Fazer backup de instâncias do Compute Engine em um cofre de backup

Nesta página, descrevemos como fazer backup de instâncias do Compute Engine em um cofre de backup usando o console Google Cloud . O envio de backups para um backup vault oferece imutabilidade e retenção obrigatória. Com um backup vault, é possível armazenar backups em uma única região ou em uma multirregião. Se você tiver algum dos seguintes requisitos de backup, use o console de gerenciamento para fazer backup das instâncias do Compute Engine:

  • Backups entre regiões
  • Backups de discos específicos anexados a uma VM
  • Proteção automatizada de VMs do Google Compute Engine com base em tags
  • Se os planos de backup e os cofres de backup baseados no console do Google Cloud não estiverem em um local compatível com a região em que as VMs de origem estão sendo executadas.
O acesso aos backup vaults multirregionais está disponível apenas por convite. Se você quiser solicitar acesso a cofres de backup multirregionais no seu projeto Google Cloud, entre em contato com seu representante de vendas.

No console do Google Cloud , é possível fazer backup das instâncias do Compute Engine em um cofre de backup aplicando planos de backup. É possível fazer backup de uma destas duas maneiras. Os dois métodos permitem armazenar seus backups com segurança em um cofre de backup, oferecendo uma maneira confiável de recuperar suas instâncias do Compute Engine em caso de perda de dados ou outros eventos inesperados.

  • Backups programados. É possível fazer backup automático das instâncias do Compute Engine em intervalos específicos, como diário, semanal, mensal ou anual.
  • Backups sob demanda. É possível criar backups sob demanda sempre que necessário. Os backups sob demanda são úteis para criar backups antes de fazer mudanças significativas nas instâncias ou para proteção de dados ad hoc.

Antes de começar

  1. Ative a API do serviço Backup e DR onde as instâncias do Compute Engine estão localizadas.
  2. Ativar a API
  3. Criar um backup vault
  4. Criar um plano de backup
  5. Atribuir papéis e permissões do IAM ao usuário de backup
  6. Conceder acesso ao backup vault no projeto do Compute Engine
  7. Configure a análise de registros no seu bucket para monitorar os jobs de backup do Backup e DR.

Limitações

O serviço de backup e DR não oferece suporte ao backup de instâncias do Compute Engine em um cofre de backup se a instância usar uma das seguintes configurações:

  • Instâncias de VM com discos permanentes extremos anexados.
  • Instâncias de VM com discos Hyperdisk Extreme anexados.
  • Instâncias de VM que usam um tipo de máquina C3D, H3, A3 ou Z3.
  • Instâncias de VM com chaves de criptografia gerenciadas pelo cliente (CMEK) ou fornecidas pelo cliente (CSEK).
  • Instâncias de VM sem discos anexados.
  • Instâncias de VM maiores que 200 terabytes (TB).

Permissões e papéis do IAM para o usuário de backup

Para receber as permissões necessárias para configurar backups programados ou executar backups sob demanda, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto do cofre de backup:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para configurar backups programados ou executar backups sob demanda. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para configurar backups programados ou executar backups sob demanda:

  • backupdr.backupPlans.list
  • backupdr.backupPlanAssociations.createForComputeInstance
  • backupdr.backupPlanAssociations.list
  • backupdr.backupPlanAssociations.get
  • backupdr.backupPlanAssociations.triggerBackupForComputeInstance
  • backupdr.backupPlanAssociations.deleteForComputeInstance
  • backupdr.backupPlans.useForComputeInstance
  • backupdr.locations.list
  • backupdr.operations.get
  • cloudasset.assets.searchAllResources

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Conceder acesso ao backup vault no projeto do Compute Engine

Para fazer backup de uma instância de VM do Compute Engine em um projeto diferente de onde o backup vault foi criado, conceda o papel do IAM de operador do Compute Engine do Backup e DR (roles/backupdr.computeEngineOperator) ao agente de serviço do backup vault no projeto do Compute Engine.

Para fazer backup de uma instância de VM do Compute Engine no mesmo projeto em que o backup vault foi criado, não é necessário conceder papéis.

Para informações sobre como conceder papéis ao agente de serviço do cofre de backup no projeto que você quer fazer backup, consulte Conceder um papel ao agente de serviço.

Configurar um backup programado

Use as instruções a seguir para configurar um backup programado para instâncias do Compute Engine.

Console

  1. No console Google Cloud , acesse a página Backups em cofre.

    Acessar backups em vault

  2. Clique em Programar backups.

  3. Na lista Projetos, clique em Procurar e selecione um projeto em que as instâncias do Compute Engine estão localizadas.

  4. Na lista Região, selecione a região em que as instâncias estão localizadas.

  5. Na lista Recursos, clique em Procurar.

  6. Escolha a instância do Compute Engine que você quer fazer backup e clique em Concluído.

  7. Clique em Continuar.

  8. Na lista Plano de backup, clique em Selecionar.

  9. Escolha um plano de backup para proteger a instância do Compute Engine.

  10. Clique em Concluído.

  11. Revise os detalhes do backup e clique em Programar.

gcloud

  1. Consiga o ID da instância.

      gcloud compute instances describe VM_NAME --zone=VM_ZONE --format="value(id)"

    Substitua:

    • VM_NAME: o nome da instância de VM.
    • VM_ZONE: o local em que a VM está localizada.

  2. Configure um backup programado.

      gcloud backup-dr backup-plan-associations create BACKUP_PLAN_ASSOCIATION_NAME \
  --location=VM_REGION \
  --resource=projects/VM_PROJECT_ID/zones/VM_ZONE/instances/VM_ID \
  --backup-plan=projects/PROJECT_ID/locations/LOCATION/backupPlans/BACKUP_PLAN

    Substitua:

    • BACKUP_PLAN_ASSOCIATION_NAME: o nome da associação do plano de backup.
    • VM_REGION: a região em que a instância do Compute Engine está localizada.
    • VM_PROJECT_ID: o nome do projeto em que as instâncias do Compute Engine estão localizadas.
    • VM_ZONE: a zona em que a instância do Compute Engine está localizada.
    • VM_ID: o ID da instância do Compute Engine.
    • PROJECT_ID: o nome do projeto em que os planos de backup estão.
    • LOCATION: a região em que seus planos de backup estão.
    • BACKUP_PLAN: o nome do plano de backup que você quer associar à instância do Compute Engine.

Terraform

É possível usar um recurso do Terraform para configurar um backup programado.


# Before creating a backup plan association, you need to create backup plan (google_backup_dr_backup_plan)
# and compute instance (google_compute_instance).
resource "google_backup_dr_backup_plan_association" "default" {
  provider                   = google-beta
  location                   = "us-central1"
  backup_plan_association_id = "my-bpa"
  resource                   = google_compute_instance.default.id
  resource_type              = "compute.googleapis.com/Instance"
  backup_plan                = google_backup_dr_backup_plan.default.name
}

Mudar o plano de backup aplicado a uma instância do Compute Engine

É possível mudar o plano de backup aplicado a uma instância do Compute Engine para outro. O outro plano de backup precisa atender a estes critérios:

  • Usar o mesmo backup vault
  • Estar na mesma região que a instância do Compute Engine

Use as instruções a seguir para mudar o plano de backup associado a uma instância do Compute Engine.

Console

  1. No console Google Cloud , acesse a página Backups em cofre.

    Acessar backups em vault

    A página Backups em vault lista apenas as instâncias com planos de backup aplicados e os backups armazenados em um vault dentro de um projeto.

  2. Selecione o backup que vai receber um plano diferente. Na página de detalhes do backup ou no menu , selecione Mudar plano de backup. A janela Selecionar um plano de backup lista apenas os planos válidos para essa instância.

  3. Selecione um plano de backup e clique em Aplicar.

gcloud

  • Mude o plano de backup atribuído.

      gcloud backup-dr backup-plan-associations update BACKUP_PLAN_ASSOCIATION_NAME \
  --workload-project=VM_PROJECT_ID \
  --location=VM_REGION \
  --backup-plan=BACKUP-PLAN \
  --project=PROJECT_ID

    Substitua:

    • BACKUP_PLAN_ASSOCIATION_NAME: o nome do recurso de associação do plano de backup.
    • VM_PROJECT_ID: o ID do projeto da instância do Compute Engine.
    • VM_REGION: o local da instância do Compute Engine.
    • BACKUP_PLAN: o nome do plano de backup para o qual você está mudando.
    • PROJECT_ID: o ID do projeto do plano de backup selecionado.

Listar backups programados

Use as instruções a seguir para listar as instâncias do Compute Engine com backup.

Console

  1. No console Google Cloud , acesse a página Backups em cofre.

    Acessar backups em vault

    A página Backups em vault lista apenas as instâncias com planos de backup aplicados e os backups armazenados em um vault dentro de um projeto.

gcloud

  1. Listar backups programados.

      gcloud backup-dr backup-plan-associations list \
  --location=LOCATION \
  --project=PROJECT_ID

    Substitua:

    • PROJECT_ID: o nome do projeto.
    • LOCATION: o local dos backups programados.

Criar um backup sob demanda

É possível iniciar um backup sob demanda para uma instância do Compute Engine com um plano de backup acionando a regra de backup escolhida para execução imediata. Os backups sob demanda geralmente capturam apenas os dados alterados desde o último backup (incremental).

Ao criar um backup sob demanda, você pode escolher uma regra do plano de backup associado à instância do Compute Engine. Essa regra determina quando o backup sob demanda será excluído. É possível verificar o status do job de backup na página Jobs. Para mais informações, consulte Monitorar jobs de backup e restauração no Google Cloud console.

Use as instruções a seguir para criar um backup sob demanda.

Console

  1. Acesse Instâncias de VM > Detalhes > Plano de backup para criar um backup sob demanda.
  2. Clique em Criar backup sob demanda. Você precisa ter as permissões corretas para fazer um backup sob demanda.
  3. Escolha uma regra de backup.
  4. Clique em Criar para iniciar o processo de criação de backup sob demanda.
  5. Para conferir o status do job de backup sob demanda, clique em Notificações.

gcloud

  1. Crie um backup sob demanda.

      gcloud backup-dr backup-plan-associations trigger-backup BACKUP_PLAN_ASSOCIATION_NAME \
  --project=PROJECT_ID --location=LOCATION \
  --backup-rule-id=RULE_ID

    Substitua:

    • BACKUP_PLAN_ASSOCIATION_NAME: o nome da associação do plano de backup. Execute o comando gcloud backup-dr backup-plan-associations list --location=LOCATION --project=PROJECT_ID para receber a lista de planos de backup associados à instância do Compute Engine.
    • PROJECT_ID: o nome do projeto.
    • LOCATION: o local dos backups programados.
    • RULE_ID: o nome da regra de backup que você quer associar para executar backups sob demanda.

Remover a proteção de uma instância do Compute Engine

É possível remover a proteção de uma instância do Compute Engine removendo o plano de backup aplicado a ela. Remover um plano de backup de uma instância do Compute Engine não exclui o plano nem os backups criados enquanto a instância estava em uso. Você ainda pode acessar e gerenciar esses backups.

Use as instruções a seguir para remover a proteção de uma instância do Compute Engine.

Console

  1. No console Google Cloud , acesse a página Backups em cofre.

    Acessar backups em vault

  2. Clique no nome da instância em que você quer remover um plano de backup.

  3. Selecione Remover plano de backup.

gcloud

  1. Remover a proteção de uma instância do Compute Engine.

      gcloud backup-dr backup-plan-associations delete BACKUP_PLAN_ASSOCIATION_NAME\
  --project=PROJECT_ID \
  --location=LOCATION

    Substitua:

    • BACKUP_PLAN_ASSOCIATION_NAME: o nome do backup que você quer excluir.
    • PROJECT_ID: o nome do projeto.
    • LOCATION: o local do backup programado.

A seguir