Esta página foi traduzida pela API Cloud Translation.

Credenciais do Cloud para proteção e acesso a dados do serviço de backup e DR

Esta página explica o que são as credenciais padrão da nuvem e como adicionar novas credenciais para dispositivos de backup/recuperação no console de gerenciamento.

Uma credencial de nuvem é um ponteiro para uma conta de serviço que permite que o dispositivo de backup/recuperação acesse recursos do projeto, como APIs do Compute Engine e buckets do Cloud Storage, para fazer backup e recuperar instâncias do Compute Engine.

Durante o backup ou a recuperação de instâncias do Compute Engine, os dispositivos de backup/recuperação usam a conta de serviço na credencial para fazer instantâneos das instâncias e fazer upload de metadados de instância (como configuração de VM, rede e tags) para um bucket do Cloud Storage por meio de um pool do OnVault. Se o dispositivo que criou os snapshots de instância não estiver disponível, você poderá acessar os backups usando um dispositivo diferente, pelos metadados armazenados no bucket do Cloud Storage. Consulte Importar imagens de snapshot de disco permanente.

Credencial padrão da nuvem

A credencial de nuvem padrão é criada automaticamente quando você implanta o dispositivo de backup/recuperação da versão 11.0.2 ou mais recente. Essa credencial é criada com base na conta de serviço anexada ao dispositivo em um projeto. Essa credencial simplifica o processo de descoberta e proteção de instâncias do Compute Engine sem a necessidade de criar um pool e uma conta de serviço do OnVault. No console de gerenciamento, é possível conferir essa credencial padrão na página Credenciais da nuvem. Para isso, acesse Gerenciar > Credenciais.

A credencial padrão na página Credenciais do Cloud é exibida com base no nome do dispositivo. Por exemplo, se o nome do dispositivo de backup/recuperação for ba-name, o nome da conta de serviço padrão será mostrado como *ba-name@developer.gserviceaccount.com. O valor project-id é o ID do projeto. Não é possível editar ou excluir essa credencial de nuvem padrão, apenas visualizá-la.

A credencial de nuvem padrão aponta para um pool do OnVault criado automaticamente, que aponta para um bucket do Cloud Storage criado automaticamente. O bucket do Cloud Storage contém o bucket do Cloud Storage criado pela instância de VM. O bucket do Cloud Storage armazena a configuração e os metadados da instância de VM e é criado automaticamente no momento da execução, quando um modelo de backup é atribuído a uma instância do Compute Engine. O local do bucket do Cloud Storage é determinado com base no local ou na região de armazenamento de snapshots de discos permanentes, conforme configurado no modelo de backup.

Os pools do OnVault são criados automaticamente, mesmo que você mude a região ou a multirregião da instância ou quando a substituição de política é aplicada após a execução do primeiro snapshot. Assim, o serviço garante que os dados disco permanente e a configuração da VM de instância sejam colocalizados.

Para a credencial de nuvem padrão, o papel do IAM Backup and DR Cloud Storage Operator é atribuído automaticamente à conta de serviço anexada ao dispositivo de backup/recuperação. É necessário atribuir manualmente o papel do IAM Backup and DR Compute Engine Operator para fazer backup das instâncias do Compute Engine.

Para acessar o bucket do Cloud Storage correspondente do appliance no console do Google Cloud, acesse Cloud Storage > Buckets.

O bucket de armazenamento é criado com o nome <backup/recovery-appliance-name>-<random-string>-<region/multi-region> no mesmo projeto em que o appliance é implantado e tem as seguintes propriedades definidas.

Classe de armazenamento: padrão
Controle de acesso a objetos: uniforme
Local do bucket: igual ao local do snapshot do Persistent Disk
Controle de versões de objeto: nenhum controle de versões ou retenção de objeto definido no bucket
Acesso: sem acesso público ao bucket

Observação: o bucket de armazenamento criado automaticamente usa uma classe de armazenamento padrão para armazenar a configuração e os metadados da VM. Você vai receber cobranças por uma classe de armazenamento padrão.

Adicionar credenciais da nuvem

O serviço de backup e DR permite criar uma nova credencial de nuvem, se você ainda quiser criar uma manualmente para um dispositivo de backup/recuperação. Para criar novas credenciais de nuvem, primeiro você precisa criar um novo pool do OnVault. Consulte as instruções do pool do OnVault. O procedimento para adicionar uma credencial de nuvem varia de acordo com a versão do software do appliance de backup/recuperação. Para determinar qual versão está em uso, navegue até Gerenciar > Dispositivos e confira a coluna Versão.

A tabela a seguir destaca o comportamento das credenciais do Cloud com a versão implantada do dispositivo.

Versão original do dispositivo	Versão atualizada do dispositivo	Uso de credenciais do Cloud
11.0.1^*	11.0.2 ou mais recente	Todas as credenciais da nuvem atuais vão continuar usando chaves JSON. No entanto, é possível substituir uma chave JSON em credenciais na nuvem por credenciais de conta de serviço de um dispositivo.
11.0.2 ou mais recente	Não relevante	A credencial padrão da nuvem que não usa a chave JSON é criada automaticamente. Consulte Credenciais padrão da nuvem.

^*Os dispositivos implantados antes de janeiro de 2023 provavelmente foram implantados na versão 11.0.1.

Adicionar credenciais de nuvem para um dispositivo com a versão 11.0.2 ou mais recente

Para criar uma credencial do Cloud, você precisa definir o nome da credencial e o pool do OnVault em que quer armazenar os dados de backup. Uma conta de serviço é preenchida automaticamente com base na conta de serviço anexada ao dispositivo de backup/recuperação selecionado. Crie um OnVault, se você ainda não tiver um.

Antes de adicionar a credencial de nuvem, atribua o papel Backup and DR Compute Engine Operator à conta de serviço anexada ao dispositivo.

Use estas instruções para adicionar a credencial Google Cloud para dispositivos com a versão 11.0.2 ou mais recente:

Clique em Gerenciar e selecione Credenciais no menu suspenso.

A página Credenciais do Cloud vai abrir e listar todas as credenciais da nuvem gerenciadas pelo console de gerenciamento, se já houver alguma.
Clique em Adicionar credenciais do Google Cloud.
Em Credential Name, adicione um nome exclusivo para identificar a credencial.
Selecione uma Zona padrão. A zona padrão é usada para determinar qual zona será usada por padrão ao descobrir VMs do Compute Engine em um projeto. Também é possível selecionar uma zona diferente durante a descoberta.
No menu suspenso Appliances, selecione o dispositivo com que você quer associar as credenciais. O campo Conta de serviço é preenchido automaticamente com a conta de serviço anexada ao dispositivo.
Selecione o pool do OnVault. Os pools são mostrados com base no dispositivo selecionado. Para adicionar um pool do OnVault, use as instruções do Pool do OnVault.

Observação: o menu suspenso do OnVault não mostra os pools criados automaticamente. Ela só é oferecida para as credenciais padrão da nuvem.
Clique em Adicionar.

O console de gerenciamento envia uma solicitação para validar as credenciais da nuvem para o dispositivo selecionado. Se a validação for bem-sucedida, a credencial será registrada. A criação de credenciais do Cloud leva à criação automática de um pool do Cloud Storage e de um perfil de recurso com o nome da credencial do Cloud como prefixo.

Adicionar credenciais de nuvem para um dispositivo com a versão 11.0.2 ou anterior

Recomendamos que você atualize o dispositivo para a versão mais recente. Consulte as instruções para atualizar o appliance de backup/recuperação.

Para criar um pool do OnVault com appliances na versão 11.0.1 ou anterior, é necessário fazer o upload manual da chave JSON. Consulte Criar chaves de conta de serviço para ver instruções sobre como criar e fazer o download da chave de conta de serviço no formato JSON.

Observação: as chaves de conta de serviço poderão causar problemas de segurança se não forem gerenciadas corretamente. Sempre que possível, escolha uma alternativa mais segura para as chaves de conta de serviço. Caso seja necessário autenticar com uma chave de conta de serviço, você será responsável pela segurança da chave privada e por outras operações descritas em Práticas recomendadas para gerenciar chaves de contas de serviço. Se não for possível criar uma chave de conta de serviço, a criação pode ser desativada para sua organização. Para mais informações, consulte Gerenciar recursos da organização com segurança por padrão.

Se você adquiriu a chave de conta de serviço de uma fonte externa, ela precisa ser validada antes do uso. Para mais informações, consulte Requisitos de segurança para credenciais de origem externa.

É necessário fazer upload da chave JSON manualmente até que o dispositivo de backup/recuperação seja atualizado para a versão 11.0.2 ou mais recente. Você precisa definir o nome da credencial e o pool do OnVault em que você quer armazenar os dados de backup. Se você não tiver um OnVault, consulte as instruções para Criar um pool do OnVault.

Siga estas instruções para adicionar a credencial Google Cloud ao dispositivo:

Clique em Gerenciar e selecione Credenciais no menu suspenso. A página Credenciais do Cloud será aberta listando todas as credenciais da nuvem gerenciadas pelo console de gerenciamento, se já houver alguma.
Clique em Adicionar credenciais do Google Cloud.
Em Credential Name, adicione um nome exclusivo para identificar a credencial.
Selecione Zona padrão. A zona padrão é usada para determinar em qual zona iniciar a pesquisa ao realizar uma descoberta do Compute Engine. É possível selecionar uma zona diferente sempre que você executar a ferramenta de descoberta.
No menu suspenso Appliances, selecione o dispositivo ao qual a credencial será associada. Somente o dispositivo selecionado tem acesso a essa credencial.
No campo Credential JSON, clique em Choose file e importe a chave da conta de serviço salva no formato JSON. A conta de serviço e o ID do projeto são derivados do arquivo de chave JSON. Você pode mudar o ID do projeto conforme necessário.
Selecione o pool do OnVault. Os pools são mostrados com base no dispositivo selecionado. Para adicionar um pool do OnVault, consulte Pool do OnVault.
Clique em Adicionar.

O console de gerenciamento envia uma solicitação para validar as credenciais da nuvem para o dispositivo selecionado. Se a validação for bem-sucedida, a credencial será registrada. A criação de credenciais do Cloud leva à criação automática de um pool de nuvem e de um perfil de recurso com o nome da credencial do Cloud como prefixo.

Editar credenciais da nuvem

Use estas instruções para editar uma credencial de nuvem existente do dispositivo:

Clique em Gerenciar e selecione Credenciais no menu suspenso. A página Credenciais do Cloud é aberta listando todas as credenciais salvas em dispositivos gerenciados pelo console de gerenciamento.
Selecione a credencial que você quer modificar e clique em Editar no canto inferior direito da página. A página Editar credencial é aberta. Você também pode clicar com o botão direito do mouse na credencial e selecionar Editar nas opções do menu suspenso.
Se você estiver atualizando um dispositivo que usa a versão 11.0.2 ou mais recente, será possível atualizar o nome, a zona padrão, os atributos da organização e o pool do OnVault.
Se você estiver atualizando o dispositivo com a versão 11.0.2 ou anterior:
1. Faça as seguintes mudanças na credencial:
  - Se você estiver atualizando o nome, a região padrão ou a zona padrão ou os atributos da organização, não será necessário fornecer os atributos da nuvem ou da organização, nem as informações de acesso à nuvem, como o arquivo de chave JSON.
  - Se você estiver atualizando as informações de credencial da nuvem ou adicionando outros dispositivos, será necessário fornecer as informações de acesso à nuvem usadas para criar a credencial.
2. Você pode selecionar um dispositivo extra para armazenar os dados.
3. Você pode mudar o pool do OnVault se outro estiver disponível.
Clique em Salvar para aplicar as alterações.

Substituir uma credencial de chave JSON pela credencial da conta de serviço de um dispositivo

Se você tiver uma credencial de nuvem criada usando uma chave JSON para autenticação, não será possível alternar essa credencial para usar a autenticação da conta de serviço do dispositivo. Em vez disso, crie uma nova credencial na nuvem e atribua o perfil que é criado automaticamente com as credenciais na nuvem modificando o plano de backup.

Use as instruções a seguir para substituir uma credencial de chave JSON da nuvem por uma credencial de conta de serviço de dispositivo:

Crie uma nova credencial do Cloud usando a conta de serviço do dispositivo. Isso cria um novo perfil de recurso com o nome: <new credentialname>_Profile.
Acesse App Manager e selecione Aplicativos.
Encontre todas as instâncias do Compute Engine que usam a credencial antiga do Cloud. Identifique os nomes de perfil que estão no formato: <old credentialname>_Profile
Siga as instruções no tópico Modificar o gerenciamento do plano de backup de um aplicativo gerenciado e atualize o perfil em uso para o novo.

Todas as novas imagens usam as credenciais de nuvem recém-criadas. Não é possível excluir a definição de credencial antiga do Cloud até que todas as imagens criadas anteriormente nesse pool tenham expirado.

Excluir uma credencial da nuvem

Antes de excluir as credenciais, desproteja e remova todos os aplicativos e hosts descobertos usando essa credencial e, em seguida, exclua-a.

Use estas instruções para excluir uma credencial de nuvem.

Clique em Gerenciar e selecione Credenciais no menu suspenso.
Clique com o botão direito do mouse nas credenciais necessárias e selecione Excluir.
Clique em Confirmar.