Nesta página, explicamos o que são as credenciais padrão da nuvem e como adicionar novas credenciais para dispositivos de backup/recuperação no console de gerenciamento.
Uma credencial da nuvem é um ponteiro para uma conta de serviço que permite que o dispositivo de backup/recuperação acesse recursos do projeto, como APIs do Compute Engine e buckets do Cloud Storage, para fazer backup e recuperar instâncias do Compute Engine.
Durante o backup ou a recuperação de instâncias do Compute Engine, os dispositivos de backup/recuperação usam a conta de serviço na credencial para criar snapshots das instâncias e fazer upload de metadados de instâncias (como configuração de VM, rede e tags) para um bucket do Cloud Storage por um pool do OnVault. Se o dispositivo que criou os snapshots de instância não estiver disponível, acesse os backups usando outro dispositivo, pelos metadados armazenados no bucket do Cloud Storage. Consulte Importar imagens de snapshots de disco permanente.
Credencial padrão da nuvem
A credencial de nuvem padrão é criada automaticamente quando você implanta o dispositivo de backup/recuperação da versão 11.0.2 ou mais recente. Ela é criada com base na conta de serviço anexada ao dispositivo em um projeto. Essa credencial simplifica o processo de descoberta e proteção de instâncias do Compute Engine sem a necessidade de criar um pool e uma conta de serviço do OnVault. No console de gerenciamento, é possível conferir essa credencial padrão na página Credenciais da nuvem. Para isso, acesse Gerenciar > Credenciais.
A credencial padrão na página Credenciais da nuvem é exibida com base no nome do dispositivo. Por exemplo, se o nome do dispositivo de backup/recuperação for ba-name, o nome da conta de serviço padrão exibido será *ba-name@developer.gserviceaccount.com. O valor project-id é o ID do projeto. Não é possível editar ou excluir essa credencial de nuvem padrão, apenas visualizá-la.
A credencial de nuvem padrão aponta para um pool do OnVault criado automaticamente, que aponta para um bucket do Cloud Storage criado automaticamente. O bucket do Cloud Storage contém o bucket do Cloud Storage criado pela instância de VM. O bucket do Cloud Storage contém a configuração e os metadados da instância de VM e é criado automaticamente no tempo de execução, quando um modelo de backup é atribuído a uma instância do Compute Engine. O local do bucket do Cloud Storage é determinado com base no local ou na região de armazenamento dos snapshots de disco permanente, conforme configurado no modelo de backup.
Os pools do OnVault são criados automaticamente, mesmo que você mude a região ou multirregião da instância ou quando a substituição de política é aplicada após a primeira execução bem-sucedida do snapshot. Assim, o serviço garante que os dados do disco permanente e a configuração da VM da instância estejam alocados no mesmo lugar.
Para a credencial padrão da nuvem, o papel do IAM
Backup and DR Cloud Storage Operator
é atribuído automaticamente à conta de
serviço anexada ao dispositivo de backup/recuperação. É necessário atribuir manualmente
o papel do IAM Backup and DR Compute Engine Operator
para fazer backup das
instâncias do Compute Engine.
Para ver o bucket do Cloud Storage correspondente ao appliance no consoleGoogle Cloud , acesse Cloud Storage > Buckets.
O bucket de armazenamento é criado com o nome <backup/recovery-appliance-name>-<random-string>-<region/multi-region> no mesmo projeto em que o appliance é implantado e tem as seguintes propriedades definidas.
- Classe de armazenamento: Standard
- Controle de acesso a objetos: uniforme
- Local do bucket: igual ao local do snapshot do Persistent Disk
- Controle de versões de objetos: nenhum controle de versões ou retenção de objetos definido no bucket
Acesso: sem acesso público ao bucket
Adicionar credenciais da nuvem
O serviço de Backup e DR permite criar uma nova credencial de nuvem se você ainda quiser criar uma manualmente para um dispositivo de backup/recuperação. Para criar novas credenciais de nuvem, primeiro crie um pool do OnVault. Consulte as instruções em Pool do OnVault. O procedimento para adicionar uma credencial da nuvem varia de acordo com a versão do software do appliance de backup/recuperação. Para determinar qual versão está em uso, acesse Gerenciar > Eletrodomésticos e verifique a coluna Versão.
A tabela a seguir destaca o comportamento das credenciais do Cloud com a versão do appliance implantada.
Versão original do dispositivo | Versão atualizada do dispositivo | Uso de credenciais do Cloud |
---|---|---|
11.0.1* | 11.0.2 ou mais recente | Todas as credenciais de nuvem atuais vão continuar usando chaves JSON. Mas é possível substituir uma chave JSON em uma credencial de nuvem por credenciais de conta de serviço de um dispositivo. |
11.0.2 ou mais recente | Não relevante | A credencial padrão da nuvem que não usa chave JSON é criada automaticamente. Consulte as credenciais padrão da nuvem. |
*Os eletrodomésticos instalados antes de janeiro de 2023 provavelmente estão na versão 11.0.1.
Adicionar credenciais da nuvem a um dispositivo executado na versão 11.0.2 ou mais recente
Para criar uma credencial do Cloud, defina o nome dela e o pool OnVault em que você quer armazenar os dados de backup. Uma conta de serviço é preenchida automaticamente com base na conta de serviço anexada ao dispositivo de backup/recuperação selecionado. Crie um OnVault, se você não tiver um.
Antes de adicionar a credencial da nuvem, atribua o papel
Backup and DR Compute Engine Operator
à conta de serviço anexada ao
dispositivo.
Siga estas instruções para adicionar a credencial Google Cloud para dispositivos com a versão 11.0.2 ou mais recente:
Clique em Gerenciar e selecione Credenciais no menu suspenso.
A página Credenciais do Cloud é aberta com todas as credenciais do Cloud gerenciadas pelo console de gerenciamento, se alguma credencial já tiver sido adicionada.
Clique em Adicionar credenciais do Google Cloud.
Em Nome da credencial, adicione um nome exclusivo para identificar a credencial.
Selecione uma zona padrão. A zona padrão é usada para determinar qual zona será usada por padrão ao descobrir VMs do Compute Engine em um projeto. Também é possível selecionar uma zona diferente durante a descoberta.
No menu suspenso Eletrodomésticos, selecione o aparelho a que você quer associar as credenciais. O campo Conta de serviço é preenchido automaticamente com a conta de serviço anexada a esse dispositivo.
Selecione o pool do OnVault. Os pools são mostrados com base no dispositivo selecionado. Para adicionar um pool do OnVault, siga as instruções em Pool do OnVault.
Clique em Adicionar.
O console de gerenciamento envia uma solicitação para validar as credenciais da nuvem no dispositivo selecionado. Se a validação for bem-sucedida, a credencial será registrada. A criação de credenciais do Cloud leva à criação automática de um pool do Cloud Storage e um perfil de recurso com o nome da credencial do Cloud como prefixo.
Adicionar credenciais de nuvem para um dispositivo executando a versão 11.0.2 ou anterior
Recomendamos que você atualize o dispositivo para a versão mais recente. Consulte instruções para atualizar o appliance de backup/recuperação.
Para criar um pool OnVault com dispositivos executando a versão 11.0.1 ou anterior, faça upload manual da chave JSON. Consulte Criar chaves de conta de serviço para instruções sobre como criar e fazer o download da chave de conta de serviço no formato JSON.
É necessário fazer upload manual da chave JSON até que o dispositivo de backup/recuperação seja atualizado para a versão 11.0.2 ou mais recente. Você precisa definir o nome da credencial e o pool do OnVault em que quer armazenar os dados de backup. Se você não tiver um OnVault, consulte as instruções para Criar um pool do OnVault.
Use estas instruções para adicionar a credencial Google Cloud ao appliance:
- Clique em Gerenciar e selecione Credenciais no menu suspenso. A página Credenciais da nuvem é aberta com todas as credenciais gerenciadas pelo console de gerenciamento, se alguma credencial já tiver sido adicionada.
- Clique em Adicionar credenciais do Google Cloud.
- Em Nome da credencial, adicione um nome exclusivo para identificar a credencial.
- Selecione Zona padrão. A zona padrão é usada para determinar em qual zona iniciar a pesquisa ao realizar uma descoberta do Compute Engine. Você pode selecionar uma zona diferente sempre que executar a ferramenta de descoberta.
- No menu suspenso Eletrodomésticos, selecione o eletrodoméstico a ser associado à credencial. Somente o eletrodoméstico selecionado tem acesso a essa credencial.
- No campo JSON de credencial, clique em Escolher arquivo e importe a chave da conta de serviço salva no formato JSON. A conta de serviço e o ID do projeto são derivados do arquivo de chave JSON. Você pode mudar o ID do projeto conforme necessário.
- Selecione o pool do OnVault. Os pools são mostrados com base no dispositivo selecionado. Para adicionar um pool do OnVault, consulte Pool do OnVault.
- Clique em Adicionar.
O console de gerenciamento envia uma solicitação para validar as credenciais da nuvem no dispositivo selecionado. Se a validação for bem-sucedida, a credencial será registrada. A criação de credenciais da nuvem leva à criação automática de um pool de nuvem e um perfil de recurso com o nome da credencial da nuvem como prefixo.
Editar credenciais da nuvem
Use estas instruções para editar uma credencial de nuvem do appliance:
- Clique em Gerenciar e selecione Credenciais no menu suspenso. A página Credenciais do Cloud é aberta com todas as credenciais salvas em dispositivos gerenciados pelo console de gerenciamento.
- Selecione a credencial que você quer modificar e clique em Editar no canto inferior direito da página. A página Editar credencial é aberta. Você também pode clicar com o botão direito do mouse na credencial e selecionar Editar nas opções do menu suspenso.
- Se você estiver atualizando um dispositivo que executa a versão 11.0.2 ou mais recente, poderá atualizar o nome, a zona padrão, os atributos da organização e o pool do OnVault.
Se você estiver atualizando o appliance que executa a versão 11.0.2 ou anterior:
Faça as seguintes mudanças na credencial:
- Se você estiver atualizando o nome, a região ou a zona padrão ou os atributos da organização, não será necessário fornecer as informações de acesso à nuvem ou à organização, como o arquivo de chave JSON.
- Se você estiver atualizando as informações de credenciais da nuvem ou adicionando outros dispositivos, será necessário fornecer as informações de acesso à nuvem usadas para criar a credencial.
Você pode selecionar outro dispositivo para armazenar os dados.
É possível mudar o pool OnVault se outro estiver disponível.
Clique em Salvar para aplicar as alterações.
Substituir uma credencial do Cloud de chave JSON por credenciais de conta de serviço de um dispositivo
Se você tiver uma credencial de nuvem criada com uma chave JSON para autenticação, não será possível mudar essa credencial para usar com a autenticação da conta de serviço do appliance. Em vez disso, crie uma nova credencial de nuvem e atribua o perfil criado automaticamente com as credenciais de nuvem modificando o plano de backup.
Use as instruções a seguir para substituir uma credencial de nuvem de chave JSON por uma credencial de conta de serviço do appliance:
- Crie uma nova credencial do Cloud usando a conta de serviço do appliance. Isso cria um perfil de recurso com o nome: <new credentialname>_Profile.
No console de gerenciamento do serviço de backup e DR, clique em Gerenciador de apps e selecione Aplicativos no menu suspenso.
A página Aplicativos é aberta.
Encontre todas as instâncias do Compute Engine usando a credencial antiga do Cloud. Identifique os nomes de perfil no formato: <old credentialname>_Profile
Siga as instruções no tópico Modificar o gerenciamento do plano de backup de um aplicativo gerenciado e atualize o perfil em uso para o novo perfil.
Todas as novas imagens usam as credenciais da nuvem recém-criadas. Não é possível excluir a definição de credencial do Cloud antiga até que todas as imagens criadas anteriormente nesse pool expirem.
Excluir uma credencial da nuvem
Antes de excluir as credenciais, remova a proteção e todos os aplicativos e hosts descobertos usando essas credenciais. Depois, exclua-as.
Use estas instruções para excluir uma credencial da nuvem.
- Clique em Gerenciar e selecione Credenciais no menu suspenso.
- Clique com o botão direito do mouse nas credenciais necessárias e selecione Excluir.
- Clique em Confirmar.
O guia do Backup and DR Compute Engine
O guia do Backup and DR Compute Engine
- Verificar as credenciais da nuvem
- Descobrir e proteger instâncias do Compute Engine
- Montar imagens de backup de instâncias do Compute Engine
- Restaurar uma instância do Compute Engine
- Importar imagens de snapshots de disco permanente