Prima di iniziare
Ti consigliamo di leggere Pianificare un deployment di backup e DR prima di iniziare questa sezione.
Questa pagina descrive i requisiti di Google Cloud che devono essere soddisfatti prima di attivare il servizio di backup e DR di Google Cloud , da eseguire nella consoleGoogle Cloud .
Tutte le attività descritte in questa pagina devono essere eseguite nel progettoGoogle Cloud in cui esegui il deployment dell'appliance di backup/recupero. Se questo progetto è un progetto di servizio del VPC condiviso, alcune attività vengono eseguite nel progetto VPC e altre nel progetto del carico di lavoro.
Consenti progetti di immagini attendibili
Se hai attivato il criterio constraint/compute.trustedImageProjects nei criteri dell'organizzazione, il progetto di origine gestito da Google per le immagini utilizzate per eseguire il deployment dell'appliance di backup/ripristino non è consentito. Devi personalizzare questo criterio dell'organizzazione nei progetti in cui vengono di cui vengono eseguiti il deployment delle appliance di backup/recupero per evitare di ricevere un errore di violazione delle norme durante il deployment, come descritto nelle istruzioni riportate di seguito:
Vai alla pagina Criteri dell'organizzazione e seleziona il progetto in cui eseguire il deployment degli appliance.
Nell'elenco dei criteri, fai clic su Definisci progetti di immagini attendibili.
Fai clic su Modifica per personalizzare i vincoli delle immagini attendibili esistenti.
Nella pagina Modifica, seleziona Personalizza.
Seleziona una delle tre seguenti possibilità:
Criterio ereditato esistente
Se esiste già un criterio ereditato:
Per Applicazione dei criteri, seleziona Unisci con il gruppo principale.
Fai clic su Aggiungi regola.
Seleziona Personalizzata dall'elenco a discesa Valori policy per impostare il vincolo su progetti di immagini specifici.
Seleziona Consenti dall'elenco a discesa Tipo di criterio per rimuovere le limitazioni per i progetti di immagini specificati.
Nel campo Valori personalizzati, inserisci il valore personalizzato come projects/backupdr-images.
Fai clic su Fine.
Regola Consenti esistente
Se esiste già una regola Consenti, completa i seguenti passaggi:
Lascia l'impostazione predefinita selezionata per Applicazione criteri.
Seleziona la regola Consenti esistente.
Fai clic su Aggiungi valore per aggiungere altri progetti di immagini e inserisci il valore projects/backupdr-images.
Fai clic su Fine.
Nessun criterio o regola esistente
Se non esiste alcuna regola, seleziona Aggiungi regola e poi completa i seguenti passaggi:
Lascia l'impostazione predefinita selezionata per Applicazione criteri.
Seleziona Personalizzata dall'elenco a discesa Valori policy per impostare il vincolo su progetti di immagini specifici.
Seleziona Consenti dall'elenco a discesa Tipo di criterio per rimuovere le limitazioni per i progetti di immagini specificati.
Nel campo Valori personalizzati, inserisci il valore personalizzato come projects/backupdr-images.
Se imposti vincoli a livello di progetto, questi potrebbero essere in conflitto con i vincoli esistenti impostati per l'organizzazione o la cartella.
Fai clic su Aggiungi valore per aggiungere altri progetti di immagini e poi su Fine.
Fai clic su Salva.
Fai clic su Salva per applicare la limitazione.
Per saperne di più sulla creazione dei criteri dell'organizzazione, consulta Creare e gestire i criteri dell'organizzazione.
La procedura di deployment
Per avviare l'installazione, il servizio di backup e DR crea un account di servizio per eseguire il programma di installazione. L'account di servizio richiede privilegi nel progetto dell'host, nel progetto di servizio dell'appliance di backup/ripristino e nel progetto di servizio della console di gestione. Per saperne di più, consulta gli account di servizio.
L'account di servizio utilizzato per l'installazione diventa l'account di servizio dell'appliance di backup/recupero. Dopo l'installazione, le autorizzazioni dell'account di servizio vengono ridotte solo a quelle richieste dall'appliance di backup/ripristino.
La console di gestione viene implementata quando viene installata la prima appliance di backup/ripristino. Puoi eseguire il deployment del servizio di backup e DR in un VPC condiviso o in un VPC non condiviso.
Servizio di backup e RE in un VPC non condiviso
Quando esegui il deployment della console di gestione e della prima appliance di backup/ripristino in un singolo progetto con un VPC non condiviso, tutti e tre i componenti del servizio di Backup e DR si trovano nello stesso progetto.
Se il VPC è condiviso, consulta Servizio di backup e DR in un VPC condiviso.
Abilita le API richieste per l'installazione in un VPC non condiviso
Prima di attivare le API richieste per l'installazione in un VPC non condiviso, esamina le regioni supportate per il deployment del servizio di Backup e DR. Consulta la sezione Regioni supportate.
Per eseguire il programma di installazione in un VPC non condiviso, devono essere abilitate le seguenti API. Per abilitare le API, devi disporre del ruolo Amministratore utilizzo servizio.
| API | Nome servizio |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 Il servizio Workflow è supportato nelle regioni elencate. Se il servizio Workflows non è disponibile in una regione in cui viene eseguito il deployment dell'appliance di backup/ripristino, il servizio di Backup e DR utilizza per impostazione predefinita la regione "us-central1". Se hai un criterio dell'organizzazione impostato per impedire la creazione di risorse in altre regioni, devi aggiornare temporaneamente il criterio dell'organizzazione per consentire la creazione di risorse nella regione "us-central1". Puoi limitare la regione "us-central1" dopo il deployment dell'appliance di backup/recupero.
L'account utente richiede queste autorizzazioni nel progetto VPC non condiviso
| Ruolo preferito | Autorizzazioni richieste |
|---|---|
| resourcemanager.projectIamAdmin (Amministratore IAM progetto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Amministratore Service Usage) | serviceusage.services.list |
| iam.serviceAccountUser (utente account di servizio) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (Amministratore account di servizio) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (Workflows Editor) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (amministratore di Backup e DR) | backupdr.* |
| visualizzatore (di base) | Concedi le autorizzazioni necessarie per visualizzare la maggior parte delle risorse di Google Cloud . |
Backup e RE in un VPC condiviso
Quando esegui il deployment della console di gestione e della prima appliance di backup/ripristino in un progetto VPC condiviso, devi configurare questi tre progetti nel progetto host o in uno o più progetti di servizio:
Prima di attivare le API richieste per l'installazione in un VPC condiviso, esamina le regioni supportate per il deployment di backup e RE. Consulta Regioni supportate.
Progetto proprietario della VPC: il proprietario della VPC selezionata. Il proprietario del VPC è sempre il progetto host.
Progetto della console di gestione: è qui che viene attivata l'API di Backup e DR e dove accedi alla console di gestione per gestire i carichi di lavoro.
Progetto dell'appliance di backup/ripristino: è qui che è installata l'appliance di backup/ripristino e di solito si trovano le risorse protette.
In una VPC condiviso, possono essere uno, due o tre progetti.
| Tipo | Proprietario VPC | Console di gestione | Appliance di backup/ripristino |
|---|---|---|---|
| HHH | Progetto host | Progetto host | Progetto host |
| HHS | Progetto host | Progetto host | Progetto di servizio |
| HSH | Progetto host | Progetto di servizio | Progetto host |
| HSS | Progetto host | Progetto di servizio | Progetto di servizio |
| HS2 | Progetto host | Progetto di servizio | Un altro progetto di servizio |
Descrizioni delle strategie di deployment
HHH: VPC condiviso. Il proprietario del VPC, la console di gestione e l'appliance di backup/ripristino si trovano tutti nel progetto host.
HHS: VPC condiviso. Il proprietario della VPC e la console di gestione si trovano nel progetto host e l'appliance di backup/ripristino si trova in un progetto di servizio.
HSH: VPC condiviso. Il proprietario del VPC e l'appliance di backup/ripristino si trovano nel progetto host e la console di gestione si trova in un progetto di servizio.
HSS: VPC condiviso. Il proprietario del VPC si trova nel progetto host, mentre l'appliance di backup/ripristino e la console di gestione si trovano in un progetto di servizio.
HS2: VPC condiviso. Il proprietario del VPC si trova nel progetto host, mentre l'appliance di backup/ripristino e la console di gestione si trovano in due progetti di servizio diversi.
Abilita queste API richieste per l'installazione nel progetto host
Per eseguire il programma di installazione, devono essere abilitate le seguenti API. Per abilitare le API, è necessario il ruolo Amministratore utilizzo servizio.
| API | Nome servizio |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
Abilita queste API richieste per l'installazione nel progetto dell'appliance di backup/ripristino
| API | Nome servizio |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 Il servizio Workflow è supportato nelle regioni elencate. Se il servizio Workflows non è disponibile in una regione in cui viene eseguito il deployment dell'appliance di backup/ripristino, il servizio di Backup e DR utilizza per impostazione predefinita la regione "us-central1". Se hai un criterio dell'organizzazione impostato per impedire la creazione di risorse in altre regioni, devi aggiornare temporaneamente il criterio dell'organizzazione per consentire la creazione di risorse nella regione "us-central1". Puoi limitare la regione "us-central1" dopo il deployment dell'appliance di backup/recupero.
L'account utente richiede queste autorizzazioni nel progetto del proprietario della VPC
| Ruolo preferito | Autorizzazioni richieste |
|---|---|
| resourcemanager.projectIamAdmin (Amministratore IAM progetto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Amministratore Service Usage) | serviceusage.services.list |
L'account utente richiede queste autorizzazioni nel progetto della console di gestione
La console di gestione viene implementata quando viene installata la prima appliance di backup/ripristino.
| Ruolo preferito | Autorizzazioni richieste |
|---|---|
| resourcemanager.projectIamAdmin (Amministratore IAM progetto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (amministratore di Backup e DR) | backupdr.* |
| visualizzatore (di base) | Concedi le autorizzazioni necessarie per visualizzare la maggior parte delle risorse . |
L'account utente richiede queste autorizzazioni nel progetto dell'appliance di backup/ripristino
| Ruolo preferito | Autorizzazioni richieste |
|---|---|
| resourcemanager.projectIamAdmin (Amministratore IAM progetto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccountUser (utente account di servizio) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (Amministratore account di servizio) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (Workflows Editor) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Amministratore Service Usage) | serviceusage.services.list |
Oltre alle autorizzazioni dell'account utente finale, altre autorizzazioni vengono concesse temporaneamente all'account di servizio creato per tuo conto fino al completamento dell'installazione.
Configura reti
Se non è già stata creata una rete VPC per il progetto di destinazione, prima di procedere dovrai crearne una.
Per maggiori dettagli, consulta Creare e modificare le reti Virtual Private Cloud (VPC).
Devi avere una subnet in ogni regione in cui prevedi di eseguire il deployment di un'appliance di backup/ripristino e deve essere assegnata con l'autorizzazione compute.networks.create per crearla.
Se esegui il deployment di appliance di backup/recupero in più reti, utilizza subnet che non condividono gli stessi intervalli di indirizzi IP per evitare che più appliance di backup/recupero abbiano lo stesso indirizzo IP.
Configurazione dell'accesso privato Google
L'appliance di backup/ripristino comunica con la console di gestione utilizzando Accesso privato Google. È consigliabile abilitare l'accesso privato Google per ogni subnet in cui vuoi implementare un'appliance di backup/ripristino.
La sottorete in cui è implementato l'appliance di backup/ripristino deve comunicare con un dominio unico ospitato nel dominio backupdr.googleusercontent.com. Ti consigliamo di includere la seguente configurazione in Cloud DNS:
- Crea una zona privata per il nome DNS
backupdr.googleusercontent.com. - Crea un record
Aper il dominiobackupdr.googleusercontent.come includi ciascuno dei quattro indirizzi IP199.36.153.8,199.36.153.9,199.36.153.10,199.36.153.11dellaprivate.googleapis.comsubnet199.36.153.8/30. Se utilizzi Controlli di servizio VPC, utilizza199.36.153.4,199.36.153.5,199.36.153.6,199.36.153.7dalla sottoreterestricted.googleapis.com199.36.153.4/30. - Crea un record
CNAMEper*.backupdr.googleusercontent.comche punti al nome di dominiobackupdr.googleusercontent.com.
In questo modo, qualsiasi risoluzione DNS per il dominio della console di gestione univoco avviene tramite accesso privato Google.
Assicurati che le regole firewall abbiano una regola di uscita che consenta l'accesso su TCP443 alla subnet 199.36.153.8/30 o 199.36.153.4/30. Inoltre, se hai una regola di uscita che consente tutto il traffico verso 0.0.0.0/0, la connettività tra le appliance di backup/ripristino e la console di gestione dovrebbe essere soddisfacente.
Crea un bucket Cloud Storage
Se vuoi proteggere i database e i sistemi di file utilizzando l'agente di backup e RE, devi disporre di un bucket Cloud Storage per copiare i backup in Cloud Storage per la conservazione a lungo termine. Questo vale anche per i backup delle VM VMware creati utilizzando la protezione dei dati delle API di archiviazione VMware vSphere.
Crea un bucket Cloud Storage seguendo le istruzioni riportate di seguito:
Nella console Google Cloud , vai alla pagina Bucket di Cloud Storage.
Fai clic su Crea bucket.
Inserisci un nome per il bucket.
Scegli una regione in cui archiviare i dati e fai clic su Continua.
Scegli una classe di archiviazione predefinita e fai clic su Continua. Utilizza Nearline se il periodo di conservazione è pari o inferiore a 30 giorni o Coldline se è pari o superiore a 90 giorni. Se il periodo di conservazione è compreso tra 30 e 90 giorni, valuta la possibilità di utilizzare Coldline.
Lascia selezionata l'opzione Controllo dell'accesso uniforme e fai clic su Continua. Non utilizzare granularità fine.
Lascia gli strumenti di protezione impostati su Nessuna e fai clic su Continua. Non selezionare altre opzioni perché non funzionano con il servizio di backup e RE.
Fai clic su Crea.
Verifica che il tuo account di servizio abbia accesso al bucket:
Seleziona il nuovo bucket per visualizzarne i dettagli.
Vai ad Autorizzazioni.
In Enti, assicurati che i nuovi account di servizio siano elencati. In caso contrario, utilizza il pulsante Aggiungi per aggiungere gli account servizio di lettura e scrittura come principali.