Credenciales de Google Cloud para la protección del servicio Backup and DR y el acceso a los datos

En esta página, se explica qué son las credenciales Google Cloud predeterminadas y cómo agregar credenciales nuevas para los dispositivos de copia de seguridad y recuperación en la consola de administración.

Una credencial Google Cloud es un puntero a una cuenta de servicio que permite que el dispositivo de copia de seguridad o recuperación acceda a los recursos del proyecto, como las APIs de Compute Engine y los buckets de Cloud Storage, para crear copias de seguridad de las instancias de Compute Engine y recuperarlas.

Durante la copia de seguridad o recuperación de instancias de Compute Engine, los dispositivos de copia de seguridad o recuperación usan la cuenta de servicio en la credencial para tomar instantáneas de las instancias y subir metadatos de instancias (como la configuración de la VM, la red y las etiquetas) a un bucket de Cloud Storage a través de un grupo de OnVault. Si el dispositivo que creó las instantáneas de la instancia no está disponible, puedes acceder a las copias de seguridad con otro dispositivo a través de los metadatos almacenados en el bucket de Cloud Storage. Consulta Cómo importar imágenes de instantáneas de discos persistentes.

Credencial Google Cloud predeterminada

La credencial Google Cloud predeterminada se crea automáticamente cuando implementas el dispositivo de copia de seguridad y recuperación. Esta credencial se crea en función de la cuenta de servicio adjunta al dispositivo en un proyecto. Esta credencial simplifica el proceso de descubrimiento y protección de instancias de Compute Engine sin necesidad de crear un grupo de OnVault ni una cuenta de servicio. En la consola de administración, puedes ver esta credencial predeterminada de Google Cloud en la páginaCredenciales de Cloud. Para ello, navega a Administrar > Credenciales.

La credencial Google Cloud predeterminada en la página Credenciales de nube se muestra según el nombre del dispositivo. Por ejemplo, si el nombre del dispositivo de copias de seguridad y recuperación es ba-name, el nombre de la cuenta de servicio predeterminada que se muestra es *ba-name@developer.gserviceaccount.com. El valor project-id es el ID del proyecto. No puedes editar ni borrar esta credencial Google Cloud predeterminada, solo puedes verla.

La credencial Google Cloud predeterminada apunta a un grupo OnVault creado automáticamente, que, a su vez, apunta a un bucket de Cloud Storage creado automáticamente. El bucket de Cloud Storage contiene el bucket de Cloud Storage creado por la instancia de VM. El bucket de Cloud Storage contiene la configuración y los metadatos de la instancia de VM, y se crea automáticamente en el tiempo de ejecución cuando se asigna una plantilla de copia de seguridad a una instancia de Compute Engine. La ubicación del bucket de Cloud Storage se determina según la ubicación o región de almacenamiento de las instantáneas de los discos persistentes, tal como se configuró en la plantilla de copia de seguridad.

Los grupos de OnVault se crean automáticamente, incluso si cambias la región o la multirregión de la instancia, o cuando se aplica la anulación de política después de que la primera instantánea se ejecutó correctamente. Por lo tanto, el servicio garantiza que tanto los datos del disco persistente como la configuración de la VM de la instancia se encuentren en la misma ubicación.

Para la credencial Google Cloud predeterminada, el rol de IAMBackup and DR Cloud Storage Operatorse asigna automáticamente a la cuenta de servicio conectada al dispositivo de copia de seguridad y recuperación. Debes asignar manualmente el rol de IAM Backup and DR Compute Engine Operator para crear copias de seguridad de las instancias de Compute Engine.

Para ver el bucket de Cloud Storage correspondiente del dispositivo en la consola deGoogle Cloud , navega a Cloud Storage > Buckets.

El bucket de almacenamiento se crea con el nombre <backup/recovery-appliance-name>-<random-string>-<region/multi-region> en el mismo proyecto en el que se implementa el dispositivo y tiene los siguientes parámetros de configuración establecidos.

• Clase de almacenamiento: Estándar
• Control de acceso a objetos: Uniforme
• Ubicación del bucket: Igual que la ubicación de la instantánea de Persistent Disk
• Control de versiones de objetos: No se configuró el control de versiones ni la retención de objetos en el bucket

• Acceso: No hay acceso público al bucket

Agregar Google Cloud credenciales

El servicio Backup and DR permite crear una nueva credencial de Google Cloud si aún quieres crear una de forma manual para un dispositivo de copia de seguridad o recuperación. Para crear credenciales Google Cloud nuevas, primero debes crear un grupo de OnVault nuevo. Consulta las instrucciones del grupo de OnVault.

Agregar Google Cloud credenciales

Para crear una credencial de Google Cloud , debes definir el nombre de la credencial y el grupo de OnVault en el que deseas almacenar los datos de copia de seguridad. Una cuenta de servicio se completa automáticamente en función de la cuenta de servicio adjunta al dispositivo de recuperación o copia de seguridad seleccionado. Crea un objeto OnVault si no tienes uno.

Antes de agregar la credencial Google Cloud , asigna el rolBackup and DR Compute Engine Operator a la cuenta de servicio adjunta al dispositivo.

Sigue estas instrucciones para agregar credenciales de Google Cloud para dispositivos de copia de seguridad o recuperación:

1. Haz clic en Administrar y selecciona Credenciales en el menú desplegable.

   Se abrirá la página Credenciales de Cloud, en la que se enumerarán todas las credenciales de Google Cloud administradas por la consola de administración, si ya se agregó alguna credencial.

2. Haz clic en Agregar credenciales de Google Cloud.

3. En Credential Name, agrega un nombre único con el que quieras identificar la credencial.

4. Selecciona una zona predeterminada. La zona predeterminada se usa para determinar qué zona se debe usar de forma predeterminada cuando se detectan VMs de Compute Engine en un proyecto. También puedes seleccionar una zona diferente durante el descubrimiento.

5. En el menú desplegable Appliances, selecciona el electrodoméstico con el que deseas asociar las credenciales. El campo Cuenta de servicio se completa automáticamente con la cuenta de servicio conectada a ese dispositivo.

6. Selecciona el grupo OnVault. Los grupos se muestran según el electrodoméstico seleccionado. Para agregar un grupo de OnVault, usa las instrucciones de Grupo de OnVault.

7. Haz clic en Agregar.

La consola de administración envía una solicitud para validar las credenciales de Google Cloud al dispositivo seleccionado. Si la validación se realiza correctamente, se registra la credencial. Google Cloud La creación de credenciales genera la creación automática de un grupo de Cloud Storage y un perfil de recursos con el nombre de la credencial Google Cloud como prefijo.

Editar Google Cloud credenciales

Sigue estas instrucciones para editar una credencial Google Cloud existente del dispositivo:

1. Haz clic en Administrar y selecciona Credenciales en el menú desplegable. Se abrirá la página Credenciales de Cloud, en la que se enumeran todas las credenciales guardadas en los dispositivos administrados por la consola de administración.
2. Selecciona la credencial que deseas modificar y, luego, selecciona Editar en la esquina inferior derecha de la página. Se abrirá la página Editar credencial. También puedes hacer clic con el botón derecho en la credencial y seleccionar Editar en las opciones del menú desplegable.
3. Actualiza el nombre, la zona predeterminada, los atributos de la organización y el grupo de OnVault según sea necesario.
4. Haz clic en Guardar para aplicar los cambios.

Borra una credencial Google Cloud

Antes de borrar las credenciales, desprotege y quita todas las aplicaciones y los hosts que se descubrieron con estas credenciales y, luego, bórralas.

Usa estas instrucciones para borrar una credencial de Google Cloud .

1. Haz clic en Administrar y selecciona Credenciales en el menú desplegable.
2. Haz clic con el botón derecho en las credenciales requeridas y selecciona Borrar.
3. Haz clic en Confirmar.

La guía de Compute Engine de Backup and DR

• Verifica las Google Cloud credenciales
• Detecta y protege instancias de Compute Engine
• Cómo activar imágenes de copias de seguridad de instancias de Compute Engine
• Restablece una instancia de Compute Engine
• Importa imágenes de instantáneas de Persistent Disk