Credenciales de Cloud para la protección del servicio de copia de seguridad y DR y el acceso a los datos

En esta página, se explica qué son las credenciales predeterminadas de la nube y cómo agregar credenciales nuevas para los dispositivos de copia de seguridad o recuperación en la consola de administración.

Una credencial de nube es un puntero a una cuenta de servicio que permite que el dispositivo de copia de seguridad o recuperación acceda a los recursos del proyecto, como las APIs de Compute Engine y los buckets de Cloud Storage, para crear copias de seguridad de instancias de Compute Engine y recuperarlas.

Durante la copia de seguridad o la recuperación de instancias de Compute Engine, los dispositivos de copia de seguridad o recuperación usan la cuenta de servicio en la credencial para tomar instantáneas de las instancias y subir metadatos de instancias (como la configuración de la VM, la red y las etiquetas) a un bucket de Cloud Storage a través de un grupo de OnVault. Si el dispositivo que creó las instantáneas de la instancia no está disponible, puedes acceder a las copias de seguridad con un dispositivo diferente a través de los metadatos almacenados en el bucket de Cloud Storage. Consulta Cómo importar imágenes de instantáneas de discos persistentes.

Credencial predeterminada de la nube

La credencial de nube predeterminada se crea automáticamente cuando implementas el dispositivo de copia de seguridad o recuperación de la versión 11.0.2 o posterior. Esta credencial se crea en función de la cuenta de servicio conectada al dispositivo en un proyecto. Esta credencial simplifica el proceso de descubrimiento y protección de instancias de Compute Engine sin necesidad de crear un grupo y una cuenta de servicio de OnVault. En la consola de administración, puedes ver esta credencial de nube predeterminada en la página Credenciales de nube. Para ello, navega a Administrar > Credenciales.

La credencial de nube predeterminada en la página Credenciales de nube se muestra según el nombre del dispositivo. Por ejemplo, si el nombre del dispositivo de copias de seguridad y recuperación es ba-name, el nombre de la cuenta de servicio predeterminada que se muestra es *ba-name@developer.gserviceaccount.com. El valor project-id es el ID del proyecto. No puedes editar ni borrar esta credencial de nube predeterminada, solo puedes verla.

La credencial de nube predeterminada apunta a un grupo de OnVault creado automáticamente, que apunta a un bucket de Cloud Storage creado automáticamente. El bucket de Cloud Storage contiene el bucket de Cloud Storage que creó la instancia de VM. El bucket de Cloud Storage contiene la configuración y los metadatos de la instancia de VM, y se crea automáticamente durante el tiempo de ejecución, cuando se asigna una plantilla de copia de seguridad a una instancia de Compute Engine. La ubicación del bucket de Cloud Storage se determina en función de la ubicación o región de almacenamiento de las instantáneas de los discos persistentes, como se configuró en la plantilla de copia de seguridad.

Los grupos de OnVault se crean automáticamente, incluso si cambias la región o la región múltiple de la instancia, o cuando se aplica la anulación de políticas después de que se ejecuta correctamente la primera instantánea. De esta manera, el servicio garantiza que los datos del disco persistente y la configuración de la VM de la instancia se almacenen en la misma ubicación.

Para la credencial de nube predeterminada, el rol de IAM Backup and DR Cloud Storage Operator se asigna automáticamente a la cuenta de servicio conectada al dispositivo de copia de seguridad o recuperación. Debes asignar manualmente el rol de IAM Backup and DR Compute Engine Operator para crear una copia de seguridad de las instancias de Compute Engine.

Para ver el bucket de Cloud Storage correspondiente del dispositivo, ve a Cloud Storage > Buckets en la consola deGoogle Cloud .

El bucket de almacenamiento se crea con el nombre <backup/recovery-appliance-name>-<random-string>-<region/multi-region> en el mismo proyecto en el que se implementa el dispositivo y tiene establecidas las siguientes propiedades.

  • Clase de almacenamiento: Estándar
  • Control de acceso a objetos: Uniforme
  • Ubicación del bucket: Igual que la ubicación de la instantánea de Persistent Disk
  • Control de versiones de objetos: No se configuró el control de versiones ni la retención de objetos en el bucket.

  • Acceso: No hay acceso público al bucket.

Agrega credenciales en la nube

El servicio de copia de seguridad y DR te permite crear una nueva credencial de Cloud si aún quieres crear una de forma manual para un dispositivo de copia de seguridad o recuperación. Para crear credenciales de Cloud nuevas, primero debes crear un grupo de OnVault nuevo. Consulta las instrucciones del grupo de OnVault. El procedimiento para agregar una credencial de nube varía según la versión de software del dispositivo de copia de seguridad o recuperación. Para determinar qué versión se está usando, navega a Administrar > Dispositivos y revisa la columna Versión.

En la siguiente tabla, se destaca el comportamiento de las credenciales de Cloud con la versión del dispositivo implementado.

Versión original del dispositivo Versión actualizada del dispositivo Uso de las credenciales de Cloud
11.0.1* 11.0.2 o una versión posterior Las credenciales de nube existentes seguirán usando claves JSON. Sin embargo, puedes reemplazar una clave JSON en la credencial de nube por una credencial de cuenta de servicio del dispositivo.
11.0.2 o una versión posterior No aplicable Se crea automáticamente la credencial de Cloud predeterminada que no usa la clave JSON. Consulta las credenciales predeterminadas de la nube.

*Es probable que los dispositivos implementados antes de enero de 2023 se implementen en la versión 11.0.1.

Agrega credenciales de nube para un dispositivo que se ejecuta en la versión 11.0.2 o una posterior

Para crear una credencial de Cloud, debes definir el nombre de la credencial y el grupo de OnVault en el que deseas almacenar los datos de la copia de seguridad. Una cuenta de servicio se completa automáticamente según la cuenta de servicio adjunta al dispositivo de copia de seguridad o recuperación seleccionado. Crea un OnVault si aún no tienes uno.

Antes de agregar la credencial de nube, asigna el rol Backup and DR Compute Engine Operator a la cuenta de servicio adjunta al dispositivo.

Usa estas instrucciones para agregar la credencial de Google Cloud para las máquinas que se ejecutan en 11.0.2 o versiones posteriores:

  1. Haz clic en Administrar y selecciona Credenciales en el menú desplegable.

    Se abrirá la página Credenciales de Cloud, en la que se enumerarán todas las credenciales de Cloud que administra la consola de administración si ya se agregaron credenciales.

  2. Haz clic en Agregar credenciales de Google Cloud.

  3. En Nombre de la credencial, agrega un nombre único con el que deseas identificar la credencial.

  4. Selecciona una Zona predeterminada. La zona predeterminada se usa para determinar a qué zona se debe establecer de forma predeterminada cuando se descubren VMs de Compute Engine en un proyecto. También puedes seleccionar una zona diferente durante el descubrimiento.

  5. En el menú desplegable Appliances, selecciona el dispositivo con el que deseas que se asocien las credenciales. El campo Cuenta de servicio se completa automáticamente con la cuenta de servicio conectada a ese dispositivo.

  6. Selecciona el grupo OnVault. Los grupos se muestran según el dispositivo seleccionado. Para agregar un grupo de OnVault, usa las instrucciones del grupo de OnVault.

  7. Haz clic en Agregar.

La consola de administración envía una solicitud para validar las credenciales de la nube al dispositivo seleccionado. Si la validación se realiza correctamente, se registrará la credencial. La creación de credenciales de Cloud genera la creación automática de un grupo de Cloud Storage y un perfil de recursos con el nombre de la credencial de Cloud como prefijo.

Agrega credenciales de nube para un dispositivo que ejecute la versión 11.0.2 o una anterior

Te recomendamos que actualices el dispositivo a la versión más reciente. Consulta las instrucciones para actualizar el dispositivo de copia de seguridad y recuperación.

Para crear un grupo de OnVault con dispositivos que ejecutan la versión 11.0.1 o anterior, debes subir la clave JSON de forma manual. Consulta Crea claves de cuenta de servicio para obtener instrucciones para crear y descargar la clave de cuenta de servicio en formato JSON.

Debes subir la clave JSON de forma manual hasta que el dispositivo de copia de seguridad o recuperación se actualice a la versión 11.0.2 o una posterior. Debes definir el nombre de la credencial y el grupo de OnVault en el que deseas almacenar los datos de la copia de seguridad. Si no tienes un OnVault, consulta las instrucciones para crear un grupo de OnVault.

Sigue estas instrucciones para agregar la credencial de Google Cloud para el dispositivo:

  1. Haz clic en Administrar y selecciona Credenciales en el menú desplegable. Se abrirá la página Credenciales de Cloud, en la que se enumerarán todas las credenciales de Cloud que administra la consola de administración si ya se agregaron credenciales.
  2. Haz clic en Agregar credenciales de Google Cloud.
  3. En Nombre de la credencial, agrega un nombre único con el que deseas identificar la credencial.
  4. Selecciona Zona predeterminada. La zona predeterminada se usa para determinar en qué zona se debe realizar la búsqueda inicial cuando se realiza un descubrimiento de Compute Engine. Puedes seleccionar una zona diferente cada vez que ejecutas la herramienta de descubrimiento.
  5. En el menú desplegable Appliances, selecciona el dispositivo con el que se asociará la credencial. Solo el dispositivo seleccionado tiene acceso a esta credencial.
  6. En el campo Credential JSON, haz clic en Choose file e importa la clave de la cuenta de servicio que se guardó en formato JSON. La cuenta de servicio y el ID del proyecto se derivan del archivo de claves JSON. Puedes cambiar el ID del proyecto según sea necesario.
  7. Selecciona el grupo OnVault. Los grupos se muestran según el dispositivo seleccionado. Para agregar un grupo de OnVault, consulta Grupo de OnVault.
  8. Haz clic en Agregar.

La consola de administración envía una solicitud para validar las credenciales de la nube al dispositivo seleccionado. Si la validación se realiza correctamente, se registrará la credencial. La creación de credenciales de Cloud genera la creación automática de un grupo de nubes y un perfil de recursos con el nombre de la credencial de Cloud como prefijo.

Edita las credenciales en la nube

Usa estas instrucciones para editar una credencial de nube existente para el dispositivo:

  1. Haz clic en Administrar y selecciona Credenciales en el menú desplegable. Se abrirá la página Credenciales de Cloud, en la que se enumerarán todas las credenciales guardadas en los dispositivos que administra la consola de administración.
  2. Selecciona la credencial que deseas modificar y, luego, Editar en la esquina inferior derecha de la página. Se abrirá la página Editar credencial. También puedes hacer clic con el botón derecho en la credencial y seleccionar Editar en las opciones del menú desplegable.
  3. Si actualizas un dispositivo que se ejecuta en 11.0.2 o versiones posteriores, puedes actualizar el nombre, la zona predeterminada, los atributos de la organización y el grupo de OnVault.

  4. Si actualizas la versión que se ejecuta en el dispositivo a la 11.0.2 o una anterior, haz lo siguiente:

    1. Realiza los siguientes cambios en la credencial:

      • Si actualizas el nombre, la región predeterminada o la zona predeterminada, o los atributos de la organización, no tienes que proporcionar la información de acceso a la nube, como el archivo de clave JSON.
      • Si actualizas la información de la credencial de la nube o agregas dispositivos adicionales, se te solicitará que proporciones la información de acceso a la nube que se usó para crear la credencial.

    2. Puedes seleccionar un dispositivo adicional para almacenar los datos.

    3. Puedes cambiar el grupo de OnVault si hay otro disponible.

  5. Haz clic en Guardar para aplicar los cambios.

Reemplaza una credencial de Cloud de clave JSON por credenciales de cuenta de servicio del dispositivo

Si tienes una credencial de nube que se creó con una clave JSON para la autenticación, no puedes cambiar esa credencial para usarla con la autenticación de la cuenta de servicio del dispositivo. En su lugar, crea una credencial de nube nueva y asigna el perfil que se crea automáticamente con las credenciales de nube modificando el plan de copia de seguridad.

Usa las siguientes instrucciones para reemplazar una credencial de nube de clave JSON por credenciales de cuenta de servicio del dispositivo:

  1. Crea una nueva credencial de Cloud con la cuenta de servicio del dispositivo. Esto crea un nuevo perfil de recursos con el nombre <new credentialname>_Profile.
  2. Ve a Administrador de aplicaciones y selecciona Aplicaciones.
  3. Busca todas las instancias de Compute Engine con la credencial de Cloud anterior. Identifica los nombres de los perfiles que tienen el formato <nombre-credencial-anterior>_Profile.
  4. Sigue las instrucciones del tema Cómo modificar la administración del plan de copia de seguridad de una aplicación administrada y actualiza el perfil en uso al nuevo.

Todas las imágenes nuevas usan las credenciales de la nube recién creadas. No puedes borrar la definición de credencial de Cloud anterior hasta que venza la fecha de todas las imágenes creadas anteriormente en ese grupo.

Cómo borrar una credencial de la nube

Antes de borrar las credenciales, protege y quita todas las aplicaciones y los hosts que se descubrieron con esta credencial y, luego, bórralas.

Usa estas instrucciones para borrar una credencial de Cloud.

  1. Haz clic en Administrar y selecciona Credenciales en el menú desplegable.
  2. Haz clic con el botón derecho en las credenciales requeridas y selecciona Borrar.
  3. Haz clic en Confirmar.

Guía de Backup and DR de Compute Engine

Guía de Backup and DR de Compute Engine