Questa pagina fornisce una panoramica completa di come automatizzare i backup delle tue istanze Compute Engine utilizzando i tag.
Configurare il backup per le nuove istanze Compute Engine
Un'istanza Compute Engine è una VM ospitata su Google Cloud. Ogni istanza archivia i dati su dischi permanenti collegati all'istanza. Puoi creare un'istanza o creare un gruppo di istanze gestite utilizzando la console Google Cloud, Google Cloud CLI o l'API Compute Engine.
Per informazioni più dettagliate, consulta Compute Engine.
Prerequisito per automatizzare i backup
Prima di iniziare ad automatizzare i backup delle istanze Compute Engine, leggi le seguenti procedure per prepararti ai backup:
Dopo aver configurato il servizio di backup e RE e aver creato un modello di piano di backup, puoi automatizzare la protezione delle tue istanze Compute Engine applicando il modello di piano di backup all'istanza utilizzando i tag.
Autorizzazioni
Per creare, aggiornare ed eliminare le definizioni dei tag per le risorse Compute Engine, devi disporre del ruolo Tag Administrator. Per ulteriori informazioni sul ruolo tagUser, consulta
Autorizzazioni richieste.
Amministrare i tag di protezione dinamici
Per creare, aggiornare ed eliminare i tag di protezione dinamica, devi disporre di uno dei seguenti ruoli:
Backup and DR Admin
Backup and DR Backup User
Backup and DR User V2
Editor progetto
Proprietario progetto
un ruolo personalizzato che include le seguenti autorizzazioni:
Autorizzazioni obbligatorie
backupdr.managementServers.listDynamicProtectionbackupdr.managementServers.getDynamicProtectionbackupdr.managementServers.createDynamicProtectionbackupdr.managementServers.deleteDynamicProtectioncompute.instances.listEffectiveTags
Scopri di più sui ruoli del servizio di backup e RE.
Applicare automaticamente un modello di piano di backup utilizzando i tag
Questa sezione ti aiuta ad automatizzare l'applicazione di un piano di backup a un'istanza Compute Engine utilizzando i tag. Innanzitutto, crea una mappatura dei piani di backup ai tag nella console di gestione. Poi crei i tag tramite Identity and Access Management (IAM) utilizzando gli stessi valori assegnati nella console di gestione.
Creare valori dei tag di protezione dinamici
Segui queste istruzioni per creare valori dei tag di protezione dinamici che possono essere utilizzati con le istanze Compute Engine:
Nella console di gestione, fai clic sul menu a discesa Piani di backup e seleziona Etichette di protezione dinamica.
Fai clic su Crea tag di protezione dinamico.
Inserisci un valore tag univoco che rispetti i seguenti requisiti di denominazione.
Nell'elenco Tipo di applicazione, seleziona Compute Engine.
Scegli un modello e un profilo corrispondenti da associare a questo valore del tag.
Fai clic su Salva. Viene creato un valore del tag di protezione dinamica.
Creare tag di protezione dinamici
Segui queste istruzioni per creare tag di protezione dinamici da associare alle tue istanze Compute Engine al fine di automatizzare la protezione:
Per creare, aggiornare ed eliminare le definizioni dei tag, devi disporre del ruolo Amministratore tag o di un altro ruolo che includa autorizzazioni specifiche.
Apri la pagina Tag nella console Google Cloud.
Nel Selettore di ambito nella parte superiore della pagina, seleziona l'organizzazione o il progetto in cui vuoi creare una chiave del tag.
Fai clic su Crea.
Nella casella Tag key (Chiave tag), inserisci
backupdr-dynamicprotectcome chiave tag. Questo è un passaggio obbligatorio per garantire un'automazione efficace. Fai attenzione agli errori ortografici e assicurati di includere il trattino.(Facoltativo) Nella casella Descrizione chiave tag, inserisci una descrizione della chiave del tag.
Fai clic su Aggiungi valore e inserisci ogni valore Tag appena creato.
Nella casella Valore tag, inserisci il nome visualizzato del valore del tag. Questo viene incluso nel nome con spazio dei nomi del tag.
Nella casella Descrizione del valore tag, inserisci una descrizione del modello e del profilo associati a questo valore tag.
Quando hai finito di aggiungere i valori dei tag, fai clic su Crea chiave tag.
Aggiunta di tag di protezione dinamica a una risorsa
Ora che hai creato i valori dei tag di protezione dinamica e li hai collegati a un tag di protezione dinamica, il passaggio successivo è assegnare un tag a un istanza Compute Engine. La protezione basata su tag non funziona se le istanze sono protette all'interno di un gruppo logico. Rimuovi il gruppo logico e prova a utilizzare la protezione dinamica.
Prima di iniziare, attiva le autorizzazioni appropriate per il tuo ruolo per assicurarti di avere uno dei seguenti ruoli assegnati:
Backup and DR Admin
Backup and DR Backup User
Backup and DR User V2
Editor progetto
Proprietario progetto
I tag di protezione dinamica possono essere collegati alle istanze Compute Engine tramite le seguenti istruzioni:
Nella console Google Cloud, vai alla pagina Istanze VM.
Seleziona il progetto e fai clic su Continua.
Nella colonna Nome, fai clic sul nome della VM per cui vuoi aggiungere i tag.
Nella pagina dei dettagli dell'istanza VM, completa i seguenti passaggi:
- Fai clic su Modifica.
- Nella sezione Base, fai clic su Gestisci tag e aggiungi i tag che preferisci per l'istanza.
Seleziona la chiave
backupdr-dynamicprotect:e un valore tag corrispondente che mappa a un modello e un profilo impostati nella console Google Cloud.Fai clic su Salva.
Aggiungere tag a una risorsa durante la creazione
In alcuni scenari, potresti voler taggare le risorse durante la loro creazione, piuttosto che dopo.
Console
Nella console Google Cloud, vai alla pagina Istanze VM.
Seleziona il progetto e fai clic su Continua.
Fai clic su Crea istanza.
Fai clic su Gestisci tag ed etichette.
Fai clic su Aggiungi tag.
Segui le istruzioni nel riquadro laterale per selezionare
backupdr-dynamicprotectda aggiungere all'istanza.Fai clic su Salva.
Completa gli altri passaggi descritti in Creare e avviare un'istanza VM per completare la creazione dell'istanza.
gcloud
Per utilizzare Google Cloud CLI o le API, segui la documentazione dell'SDK per eseguire le seguenti operazioni:
Terraform
Utilizza il seguente modello Terraform per iniziare a utilizzare i tag di protezione dinamica. Questo modello presuppone che non tu abbia già creato chiavi di tag di protezione dinamica nella console Google Cloud e lo configurerà per te. Il modello crea una nuova istanza Compute Engine e la lega a un tag di protezione dinamico. Puoi attendere che il job di protezione dinamica pianificato venga eseguito alle 04:00 o alle 16:00 (ora locale) affinché venga applicato oppure puoi eseguire un job di protezione dinamica on demand seguendo i passaggi descritti in Eseguire la protezione automatica manuale.
variable "project_id" {
description = "The ID of the existing Google Cloud project"
type = string
}
variable "region" {
description = "The Google Cloud region where demo-instance should be created"
type = string
}
variable "zone" {
description = "The Google Cloud zone where demo-instance should be created"
type = string
}
provider "google" {
project = var.project_id
region = var.region
zone = var.zone
}
data "google_project" "project" {
project_id = var.project_id
}
# Reference: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/tags_tag_key
resource "google_tags_tag_key" "key" {
parent = "projects/${var.project_id}"
short_name = "backupdr-dynamicprotect"
description = "Tag key for Dynamic Protection."
}
# Reference: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/tags_tag_value
resource "google_tags_tag_value" "value" {
parent = "tagKeys/${google_tags_tag_key.key.name}"
short_name = "backupdr-gold" # This value should be present in the "Management Console UI" > "Backup Plans" > "Dynamic Protection Tags"
description = "Tag value for gold plan."
}
# Reference: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/compute_instance
# Ensure not to define tag in "resource_manager_tags" block while creating VM instance. It'll destroy the VM
# when tag value is changed/removed later. Instead define a separate tag binding using "google_tags_tag_binding"
# or "google_tags_location_tag_binding" resource. It'll modify just tag binding and VM instance won't be affected.
resource "google_compute_instance" "vm_instance" {
name = "demo-instance"
machine_type = "e2-micro"
zone = var.zone
boot_disk {
initialize_params {
image = "debian-cloud/debian-11"
}
}
network_interface {
network = "default"
access_config {
// Ephemeral public IP
}
}
}
# Reference: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/google_tags_location_tag_binding
resource "google_tags_location_tag_binding" "binding" {
parent = "//compute.googleapis.com/projects/${data.google_project.project.number}/zones/${var.zone}/instances/${google_compute_instance.vm_instance.instance_id}"
tag_value = "tagValues/${google_tags_tag_value.value.name}"
location = var.zone
}
# Reference for Tag bindings at project/org level: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/tags_tag_binding
Scollegare un tag da una risorsa
Puoi scollegare un tag da una risorsa eliminando la risorsa di associazione dei tag.
Per istruzioni su come scollegare i tag, consulta Scollegare un tag da una risorsa nella documentazione di Resource Manager.
Console
Nella console Google Cloud, vai alla pagina Istanze VM.
Seleziona il progetto e fai clic su Continua.
Nella colonna Nome, fai clic sul nome della VM per cui vuoi aggiungere i tag.
Nella pagina dei dettagli dell'istanza VM, completa i seguenti passaggi:
Fai clic su Modifica.
Nella sezione Base, fai clic su Gestisci tag e rimuovi il
backupdr-dynamicprotectper l'istanza.Fai clic su Salva.
gcloud
Per utilizzare Google Cloud CLI, consulta la documentazione su come utilizzare Google Cloud CLI per scollegare un tag da una risorsa.
Eseguire la protezione automatica manuale
Sebbene il motore di protezione venga eseguito ogni giorno alle 04:00 e alle 16:00 ora locale, puoi anche eseguire un'esecuzione on demand del motore di protezione dinamica utilizzando i seguenti passaggi di comando:
Imposta l'endpoint della console di gestione inserendo un valore che inizi con "https://bmc-" e finisca con ".com". Ad esempio,
https://bmc-PROJECT_NUMBER-GENERATED_ID-dot-REGION.backupdr.googleusercontent.comexport MC_ENDPOINT="MC_ENDPOINT_edited_value"Genera un token di accesso:
echo "Generating a new bearer token..." export BEARER_TOKEN=$(gcloud auth print-access-token) echo "Bearer token generated: BEARER_TOKEN=$BEARER_TOKEN"Ricevi un nuovo ID sessione:
echo "Generating a new session id..." export SESSION_RESPONSE=$(curl -XPOST -H "Authorization: Bearer $BEARER_TOKEN" -d {} "$MC_ENDPOINT/actifio/session" 2>&-) export SESSION_ID=$(echo $SESSION_RESPONSE | jq -r '.session_id') if [ -z ${SESSION_ID} ] then echo "Issue with generating a new session id. Response: $SESSION_RESPONSE"; return 1; fi echo "Session id generated: SESSION_ID=$SESSION_ID"Dopo aver impostato un endpoint, generato un token di accesso e ottenuto un ID sessione, puoi attivare i job di protezione dinamica per un'ora fino alla scadenza dell'ID sessione.
Attivare un job di protezione dinamica
Un job di protezione dinamica aggiorna tutte le istanze Compute Engine con i relativi tag attuali e assegna i piani di backup in base ai tag. L'esecuzione del job attivato può richiedere alcuni minuti, a seconda del numero di modifiche in attesa per i tuoi carichi di lavoro.
echo "Triggering dynamic protection job.." curl -H "Authorization: Bearer $BEARER_TOKEN" -H "backupdr-management-session: Actifio $SESSION_ID" -H "Content-Type: application/json" -XPOST -d '{}' "$MC_ENDPOINT/actifio/dynamicprotection/job/gceinstance" echo "Dynamic protection job triggered."
Utilizzare la protezione dinamica con Resource Manager
Puoi utilizzare i tag di protezione dinamica con Resource Manager, automatizzando la protezione delle istanze Compute Engine a un livello superiore dell'organizzazione. Utilizza Resource Manager per taggare le risorse a livello di progetto o superiore per garantire che la protezione venga ereditata in tutte le risorse. Scopri di più sull'ereditarietà dei tag.
Eseguire la migrazione della protezione manuale alla Protezione dinamica
Se intendi eseguire la migrazione delle risorse già protette all'utilizzo della protezione dinamica tramite i tag, devi attivare il flag di migrazione nel progetto. Dopo aver attivato la migrazione, tutte le istanze protette manualmente possono ora utilizzare la protezione dinamica. L'aggiunta di tag e risorse garantisce automaticamente la protezione in base al tag e rimuove la protezione manuale esistente.
Bash
Esegui i comandi riportati di seguito.
Imposta l'endpoint della console di gestione inserendo un valore che inizi con "https://bmc-" e finisca con ".com". Ad esempio,
https://bmc-PROJECT_NUMBER-GENERATED_ID-dot-REGION.backupdr.googleusercontent.com#!/bin/bash export MC_ENDPOINT="MC_ENDPOINT_edited_value"Attiva la migrazione.
curl -H "Authorization: Bearer $BEARER_TOKEN" -H "backupdr-management-session: Actifio $SESSION_ID" -H "Content-Type: application/json" -XPATCH -d '{ "enableMigrationToTagBasedProtection":"true"}' "$MC_ENDPOINT/actifio/dynamicprotection/jobconfig"
Console di gestione
Per abilitare la migrazione delle istanze Compute Engine protette manualmente alla protezione basata su tag:
- Imposta Attiva la migrazione alla protezione basata su tag su ON.
- Conferma la finestra di dialogo Attiva migrazione. Le istanze Compute Engine protette manualmente verranno protette di nuovo utilizzando il tag definito sulla VM.
Per disattivare la migrazione delle istanze Compute Engine protette manualmente alla protezione basata su tag:
- Imposta su OFF l'opzione Attiva la migrazione alla protezione basata su tag.
- Conferma la finestra di dialogo Disattiva migrazione. In questo modo viene disattivata la migrazione delle istanze Compute Engine protette manualmente alla protezione basata su tag.
Eventi e notifiche
Dopo l'esecuzione del motore di protezione dinamica, puoi esaminare l'avanzamento dagli eventi di monitoraggio. La console di gestione riceve notifiche di riepilogo dopo l'esecuzione di azioni di protezione dinamica. Le notifiche di errore vengono inviate se è necessaria un'azione dell'utente.
Best practice
La protezione dinamica può aumentare il numero di job di backup in esecuzione e la quantità di spazio di archiviazione utilizzato. Per ottenere risultati ottimali, tieni presente quanto segue:
Aumenta le finestre di backup. Un intervallo di 6-10 ore può contribuire ad assicurare il completamento di tutti i job.
Valuta i tipi di elettrodomestici prima di configurare i tag. Per risultati ottimali, assicurati che tutte le istanze Compute Engine taggate si trovino su appliance di backup/recupero in esecuzione su appliance di tipo Standard per VM Compute Engine o database SAP HANA.
Una VM ripristinata erediterà lo stesso tag di protezione della VM di origine e lo stesso piano di backup, ma il tipo di protezione passerà dalla protezione basata su tag alla protezione avviata dall'utente. La risorsa continuerà a essere protetta utilizzando il piano di backup trasferito. Per ripristinare il tipo di protezione basata su tag, puoi rimuovere il piano di backup della protezione trasferito e attivare il job di protezione dinamica on demand o attendere la successiva esecuzione pianificata in modo che all'applicazione venga nuovamente assegnata la protezione basata su tag.
Una VM montata su qualsiasi host esistente o appena creato non erediterà lo stesso tag di protezione della VM di origine, pertanto non verrà protetta automaticamente dopo l'operazione di montaggio. Se è necessario proteggere una VM appena montata, puoi applicare la nuova associazione dei tag VM in modo simile alla VM di origine.