Antes de começar
Recomendamos que leia o artigo Planeie uma implementação de cópia de segurança e recuperação de desastres antes de começar esta secção.
Esta página detalha os Google Cloud requisitos que têm de ser cumpridos antes de ativar Google Cloud o serviço de cópias de segurança e RD, o que tem de ser feito na Google Cloud consola.
Todas as tarefas descritas nesta página têm de ser realizadas no Google Cloud projeto onde está a implementar o seu dispositivo de cópia de segurança/recuperação. Se este projeto for um projeto de serviço de VPC partilhada, algumas tarefas são realizadas no projeto de VPC e outras no projeto de carga de trabalho.
Permita projetos de imagens fidedignos
Se tiver ativado a política constraint/compute.trustedImageProjects nas políticas de
organização, o projeto de origem gerido pela Google Cloudpara as imagens
usadas para implementar o dispositivo de cópia de segurança/recuperação não é permitido. Tem de personalizar esta política de organização nos projetos onde os dispositivos de cópia de segurança/recuperação estão implementados para evitar receber um erro de violação de política durante a implementação, conforme detalhado nas seguintes instruções:
Aceda à página Políticas da organização e selecione o projeto onde implementa os seus dispositivos.
Na lista de políticas, clique em Definir projetos de imagens fidedignos.
Clique em Editar para personalizar as restrições de imagens fidedignas existentes.
Na página Editar, selecione Personalizar.
Selecione uma das três possibilidades seguintes:
Política herdada existente
Se existir uma política herdada, conclua o seguinte:
Para Aplicação de políticas, selecione Unir com o pai.
Clique em Adicionar regra.
Selecione Personalizado na lista pendente Valores da política para definir a restrição em projetos de imagens específicos.
Selecione Permitir na lista pendente Tipo de política para remover as restrições dos projetos de imagens especificados.
No campo Valores personalizados, introduza o valor personalizado como projects/backupdr-images.
Clique em Concluído.
Regra Permitir existente
Se existir uma regra Permitir, conclua os seguintes passos:
Deixe a Aplicação de políticas selecionada por predefinição.
Selecione a regra Permitir existente.
Clique em Adicionar valor para adicionar projetos de imagens adicionais e introduza o valor como projects/backupdr-images.
Clique em Concluído.
Não existe nenhuma política nem regra
Se não existir uma regra, selecione Adicionar regra e, de seguida, conclua os seguintes passos:
Deixe a Aplicação de políticas selecionada por predefinição.
Selecione Personalizado na lista pendente Valores da política para definir a restrição em projetos de imagens específicos.
Selecione Permitir na lista pendente Tipo de política para remover as restrições dos projetos de imagens especificados.
No campo Valores personalizados, introduza o valor personalizado como projects/backupdr-images.
Se estiver a definir restrições ao nível do projeto, estas podem entrar em conflito com as restrições existentes definidas na sua organização ou pasta.
Clique em Adicionar valor para adicionar projetos de imagens adicionais e clique em Concluído.
Clique em Guardar.
Clique em Guardar para aplicar a restrição.
Para mais informações sobre a criação de políticas de organização, consulte o artigo Crie e faça a gestão de políticas de organização.
O processo de implementação
Para iniciar a instalação, o serviço de cópia de segurança e recuperação de desastres cria uma conta de serviço para executar o instalador. A conta de serviço requer privilégios no projeto anfitrião, no projeto de serviço do dispositivo de cópia de segurança/recuperação e no projeto de serviço da consola de gestão. Para mais informações, consulte o artigo sobre as contas de serviço.
A conta de serviço usada para a instalação torna-se a conta de serviço do dispositivo de cópia de segurança/recuperação. Após a instalação, as autorizações da conta de serviço são reduzidas apenas às autorizações necessárias para o dispositivo de cópia de segurança/recuperação.
A consola de gestão é implementada quando instala o primeiro dispositivo de cópia de segurança/recuperação. Pode implementar o serviço Backup and DR numa VPC partilhada ou numa VPC não partilhada.
Serviço de cópia de segurança e RD numa VPC não partilhada
Quando implementa a consola de gestão e o primeiro dispositivo de cópia de segurança/recuperação num único projeto com uma VPC não partilhada, todos os três componentes do serviço de cópia de segurança e RD estão no mesmo projeto.
Se a VPC for partilhada, consulte o artigo Backup and DR Service numa VPC partilhada.
Ative as APIs necessárias para a instalação numa VPC não partilhada
Antes de ativar as APIs necessárias para a instalação numa VPC não partilhada, reveja as regiões suportadas de implementação do serviço de cópia de segurança e recuperação de desastres. Consulte as regiões suportadas.
Para executar o instalador numa VPC não partilhada, as seguintes APIs têm de estar ativadas. Para ativar APIs, precisa da função Administrador de utilização de serviços.
| API | Nome do serviço |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Fluxos de trabalho 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Gestão de identidade e de acesso | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
O serviço de fluxo de trabalho 1 é suportado nas regiões indicadas. Se o serviço Workflows não estiver disponível numa região onde o dispositivo de cópia de segurança/recuperação estiver a ser implementado, o serviço Backup and DR é predefinido para a região "us-central1". Se tiver uma política da organização definida para impedir a criação de recursos noutras regiões, tem de atualizar temporariamente a política da organização para permitir a criação de recursos na região "us-central1". Pode restringir a região "us-central1" após a implementação do dispositivo de cópia de segurança/recuperação.
A conta de utilizador requer estas autorizações no projeto de VPC não partilhada
| Função preferida | Autorizações necessárias |
|---|---|
| resourcemanager.projectIamAdmin (administrador de IAM do projeto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (administrador de utilização de serviços) | serviceusage.services.list |
| iam.serviceAccountUser (utilizador da conta de serviço) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (administrador da conta de serviço) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (editor do Workflows) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (administrador de cópias de segurança e RD) | backupdr.* |
| Visitante (básico) | Concede as autorizações necessárias para ver a maioria dos Google Cloud recursos. |
Cópia de segurança e RD numa VPC partilhada
Quando implementar a consola de gestão e o primeiro dispositivo de cópia de segurança/recuperação num projeto de VPC partilhada, tem de configurar estes três projetos no projeto anfitrião ou num ou mais projetos de serviço:
Antes de ativar as APIs necessárias para a instalação numa VPC partilhada, reveja as regiões suportadas de implementação de cópias de segurança e recuperação de desastres. Consulte as Regiões suportadas.
Projeto proprietário da VPC: este projeto é proprietário da VPC selecionada. O proprietário da VPC é sempre o projeto anfitrião.
Projeto da consola de gestão: é aqui que a API Backup and DR é ativada e onde acede à consola de gestão para gerir cargas de trabalho.
Projeto do dispositivo de cópia de segurança/recuperação: é aqui que o dispositivo de cópia de segurança/recuperação está instalado e, normalmente, onde residem os recursos protegidos.
Numa VPC partilhada, podem ser um, dois ou três projetos.
| Tipo | Proprietário da VPC | Consola de gestão | Dispositivo de cópia de segurança/recuperação |
|---|---|---|---|
| HHH | Projeto anfitrião | Projeto anfitrião | Projeto anfitrião |
| HHS | Projeto anfitrião | Projeto anfitrião | Projeto de serviço |
| HSH | Projeto anfitrião | Projeto de serviço | Projeto anfitrião |
| HSS | Projeto anfitrião | Projeto de serviço | Projeto de serviço |
| HS2 | Projeto anfitrião | Projeto de serviço | Um projeto de serviço diferente |
Descrições das estratégias de implementação
HHH: VPC partilhada. O proprietário da VPC, a consola de gestão e o dispositivo de cópia de segurança/recuperação estão todos no projeto anfitrião.
HHS: VPC partilhada. O proprietário da VPC e a consola de gestão estão no projeto anfitrião, e o dispositivo de cópia de segurança/recuperação está num projeto de serviço.
HSH: VPC partilhada. O proprietário da VPC e o dispositivo de cópia de segurança/recuperação estão no projeto anfitrião, e a consola de gestão está num projeto de serviço.
HSS: VPC partilhada. O proprietário da VPC está no projeto anfitrião, e o dispositivo de cópia de segurança/recuperação e a consola de gestão estão num projeto de serviço.
HS2: VPC partilhada. O proprietário da VPC está no projeto anfitrião, e o dispositivo de cópia de segurança/recuperação e a consola de gestão estão em dois projetos de serviço diferentes.
Ative estas APIs necessárias para a instalação no projeto anfitrião
Para executar o instalador, as seguintes APIs têm de estar ativadas. Para ativar as APIs, precisa da função Administrador de utilização de serviços.
| API | Nome do serviço |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
Ative estas APIs necessárias para a instalação no projeto do dispositivo de cópia de segurança/recuperação
| API | Nome do serviço |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Fluxos de trabalho 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Gestão de identidade e de acesso | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
O serviço de fluxo de trabalho 1 é suportado nas regiões indicadas. Se o serviço Workflows não estiver disponível numa região onde o dispositivo de cópia de segurança/recuperação está a ser implementado, o serviço Backup and DR é predefinido para a região "us-central1". Se tiver uma política da organização definida para impedir a criação de recursos noutras regiões, tem de atualizar temporariamente a política da organização para permitir a criação de recursos na região "us-central1". Pode restringir a região "us-central1" após a implementação do dispositivo de cópia de segurança/recuperação.
A conta de utilizador requer estas autorizações no projeto proprietário da VPC
| Função preferida | Autorizações necessárias |
|---|---|
| resourcemanager.projectIamAdmin (administrador de IAM do projeto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (administrador de utilização de serviços) | serviceusage.services.list |
A conta de utilizador requer estas autorizações no projeto da consola de gestão
A consola de gestão é implementada quando instala o primeiro dispositivo de cópia de segurança/recuperação.
| Função preferida | Autorizações necessárias |
|---|---|
| resourcemanager.projectIamAdmin (administrador de IAM do projeto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (administrador de cópias de segurança e RD) | backupdr.* |
| Visitante (básico) | Concede as autorizações necessárias para ver a maioria Google Cloud dos recursos. |
A conta de utilizador requer estas autorizações no projeto do dispositivo de cópia de segurança/recuperação
| Função preferida | Autorizações necessárias |
|---|---|
| resourcemanager.projectIamAdmin (administrador de IAM do projeto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccountUser (utilizador da conta de serviço) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (administrador da conta de serviço) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (editor do Workflows) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (administrador de utilização de serviços) | serviceusage.services.list |
Além das autorizações da conta de utilizador final, são concedidas temporariamente outras autorizações à conta de serviço criada em seu nome até que a instalação esteja concluída.
Configure redes
Se ainda não tiver sido criada uma rede VPC para o projeto de destino, tem de criar uma antes de continuar.
Consulte o artigo Crie e modifique redes da nuvem virtual privada (VPC) para ver detalhes.
Precisa de uma sub-rede em cada região onde planeia implementar um dispositivo de cópia de segurança/recuperação e deve ter a autorização compute.networks.create atribuída para a criar.
Se estiver a implementar dispositivos de cópia de segurança/recuperação em várias redes, use sub-redes que não partilhem os mesmos intervalos de endereços IP para evitar que vários dispositivos de cópia de segurança/recuperação tenham o mesmo endereço IP.
Configure o acesso privado do Google
O dispositivo de cópia de segurança/recuperação comunica com a consola de gestão através do acesso privado Google. Recomendamos que ative o acesso privado à Google para cada sub-rede onde quer implementar um dispositivo de cópia de segurança/recuperação.
A sub-rede onde o dispositivo de cópia de segurança/recuperação está implementado tem de comunicar com um domínio único alojado no domínio backupdr.googleusercontent.com. Recomendamos que inclua a seguinte configuração no Cloud DNS:
- Crie uma zona privada para o nome DNS
backupdr.googleusercontent.com. - Crie um registo
Apara o domíniobackupdr.googleusercontent.come inclua cada um dos quatro endereços IP199.36.153.8,199.36.153.9,199.36.153.10e199.36.153.11daprivate.googleapis.comsub-rede199.36.153.8/30. Se estiver a usar os VPC Service Controls, use199.36.153.4,199.36.153.5,199.36.153.6,199.36.153.7da sub-rederestricted.googleapis.com199.36.153.4/30. - Crie um registo
CNAMEpara*.backupdr.googleusercontent.comque aponte para o nome de domíniobackupdr.googleusercontent.com.
Isto garante que qualquer resolução de DNS para o seu domínio exclusivo da consola de gestão é feita através do acesso privado à Google.
Certifique-se de que as regras da firewall têm uma regra de saída que permite o acesso no TCP
443 à sub-rede 199.36.153.8/30 ou 199.36.153.4/30. Além disso, se tiver uma regra de saída que permita todo o tráfego para 0.0.0.0/0, a conetividade entre os dispositivos de cópia de segurança/recuperação e a consola de gestão deve ser bem-sucedida.
Crie um contentor do Cloud Storage
Precisa de um contentor do Cloud Storage se quiser proteger bases de dados e sistemas de ficheiros com o agente do Backup and DR e, em seguida, copiar as cópias de segurança para o Cloud Storage para retenção a longo prazo. Isto também se aplica às cópias de segurança de VMs VMware criadas através da proteção de dados das APIs de armazenamento do VMware vSphere.
Crie um contentor do Cloud Storage com as seguintes instruções:
Na Google Cloud consola, aceda à página Recipientes do Cloud Storage.
Clique em Criar contentor.
Introduza um nome para o contentor.
Escolha uma região para armazenar os seus dados e clique em Continuar.
Escolha uma classe de armazenamento predefinida e clique em Continuar. Use o Nearline quando o período de retenção for de 30 dias ou menos, ou o Coldline quando o período de retenção for de 90 dias ou mais. Se a retenção for entre 30 e 90 dias, considere usar a classe de armazenamento coldline.
Deixe a opção Controlo de acesso uniforme selecionada e clique em Continuar. Não use detalhado.
Deixe as ferramentas de Proteção definidas como Nenhuma e clique em Continuar. Não selecione outras opções, uma vez que não funcionam com o serviço de cópia de segurança e recuperação de desastres.
Clique em Criar.
Valide se a sua conta de serviço tem acesso ao seu contentor:
Selecione o novo depósito para apresentar os detalhes do depósito.
Aceda a Autorizações.
Em Membros, certifique-se de que as novas contas de serviço estão listadas. Se não forem, use o botão Adicionar para adicionar as contas de serviço de leitor e escritor como principais.