Backup Vault erstellen und verwalten

Übersicht

Auf dieser Seite wird beschrieben, wie Sie einen Sicherungstresor in derGoogle Cloud -Konsole erstellen und verwalten.

Hinweise

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Backup and DR Backup Vault Admin (roles/backupdr.backupvaultAdmin) für das Projekt zuzuweisen, in dem Sie einen Sicherungstresor erstellen möchten, um die Berechtigungen zu erhalten, die Sie zum Erstellen und Verwalten eines Sicherungstresors benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Erstellen und Verwalten eines Backup-Tresors erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um einen Backup Vault zu erstellen und zu verwalten:

  • backupdr.backupVaults.create
  • backupdr.backupVaults.list
  • backupdr.backupVaults.get
  • backupdr.backupVaults.update
  • backupdr.backupVaults.delete

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Backup Vault erstellen

So erstellen Sie einen Sicherungstresor:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Backup-Tresore auf.

    Sicherungs-Vaults aufrufen

  2. Klicken Sie auf Backup Vault erstellen.

  3. Geben Sie auf der Seite Backup Vault erstellen die Informationen für Ihren Backup Vault ein.

    1. Geben Sie im Feld Sicherungs-Vault benennen einen Namen ein, der den Anforderungen für Namen von Sicherungs-Vaults entspricht.
    2. Klicken Sie auf Weiter.
    3. Wählen Sie in der Liste Speicherort für Daten auswählen einen Standort aus, an dem die Sicherungsdaten dauerhaft gespeichert werden sollen.
    4. Klicken Sie auf Weiter.
    5. Geben Sie im Feld Löschen von Sicherungen verhindern die erzwungene Mindestaufbewahrungsdauer ein, die festlegt, wie lange Sicherungen vor dem Löschen geschützt sind. Die Mindestdauer beträgt 1 Tag und die Höchstdauer 99 Jahre.
    6. Wenn Sie den Wert der erzwungenen Mindestaufbewahrungsdauer sperren möchten, aktivieren Sie das Kästchen Erzwungene Aufbewahrung sperren, klicken Sie auf das Symbol  und wählen Sie das Datum im Kalender aus.
    7. Wählen Sie im Abschnitt Zugriff auf den Backup Vault definieren eine Option aus, um Zugriffsbeschränkungen für den Backup Vault zu definieren. Wenn Sie keine Option auswählen, wird der Backup Vault mit der Einschränkung Zugriff auf aktuelle Organisation beschränken erstellt.

  4. Klicken Sie auf Erstellen.

gcloud

  1. Richten Sie in einer der folgenden Entwicklungsumgebungen die gcloud CLI ein:
  2. Cloud Shell: Aktivieren Sie Cloud Shell, um ein Onlineterminal mit der bereits eingerichteten gcloud CLI zu verwenden. Unten auf dieser Seite wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Das Initialisieren der Sitzung kann einige Sekunden dauern.

  3. Lokale Shell: Zur Verwendung einer lokalen Entwicklungsumgebung müssen Sie die gcloud CLI installieren und initialisieren.

  4. Backup Vault erstellen

      gcloud backup-dr backup-vaults create BACKUPVAULT_NAME \
  --project=PROJECT_ID \
  --location=LOCATION \
  --backup-min-enforced-retention=RETENTION_PERIOD_IN_DAYS
  --access-restriction=ACCESS_RESTRICTION

    Ersetzen Sie Folgendes:

    • BACKUPVAULT_NAME: der Name des Sicherungstresors.
    • PROJECT_ID: der Name des Projekts, in dem Sie den Sicherungstresor erstellen möchten.
    • LOCATION: der Ort, an dem Sie einen Sicherungstresor erstellen möchten.
    • RETENTION_PERIOD_IN_DAYS: Der Zeitraum, in dem jede Sicherung im Backup Vault nicht gelöscht werden kann. Die Mindestdauer beträgt 1 Tag und die Höchstdauer 99 Jahre. Beispiel: 2w1d entspricht zwei Wochen und einem Tag. Weitere Informationen finden Sie unter Erzwungene Mindestaufbewahrungsdauer für Backup Vaults.
    • ACCESS_RESTRICTION: Geben Sie Zugriffsbeschränkungen für den Backup Vault an. Die zulässigen Werte sind within-project, within-org, unrestricted und within-org-but-unrestricted-for-ba. Wenn Sie keinen Wert angeben, wird der Sicherungstresor mit der Einschränkung within-org erstellt.

  5. Prüfen Sie den Status des Vorgangs.

      gcloud backup-dr operations describe FULL_OPERATION_ID

    Ersetzen Sie Folgendes:

    • FULL_OPERATION_ID: die Vorgangs-ID, die für den Sicherungstresor angezeigt wird. Sie hat folgendes Format: projects/test-project/locations/us-central1/operations/operationID

    Die Ausgabe sieht so aus:

    
    Create in progress for backup vault [projects/test-project/locations/us-central1/operations/operation-1721893921568-41e0dab8938a1-f1dc6ad2-3051b3ce]. Run the [gcloud backup-dr operations describe] command to check the status of this operation.

Terraform

Sie können eine Terraform-Ressource zum Erstellen eines Sicherungstresors verwenden.


resource "google_backup_dr_backup_vault" "default" {
  provider                                   = google-beta
  location                                   = "us-central1"
  backup_vault_id                            = "my-vault"
  description                                = "This vault is created usingTerraform."
  backup_minimum_enforced_retention_duration = "100000s"
  force_update                               = "true"
  ignore_inactive_datasources                = "true"
  allow_missing                              = "true"
}

Backup Vaults in einem Projekt auflisten

So listen Sie Backup Vaults in einem Projekt auf:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Backup-Tresore auf.

    Sicherungs-Vaults aufrufen

    Sicherungstresore, die Teil des ausgewählten Projekts sind, werden in der Liste angezeigt.

gcloud

  1. Backup Vaults auflisten.

      gcloud backup-dr backup-vaults list \
  --project=PROJECT_ID \
  --location=LOCATION

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Name des Projekts, in dem die Backup-Tresore erstellt werden.
    • LOCATION: der Speicherort, an dem die Sicherungstresore erstellt werden.

Details zum Backup Vault ansehen

Auf der Seite mit den Details zum Sicherungstresor werden die Konfigurationsinformationen angezeigt. Dort können Sie die bearbeitbaren Elemente aktualisieren.

Das Feld Sperrstatus auf der Seite mit den Details zum Sicherungstresor kann einen der folgenden Werte haben:

  • Entsperrt: Für den Backup Vault ist keine Sperre angewendet und es steht auch keine an.
  • Sperre tritt am [Datum] in Kraft: Für den Backup Vault wurde eine Sperre festgelegt, die am angegebenen Datum in Kraft tritt.
  • Gesperrt: Der Wert der erzwungenen Mindestaufbewahrungsdauer des Backup Vaults ist gesperrt und kann nicht reduziert oder entfernt werden.

So rufen Sie die Details zum Backup Vault auf:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Backup-Tresore auf.

    Sicherungs-Vaults aufrufen

    Auf dieser Seite werden Backup Vaults aufgeführt, die Teil des ausgewählten Projekts sind.

  2. Klicken Sie auf den Sicherungstresor, den Sie sich ansehen möchten.

    Auf der Seite mit den Details zum Sicherungs-Vault werden die Konfigurationsinformationen angezeigt, einschließlich des Werts für die erzwungene Mindestaufbewahrungsdauer und des Sperrstatus.

gcloud

  1. Details zum Backup Vault ansehen

      gcloud backup-dr backup-vaults describe BACKUPVAULT_NAME \
  --location=LOCATION \
  --project=PROJECT_ID

    Ersetzen Sie Folgendes:

    • BACKUPVAULT_NAME: der Name des Sicherungstresors.
    • LOCATION: Der Speicherort des Backup Vault.
    • PROJECT_ID: der Name des Projekts, in dem der Sicherungstresor erstellt wird.

Erzwungene Mindestaufbewahrungsdauer für einen vorhandenen Backup Vault aktualisieren

Sie können die erzwungene Mindestaufbewahrungsdauer basierend auf dem Status der Sperre aktualisieren.

  • Entsperrt: Sie können die erzwungene Mindestaufbewahrungsdauer verlängern oder verkürzen.
  • Gesperrt: Sie können die erzwungene Mindestaufbewahrungsdauer nur verlängern.

Die Sperre kann nicht entfernt werden, wenn das Datum des Inkrafttretens erreicht wurde. Wenn das Datum des Inkrafttretens jedoch noch nicht erreicht ist, können Sie die Sperre entfernen. Dadurch wird das ursprünglich angegebene Datum des Inkrafttretens gelöscht.

Änderungen am Wert des erzwungenen Mindestaufbewahrungszeitraums gelten nur für Backups, die nach der Aktualisierung erstellt wurden. Änderungen am Wert der erzwungenen Mindestaufbewahrungsdauer haben keine Auswirkungen auf die verbleibende erzwungene Aufbewahrung für Sicherungen, die bereits im Backup Vault vorhanden sind.

Wenn Sie den erzwungenen Aufbewahrungszeitraum für einen Backup Vault verlängern, sollte der erzwungene Aufbewahrungszeitraum des Backup Vault nicht den Aufbewahrungszeitraum im Sicherungsplan für Sicherungen überschreiten, die Sie im Backup Vault speichern. Wenn der geänderte Wert länger als der Aufbewahrungszeitraum für Sicherungen ist, werden diese Änderungen vom Backup and DR Service je nach Sicherungsplantyp unterschiedlich behandelt.

  • Google Cloud konsolenbasierte Pläne: Änderungen am Wert des Sicherungstresors sind nicht möglich.

  • Auf der Verwaltungskonsole basierende Pläne: Änderungen am Wert des Sicherungstresors sind zulässig. Sie sollten jedoch die entsprechenden Sicherungspläne sofort aktualisieren, um eine Aufbewahrungsdauer anzugeben, die dem aktualisierten Mindestaufbewahrungszeitraum des Sicherungstresors entspricht oder länger ist.

    Sicherungen, die erstellt werden, während die Aufbewahrungsdauer des Plans kürzer ist als die erzwungene Mindestaufbewahrung des Backup Vaults, werden mit der erzwungenen Aufbewahrungsdauer erstellt, die auf die erzwungene Mindestaufbewahrung des Backup Vaults festgelegt ist. Außerdem wird das Ablaufdatum der Sicherung auf einen Zeitpunkt nach Ablauf der erzwungenen Aufbewahrungsdauer festgelegt.

Gehen Sie so vor, um die erzwungene Mindestaufbewahrungsdauer für einen vorhandenen Backup Vault zu aktualisieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Backup-Tresore auf.

    Sicherungs-Vaults aufrufen

  2. Klicken Sie in der Liste der Sicherungstresore auf den Namen des Sicherungstresors, den Sie aktualisieren möchten.

  3. Klicken Sie auf das Symbol .

  4. Geben Sie im Dialogfeld Erzwungene Mindestaufbewahrung bearbeiten den Wert für die Neue erzwungene Mindestaufbewahrungsdauer ein. Dies ist der Zeitraum, in dem jede Sicherung im Backup Vault nicht gelöscht werden kann. Die Mindestdauer beträgt 1 Tag und die Höchstdauer 99 Jahre.

  5. Wenn Sie die erzwungene Mindestaufbewahrungsdauer sperren möchten, aktivieren Sie das Kästchen Erzwungene Aufbewahrung sperren und wählen Sie dann das Sperrdatum im Kalender aus.

  6. Klicken Sie auf Speichern.

gcloud

  1. Aktualisieren Sie die erzwungene Mindestaufbewahrungsdauer für einen vorhandenen Backup Vault.

      gcloud backup-dr backup-vaults update BACKUPVAULT_NAME\
  --project=PROJECT_ID \
  --location=LOCATION \
  --backup-min-enforced-retention=RETENTION_PERIOD_IN_DAYS

    Ersetzen Sie Folgendes:

    • BACKUPVAULT_NAME: der Name des Sicherungstresors.
    • PROJECT_ID: Der Name des Projekts, in dem der Sicherungstresor erstellt wird.
    • LOCATION: Der Speicherort des Backup Vault.
    • RETENTION_PERIOD_IN_DAYS: Der Zeitraum, in dem jede Sicherung im Backup Vault nicht gelöscht werden kann. Die Mindestdauer beträgt 1 Tag und die Höchstdauer 99 Jahre.

Backup Vault löschen

Backup Vaults können nur gelöscht werden, wenn sie keine Back-ups enthalten. Wenn Sie einen Sicherungstresor löschen möchten, müssen Sie zuerst alle darin enthaltenen Sicherungen löschen, sofern sie für das Löschen infrage kommen.

So löschen Sie ein Sicherungstresor:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Backup-Tresore auf.

    Sicherungs-Vaults aufrufen

  2. Klicken Sie auf den Sicherungstresor, den Sie löschen möchten.

  3. Klicken Sie auf Löschen.

  4. Bestätigen Sie im eingeblendeten Fenster, dass Sie den Sicherungstresor und seinen Inhalt löschen möchten.

  5. Klicken Sie auf Löschen.

gcloud

  1. Backup Vault löschen

      gcloud backup-dr backup-vaults delete BACKUPVAULT_NAME \
  --project=PROJECT_ID \
  --location=LOCATION

    Ersetzen Sie Folgendes:

    • BACKUPVAULT_NAME: der Name des Sicherungstresors.
    • PROJECT_ID: der Name des Projekts, in dem der Sicherungstresor erstellt wird.
    • LOCATION: Der Speicherort des Backup Vault.

Zugriff auf den Backup Vault-Dienst-Agent und auf Sicherungs-/Wiederherstellungs-Appliances gewähren

Jeder erstellte Backup-Tresor ist mit einem eindeutigen Dienst-Agent verknüpft. Bei einigen Ressourcentypen wird der Dienst-Agent verwendet, um Aktionen im Namen des Backup- und DR-Dienstes auszuführen. Daher müssen ihm die entsprechenden Berechtigungen für die Projekte gewährt werden, auf die der Backup Vault-Dienst-Agent zugreifen muss. Ein Dienst-Agent ist ein von Google verwaltetes Dienstkonto. Weitere Informationen finden Sie unter Dienst-Agents.

Bei einigen Ressourcentypen wie Google Cloud VMware Engine, Oracle-Datenbanken und SQL Server-Datenbanken muss die Backup/DR-Sicherungs-/Wiederherstellungs-Appliance Aktionen im Sicherungstresor ausführen. In diesen Fällen benötigt die Sicherungs-/Wiederherstellungs-Appliance die entsprechenden Berechtigungen für den Backup Vault. Außerdem muss für den Ziel-Backup-Tresor die Zugriffsbeschränkung UNRESTRICTED oder WITHIN_ORG_BUT_UNRESTRICTED_FOR_BA festgelegt sein.

Dem Dienst-Agent eine Rolle zuweisen

Wenn Sie die E-Mail-Adresse des Dienst-Agents gefunden haben, können Sie dem Dienst-Agent für Sicherungstresore eine Rolle zuweisen, wie Sie sie auch einem anderen Hauptkonto zuweisen würden.

Wenn Sie eine Compute Engine-VM-Instanz in einem anderen Projekt als dem, in dem der Backup Vault erstellt wurde, sichern möchten, müssen Sie dem Backup Vault-Dienst-Agent im Compute Engine-Projekt die IAM-Rolle „Backup and DR Compute Engine Operator“ (roles/backupdr.computeEngineOperator) zuweisen. Wenn Sie jedoch eine Compute Engine-VM-Instanz in dem Projekt sichern möchten, in dem der Backup Vault erstellt wurde, müssen keine Rollen gewährt werden.

Wenn Sie eine Compute Engine-Instanz wiederherstellen möchten, müssen Sie dem Backup Vault-Dienst-Agent die IAM-Rolle „Backup and DR Compute Engine Operator“ (roles/backupdr.computeEngineOperator) in Ihrem Wiederherstellungsprojekt zuweisen.

Folgen Sie der Anleitung unten, um dem Dienst-Agent eine Rolle zuzuweisen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Backup-Tresore auf.

    Sicherungs-Vaults aufrufen

  2. Klicken Sie auf den Namen des Backup Vaults und kopieren Sie die E-Mail-Adresse des Dienst-Agents.

  3. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  4. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Dienst-Agents ein.

  5. Wählen Sie aus der Liste Rolle auswählen die entsprechende Rolle basierend auf dem Ressourcentyp aus. Wenn Sie beispielsweise eine Compute Engine-Instanz in einem anderen Projekt als dem, in dem der Sicherungstresor erstellt wird, sichern möchten, wählen Sie die IAM-Rolle „Backup and DR Compute Engine Operator“ (roles/backupdr.computeEngineOperator) aus.

  6. Klicken Sie auf Speichern.

gcloud

  1. Weisen Sie dem Dienst-Agent Rollen zu.

      gcloud projects add-iam-policy-binding PROJECT_ID \
  --member='serviceAccount:SERVICE_ACCOUNT \
  --role=ROLE

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Name des Projekts.
    • SERVICE_ACCOUNT: die E-Mail-Adresse des Dienst-Agents für den Sicherungstresor. Beispiel: my-service-account@my-project.iam.gserviceaccount.com
    • ROLE: die Rolle, die für das Gewähren von Zugriff auf das Ressourcenprojekt erforderlich ist. Wenn Sie beispielsweise eine Compute Engine-Instanz in einem anderen Projekt als dem, in dem der Sicherungstresor erstellt wird, sichern möchten, wählen Sie die IAM-Rolle „Backup and DR Compute Engine Operator“ (roles/backupdr.computeEngineOperator) aus.

Dienstkonto der Sicherungs-/Wiederherstellungs-Appliance Rollen zuweisen

Sie können erst dann über das Projekt der Sicherungs-/Wiederherstellungs-Appliance auf einen Backup Vault zugreifen, wenn dem Dienstkonto der Appliance die IAM-Rolle „Backup and DR Backup Vault Accessor“ (roles/backupdr.backupvaultAccessor) im Backup Vault-Projekt zugewiesen wurde. Ohne diese Rolle können Sie nicht auf den Backup Vault zugreifen, um die Einrichtung zum Aktivieren der Sicherungserstellung abzuschließen.

Nachdem Sie dem Dienstkonto der Sicherungs-/Wiederherstellungs-Appliance Rollen zugewiesen haben, können Sie Google Cloud VMware Engine-, Oracle- und SQL Server-Datenbanken über die Verwaltungskonsole in einem Sicherungstresor sichern und wiederherstellen.

So weisen Sie dem Dienstkonto der Sicherungs-/Wiederherstellungs-Appliance Rollen zu:

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf, auf der Ihr Gerät erstellt wurde.

    Zur Seite „VM-Instanzen"

  2. Klicken Sie auf die Compute Engine-Instanz, für die Sie das Dienstkonto abrufen möchten.

  3. Kopieren Sie im Abschnitt API und Identitätsverwaltung die E-Mail-Adresse des Dienstkontos aus dem Feld Dienstkonto.

  4. Rufen Sie in der Google Cloud Console die IAM-Rollen in Ihrem Sicherungsspeicherprojekt auf.

    IAM aufrufen

  5. Klicken Sie auf Zugriff erlauben.

  6. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Dienstkontos des Geräts ein.

  7. Wählen Sie in der Liste Rolle auswählen die Rolle Backup and DR Backup Vault Accessor aus.

  8. Optional: Wenn Sie den Zugriff Ihrer Backup-/Wiederherstellungs-Appliance auf ein bestimmtes Backup-Vault beschränken möchten, klicken Sie neben der Rolle Backup and DR Backup Vault Accessor auf  IAM-Bedingung hinzufügen.

    1. Geben Sie im Feld Titel einen Namen für die Bedingung ein.

    2. Klicken Sie auf den Tab Bedingungseditor.

      • Geben Sie im Feld CEL-Editor für Ausdruck den folgenden Ausdruck ein.

        resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
/{name}/") == ("BACKUPVAULT_NAME") || resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
/{name}") == ("BACKUPVAULT_NAME") || resource.name.extract("operations/{op}") != ""

      Ersetzen Sie Folgendes:

      • BACKUPVAULT_NAME: der Name des Sicherungstresors.
      • PROJECT_ID: der Name des Projekts, in dem der Sicherungstresor erstellt wird.

      • LOCATION: Der Speicherort des Backup Vault.

        Wenn Sie Zugriff für zusätzliche Sicherungstresore hinzufügen möchten, hängen Sie bei Bedarf zusätzliche „resource.name.startsWith“-Anweisungen (mit dem logischen OR-Operator „||“) an.

        Mit der folgenden Anweisung werden beispielsweise die Sicherungsspeicherorte „bv-test“ und „user-bv1“ autorisiert, die sich beide im Projekt „testproject“ und am Standort „us-central1“ befinden.

        resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}/") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}/") == ("user-bv1") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}") == ("user-bv1") || resource.name.extract("operations/{op}") != ""

    3. Klicken Sie auf Speichern.

  9. Klicken Sie auf Speichern.

Nächste Schritte