Crea y administra una backup vault

Descripción general

En esta página, se explica cómo crear y administrar una bóveda de copias de seguridad en la consola deGoogle Cloud .

Antes de comenzar

Para obtener los permisos que necesitas para crear y administrar una bóveda de copias de seguridad, pídele a tu administrador que te otorgue el rol de IAM de Administrador de la bóveda de copias de seguridad de Backup y DR (roles/backupdr.backupvaultAdmin) en el proyecto en el que deseas crear una bóveda de copias de seguridad. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para crear y administrar una bóveda de copias de seguridad. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Crear backup vault

Sigue estas instrucciones para crear una bóveda de copias de seguridad.

resource "google_backup_dr_backup_vault" "default" {
  provider                                   = google-beta
  location                                   = "us-central1"
  backup_vault_id                            = "my-vault"
  description                                = "This vault is created usingTerraform."
  backup_minimum_enforced_retention_duration = "100000s"
  force_update                               = "true"
  ignore_inactive_datasources                = "true"
  allow_missing                              = "true"
}

Enumera las backup vaults en un proyecto

Sigue las instrucciones que se indican a continuación para enumerar las backup vaults en un proyecto.

Ver detalles de la backup vault

En la página de detalles de la bóveda de copias de seguridad, se muestra la información de configuración y se pueden actualizar los elementos editables.

El campo Estado de bloqueo en la página de detalles de la bóveda de copias de seguridad puede tener uno de los siguientes valores:

• Desbloqueada: No se aplicó ni está pendiente ningún bloqueo para la bóveda de copias de seguridad.
• El bloqueo se aplica en la fecha y hora: Se configuró un bloqueo para que se aplique en la backup vault en la fecha especificada.
• Bloqueado: El valor de los períodos mínimos de retención obligatorios de la bóveda de copias de seguridad está bloqueado para evitar reducciones o eliminaciones.

Sigue estas instrucciones para ver los detalles de la bóveda de copias de seguridad.

Actualiza el período de retención mínimo aplicado en una backup vault existente

Puedes actualizar el período de retención mínimo aplicado según el estado del bloqueo.

• Desbloqueado: Puedes aumentar o disminuir el período de retención mínimo aplicado.
• Bloqueada: Solo puedes aumentar el período de retención mínima aplicada.

El bloqueo no se puede quitar si ya se alcanzó la fecha de entrada en vigencia. Sin embargo, si aún no se alcanzó la fecha de entrada en vigencia, puedes quitar el bloqueo, lo que borrará la fecha de entrada en vigencia especificada originalmente.

Los cambios en el valor del período de retención mínimo aplicado solo se aplican a las copias de seguridad creadas después de la actualización. Los cambios en el valor del período de retención mínimo aplicado no afectan la retención aplicada restante para las copias de seguridad que ya existen en la backup vault.

Cuando aumentes el período de retención obligatorio de una backup vault, este no debe exceder el período de retención del plan de copias de seguridad para las copias de seguridad que almacenarás en la backup vault. Si el valor cambiado es más largo que el período de retención de copias de seguridad, el servicio Backup and DR controla estos cambios de manera diferente según el tipo de plan de copias de seguridad.

• Google Cloud Planes basados en la consola: Se evitan los cambios en el valor de la bóveda de copias de seguridad.

• Planes basados en la consola de administración: Se permiten cambios en el valor de la bóveda de copias de seguridad, pero debes actualizar de inmediato los planes de copias de seguridad pertinentes para especificar una retención que sea igual o superior al período de retención mínimo aplicado de la bóveda de copias de seguridad actualizada.

  Las copias de seguridad que se generan mientras la retención del plan es más corta que la retención mínima aplicada de la backup vault se crean con el período de retención aplicado establecido en la retención mínima aplicada de la backup vault. Además, el vencimiento de la copia de seguridad se establece para que ocurra después de que se cumpla el período de retención aplicado.

Usa las siguientes instrucciones para actualizar el período de retención mínimo aplicado en una backup vault existente.

Borra una bóveda de copias de seguridad

Las backup vaults solo se pueden borrar si no contienen copias de seguridad. Para borrar una bóveda de copias de seguridad, primero borra todas las copias de seguridad que contiene si son aptas para borrarse.

Sigue estas instrucciones para borrar una bóveda de copias de seguridad.

Otorga acceso al agente de servicio de backup vault y a los dispositivos de copia de seguridad y recuperación

Cada bóveda de copias de seguridad creada tiene un agente de servicio único vinculado a ella. En el caso de algunos tipos de recursos, se aprovecha el agente de servicio para realizar acciones en nombre del servicio Backup and DR y, por lo tanto, se le deben otorgar los permisos adecuados en los proyectos a los que debe acceder el agente de servicio de backup vault. Un agente de servicio es una cuenta de servicio administrada por Google. Para obtener más información, consulta Agentes de servicio.

Para algunos tipos de recursos, como Google Cloud VMware Engine, bases de datos de Oracle y bases de datos de SQL Server, el dispositivo de copia de seguridad o recuperación de Backup and DR debe realizar acciones en la bóveda de copias de seguridad. En esos casos, el dispositivo de copia de seguridad y recuperación necesita los permisos adecuados en la bóveda de copias de seguridad. Además, la bóveda de copias de seguridad de destino debe configurarse con las restricciones de acceso UNRESTRICTED o WITHIN_ORG_BUT_UNRESTRICTED_FOR_BA.

Otorga un rol al agente de servicio

Después de encontrar la dirección de correo electrónico del agente de servicio, puedes otorgarle un rol al agente de servicio de la bóveda de copias de seguridad, al igual que lo harías con cualquier otra principal.

Para crear una copia de seguridad de una instancia de VM de Compute Engine en un proyecto diferente de aquel en el que se creó la backup vault, debes otorgar el rol de IAM de operador de Backup and DR Compute Engine (roles/backupdr.computeEngineOperator) al agente de servicio de la backup vault dentro del proyecto de Compute Engine. Sin embargo, para crear una copia de seguridad de una instancia de VM de Compute Engine en el mismo proyecto en el que se creó el almacén de copias de seguridad, no es necesario otorgar roles.

Para restablecer una instancia de Compute Engine, debes otorgar el rol de IAM de operador de Compute Engine de Backup and DR (roles/backupdr.computeEngineOperator) en tu proyecto de restablecimiento al agente de servicio de la bóveda de copias de seguridad.

Sigue las instrucciones que se indican a continuación para otorgar un rol al agente de servicio.

Otorga roles a la cuenta de servicio del dispositivo de copia de seguridad y recuperación

Solo puedes acceder a una backup vault desde el proyecto del dispositivo de copia de seguridad o recuperación después de que se le otorgue a la cuenta de servicio del dispositivo el rol de IAM de Backup and DR Backup Vault Accessor (roles/backupdr.backupvaultAccessor) en el proyecto de la backup vault. Sin este rol, no puedes acceder a la backup vault para completar la configuración y habilitar la creación de copias de seguridad.

Después de otorgar roles a la cuenta de servicio del dispositivo de copia de seguridad y recuperación, puedes crear copias de seguridad y restablecer Google Cloud VMware Engine, bases de datos de Oracle y bases de datos de SQL Server en una bóveda de copias de seguridad con la consola de administración.

Sigue estas instrucciones para otorgar roles a la cuenta de servicio del dispositivo de copia de seguridad y recuperación:

1. En la Google Cloud consola, ve a la página Instancias de VM en la que se creó tu dispositivo.

   Ir a la página Instancias de VM

2. Haz clic en la instancia de Compute Engine para la que deseas obtener la cuenta de servicio.

3. En la sección Administración de identidades y APIs, copia la dirección de correo electrónico de la cuenta de servicio del campo Cuenta de servicio.

4. En la Google Cloud consola, ve a los roles de IAM en tu proyecto de bóveda de copias de seguridad.

   Ir a IAM

5. Haz clic en Otorgar acceso.

6. En el campo Principales nuevas, ingresa la dirección de correo electrónico de la cuenta de servicio del dispositivo.

7. En la lista Seleccionar un rol, selecciona el rol Backup and DR Backup Vault Accessor.

8. Opcional: Para restringir el acceso de tu dispositivo de copia de seguridad o recuperación a un backup vault específico, haz clic en add Agregar condición de IAM junto al rol Descriptor de acceso a backup vault para Backup and DR.

   1. En el campo Título, ingresa un nombre para la condición.

   2. Haz clic en la pestaña Editor de condiciones.

      • En el campo Editor de CEL de expresión, ingresa la siguiente expresión.

        resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
        /{name}/") == ("BACKUPVAULT_NAME") || resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
        /{name}") == ("BACKUPVAULT_NAME") || resource.name.extract("operations/{op}") != ""
        

      Reemplaza lo siguiente:

      • BACKUPVAULT_NAME: Es el nombre de la bóveda de copias de seguridad.
      • PROJECT_ID: Es el nombre del proyecto en el que se crea la bóveda de copias de seguridad.

      • LOCATION: Es la ubicación de la bóveda de copias de seguridad.

        Para agregar acceso a bóvedas de copias de seguridad adicionales, agrega más instrucciones "resource.name.startsWith" (con el operador lógico "||" OR) según sea necesario.

        Por ejemplo, la siguiente instrucción autoriza una bóveda de copias de seguridad llamada “bv-test” y otra llamada “user-bv1”, ambas ubicadas en un proyecto llamado “testproject” y en la ubicación “us-central1”.

        resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}/") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}/") == ("user-bv1") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}") == ("user-bv1") || resource.name.extract("operations/{op}") != ""
        

   3. Haz clic en Guardar.

9. Haz clic en Guardar.

¿Qué sigue?

• Administra fuentes de datos
• Administrar copias de seguridad