Prima di iniziare
Ti consigliamo di leggere Pianificare un RE di Backup e DR prima di iniziare questa sezione.
Questa pagina descrive in dettaglio i requisiti Google Cloud che devono essere soddisfatti prima di poter attivare Google Cloud il servizio di backup e DR, che deve essere eseguito nella consoleGoogle Cloud .
Tutte le attività descritte in questa pagina devono essere eseguite nel progettoGoogle Cloud in cui stai eseguendo il deployment dell'appliance di backup/recupero. Se questo progetto è un progetto di servizio del VPC condiviso, alcune attività vengono eseguite nel progetto VPC e altre nel progetto del workload.
Consenti progetti con immagini attendibili
Se hai attivato il criterio constraint/compute.trustedImageProjects nelle policy dell'organizzazione, il progetto di origine gestito da Google Cloudper le immagini utilizzate per il deployment dell'appliance di backup/ripristino non è consentito. Devi
personalizzare questa policy dell'organizzazione nei progetti in cui vengono implementati gli appliance di backup/ripristino per evitare di ricevere un errore di violazione delle norme durante l'implementazione, come descritto in dettaglio nelle seguenti istruzioni:
Vai alla pagina Policy dell'organizzazione e seleziona il progetto in cui implementare gli appliance.
Nell'elenco dei criteri, fai clic su Definisci progetti con immagini attendibili.
Fai clic su Modifica per personalizzare i vincoli delle immagini attendibili esistenti.
Nella pagina Modifica, seleziona Personalizza.
Seleziona una delle seguenti tre possibilità:
Policy ereditata esistente
Se esiste una policy ereditata, completa i seguenti passaggi:
Per Applicazione policy, seleziona Unisci con l'unità organizzativa principale.
Fai clic su Aggiungi regola.
Seleziona Personalizzato dall'elenco a discesa Valori policy per impostare il vincolo su progetti di immagini specifici.
Seleziona Consenti dall'elenco a discesa Tipo di policy per rimuovere le limitazioni per i progetti di immagini specificati.
Nel campo Valori personalizzati, inserisci il valore personalizzato come projects/backupdr-images.
Fai clic su Fine.
Regola Consenti esistente
Se esiste una regola Consenti, completa i seguenti passaggi:
Lascia selezionata l'opzione predefinita per l'applicazione policy.
Seleziona la regola Consenti esistente.
Fai clic su Aggiungi valore per aggiungere altri progetti di immagini e inserisci il valore come projects/backupdr-images.
Fai clic su Fine.
Nessuna norma o regola esistente
Se non esiste alcuna regola, seleziona Aggiungi regola e completa i seguenti passaggi:
Lascia selezionata l'opzione predefinita per l'applicazione policy.
Seleziona Personalizzato dall'elenco a discesa Valori policy per impostare il vincolo su progetti di immagini specifici.
Seleziona Consenti dall'elenco a discesa Tipo di policy per rimuovere le limitazioni per i progetti di immagini specificati.
Nel campo Valori personalizzati, inserisci il valore personalizzato come projects/backupdr-images.
Se imposti vincoli a livello di progetto, questi potrebbero entrare in conflitto con i vincoli esistenti impostati per l'organizzazione o la cartella.
Fai clic su Aggiungi valore per aggiungere altri progetti di immagini e fai clic su Fine.
Fai clic su Salva.
Fai clic su Salva per applicare il vincolo.
Per saperne di più sulla creazione di policy dell'organizzazione, consulta Creare e gestire le policy dell'organizzazione.
La procedura di deployment
Per avviare l'installazione, il servizio di Backup e DR crea un account di servizio per eseguire il programma di installazione. Il account di servizio richiede privilegi nel progetto host, nel progetto di servizio dell'appliance di backup/ripristino e nel progetto di servizio della console di gestione. Per saperne di più, consulta la sezione Service account.
Il account di servizio utilizzato per l'installazione diventa il account di servizio dell'appliance di backup/recupero. Dopo l'installazione, le autorizzazioni dell'account di servizio vengono ridotte alle sole autorizzazioni richieste dall'appliance di backup/ripristino.
Il deployment della console di gestione viene eseguito quando installi la prima appliance di backup/ripristino. Puoi eseguire il deployment del servizio di Backup e DR in un VPC condiviso o in un VPC non condiviso.
Servizio di backup e DR in un VPC non condiviso
Quando esegui il deployment della console di gestione e della prima appliance di backup/ripristino in un unico progetto con un VPC non condiviso, tutti e tre i componenti del servizio di Backup e DR si trovano nello stesso progetto.
Se il VPC è condiviso, consulta Backup e servizio di DR in un VPC condiviso.
Abilita le API richieste per l'installazione in un VPC non condiviso
Prima di abilitare le API richieste per l'installazione in un VPC non condiviso, esamina le regioni supportate per il deployment del servizio di Backup e DR. Vedi Regioni supportate.
Per eseguire il programma di installazione in un VPC non condiviso, devono essere abilitate le seguenti API. Per abilitare le API, devi disporre del ruolo Amministratore utilizzo servizi.
| API | Nome servizio |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 Il servizio di workflow è supportato nelle regioni elencate. Se il servizio Workflows non è disponibile in una regione in cui viene eseguito il deployment dell'appliance di backup/ripristino, il servizio di Backup e DR utilizza per impostazione predefinita la regione "us-central1". Se hai un criterio dell'organizzazione impostato per impedire la creazione di risorse in altre regioni, devi aggiornarlo temporaneamente per consentire la creazione di risorse nella regione "us-central1". Puoi limitare la regione "us-central1" dopo il deployment dell'appliance di backup/recupero.
L'account utente richiede queste autorizzazioni nel progetto VPC non condiviso
| Ruolo preferito | Autorizzazioni necessarie |
|---|---|
| resourcemanager.projectIamAdmin (Amministratore IAM progetto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (amministratore Service Usage) | serviceusage.services.list |
| iam.serviceAccountUser (Service Account User) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (amministratore service account) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (editor di Workflows) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (amministratore Backup and DR) | backupdr.* |
| visualizzatore (Basic) | Concede le autorizzazioni necessarie per visualizzare la maggior parte delle risorse di Google Cloud . |
Backup e RE in un VPC condiviso
Quando esegui il deployment della console di gestione e della prima appliance di backup/ripristino in un progetto VPC condiviso, devi configurare questi tre progetti nel progetto host o in uno o più progetti di servizio:
Prima di abilitare le API richieste per l'installazione in un VPC condiviso, rivedi le regioni supportate per il deployment di Backup eRER. Vedi Regioni supportate.
Progetto proprietario VPC: il progetto proprietario del VPC selezionato. Il proprietario del VPC è sempre il progetto host.
Progetto della console di gestione: qui viene attivata l'API Backup e DR e qui accedi alla console di gestione per gestire i carichi di lavoro.
Progetto appliance di backup/ripristino: è qui che viene installata l'appliance di backup/ripristino e di solito dove si trovano le risorse protette.
In un VPC condiviso, possono essere uno, due o tre progetti.
| Tipo | Proprietario VPC | Console di gestione | Appliance di backup/ripristino |
|---|---|---|---|
| HHH | Progetto host | Progetto host | Progetto host |
| HHS | Progetto host | Progetto host | Progetto di servizio |
| HSH | Progetto host | Progetto di servizio | Progetto host |
| HSS | Progetto host | Progetto di servizio | Progetto di servizio |
| HS2 | Progetto host | Progetto di servizio | Un altro progetto di servizio |
Descrizioni delle strategie di deployment
HHH: VPC condiviso. Il proprietario del VPC, la console di gestione e l'appliance di backup/ripristino si trovano tutti nel progetto host.
HHS: VPC condiviso. Il proprietario del VPC e la console di gestione si trovano nel progetto host, mentre l'appliance di backup/ripristino si trova in un progetto di servizio.
HSH: VPC condiviso. Il proprietario del VPC e l'appliance di backup/ripristino si trovano nel progetto host, mentre la console di gestione si trova in un progetto di servizio.
HSS: VPC condiviso. Il proprietario del VPC si trova nel progetto host, mentre l'appliance di backup/ripristino e la console di gestione si trovano in un progetto di servizio.
HS2: VPC condiviso. Il proprietario del VPC si trova nel progetto host, mentre l'appliance di backup/ripristino e la console di gestione si trovano in due progetti di servizio diversi.
Abilita queste API richieste per l'installazione nel progetto host
Per eseguire il programma di installazione, devono essere abilitate le seguenti API. Per abilitare le API, devi disporre del ruolo Amministratore utilizzo servizi.
| API | Nome servizio |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
Abilita queste API richieste per l'installazione nel progetto dell'appliance di backup/ripristino
| API | Nome servizio |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 Il servizio di workflow è supportato nelle regioni elencate. Se il servizio Workflows non è disponibile in una regione in cui viene eseguito il deployment dell'appliance di backup/ripristino, il servizio di Backup e DR utilizza per impostazione predefinita la regione "us-central1". Se hai una policy dell'organizzazione impostata per impedire la creazione di risorse in altre regioni, devi aggiornarla temporaneamente per consentire la creazione di risorse nella regione "us-central1". Puoi limitare la regione "us-central1" dopo il deployment dell'appliance di backup/recupero.
L'account utente richiede queste autorizzazioni nel progetto proprietario del VPC
| Ruolo preferito | Autorizzazioni necessarie |
|---|---|
| resourcemanager.projectIamAdmin (Amministratore IAM progetto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (amministratore Service Usage) | serviceusage.services.list |
L'account utente richiede queste autorizzazioni nel progetto della console di gestione
Il deployment della console di gestione viene eseguito quando installi la prima appliance di backup/ripristino.
| Ruolo preferito | Autorizzazioni necessarie |
|---|---|
| resourcemanager.projectIamAdmin (Amministratore IAM progetto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (amministratore Backup and DR) | backupdr.* |
| visualizzatore (Basic) | Concede le autorizzazioni necessarie per visualizzare la maggior parte delle risorse Google Cloud . |
L'account utente richiede queste autorizzazioni nel progetto dell'appliance di backup/ripristino
| Ruolo preferito | Autorizzazioni necessarie |
|---|---|
| resourcemanager.projectIamAdmin (Amministratore IAM progetto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccountUser (Service Account User) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (amministratore service account) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (editor di Workflows) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (amministratore Service Usage) | serviceusage.services.list |
Oltre alle autorizzazioni dell'account utente finale, all'account di servizio creato per tuo conto vengono temporaneamente concesse altre autorizzazioni fino al completamento dell'installazione.
Configura reti
Se non è già stata creata una rete VPC per il progetto di destinazione, devi crearne una prima di procedere.
Per maggiori dettagli, consulta Crea e modifica le reti Virtual Private Cloud (VPC).
Hai bisogno di una subnet in ogni regione in cui prevedi di eseguire il deployment di un'appliance di backup/ripristino
e devi assegnare l'autorizzazione compute.networks.create per crearla.
Se esegui il deployment di appliance di backup/recupero in più reti, utilizza subnet che non condividono gli stessi intervalli di indirizzi IP per evitare che più appliance di backup/recupero abbiano lo stesso indirizzo IP.
Configurazione dell'accesso privato Google
L'appliance di backup/ripristino comunica con la console di gestione utilizzando l'accesso privato Google. Ti consigliamo di abilitare l'accesso privato Google per ogni subnet in cui vuoi eseguire il deployment di un'appliance di backup/recupero.
La subnet in cui è implementato l'appliance di backup/recupero deve comunicare con
un dominio univoco ospitato nel dominio backupdr.googleusercontent.com. Ti
consigliamo di includere la seguente configurazione in Cloud DNS:
- Crea una zona privata per il
nome DNS
backupdr.googleusercontent.com. - Crea un record
Aper il dominiobackupdr.googleusercontent.come includi ciascuno dei quattro indirizzi IP199.36.153.8,199.36.153.9,199.36.153.10,199.36.153.11dalla subnetprivate.googleapis.com199.36.153.8/30. Se utilizzi Controlli di servizio VPC, utilizza199.36.153.4,199.36.153.5,199.36.153.6,199.36.153.7dalla subnetrestricted.googleapis.com199.36.153.4/30. - Crea un record
CNAMEper*.backupdr.googleusercontent.comche punta al nome di dominiobackupdr.googleusercontent.com.
In questo modo, qualsiasi risoluzione DNS per il tuo dominio univoco della console di gestione viene attraversata utilizzando l'accesso privato Googleo.
Assicurati che le regole firewall abbiano una regola di uscita che consenta l'accesso su TCP
443 alla subnet 199.36.153.8/30 o 199.36.153.4/30. Inoltre,
se hai una regola di uscita che consente tutto il traffico a 0.0.0.0/0, la
connettività tra le appliance di backup/ripristino e la console di gestione dovrebbe
andare a buon fine.
Crea un bucket Cloud Storage
Se vuoi proteggere database e file system utilizzando l'agente Backup and RE e poi copiare i backup in Cloud Storage per la conservazione a lungo termine, devi disporre di un bucket Cloud Storage. Ciò vale anche per i backup delle VM VMware creati utilizzando la protezione dei dati delle API di archiviazione VMware vSphere.
Crea un bucket Cloud Storage utilizzando le seguenti istruzioni:
Nella console Google Cloud , vai alla pagina Bucket in Cloud Storage.
Fai clic su Crea bucket.
Inserisci un nome per il bucket.
Scegli una regione in cui archiviare i dati e fai clic su Continua.
Scegli una classe di archiviazione predefinita e fai clic su Continua. Utilizza Nearline quando la conservazione è di 30 giorni o meno oppure Coldline quando la conservazione è di 90 giorni o più. Se la conservazione è compresa tra 30 e 90 giorni, valuta l'utilizzo di Coldline.
Lascia selezionata l'opzione Controllo dell'accesso uniforme e fai clic su Continua. Non utilizzare l'opzione granulare.
Imposta gli strumenti di Protezione su Nessuna e fai clic su Continua. Non selezionare altre opzioni, in quanto non funzionano con il servizio di backup e DR.
Fai clic su Crea.
Verifica che il account di servizio abbia accesso al bucket:
Seleziona il nuovo bucket per visualizzarne i dettagli.
Vai ad Autorizzazioni.
In Entità, assicurati che i nuovi service account siano elencati. In caso contrario, utilizza il pulsante Aggiungi per aggiungere gli account di servizio del lettore e dello scrittore come entità.