Halaman ini menjelaskan backup vault Layanan Backup and DR, termasuk model pencadangan yang didukung, lokasi dan resource yang tersedia, fitur utama seperti periode retensi yang diterapkan dan batasan akses, serta cara mengelolanya.
Ringkasan vault cadangan Backup and DR Service
Vault cadangan adalah container yang menyimpan cadangan, mirip dengan penyimpanan yang dikelola sendiri, yang memungkinkan Anda membuat bucket Cloud Storage untuk menyimpan data Anda. Namun, backup vault memberikan manfaat tambahan dengan melindungi cadangan dalam penyimpanan yang aman, terisolasi, dan khusus. Vault cadangan dirancang untuk mendukung ketahanan terhadap penghapusan cadangan yang disengaja atau tidak disengaja dengan menyediakan cadangan yang tidak dapat diubah dan dihapus. Kemampuan ini mendukung berbagai kasus penggunaan perlindungan data, seperti pemulihan dari kesalahan pengguna dan pemulihan cyber.
Dalam konteks backup vault, cadangan dirancang agar tidak dapat diubah dan dihapus:
- Tidak dapat diubah: setelah cadangan dibuat dalam brankas cadangan, kontennya tidak dapat diubah. Hal ini memastikan bahwa data cadangan tetap sama persis seperti saat dibuat, sehingga melindungi dari perubahan yang tidak sah atau tidak disengaja.
- Tidak dapat dihapus: cadangan dalam backup vault tidak dapat dihapus sebelum periode retensi yang diterapkan telah berlalu. Hal ini melindungi dari penghapusan yang tidak disengaja atau berbahaya, sehingga memastikan bahwa cadangan tersedia saat diperlukan.
Cara kerja brankas cadangan
Saat cadangan disimpan di vault cadangan, Layanan Pencadangan dan DR akan menangani penyimpanan dan pengelolaan data cadangan. Anda tidak memiliki visibilitas atau akses langsung ke resource penyimpanan pokok tempat data disimpan, yang melindungi resource tersebut dari serangan langsung. Selain itu, vault cadangan memungkinkan Anda menentukan periode retensi minimum yang diterapkan, yang mewajibkan cadangan tidak dapat berakhir hingga jangka waktu yang ditentukan telah berlalu dan membantu melindungi dari penghapusan yang tidak disengaja atau berbahaya.
Saat menggunakan vault cadangan yang dikonfigurasi dengan benar, Backup and DR Service telah dinilai memenuhi persyaratan utama "tulis sekali, baca berkali-kali" (WORM) SEC sebagaimana dijelaskan dalam SEC (Amerika Serikat).
Anda membuat, mengakses, dan mengelola vault cadangan menggunakan Google Cloud Layanan Backup and DR. Vault cadangan menyimpan cadangan di region atau di multi-region.
Model resource vault cadangan
Vault cadangan memiliki model resource hierarkis tiga tingkat untuk mengatur data cadangan:
Vault cadangan: resource tingkat teratas yang ditentukan pengguna untuk menyimpan data cadangan Backup and DR Service.
Sumber data: resource tertentu yang dicadangkan, seperti instance virtual machine (VM) atau database. Satu sumber data dapat berisi beberapa cadangan. Sumber data adalah resource turunan dari vault cadangan.
Pencadangan: satu pencadangan untuk resource yang ditentukan oleh sumber data. Cadangan adalah resource turunan dari sumber data.
Diagram berikut menunjukkan model resource brankas cadangan:
Resource yang didukung
Tabel berikut membantu Anda memahami resource yang didukung brankas cadangan dan yang Anda gunakan untuk mengelolanya.
| Workload | Dikelola oleh |
|---|---|
| Instance Compute Engine | Google Cloud console |
| Disk Compute Engine | Google Cloud console |
| Instance Cloud SQL (Pratinjau) | Google Cloud console |
| Google Cloud VMware Engine, database Oracle, dan database SQL Server | Konsol pengelolaan |
Model cadangan untuk resource yang dilindungi menggunakan konsol Google Cloud
Bagian ini menjelaskan dua model pencadangan untuk resource yang dilindungi menggunakan konsolGoogle Cloud .
Model terpusat: Dalam model terpusat, organisasi menyederhanakan pengelolaan cadangan dengan membuat vault dan rencana pencadangan dalam project administrator pusat yang ditetapkan. Repositori pusat ini menggabungkan cadangan berbagai resource, seperti VM Compute Engine yang berjalan di beberapa project layanan. Kemudian, organisasi menggunakan rencana pencadangan yang dikelola secara terpusat ini untuk melindungi VM Compute Engine mereka yang berada di berbagai project layanan.
Administrator pencadangan juga dapat memberikan akses ke rencana pencadangan kepada pemilik aplikasi atau platform dalam project layanan melalui izin IAM. Memberikan akses memungkinkan pemilik platform mengambil alih kepemilikan pencadangan aplikasi mereka.
Model terdesentralisasi: Dalam model terdesentralisasi, brankas cadangan dibuat di berbagai project berdasarkan kebutuhan spesifik organisasi dan tingkat isolasi yang diperlukan. Artinya, brankas cadangan dan rencana pencadangan dibuat untuk setiap project dengan berbagai resource, seperti VM Compute Engine. Pendekatan ini sangat penting bagi organisasi yang terdesentralisasi di mana tanggung jawab untuk mencadangkan VM berada di tim aplikasi masing-masing.
Model cadangan untuk resource yang dilindungi menggunakan konsol pengelolaan
Bagian ini menjelaskan dua model pencadangan untuk resource yang dilindungi menggunakan konsol pengelolaan.
Model terpusat: Dalam model terpusat, organisasi menyederhanakan pengelolaan pencadangan dengan membuat vault cadangan dan men-deploy konsol pengelolaan dalam project administrator pusat yang ditetapkan. Repositori terpusat ini menggabungkan cadangan berbagai resource, seperti VM Google Cloud VMware Engine yang berjalan di beberapa project layanan. Kemudian, organisasi mengonfigurasi kebijakan dalam konsol pengelolaan untuk melindungi resource mereka yang berada di berbagai project layanan.
Model terdesentralisasi: Dalam model terdesentralisasi, konsol pengelolaan dan vault cadangan dibuat di berbagai project berdasarkan kebutuhan spesifik organisasi dan tingkat isolasi yang diperlukan. Misalnya, organisasi dapat memilih untuk memiliki konsol pengelolaan terpisah untuk setiap lini bisnis. Pendekatan ini berguna bagi organisasi yang terdesentralisasi di mana tanggung jawab untuk mengelola dan mencadangkan resource dibagi di antara beberapa tim.
Lokasi yang didukung untuk vault cadangan
Vault cadangan dapat dibuat di region dan di multi-region.
Region
Vault cadangan dapat dibuat di region berikut:
| Area Geografis | Nama Region | Deskripsi Region | |
|---|---|---|---|
| Amerika Utara | |||
northamerica-northeast1 * |
Montréal |
 CO Rendah2
|
|
northamerica-northeast2 |
Toronto |
CO Rendah2
|
|
us-central1 |
Iowa |
CO Rendah2
|
|
us-east1 |
South Carolina | ||
us-east4 |
Northern Virginia | ||
us-east5 |
Columbus | ||
us-south1 |
Dallas |
CO2 Rendah
|
|
us-west1 |
Oregon |
CO Rendah2 |
|
us-west2 |
Los Angeles | ||
us-west3 |
Salt Lake City | ||
us-west4 |
Las Vegas | ||
northamerica-south1 * |
Querétaro | ||
| Amerika Selatan | |||
southamerica-east1 |
Sao Paulo |
CO Rendah2
|
|
southamerica-west1 |
Santiago |
CO Rendah2
|
|
| Eropa | |||
europe-central2 |
Warsawa | ||
europe-north1 |
Finlandia |
CO Rendah2
|
|
europe-southwest1 |
Madrid |
CO Rendah2
|
|
europe-west1 |
Belgia |
CO Rendah2
|
|
europe-west2 |
London |
CO Rendah2
|
|
europe-west3 |
Frankfurt | ||
europe-west4 |
Belanda |
CO Rendah2
|
|
europe-west6 |
Zürich |
CO Rendah2
|
|
europe-west8 |
Milan | ||
europe-west9 |
Paris |
CO Rendah2
|
|
europe-west10 |
Berlin |
CO2 Rendah
|
|
europe-west12 |
Turin | ||
| Timur Tengah | |||
me-central1 |
Doha | ||
me-central2 |
Dammam | ||
me-west1 |
Israel | ||
| Afrika | |||
africa-south1 |
Johannesburg | ||
| Asia Pasifik | |||
asia-east1 |
Taiwan | ||
asia-east2 |
Hong Kong | ||
asia-northeast1 |
Tokyo | ||
asia-northeast2 * |
Osaka | ||
asia-northeast3 |
Seoul | ||
asia-southeast1 |
Singapura | ||
asia-southeast2 |
Jakarta | ||
australia-southeast1 |
Sydney | ||
australia-southeast2 |
Melbourne | ||
| India | |||
asia-south1 |
Mumbai | ||
asia-south2 |
Delhi |
* Querétaro, Montréal, dan Osaka masing-masing memiliki tiga zona yang ditempatkan di satu atau dua pusat data fisik. Jika terjadi bencana yang jarang terjadi, data yang disimpan di region ini dapat hilang.
Multi-region
Vault cadangan dapat dibuat di multi-region berikut:
| Nama Multi-Region | Deskripsi Multi-Region |
|---|---|
ASIA |
Pusat data di Asia |
EU |
Pusat data di Uni Eropa |
US |
Pusat data di Amerika Serikat |
Kompatibilitas lokasi workload
Tabel ini menjelaskan lokasi brankas pencadangan yang kompatibel untuk setiap workload yang didukung, saat menggunakan brankas pencadangan regional. Perhatikan bahwa rencana pencadangan di konsol Google Cloud harus dibuat di region yang sama dengan workload sumber.
| Workload | Apakah vault cadangan harus berada di region yang sama dengan workload sumber? | Region vault cadangan yang didukung |
|---|---|---|
| Instance Compute Engine | Ya | Semua wilayah yang didukung |
| Disk Compute Engine | Ya | Semua wilayah yang didukung |
| Google Cloud VMware Engine, database Oracle, dan database SQL Server | Tidak | Semua wilayah yang didukung |
Jika workload mendukung penggunaan brankas pencadangan multi-region, lokasi workload sumber harus kompatibel dengan lokasi brankas pencadangan multi-region.
Kompatibilitas multi-region ditentukan oleh awalan lokasi workload:
- Resource di region dengan awalan "asia" hanya diizinkan untuk dicadangkan ke multi-region "asia".
- Resource di region dengan awalan "us" hanya diizinkan untuk dicadangkan ke multi-region "us"
- Resource di region dengan awalan "europe" hanya diizinkan untuk dicadangkan ke multi-region "eu".
Tabel ini menjelaskan lokasi brankas cadangan yang kompatibel untuk setiap beban kerja yang didukung saat menggunakan brankas cadangan multi-region.
| Workload | Mendukung penggunaan brankas cadangan multi-region? | Multi-region brankas pencadangan yang didukung |
|---|---|---|
| Instance Compute Engine | Ya | asia, eropa, amerika serikat |
| Disk Compute Engine | Ya | asia, eropa, amerika serikat |
| Google Cloud VMware Engine, database Oracle, dan database SQL Server | Tidak | T/A |
Ketersediaan
Vault cadangan yang dibuat di lokasi regional memberikan ketahanan terhadap pemadaman layanan satu zona. Data cadangan disimpan secara redundan di setidaknya dua zona terpisah.
Vault cadangan yang dibuat di lokasi multi-region memberikan ketahanan terhadap pemadaman layanan di satu region. Data cadangan disimpan secara redundan di setidaknya dua region terpisah.
Nama vault cadangan
Nama brankas cadangan Anda harus memenuhi persyaratan berikut:
- Nama brankas cadangan hanya boleh berisi huruf kecil, karakter numerik, tanda hubung (
-), garis bawah (_), dan titik (.). Tidak diperbolehkan ada spasi. - Nama brankas cadangan harus diawali dan diakhiri dengan angka atau huruf.
- Nama brankas cadangan harus berisi 3-63 karakter. Nama yang berisi titik dapat berisi hingga 222 karakter, tetapi setiap komponen yang dipisahkan titik tidak boleh lebih dari 63 karakter.
- Nama brankas cadangan tidak dapat direpresentasikan sebagai alamat IP dalam notasi desimal bertitik. Misalnya,
192.0.2.255.
Mencegah penghapusan cadangan
Cadangan akan disimpan selama jangka waktu minimum ini sebelum dapat dihapus. Data di brankas akan dikenai biaya penyimpanan selama periode ini.
Retensi minimum yang diterapkan
Periode retensi minimum yang diterapkan di vault cadangan memungkinkan Anda mengontrol kapan cadangan dapat dihapus untuk melindungi data dari penghapusan yang tidak disengaja atau berbahaya. Cadangan di dalam vault cadangan hanya memenuhi syarat untuk dihapus setelah mencapai akhir durasi retensi minimum yang diterapkan. Saat membuat brankas cadangan baru, Anda harus menentukan periode retensi minimum yang diterapkan antara 1 hari dan 99 tahun.
Saat Anda membuat brankas cadangan dengan Retensi minimum yang diterapkan selama tiga hari, Maka setiap aturan pencadangan yang menyimpan cadangan di brankas ini harus memiliki nilai Hapus cadangan setelah yang sama dengan atau lebih besar dari tiga hari.
Mencegah penghapusan selama durasi yang ditentukan dalam aturan pencadangan
Anda dapat menyetel brankas untuk mewarisi nilai Hapus cadangan setelah yang ditetapkan dalam rencana cadangan. Cadangan tidak dapat dihapus secara manual, cadangan akan dihapus sesuai dengan nilai dalam rencana cadangan terkait.
Jika setelan ini dicentang di brankas cadangan, kolom Retensi yang diterapkan di daftar brankas cadangan akan menampilkan Diwarisi dari aturan.
Misalnya, jika brankas cadangan memiliki periode Retensi minimum yang diterapkan selama tiga hari dan jika Cegah penghapusan selama durasi yang ditentukan dalam aturan pencadangan dicentang, maka resource data yang menyimpan cadangan di brankas ini menggunakan rencana pencadangan dengan aturan untuk Hapus cadangan setelah tujuh hari akan mengabaikan minimum tiga hari brankas karena minimum diwarisi dari aturan pencadangan yang cadangannya akan habis masa berlakunya setelah tujuh hari.
Mengunci periode retensi data yang diterapkan
Anda dapat mencegah pemendekan periode retensi minimum yang diterapkan di brankas cadangan dengan mengunci brankas cadangan. Anda masih dapat menambah periode retensi minimum yang diterapkan setelah dikunci, lihat Memperbarui periode retensi minimum yang diterapkan.
Saat menyetel penguncian, Anda harus menentukan tanggal saat penguncian berlaku. Sebelum tanggal efektif tercapai, Anda dapat memperpanjang atau memperpendek periode retensi yang diterapkan di brankas cadangan. Namun, setelah tanggal berlaku kunci tercapai, bahkan pemilik project tidak dapat mengurangi periode retensi yang diterapkan untuk vault cadangan tersebut.
Misalnya, Anda telah menyetel periode minimum yang diterapkan menjadi lima hari, menentukan bahwa brankas harus dikunci, dan telah menyetel tanggal efektif penguncian menjadi 31 Juli 2024, pukul 00.00 UTC. Hingga 31 Juli 2024, pukul 00.00 UTC, Anda dapat menambah atau mengurangi periode retensi minimum yang diterapkan. Setelah itu, Anda hanya dapat meningkatkan periode retensi minimum yang diterapkan.
pembatasan akses vault cadangan
Setelan batasan akses brankas cadangan memungkinkan Anda mengontrol sumber tempat data dapat dicadangkan ke atau dipulihkan dari brankas cadangan. Setelan ini menentukan jenis resource yang dapat Anda simpan di brankas cadangan.
Anda dapat memilih salah satu setelan pembatasan akses berikut untuk vault cadangan. Perhatikan bahwa setelan ini bersifat permanen dan tidak dapat diubah.
- Batasi akses ke organisasi saat ini: operasi pencadangan dan pemulihan hanya didukung dalam organisasi Anda saat ini. Pilihan ini membuat vault cadangan kompatibel dengan resource yang dikelola melalui konsolGoogle Cloud , seperti VM Compute Engine, tetapi tidak dengan resource yang dikelola melalui konsol pengelolaan.
- Membatasi akses ke project saat ini: operasi pencadangan dan pemulihan hanya didukung dalam project saat ini. Pilihan ini membuat vault cadangan kompatibel dengan resource yang dikelola melalui konsolGoogle Cloud (misalnya, VM Compute Engine), tetapi tidak dengan resource yang dikelola melalui konsol pengelolaan.
- Batasi akses ke organisasi saat ini & akses tidak terbatas untuk perangkat cadangan: untuk resource yang dikelola melalui konsol Google Cloud , operasi pencadangan dan pemulihan hanya didukung dalam organisasi Anda saat ini. Resource yang dikelola melalui konsol pengelolaan (misalnya, VM Google Cloud VMware Engine) juga didukung, tetapi operasi pencadangan dan pemulihan untuk resource tersebut tidak dibatasi untuk organisasi Anda saat ini. Opsi ini membuat vault cadangan kompatibel dengan resource yang dikelola melalui konsolGoogle Cloud dan dengan resource yang dikelola melalui konsol pengelolaan.
- Izinkan akses tidak terbatas: mengizinkan operasi pencadangan dan pemulihan ke atau dari project atau organisasi apa pun. Pilihan ini membuat brankas cadangan kompatibel dengan resource yang dikelola melalui konsol Google Cloud dan dengan resource yang dikelola melalui konsol pengelolaan.
Langkah berikutnya
- Membuat dan mengelola brankas cadangan di Google Cloud konsol
- Mengelola sumber data di Google Cloud konsol
- Mengelola pencadangan di konsol Google Cloud
- Membuat dan mengelola brankas cadangan di Google Cloud konsol
- Mencadangkan instance Compute Engine ke vault cadangan
- Mencadangkan instance Cloud SQL ke vault cadangan
- Mencadangkan disk ke brankas cadangan
- Mengelola sumber data di Google Cloud konsol
- Mengelola pencadangan di konsol Google Cloud