Credenciais do Google Cloud para proteção e acesso a dados do serviço de backup e DR

Esta página explica o que são as credenciais Google Cloud padrão e como adicionar novas credenciais para dispositivos de backup/recuperação no console de gerenciamento.

Uma credencial Google Cloud é um ponteiro para uma conta de serviço que permite que o dispositivo de backup/recuperação acesse recursos do projeto, como APIs do Compute Engine e buckets do Cloud Storage, para fazer backup e recuperar instâncias do Compute Engine.

Durante o backup ou a recuperação de instâncias do Compute Engine, os dispositivos de backup/recuperação usam a conta de serviço na credencial para criar snapshots das instâncias e fazer upload de metadados de instâncias (como configuração de VM, rede e tags) para um bucket do Cloud Storage por um pool do OnVault. Se o dispositivo que criou os snapshots de instância não estiver disponível, acesse os backups usando outro dispositivo, pelos metadados armazenados no bucket do Cloud Storage. Consulte Importar imagens de snapshots de disco permanente.

Credencial Google Cloud padrão

A credencial padrão Google Cloud é criada automaticamente quando você implanta o dispositivo de backup/recuperação. Ela é criada com base na conta de serviço anexada ao dispositivo em um projeto. Essa credencial simplifica o processo de descoberta e proteção de instâncias do Compute Engine sem a necessidade de criar um pool e uma conta de serviço do OnVault. No console de gerenciamento, é possível conferir essa credencial Google Cloud padrão na página Credenciais do Cloud. Para isso, acesse Gerenciar > Credenciais.

A credencial Google Cloud padrão na página Credenciais do Cloud é mostrada com base no nome do dispositivo. Por exemplo, se o nome do dispositivo de backup/recuperação for ba-name, o nome da conta de serviço padrão exibido será *ba-name@developer.gserviceaccount.com. O valor project-id é o ID do projeto. Não é possível editar ou excluir essa credencial Google Cloud padrão, apenas visualizar.

A credencial padrão Google Cloud aponta para um pool do OnVault criado automaticamente, que aponta para um bucket do Cloud Storage criado automaticamente. O bucket do Cloud Storage contém o bucket do Cloud Storage criado pela instância de VM. O bucket do Cloud Storage contém a configuração e os metadados da instância de VM e é criado automaticamente no tempo de execução, quando um modelo de backup é atribuído a uma instância do Compute Engine. O local do bucket do Cloud Storage é determinado com base no local ou na região de armazenamento dos snapshots de disco permanente, conforme configurado no modelo de backup.

Os pools do OnVault são criados automaticamente, mesmo que você mude a região ou multirregião da instância ou quando a substituição de política é aplicada após a primeira execução bem-sucedida do snapshot. Assim, o serviço garante que os dados do disco permanente e a configuração da VM da instância estejam alocados no mesmo lugar.

Para a credencial padrão Google Cloud , o papel do IAM Backup and DR Cloud Storage Operator é atribuído automaticamente à conta de serviço anexada ao dispositivo de backup/recuperação. É necessário atribuir manualmente o papel do IAM Backup and DR Compute Engine Operator para fazer backup das instâncias do Compute Engine.

Para ver o bucket do Cloud Storage correspondente ao appliance no consoleGoogle Cloud , acesse Cloud Storage > Buckets.

O bucket de armazenamento é criado com o nome <backup/recovery-appliance-name>-<random-string>-<region/multi-region> no mesmo projeto em que o appliance é implantado e tem as seguintes propriedades definidas.

• Classe de armazenamento: Standard
• Controle de acesso a objetos: uniforme
• Local do bucket: igual ao local do snapshot do Persistent Disk
• Controle de versões de objetos: nenhum controle de versões ou retenção de objetos definido no bucket

• Acesso: sem acesso público ao bucket

Adicionar Google Cloud credenciais

O serviço de backup e DR permite criar uma nova credencial Google Cloud se você ainda quiser criar uma manualmente para um dispositivo de backup/recuperação. Para criar novas credenciais Google Cloud , primeiro crie um pool do OnVault. Consulte as instruções em Pool do OnVault.

Adicionar Google Cloud credenciais

Para criar uma credencial Google Cloud , defina o nome dela e o pool OnVault em que você quer armazenar os dados de backup. Uma conta de serviço é preenchida automaticamente com base na conta de serviço anexada ao dispositivo de backup/recuperação selecionado. Crie um OnVault, se você não tiver um.

Antes de adicionar a credencial Google Cloud , atribua o papel Backup and DR Compute Engine Operator à conta de serviço anexada ao dispositivo.

Use estas instruções para adicionar uma credencial Google Cloud para appliances de backup/recuperação:

1. Clique em Gerenciar e selecione Credenciais no menu suspenso.

   A página Credenciais do Cloud é aberta com todas as credenciais do Google Cloud gerenciadas pelo console de gerenciamento, se alguma credencial já tiver sido adicionada.

2. Clique em Adicionar credenciais do Google Cloud.

3. Em Nome da credencial, adicione um nome exclusivo para identificar a credencial.

4. Selecione uma zona padrão. A zona padrão é usada para determinar qual zona será usada por padrão ao descobrir VMs do Compute Engine em um projeto. Também é possível selecionar uma zona diferente durante a descoberta.

5. No menu suspenso Eletrodomésticos, selecione o aparelho a que você quer associar as credenciais. O campo Conta de serviço é preenchido automaticamente com a conta de serviço anexada a esse dispositivo.

6. Selecione o pool do OnVault. Os pools são mostrados com base no dispositivo selecionado. Para adicionar um pool do OnVault, siga as instruções em Pool do OnVault.

7. Clique em Adicionar.

O console de gerenciamento envia uma solicitação para validar as credenciais do Google Cloud no dispositivo selecionado. Se a validação for bem-sucedida, a credencial será registrada.A criação de credenciais Google Cloud leva à criação automática de um pool do Cloud Storage e um perfil de recurso com o nome da credencial Google Cloud como prefixo.

Editar Google Cloud credenciais

Use estas instruções para editar uma credencial Google Cloud do appliance:

1. Clique em Gerenciar e selecione Credenciais no menu suspenso. A página Credenciais do Cloud é aberta com todas as credenciais salvas em dispositivos gerenciados pelo console de gerenciamento.
2. Selecione a credencial que você quer modificar e clique em Editar no canto inferior direito da página. A página Editar credencial é aberta. Você também pode clicar com o botão direito do mouse na credencial e selecionar Editar nas opções do menu suspenso.
3. Atualize o nome, a zona padrão, os atributos da organização e o pool do OnVault conforme necessário.
4. Clique em Salvar para aplicar as alterações.

Excluir uma credencial Google Cloud

Antes de excluir as credenciais, remova a proteção e todos os aplicativos e hosts descobertos usando essas credenciais. Depois, exclua-as.

Use estas instruções para excluir uma credencial Google Cloud .

1. Clique em Gerenciar e selecione Credenciais no menu suspenso.
2. Clique com o botão direito do mouse nas credenciais necessárias e selecione Excluir.
3. Clique em Confirmar.

O guia do Backup and DR Compute Engine

• Verifique as Google Cloud credenciais
• Descobrir e proteger instâncias do Compute Engine
• Montar imagens de backup de instâncias do Compute Engine
• Restaurar uma instância do Compute Engine
• Importar imagens de snapshots de disco permanente