Automatiza la protección de instancias nuevas de Compute Engine

En esta página, se detalla cómo automatizar las copias de seguridad de las instancias de Compute Engine con etiquetas.

Configura copias de seguridad para instancias nuevas de Compute Engine

Una instancia de Compute Engine es una VM alojada en Google Cloud. Cada instancia almacena datos en discos persistentes que están conectados a la instancia. Puedes crear una instancia o crear un grupo de instancias administradas con la consola de Google Cloud , Google Cloud CLI o la API de Compute Engine.

Para obtener información más detallada, consulta Compute Engine.

Requisito previo para automatizar las copias de seguridad

Antes de comenzar a automatizar las copias de seguridad de las instancias de Compute Engine, lee los siguientes procedimientos para prepararte para las copias de seguridad:

• Crea una plantilla de planificación de copias de seguridad

Después de configurar el servicio Backup and DR y crear una plantilla de plan de copias de seguridad, puedes automatizar la protección de tus instancias de Compute Engine aplicando la plantilla de plan de copias de seguridad a la instancia con etiquetas.

Permisos

Para crear, actualizar y borrar definiciones de etiquetas para los recursos de Compute Engine, necesitas el rol Tag Administrator. Para obtener más información sobre el rol tagUser, consulta Permisos necesarios.

Para usar el etiquetado dinámico para crear una copia de seguridad de una instancia de Compute Engine, debes otorgar el rol de IAM de operador de Compute Engine de Backup and DR (roles/backupdr.computeEngineOperator) al agente de servicio de backup vault dentro del proyecto de Compute Engine.

Administra etiquetas de protección dinámica

Para crear, actualizar y borrar etiquetas de protección dinámica, debes tener los permisos adecuados para tu rol y asegurarte de que se te haya asignado uno de los siguientes roles:

• Administrador de Backup and DR

• Usuario que aplica Backup and DR

• Usuario de Backup and DR V2

• Editor de proyecto

• Propietario del proyecto

• Un rol personalizado que incluya los siguientes permisos:

Obtén más información sobre los roles del servicio Backup and DR.

Aplica una plantilla de plan de copias de seguridad automáticamente con etiquetas

En esta sección, se te ayudará a automatizar la aplicación de un plan de copias de seguridad a una instancia de Compute Engine con etiquetas. Primero, crea una asignación de planes de copias de seguridad a etiquetas en la consola de administración. Luego, creas etiquetas a través de Identity and Access Management (IAM) con los mismos valores asignados en la consola de administración.

Crea valores de etiquetas de protección dinámica

Sigue estas instrucciones para crear valores de etiquetas de protección dinámica que se puedan usar con tus instancias de Compute Engine:

1. En la consola de administración de Backup and DR, haz clic en el menú desplegable Planes de creación de copias de seguridad y selecciona Etiquetas de protección dinámicas.

2. Haz clic en Crear etiqueta de protección dinámica.

3. Ingresa un valor de etiqueta único que cumpla con estos requisitos de nomenclatura.

4. En la lista Tipo de aplicación, selecciona Compute Engine.

5. Elige una Plantilla y un Perfil correspondientes para asociarlos con este valor de etiqueta.

6. Haz clic en Guardar. Se crea un valor de etiqueta de protección dinámica.

Crea etiquetas de protección dinámicas

Sigue estas instrucciones para crear etiquetas de protección dinámica que se adjunten a tus instancias de Compute Engine para automatizar la protección:

1. Para crear, actualizar y borrar definiciones de etiquetas, necesitas el rol de administrador de etiquetas o algún otro rol que incluya permisos específicos.

2. Abre la página Etiquetas en la consola de Google Cloud .

   Abre la página Etiquetas

3. En el Selector de alcance en la parte superior de la página, selecciona la organización o el proyecto en el que deseas crear una clave de etiqueta.

4. Haz clic en add Crear.

5. En el cuadro Clave de etiqueta, ingresa backupdr-dynamicprotect como la clave de etiqueta. Este es un paso obligatorio para que la automatización se realice correctamente. Ten en cuenta los errores ortográficos y asegúrate de incluir el guion.

6. Opcional: En el cuadro Descripción de la clave de la etiqueta, ingresa una descripción de la clave de la etiqueta.

7. Haz clic en add Agregar valor y, luego, ingresa cada valor de etiqueta que acabas de crear.

1. En el cuadro Valor de la etiqueta, ingresa el nombre visible del valor de la etiqueta. Esto se convierte en parte del nombre con espacio de nombres de tu etiqueta.

2. En el cuadro Descripción del valor de la etiqueta, ingresa una descripción de la plantilla y el perfil asociados con este valor de la etiqueta.

3. Cuando termines de agregar valores de etiqueta, haz clic en Crear clave de etiqueta.

Cómo agregar etiquetas de protección dinámica a un recurso

Ahora que creaste valores de etiquetas de protección dinámica y los vinculaste a una etiqueta de protección dinámica, el siguiente paso es asignar etiquetas a una instancia de Compute Engine. La protección basada en etiquetas no funciona si tus instancias están protegidas dentro de un grupo lógico. Quita el grupo lógico y prueba la protección dinámica.

Puedes adjuntar tus etiquetas de protección dinámica a instancias de Compute Engine siguiendo estas instrucciones:

1. En la consola de Google Cloud , ve a la página Compute Engine > Instancias de VM.

   Ir a Instancias de VM

2. En la columna Nombre, haz clic en el nombre de la VM a la que deseas agregar etiquetas.

3. En la página de detalles de la instancia de VM, completa los siguientes pasos:

   1. Haz clic en Editar.
   2. En la sección Básico, haz clic en Administrar etiquetas y agrega las etiquetas que deseas para la instancia.

4. Selecciona la clave backupdr-dynamicprotect: y un valor de etiqueta correspondiente que se asigne a una plantilla y a un perfil que establezcas en la consola de Google Cloud .

5. Haz clic en Guardar.

Agrega etiquetas a un recurso durante su creación

En ciertas situaciones, es posible que desees etiquetar recursos durante la creación del recurso, en lugar de hacerlo después de crearlo.

variable "project_id" {
  description = "The ID of the existing Google Cloud project"
  type        = string
}

variable "region" {
  description = "The Google Cloud region where demo-instance should be created"
  type        = string
}

variable "zone" {
  description = "The Google Cloud zone where demo-instance should be created"
  type        = string
}

provider "google" {
  project = var.project_id
  region = var.region
  zone  = var.zone
}

data "google_project" "project" {
  project_id = var.project_id
}

# Reference: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/tags_tag_key
resource "google_tags_tag_key" "key" {
  parent = "projects/${var.project_id}"
  short_name = "backupdr-dynamicprotect"
  description = "Tag key for Dynamic Protection."
}

# Reference: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/tags_tag_value
resource "google_tags_tag_value" "value" {
  parent = "tagKeys/${google_tags_tag_key.key.name}"
  short_name = "backupdr-gold" # This value should be present in the "Management Console UI" > "Backup Plans" > "Dynamic Protection Tags"
  description = "Tag value for gold plan."
}

# Reference: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/compute_instance
# Ensure not to define tag in "resource_manager_tags" block while creating VM instance. It'll destroy the VM
# when tag value is changed/removed later. Instead define a separate tag binding using "google_tags_tag_binding"
# or "google_tags_location_tag_binding" resource. It'll modify just tag binding and VM instance won't be affected.

resource "google_compute_instance" "vm_instance" {
  name         = "demo-instance"
  machine_type = "e2-micro"
  zone         = var.zone

  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-11"
    }
  }

  network_interface {
    network = "default"

    access_config {
      // Ephemeral public IP
    }
  }
}

# Reference: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/google_tags_location_tag_binding
resource "google_tags_location_tag_binding" "binding" {
    parent    = "//compute.googleapis.com/projects/${data.google_project.project.number}/zones/${var.zone}/instances/${google_compute_instance.vm_instance.instance_id}"
    tag_value = "tagValues/${google_tags_tag_value.value.name}"
    location  = var.zone
}

# Reference for Tag bindings at project/org level: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/tags_tag_binding

Desconecta una etiqueta de un recurso

Para desconectar una etiqueta de un recurso, borra el recurso de vinculación de etiquetas.

Para revisar las instrucciones sobre cómo desconectar etiquetas, consulta Desconecta una etiqueta de un recurso en la documentación de Resource Manager.

Ejecuta la protección automática manual

Si bien el motor de protección se ejecuta todos los días a las 4 a.m. y a las 4 p.m. (hora local), también puedes ejecutar el motor de Protección dinámica a pedido con los siguientes pasos del comando:

1. Para establecer el extremo de la consola de administración, ingresa un valor que comience con "https://bmc-" y termine con ".com". Por ejemplo, https://bmc-PROJECT_NUMBER-GENERATED_ID-dot-REGION.backupdr.googleusercontent.com

   export MC_ENDPOINT="MC_ENDPOINT_edited_value"
   

2. Genera un token del portador:

   echo "Generating a new bearer token..."
   export BEARER_TOKEN=$(gcloud auth print-access-token)
   echo "Bearer token generated: BEARER_TOKEN=$BEARER_TOKEN"
   

3. Obtén un nuevo ID de sesión:

   echo "Generating a new session id..."
   export SESSION_RESPONSE=$(curl -XPOST -H "Authorization: Bearer $BEARER_TOKEN" -d {} "$MC_ENDPOINT/actifio/session" 2>&-)
   export SESSION_ID=$(echo $SESSION_RESPONSE | jq -r '.session_id')
   
   if [ -z ${SESSION_ID} ]
     then echo "Issue with generating a new session id. Response: $SESSION_RESPONSE";
     return 1;
   fi
   
   echo "Session id generated: SESSION_ID=$SESSION_ID"
   

   Después de configurar un extremo, generar un token de portador y obtener un ID de sesión, puedes activar trabajos de protección dinámica durante una hora hasta que venza el ID de sesión.

4. Cómo activar un trabajo de protección dinámica

   Un trabajo de protección dinámico actualiza todas las instancias de Compute Engine con sus etiquetas actuales y asigna planes de copias de seguridad según las etiquetas. El trabajo activado puede tardar unos minutos, según la cantidad de cambios pendientes para tus cargas de trabajo.

   echo "Triggering dynamic protection job.."
   
   curl -H "Authorization: Bearer $BEARER_TOKEN" -H "backupdr-management-session: Actifio $SESSION_ID" -H "Content-Type: application/json" -XPOST -d '{}' "$MC_ENDPOINT/actifio/dynamicprotection/job/gceinstance"
   
   echo "Dynamic protection job triggered."
   

Cómo usar la Protección dinámica con el Administrador de recursos

Puedes usar etiquetas de protección dinámicas con Resource Manager para automatizar la protección de tus instancias de Compute Engine en un nivel organizativo superior. Usa Resource Manager para etiquetar recursos a nivel del proyecto o superior y asegurarte de que la protección se herede en todos tus recursos. Obtén más información sobre la herencia de etiquetas.

Migra la protección manual a la Protección dinámica

Si planeas migrar tus recursos ya protegidos para usar la protección dinámica con etiquetas, debes habilitar la marca de migración en tu proyecto. Después de habilitar la migración, las instancias protegidas manualmente ahora pueden usar la protección dinámica. Cuando agregas etiquetas y recursos, se aplica la protección automáticamente según la etiqueta y se quita la protección manual existente.

Eventos y notificaciones

Después de que se ejecute el motor de protección dinámica, puedes revisar el progreso en los eventos de supervisión. La consola de administración recibe notificaciones de resumen después de realizar acciones de protección dinámica. Se envían notificaciones de error si se requiere una acción del usuario.

Prácticas recomendadas

La protección dinámica puede aumentar la cantidad de trabajos de copia de seguridad en ejecución y la cantidad de almacenamiento utilizado. Para obtener los mejores resultados, ten en cuenta lo siguiente:

• Aumenta las ventanas de copias de seguridad. Por lo general, un período de 6 a 10 horas permite que todos los trabajos se ejecuten hasta completarse.

• Una VM restablecida conservará la misma etiqueta de protección que la VM de origen, junto con el mismo plan de copias de seguridad. Sin embargo, el tipo de protección cambiará de protección basada en etiquetas a protección iniciada por el usuario. El recurso seguirá protegido con el plan de copia de seguridad transferido. Para volver a cambiar el tipo de protección a protección basada en etiquetas, puedes quitar el plan de copia de seguridad de protección transferido y activar el trabajo de protección dinámica a pedido o esperar a su próxima ejecución programada para que se vuelva a asignar la protección basada en etiquetas a la aplicación.

• Una VM activada en cualquier host existente o recién creado no conservará la misma etiqueta de protección que la VM de origen, por lo que no estará protegida automáticamente después de la operación de activación. Si una VM recién activada necesita protección, puedes aplicar una vinculación de etiquetas a la VM nueva de manera similar a la VM de origen.