Automatiza la protección de instancias nuevas de Compute Engine

En esta página, se proporciona una descripción general de extremo a extremo para automatizar las copias de seguridad de tus instancias de Compute Engine con etiquetas.

Configura la copia de seguridad para instancias nuevas de Compute Engine

Una instancia de Compute Engine es una VM alojada en Google Cloud. Cada instancia almacena datos en los discos persistentes que se adjuntan a ella. Puedes crear una instancia o crear un grupo de instancias administradas mediante la consola de Google Cloud, Google Cloud CLI o la API de Compute Engine.

Para obtener información más detallada, consulta Compute Engine.

Requisitos previos para automatizar las copias de seguridad

Antes de comenzar a automatizar las copias de seguridad de las instancias de Compute Engine, lee los siguientes procedimientos para prepararte para las copias de seguridad:

• Crea una plantilla de planificación de copias de seguridad

Después de configurar el servicio Backup and DR y crear una plantilla de plan de copia de seguridad, ya puedes automatizar la protección de tus instancias de Compute Engine aplicando la plantilla de plan de copia de seguridad a la instancia con etiquetas.

Permisos

Para crear, actualizar y borrar definiciones de etiquetas para recursos de Compute Engine, necesitas el rol Tag Administrator. Para obtener más información sobre la función tagUser, consulta Permisos necesarios.

Administra etiquetas de protección dinámica

Para crear, actualizar y borrar etiquetas de protección dinámica, debes tener uno de los siguientes roles:

• Administrador de copias de seguridad y DR

• Usuario que aplica Backup and DR

• Usuario de Backup and DR V2

• Editor de proyecto

• Propietario del proyecto

• Un rol personalizado que incluya los siguientes permisos:

Obtén más información sobre los roles del servicio de Copia de seguridad y DR.

Aplica una plantilla de plan de copia de seguridad automáticamente con etiquetas

En esta sección, obtendrás ayuda para automatizar la aplicación de un plan de copia de seguridad a una instancia de Compute Engine con etiquetas. Primero, crea una asignación de los planes de copia de seguridad a las etiquetas en la consola de administración. Luego, crea etiquetas a través de la Administración de identidades y accesos (IAM) con los mismos valores asignados en la consola de administración.

Crea valores de etiquetas de protección dinámicos

Usa estas instrucciones para crear valores de etiquetas de protección dinámica que se puedan usar con tus instancias de Compute Engine:

1. En la consola de administración, haz clic en el menú desplegable Planes de copia de seguridad y selecciona Etiquetas de protección dinámicas.

2. Haz clic en Crear etiqueta de protección dinámica.

3. Ingresa un valor de etiqueta único que cumpla con estos requisitos de nombres.

4. En la lista Tipo de aplicación, selecciona Compute Engine.

5. Elige una Plantilla y un Perfil correspondientes para asociarlos con este valor de etiqueta.

6. Haz clic en Guardar. Se crea un valor de etiqueta de protección dinámica.

Crea etiquetas de protección dinámicas

Usa estas instrucciones para crear etiquetas de protección dinámica que se adjuntarán a tus instancias de Compute Engine para automatizar la protección:

1. Para crear, actualizar y borrar definiciones de etiquetas, necesitas el rol de administrador de etiquetas o algún otro rol que incluya permisos específicos.

2. Abre la página Etiquetas en la consola de Google Cloud.

   Abre la página Etiquetas

3. En el Selector de alcance en la parte superior de la página, selecciona la organización o el proyecto en el que deseas crear una clave de etiqueta.

4. Haz clic en add Crear.

5. En el cuadro Clave de etiqueta, ingresa backupdr-dynamicprotect como la clave de etiqueta. Este es un paso obligatorio para garantizar una automatización exitosa. Ten en cuenta los errores ortográficos y asegúrate de incluir el guion.

6. Opcional: En el cuadro Descripción de la clave de la etiqueta, ingresa una descripción de la clave de la etiqueta.

7. Haz clic en add Agregar valor y, luego, ingresa cada valor de etiqueta que acabas de crear.

1. En el cuadro Valor de la etiqueta, ingresa el nombre visible del valor de la etiqueta. Esto se convierte en parte del nombre con espacio de nombres de tu etiqueta.

2. En el cuadro Descripción del valor de la etiqueta, ingresa una descripción de la plantilla y el perfil asociados con este valor de etiqueta.

3. Cuando termines de agregar valores de etiqueta, haz clic en Crear clave de etiqueta.

Cómo agregar etiquetas de protección dinámica a un recurso

Ahora que creaste valores de etiquetas de protección dinámica y los vinculaste a una etiqueta de protección dinámica, el siguiente paso es asignar etiquetas a una instancia de Compute Engine. La protección basada en etiquetas no funciona si tus instancias están protegidas dentro de un grupo lógico. Quita el grupo lógico y prueba usar la protección dinámica.

Antes de comenzar, habilita los permisos adecuados para tu rol y asegúrate de tener asignado uno de los siguientes roles:

• Administrador de copias de seguridad y DR

• Usuario que aplica Backup and DR

• Usuario de Backup and DR V2

• Editor de proyecto

• Propietario del proyecto

Puedes adjuntar tus etiquetas de protección dinámica a las instancias de Compute Engine con las siguientes instrucciones:

1. En la consola de Google Cloud, ve a la página Instancias de VM.

   Ir a Instancias de VM

2. Selecciona el proyecto y haz clic en Continuar.

3. En la columna Nombre, haz clic en el nombre de la VM a la que deseas agregar etiquetas.

4. En la página de detalles de la instancia de VM, completa los siguientes pasos:

   1. Haz clic en Editar.
   2. En la sección Básico, haz clic en Administrar etiquetas y agrega las etiquetas que deseas para la instancia.

5. Selecciona la clave backupdr-dynamicprotect: y un valor de etiqueta correspondiente que se asigne a una plantilla y un perfil que hayas configurado en la consola de Google Cloud.

6. Haz clic en Guardar.

Agrega etiquetas a un recurso durante su creación

En ciertas situaciones, es posible que desees etiquetar recursos durante la creación del recurso, en lugar de hacerlo después de crearlo.

variable "project_id" {
  description = "The ID of the existing Google Cloud project"
  type        = string
}

variable "region" {
  description = "The Google Cloud region where demo-instance should be created"
  type        = string
}

variable "zone" {
  description = "The Google Cloud zone where demo-instance should be created"
  type        = string
}

provider "google" {
  project = var.project_id
  region = var.region
  zone  = var.zone
}

data "google_project" "project" {
  project_id = var.project_id
}

# Reference: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/tags_tag_key
resource "google_tags_tag_key" "key" {
  parent = "projects/${var.project_id}"
  short_name = "backupdr-dynamicprotect"
  description = "Tag key for Dynamic Protection."
}

# Reference: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/tags_tag_value
resource "google_tags_tag_value" "value" {
  parent = "tagKeys/${google_tags_tag_key.key.name}"
  short_name = "backupdr-gold" # This value should be present in the "Management Console UI" > "Backup Plans" > "Dynamic Protection Tags"
  description = "Tag value for gold plan."
}

# Reference: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/compute_instance
# Ensure not to define tag in "resource_manager_tags" block while creating VM instance. It'll destroy the VM
# when tag value is changed/removed later. Instead define a separate tag binding using "google_tags_tag_binding"
# or "google_tags_location_tag_binding" resource. It'll modify just tag binding and VM instance won't be affected.

resource "google_compute_instance" "vm_instance" {
  name         = "demo-instance"
  machine_type = "e2-micro"
  zone         = var.zone

  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-11"
    }
  }

  network_interface {
    network = "default"

    access_config {
      // Ephemeral public IP
    }
  }
}

# Reference: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/google_tags_location_tag_binding
resource "google_tags_location_tag_binding" "binding" {
    parent    = "//compute.googleapis.com/projects/${data.google_project.project.number}/zones/${var.zone}/instances/${google_compute_instance.vm_instance.instance_id}"
    tag_value = "tagValues/${google_tags_tag_value.value.name}"
    location  = var.zone
}

# Reference for Tag bindings at project/org level: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/tags_tag_binding

Desconecta una etiqueta de un recurso

Para desconectar una etiqueta de un recurso, borra el recurso de vinculación de etiquetas.

Para revisar las instrucciones sobre cómo desconectar etiquetas, consulta Desconecta una etiqueta de un recurso en la documentación de Resource Manager.

Ejecuta la protección automática manual

Aunque el motor de protección se ejecuta todos los días a las 4:00 a.m. y a las 4:00 p.m., hora local, también puedes realizar una ejecución a pedido del motor de protección dinámica con los siguientes pasos de comandos:

1. Para configurar el extremo de la consola de administración, ingresa un valor que comience con "https://bmc-" y termine con ".com". Por ejemplo, https://bmc-PROJECT_NUMBER-GENERATED_ID-dot-REGION.backupdr.googleusercontent.com

   export MC_ENDPOINT="MC_ENDPOINT_edited_value"
   

2. Genera un token del portador:

   echo "Generating a new bearer token..."
   export BEARER_TOKEN=$(gcloud auth print-access-token)
   echo "Bearer token generated: BEARER_TOKEN=$BEARER_TOKEN"
   

3. Obtén un nuevo ID de sesión:

   echo "Generating a new session id..."
   export SESSION_RESPONSE=$(curl -XPOST -H "Authorization: Bearer $BEARER_TOKEN" -d {} "$MC_ENDPOINT/actifio/session" 2>&-)
   export SESSION_ID=$(echo $SESSION_RESPONSE | jq -r '.session_id')
   
   if [ -z ${SESSION_ID} ]
     then echo "Issue with generating a new session id. Response: $SESSION_RESPONSE";
     return 1;
   fi
   
   echo "Session id generated: SESSION_ID=$SESSION_ID"
   

   Después de configurar un extremo, generar un token portador y obtener un ID de sesión, puedes activar trabajos de protección dinámica durante una hora hasta que venza el ID de sesión.

4. Activa un trabajo de protección dinámica

   Un trabajo de protección dinámica actualiza todas las instancias de Compute Engine con sus etiquetas actuales y asigna planes de copia de seguridad en función de ellas. El trabajo activado puede tardar unos minutos, según la cantidad de cambios pendientes para tus cargas de trabajo.

   echo "Triggering dynamic protection job.."
   
   curl -H "Authorization: Bearer $BEARER_TOKEN" -H "backupdr-management-session: Actifio $SESSION_ID" -H "Content-Type: application/json" -XPOST -d '{}' "$MC_ENDPOINT/actifio/dynamicprotection/job/gceinstance"
   
   echo "Dynamic protection job triggered."
   

Cómo usar la Protección dinámica con Resource Manager

Puedes usar etiquetas de protección dinámica con Resource Manager para automatizar la protección de tus instancias de Compute Engine en un nivel organizativo superior. Usa el Administrador de recursos para etiquetar recursos a nivel del proyecto o superior para garantizar que la protección se herede en todos tus recursos. Obtén más información sobre la herencia de etiquetas.

Cómo migrar la protección manual a la protección dinámica

Si deseas migrar tus recursos ya protegidos a la protección dinámica con etiquetas, debes habilitar la marca de migración en tu proyecto. Después de habilitar la migración, las instancias protegidas de forma manual ahora pueden usar la protección dinámica. Si agregas etiquetas y recursos, se aplicará la protección automáticamente según la etiqueta y se quitará la protección manual existente.

Eventos y notificaciones

Después de que se ejecute el motor de protección dinámica, puedes revisar el progreso en los eventos de supervisión. La consola de administración recibe notificaciones de resumen después de realizar acciones de protección dinámicas. Se envían notificaciones de error si se necesita una acción del usuario.

Prácticas recomendadas

La protección dinámica puede aumentar la cantidad de trabajos de copia de seguridad en ejecución y la cantidad de almacenamiento utilizado. Para obtener los mejores resultados, ten en cuenta lo siguiente:

• Aumenta las ventanas de copia de seguridad. Un período de 6 a 10 horas puede ayudar a garantizar que todos los trabajos se ejecuten hasta completarse.

• Ten en cuenta los tipos de electrodomésticos antes de configurar las etiquetas. Para obtener los mejores resultados, asegúrate de que todas tus instancias de Compute Engine etiquetadas estén en dispositivos de copia de seguridad o recuperación que se ejecuten en el tipo de dispositivo estándar para VMs de Compute Engine o bases de datos de SAP HANA.

• Una VM restablecida conservará la misma etiqueta de protección que la VM fuente junto con el mismo plan de copia de seguridad. Sin embargo, el tipo de protección cambiará de protección basada en etiquetas a protección iniciada por el usuario. El recurso seguirá protegiéndose con el plan de copia de seguridad transferido. Para volver a cambiar el tipo de protección a la protección basada en etiquetas, puedes quitar el plan de copia de seguridad de protección transferido y activar el trabajo de protección dinámica a pedido o esperar a su próxima ejecución programada para que se vuelva a asignar la protección basada en etiquetas a la aplicación.

• Una VM activada en cualquier host existente o creado recientemente no transferirá la misma etiqueta de protección que la VM de origen, por lo que no se protegerá automáticamente después de la operación de activación. Si se debe proteger una VM recién activada, puedes aplicar la vinculación de etiquetas de VM nueva de manera similar a la VM de origen.