Creare e gestire un vault di backup

Panoramica

Questa pagina spiega come creare e gestire un vault di backup nella consoleGoogle Cloud .

Prima di iniziare

Per ottenere le autorizzazioni necessarie per creare e gestire un vault di backup, chiedi all'amministratore di concederti il ruolo IAM Backup and DR Backup Vault Admin (roles/backupdr.backupvaultAdmin) nel progetto in cui vuoi creare un vault di backup. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per creare e gestire un vault di backup. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Crea un vault di backup

Segui queste istruzioni per creare un vault di backup.

resource "google_backup_dr_backup_vault" "default" {
  provider                                   = google-beta
  location                                   = "us-central1"
  backup_vault_id                            = "my-vault"
  description                                = "This vault is created usingTerraform."
  backup_minimum_enforced_retention_duration = "100000s"
  force_update                               = "true"
  ignore_inactive_datasources                = "true"
  allow_missing                              = "true"
}

Elenca i vault di backup in un progetto

Utilizza le seguenti istruzioni per elencare i vault di backup in un progetto.

Visualizza i dettagli del vault di backup

La pagina dei dettagli del vault di backup mostra le informazioni di configurazione e ti consente di aggiornare gli elementi modificabili.

Il campo Stato blocco nella pagina dei dettagli del vault di backup può avere uno dei seguenti valori:

• Sbloccato: non è stato applicato alcun blocco al backup vault e non è in attesa.
• Il blocco diventa effettivo il giorno datetime: è stato impostato un blocco che diventerà effettivo nel vault di backup alla data specificata.
• Bloccato: il valore dei periodi di conservazione minimi imposti del vault di backup è bloccato contro la riduzione o la rimozione.

Utilizza le seguenti istruzioni per visualizzare i dettagli del vault di backup.

Aggiorna il periodo di conservazione minimo applicato in un vault di backup esistente

Puoi aggiornare il periodo di conservazione minimo applicato in base allo stato del blocco.

• Sbloccato: puoi aumentare o diminuire il periodo di conservazione minimo applicato.
• Bloccato: puoi solo aumentare il periodo di conservazione minimo applicato.

Il blocco non può essere rimosso se è stata raggiunta la data di validità. Tuttavia, se la data di validità non è ancora stata raggiunta, puoi rimuovere il blocco, che cancella la data di validità specificata originariamente.

Le modifiche al valore del periodo di conservazione minimo applicato si applicano solo ai backup creati dopo l'aggiornamento. Le modifiche al valore del periodo di conservazione minimo applicato non influiscono sul periodo di conservazione applicato rimanente per i backup già presenti nel vault di backup.

Quando aumenti il periodo di conservazione forzata per un vault di backup, questo non deve superare il periodo di conservazione nel piano di backup per i backup che archivierai nel vault di backup. Se il valore modificato è più lungo del periodo di conservazione del backup, il servizio di Backup e DR gestisce queste modifiche in modo diverso in base al tipo di piano di backup.

• Google Cloud Piani basati sulla console: le modifiche al valore del vault di backup vengono impedite.

• Piani basati sulla console di gestione: sono consentite modifiche al valore del vault di backup, ma devi aggiornare immediatamente i piani di backup pertinenti per specificare un periodo di conservazione uguale o superiore al periodo di conservazione minimo applicato del vault di backup aggiornato.

  I backup generati mentre la conservazione del piano è inferiore alla conservazione minima applicata del vault di backup vengono creati con il periodo di conservazione applicato impostato sulla conservazione minima applicata del vault di backup. Inoltre, la scadenza del backup è impostata in modo che si verifichi dopo il periodo di conservazione obbligatorio.

Segui queste istruzioni per aggiornare il periodo di conservazione minima applicata in un vault di backup esistente.

Elimina un vault di backup

I vault di backup possono essere eliminati solo se non contengono backup. Per eliminare un vault di backup, elimina prima tutti i backup contenuti nel vault se sono idonei all'eliminazione.

Segui queste istruzioni per eliminare un vault di backup.

Concedi l'accesso all'agente di servizio del vault di backup e alle appliance di backup/ripristino

Ogni vault di backup creato ha un agente di servizio univoco collegato. Per alcuni tipi di risorse, l'agente di servizio viene utilizzato per eseguire azioni per conto del servizio di backup e DR e, pertanto, deve disporre delle autorizzazioni appropriate per i progetti a cui deve accedere l'agente di servizio del vault di backup. Un agente di servizio è un account di servizio gestito da Google. Per maggiori informazioni, vedi Agenti di servizio.

Per alcuni tipi di risorse, come Google Cloud VMware Engine, database Oracle e database SQL Server, l'appliance di backup/ripristino di Backup andRER deve eseguire azioni sul vault di backup. In questi casi, l'appliance di backup/ripristino necessita delle autorizzazioni appropriate sul vault di backup. Inoltre, il vault di backup di destinazione deve essere impostato con le limitazioni di accesso UNRESTRICTED o WITHIN_ORG_BUT_UNRESTRICTED_FOR_BA.

Concedi un ruolo all'agente di servizio

Dopo aver trovato l'indirizzo email dell'agente di servizio, puoi concedere un ruolo all'agente di servizio del vault di backup come faresti con qualsiasi altra entità.

Per eseguire il backup di un'istanza VM di Compute Engine in un progetto diverso da quello in cui viene creato il vault di backup, devi concedere il ruolo IAM Operatore Compute Engine di Backup e DR (roles/backupdr.computeEngineOperator) all'agente di servizio del vault di backup all'interno del progetto Compute Engine. Tuttavia, per eseguire il backup di un'istanza di VM Compute Engine nello stesso progetto in cui viene creato il vault di backup, non è necessario concedere ruoli.

Per ripristinare un'istanza Compute Engine, devi concedere il ruolo IAM Backup and DR Compute Engine Operator (roles/backupdr.computeEngineOperator) nel progetto di ripristino all'agente di servizio del vault di backup.

Segui queste istruzioni per concedere un ruolo all'agente di servizio.

Concedi ruoli al account di servizio dell'appliance di backup/recupero

Puoi accedere a un vault di backup dal progetto dell'appliance di backup/ripristino solo dopo che al account di servizio dell'appliance è stato concesso il ruolo IAM Backup and DR Backup Vault Accessor (roles/backupdr.backupvaultAccessor) nel progetto del vault di backup. Senza questo ruolo, non puoi accedere al vault di backup per completare la configurazione e attivare la creazione dei backup.

Dopo aver concesso i ruoli all'account di servizio dell'appliance di backup/recupero, puoi eseguire il backup e il ripristino di Google Cloud VMware Engine, dei database Oracle e dei database SQL Server in un backup vault utilizzando la console di gestione.

Utilizza le seguenti istruzioni per concedere i ruoli al account di servizio dell'appliance di backup/recupero:

1. Nella console Google Cloud , vai alla pagina Istanze VM in cui è stato creato l'appliance.

   Vai alla pagina Istanze VM

2. Fai clic sull'istanza Compute Engine per cui vuoi ottenere il account di servizio.

3. Nella sezione Gestione API e identità, copia l'indirizzo email del account di servizio dal campo Service account.

4. Nella console Google Cloud , vai ai ruoli IAM nel progetto del vault di backup.

   Vai a IAM

5. Fai clic su Concedi accesso.

6. Nel campo Nuove entità, inserisci l'indirizzo email del account di servizio dell'appliance.

7. Dall'elenco Seleziona un ruolo, seleziona il ruolo Backup and DR Backup Vault Accessor.

8. (Facoltativo) Per limitare l'accesso dell'appliance di backup/recupero a un vault di backup specifico, fai clic su add Aggiungi condizione IAM accanto al ruolo Backup and DR Backup Vault Accessor.

   1. Nel campo Titolo, inserisci un nome per la condizione.

   2. Fai clic sulla scheda Editor condizioni.

      • Nel campo Editor espressione CEL, inserisci la seguente espressione.

        resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
        /{name}/") == ("BACKUPVAULT_NAME") || resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
        /{name}") == ("BACKUPVAULT_NAME") || resource.name.extract("operations/{op}") != ""
        

      Sostituisci quanto segue:

      • BACKUPVAULT_NAME: il nome del vault di backup.
      • PROJECT_ID: il nome del progetto in cui viene creato il vault di backup.

      • LOCATION: la posizione del vault di backup.

        Per aggiungere l'accesso per altri backup vault, aggiungi altre istruzioni "resource.name.startsWith" (con l'operatore logico OR "||") in base alle necessità.

        Ad esempio, la seguente istruzione autorizza un backup vault denominato "bv-test" e un backup vault denominato "user-bv1", entrambi situati in un progetto denominato "testproject" e nella località "us-central1".

        resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}/") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}/") == ("user-bv1") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
        /{name}") == ("user-bv1") || resource.name.extract("operations/{op}") != ""
        

   3. Fai clic su Salva.

9. Fai clic su Salva.

Passaggi successivi

• Gestire le origini dati
• Gestisci backup