Antes de comenzar
Te recomendamos que leas Planifica una implementación de copia de seguridad y DR antes de comenzar esta sección.
En esta página, se detallan los requisitos de Google Cloud que se deben cumplir antes de habilitar el servicio de copia de seguridad y DR de Google Cloud , que se debe realizar en la consola deGoogle Cloud .
Todas las tareas que se describen en esta página deben realizarse en el proyecto de Google Cloud en el que implementas tu dispositivo de copia de seguridad o recuperación. Si este proyecto es un proyecto de servicio de VPC compartida, algunas tareas se realizan en el proyecto de VPC y otras en el proyecto de carga de trabajo.
Permite proyectos de imágenes confiables
Si habilitaste la política constraint/compute.trustedImageProjects en las políticas de Organización, no se permite el proyecto de origen administrado por Google para las imágenes que se usan para implementar el dispositivo de copia de seguridad o recuperación. Debes personalizar esta política de la organización en los proyectos en los que se implementan los dispositivos de copia de seguridad o recuperación para evitar obtener un error de incumplimiento de política durante la implementación, como se detalla en las siguientes instrucciones:
Ve a la página Políticas de la organización y selecciona el proyecto en el que implementas tus dispositivos.
En la lista de políticas, haz clic en Definir proyectos de imágenes confiables.
Haz clic en Editar para personalizar tus restricciones de imágenes confiables.
En la página Editar, selecciona Personalizar.
Selecciona una de las siguientes tres posibilidades:
Política heredada existente
Si hay una política heredada existente, completa lo siguiente:
En Aplicación de la política, selecciona Combinar con superior.
Haz clic en Agregar regla.
Selecciona Personalizado en la lista desplegable Valores de política para establecer la restricción en proyectos de imagen específicos.
Selecciona Permitir en la lista desplegable Tipo de política para quitar las restricciones de los proyectos de imagen especificados.
En el campo Valores personalizados, ingresa el valor personalizado como projects/backupdr-images.
Haz clic en Listo.
Regla Permitir existente
Si hay una regla Permitir existente, completa los siguientes pasos:
Deja la Aplicación de la política en la opción predeterminada seleccionada.
Selecciona la regla Permitir existente.
Haz clic en Agregar valor para agregar proyectos de imagen adicionales y, luego, ingresa el valor como projects/backupdr-images.
Haz clic en Listo.
No hay políticas ni reglas existentes
Si no hay ninguna regla existente, selecciona Agregar regla y, luego, completa los siguientes pasos:
Deja la Aplicación de la política en la opción predeterminada seleccionada.
Selecciona Personalizado en la lista desplegable Valores de política para establecer la restricción en proyectos de imagen específicos.
Selecciona Permitir en la lista desplegable Tipo de política para quitar las restricciones de los proyectos de imagen especificados.
En el campo Valores personalizados, ingresa el valor personalizado como projects/backupdr-images.
Si configuras restricciones a nivel del proyecto, estas podrían entrar en conflicto con las restricciones existentes establecidas en la organización o carpeta.
Haz clic en Agregar valor para agregar proyectos de imagen adicionales y, luego, en Listo.
Haz clic en Guardar.
Haz clic en Guardar para aplicar la restricción.
Para obtener más información sobre cómo crear políticas de la organización, consulta Crea y administra políticas de la organización.
El proceso de implementación
Para iniciar la instalación, el servicio de Backup and DR crea una cuenta de servicio para ejecutar el instalador. La cuenta de servicio requiere privilegios en el proyecto host, el proyecto de servicio del dispositivo de copia de seguridad o recuperación y el proyecto de servicio de la consola de administración. Para obtener más información, consulta Cuentas de servicio.
La cuenta de servicio que se usa para la instalación se convierte en la cuenta de servicio del dispositivo de copia de seguridad o recuperación. Después de la instalación, los permisos de la cuenta de servicio se reducen solo a los permisos que requiere el dispositivo de copia de seguridad o recuperación.
La consola de administración se implementa cuando instalas el primer dispositivo de copia de seguridad o recuperación. Puedes implementar el servicio de copia de seguridad y DR en una VPC compartida o en una VPC no compartida.
Servicio de copia de seguridad y DR en una VPC no compartida
Cuando se implementa la consola de administración y el primer dispositivo de copia de seguridad o recuperación se encuentra en un solo proyecto con una VPC no compartida, los tres componentes del servicio de copia de seguridad y DR se encuentran en el mismo proyecto.
Si la VPC es compartida, consulta Servicio de copia de seguridad y DR en una VPC compartida.
Habilita las APIs necesarias para la instalación en una VPC no compartida
Antes de habilitar las APIs necesarias para la instalación en una VPC no compartida, revisa las regiones compatibles para la implementación del servicio de Backup and DR. Consulta Regiones admitidas.
Para ejecutar el instalador en una VPC no compartida, se deben habilitar las siguientes APIs. Para habilitar las APIs, necesitas el rol de administrador de uso de servicios.
| API | Nombre del servicio |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Administración de identidades y accesos | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 El servicio de flujo de trabajo es compatible con las regiones que se indican. Si el servicio de Workflows no está disponible en una región donde se implementa el dispositivo de copia de seguridad o recuperación, el servicio de Backup and DR se establece de forma predeterminada en la región "us-central1". Si tienes una política de la organización configurada para evitar la creación de recursos en otras regiones, debes actualizarla temporalmente para permitir la creación de recursos en la región "us-central1". Puedes restringir la región "us-central1" después de la implementación del dispositivo de copia de seguridad o recuperación.
La cuenta de usuario requiere estos permisos en el proyecto de VPC no compartido.
| Rol preferido | Se necesitan permisos |
|---|---|
| resourcemanager.projectIamAdmin (Administrador de IAM de proyecto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Administrador de Service Usage) | serviceusage.services.list |
| iam.serviceAccountUser (usuario de cuenta de servicio) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (Administrador de la cuenta de servicio) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (Editor de flujos de trabajo) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (administrador de copias de seguridad y DR) | backupdr.* |
| visor (Básico) | Otorga los permisos necesarios para ver la mayoría de los recursos de Google Cloud . |
Copia de seguridad y DR en una VPC compartida
Cuando implementes la consola de administración y el primer dispositivo de copia de seguridad o recuperación en un proyecto de VPC compartida, debes configurar estos tres proyectos en el proyecto host o en uno o más proyectos de servicio:
Antes de habilitar las APIs necesarias para la instalación en una VPC compartida, revisa las regiones compatibles para la implementación de copias de seguridad y DR. Consulta Regiones compatibles.
Proyecto propietario de la VPC: Es el propietario de la VPC seleccionada. El propietario de la VPC siempre es el proyecto host.
Proyecto de la consola de administración: Aquí es donde se activa la API de Backup and DR y donde accedes a la consola de administración para administrar las cargas de trabajo.
Proyecto de dispositivo de copia de seguridad o recuperación: Aquí es donde se instala el dispositivo de copia de seguridad o recuperación y, por lo general, es donde residen los recursos protegidos.
En una VPC compartida, pueden ser uno, dos o tres proyectos.
| Tipo | Propietario de la VPC | Consola de administración | Dispositivo de copia de seguridad o recuperación |
|---|---|---|---|
| HHH | Proyecto host | Proyecto host | Proyecto host |
| HHS | Proyecto host | Proyecto host | Proyecto de servicio |
| HSH | Proyecto host | Proyecto de servicio | Proyecto host |
| HSS | Proyecto host | Proyecto de servicio | Proyecto de servicio |
| HS2 | Proyecto host | Proyecto de servicio | Un proyecto de servicio diferente |
Descripciones de las estrategias de implementación
HHH: VPC compartida. El propietario de la VPC, la consola de administración y el dispositivo de copia de seguridad o recuperación se encuentran en el proyecto host.
HHS: VPC compartida. El propietario de la VPC y la consola de administración se encuentran en el proyecto host, y el dispositivo de copia de seguridad o recuperación se encuentra en un proyecto de servicio.
HSH: VPC compartida. El propietario de la VPC y el dispositivo de copia de seguridad o recuperación se encuentran en el proyecto host, y la consola de administración se encuentra en un proyecto de servicio.
HSS: VPC compartida. El propietario de la VPC se encuentra en el proyecto host, y el dispositivo de copia de seguridad o recuperación y la consola de administración se encuentran en un proyecto de servicio.
HS2: VPC compartida. El propietario de la VPC se encuentra en el proyecto host, y el dispositivo de copia de seguridad o recuperación y la consola de administración se encuentran en dos proyectos de servicio diferentes.
Habilita estas APIs obligatorias para la instalación en el proyecto host
Para ejecutar el instalador, se deben habilitar las siguientes APIs. Para habilitar las APIs, necesitas el rol de Administrador de uso de servicios.
| API | Nombre del servicio |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
Habilita estas APIs obligatorias para la instalación en el proyecto del dispositivo de copia de seguridad o recuperación
| API | Nombre del servicio |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Administración de identidades y accesos | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 El servicio de flujo de trabajo es compatible con las regiones que se indican. Si el servicio de Workflows no está disponible en una región donde se implementa el dispositivo de copia de seguridad o recuperación, el servicio de Backup and DR se establece de forma predeterminada en la región "us-central1". Si tienes una política de la organización configurada para evitar la creación de recursos en otras regiones, debes actualizarla temporalmente para permitir la creación de recursos en la región "us-central1". Puedes restringir la región "us-central1" después de la implementación del dispositivo de copia de seguridad o recuperación.
La cuenta de usuario requiere estos permisos en el proyecto del propietario de la VPC.
| Rol preferido | Se necesitan permisos |
|---|---|
| resourcemanager.projectIamAdmin (Administrador de IAM de proyecto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Administrador de Service Usage) | serviceusage.services.list |
La cuenta de usuario requiere estos permisos en el proyecto de la consola de administración
La consola de administración se implementa cuando instalas el primer dispositivo de copia de seguridad o recuperación.
| Rol preferido | Se necesitan permisos |
|---|---|
| resourcemanager.projectIamAdmin (Administrador de IAM de proyecto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (administrador de copias de seguridad y DR) | backupdr.* |
| visor (básico) | Otorga los permisos necesarios para ver la mayoría de los recursos de Google Cloud . |
La cuenta de usuario requiere estos permisos en el proyecto del dispositivo de copia de seguridad o recuperación.
| Rol preferido | Se necesitan permisos |
|---|---|
| resourcemanager.projectIamAdmin (Administrador de IAM de proyecto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccountUser (usuario de cuenta de servicio) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (Administrador de la cuenta de servicio) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (Editor de flujos de trabajo) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Administrador de Service Usage) | serviceusage.services.list |
Además de los permisos de la cuenta de usuario final, se otorgan temporalmente otros permisos a la cuenta de servicio creada en tu nombre hasta que se complete la instalación.
Configura las redes
Si aún no se creó una red de VPC para tu proyecto de destino, debes crear una antes de continuar.
Consulta Crea y modifica redes de nube privada virtual (VPC) para obtener más información.
Necesitas una subred en cada región en la que planeas implementar un dispositivo de copia de seguridad o recuperación, y se le debe asignar el permiso compute.networks.create para crearlo.
Si implementas dispositivos de copia de seguridad o recuperación en varias redes, usa subredes que no compartan los mismos rangos de direcciones IP para evitar que varios dispositivos de copia de seguridad o recuperación tengan la misma dirección IP.
Configura el Acceso privado a Google
El dispositivo de copia de seguridad o recuperación se comunica con la consola de administración mediante el Acceso privado a Google. Te recomendamos que habilites el Acceso privado a Google para cada subred en la que desees implementar un dispositivo de copia de seguridad o recuperación.
La subred en la que se implementa el dispositivo de copia de seguridad o recuperación debe comunicarse con un dominio único alojado en el dominio backupdr.googleusercontent.com. Te recomendamos que incluyas la siguiente configuración en Cloud DNS:
- Crea una zona privada para el nombre de DNS
backupdr.googleusercontent.com. - Crea un registro
Apara el dominiobackupdr.googleusercontent.comy, luego, incluye cada una de las cuatro direcciones IP199.36.153.8,199.36.153.9,199.36.153.10y199.36.153.11de la subred199.36.153.8/30private.googleapis.com. Si usas Controles del servicio de VPC, usa199.36.153.4,199.36.153.5,199.36.153.6y199.36.153.7de la subredrestricted.googleapis.com199.36.153.4/30. - Crea un registro
CNAMEpara*.backupdr.googleusercontent.comque apunte al nombre de dominiobackupdr.googleusercontent.com.
Esto garantiza que cualquier resolución de DNS para tu dominio único de la Consola de administración se realice a través del acceso privado a Google.
Asegúrate de que tus reglas de firewall tengan una regla de salida que permita el acceso en 443 de TCP a la subred 199.36.153.8/30 o 199.36.153.4/30. Además, si tienes una regla de salida que permite todo el tráfico a 0.0.0.0/0, la conectividad entre los dispositivos de copia de seguridad o recuperación y la consola de administración debería tener éxito.
Cree un bucket de Cloud Storage
Necesitas un bucket de Cloud Storage si quieres proteger las bases de datos y los sistemas de archivos con el agente de copia de seguridad y DR, y luego copiar las copias de seguridad a Cloud Storage para la retención a largo plazo. Esto también se aplica a las copias de seguridad de VMs de VMware que se crean con la protección de datos de las APIs de almacenamiento de VMware vSphere.
Sigue estas instrucciones para crear un bucket de Cloud Storage:
En la consola de Google Cloud , ve a la página Buckets de Cloud Storage.
Haz clic en Crear bucket.
Ingresa un nombre para el bucket.
Elige una región para almacenar tus datos y haz clic en Continuar.
Elige una clase de almacenamiento predeterminada y haz clic en Continuar. Usa Nearline cuando la retención sea de 30 días o menos, o Coldline cuando sea de 90 días o más. Si la retención es de entre 30 y 90 días, considera usar Coldline.
Deja seleccionada la opción Control de acceso uniforme y haz clic en Continuar. No uses detalles detallados.
Deja las herramientas de Protección configuradas en Ninguna y haz clic en Continuar. No selecciones otras opciones, ya que no funcionan con el servicio de copia de seguridad y DR.
Haz clic en Crear.
Valida que tu cuenta de servicio tenga acceso a tu bucket:
Selecciona tu bucket nuevo para mostrar sus detalles.
Ve a Permisos.
En Principales, asegúrate de que tus cuentas de servicio nuevas aparezcan en la lista. Si no es así, usa el botón Agregar para agregar las cuentas de servicio de lectura y escritura como principales.