Antes de empezar
Te recomendamos que leas el artículo Planificar una implementación de copias de seguridad y recuperación tras desastres antes de empezar esta sección.
En esta página se detallan los requisitos que debes cumplir antes de habilitar el servicio de copia de seguridad y recuperación ante desastres, que se debe hacer en la consola deGoogle Cloud . Google Cloud Google Cloud
Todas las tareas descritas en esta página deben realizarse en elGoogle Cloud proyecto en el que estés implementando tu dispositivo de copia de seguridad o recuperación. Si este proyecto es un proyecto de servicio de VPC compartida, algunas tareas se realizan en el proyecto de VPC y otras en el proyecto de carga de trabajo.
Permitir proyectos de imágenes de confianza
Si has habilitado la política constraint/compute.trustedImageProjects en las políticas de la organización, no se permite el proyecto de origen gestionado por Google Cloudde las imágenes usadas para implementar el dispositivo de copia de seguridad o recuperación. Debes personalizar esta política de la organización en los proyectos en los que se hayan implementado dispositivos de copia de seguridad o recuperación para evitar que se produzca un error de incumplimiento de la política durante la implementación, tal como se indica en las siguientes instrucciones:
Ve a la página Políticas de la organización y selecciona el proyecto en el que implementes tus dispositivos.
En la lista de políticas, haga clic en Definir proyectos de imágenes de confianza.
Haz clic en Editar para personalizar las restricciones de las imágenes de confianza.
En la página Editar, selecciona Personalizar.
Selecciona una de las tres opciones siguientes:
Política heredada
Si ya hay una política heredada, haz lo siguiente:
En Implementación de la política, selecciona Combinar con el elemento superior.
Haz clic en Añadir regla.
Selecciona Personalizado en la lista desplegable Valores de la política para definir la restricción en proyectos de imagen específicos.
Selecciona Permitir en la lista desplegable Tipo de política para quitar las restricciones de los proyectos de imágenes especificados.
En el campo Valores personalizados, introduzca el valor personalizado projects/backupdr-images.
Haz clic en Listo.
Regla Permitir
Si ya hay una regla Permitir, sigue estos pasos:
Deje seleccionada la opción predeterminada Aplicación de la política.
Selecciona la regla Permitir.
Haz clic en Añadir valor para añadir más proyectos de imágenes e introduce el valor projects/backupdr-images.
Haz clic en Listo.
No hay ninguna política ni regla
Si no hay ninguna regla, selecciona Añadir regla y, a continuación, sigue estos pasos:
Deje seleccionada la opción predeterminada Aplicación de la política.
Selecciona Personalizado en la lista desplegable Valores de la política para definir la restricción en proyectos de imagen específicos.
Selecciona Permitir en la lista desplegable Tipo de política para quitar las restricciones de los proyectos de imágenes especificados.
En el campo Valores personalizados, introduzca el valor personalizado projects/backupdr-images.
Si vas a definir restricciones a nivel de proyecto, es posible que entren en conflicto con las restricciones que ya se hayan definido en tu organización o carpeta.
Haz clic en Añadir valor para añadir más proyectos de imágenes y, a continuación, en Hecho.
Haz clic en Guardar.
Haz clic en Guardar para aplicar la restricción.
Para obtener más información sobre cómo crear políticas de organización, consulta Crear y gestionar políticas de organización.
El proceso de implementación
Para iniciar la instalación, el servicio Backup and DR crea una cuenta de servicio para ejecutar el instalador. La cuenta de servicio requiere privilegios en el proyecto host, el proyecto de servicio del dispositivo de copia de seguridad o recuperación y el proyecto de servicio de la consola de gestión. Para obtener más información, consulta el artículo sobre cuentas de servicio.
La cuenta de servicio utilizada para la instalación se convierte en la cuenta de servicio del dispositivo de copia de seguridad o recuperación. Después de la instalación, los permisos de la cuenta de servicio se reducen a los que necesita el dispositivo de copia de seguridad o recuperación.
La consola de gestión se implementa cuando instalas el primer dispositivo de copia de seguridad o recuperación. Puedes implementar el servicio Backup and DR en una VPC compartida o en una VPC no compartida.
Servicio de Backup y DR en una VPC no compartida
Si implementas la consola de gestión y el primer dispositivo de copia de seguridad o recuperación en un solo proyecto con una VPC no compartida, los tres componentes del servicio Backup and DR estarán en el mismo proyecto.
Si la VPC está compartida, consulta Servicio de copia de seguridad y recuperación ante desastres en una VPC compartida.
Habilitar las APIs necesarias para la instalación en una VPC no compartida
Antes de habilitar las APIs necesarias para la instalación en una VPC no compartida, consulta las regiones admitidas para la implementación del servicio Backup and DR. Consulta las regiones admitidas.
Para ejecutar el instalador en una VPC no compartida, deben habilitarse las siguientes APIs. Para habilitar APIs, necesitas el rol Administrador de uso de servicios.
| API | Nombre del servicio |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Flujos de trabajo 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Gestión de Identidades y Accesos | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 El servicio Workflow está disponible en las regiones indicadas. Si el servicio Workflows no está disponible en una región en la que se está implementando el dispositivo de copia de seguridad o recuperación, el servicio Backup y DR se asignará de forma predeterminada a la región "us-central1". Si tienes una política de organización configurada para impedir la creación de recursos en otras regiones, debes actualizarla temporalmente para permitir la creación de recursos en la región "us-central1". Puedes restringir la región "us-central1" después de implementar el dispositivo de copia de seguridad o recuperación.
La cuenta de usuario necesita estos permisos en el proyecto de VPC no compartida
| Rol preferido | Permisos necesarios |
|---|---|
| resourcemanager.projectIamAdmin (administrador de gestión de identidades y accesos de proyectos) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Administrador de Uso de Servicio) | serviceusage.services.list |
| iam.serviceAccountUser (Usuario de cuenta de servicio) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (administrador de cuentas de servicio) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (Editor de flujos de trabajo) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (administrador de Backup y DR) | backupdr.* |
| lector (Básico) | Concede los permisos necesarios para ver la mayoría de los Google Cloud recursos. |
Copia de seguridad y recuperación ante desastres en una VPC compartida
Cuando implementes la consola de gestión y el primer dispositivo de copia de seguridad o recuperación en un proyecto de VPC compartida, debes configurar estos tres proyectos en el proyecto del host o en uno o varios proyectos de servicio:
Antes de habilitar las APIs necesarias para la instalación en una VPC compartida, consulta las regiones admitidas para la implementación de Backup y DR. Consulta las regiones admitidas.
Proyecto propietario de la VPC: es el propietario de la VPC seleccionada. El propietario de la VPC siempre es el proyecto host.
Proyecto de la consola de gestión: es donde se activa la API Backup and DR y donde se accede a la consola de gestión para gestionar las cargas de trabajo.
Proyecto del dispositivo de copia de seguridad o de recuperación: es donde se instala el dispositivo de copia de seguridad o de recuperación y, normalmente, donde se encuentran los recursos protegidos.
En una VPC compartida, puede haber uno, dos o tres proyectos.
| Tipo | Propietario de la VPC | Consola de administración | Dispositivo de copia de seguridad o de recuperación |
|---|---|---|---|
| HHH | Proyecto del host | Proyecto del host | Proyecto del host |
| HHS | Proyecto del host | Proyecto del host | Proyecto de servicio |
| HSH | Proyecto del host | Proyecto de servicio | Proyecto del host |
| HSS | Proyecto del host | Proyecto de servicio | Proyecto de servicio |
| HS2 | Proyecto del host | Proyecto de servicio | Otro proyecto de servicio |
Descripciones de las estrategias de despliegue
HHH VPC compartida. El propietario de la VPC, la consola de gestión y el dispositivo de copia de seguridad o recuperación se encuentran en el proyecto host.
HHS: VPC compartida. El propietario de la VPC y la consola de gestión están en el proyecto host, y el dispositivo de copia de seguridad y recuperación está en un proyecto de servicio.
HSH: VPC compartida. El propietario de la VPC y el dispositivo de copia de seguridad y recuperación están en el proyecto host, y la consola de gestión está en un proyecto de servicio.
HSS VPC compartida. El propietario de la VPC está en el proyecto host, y el dispositivo de copia de seguridad o recuperación y la consola de gestión están en un proyecto de servicio.
HS2 VPC compartida. El propietario de la VPC está en el proyecto host, y el dispositivo de copia de seguridad o recuperación y la consola de gestión se encuentran en dos proyectos de servicio diferentes.
Habilita estas APIs necesarias para la instalación en el proyecto host
Para ejecutar el instalador, deben habilitarse las siguientes APIs. Para habilitar APIs, necesitas el rol Administrador de uso de servicios.
| API | Nombre del servicio |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
Habilita estas APIs necesarias para la instalación en el proyecto del dispositivo de copia de seguridad o recuperación
| API | Nombre del servicio |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Flujos de trabajo 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Gestión de Identidades y Accesos | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 El servicio Workflow está disponible en las regiones indicadas. Si el servicio Workflows no está disponible en una región en la que se está implementando el dispositivo de copia de seguridad o recuperación, el servicio Backup y DR se asignará de forma predeterminada a la región "us-central1". Si tienes una política de organización configurada para evitar la creación de recursos en otras regiones, debes actualizarla temporalmente para permitir la creación de recursos en la región "us-central1". Puedes restringir la región "us-central1" después de implementar el dispositivo de copia de seguridad o recuperación.
La cuenta de usuario necesita estos permisos en el proyecto propietario de la VPC
| Rol preferido | Permisos necesarios |
|---|---|
| resourcemanager.projectIamAdmin (administrador de gestión de identidades y accesos de proyectos) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Administrador de Uso de Servicio) | serviceusage.services.list |
La cuenta de usuario necesita estos permisos en el proyecto de la consola de gestión
La consola de gestión se implementa cuando instalas el primer dispositivo de copia de seguridad o recuperación.
| Rol preferido | Permisos necesarios |
|---|---|
| resourcemanager.projectIamAdmin (administrador de gestión de identidades y accesos de proyectos) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (administrador de Backup y DR) | backupdr.* |
| lector (Básico) | Concede los permisos necesarios para ver la mayoría Google Cloud de los recursos. |
La cuenta de usuario necesita estos permisos en el proyecto del dispositivo de copia de seguridad o recuperación.
| Rol preferido | Permisos necesarios |
|---|---|
| resourcemanager.projectIamAdmin (administrador de gestión de identidades y accesos de proyectos) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccountUser (Usuario de cuenta de servicio) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (administrador de cuentas de servicio) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (Editor de flujos de trabajo) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Administrador de Uso de Servicio) | serviceusage.services.list |
Además de los permisos de la cuenta de usuario final, se conceden temporalmente otros permisos a la cuenta de servicio creada en tu nombre hasta que se complete la instalación.
Configurar redes
Si aún no se ha creado una red de VPC para el proyecto de destino, debes crear una antes de continuar.
Para obtener más información, consulta Crear y modificar redes de nube privada virtual (VPC).
Necesitas una subred en cada región en la que tengas previsto desplegar un dispositivo de copia de seguridad o recuperación, y se le debe asignar el permiso compute.networks.create para crearla.
Si vas a implementar dispositivos de copia de seguridad o recuperación en varias redes, utiliza subredes que no compartan los mismos intervalos de direcciones IP para evitar que varios dispositivos de copia de seguridad o recuperación tengan la misma dirección IP.
Configurar Acceso privado de Google
El dispositivo de copia de seguridad o recuperación se comunica con la consola de gestión mediante el acceso privado de Google. Te recomendamos que habilites Acceso privado de Google en cada subred en la que quieras implementar un dispositivo de copia de seguridad o recuperación.
La subred en la que se implementa el dispositivo de copia de seguridad o recuperación debe comunicarse con un dominio único alojado en el dominio backupdr.googleusercontent.com. Te recomendamos que incluyas la siguiente configuración en Cloud DNS:
- Crea una zona privada para el nombre DNS
backupdr.googleusercontent.com. - Crea un registro
Apara el dominiobackupdr.googleusercontent.come incluye cada una de las cuatro direcciones IP199.36.153.8,199.36.153.9,199.36.153.10y199.36.153.11de la subredprivate.googleapis.com199.36.153.8/30. Si usas Controles de Servicio de VPC, utiliza199.36.153.4,199.36.153.5,199.36.153.6y199.36.153.7de la subredrestricted.googleapis.com199.36.153.4/30. - Crea un registro
CNAMEpara*.backupdr.googleusercontent.comque apunte al nombre de dominiobackupdr.googleusercontent.com.
De esta forma, se asegura de que cualquier resolución de DNS de tu dominio único de la consola de gestión se realice mediante el acceso privado de Google.
Asegúrate de que tus reglas de cortafuegos tengan una regla de salida que permita el acceso a TCP
443 a la subred 199.36.153.8/30 o a la 199.36.153.4/30. Además, si tienes una regla de salida que permite todo el tráfico a 0.0.0.0/0, la conectividad entre los dispositivos de copia de seguridad y recuperación y la consola de administración debería funcionar.
Crea un segmento de Cloud Storage
Necesitas un segmento de Cloud Storage si quieres proteger bases de datos y sistemas de archivos con el agente de Backup and DR y, a continuación, copiar las copias de seguridad en Cloud Storage para conservarlas a largo plazo. Esto también se aplica a las copias de seguridad de máquinas virtuales de VMware creadas con la protección de datos de las APIs de almacenamiento de VMware vSphere.
Crea un segmento de Cloud Storage siguiendo estas instrucciones:
En la Google Cloud consola, ve a la página Segmentos de Cloud Storage.
Haz clic en Crear segmento.
Asigna un nombre al contenedor.
Elige una región para almacenar tus datos y haz clic en Continuar.
Elige una clase de almacenamiento predeterminada y haz clic en Continuar. Usa Nearline cuando el periodo de conservación sea de 30 días o menos, o Coldline cuando sea de 90 días o más. Si la retención es de entre 30 y 90 días, considera usar coldline.
Deja seleccionada la opción Control de acceso uniforme y haz clic en Continuar. No uses detallado.
Deje las herramientas de Protección en Ninguna y haga clic en Continuar. No selecciones otras opciones, ya que no funcionan con el servicio de copia de seguridad y recuperación ante desastres.
Haz clic en Crear.
Valida que tu cuenta de servicio tenga acceso a tu segmento:
Selecciona el nuevo contenedor para ver sus detalles.
Ve a Permisos.
En Principales, comprueba que aparezcan tus nuevas cuentas de servicio. Si no lo son, usa el botón Añadir para añadir las cuentas de servicio de lector y de escritor como principales.