Avant de commencer
Nous vous recommandons de lire Planifier un déploiement Backup and DR avant de commencer cette section.
Cette page décrit en détail les exigences Google Cloud à respecter avant d'activer le service de sauvegarde et de reprise après sinistre Google Cloud , ce qui doit être fait dans la consoleGoogle Cloud .
Toutes les tâches décrites sur cette page doivent être effectuées dans le projetGoogle Cloud dans lequel vous déployez votre appliance de sauvegarde/récupération. Si ce projet est un projet de service VPC partagé, certaines tâches sont effectuées dans le projet VPC et d'autres dans le projet de charge de travail.
Autoriser les projets relatifs aux images de confiance
Si vous avez activé la règle constraint/compute.trustedImageProjects dans les règles Organisation, le projet source géré par Google Cloudpour les images utilisées pour déployer l'appliance de sauvegarde/restauration n'est pas autorisé. Vous devez personnaliser cette règle d'administration dans les projets où les appliances de sauvegarde/récupération sont déployées pour éviter de recevoir un message d'erreur pour non-respect des règles lors du déploiement, comme indiqué dans les instructions suivantes :
Accédez à la page Règles d'administration et sélectionnez le projet dans lequel vous déployez vos appliances.
Dans la liste des règles, cliquez sur Définir les projets relatifs aux images de confiance.
Cliquez sur Modifier pour personnaliser les contraintes existantes associées aux images de confiance.
Sur la page Modifier, sélectionnez Personnaliser.
Sélectionnez l'une des trois options suivantes :
Règle héritée existante
S'il existe déjà une règle héritée, procédez comme suit :
Pour Application des règles, sélectionnez Fusionner avec le parent.
Cliquez sur Ajouter une règle.
Sélectionnez Personnalisé dans la liste déroulante Valeurs de règles pour définir la contrainte sur des projets d'image spécifiques.
Sélectionnez Autoriser dans la liste déroulante Type de règle pour supprimer les restrictions sur les projets d'image spécifiés.
Dans le champ Valeurs personnalisées, saisissez la valeur personnalisée projects/backupdr-images.
Cliquez sur OK.
Règle Autoriser existante
S'il existe déjà une règle Autoriser, procédez comme suit :
Laissez le paramètre Application des règles sélectionné par défaut.
Sélectionnez la règle Autoriser existante.
Cliquez sur Ajouter une valeur pour ajouter d'autres projets d'image, puis saisissez la valeur projects/backupdr-images.
Cliquez sur OK.
Aucune règle ni aucun règlement existants
S'il n'existe aucune règle, sélectionnez Ajouter une règle, puis procédez comme suit :
Laissez le paramètre Application des règles sélectionné par défaut.
Sélectionnez Personnalisé dans la liste déroulante Valeurs de règles pour définir la contrainte sur des projets d'image spécifiques.
Sélectionnez Autoriser dans la liste déroulante Type de règle pour supprimer les restrictions sur les projets d'image spécifiés.
Dans le champ Valeurs personnalisées, saisissez la valeur personnalisée projects/backupdr-images.
Si vous définissez des contraintes au niveau du projet, celles-ci peuvent entrer en conflit avec les contraintes existantes définies sur votre organisation ou votre dossier.
Cliquez sur Ajouter une valeur pour ajouter d'autres projets d'image, puis sur OK.
Cliquez sur Enregistrer.
Cliquez sur Enregistrer pour appliquer la contrainte.
Pour en savoir plus sur la création de règles d'administration#39;administration, consultez Créer et gérer des règles d'administration.
Processus de déploiement
Pour lancer l'installation, le service Backup and DR crée un compte de service pour exécuter le programme d'installation. Le compte de service nécessite des droits d'accès dans le projet hôte, le projet de service de l'appliance de sauvegarde/récupération et le projet de service de la console de gestion. Pour en savoir plus, consultez la page sur les comptes de service.
Le compte de service utilisé pour l'installation devient le compte de service de l'appliance de sauvegarde/récupération. Après l'installation, les autorisations du compte de service sont réduites aux seules autorisations requises par l'appliance de sauvegarde/récupération.
La console de gestion est déployée lorsque vous installez le premier système de sauvegarde/récupération. Vous pouvez déployer le service Backup and DR dans un VPC partagé ou dans un VPC non partagé.
Service Backup and DR dans un VPC non partagé
Lorsque vous déployez la console de gestion et le premier appareil de sauvegarde/restauration dans un seul projet avec un VPC non partagé, les trois composants du service Backup and DR se trouvent dans le même projet.
Si le VPC est partagé, consultez Service de sauvegarde et de reprise après sinistre dans un VPC partagé.
Activer les API requises pour l'installation dans un VPC non partagé
Avant d'activer les API requises pour l'installation dans un VPC non partagé, consultez les régions compatibles avec le déploiement du service Backup and DR. Consultez la section Régions où le service est disponible.
Pour exécuter le programme d'installation dans un VPC non partagé, les API suivantes doivent être activées. Pour activer les API, vous devez disposer du rôle Administrateur Service Usage.
| API | Nom du service |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 Le service Workflows est disponible dans les régions listées. Si le service Workflows n'est pas disponible dans une région où l'appliance de sauvegarde/récupération est déployée, le service Backup and DR est défini par défaut sur la région "us-central1". Si vous avez défini une règle d'administration qui empêche la création de ressources dans d'autres régions, vous devez la modifier temporairement pour autoriser la création de ressources dans la région "us-central1". Vous pouvez limiter la région "us-central1" après le déploiement de l'appliance de sauvegarde/récupération.
Le compte utilisateur nécessite ces autorisations dans le projet VPC non partagé.
| Rôle préféré | Autorisations nécessaires |
|---|---|
| resourcemanager.projectIamAdmin (administrateur de projet IAM) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setiamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (administrateur Service Usage) | serviceusage.services.list |
| iam.serviceAccountUser (Utilisateur du compte de service) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (administrateur de compte de service) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (Éditeur de workflows) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (administrateur Backup and DR) | backupdr.* |
| Lecteur (de base) | Accorde les autorisations requises pour afficher la plupart des ressources Google Cloud . |
Sauvegarde et reprise après sinistre dans un VPC partagé
Lorsque vous déployez la console de gestion et la première appliance de sauvegarde/récupération dans un projet de VPC partagé, vous devez configurer ces trois projets dans le projet hôte ou dans un ou plusieurs projets de service :
Avant d'activer les API requises pour l'installation dans un VPC partagé, consultez les régions compatibles avec le déploiement de Backup and DR. Consultez la section Régions où le service est disponible.
Projet propriétaire du VPC : il possède le VPC sélectionné. Le propriétaire du VPC est toujours le projet hôte.
Projet de la console de gestion : c'est là que l'API Backup and DR est activée et que vous accédez à la console de gestion pour gérer les charges de travail.
Projet d'appareil de sauvegarde/restauration : c'est là que l'appareil de sauvegarde/restauration est installé et, généralement, que résident les ressources protégées.
Dans un VPC partagé, il peut s'agir d'un, de deux ou de trois projets.
| Type | Propriétaire du VPC | Console de gestion | Appareil de sauvegarde/restauration |
|---|---|---|---|
| HHH | Projet hôte | Projet hôte | Projet hôte |
| HHS | Projet hôte | Projet hôte | Projet de service |
| HSH | Projet hôte | Projet de service | Projet hôte |
| HSS | Projet hôte | Projet de service | Projet de service |
| HS2 | Projet hôte | Projet de service | Un autre projet de service |
Descriptions des stratégies de déploiement
HHH : VPC partagé. Le propriétaire du VPC, la console de gestion et l'appliance de sauvegarde/restauration se trouvent tous dans le projet hôte.
HHS : VPC partagé. Le propriétaire du VPC et la console de gestion se trouvent dans le projet hôte, tandis que l'appliance de sauvegarde/restauration se trouve dans un projet de service.
HSH : VPC partagé. Le propriétaire du VPC et l'appliance de sauvegarde/restauration se trouvent dans le projet hôte, tandis que la console de gestion se trouve dans un projet de service.
HSS : VPC partagé. Le propriétaire du VPC se trouve dans le projet hôte, tandis que l'appliance de sauvegarde/restauration et la console de gestion se trouvent dans un projet de service.
HS2 : VPC partagé. Le propriétaire du VPC se trouve dans le projet hôte, tandis que l'appliance de sauvegarde/récupération et la console de gestion se trouvent dans deux projets de service différents.
Activez les API requises pour l'installation dans le projet hôte.
Pour exécuter le programme d'installation, les API suivantes doivent être activées. Pour activer les API, vous avez besoin du rôle Administrateur Service Usage.
| API | Nom du service |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
Activez les API requises pour l'installation dans le projet de l'appliance de sauvegarde/restauration.
| API | Nom du service |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 Le service Workflows est disponible dans les régions listées. Si le service Workflows n'est pas disponible dans une région où l'appliance de sauvegarde/récupération est déployée, le service Backup and DR utilise par défaut la région "us-central1". Si vous avez défini une règle d'administration qui empêche la création de ressources dans d'autres régions, vous devez la modifier temporairement pour autoriser la création de ressources dans la région "us-central1". Vous pouvez limiter la région "us-central1" après le déploiement de l'appliance de sauvegarde/récupération.
Le compte utilisateur nécessite ces autorisations dans le projet propriétaire du VPC.
| Rôle préféré | Autorisations nécessaires |
|---|---|
| resourcemanager.projectIamAdmin (administrateur de projet IAM) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setiamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (administrateur Service Usage) | serviceusage.services.list |
Le compte utilisateur nécessite ces autorisations dans le projet de la console de gestion.
La console de gestion est déployée lorsque vous installez le premier système de sauvegarde/récupération.
| Rôle préféré | Autorisations nécessaires |
|---|---|
| resourcemanager.projectIamAdmin (administrateur de projet IAM) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setiamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (administrateur Backup and DR) | backupdr.* |
| Lecteur (de base) | Accorde les autorisations requises pour afficher la plupart Google Cloud des ressources . |
Le compte utilisateur nécessite ces autorisations dans le projet de l'appliance de sauvegarde/restauration.
| Rôle préféré | Autorisations nécessaires |
|---|---|
| resourcemanager.projectIamAdmin (administrateur de projet IAM) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setiamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccountUser (Utilisateur du compte de service) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (administrateur de compte de service) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (Éditeur de workflows) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (administrateur Service Usage) | serviceusage.services.list |
En plus des autorisations du compte utilisateur final, d'autres autorisations sont temporairement accordées au compte de service créé en votre nom jusqu'à la fin de l'installation.
Configurer les réseaux
Si aucun réseau VPC n'a été créé pour votre projet cible, vous devez en créer un avant de continuer.
Pour en savoir plus, consultez Créer et modifier des réseaux de cloud privé virtuel (VPC).
Vous avez besoin d'un sous-réseau dans chaque région où vous prévoyez de déployer un dispositif de sauvegarde/récupération. L'autorisation compute.networks.create doit être attribuée pour le créer.
Si vous déployez des appliances de sauvegarde/récupération dans plusieurs réseaux, utilisez des sous-réseaux qui ne partagent pas les mêmes plages d'adresses IP pour éviter que plusieurs appliances de sauvegarde/récupération aient la même adresse IP.
Configurer l'accès privé à Google
L'appliance de sauvegarde/récupération communique avec la console de gestion à l'aide de l'accès privé à Google. Nous vous recommandons d'activer l'accès privé à Google pour chaque sous-réseau sur lequel vous souhaitez déployer un dispositif de sauvegarde/récupération.
Le sous-réseau dans lequel l'appliance de sauvegarde/récupération est déployée doit communiquer avec un domaine unique hébergé sous le domaine backupdr.googleusercontent.com. Nous vous recommandons d'inclure la configuration suivante dans Cloud DNS :
- Créez une zone privée pour le nom DNS
backupdr.googleusercontent.com. - Créez un enregistrement
Apour le domainebackupdr.googleusercontent.comet incluez chacune des quatre adresses IP199.36.153.8,199.36.153.9,199.36.153.10et199.36.153.11du sous-réseauprivate.googleapis.com199.36.153.8/30. Si vous utilisez VPC Service Controls, utilisez199.36.153.4,199.36.153.5,199.36.153.6et199.36.153.7à partir du sous-réseaurestricted.googleapis.com199.36.153.4/30. - Créez un enregistrement
CNAMEpour*.backupdr.googleusercontent.comqui pointe vers le nom de domainebackupdr.googleusercontent.com.
Cela garantit que toute résolution DNS pour votre domaine de console d'administration unique transite par l'accès privé à Google.
Assurez-vous que vos règles de pare-feu comportent une règle de trafic sortant qui autorise l'accès sur le port TCP 443 au sous-réseau 199.36.153.8/30 ou 199.36.153.4/30. De plus, si vous disposez d'une règle de sortie qui autorise tout le trafic vers 0.0.0.0/0, la connectivité entre les appliances de sauvegarde/restauration et la console de gestion devrait fonctionner.
Créer un bucket Cloud Storage
Vous avez besoin d'un bucket Cloud Storage si vous souhaitez protéger les bases de données et les systèmes de fichiers à l'aide de l'agent Backup and DR, puis copier les sauvegardes dans Cloud Storage pour une conservation à long terme. Cela s'applique également aux sauvegardes de VM VMware créées à l'aide de la protection des données des API de stockage VMware vSphere.
Créez un bucket Cloud Storage en suivant les instructions ci-dessous :
Dans la console Google Cloud , accédez à la page Buckets Cloud Storage.
Cliquez sur Créer un bucket.
Saisissez un nom pour le bucket.
Choisissez une région pour stocker vos données, puis cliquez sur Continuer.
Sélectionnez une classe de stockage par défaut, puis cliquez sur Continuer. Utilisez Nearline lorsque la durée de conservation est de 30 jours ou moins, ou Coldline lorsque la durée de conservation est de 90 jours ou plus. Si la durée de conservation est comprise entre 30 et 90 jours, envisagez d'utiliser Coldline.
Laissez l'option Contrôle des accès uniforme sélectionnée, puis cliquez sur Continuer. N'utilisez pas de données précises.
Laissez les Outils de protection définis sur Aucun, puis cliquez sur Continuer. Ne sélectionnez pas d'autres options, car elles ne fonctionnent pas avec le service de sauvegarde et de reprise après sinistre.
Cliquez sur Créer.
Vérifiez que votre compte de service a accès à votre bucket :
Sélectionnez votre nouveau bucket pour afficher ses détails.
Accédez à Autorisations.
Sous Comptes principaux, assurez-vous que vos nouveaux comptes de service sont listés. Si ce n'est pas le cas, utilisez le bouton Ajouter pour ajouter les comptes de service lecteur et rédacteur en tant que comptes principaux.