Antes de começar
Recomendamos ler Planejar uma implantação de backup e DR antes de começar esta seção.
Esta página detalha os requisitos do Google Cloud que precisam ser atendidos antes de você ativar o serviço Google Cloud Backup e DR, que precisa ser feito no consoleGoogle Cloud .
Todas as tarefas descritas nesta página precisam ser realizadas no projetoGoogle Cloud em que você está implantando o dispositivo de backup/recuperação. Se este projeto for um projeto de serviço de VPC compartilhada, algumas tarefas serão realizadas no projeto da VPC e outras no projeto da carga de trabalho.
Permitir projetos de imagens confiáveis
Se você tiver ativado a política constraint/compute.trustedImageProjects
nas políticas da organização, o projeto de origem gerenciado por Google Cloudpara as imagens usadas na implantação do dispositivo de backup/recuperação não será permitido. É necessário personalizar essa política da organização nos projetos em que os dispositivos de backup/recuperação estão implantados para evitar um erro de violação da política durante a implantação, conforme detalhado nas instruções a seguir:
Acesse a página Políticas da organização e selecione o projeto em que você implanta seus eletrodomésticos.
Na lista de políticas, clique em Definir projetos de imagens confiáveis.
Clique em Editar para personalizar as restrições atuais de imagens confiáveis.
Na página Editar, selecione Personalizar.
Selecione uma das três opções a seguir:
Política herdada atual
Se houver uma política herdada, faça o seguinte:
Em Aplicação da política, selecione Mesclar com pai.
Clique em Adicionar regra.
Selecione Personalizado na lista suspensa Valores de política para definir a restrição em projetos de imagem específicos.
Selecione Permitir na lista suspensa Tipo de política para remover restrições dos projetos de imagem especificados.
No campo Valores personalizados, insira o valor personalizado como projects/backupdr-images.
Clique em Concluído.
Regra de Permitir atual
Se houver uma regra Permitir, siga estas etapas:
Deixe a Aplicação da política selecionada como padrão.
Selecione a regra Permitir.
Clique em Adicionar valor para adicionar outros projetos de imagem e insira o valor como projects/backupdr-images.
Clique em Concluído.
Não há política ou regra
Se não houver uma regra, selecione Adicionar regra e siga estas etapas:
Deixe a Aplicação da política selecionada como padrão.
Selecione Personalizado na lista suspensa Valores de política para definir a restrição em projetos de imagem específicos.
Selecione Permitir na lista suspensa Tipo de política para remover restrições dos projetos de imagem especificados.
No campo Valores personalizados, insira o valor personalizado como projects/backupdr-images.
Se você estiver definindo restrições no nível do projeto, elas poderão entrar em conflito com as restrições atuais definidas na sua organização ou pasta.
Clique em Adicionar valor para adicionar outros projetos de imagem e clique em Concluído.
Clique em Salvar.
Clique em Salvar para aplicar a restrição.
Para mais informações sobre como criar políticas da organização, consulte Criar e gerenciar políticas da organização.
O processo de implantação
Para iniciar a instalação, o serviço de Backup e DR cria uma conta de serviço para executar o instalador. A conta de serviço precisa de privilégios no projeto host, no projeto de serviço do dispositivo de backup/recuperação e no projeto de serviço do console de gerenciamento. Para mais informações, consulte Contas de serviço.
A conta de serviço usada para instalação se torna a conta de serviço do dispositivo de backup/recuperação. Após a instalação, as permissões da conta de serviço são reduzidas apenas às permissões necessárias para o appliance de backup/recuperação.
O console de gerenciamento é implantado quando você instala o primeiro dispositivo de backup/recuperação. É possível implantar o serviço Backup and DR em uma VPC compartilhada ou em uma VPC não compartilhada.
Serviço de backup e DR em uma VPC não compartilhada
Ao implantar o console de gerenciamento e o primeiro dispositivo de backup/recuperação em um único projeto com uma VPC não compartilhada, todos os três componentes do serviço de backup e DR ficam no mesmo projeto.
Se a VPC for compartilhada, consulte Serviço de backup e DR em uma VPC compartilhada.
Ativar as APIs necessárias para instalação em uma VPC não compartilhada
Antes de ativar as APIs necessárias para a instalação em uma VPC não compartilhada, consulte as regiões compatíveis com a implantação do serviço Backup e DR. Consulte Regiões compatíveis.
Para executar o instalador em uma VPC não compartilhada, as seguintes APIs precisam estar ativadas. Para ativar APIs, você precisa do papel Administrador do Service Usage.
API | Nome do serviço |
---|---|
Compute Engine | compute.googleapis.com |
Resource Manager | cloudresourcemanager.googleapis.com |
Workflows 1 | workflows.googleapis.com |
Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
Identity and Access Management | iam.googleapis.com |
Cloud Logging | logging.googleapis.com |
1 O serviço de fluxo de trabalho é compatível com as regiões listadas. Se o serviço Workflows não estiver disponível em uma região em que o appliance de backup/recuperação está sendo implantado, o serviço de Backup e DR vai usar a região "us-central1" por padrão. Se você tiver uma política da organização definida para impedir a criação de recursos em outras regiões, atualize temporariamente a política para permitir a criação de recursos na região "us-central1". É possível restringir a região "us-central1" após a implantação do dispositivo de backup/recuperação.
A conta de usuário precisa dessas permissões no projeto de VPC não compartilhada.
Função preferida | Permissões necessárias |
---|---|
resourcemanager.projectIamAdmin (administrador de IAM do projeto) | resourcemanager.projects.getIamPolicy |
resourcemanager.projects.setIamPolicy | |
resourcemanager.projects.get | |
iam.serviceAccounts.delete | |
iam.serviceAccounts.get | |
workflows.workflows.delete | |
workflows.executions.create | |
workflows.executions.get | |
workflows.operations.get | |
serviceusage.serviceUsageAdmin (administrador do Service Usage) | serviceusage.services.list |
iam.serviceAccountUser (Usuário da conta de serviço) | iam.serviceAccounts.actAs |
iam.serviceAccountAdmin (administrador da conta de serviço) | iam.serviceAccounts.create |
iam.serviceAccounts.delete | |
iam.serviceAccounts.get | |
workflows.editor (Editor do Workflows) | workflows.workflows.create |
workflows.workflows.delete | |
workflows.executions.create | |
workflows.executions.get | |
workflows.operations.get | |
backupdr.admin (administrador de backup e DR) | backupdr.* |
leitor (básico) | Concede as permissões necessárias para visualizar a maioria dos recursos Google Cloud . |
Backup e DR em uma VPC compartilhada
Ao implantar o console de gerenciamento e o primeiro appliance de backup/recuperação em um projeto de VPC compartilhada, é necessário configurar estes três projetos no projeto host ou em um ou mais projetos de serviço:
Antes de ativar as APIs necessárias para a instalação em uma VPC compartilhada, consulte as regiões compatíveis com a implantação do Backup e DR. Consulte Regiões compatíveis.
Projeto proprietário da VPC: é o proprietário da VPC selecionada. O proprietário da VPC é sempre o projeto host.
Projeto do console de gerenciamento: é onde a API Backup and DR é ativada e onde você acessa o console de gerenciamento para gerenciar cargas de trabalho.
Projeto do dispositivo de backup/recuperação: é onde o dispositivo de backup/recuperação é instalado e geralmente onde os recursos protegidos residem.
Em uma VPC compartilhada, pode haver um, dois ou três projetos.
Tipo | Proprietário da VPC | Console de gerenciamento | Dispositivo de backup/recuperação |
---|---|---|---|
HHH | Projeto host | Projeto host | Projeto host |
HHS | Projeto host | Projeto host | Projeto de serviço |
HSH | Projeto host | Projeto de serviço | Projeto host |
HSS | Projeto host | Projeto de serviço | Projeto de serviço |
HS2 | Projeto host | Projeto de serviço | Um projeto de serviço diferente |
Descrições das estratégias de implantação
HHH: VPC compartilhada. O proprietário da VPC, o console de gerenciamento e o dispositivo de backup/recuperação estão todos no projeto host.
HHS: VPC compartilhada. O proprietário da VPC e o console de gerenciamento estão no projeto host, e o dispositivo de backup/recuperação está em um projeto de serviço.
HSH: VPC compartilhada. O proprietário da VPC e o dispositivo de backup/recuperação estão no projeto host, e o console de gerenciamento está em um projeto de serviço.
HSS: VPC compartilhada. O proprietário da VPC está no projeto host, e o dispositivo de backup/recuperação e o console de gerenciamento estão em um projeto de serviço.
HS2: VPC compartilhada. O proprietário da VPC está no projeto host, e o dispositivo de backup/recuperação e o console de gerenciamento estão em dois projetos de serviço diferentes.
Ative as APIs necessárias para instalação no projeto host
Para executar o instalador, as seguintes APIs precisam estar ativadas. Para ativar APIs, você precisa da função Administrador do Service Usage.
API | Nome do serviço |
---|---|
Compute Engine | compute.googleapis.com |
Resource Manager | cloudresourcemanager.googleapis.com |
Ative as APIs necessárias para instalação no projeto do dispositivo de backup/recuperação
API | Nome do serviço |
---|---|
Compute Engine | compute.googleapis.com |
Resource Manager | cloudresourcemanager.googleapis.com |
Workflows 1 | workflows.googleapis.com |
Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
Identity and Access Management | iam.googleapis.com |
Cloud Logging | logging.googleapis.com |
1 O serviço de fluxo de trabalho é compatível com as regiões listadas. Se o serviço Workflows não estiver disponível em uma região em que o appliance de backup/recuperação está sendo implantado, o serviço de Backup e DR vai usar a região "us-central1" por padrão. Se você tiver uma política da organização definida para impedir a criação de recursos em outras regiões, atualize temporariamente a política para permitir a criação de recursos na região "us-central1". É possível restringir a região "us-central1" após a implantação do dispositivo de backup/recuperação.
A conta de usuário precisa dessas permissões no projeto proprietário da VPC.
Função preferida | Permissões necessárias |
---|---|
resourcemanager.projectIamAdmin (administrador de IAM do projeto) | resourcemanager.projects.getIamPolicy |
resourcemanager.projects.setIamPolicy | |
resourcemanager.projects.get | |
iam.serviceAccounts.delete | |
iam.serviceAccounts.get | |
workflows.workflows.delete | |
workflows.executions.create | |
workflows.executions.get | |
workflows.operations.get | |
serviceusage.serviceUsageAdmin (administrador do Service Usage) | serviceusage.services.list |
A conta de usuário precisa dessas permissões no projeto do console de gerenciamento.
O console de gerenciamento é implantado quando você instala o primeiro dispositivo de backup/recuperação.
Função preferida | Permissões necessárias |
---|---|
resourcemanager.projectIamAdmin (administrador de IAM do projeto) | resourcemanager.projects.getIamPolicy |
resourcemanager.projects.setIamPolicy | |
resourcemanager.projects.get | |
iam.serviceAccounts.delete | |
iam.serviceAccounts.get | |
workflows.workflows.delete | |
workflows.executions.create | |
workflows.executions.get | |
workflows.operations.get | |
backupdr.admin (administrador de backup e DR) | backupdr.* |
leitor (básico) | Concede as permissões necessárias para visualizar a maioria dos recursos do Google Cloud . |
A conta de usuário precisa dessas permissões no projeto do dispositivo de backup/recuperação.
Função preferida | Permissões necessárias |
---|---|
resourcemanager.projectIamAdmin (administrador de IAM do projeto) | resourcemanager.projects.getIamPolicy |
resourcemanager.projects.setIamPolicy | |
resourcemanager.projects.get | |
iam.serviceAccountUser (Usuário da conta de serviço) | iam.serviceAccounts.actAs |
iam.serviceAccountAdmin (administrador da conta de serviço) | iam.serviceAccounts.create |
iam.serviceAccounts.delete | |
iam.serviceAccounts.get | |
workflows.editor (Editor do Workflows) | workflows.workflows.create |
workflows.workflows.delete | |
workflows.executions.create | |
workflows.executions.get | |
workflows.operations.get | |
serviceusage.serviceUsageAdmin (administrador do Service Usage) | serviceusage.services.list |
Além das permissões da conta de usuário final, outras permissões são concedidas temporariamente à conta de serviço criada em seu nome até que a instalação seja concluída.
Configurar redes
Se uma rede VPC ainda não tiver sido criada para o projeto de destino, crie uma antes de continuar.
Consulte Criar e modificar redes de nuvem privada virtual (VPC) para mais detalhes.
É preciso ter uma sub-rede em cada região em que você planeja implantar um dispositivo de backup/recuperação, e ela precisa ser atribuída com a permissão compute.networks.create
para ser criada.
Se você estiver implantando dispositivos de backup/recuperação em várias redes, use sub-redes que não compartilham os mesmos intervalos de endereços IP para evitar que vários dispositivos tenham o mesmo endereço IP.
Configurar Acesso privado do Google
O dispositivo de backup/recuperação se comunica com o console de gerenciamento usando o Acesso privado do Google. Recomendamos que você ative o Acesso privado do Google para cada sub-rede em que quer implantar um dispositivo de backup/recuperação.
A sub-rede em que o appliance de backup/recuperação é implantado precisa se comunicar com
um domínio exclusivo hospedado no domínio backupdr.googleusercontent.com
. Recomendamos que você inclua a seguinte configuração no Cloud DNS:
- Crie uma zona particular para o nome DNS
backupdr.googleusercontent.com
. - Crie um registro
A
para o domíniobackupdr.googleusercontent.com
e inclua cada um dos quatro endereços IP199.36.153.8
,199.36.153.9
,199.36.153.10
e199.36.153.11
da sub-redeprivate.googleapis.com
199.36.153.8/30
. Se você estiver usando o VPC Service Controls, use199.36.153.4
,199.36.153.5
,199.36.153.6
e199.36.153.7
da sub-rederestricted.googleapis.com
199.36.153.4/30
. - Crie um registro
CNAME
para*.backupdr.googleusercontent.com
que aponte para o nome de domíniobackupdr.googleusercontent.com
.
Isso garante que qualquer resolução de DNS para seu domínio exclusivo do console de gerenciamento seja feita usando o Acesso privado do Google.
Verifique se as regras de firewall têm uma regra de saída que permite o acesso no TCP
443
à sub-rede 199.36.153.8/30
ou 199.36.153.4/30
. Além disso, se você tiver uma regra de saída que permita todo o tráfego para 0.0.0.0/0
, a conectividade entre os dispositivos de backup/recuperação e o console de gerenciamento será bem-sucedida.
Criar um bucket do Cloud Storage
Você precisa de um bucket do Cloud Storage se quiser proteger bancos de dados e sistemas de arquivos usando o agente do Backup and DR e copiar os backups para o Cloud Storage para retenção de longo prazo. Isso também se aplica a backups de VMs do VMware criados usando a proteção de dados das APIs de armazenamento do VMware vSphere.
Crie um bucket do Cloud Storage seguindo estas instruções:
No console Google Cloud , acesse a página Buckets do Cloud Storage.
Clique em Criar bucket.
Digite um nome para o bucket.
Escolha uma região para armazenar seus dados e clique em Continuar.
Escolha uma classe de armazenamento padrão e clique em Continuar. Use Nearline quando a retenção for de 30 dias ou menos, ou Coldline quando a retenção for de 90 dias ou mais. Se a retenção for entre 30 e 90 dias, considere usar o Coldline.
Deixe a opção Controle de acesso uniforme selecionada e clique em Continuar. Não use detalhado.
Deixe as ferramentas de Proteção definidas como Nenhum e clique em Continuar. Não selecione outras opções, porque elas não funcionam com o serviço de backup e DR.
Clique em Criar.
Valide se a conta de serviço tem acesso ao bucket:
Selecione o novo bucket para mostrar os detalhes dele.
Acesse Permissões.
Em Principais, verifique se as novas contas de serviço estão listadas. Se não estiverem, use o botão Adicionar para adicionar as contas de serviço de leitura e gravação como principais.