本頁說明備份金庫、支援的備份模型、位置和資源。
備份金庫是用來儲存備份的容器,例如您建立的 Cloud Storage bucket 自行管理的儲存空間。不過,backup vault 可在安全、隔離且專用的儲存空間中保護備份,因此提供額外優勢。Backup Vault 可提供韌性,防止備份遭到惡意或意外刪除。這項功能支援各種資料保護用途,例如從使用者錯誤和網路復原。
備份儲存在備份金庫中時,備份和 DR 服務會負責備份資料的儲存和管理。您無法直接查看或存取資料儲存的基礎儲存空間資源,這可保護這些資源免受直接攻擊。此外,您也可以在 backup vault 中指定最短強制保留期限,規定備份必須在指定時間過後才會到期,以防意外或惡意刪除。
您可以使用Google Cloud 備份和災難復原服務建立、存取及管理備份儲存庫。Backup Vault 會在區域或多區域中儲存備份。
資源模型
以下章節將說明備份金庫資源模型。
Backup Vault 有三層階層相依的資源模型,可用來整理備份資料:
- Backup Vault。用於儲存Google Cloud Backup 和 DR 備份資料的頂層使用者定義資源。
- 資料來源:代表要備份的特定資源,例如虛擬機器或資料庫執行個體。單一資料來源可包含多個備份。資料來源是備份金鑰保管庫的子項資源。
- 備份。代表資料來源指定資源的單一備份。備份是資料來源的子項資源。
下圖顯示備份金庫資源模型。
支援的資源
下表可協助您瞭解備份金庫支援的資源,以及您用來管理這些資源的工具。
| 工作負載 | 管理員: |
|---|---|
| Compute Engine 執行個體 | Google Cloud 控制台 |
| Google Cloud VMware Engine、Oracle 資料庫和 SQL Server 資料庫 | 管理控制台 |
使用 Google Cloud 控制台保護的資源備份模型
本節將說明使用Google Cloud 主控台保護的資源的兩種備份模式。
集中式模式:在集中式模式中,機構可以在指定的中央管理員專案中建立備份儲存庫和備份方案,藉此簡化備份管理作業。這個集中式存放區會整合各種資源的備份,例如在多個服務專案中執行的 Compute Engine VM。機構接著可使用這些由集中管理的備份方案,保護位於不同服務專案中的 Compute Engine VM。
備份管理員也可以透過 IAM 權限,將備份方案的存取權授予服務專案中的應用程式或平台擁有者。授予存取權後,平台擁有者就能負責備份應用程式。
去中心化模型:在去中心化模型中,系統會根據機構的特定需求和所需的隔離層級,在不同專案中建立備份金庫。也就是說,系統會為每個專案 (含有各種資源,例如 Compute Engine VM) 建立備份金庫和備份方案。對於分散式組織而言,這種做法至關重要,因為 VM 備份作業的責任由各應用程式團隊負責。
使用管理控制台保護的資源備份模式
本節將說明使用管理控制台保護資源的兩種備份模式。
集中式模式:在集中式模式中,機構可以在指定的中央管理員專案中建立備份金庫,並部署管理控制台,藉此簡化備份管理作業。這個集中存放區會整合各種資源的備份,例如在多個服務專案中執行的 VMware Engine VM。機構接著可以在管理控制台中設定政策,保護位於不同服務專案中的資源。
去中心化模型:在去中心化模型中,管理主控台和備份金庫會根據組織的特定需求和所需的隔離層級,在不同專案中建立。舉例來說,機構可以選擇為各業務線提供個別的管理控制台。這種做法適合分散式機構使用,因為在這種機構中,管理和備份資源的責任會分散到多個團隊。
備份金庫支援的位置
您可以在區域和多區域中建立備份金庫。
區域
您可以在下列區域建立備份保險箱:
| 地理區域 | 地區名稱 | 地區說明 | |
|---|---|---|---|
| 北美洲 | |||
northamerica-northeast1 * |
蒙特婁 |
 二氧化碳排放量低2
|
|
northamerica-northeast2 |
多倫多 |
二氧化碳排放量低2
|
|
us-central1 |
愛荷華州 |
二氧化碳排放量低2
|
|
us-east1 |
南卡羅來納州 | ||
us-east4 |
北維吉尼亞州 | ||
us-east5 |
哥倫布 | ||
us-south1 |
達拉斯 |
二氧化碳排放量低2
|
|
us-west1 |
奧勒岡州 |
二氧化碳排放量低2 |
|
us-west2 |
洛杉磯 | ||
us-west3 |
鹽湖城 | ||
us-west4 |
拉斯維加斯 | ||
| 南美洲 | |||
southamerica-east1 |
聖保羅 |
二氧化碳排放量低
|
|
southamerica-west1 |
聖地亞哥 |
二氧化碳排放量低2
|
|
| 歐洲 | |||
europe-central2 |
華沙 | ||
europe-north1 |
芬蘭 |
低二氧化碳 |
|
europe-southwest1 |
馬德里 |
二氧化碳排放量低2
|
|
europe-west1 |
比利時 |
二氧化碳排放量低2
|
|
europe-west2 |
倫敦 |
二氧化碳排放量低2
|
|
europe-west3 |
法蘭克福 |
二氧化碳排放量低
|
|
europe-west4 |
荷蘭 |
二氧化碳排放量低
|
|
europe-west6 |
蘇黎世 |
二氧化碳排放量低
|
|
europe-west8 |
米蘭 | ||
europe-west9 |
巴黎 |
二氧化碳排放量低2
|
|
europe-west10 |
柏林 |
二氧化碳排放量低2
|
|
europe-west12 |
杜林 | ||
| 中東地區 | |||
me-central1 |
杜哈 | ||
me-central2 |
達曼 | ||
me-west1 |
以色列 | ||
| 非洲 | |||
africa-south1 |
約翰尼斯堡 | ||
| 亞太地區 | |||
asia-east1 |
台灣 | ||
asia-east2 |
香港 | ||
asia-northeast1 |
東京 | ||
asia-northeast2 * |
大阪 | ||
asia-northeast3 |
首爾 | ||
asia-southeast1 |
新加坡 | ||
asia-southeast2 |
雅加達 | ||
australia-southeast1 |
雪梨 | ||
australia-southeast2 |
墨爾本 | ||
| 印度 | |||
asia-south1 |
孟買 | ||
asia-south2 |
德里 |
* 蒙特婁和大阪各有三個可用區,分別位於一或兩間實體資料中心。在極少數的災難事件中,儲存在這些區域的資料可能會遺失。
多區域
您可以在下列多個區域建立備份金庫:
| 多地區名稱 | 多地區說明 |
|---|---|
ASIA |
亞洲資料中心 |
EU |
歐盟資料中心 |
US |
美國資料中心 |
工作負載位置相容性
下表說明使用區域備份金鑰庫時,每項支援工作負載的相容備份金鑰庫位置。請注意,Google Cloud 控制台中的備份方案必須與來源工作負載位於相同區域。
| 工作負載 | 備份金庫是否必須與來源工作負載位於相同區域? | 支援的 backup vault 區域 |
|---|---|---|
| Compute Engine 執行個體 | 是 | 所有支援的地區 |
| Google Cloud VMware Engine、Oracle 資料庫和 SQL Server 資料庫 | 否 | 所有支援的地區 |
如果工作負載支援使用多區域備份金庫,來源工作負載位置必須與多區域備份金庫位置相容。
多地區相容性取決於工作負載位置前置字串:
- 前置詞為「asia」的區域資源只能備份至「asia」多區域。
- 在前綴為「us」的區域中,資源只能備份至「us」多區域
- 在前綴為「europe」的區域中,僅允許將資源備份至「eu」多區域。
下表說明使用多區域備份金鑰庫時,每個支援工作負載的相容備份金鑰庫位置。
| 工作負載 | 是否支援使用多區域 backup vault? | 支援的 backup vault 多區域 |
|---|---|---|
| Compute Engine 執行個體 | 是 | 亞洲、歐盟、美國 |
| Google Cloud VMware Engine、Oracle 資料庫和 SQL Server 資料庫 | 否 | 不適用 |
可用性
在區域位置建立的 backup vault 可在單一區域停機時提供復原能力。備份資料會以備援的形式儲存在至少兩個不同的區域。
在多區域位置建立的 backup vault 可在單一區域發生中斷時提供復原能力。備份資料會以備援的形式儲存在至少兩個不同的區域。
備份儲存庫名稱
備份金庫名稱必須符合下列規定:
- 備份金庫名稱只能含有小寫字母、數字、破折號 (
-)、底線 (_) 和半形句號 (.),不允許使用空格。 - 備份金庫名稱的開頭和結尾必須是數字或英文字母。
- 備份金庫名稱必須包含 3 至 63 個半形字元。如果名稱中包含點,則其長度上限為 222 個字元,但每個以點分隔的字串組合不得超過 63 個字元。
- 備份金庫名稱不得為採用點分十進位標記法的 IP 位址,例如
192.0.2.255。
Backup Vault 的最短強制保留期限
您可以透過 Backup Vault 的最短強制保留期限,控制備份刪除時機,以免資料遭到意外或惡意刪除。只有在最短強制保留期限過後,備份 vault 中的備份才可刪除。建立新的備份保險庫時,您必須指定最短強制保留期限,介於 1 天到 99 年之間。
您可以鎖定 backup vault,避免最短強制保留期限縮短。即使已鎖定最短強制保留期限,您仍可增加期限,請參閱「更新最短強制保留期限」一文。
設定鎖定時,您必須定義鎖定生效的日期。在生效日之前,您可以延長或縮短備份金庫的強制保留期限。不過,在鎖定生效後,即使是專案擁有者也無法縮短該備份金庫的強制保留期限。
舉例來說,假設您將最低強制執行期間設為五天,並指定要鎖定金庫,並將鎖定生效日期設為 2024 年 7 月 31 日午夜 12 點 (世界標準時間)。在 2024 年 7 月 31 日凌晨 12 點 (世界標準時間) 之前,您可以增加或減少強制保留期限下限。之後,您只能延長最短強制保留期限。
backup vault 的存取限制
您可以透過備份金鑰庫的存取限制設定,控制可將資料備份至備份金鑰庫,或從備份金鑰庫還原資料的來源。這項設定會決定您可以在 backup vault 中儲存的資源類型。
您可以為備份保險箱選取下列任一存取權限制設定。請注意,這項設定無法變更。
- 僅限目前的組織存取:備份和還原作業僅適用於目前的機構。這個選項會讓備份金鑰庫與透過Google Cloud 控制台管理的資源相容,例如 Compute Engine VM,但與透過管理控制台管理的資源不相容。
- 僅限目前的專案存取:備份和還原作業僅支援目前專案。這個選項可讓備份儲存庫與透過Google Cloud 控制台管理的資源 (例如 Compute Engine VM) 相容,但與透過管理控制台管理的資源不相容。
- 僅限目前的組織存取,備份設備的存取權則不受限制:如果是透過 Google Cloud 控制台管理的資源,備份和還原作業只支援目前的組織。也支援透過管理控制台管理的資源 (例如 VMware Engine VM),但這些資源的備份和還原作業不限於目前的組織。這個選項可讓備份金庫與透過 Google Cloud 控制台管理的資源,以及透過管理控制台管理的資源相容。
- 允許無限制存取權:允許從任何專案或機構執行備份和還原作業。這個選項可讓備份保險庫與透過 Google Cloud 控制台管理的資源,以及透過管理控制台管理的資源相容。