oregon |
Niedriger CO2-Wert |
|
us-west2 |
Los Angeles | ||
us-west3 |
Salt Lake City | ||
us-west4 |
Las Vegas | ||
northamerica-south1 * |
Querétaro | ||
| Südamerika | |||
southamerica-east1 |
São Paulo |
Niedriger CO2-Wert
|
|
southamerica-west1 |
Santiago |
Niedriger CO2-Wert
|
|
| Europa | |||
europe-central2 |
Warschau | ||
europe-north1 |
Finnland |
Niedriger CO2-Wert
|
|
europe-north2 |
Stockholm |
Niedriger CO2-Wert
|
|
europe-southwest1 |
Madrid |
Niedriger CO2-Wert
|
|
europe-west1 |
Belgien |
Niedriger CO2-Wert
|
|
europe-west2 |
London |
Niedriger CO2-Wert
|
|
europe-west3 |
Frankfurt | ||
europe-west4 |
Niederlande |
Niedriger CO2-Wert
|
|
europe-west6 |
Zürich |
Niedriger CO2-Wert
|
|
europe-west8 |
Mailand | ||
europe-west9 |
Paris |
Niedriger CO2-Wert
|
|
europe-west10 |
Berlin | ||
europe-west12 |
Turin | ||
| Naher Osten | |||
me-central1 |
Doha | ||
me-central2 |
Dammam | ||
me-west1 |
Israel | ||
| Afrika | |||
africa-south1 |
Johannesburg | ||
| Asiatisch-pazifischer Raum | |||
asia-east1 |
Taiwan | ||
asia-east2 |
Hongkong | ||
asia-northeast1 |
Tokio | ||
asia-northeast2 * |
Osaka | ||
asia-northeast3 |
Seoul | ||
asia-southeast1 |
Singapur | ||
asia-southeast2 |
Jakarta | ||
australia-southeast1 |
Sydney | ||
australia-southeast2 |
Melbourne | ||
| Indien | |||
asia-south1 |
Mumbai | ||
asia-south2 |
Delhi |
* Querétaro, Montréal und Osaka haben jeweils drei Zonen, die sich in einem oder zwei physischen Rechenzentren befinden. Im seltenen Fall einer Katastrophe können in diesen Regionen gespeicherte Daten verloren gehen.
Multiregionen
Backup Vaults können in den folgenden Multi-Regionen erstellt werden:
| Name | Beschreibung |
|---|---|
ASIA |
Rechenzentren in Asien |
EU |
Rechenzentren in der Europäischen Union |
US |
Rechenzentren in den USA |
Kompatibilität des Arbeitslaststandorts
In dieser Tabelle werden die kompatiblen Backup Vault-Standorte für die einzelnen unterstützten Arbeitslasten bei Verwendung regionaler Backup Vaults beschrieben. Sicherungspläne in derGoogle Cloud -Konsole müssen in derselben Region wie die Quell-Arbeitslast erstellt werden.
| Arbeitslast | Muss sich das Backup Vault in derselben Region wie die Quell-Workload befinden? | Unterstützte Backup Vault-Regionen |
|---|---|---|
| Compute Engine-Instanz | Ja | Alle unterstützten Regionen |
| Compute Engine-Laufwerk | Ja | Alle unterstützten Regionen |
| Filestore-Instanz | Ja | Keine Multiregionen |
| AlloyDB-Cluster (Vorabversion) | Ja | Keine Multiregionen |
| Cloud SQL-Instanz (Vorschau) | Ja | Keine Multiregionen |
| Google Cloud VMware Engine, Oracle-Datenbank und SQL Server-Datenbank | Nein | Alle unterstützten Regionen |
Wenn eine Arbeitslast die Verwendung von multiregionalen Backup Vaults unterstützt, muss der Speicherort der Quellarbeitslast mit dem Speicherort des multiregionalen Backup Vaults kompatibel sein.
Die Kompatibilität mit mehreren Regionen wird durch das Präfix des Arbeitslaststandorts bestimmt:
- Ressourcen in Regionen mit dem Präfix „asia“ dürfen nur in der Multiregion „asia“ gesichert werden.
- Ressourcen in Regionen mit dem Präfix „us“ dürfen nur in der Multiregion „us“ gesichert werden.
- Ressourcen in Regionen mit dem Präfix „europe“ dürfen nur in der Mehrfachregion „eu“ gesichert werden.
In dieser Tabelle werden die kompatiblen Backup Vault-Speicherorte für die einzelnen unterstützten Arbeitslasten bei Verwendung multiregionaler Backup Vaults beschrieben.
| Arbeitslast | Wird die Verwendung von multiregionalen Backup Vaults unterstützt? | Unterstützte multiregionale Backup Vaults |
|---|---|---|
| Compute Engine-Instanz | Ja | asia, eu, us |
| Compute Engine-Laufwerk | Ja | asia, eu, us |
| Filestore-Instanz | Nein | – |
| AlloyDB-Cluster (Vorabversion) | Nein | – |
| Cloud SQL-Instanz (Vorschau) | Nein | – |
| Google Cloud VMware Engine, Oracle-Datenbank und SQL Server-Datenbank | Nein | – |
Verfügbarkeit
Backup Vaults, die an regionalen Standorten erstellt werden, bieten Schutz vor Ausfällen in einer einzelnen Zone. Sicherungsdaten werden redundant in mindestens zwei separaten Zonen gespeichert.
Backup Vaults, die an Multi-Region-Standorten erstellt werden, bieten Schutz vor Ausfällen in einer einzelnen Region. Sicherungsdaten werden redundant in mindestens zwei separaten Regionen gespeichert.
Namen von Backup Vaults
Namen von Sicherungstresoren müssen die folgenden Anforderungen erfüllen:
- Sicherungs-Vault-Namen dürfen nur Kleinbuchstaben, Ziffern, Bindestriche (
-), Unterstriche (_) und Punkte (.) enthalten. Leerzeichen sind nicht zulässig. - Namen von Sicherungstresoren müssen mit einer Ziffer oder einem Buchstaben beginnen und enden.
- Namen von Sicherungstresoren müssen zwischen 3 und 63 Zeichen lang sein. Namen mit Punkten dürfen bis zu 222 Zeichen lang sein, wobei jeder durch einen Punkt getrennte Teil nicht mehr als 63 Zeichen enthalten darf.
- Sicherungs-Vault-Namen dürfen nicht wie eine IP-Adresse im Dezimalformat mit Punkten als Trennzeichen dargestellt werden. Beispiel:
192.0.2.255.
Löschen der Sicherung verhindern
Sicherungen werden für diesen Mindestzeitraum aufbewahrt, bevor sie gelöscht werden können. Für die Daten im Vault fallen über diesen Zeitraum Speichergebühren an.
Erzwungene Mindestaufbewahrung
Mit der erzwungenen Mindestaufbewahrungsdauer für Backup Vaults können Sie festlegen, wann eine Sicherung gelöscht werden kann, um Daten vor versehentlichem oder böswilligem Löschen zu schützen. Sicherungen in Backup Vaults können erst gelöscht werden, wenn die erzwungene Mindestaufbewahrungsdauer abgelaufen ist. Wenn Sie einen neuen Sicherungs-Vault erstellen, müssen Sie eine erzwungene Mindestaufbewahrungsdauer zwischen 1 Tag und 99 Jahren angeben.
Wenn Sie einen Backup Vault mit einer erzwungenen Mindestaufbewahrungsdauer von drei Tagen erstellen, muss für jede Sicherungsregel, mit der Sicherungen in diesem Vault gespeichert werden, ein Wert für Sicherungen löschen nach von mindestens drei Tagen festgelegt werden.
Löschen für die in der Sicherungsregel angegebene Dauer verhindern
Mit dieser Einstellung kann ein Backup Vault den im zugehörigen Sicherungsplan definierten Aufbewahrungszeitraum übernehmen und ihn als nicht löschbare Sperre behandeln.
Wenn Sie diese Option für einen Sicherungstresor aktivieren:
- Die in der Sicherungsregel angegebene Aufbewahrungsdauer hat Vorrang und gilt als erzwungene Aufbewahrungsdauer. Die erzwungene Mindestaufbewahrung des Vaults wird ignoriert.
- Das manuelle Löschen wird verhindert. Während dieses erzwungenen Aufbewahrungszeitraums können Sicherungen nicht manuell gelöscht werden. Sie werden erst automatisch gelöscht, wenn die in der Regel des Sicherungsplans angegebene Dauer abgelaufen ist.
- Wenn diese Einstellung aktiv ist, wird in der Spalte Erzwungene Aufbewahrung für den Backup-Vault Von Regel übernommen angezeigt.
Beispiel: Vorrang bei der Aufbewahrung
Wenn Sie die folgende Konfiguration haben:
- Backup Vault Erzwungene Mindestaufbewahrung: 3 Tage
- Backup Vault Löschen für die in der Sicherungsregel angegebene Dauer verhindern: aktiviert
- Sicherungsplan Sicherungen löschen nach: 7 Tage
Ergebnis:
Die 3-tägige Mindestaufbewahrungsdauer des Vaults wird ignoriert. Die Sicherung ist für den im Sicherungsplan angegebenen Zeitraum von 7 Tagen gesperrt. Die Sicherung kann in dieser Zeit nicht manuell gelöscht werden und wird erst nach 7 Tagen automatisch gelöscht.
Erzwungene Aufbewahrungsdauer dauerhaft festlegen
Sie können verhindern, dass die erzwungene Mindestaufbewahrungsdauer eines Backup Vaults verkürzt wird, indem Sie den Backup Vault sperren. Sie können die erzwungene Mindestaufbewahrungsdauer auch nach dem Sperren noch verlängern. Weitere Informationen finden Sie unter Erzwungene Mindestaufbewahrungsdauer aktualisieren.
Wenn Sie eine Sperre festlegen, müssen Sie das Datum definieren, an dem die Sperre in Kraft tritt. Bis zum Datum des Inkrafttretens können Sie die erzwungene Aufbewahrungsdauer des Backup-Tresors verlängern oder verkürzen. Nach dem Datum des Inkrafttretens der Sperre kann jedoch auch der Projektinhaber die erzwungene Aufbewahrungsdauer für diesen Backup-Tresor nicht verkürzen.
Angenommen, Sie haben den Mindestzeitraum für die Erzwingung auf fünf Tage festgelegt, angegeben, dass der Tresor gesperrt werden soll, und das Sperrdatum auf den 31. Juli 2024 um 00:00 Uhr UTC festgelegt. Bis zum 31. Juli 2024 um 00:00 Uhr UTC können Sie die Mindestaufbewahrungsdauer verlängern oder verkürzen. Danach können Sie die erzwungene Mindestaufbewahrungsdauer nur noch verlängern.
Backup Vault-Zugriffsbeschränkung
Mit der Einstellung für Zugriffsbeschränkungen eines Backup Vaults können Sie die Quellen steuern, aus denen Daten in einen Backup Vault gesichert oder aus einem Backup Vault wiederhergestellt werden können. Mit dieser Einstellung wird festgelegt, welche Arten von Ressourcen Sie in einem Backup Vault speichern können.
Sie können eine der folgenden Einstellungen für die Zugriffsbeschränkung für einen Sicherungstresor auswählen. Diese Einstellung ist dauerhaft und kann nicht geändert werden.
- Zugriff auf aktuelle Organisation beschränken: Sicherungs- und Wiederherstellungsvorgänge werden nur in Ihrer aktuellen Organisation unterstützt. Durch diese Auswahl wird der Sicherungstresor mit Ressourcen kompatibel, die über dieGoogle Cloud -Konsole verwaltet werden, z. B. Compute Engine-VMs, aber nicht mit Ressourcen, die über die Verwaltungskonsole verwaltet werden.
- Zugriff auf aktuelles Projekt beschränken: Sicherungs- und Wiederherstellungsvorgänge werden nur in Ihrem aktuellen Projekt unterstützt. Durch diese Auswahl wird der Sicherungstresor mit Ressourcen kompatibel, die über dieGoogle Cloud -Konsole verwaltet werden (z. B. Compute Engine-VMs), aber nicht mit Ressourcen, die über die Verwaltungskonsole verwaltet werden.
- Zugriff auf aktuelle Organisation beschränken, aber uneingeschränkter Zugriff für Sicherungs-Appliances: Bei Ressourcen, die über die Google Cloud -Konsole verwaltet werden, werden Sicherungs- und Wiederherstellungsvorgänge nur innerhalb Ihrer aktuellen Organisation unterstützt. Ressourcen, die über die Verwaltungskonsole verwaltet werden (z. B. Google Cloud VMware Engine-VMs), werden ebenfalls unterstützt. Sicherungs- und Wiederherstellungsvorgänge für diese Ressourcen sind jedoch nicht auf Ihre aktuelle Organisation beschränkt. Durch diese Auswahl ist der Sicherungstresor mit Ressourcen kompatibel, die über dieGoogle Cloud -Konsole verwaltet werden, und mit Ressourcen, die über die Verwaltungskonsole verwaltet werden.
- Uneingeschränkten Zugriff zulassen: Ermöglicht Sicherungs- und Wiederherstellungsvorgänge in oder aus beliebigen Projekten oder Organisationen. Durch diese Auswahl wird der Sicherungstresor mit Ressourcen kompatibel, die über die Google Cloud -Konsole verwaltet werden, und mit Ressourcen, die über die Verwaltungskonsole verwaltet werden.
Nächste Schritte
- Backup Vault in der Google Cloud Console erstellen und verwalten
- Datenquellen in der Google Cloud Console verwalten
- Sicherungen in der Google Cloud Console verwalten
- Backup Vault in der Google Cloud Console erstellen und verwalten
- Compute Engine-Instanzen in einem Backup-Tresor sichern
- AlloyDB-Cluster in einem Backup Vault sichern
- Cloud SQL-Instanzen in einem Backup-Vault sichern
- Laufwerke in einem Sicherungstresor sichern
- Datenquellen in der Google Cloud Console verwalten
- Sicherungen in der Google Cloud Console verwalten