Avant de commencer
Nous vous recommandons de lire Planifier un déploiement de sauvegarde et de DR avant de commencer cette section.
Cette page détaille les exigences Google Cloud à respecter avant d'activer le service de sauvegarde et de reprise après sinistre Google Cloud , qui doit être effectué dans la consoleGoogle Cloud .
Toutes les tâches décrites sur cette page doivent être effectuées dans le projetGoogle Cloud dans lequel vous déployez votre appareil de sauvegarde/restauration. Si ce projet est un projet de service VPC partagé, certaines tâches sont effectuées dans le projet VPC et d'autres dans le projet de charge de travail.
Autoriser les projets relatifs aux images de confiance
Si vous avez activé la règle constraint/compute.trustedImageProjects dans les règles Organisation, le projet source géré par Google pour les images utilisées pour déployer l'appareil de sauvegarde/restauration n'est pas autorisé. Vous devez personnaliser cette règle d'administration dans les projets où des appliances de sauvegarde/restauration sont déployés pour éviter d'obtenir une erreur de non-respect des règles lors du déploiement, comme indiqué dans les instructions suivantes:
Accédez à la page Règles d'administration, puis sélectionnez le projet dans lequel vous déployez vos appliances.
Dans la liste des règles, cliquez sur Définir les projets relatifs aux images de confiance.
Cliquez sur Modifier pour personnaliser les contraintes existantes associées aux images de confiance.
Sur la page Modifier, sélectionnez Personnaliser.
Choisissez l'une des trois possibilités suivantes:
Stratégie héritée existante
Si une stratégie héritée existe, procédez comme suit:
Pour Application des règles, sélectionnez Fusionner avec le parent.
Cliquez sur Ajouter une règle.
Sélectionnez Personnalisées dans la liste déroulante Valeurs de règles pour définir la contrainte sur des projets d'image spécifiques.
Sélectionnez Autoriser dans la liste déroulante Type de règle pour supprimer les restrictions sur les projets d'image spécifiés.
Dans le champ Valeurs personnalisées, saisissez la valeur personnalisée sous la forme projects/backupdr-images.
Cliquez sur OK.
Règle Autoriser existante
Si une règle Autoriser existe déjà, procédez comme suit:
Laissez la valeur par défaut sélectionnée pour Application des règles.
Sélectionnez la règle Autoriser existante.
Cliquez sur Ajouter une valeur pour ajouter des projets d'image, puis saisissez la valeur projects/backupdr-images.
Cliquez sur OK.
Aucune règle ou stratégie existante
Si aucune règle n'existe, sélectionnez Ajouter une règle, puis procédez comme suit:
Laissez la valeur par défaut sélectionnée pour Application des règles.
Sélectionnez Personnalisé dans la liste déroulante Valeurs de règles pour définir la contrainte sur des projets d'image spécifiques.
Sélectionnez Autoriser dans la liste déroulante Type de règle pour supprimer les restrictions sur les projets d'image spécifiés.
Dans le champ Valeurs personnalisées, saisissez la valeur personnalisée sous la forme projects/backupdr-images.
Si vous définissez des contraintes au niveau du projet, celles-ci peuvent entrer en conflit avec les contraintes existantes définies sur votre organisation ou votre dossier.
Cliquez sur Ajouter une valeur pour ajouter d'autres projets d'image, puis sur OK.
Cliquez sur Enregistrer.
Cliquez sur Enregistrer pour appliquer la contrainte.
Pour en savoir plus sur la création de règles d'administration d'administration, consultez la section Créer et gérer des règles d'administration.
Processus de déploiement
Pour lancer l'installation, le service de sauvegarde et de DR crée un compte de service pour exécuter le programme d'installation. Le compte de service nécessite des droits d'accès dans le projet hôte, le projet de service de l'appliance de sauvegarde/restauration et le projet de service de la console de gestion. Pour en savoir plus, consultez la page sur les comptes de service.
Le compte de service utilisé pour l'installation devient le compte de service de l'appliance de sauvegarde/restauration. Après l'installation, les autorisations du compte de service sont réduites aux seules autorisations requises par l'appliance de sauvegarde/restauration.
La console de gestion est déployée lorsque vous installez le premier système de sauvegarde/récupération. Vous pouvez déployer le service de sauvegarde et de reprise après sinistre dans un VPC partagé ou dans un VPC non partagé.
Service Backup and DR dans un VPC non partagé
Lorsque vous déployez la console de gestion et que le premier appareil de sauvegarde/restauration se trouve dans un seul projet avec un VPC non partagé, les trois composants du service Backup and DR se trouvent dans le même projet.
Si le VPC est partagé, consultez la section Service de sauvegarde et de reprise après sinistre dans un VPC partagé.
Activer les API requises pour l'installation dans un VPC non partagé
Avant d'activer les API requises pour l'installation dans un VPC non partagé, consultez les régions compatibles avec le déploiement du service Backup and DR. Consultez la section Régions où le service est disponible.
Pour exécuter le programme d'installation dans un VPC non partagé, les API suivantes doivent être activées. Pour activer les API, vous devez disposer du rôle Administrateur Service Usage.
| API | Nom du service |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 : le service Workflows est compatible avec les régions listées. Si le service Workflows n'est pas disponible dans la région où l'appliance de sauvegarde/restauration est déployée, le service Backup and DR est défini par défaut sur la région "us-central1". Si une règle d'administration est définie pour empêcher la création de ressources dans d'autres régions, vous devez la mettre à jour temporairement pour autoriser la création de ressources dans la région "us-central1". Vous pouvez limiter la région "us-central1" après le déploiement de l'appliance de sauvegarde/restauration.
Le compte utilisateur nécessite ces autorisations dans le projet de VPC non partagé.
| Rôle préféré | Autorisations nécessaires |
|---|---|
| resourcemanager.projectIamAdmin (Administrateur de projet IAM) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setiamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Administrateur d'utilisation du service) | serviceusage.services.list |
| iam.serviceAccountUser (Utilisateur du compte de service) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (Administrateur de compte de service) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (Éditeur de workflows) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (administrateur Backup and DR) | backupdr.* |
| Lecteur (édition de base) | Accorde les autorisations requises pour afficher la plupart des ressources Google Cloud . |
Sauvegarde et reprise après sinistre dans un VPC partagé
Lorsque vous déployez la console de gestion et le premier appareil de sauvegarde/restauration dans un projet de VPC partagé, vous devez configurer ces trois projets dans le projet hôte ou dans un ou plusieurs projets de service:
Avant d'activer les API requises pour l'installation dans un VPC partagé, consultez les régions compatibles avec le déploiement de Backup and DR. Consultez la section Régions où le service est disponible.
Projet propriétaire du VPC: propriétaire du VPC sélectionné. Le propriétaire du VPC est toujours le projet hôte.
Projet de console de gestion: c'est là que l'API Backup and DR est activée et que vous accédez à la console de gestion pour gérer les charges de travail.
Projet d'appareil de sauvegarde/restauration: emplacement où l'appareil de sauvegarde/restauration est installé et où se trouvent généralement les ressources protégées.
Dans un VPC partagé, il peut s'agir d'un, de deux ou de trois projets.
| Type | Propriétaire du VPC | Console de gestion | Appareil de sauvegarde/restauration |
|---|---|---|---|
| HHH | Projet hôte | Projet hôte | Projet hôte |
| HHS | Projet hôte | Projet hôte | Projet de service |
| HSH | Projet hôte | Projet de service | Projet hôte |
| HSS | Projet hôte | Projet de service | Projet de service |
| HS2 | Projet hôte | Projet de service | Un autre projet de service |
Descriptions des stratégies de déploiement
HHH: VPC partagé. Le propriétaire du VPC, la console de gestion et l'appareil de sauvegarde/restauration se trouvent tous dans le projet hôte.
HHS: VPC partagé. Le propriétaire du VPC et la console de gestion se trouvent dans le projet hôte, tandis que l'appareil de sauvegarde/restauration se trouve dans un projet de service.
HSH: VPC partagé. Le propriétaire du VPC et l'appareil de sauvegarde/restauration se trouvent dans le projet hôte, tandis que la console de gestion se trouve dans un projet de service.
HSS: VPC partagé. Le propriétaire du VPC se trouve dans le projet hôte, tandis que l'appareil de sauvegarde/restauration et la console de gestion se trouvent dans un projet de service.
HS2: VPC partagé. Le propriétaire du VPC se trouve dans le projet hôte, tandis que l'appliliance de sauvegarde/restauration et la console de gestion se trouvent dans deux projets de service différents.
Activez ces API requises pour l'installation dans le projet hôte.
Pour exécuter le programme d'installation, les API suivantes doivent être activées. Pour activer les API, vous devez disposer du rôle Administrateur Service Usage.
| API | Nom du service |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
Activez ces API requises pour l'installation dans le projet de l'appareil de sauvegarde/restauration.
| API | Nom du service |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 : le service Workflows est compatible avec les régions listées. Si le service Workflows n'est pas disponible dans une région où un appareil de sauvegarde/de récupération est déployé, le service Backup and DR est défini par défaut sur la région "us-central1". Si une règle d'administration de votre organisation est définie pour empêcher la création de ressources dans d'autres régions, vous devez la modifier temporairement pour autoriser la création de ressources dans la région "us-central1". Vous pouvez limiter la région "us-central1" après le déploiement de l'appliance de sauvegarde/restauration.
Le compte utilisateur nécessite ces autorisations dans le projet du propriétaire du VPC.
| Rôle préféré | Autorisations nécessaires |
|---|---|
| resourcemanager.projectIamAdmin (Administrateur de projet IAM) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setiamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Administrateur d'utilisation du service) | serviceusage.services.list |
Le compte utilisateur nécessite ces autorisations dans le projet de la console de gestion.
La console de gestion est déployée lorsque vous installez le premier système de sauvegarde/récupération.
| Rôle préféré | Autorisations nécessaires |
|---|---|
| resourcemanager.projectIamAdmin (Administrateur de projet IAM) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setiamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (administrateur Backup and DR) | backupdr.* |
| Lecteur (édition de base) | Accorde les autorisations requises pour afficher la plupart des ressources Google Cloud . |
Le compte utilisateur nécessite ces autorisations dans le projet de dispositif de sauvegarde/restauration.
| Rôle préféré | Autorisations nécessaires |
|---|---|
| resourcemanager.projectIamAdmin (Administrateur de projet IAM) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setiamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccountUser (Utilisateur du compte de service) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (Administrateur de compte de service) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (Éditeur de workflows) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Administrateur d'utilisation du service) | serviceusage.services.list |
En plus des autorisations du compte utilisateur final, d'autres autorisations sont temporairement accordées au compte de service créé en votre nom jusqu'à la fin de l'installation.
Configurer les réseaux
Si aucun réseau VPC n'a été créé pour votre projet cible, vous devez en créer un avant de continuer.
Pour en savoir plus, consultez Créer et modifier des réseaux de cloud privé virtuel (VPC).
Vous avez besoin d'un sous-réseau dans chaque région où vous prévoyez de déployer un appareil de sauvegarde/de récupération. Celui-ci doit être attribué avec l'autorisation compute.networks.create.
Si vous déployez des appliances de sauvegarde/restauration sur plusieurs réseaux, utilisez des sous-réseaux qui ne partagent pas les mêmes plages d'adresses IP pour éviter que plusieurs appliances de sauvegarde/restauration aient la même adresse IP.
Configurer l'accès privé à Google
L'appliance de sauvegarde/restauration communique avec la console de gestion à l'aide de l'accès privé à Google. Nous vous recommandons d'activer l'accès privé à Google pour chaque sous-réseau sur lequel vous souhaitez déployer un appareil de sauvegarde/restauration.
Le sous-réseau sur lequel l'appliance de sauvegarde/restauration est déployée doit communiquer avec un domaine unique hébergé sous le domaine backupdr.googleusercontent.com. Nous vous recommandons d'inclure la configuration suivante dans Cloud DNS:
- Créez une zone privée pour le nom DNS
backupdr.googleusercontent.com. - Créez un enregistrement
Apour le domainebackupdr.googleusercontent.comet incluez chacune des quatre adresses IP199.36.153.8,199.36.153.9,199.36.153.10et199.36.153.11du sous-réseau199.36.153.8/30private.googleapis.com. Si vous utilisez VPC Service Controls, utilisez199.36.153.4,199.36.153.5,199.36.153.6et199.36.153.7à partir du sous-réseaurestricted.googleapis.com199.36.153.4/30. - Créez un enregistrement
CNAMEpour*.backupdr.googleusercontent.comqui pointe vers le nom de domainebackupdr.googleusercontent.com.
Cela garantit que toute résolution DNS pour votre domaine de console de gestion unique est effectuée à l'aide de l'accès privé à Google.
Assurez-vous que vos règles de pare-feu comportent une règle de sortie qui autorise l'accès sur TCP 443 au sous-réseau 199.36.153.8/30 ou 199.36.153.4/30. De plus, si vous disposez d'une règle de sortie qui autorise tout le trafic vers 0.0.0.0/0, la connectivité entre les appareils de sauvegarde/restauration et la console de gestion devrait fonctionner.
Créer un bucket Cloud Storage
Vous avez besoin d'un bucket Cloud Storage si vous souhaitez protéger des bases de données et des systèmes de fichiers à l'aide de l'agent de sauvegarde et de reprise après sinistre, puis copier les sauvegardes dans Cloud Storage pour une conservation à long terme. Cela s'applique également aux sauvegardes de VM VMware créées à l'aide de la protection des données des API de stockage VMware vSphere.
Créez un bucket Cloud Storage en suivant les instructions suivantes:
Dans la console Google Cloud , accédez à la page Buckets de Cloud Storage.
Cliquez sur Create bucket (Créer un bucket).
Saisissez un nom pour le bucket.
Choisissez une région dans laquelle stocker vos données, puis cliquez sur Continuer.
Choisissez une classe de stockage par défaut, puis cliquez sur Continuer. Utilisez Nearline lorsque la période de conservation est de 30 jours ou moins, ou Coldline lorsque la période de conservation est de 90 jours ou plus. Si la durée de conservation est comprise entre 30 et 90 jours, envisagez d'utiliser Coldline.
Laissez l'option Contrôle des accès uniforme sélectionnée, puis cliquez sur Continuer. N'utilisez pas de précision fine.
Laissez l'option Outils de protection définie sur Aucun, puis cliquez sur Continuer. Ne sélectionnez pas d'autres options, car elles ne fonctionnent pas avec le service de sauvegarde et de reprise après sinistre.
Cliquez sur Créer.
Vérifiez que votre compte de service a accès à votre bucket:
Sélectionnez votre nouveau bucket pour afficher ses détails.
Accédez à Autorisations.
Sous Principals, assurez-vous que vos nouveaux comptes de service sont listés. Si ce n'est pas le cas, utilisez le bouton Ajouter pour ajouter les comptes de service lecteur et écrivain en tant que principaux.