Criar e gerenciar um backup vault

Visão geral

Esta página explica como criar e gerenciar um cofre de backup no consoleGoogle Cloud .

Antes de começar

Para ter as permissões necessárias para criar e gerenciar um cofre de backup, peça ao administrador para conceder a você o papel do IAM de Administrador do cofre de backup do Backup e DR (roles/backupdr.backupvaultAdmin) no projeto em que você quer criar um cofre de backup. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém as permissões necessárias para criar e gerenciar um cofre de backup. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para criar e gerenciar um backup vault:

  • backupdr.backupVaults.create
  • backupdr.backupVaults.list
  • backupdr.backupVaults.get
  • backupdr.backupVaults.update
  • backupdr.backupVaults.delete

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Criar um backup vault

Use as instruções a seguir para criar um cofre de backup.

Console

  1. No console Google Cloud , acesse a página Coffers de backup.

    Acessar Backup vaults

  2. Clique em Criar backup vault.

  3. Na página Criar um backup vault, insira as informações do seu backup vault.

    1. No campo Nomeie seu cofre de backup, insira um nome que atenda aos requisitos de nome do cofre de backup.
    2. Clique em Continuar.
    3. Na lista Escolha onde armazenar seus dados, selecione um Local onde os dados de backup serão armazenados permanentemente.
    4. Clique em Continuar.
    5. No campo Impedir a exclusão de backup, insira o período de retenção mínima obrigatória que define por quanto tempo os backups ficam protegidos contra exclusão. O mínimo é 1 dia e o máximo é 99 anos.
    6. Se quiser bloquear o valor do período mínimo de retenção obrigatória, marque a caixa de seleção Bloquear a retenção obrigatória, clique no ícone e selecione a data no calendário.
    7. Na seção Definir o acesso ao backup vault, selecione uma opção para definir restrições de acesso ao backup vault. Se você não selecionar uma opção, o backup vault será criado com a restrição Restringir o acesso à organização atual.

  4. Clique em Criar.

gcloud

  1. Em um dos ambientes de desenvolvimento a seguir, configure a CLI gcloud:
  2. Cloud Shell: para usar um terminal on-line com a CLI gcloud já configurada, ative o Cloud Shell. Na parte de baixo desta página, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. A inicialização da sessão pode levar alguns segundos.

  3. Shell local: para usar um ambiente de desenvolvimento local, instale e inicialize a CLI gcloud.

  4. Crie um backup vault.

      gcloud backup-dr backup-vaults create BACKUPVAULT_NAME \
  --project=PROJECT_ID \
  --location=LOCATION \
  --backup-min-enforced-retention=RETENTION_PERIOD_IN_DAYS
  --access-restriction=ACCESS_RESTRICTION

    Substitua:

    • BACKUPVAULT_NAME: o nome do cofre de backup.
    • PROJECT_ID: o nome do projeto em que você quer criar o cofre de backup.
    • LOCATION: o local onde você quer criar um cofre de backup.
    • RETENTION_PERIOD_IN_DAYS: o período em que cada backup no backup vault não pode ser excluído. O mínimo é 1 dia e o máximo é 99 anos. Por exemplo, 2w1d é duas semanas e um dia. Para mais informações, consulte Período mínimo de retenção obrigatória do backup vault.
    • ACCESS_RESTRICTION: especifique restrições de acesso para o backup vault. Os valores permitidos são within-project, within-org, unrestricted e within-org-but-unrestricted-for-ba. Se você não especificar um valor, o cofre de backup será criado com a restrição within-org.

  5. Verifique o status da operação.

      gcloud backup-dr operations describe FULL_OPERATION_ID

    Substitua:

    • FULL_OPERATION_ID o ID da operação que é mostrado para o cofre de backup. Ele está no seguinte formato: projects/test-project/locations/us-central1/operations/operationID

    A saída é exibida da seguinte maneira:

    
    Create in progress for backup vault [projects/test-project/locations/us-central1/operations/operation-1721893921568-41e0dab8938a1-f1dc6ad2-3051b3ce]. Run the [gcloud backup-dr operations describe] command to check the status of this operation.

Terraform

É possível usar um recurso do Terraform para criar um cofre de backup.


resource "google_backup_dr_backup_vault" "default" {
  provider                                   = google-beta
  location                                   = "us-central1"
  backup_vault_id                            = "my-vault"
  description                                = "This vault is created usingTerraform."
  backup_minimum_enforced_retention_duration = "100000s"
  force_update                               = "true"
  ignore_inactive_datasources                = "true"
  allow_missing                              = "true"
}

Listar backup vaults em um projeto

Use as instruções a seguir para listar os cofres de backup em um projeto.

Console

  1. No console Google Cloud , acesse a página Cofres de backup.

    Acessar Backup vaults

    Os cofres de backup que fazem parte do projeto selecionado aparecem na lista.

gcloud

  1. Liste os backup vaults.

      gcloud backup-dr backup-vaults list \
  --project=PROJECT_ID \
  --location=LOCATION

    Substitua:

    • PROJECT_ID: o nome do projeto em que os cofres de backup são criados.
    • LOCATION: o local em que os cofres de backup são criados.

Conferir detalhes do backup vault

A página de detalhes do cofre de backup mostra as informações de configuração e permite atualizar os itens editáveis.

O campo Status do bloqueio na página de detalhes do cofre de backup pode ter um dos seguintes valores:

  • Desbloqueado: não há bloqueio aplicado nem pendente para o backup vault.
  • O bloqueio entra em vigor em datetime: um bloqueio foi definido para entrar em vigor no backup vault na data especificada.
  • Bloqueado: o valor dos períodos mínimos de retenção aplicados do backup vault está bloqueado contra redução ou remoção.

Use as instruções a seguir para conferir os detalhes do backup vault.

Console

  1. No console Google Cloud , acesse a página Cofres de backup.

    Acessar Backup vaults

    Os vaults de backup que fazem parte do projeto selecionado são listados nesta página.

  2. Clique no cofre de backup que você quer acessar.

    A página de detalhes do vault de backup mostra as informações de configuração, incluindo o valor do período mínimo de retenção obrigatória e o status de bloqueio.

gcloud

  1. Confira os detalhes do backup vault.

      gcloud backup-dr backup-vaults describe BACKUPVAULT_NAME \
  --location=LOCATION \
  --project=PROJECT_ID

    Substitua:

    • BACKUPVAULT_NAME: o nome do cofre de backup.
    • LOCATION: o local do backup vault.
    • PROJECT_ID: o nome do projeto em que o cofre de backup é criado.

Atualizar o período mínimo de retenção obrigatória em um backup vault

É possível atualizar o período de armazenamento mínima aplicada com base no status do bloqueio.

  • Desbloqueado: é possível aumentar ou diminuir o período de armazenamento mínima aplicada.
  • Bloqueado: só é possível aumentar o período de armazenamento mínima obrigatória.

O bloqueio não pode ser removido se a data de início da vigência já foi atingida. No entanto, se a data de vigência ainda não tiver sido atingida, você poderá remover o bloqueio, o que vai limpar a data de vigência especificada originalmente.

As mudanças no valor do período mínimo de retenção obrigatório só se aplicam a backups criados após a atualização. As mudanças no valor do período de armazenamento mínima obrigatória não afetam a retenção obrigatória restante para backups que já existem no backup vault.

Ao aumentar o período de armazenamento obrigatória de um backup vault, ele não pode exceder o período de armazenamento no plano de backup para nenhum backup que você armazene no backup vault. Se o valor alterado for maior que o período de retenção de backup, o serviço de backup e DR vai processar essas mudanças de maneira diferente com base no tipo de plano de backup.

  • Google Cloud Planos baseados em console: as mudanças no valor do cofre de backup são impedidas.

  • Planos baseados no console de gerenciamento: é possível mudar o valor do cofre de backup, mas atualize imediatamente os planos de backup relevantes para especificar uma retenção igual ou maior que o período mínimo de retenção atualizado do cofre de backup.

    Os backups gerados enquanto a retenção do plano for menor que a retenção mínima obrigatória do backup vault serão criados com o período de armazenamento obrigatória definido como a retenção mínima obrigatória do backup vault. Além disso, a expiração do backup é definida para ocorrer após o período de armazenamento obrigatório ser concluído.

Use as instruções a seguir para atualizar o período mínimo de retenção obrigatória em um backup vault.

Console

  1. No console Google Cloud , acesse a página Coffers de backup.

    Acessar Backup vaults

  2. Na lista de cofres de backup, clique no nome do cofre que você quer atualizar.

  3. Clique no ícone .

  4. Na caixa de diálogo Editar retenção mínima obrigatória, insira o valor do Novo período de retenção mínima obrigatória. É o período em que cada backup no backup vault não pode ser excluído. O mínimo é de 1 dia e o máximo é de 99 anos.

  5. Se você quiser bloquear o período de armazenamento mínimo aplicado, marque a caixa de seleção Bloquear a retenção obrigatória e selecione a data de início do bloqueio no calendário.

  6. Clique em Salvar.

gcloud

  1. Atualize o período mínimo de retenção obrigatória em um backup vault atual.

      gcloud backup-dr backup-vaults update BACKUPVAULT_NAME\
  --project=PROJECT_ID \
  --location=LOCATION \
  --backup-min-enforced-retention=RETENTION_PERIOD_IN_DAYS

    Substitua:

    • BACKUPVAULT_NAME: o nome do cofre de backup.
    • PROJECT_ID: o nome do projeto em que o cofre de backup é criado.
    • LOCATION: o local do backup vault.
    • RETENTION_PERIOD_IN_DAYS: o período em que cada backup no backup vault não pode ser excluído. O mínimo é 1 dia e o máximo é 99 anos.

Excluir um backup vault

Os backup vaults só podem ser excluídos se não contiverem backups. Para excluir um cofre de backup, primeiro exclua todos os backups contidos nele, se eles puderem ser excluídos.

Use as instruções a seguir para excluir um cofre de backup.

Console

  1. No console Google Cloud , acesse a página Coffers de backup.

    Acessar Backup vaults

  2. Clique no cofre de backup que você quer excluir.

  3. Clique em Excluir.

  4. Na janela de sobreposição que aparece, confirme que você quer excluir o cofre de backup e o conteúdo dele.

  5. Clique em Excluir.

gcloud

  1. Exclui um backup vault.

      gcloud backup-dr backup-vaults delete BACKUPVAULT_NAME \
  --project=PROJECT_ID \
  --location=LOCATION

    Substitua:

    • BACKUPVAULT_NAME: o nome do cofre de backup.
    • PROJECT_ID: o nome do projeto em que o cofre de backup é criado.
    • LOCATION: o local do backup vault.

Conceder acesso ao agente de serviço do backup vault e aos dispositivos de backup/recuperação

Cada cofre de backup criado tem um agente de serviço exclusivo vinculado a ele. Para alguns tipos de recursos, o agente de serviço é usado para realizar ações em nome do serviço de Backup e DR e, portanto, precisa receber as permissões adequadas nos projetos em que o agente de serviço do backup vault precisa acessar. Um agente de serviço é uma conta serviço gerenciado pelo Google. Para mais informações, consulte Agentes de serviço.

Para alguns tipos de recursos, como o Google Cloud VMware Engine, bancos de dados Oracle e SQL Server, o dispositivo de backup/recuperação do Backup e DR precisa realizar ações no cofre de backup. Nesses casos, o dispositivo de backup/recuperação precisa das permissões adequadas no backup vault. Além disso, o cofre de backup de destino precisa ser definido com as restrições de acesso UNRESTRICTED ou WITHIN_ORG_BUT_UNRESTRICTED_FOR_BA.

Conceder um papel ao agente de serviço

Depois de encontrar o endereço de e-mail do agente de serviço, é possível conceder um papel a ele da mesma forma que faria com qualquer outro principal.

Para fazer backup de uma instância de VM do Compute Engine em um projeto diferente de onde o backup vault foi criado, conceda o papel do IAM de operador do Compute Engine do Backup e DR (roles/backupdr.computeEngineOperator) ao agente de serviço do backup vault no projeto do Compute Engine. No entanto, para fazer backup de uma instância de VM do Compute Engine no mesmo projeto em que o backup vault foi criado, não é necessário conceder papéis.

Para restaurar uma instância do Compute Engine, conceda ao agente de serviço do backup vault o papel do IAM de operador do Compute Engine do Backup e DR (roles/backupdr.computeEngineOperator) no projeto de restauração.

Siga as instruções abaixo para conceder um papel ao agente de serviço.

Console

  1. No console Google Cloud , acesse a página Cofres de backup.

    Acessar Backup vaults

  2. Clique no nome do backup vault e copie o endereço de e-mail do agente de serviço.

  3. No console Google Cloud , acesse a página IAM.

    Acessar IAM

  4. No campo Novos membros, insira o endereço de e-mail do agente de serviço.

  5. Na lista Selecionar um papel, escolha o papel adequado com base no tipo de recurso. Por exemplo, para fazer backup de uma instância do Compute Engine em um projeto diferente de onde o cofre de backup foi criado, selecione a função do IAM "Operador de backup e DR do Compute Engine" (roles/backupdr.computeEngineOperator).

  6. Clique em Salvar.

gcloud

  1. Conceda papéis ao agente de serviço.

      gcloud projects add-iam-policy-binding PROJECT_ID \
  --member='serviceAccount:SERVICE_ACCOUNT \
  --role=ROLE

    Substitua:

    • PROJECT_ID: o nome do projeto.
    • SERVICE_ACCOUNT: o endereço de e-mail do agente de serviço do cofre de backup. Exemplo, my-service-account@my-project.iam.gserviceaccount.com
    • ROLE: a função necessária para conceder no projeto de recurso. Por exemplo, para fazer backup de uma instância do Compute Engine em um projeto diferente de onde o cofre de backup foi criado, selecione a função do IAM "Operador do Compute Engine de backup e DR" (roles/backupdr.computeEngineOperator).

Conceder papéis à conta de serviço do dispositivo de backup/recuperação

Só é possível acessar um backup vault do projeto do dispositivo de backup/recuperação depois que a conta de serviço do dispositivo recebe o papel do IAM de acesso ao backup vault do Backup e DR (roles/backupdr.backupvaultAccessor) no projeto do backup vault. Sem essa função, não é possível acessar o backup vault para concluir a configuração e ativar a criação de backups.

Depois de conceder papéis à conta de serviço do appliance de backup/recuperação, é possível fazer backup e restaurar o Google Cloud VMware Engine, bancos de dados Oracle e bancos de dados do SQL Server em um cofre de backup usando o console de gerenciamento.

Use as instruções a seguir para conceder papéis à conta de serviço do appliance de backup/recuperação:

  1. No console Google Cloud , acesse a página Instâncias de VM em que o dispositivo foi criado.

    Acessar a página "Instâncias de VM"

  2. Clique na instância do Compute Engine para a qual você quer receber a conta de serviço.

  3. Na seção Gerenciamento de APIs e identidades, copie o endereço de e-mail da conta de serviço no campo Conta de serviço.

  4. No console Google Cloud , acesse os papéis do IAM no projeto do cofre de backup.

    Acessar IAM

  5. Clique em Conceder acesso.

  6. No campo Novos principais, insira o endereço de e-mail da conta de serviço do dispositivo.

  7. Na lista Selecionar um papel, escolha Acessador do cofre de backup do Backup e DR.

  8. Opcional: para restringir o acesso do dispositivo de backup/recuperação a um cofre de backup específico, clique em Adicionar condição do IAM ao lado da função Acessador do cofre de backup do Backup e DR.

    1. No campo Título, insira um nome para a condição.

    2. Clique na guia Editor da condição.

      • No campo Editor de expressões CEL, insira a seguinte expressão:

        resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
/{name}/") == ("BACKUPVAULT_NAME") || resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
/{name}") == ("BACKUPVAULT_NAME") || resource.name.extract("operations/{op}") != ""

      Substitua:

      • BACKUPVAULT_NAME: o nome do cofre de backup.
      • PROJECT_ID: o nome do projeto em que o cofre de backup é criado.

      • LOCATION: o local do backup vault.

        Para adicionar acesso a outros cofres de backup, adicione outras instruções "resource.name.startsWith" (com o operador lógico "||" OR) conforme necessário.

        Por exemplo, a instrução a seguir autoriza um cofre de backup chamado "bv-test" e outro chamado "user-bv1", ambos localizados em um projeto chamado "testproject" e no local "us-central1".

        resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}/") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}/") == ("user-bv1") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}") == ("user-bv1") || resource.name.extract("operations/{op}") != ""

    3. Clique em Salvar.

  9. Clique em Salvar.

A seguir