Nesta página, descrevemos o cofre de backup do serviço de Backup e DR, incluindo modelos de backup compatíveis, locais e recursos disponíveis, recursos principais, como períodos de retenção obrigatórios e restrições de acesso, e como gerenciá-los.
Visão geral do cofre de backup do serviço de Backup e DR
Um cofre de backup é um contêiner que armazena backups, semelhante ao armazenamento autogerenciado, que permite criar um bucket do Cloud Storage para armazenar seus dados. No entanto, um backup vault oferece outros benefícios, protegendo os backups em um armazenamento seguro, isolado e especializado. Os backup vaults foram projetados para oferecer resiliência contra exclusão maliciosa ou acidental de backups, fornecendo backups imutáveis e indeléveis. Esse recurso oferece suporte a vários casos de uso de proteção de dados, como recuperação de erros do usuário e recuperação cibernética.
No contexto de um backup vault, os backups são projetados para serem imutáveis e indeléveis:
- Imutável:depois que um backup é criado em um backup vault, o conteúdo dele não pode ser modificado. Isso garante que os dados de backup permaneçam exatamente como estavam quando foram criados, protegendo contra mudanças não autorizadas ou acidentais.
- Indelével:os backups em um backup vault não podem ser excluídos antes do término do período de armazenamento obrigatório. Isso protege contra exclusão acidental ou maliciosa, garantindo que os backups estejam disponíveis quando necessário.
Como funcionam os backup vaults
Quando os backups são armazenados em um vault de backup, o serviço de Backup e DR processa o armazenamento e o gerenciamento dos dados de backup. Você não tem visibilidade ou acesso direto aos recursos de armazenamento subjacentes em que os dados são armazenados, o que protege esses recursos contra ataques diretos. Além disso, os backup vaults permitem especificar um período mínimo de retenção obrigatória, que exige que um backup não expire até que o período especificado tenha decorrido e ajuda a proteger contra exclusão acidental ou maliciosa.
Ao usar um cofre de backup configurado corretamente, o serviço de Backup e DR foi avaliado como atendendo aos principais requisitos de "gravar uma vez, ler muitas" (WORM) da SEC, conforme descrito na SEC (EUA).
Você cria, acessa e gerencia backup vaults usando o Google Cloud Serviço de backup e DR. Os backup vaults armazenam backups em regiões ou multirregiões.
O modelo de recurso do backup vault
Os backup vaults têm um modelo de recursos hierárquico de três níveis para organizar dados de backup:
Backup vault: um recurso de nível superior definido pelo usuário para armazenar dados de backup do serviço de Backup e DR.
Origem de dados: o recurso específico que é armazenado em backup, como uma máquina virtual (VM) ou uma instância de banco de dados. Uma única fonte de dados pode conter vários backups. Uma fonte de dados é um recurso filho de um cofre de backup.
Backup: um único backup para o recurso especificado pela fonte de dados. Um backup é um recurso filho de uma fonte de dados.
O diagrama a seguir mostra o modelo de recursos do cofre de backup:
Recursos suportados
A tabela a seguir ajuda você a entender os recursos compatíveis com os cofres de backup e o que você usa para gerenciá-los.
| Carga de trabalho | Gerenciado por |
|---|---|
| Instância do Compute Engine | Console doGoogle Cloud |
| Disco do Compute Engine | Console doGoogle Cloud |
| Instância do Cloud SQL (prévia) | Console doGoogle Cloud |
| Google Cloud VMware Engine, banco de dados Oracle e banco de dados SQL Server | Console de gerenciamento |
Fazer backup de modelos para recursos protegidos usando o console Google Cloud
Nesta seção, descrevemos os dois modelos de backup para recursos protegidos usando o consoleGoogle Cloud .
Modelo centralizado: nesse modelo, as organizações simplificam o gerenciamento de backup criando vaults e planos em um projeto de administrador central designado. Esse repositório central consolida backups de vários recursos, como VMs do Compute Engine executadas em vários projetos de serviço. Em seguida, as organizações usam esses planos de backup gerenciados centralmente para proteger as VMs do Compute Engine que residem em diferentes projetos de serviço.
Os administradores de backup também podem conceder acesso a planos de backup para proprietários de aplicativos ou plataformas em projetos de serviço usando permissões do IAM. Ao conceder acesso, os proprietários da plataforma podem assumir a responsabilidade de fazer backup dos aplicativos.
Modelo descentralizado: nesse modelo, os cofres de backup são criados em vários projetos com base nas necessidades específicas da organização e nos níveis de isolamento necessários. Isso significa que um backup vault e um plano de backup são criados para cada projeto com vários recursos, como VMs do Compute Engine. Essa abordagem é crucial para organizações descentralizadas em que a responsabilidade pelo backup de VMs é da respectiva equipe de aplicativos.
Modelos de backup para recursos protegidos usando o console de gerenciamento
Nesta seção, descrevemos os dois modelos de backup para recursos protegidos usando o console de gerenciamento.
Modelo centralizado: nesse modelo, as organizações simplificam o gerenciamento de backup criando vaults e implantando o console de gerenciamento em um projeto de administrador central designado. Esse repositório central consolida backups de vários recursos, como VMs do Google Cloud VMware Engine executadas em vários projetos de serviço. As organizações configuram políticas no console de gerenciamento para proteger os recursos que residem em diferentes projetos de serviço.
Modelo descentralizado: nesse modelo, os consoles de gerenciamento e os cofres de backup são criados em vários projetos com base nas necessidades específicas da organização e nos níveis de isolamento necessários. Por exemplo, uma organização pode ter um console de gerenciamento separado para cada linha de negócios. Essa abordagem é útil para organizações descentralizadas em que a responsabilidade de gerenciar e fazer backup de recursos é dividida entre várias equipes.
Locais compatíveis com o backup vault
Os backup vaults podem ser criados em regiões e multirregiões.
Regiões
É possível criar backup vaults nas seguintes regiões:
| Área geográfica | Nome da região | Descrição do local regional | |
|---|---|---|---|
| América do Norte | |||
northamerica-northeast1 * |
Montreal |
 Baixo CO2
|
|
northamerica-northeast2 |
Toronto |
Baixo CO2
|
|
us-central1 |
Iowa |
CO2 baixo
|
|
us-east1 |
Carolina do Sul | ||
us-east4 |
Norte da Virgínia | ||
us-east5 |
Columbus | ||
us-south1 |
Dallas |
Baixo CO2
|
|
us-west1 |
Oregon |
Baixo CO2 |
|
us-west2 |
Los Angeles | ||
us-west3 |
Salt Lake City | ||
us-west4 |
Las Vegas | ||
northamerica-south1 * |
Querétaro | ||
| América do Sul | |||
southamerica-east1 |
São Paulo |
Baixo CO2
|
|
southamerica-west1 |
Santiago |
Baixo CO2
|
|
| Europa | |||
europe-central2 |
Varsóvia | ||
europe-north1 |
Finlândia |
Baixo CO2
|
|
europe-southwest1 |
Madri |
Baixo CO2
|
|
europe-west1 |
Bélgica |
Baixo CO2
|
|
europe-west2 |
Londres |
CO2 baixo
|
|
europe-west3 |
Frankfurt | ||
europe-west4 |
Países Baixos |
Baixo CO2
|
|
europe-west6 |
Zurique |
Baixo CO2
|
|
europe-west8 |
Milão | ||
europe-west9 |
Paris |
Baixo CO2
|
|
europe-west10 |
Berlim |
Baixo CO2
|
|
europe-west12 |
Turim | ||
| Oriente Médio | |||
me-central1 |
Doha | ||
me-central2 |
Damã | ||
me-west1 |
Israel | ||
| África | |||
africa-south1 |
Johannesburgo | ||
| Ásia-Pacífico | |||
asia-east1 |
Taiwan | ||
asia-east2 |
Hong Kong | ||
asia-northeast1 |
Tóquio | ||
asia-northeast2 * |
Osaka | ||
asia-northeast3 |
Seul | ||
asia-southeast1 |
Singapura | ||
asia-southeast2 |
Jacarta | ||
australia-southeast1 |
Sydney | ||
australia-southeast2 |
Melbourne | ||
| Índia | |||
asia-south1 |
Mumbai | ||
asia-south2 |
Délhi |
* Querétaro, Montreal e Osaka têm três zonas instaladas em um ou dois data centers físicos. Em caso de desastre, os dados armazenados nessas regiões podem ser perdidos.
Locais multirregionais
Os backup vaults podem ser criados nas seguintes multirregiões:
| Nome multirregional | Descrição multirregional |
|---|---|
ASIA |
Data centers na Ásia |
EU |
Data centers na União Europeia |
US |
Data centers nos Estados Unidos |
Compatibilidade de local da carga de trabalho
Esta tabela descreve os locais de cofre de backup compatíveis para cada carga de trabalho aceita ao usar cofres de backup regionais. Os planos de backup no console Google Cloud precisam ser criados na mesma região que a carga de trabalho de origem.
| Carga de trabalho | O backup vault precisa estar na mesma região que a carga de trabalho de origem? | Regiões compatíveis com backup vaults |
|---|---|---|
| Instância do Compute Engine | Sim | Todas as regiões com suporte |
| Disco do Compute Engine | Sim | Todas as regiões com suporte |
| Google Cloud VMware Engine, banco de dados Oracle e banco de dados SQL Server | Não | Todas as regiões com suporte |
Se uma carga de trabalho for compatível com o uso de backup vaults multirregionais, o local da carga de trabalho de origem precisará ser compatível com o local do backup vault multirregional.
A compatibilidade multirregional é determinada pelo prefixo do local da carga de trabalho:
- Os recursos em regiões com o prefixo "asia" só podem ser armazenados em backup na multirregião "asia".
- Os recursos em regiões com o prefixo "us" só podem ser armazenados em backup na multirregião "us".
- Os recursos em regiões com o prefixo "europe" só podem ser armazenados na multirregião "eu".
Esta tabela descreve os locais compatíveis de backup vault para cada carga de trabalho compatível ao usar backup vaults multirregionais.
| Carga de trabalho | Aceita o uso de backup vaults multirregionais? | Multirregiões de backup vault compatíveis |
|---|---|---|
| Instância do Compute Engine | Sim | asia, eu, us |
| Disco do Compute Engine | Sim | asia, eu, us |
| Google Cloud VMware Engine, banco de dados Oracle e banco de dados SQL Server | Não | N/A |
Disponibilidade
Os backup vaults criados em locais regionais oferecem resiliência contra uma interrupção de zona única. Os dados de backup são armazenados de maneira redundante em pelo menos duas zonas separadas.
Os backup vaults criados em locais multirregionais oferecem resiliência contra uma interrupção em uma única região. Os dados de backup são armazenados de maneira redundante em pelo menos duas regiões separadas.
Nomes de backup vaults
Os nomes dos cofres de backup precisam atender aos seguintes requisitos:
- Os nomes dos cofres de backup podem conter apenas letras minúsculas, caracteres numéricos, traços (
-), sublinhados (_) e pontos (.). Não é permitido usar espaços. - Os nomes dos cofres de backup precisam começar e terminar com um número ou uma letra.
- Os nomes dos cofres de backup precisam ter de 3 a 63 caracteres. Nomes que contenham pontos podem ter até 222 caracteres, mas cada componente separado por ponto não pode ter mais do que 63 caracteres.
- Os nomes de cofre de backup não podem ser representados como um endereço IP na notação decimal com pontos. Por exemplo,
192.0.2.255
Impedir exclusão de backup
Os backups serão mantidos por esse período mínimo antes de poderem ser excluídos. Os dados no vault vão gerar cobranças de armazenamento nesse período.
Retenção mínima obrigatória
O período mínimo de retenção obrigatória do backup vault permite controlar quando um backup pode ser excluído para proteger os dados contra exclusão acidental ou maliciosa. Os backups nos backup vaults só podem ser excluídos após atingirem o fim do período mínimo de retenção obrigatória. Ao criar um novo cofre de backup, especifique um período mínimo de retenção obrigatória entre 1 dia e 99 anos.
Quando você cria um backup vault com uma retenção mínima obrigatória de três dias, qualquer regra de backup que armazene backups nesse vault precisa ter um valor de Excluir backups após igual ou maior que três dias.
Impedir a exclusão pelo período especificado na regra de backup
É possível definir que o cofre herde o valor Excluir backups após definido em um plano de backup. Os backups não podem ser excluídos manualmente. Eles serão excluídos de acordo com o valor no plano de backup associado.
Se um backup vault tiver essa configuração marcada, a coluna Retenção obrigatória da lista de backup vaults vai mostrar Herdado da regra.
Por exemplo, se o vault de backup tiver um período de retenção mínima obrigatória de três dias e se a opção Impedir a exclusão durante o período especificado na regra de backup estiver marcada, um recurso de dados que armazena backups nesse vault usando um plano de backup com uma regra para Excluir backups após sete dias vai ignorar o mínimo de três dias do vault porque o mínimo é herdado da regra de backup, e o backup expira após sete dias.
Bloquear o período de retenção obrigatório
É possível impedir a redução do período mínimo de retenção obrigatória de um backup vault bloqueando-o. Você ainda pode aumentar o período de armazenamento mínima obrigatória depois que ele for bloqueado. Consulte Atualizar o período de retenção mínima obrigatória.
Ao definir um bloqueio, é preciso definir a data em que ele entra em vigor. Até o início da vigência, é possível aumentar ou diminuir o período de armazenamento obrigatória do cofre de backup. No entanto, depois que a data de início da vigência do bloqueio for atingida, nem mesmo o proprietário do projeto poderá diminuir o período de armazenamento imposto para esse cofre de backup.
Por exemplo, digamos que você tenha definido o período mínimo de aplicação como cinco dias, especificado que o cofre deve ser bloqueado e definido a data de entrada em vigor do bloqueio como 31 de julho de 2024, às 12h UTC. Até 31 de julho de 2024, às 12h UTC, você pode aumentar ou diminuir o período mínimo de retenção obrigatório. Depois disso, só é possível aumentar o período de armazenamento mínima obrigatória.
restrição de acesso ao backup vault
Com a configuração de restrições de acesso de um backup vault, é possível controlar as fontes de dados que podem ser armazenados ou restaurados de um backup vault. Essa configuração determina os tipos de recursos que você pode armazenar em um backup vault.
É possível selecionar uma das seguintes configurações de restrição de acesso para um cofre de backup. Essa configuração é permanente e não pode ser alterada.
- Restringir o acesso à organização atual: as operações de backup e restauração são compatíveis apenas na sua organização atual. Essa seleção torna o cofre de backup compatível com recursos gerenciados no consoleGoogle Cloud , como VMs do Compute Engine, mas não com recursos gerenciados no console de gerenciamento.
- Restringir o acesso ao projeto atual: as operações de backup e restauração são compatíveis apenas no projeto atual. Essa seleção torna o cofre de backup compatível com recursos gerenciados no console doGoogle Cloud , como VMs do Compute Engine, mas não com recursos gerenciados no console de gerenciamento.
- Restringir o acesso à organização atual e fornecer acesso irrestrito para dispositivos de backup: para recursos gerenciados pelo console Google Cloud , as operações de backup e restauração são compatíveis apenas na sua organização atual. Os recursos gerenciados no console de gerenciamento (por exemplo, VMs do Google Cloud VMware Engine) também são compatíveis, mas as operações de backup e restauração desses recursos não são restritas à sua organização atual. Essa seleção torna o cofre de backup compatível com recursos gerenciados pelo console doGoogle Cloud e pelo console de gerenciamento.
- Permitir acesso irrestrito: permite operações de backup e restauração para ou de qualquer projeto ou organização. Essa seleção torna o cofre de backup compatível com recursos gerenciados pelo console do Google Cloud e pelo console de gerenciamento.
A seguir
- Criar e gerenciar um backup vault no console Google Cloud
- Gerenciar fontes de dados no Google Cloud console
- Gerenciar backups no console Google Cloud
- Criar e gerenciar um backup vault no console Google Cloud
- Fazer backup de instâncias do Compute Engine em um cofre de backup
- Fazer backup de instâncias do Cloud SQL em um backup vault
- Fazer backup de discos em um cofre de backup
- Gerenciar fontes de dados no Google Cloud console
- Gerenciar backups no console Google Cloud