Credenciales de Google Cloud para la protección y el acceso a los datos del servicio de copia de seguridad y recuperación tras fallos

En esta página se explica qué son las credenciales predeterminadas Google Cloud y cómo añadir nuevas credenciales para dispositivos de copia de seguridad o recuperación en la consola de gestión.

Una Google Cloud credencial es un puntero a una cuenta de servicio que permite que el dispositivo de copia de seguridad o recuperación acceda a recursos del proyecto, como las APIs de Compute Engine y los cubos de Cloud Storage, para crear copias de seguridad y recuperar instancias de Compute Engine.

Durante la copia de seguridad o la recuperación de instancias de Compute Engine, los dispositivos de copia de seguridad o recuperación usan la cuenta de servicio de la credencial para crear copias de las instancias y subir los metadatos de las instancias (como la configuración, la red y las etiquetas de las VMs) a un segmento de Cloud Storage a través de un grupo OnVault. Si el dispositivo que creó las copias de seguridad de la instancia no está disponible, puedes acceder a las copias de seguridad con otro dispositivo a través de los metadatos almacenados en el segmento de Cloud Storage. Consulta Importar imágenes de capturas de disco persistente.

Credencial Google Cloud predeterminada

La credencial predeterminada Google Cloud se crea automáticamente al implementar el dispositivo de copia de seguridad o recuperación. Esta credencial se crea en función de la cuenta de servicio vinculada al dispositivo en un proyecto. Esta credencial simplifica el proceso de detección y protección de instancias de Compute Engine sin necesidad de crear un pool de OnVault ni una cuenta de servicio. En la consola de gestión, puedes ver esta credencial predeterminada de Google Cloud en la página Credenciales de Cloud. Para ello, ve a Gestionar > Credenciales.

La credencial predeterminada Google Cloud de la página Credenciales de Cloud se muestra en función del nombre del dispositivo. Por ejemplo, si el nombre del dispositivo de copia de seguridad o recuperación es ba-name, el nombre de la cuenta de servicio predeterminado que se muestra es *ba-name@developer.gserviceaccount.com. El valor project-id es el ID del proyecto. No puedes editar ni eliminar esta credencial predeterminada, solo puedes verla. Google Cloud

La credencial predeterminada Google Cloud apunta a un grupo OnVault creado automáticamente, que a su vez apunta a un segmento de Cloud Storage creado automáticamente. El segmento de Cloud Storage contiene el segmento de Cloud Storage creado por la instancia de VM. El segmento de Cloud Storage contiene la configuración y los metadatos de la instancia de VM, y se crea automáticamente en el tiempo de ejecución cuando se asigna una plantilla de copia de seguridad a una instancia de Compute Engine. La ubicación del segmento de Cloud Storage se determina en función de la ubicación o la región de almacenamiento de las capturas de los discos persistentes, tal como se haya configurado en la plantilla de copia de seguridad.

Los grupos OnVault se crean automáticamente aunque cambies la región o la multirregión de la instancia, o cuando se aplique la anulación de la política después de que se haya completado correctamente la primera instantánea. De esta forma, el servicio se asegura de que tanto los datos del disco persistente como la configuración de la instancia de VM se encuentren en la misma ubicación.

En el caso de la credencial Google Cloud predeterminada, el rol de gestión de identidades y accesos Backup and DR Cloud Storage Operator se asigna automáticamente a la cuenta de servicio asociada al dispositivo de copia de seguridad o recuperación. Debes asignar manualmente el rol de gestión de identidades y accesos Backup and DR Compute Engine Operator para crear copias de seguridad de las instancias de Compute Engine.

Para ver el segmento de Cloud Storage correspondiente del dispositivo en la consola, ve a Cloud Storage > Buckets.Google Cloud

El segmento de almacenamiento se crea con el nombre <backup/recovery-appliance-name>-<random-string>-<region/multi-region> en el mismo proyecto en el que se implementa el dispositivo y tiene las siguientes propiedades definidas.

• Clase de almacenamiento: Standard
• Control de acceso a objetos: uniforme
• Ubicación del segmento: igual que la ubicación de la captura de Persistent Disk
• Gestión de versiones de objetos: no se ha definido ninguna gestión de versiones ni retención de objetos en el segmento

• Acceso: no hay acceso público al segmento

Añadir Google Cloud credenciales

El servicio de copia de seguridad y recuperación ante desastres te permite crear una nueva Google Cloud credencial si quieres crear una manualmente para un dispositivo de copia de seguridad o recuperación. Para crear nuevas credenciales de Google Cloud , primero debes crear un nuevo grupo de OnVault. Consulta las instrucciones sobre grupos de OnVault.

Añadir Google Cloud credenciales

Para crear una Google Cloud credencial, debes definir el nombre de la credencial y el grupo OnVault en el que quieras almacenar los datos de la copia de seguridad. Una cuenta de servicio se rellena automáticamente en función de la cuenta de servicio asociada al dispositivo de copia de seguridad o recuperación seleccionado. Crea un OnVault si no tienes uno.

Antes de añadir la credencial Google Cloud , asigna el rolBackup and DR Compute Engine Operator a la cuenta de servicio asociada al dispositivo.

Sigue estas instrucciones para añadir Google Cloud credenciales para dispositivos de copia de seguridad o recuperación:

1. Haz clic en Gestionar y selecciona Credenciales en el menú desplegable.

   Se abrirá la página Credenciales de Cloud, en la que se mostrarán todas las credenciales gestionadas por la consola de gestión, si ya se ha añadido alguna. Google Cloud

2. Haz clic en Añadir credenciales de Google Cloud.

3. En Nombre de la credencial, añade un nombre único con el que quieras identificar la credencial.

4. Selecciona una zona predeterminada. La zona predeterminada se usa para determinar qué zona se debe usar de forma predeterminada al detectar las VMs de Compute Engine de un proyecto. También puedes seleccionar otra zona durante la detección.

5. En el menú desplegable Electrodomésticos, selecciona el electrodoméstico con el que quieras asociar las credenciales. El campo Cuenta de servicio se rellena automáticamente con la cuenta de servicio asociada a ese dispositivo.

6. Selecciona el grupo OnVault. Los grupos se muestran en función del dispositivo seleccionado. Para añadir un grupo OnVault, sigue las instrucciones de Grupo OnVault.

7. Haz clic en Añadir.

La consola de gestión envía una solicitud para validar las credenciales Google Cloud al dispositivo seleccionado. Si la validación se realiza correctamente, la credencial se registra. Google Cloud La creación de credenciales conlleva la creación automática de un grupo de Cloud Storage y un perfil de recurso con el nombre de la credencial como prefijo. Google Cloud

Editar Google Cloud credenciales

Sigue estas instrucciones para editar una Google Cloud credencial del dispositivo:

1. Haz clic en Gestionar y selecciona Credenciales en el menú desplegable. Se abrirá la página Credenciales de Cloud, en la que se mostrarán todas las credenciales guardadas en los dispositivos gestionados por la consola de gestión.
2. Selecciona la credencial que quieras modificar y, a continuación, selecciona Editar en la esquina inferior derecha de la página. Se abrirá la página Editar credencial. También puedes hacer clic con el botón derecho en la credencial y seleccionar Editar en las opciones del menú desplegable.
3. Actualiza el nombre, la zona predeterminada, los atributos de la organización y el grupo OnVault según sea necesario.
4. Haz clic en Guardar para aplicar los cambios.

Eliminar una Google Cloud credencial

Antes de eliminar las credenciales, desprotege y elimina todas las aplicaciones y los hosts descubiertos con estas credenciales y, a continuación, elimínalas.

Sigue estas instrucciones para eliminar una Google Cloud credencial.

1. Haz clic en Gestionar y selecciona Credenciales en el menú desplegable.
2. Haz clic con el botón derecho en las credenciales que quieras y selecciona Eliminar.
3. Haz clic en Confirmar.

Guía de Compute Engine de Backup y DR

• Comprobar las Google Cloud credenciales
• Descubrir y proteger instancias de Compute Engine
• Montar imágenes de copia de seguridad de instancias de Compute Engine
• Restaurar una instancia de Compute Engine
• Importar imágenes de capturas de Persistent Disk