Fazer backup de discos em um cofre de backup

Nesta página, descrevemos como fazer backup de discos em um cofre de backup usando o console Google Cloud . O envio de backups para um backup vault oferece imutabilidade e retenção obrigatória. Com um backup vault, é possível armazenar backups em uma região ou em uma multirregião.

O acesso aos backup vaults multirregionais está disponível apenas por convite. Se você quiser solicitar acesso a cofres de backup multirregionais no seu projeto Google Cloud, entre em contato com seu representante de vendas.

No console do Google Cloud , é possível fazer backup de discos em um cofre de backup aplicando planos de backup. É possível fazer backup de duas maneiras:

  • Backups programados: é possível fazer backup automático dos discos em intervalos específicos, como diário, semanal, mensal ou anual.
  • Backups sob demanda: é possível criar backups sob demanda sempre que necessário. Os backups sob demanda são úteis para criar backups antes de fazer mudanças significativas nas instâncias ou para proteção de dados ad hoc.

Os dois métodos permitem armazenar seus backups com segurança em um cofre de backup, oferecendo uma maneira confiável de recuperar seus discos em caso de perda de dados ou outros eventos inesperados.

Antes de começar

  1. Ative a API do serviço Backup e DR no local dos discos.
  2. Ativar a API
  3. Criar um backup vault
  4. Criar um plano de backup
  5. Atribuir papéis e permissões do IAM ao usuário de backup
  6. Conceder acesso ao backup vault no projeto do Compute Engine
  7. Configure a análise de registros no seu bucket para monitorar os jobs de backup do Backup e DR.

Limitações

O serviço de Backup e DR não é compatível com:

  • Fazer backup de discos em um cofre de backup para discos com chaves de criptografia gerenciadas pelo cliente (CMEK) ou chaves de criptografia fornecidas pelo cliente (CSEK).
  • Não é possível fazer backup de discos com o modo de acesso READ_WRITE_MANY.
  • Backups entre regiões.
  • Mais de um backup por hora.

Permissões e papéis do IAM para o usuário de backup

Para receber as permissões necessárias para configurar backups programados ou executar backups sob demanda, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto do cofre de backup:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para configurar backups programados ou executar backups sob demanda. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para configurar backups programados ou executar backups sob demanda:

  • backupdr.backupPlans.list
  • backupdr.backupPlanAssociations.createForComputeDisk
  • backupdr.backupPlanAssociations.list
  • backupdr.backupPlanAssociations.get
  • backupdr.backupPlanAssociations.triggerBackupForComputeDisk
  • backupdr.backupPlanAssociations.deleteForComputeDisk
  • backupdr.backupPlans.useForComputeDisk
  • backupdr.locations.list
  • backupdr.operations.get
  • cloudasset.assets.searchAllResources

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Conceder acesso ao backup vault no projeto em que os discos estão

Para fazer backup de um disco em um projeto diferente de onde o backup vault foi criado, conceda o papel do IAM de operador de disco do Backup e DR (roles/backupdr.diskOperator) ao agente de serviço do backup vault no projeto em que os discos estão.

Para fazer backup de um disco no projeto em que o backup vault foi criado, não é necessário conceder papéis.

Para informações sobre como conceder papéis ao agente de serviço do cofre de backup no projeto que você quer fazer backup, consulte Conceder um papel ao agente de serviço.

Configurar um backup programado

Use as instruções a seguir para configurar um backup programado para discos.

Console

  1. No console Google Cloud , acesse a página Backups em cofre.

    Acessar backups em vault

  2. Clique em Programar backups.

  3. Em Tipo de recurso, selecione Discos.

  4. Na lista Projetos, clique em Procurar e selecione um projeto em que os discos estão localizados.

  5. Na lista Região, selecione a região em que seus discos estão localizados.

  6. Na lista Recursos, clique em Procurar.

  7. Escolha os discos que você quer armazenar em backup e clique em Concluído.

  8. Clique em Continuar.

  9. Na lista Plano de backup, clique em Selecionar.

  10. Escolha um plano de backup para proteger os discos.

  11. Clique em Concluído.

  12. Revise os detalhes do backup e clique em Programar. Neste momento, você associou um plano de backup aos discos. O plano de backup agenda os discos escolhidos para backup de acordo com a frequência definida na política de backup, mas eles ainda não foram copiados. Se o horário atual estiver dentro da janela definida no plano de backup, o primeiro job de backup vai começar em alguns minutos. Se o horário atual estiver fora da janela do plano, crie um backup sob demanda.

gcloud

  1. Consiga o ID da instância.

      gcloud compute instances describe DISK_NAME --zone=DISK_ZONE --format="value(id)"

    Substitua:

    • DISK_NAME: o nome do disco.
    • DISK_ZONE: o local em que o disco está localizado.

  2. Configure um backup programado.

      gcloud backup-dr backup-plan-associations create BACKUP_PLAN_ASSOCIATION_NAME \
  --location=DISK_REGION \
  --resource=projects/DISK_PROJECT_ID/zones/DISK_ZONE/disks/DISK_ID \
  --resource-type=compute.googleapis.com/Disk \
  --backup-plan=projects/PROJECT_ID/locations/LOCATION/backupPlans/BACKUP_PLAN

    Substitua:

    • BACKUP_PLAN_ASSOCIATION_NAME: o nome da associação do plano de backup.
    • DISK_REGION: a região em que os discos estão localizados.
    • DISK_PROJECT_ID: o nome do projeto em que os discos estão localizados.
    • DISK_ZONE: a zona em que os discos estão localizados.
    • DISK_ID: o ID do disco.
    • PROJECT_ID: o nome do projeto em que os planos de backup estão.
    • LOCATION: a região em que seus planos de backup estão.
    • BACKUP_PLAN: o nome do plano de backup que você quer associar ao disco.

Terraform

É possível usar um recurso do Terraform para configurar um backup programado.


# Before creating a backup plan association, you need to create backup plan (google_backup_dr_backup_plan)
# and compute disk (google_compute_disk or google_compute_region_disk).
resource "google_backup_dr_backup_plan_association" "disk_association" {
  provider                   = google-beta
  location                   = "us-central1"
  backup_plan_association_id = "my-disk-bpa"
  resource                   = google_compute_disk.default.id
  resource_type              = "compute.googleapis.com/Disk"
  backup_plan                = google_backup_dr_backup_plan.disk_default.name
}

Mudar o plano de backup associado aos discos

É possível mudar o plano de backup associado a um disco para outro. O outro plano de backup precisa:

  • Usar o mesmo backup vault
  • Estar na mesma região que a instância do Compute Engine do disco

Siga as instruções abaixo para mudar o plano de backup associado aos discos.

Console

  1. No console Google Cloud , acesse a página Backups em cofre.

    Acessar backups em vault

    A página Backups em vault lista apenas as instâncias com planos de backup aplicados e os backups armazenados em um vault dentro de um projeto.

  2. Selecione o recurso de dados para assinar um plano diferente. Na página de detalhes do backup ou no menu no canto direito de uma instância do Compute Engine, selecione Mudar plano de backup.

  3. A janela Selecionar um plano de backup lista apenas os planos válidos para essa instância. Selecione um plano de backup e clique em Aplicar.

gcloud

  • Mude o plano de backup atribuído.

      gcloud backup-dr backup-plan-associations update BACKUP_PLAN_ASSOCIATION_NAME \
  --resource-type=compute.googleapis.com/Disk \
  --workload-project=DISK_PROJECT_ID \
  --location=DISK_REGION \
  --backup-plan=BACKUP-PLAN \
  --project=PROJECT_ID

    Substitua:

    • BACKUP_PLAN_ASSOCIATION_NAME: o nome do recurso de associação do plano de backup.
    • DISK_PROJECT_ID: o ID do projeto do disco.
    • DISK_REGION: o local do disco.
    • BACKUP_PLAN: o nome do plano de backup para o qual você está mudando.
    • PROJECT_ID: o ID do projeto do plano de backup selecionado.

Listar backups programados e sob demanda

Use as instruções a seguir para listar os discos que têm backup ou estão programados para ter backup.

Console

  1. No console Google Cloud , acesse a página Backups em cofre.

    Acessar backups em vault

    A página Backups em vault lista apenas as instâncias e os discos com planos de backup aplicados e os backups armazenados em um vault dentro de um projeto.

  2. Clique em um disco para conferir todos os backups (programados e sob demanda) disponíveis para ele.

gcloud

  1. Listar backups programados e sob demanda.

      gcloud backup-dr backup-plan-associations list \
  --location=LOCATION \
  --project=PROJECT_ID

    Substitua:

    • LOCATION: o local dos backups programados.
    • PROJECT_ID: o nome do projeto.

Criar um backup sob demanda

É possível iniciar um backup on demand para discos com um plano de backup acionando a regra de backup escolhida para execução imediata. Os backups sob demanda são incrementais e capturam apenas os dados alterados desde o último backup.

Ao criar um backup on demand, é possível escolher uma regra do plano de backup associado ao disco. Essa regra determina quando o backup sob demanda será excluído. É possível verificar o status do job de backup na página Jobs. Para mais informações, consulte Monitorar jobs de backup e restauração no Google Cloud console.

Use as instruções a seguir para criar um backup sob demanda.

Console

  1. Acesse Backups em vault.
  2. Selecione o disco para fazer backup.
  3. Clique em Criar backup sob demanda.
  4. Escolha uma regra de backup.
  5. Clique em Criar para iniciar o processo de criação de backup sob demanda.
  6. Para conferir o status do job de backup sob demanda, clique em Notificações.

gcloud

  1. Crie um backup sob demanda.

      gcloud backup-dr backup-plan-associations trigger-backup BACKUP_PLAN_ASSOCIATION_NAME \
  --project=PROJECT_ID --location=LOCATION \
  --backup-rule-id=RULE_ID

    Substitua:

    • BACKUP_PLAN_ASSOCIATION_NAME: o nome da associação do plano de backup. Execute o comando gcloud backup-dr backup-plan-associations list --location=LOCATION --project=PROJECT_ID para receber a lista de planos de backup associados ao disco.
    • PROJECT_ID: o nome do projeto.
    • LOCATION: o local dos backups programados.
    • RULE_ID: o nome da regra de backup que você quer associar para executar backups sob demanda.

Remover a proteção dos discos

É possível remover a proteção dos discos removendo o plano de backup aplicado a eles. Remover um plano de backup dos discos não exclui o plano nem os backups criados enquanto a instância estava em uso. Você ainda pode acessar e gerenciar esses backups.

Siga estas instruções para remover a proteção de um disco:

Console

  1. No console Google Cloud , acesse a página Backups em cofre.

    Acessar backups em vault

  2. Clique no nome do disco para remover um plano de backup.

  3. Selecione Remover plano de backup.

gcloud

  1. Remova a proteção dos discos.

      gcloud backup-dr backup-plan-associations delete BACKUP_PLAN_ASSOCIATION_NAME\
  --project=PROJECT_ID \
  --location=LOCATION

    Substitua:

    • BACKUP_PLAN_ASSOCIATION_NAME: o nome do backup que você quer excluir.
    • PROJECT_ID: o nome do projeto.
    • LOCATION: o local do backup programado.