Créer et gérer un coffre de sauvegarde

Présentation

Cette page explique comment créer et gérer un coffre-fort de sauvegarde dans la consoleGoogle Cloud .

Avant de commencer

Pour obtenir les autorisations nécessaires pour créer et gérer un coffre-fort de sauvegarde, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de coffre-fort de sauvegarde et de reprise après sinistre (roles/backupdr.backupvaultAdmin) sur le projet dans lequel vous souhaitez créer un coffre-fort de sauvegarde. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient les autorisations requises pour créer et gérer un coffre-fort de sauvegarde. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer un coffre de sauvegarde

Suivez les instructions ci-dessous pour créer un coffre-fort de sauvegarde.

resource "google_backup_dr_backup_vault" "default" {
  provider                                   = google-beta
  location                                   = "us-central1"
  backup_vault_id                            = "my-vault"
  description                                = "This vault is created usingTerraform."
  backup_minimum_enforced_retention_duration = "100000s"
  force_update                               = "true"
  ignore_inactive_datasources                = "true"
  allow_missing                              = "true"
}

Lister les coffres de sauvegarde dans un projet

Suivez les instructions ci-dessous pour lister les coffres de sauvegarde dans un projet.

Afficher les détails du coffre de sauvegarde

La page "Détails du parc de sauvegarde" affiche les informations de configuration et vous permet de modifier les éléments modifiables.

Le champ État du verrouillage sur la page des détails du coffre-fort de sauvegarde peut avoir l'une des valeurs suivantes :

• Déverrouillé : aucun verrou n'est appliqué ni en attente pour le backup vault.
• Le verrouillage prendra effet le datetime : un verrouillage a été défini pour le coffre de sauvegarde à la date spécifiée.
• Verrouillée : la valeur des périodes de conservation minimales appliquées au coffre de sauvegarde est verrouillée et ne peut pas être réduite ni supprimée.

Suivez les instructions ci-dessous pour afficher les détails d'un coffre de sauvegarde.

Modifier la période de conservation minimale appliquée dans un coffre de sauvegarde existant

Vous pouvez modifier la période de conservation minimale appliquée en fonction de l'état du verrouillage.

• Déverrouillée : vous pouvez augmenter ou diminuer la période de conservation appliquée minimale.
• Verrouillée : vous ne pouvez qu'augmenter la période de conservation minimale appliquée.

Le verrouillage ne peut pas être supprimé si la date d'entrée en vigueur a été atteinte. Toutefois, si la date d'entrée en vigueur n'a pas encore été atteinte, vous pouvez supprimer le verrouillage, ce qui efface la date d'entrée en vigueur initialement spécifiée.

Les modifications apportées à la valeur de la période de conservation minimale appliquée ne s'appliquent qu'aux sauvegardes créées après la mise à jour. Les modifications apportées à la valeur de la période de conservation minimale appliquée n'ont pas d'incidence sur la période de conservation appliquée restante pour les sauvegardes qui existent déjà dans le coffre de sauvegarde.

Lorsque vous augmentez la période de conservation appliquée à un coffre de sauvegarde, elle ne doit pas dépasser la période de conservation du plan de sauvegarde pour les sauvegardes que vous stockerez dans le coffre de sauvegarde. Si la valeur modifiée est supérieure à la période de conservation des sauvegardes, le service Backup and DR gère ces modifications différemment en fonction du type de plan de sauvegarde.

• Google Cloud Forfaits basés sur la console : les modifications apportées à la valeur du coffre-fort de sauvegarde sont empêchées.

• Plans basés sur la console de gestion : les modifications apportées à la valeur du parc de sauvegarde sont autorisées, mais vous devez immédiatement mettre à jour les plans de sauvegarde concernés pour spécifier une durée de conservation égale ou supérieure à la durée de conservation minimale appliquée au parc de sauvegarde mis à jour.

  Les sauvegardes générées lorsque la durée de conservation du forfait est inférieure à la durée de conservation minimale appliquée du coffre de sauvegarde sont créées avec la durée de conservation appliquée définie sur la durée de conservation minimale appliquée du coffre de sauvegarde. De plus, l'expiration de la sauvegarde est définie pour se produire une fois la période de conservation appliquée écoulée.

Suivez les instructions ci-dessous pour modifier la période de conservation minimale appliquée à un coffre de sauvegarde existant.

Supprimer un coffre de sauvegarde

Les coffres de sauvegarde ne peuvent être supprimés que s'ils ne contiennent pas de sauvegardes. Pour supprimer un coffre-fort de sauvegarde, supprimez d'abord toutes les sauvegardes qu'il contient, si elles peuvent être supprimées.

Suivez les instructions ci-dessous pour supprimer un coffre-fort de sauvegarde.

Accorder l'accès à l'agent de service du coffre de sauvegarde et aux appliances de sauvegarde/restauration

Chaque coffre-fort de sauvegarde créé est associé à un agent de service unique. Pour certains types de ressources, l'agent de service est utilisé pour effectuer des actions au nom du service Backup and DR. Il doit donc disposer des autorisations appropriées sur les projets auxquels l'agent de service du coffre de sauvegarde doit accéder. Un agent de service est un compte de service géré par Google. Pour en savoir plus, consultez Agents de service.

Pour certains types de ressources, tels que Google Cloud VMware Engine, les bases de données Oracle et les bases de données SQL Server, l'appliance de sauvegarde/restauration Backup and DR doit effectuer des actions sur le coffre-fort de sauvegarde. Dans ce cas, l'appliance de sauvegarde/restauration a besoin des autorisations appropriées sur le coffre de sauvegarde. De plus, le coffre-fort de sauvegarde cible doit être défini avec les restrictions d'accès UNRESTRICTED ou WITHIN_ORG_BUT_UNRESTRICTED_FOR_BA.

Attribuer un rôle à l'agent de service

Une fois que vous avez trouvé l'adresse e-mail de l'agent de service, vous pouvez lui attribuer un rôle, comme vous le feriez pour un autre compte principal.

Pour sauvegarder une instance de VM Compute Engine dans un projet différent de celui dans lequel le coffre de sauvegarde est créé, vous devez accorder le rôle IAM Opérateur Backup and DR Compute Engine (roles/backupdr.computeEngineOperator) à l'agent de service du coffre de sauvegarde dans le projet Compute Engine. Toutefois, pour sauvegarder une instance de VM Compute Engine dans le même projet que celui dans lequel le coffre de sauvegarde est créé, aucun rôle n'a besoin d'être attribué.

Pour restaurer une instance Compute Engine, vous devez accorder le rôle IAM Opérateur Compute Engine Backup and DR (roles/backupdr.computeEngineOperator) dans votre projet de restauration à l'agent de service du coffre de sauvegarde.

Suivez les instructions ci-dessous pour attribuer un rôle à l'agent de service.

Attribuez des rôles au compte de service de l'appliance de sauvegarde/récupération.

Vous ne pouvez accéder à un coffre de sauvegarde à partir du projet de l'appliance de sauvegarde/restauration qu'une fois que le rôle IAM Accesseur de coffre de sauvegarde Backup and DR (roles/backupdr.backupvaultAccessor) a été attribué au compte de service de l'appliance dans le projet du coffre de sauvegarde. Sans ce rôle, vous ne pouvez pas accéder au coffre de sauvegarde pour terminer la configuration et activer la création de sauvegardes.

Après avoir attribué des rôles au compte de service de l'appliance de sauvegarde/récupération, vous pouvez sauvegarder et restaurer Google Cloud VMware Engine, des bases de données Oracle et des bases de données SQL Server dans un coffre-fort de sauvegarde à l'aide de la console de gestion.

Suivez les instructions ci-dessous pour attribuer des rôles au compte de service de l'appliance de sauvegarde/récupération :

1. Dans la console Google Cloud , accédez à la page Instances de VM où votre appliance a été créée.

   Accéder à la page "Instances de VM"

2. Cliquez sur l'instance Compute Engine pour laquelle vous souhaitez obtenir le compte de service.

3. Dans la section API et gestion des identités, copiez l'adresse e-mail du compte de service à partir du champ Compte de service.

4. Dans la console Google Cloud , accédez aux rôles IAM dans le projet de votre chambre forte de sauvegarde.

   Accéder à IAM

5. Cliquez sur Accorder l'accès.

6. Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte de service de l'appareil.

7. Dans la liste Sélectionner un rôle, sélectionnez le rôle Accesseur de coffre-fort de sauvegarde et de reprise après sinistre.

8. Facultatif : Pour limiter l'accès de votre appliance de sauvegarde/récupération à un coffre de sauvegarde spécifique, cliquez sur add Ajouter une condition IAM à côté du rôle Accesseur de coffre de sauvegarde Backup and DR.

   1. Dans le champ Titre, saisissez un nom pour la condition.

   2. Cliquez sur l'onglet Éditeur de conditions.

      • Dans le champ Éditeur d'expressions CEL, saisissez l'expression suivante.

        resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
        /{name}/") == ("BACKUPVAULT_NAME") || resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
        /{name}") == ("BACKUPVAULT_NAME") || resource.name.extract("operations/{op}") != ""
        

      Remplacez les éléments suivants :

      • BACKUPVAULT_NAME : nom du coffre-fort de sauvegarde.
      • PROJECT_ID : nom du projet dans lequel le coffre-fort de sauvegarde est créé.

      • LOCATION : emplacement du coffre de sauvegarde.

        Pour ajouter l'accès à d'autres coffres de sauvegarde, ajoutez d'autres instructions "resource.name.startsWith" (avec l'opérateur logique OR "||") si nécessaire.

        Par exemple, l'instruction suivante autorise un coffre-fort de sauvegarde nommé "bv-test" et un coffre-fort de sauvegarde nommé "user-bv1", tous deux situés dans un projet nommé "testproject" et à l'emplacement "us-central1".

        resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}/") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}/") == ("user-bv1") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}") == ("user-bv1") || resource.name.extract("operations/{op}") != ""
        

   3. Cliquez sur Enregistrer.

9. Cliquez sur Enregistrer.

Étapes suivantes

• Gérer les sources de données
• Gérer les sauvegardes