Crear y gestionar un almacén de copias de seguridad

Descripción general

En esta página se explica cómo crear y gestionar una bóveda de backup en laGoogle Cloud consola.

Antes de empezar

Para obtener los permisos que necesitas para crear y gestionar un almacén de copias de seguridad, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de almacén de copias de seguridad de Backup y DR (roles/backupdr.backupvaultAdmin) en el proyecto en el que quieras crear un almacén de copias de seguridad. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para crear y gestionar un almacén de copias de seguridad. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Crear un depósito de copias de seguridad

Sigue estas instrucciones para crear un archivo seguro.

resource "google_backup_dr_backup_vault" "default" {
  provider                                   = google-beta
  location                                   = "us-central1"
  backup_vault_id                            = "my-vault"
  description                                = "This vault is created usingTerraform."
  backup_minimum_enforced_retention_duration = "100000s"
  force_update                               = "true"
  ignore_inactive_datasources                = "true"
  allow_missing                              = "true"
}

Mostrar los almacenes de copias de seguridad de un proyecto

Sigue estas instrucciones para enumerar los almacenes de copias de seguridad de un proyecto.

Ver los detalles de un almacén de copias de seguridad

En la página de detalles del vault de copia de seguridad se muestra la información de configuración y se pueden actualizar los elementos editables.

El campo Estado del bloqueo de la página de detalles del archivo seguro de copias de seguridad puede tener uno de los siguientes valores:

• Desbloqueado: no se ha aplicado ningún bloqueo a la caja fuerte ni está pendiente de aplicarse.
• El bloqueo entrará en vigor el día y la hora: se ha configurado un bloqueo para que entre en vigor en el archivo de copia de seguridad en la fecha especificada.
• Bloqueado: el valor de los periodos mínimos de conservación obligatorios de la bóveda de copias de seguridad no se puede reducir ni eliminar.

Sigue estas instrucciones para ver los detalles de un almacén de copias de seguridad.

Actualizar el periodo de conservación mínimo obligatorio en un almacén de copias de seguridad

Puedes actualizar el periodo de conservación mínimo obligatorio en función del estado de la cerradura.

• Desbloqueado: puedes aumentar o reducir el periodo de conservación mínimo obligatorio.
• Bloqueado: solo puedes aumentar el periodo de retención obligatorio mínimo.

El bloqueo no se puede quitar si se ha alcanzado la fecha de entrada en vigor. Sin embargo, si aún no se ha alcanzado la fecha de entrada en vigor, puedes quitar el bloqueo, lo que eliminará la fecha de entrada en vigor especificada originalmente.

Los cambios en el valor del periodo de conservación mínimo obligatorio solo se aplican a las copias de seguridad creadas después de la actualización. Los cambios en el valor del periodo de conservación mínimo obligatorio no afectan al tiempo de conservación obligatorio restante de las copias de seguridad que ya existen en el archivo de copias de seguridad.

Cuando aumentes el periodo de conservación obligatorio de un almacén de copias de seguridad, este no debe superar el periodo de conservación del plan de copias de seguridad de las copias que vayas a almacenar en el almacén. Si el valor modificado es superior al periodo de conservación de la copia de seguridad, el servicio Backup and DR gestiona estos cambios de forma diferente en función del tipo de plan de copias de seguridad.

• Google Cloud Planes basados en la consola: no se pueden cambiar los valores del archivo de copias de seguridad.

• Planes basados en la consola de gestión: se pueden cambiar los valores de los almacenes de copias de seguridad, pero debes actualizar inmediatamente los planes de copias de seguridad pertinentes para especificar un periodo de conservación igual o superior al periodo de conservación mínimo obligatorio del almacén de copias de seguridad actualizado.

  Las copias de seguridad generadas mientras el periodo de conservación del plan sea inferior al periodo de conservación mínimo obligatorio de la bóveda de copias de seguridad se crearán con el periodo de conservación obligatorio de la bóveda de copias de seguridad. Además, la copia de seguridad caducará una vez que se haya cumplido el periodo de conservación obligatorio.

Sigue estas instrucciones para actualizar el periodo de conservación mínimo obligatorio de un archivo de copia de seguridad.

Restricciones de recursos para la conservación obligatoria

Al crear copias de seguridad de algunos tipos de recursos en un almacén de copias de seguridad, hay restricciones que rigen la compatibilidad con los ajustes de retención mínima obligatoria del almacén.

Los registros de AlloyDB para PostgreSQL y Cloud SQL se almacenan fuera del archivo de copias de seguridad.

Eliminar un almacén de copias de seguridad

Las bóvedas de copias de seguridad solo se pueden eliminar si no contienen copias de seguridad. Para eliminar un almacén de copias de seguridad, primero debes eliminar todas las copias de seguridad que contenga si cumplen los requisitos para eliminarse.

Sigue estas instrucciones para eliminar un archivo de copia de seguridad.

Conceder acceso al agente de servicio del almacén de copias de seguridad y a los dispositivos de copia de seguridad o recuperación

Cada bóveda de copias de seguridad creada tiene un agente de servicio único vinculado. En algunos tipos de recursos, el agente de servicio se utiliza para realizar acciones en nombre del servicio Backup and DR y, por lo tanto, debe tener los permisos adecuados en los proyectos a los que necesite acceder el agente de servicio del vault de copias de seguridad. Un agente de servicio es una cuenta de servicio gestionada por Google. Para obtener más información, consulta el artículo Agentes de servicio.

En el caso de algunos tipos de recursos, como Google Cloud VMware Engine, las bases de datos de Oracle y las bases de datos de SQL Server, el dispositivo de copia de seguridad y recuperación de Backup and DR debe realizar acciones en el almacén de copias de seguridad. En esos casos, el dispositivo de copia de seguridad o recuperación necesita los permisos adecuados en el almacén de copias de seguridad. Además, el almacén de copias de seguridad de destino debe tener las restricciones de acceso UNRESTRICTED o WITHIN_ORG_BUT_UNRESTRICTED_FOR_BA.

Asignar un rol al agente de servicio

Una vez que hayas encontrado la dirección de correo del agente de servicio, puedes concederle un rol al agente de servicio de la bóveda de copia de seguridad del mismo modo que lo harías con cualquier otra entidad.

Para crear una copia de seguridad de una instancia de VM de Compute Engine en un proyecto diferente al proyecto en el que se ha creado el vault de copias de seguridad, debes asignar el rol de gestión de identidades y accesos de operador de Compute Engine de Backup and DR (roles/backupdr.computeEngineOperator) al agente de servicio del vault de copias de seguridad en el proyecto de Compute Engine. Sin embargo, para crear una copia de seguridad de una instancia de VM de Compute Engine en el mismo proyecto en el que se ha creado el archivo de copias de seguridad, no es necesario asignar ningún rol.

Para restaurar una instancia de Compute Engine, debes conceder el rol de gestión de identidades y accesos de operador de Compute Engine de Backup y DR (roles/backupdr.computeEngineOperator) al agente de servicio del depósito de copias de seguridad en tu proyecto de restauración.

Sigue estas instrucciones para conceder un rol al agente de servicio.

Asignar roles a la cuenta de servicio del dispositivo de copia de seguridad o recuperación

Solo puedes acceder a un depósito de copias de seguridad desde el proyecto del dispositivo de copia de seguridad o recuperación después de que se haya concedido a la cuenta de servicio del dispositivo el rol de gestión de identidades y accesos (IAM) Accesor del depósito de copias de seguridad de Backup y DR (roles/backupdr.backupvaultAccessor) en el proyecto del depósito de copias de seguridad. Si no tienes este rol, no podrás acceder al almacén de copias de seguridad para completar la configuración y habilitar la creación de copias de seguridad.

Después de asignar roles a la cuenta de servicio del dispositivo de copia de seguridad y recuperación, puedes crear copias de seguridad y restaurar bases de datos de Google Cloud VMware Engine, Oracle y SQL Server en un almacén de copias de seguridad mediante la consola de gestión.

Sigue estas instrucciones para conceder roles a la cuenta de servicio del dispositivo de copia de seguridad o recuperación:

1. En la consola de Google Cloud , ve a la página Instancias de VM donde se creó tu dispositivo.

   Ve a la página Instancias de VM.

2. Haz clic en la instancia de Compute Engine de la que quieras obtener la cuenta de servicio.

3. En la sección Gestión de APIs e identidades, copia la dirección de correo de la cuenta de servicio del campo Cuenta de servicio.

4. En la Google Cloud consola, ve a los roles de Gestión de identidades y accesos de tu proyecto de bóveda de copias de seguridad.

   Ir a IAM

5. Haz clic en Conceder acceso.

6. En el campo Nuevos principios, introduce la dirección de correo de la cuenta de servicio del dispositivo.

7. En la lista Seleccionar un rol, selecciona el rol Accessor de Backup Vault de copia de seguridad y recuperación ante desastres.

8. Opcional: Para restringir el acceso de tu dispositivo de copia de seguridad o recuperación a un almacén de copias de seguridad específico, haz clic en add Añadir condición de IAM junto al rol Accessor de almacén de copias de seguridad de Backup y DR.

   1. En el campo Título, introduce un nombre para la condición.

   2. Haga clic en la pestaña Editor de condiciones.

      • En el campo Editor de expresiones CEL, introduce la siguiente expresión.

        resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
        /{name}/") == ("BACKUPVAULT_NAME") || resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
        /{name}") == ("BACKUPVAULT_NAME") || resource.name.extract("operations/{op}") != ""
        

      Haz los cambios siguientes:

      • BACKUPVAULT_NAME: el nombre del depósito de copias de seguridad.
      • PROJECT_ID: el nombre del proyecto en el que se crea el almacén de copias de seguridad.

      • LOCATION: la ubicación del depósito de copias de seguridad.

        Para añadir acceso a bóvedas de copias de seguridad adicionales, añade más instrucciones "resource.name.startsWith" (con el operador lógico "||" OR) según sea necesario.

        Por ejemplo, la siguiente instrucción autoriza un almacén de copias de seguridad llamado "bv-test" y otro llamado "user-bv1", ambos ubicados en un proyecto llamado "testproject" y en la ubicación "us-central1".

        resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}/") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}/") == ("user-bv1") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}") == ("user-bv1") || resource.name.extract("operations/{op}") != ""
        

   3. Haz clic en Guardar.

9. Haz clic en Guardar.

Siguientes pasos

• Gestionar fuentes de datos
• Gestionar copias de seguridad