Antes de começar
Recomendamos que você leia Planejar uma implantação de backup e DR antes de começar esta seção.
Esta página detalha os requisitos do Google Cloud que precisam ser atendidos antes de ativar o Google Cloud Backup e o serviço de DR, que precisam ser feitos no console do Google Cloud .
Todas as tarefas descritas nesta página precisam ser realizadas no projeto do Google Cloud em que você está implantando o dispositivo de backup/recuperação. Se esse projeto for um projeto de serviço de VPC compartilhada, algumas tarefas serão realizadas no projeto da VPC e outras no projeto de carga de trabalho.
Permitir projetos de imagens confiáveis
Se você tiver ativado a política constraint/compute.trustedImageProjects nas políticas da
organização, o projeto de origem gerenciado pelo Google para as imagens
usadas para implantar o dispositivo de backup/recuperação não será permitido. É necessário
personalizar essa política da organização nos projetos em que os appliances de backup/recuperação
são implantados para evitar um erro de violação de política durante a
implantação, conforme detalhado nas seguintes instruções:
Acesse a página Políticas da organização e selecione o projeto em que você implanta os appliances.
Na lista de políticas, clique em Definir projetos de imagens confiáveis.
Clique em Editar para personalizar as restrições atuais de imagens confiáveis.
Na página Editar, selecione Personalizar.
Selecione uma das três opções a seguir:
Política herdada
Se houver uma política herdada, faça o seguinte:
Em Aplicação da política, selecione Mesclar com pai.
Clique em Adicionar regra.
Selecione Personalizado na lista suspensa Valores de política para definir a restrição em projetos de imagem específicos.
Selecione Permitir na lista suspensa Tipo de política para remover as restrições dos projetos de imagem especificados.
No campo Valores personalizados, insira o valor personalizado como projects/backupdr-images.
Clique em Concluído.
Regra Permitir existente
Se houver uma regra Permitir, siga estas etapas:
Deixe a Aplicação da política como padrão.
Selecione a regra Permitir.
Clique em Adicionar valor para adicionar outros projetos de imagem e insira o valor como projects/backupdr-images.
Clique em Concluído.
Nenhuma política ou regra
Se não houver uma regra, selecione Adicionar regra e siga as etapas abaixo:
Deixe a Aplicação da política como padrão.
Selecione Personalizado na lista suspensa Valores de política para definir a restrição em projetos de imagem específicos.
Selecione Permitir na lista suspensa Tipo de política para remover as restrições dos projetos de imagem especificados.
No campo Valores personalizados, insira o valor personalizado como projects/backupdr-images.
Se você estiver definindo restrições no nível do projeto, elas poderão entrar em conflito com as restrições atuais definidas na sua organização ou pasta.
Clique em Adicionar valor para adicionar outros projetos de imagem e em Concluído.
Clique em Salvar.
Clique em Salvar para aplicar a restrição.
Para mais informações sobre como criar políticas da organização, consulte Criar e gerenciar políticas da organização.
O processo de implantação
Para iniciar a instalação, o serviço de backup e DR cria uma conta de serviço para executar o instalador. A conta de serviço requer privilégios no projeto host, no projeto de serviço do dispositivo de backup/recuperação e no projeto de serviço do console de gerenciamento. Para mais informações, consulte contas de serviço.
A conta de serviço usada para a instalação se torna a conta de serviço do dispositivo de backup/recuperação. Após a instalação, as permissões da conta de serviço são reduzidas apenas às permissões exigidas pelo dispositivo de backup/recuperação.
O console de gerenciamento é implantado quando você instala o primeiro dispositivo de backup/recuperação. É possível implantar o serviço de backup e DR em uma VPC compartilhada ou em uma VPC não compartilhada.
Serviço de backup e DR em uma VPC não compartilhada
Quando o console de gerenciamento e o primeiro dispositivo de backup/recuperação são implantados em um único projeto com uma VPC não compartilhada, os três componentes do serviço de backup e DR estão no mesmo projeto.
Se a VPC for compartilhada, consulte Backup e serviço de DR em uma VPC compartilhada.
Ativar as APIs necessárias para instalação em uma VPC não compartilhada
Antes de ativar as APIs necessárias para instalação em uma VPC não compartilhada, consulte as regiões com suporte para a implantação do serviço de backup e DR. Consulte Regiões com suporte.
Para executar o instalador em uma VPC não compartilhada, as APIs a seguir precisam estar ativadas. Para ativar as APIs, você precisa ter a função Administrador do uso do serviço.
| API | Nome do serviço |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 O serviço de fluxo de trabalho tem suporte nas regiões listadas. Se o serviço do Workflows não estiver disponível em uma região em que o dispositivo de backup/recuperação estiver sendo implantado, o serviço de backup e DR vai usar a região "us-central1" por padrão. Se você tiver uma política da organização definida para impedir a criação de recursos em outras regiões, atualize temporariamente a política da organização para permitir a criação de recursos na região "us-central1". É possível restringir a região "us-central1" após a implantação do dispositivo de backup/recuperação.
A conta de usuário precisa dessas permissões no projeto de VPC não compartilhada.
| Função preferencial | Permissões necessárias |
|---|---|
| resourcemanager.projectIamAdmin (Administrador de IAM do projeto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Administrador do Service Usage) | serviceusage.services.list |
| iam.serviceAccountUser (Usuário da conta de serviço) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (administrador da conta de serviço) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (editor do Workflows) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (administrador de backup e DR) | backupdr.* |
| leitor (básico) | Concede as permissões necessárias para acessar a maioria dos recursos do Google Cloud . |
Backup e DR em uma VPC compartilhada
Ao implantar o console de gerenciamento e o primeiro dispositivo de backup/recuperação em um projeto da VPC compartilhada, é necessário configurar estes três projetos no projeto host ou em um ou mais projetos de serviço:
Antes de ativar as APIs necessárias para instalação em uma VPC compartilhada, consulte as regiões com suporte para implantação de backup e DR. Consulte Regiões com suporte.
Projeto proprietário da VPC: é o proprietário da VPC selecionada. O proprietário da VPC é sempre o projeto host.
Projeto do console de gerenciamento: é onde a API Backup and DR é ativada e onde você acessa o console de gerenciamento para gerenciar as cargas de trabalho.
Projeto de dispositivo de backup/recuperação: é onde o dispositivo de backup/recuperação é instalado e geralmente onde os recursos protegidos residem.
Em uma VPC compartilhada, pode haver um, dois ou três projetos.
| Tipo | Proprietário da VPC | Console de gerenciamento | Dispositivo de backup/recuperação |
|---|---|---|---|
| HHH | Projeto host | Projeto host | Projeto host |
| HHS | Projeto host | Projeto host | Projeto de serviço |
| HSH | Projeto host | Projeto de serviço | Projeto host |
| HSS | Projeto host | Projeto de serviço | Projeto de serviço |
| HS2 | Projeto host | Projeto de serviço | Um projeto de serviço diferente |
Descrições das estratégias de implantação
HHH: VPC compartilhada. O proprietário da VPC, o console de gerenciamento e o dispositivo de backup/recuperação estão no projeto host.
HHS: VPC compartilhada. O proprietário da VPC e o console de gerenciamento estão no projeto host, e o dispositivo de backup/recuperação está em um projeto de serviço.
HSH: VPC compartilhada. O proprietário da VPC e o dispositivo de backup/recuperação estão no projeto host, e o console de gerenciamento está em um projeto de serviço.
HSS: VPC compartilhada. O proprietário da VPC está no projeto de host, e o dispositivo de backup/recuperação e o console de gerenciamento estão em um projeto de serviço.
HS2: VPC compartilhada. O proprietário da VPC está no projeto host, e o dispositivo de backup/recuperação e o console de gerenciamento estão em dois projetos de serviço diferentes.
Ative essas APIs necessárias para instalação no projeto host
Para executar o instalador, as APIs abaixo precisam estar ativadas. Para ativar as APIs, você precisa da função Administrador do uso do serviço.
| API | Nome do serviço |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
Ative estas APIs necessárias para instalação no projeto do dispositivo de backup/recuperação
| API | Nome do serviço |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 O serviço de fluxo de trabalho tem suporte nas regiões listadas. Se o serviço do Workflows não estiver disponível em uma região em que o dispositivo de backup/recuperação estiver sendo implantado, o serviço de backup e DR vai usar a região "us-central1" por padrão. Se você tiver uma política da organização definida para impedir a criação de recursos em outras regiões, atualize-a temporariamente para permitir a criação de recursos na região "us-central1". É possível restringir a região "us-central1" após a implantação do dispositivo de backup/recuperação.
A conta de usuário precisa dessas permissões no projeto do proprietário da VPC.
| Papel preferencial | Permissões necessárias |
|---|---|
| resourcemanager.projectIamAdmin (Administrador de IAM do projeto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Administrador do Service Usage) | serviceusage.services.list |
A conta de usuário precisa dessas permissões no projeto do console de gerenciamento
O console de gerenciamento é implantado quando você instala o primeiro dispositivo de backup/recuperação.
| Papel preferencial | Permissões necessárias |
|---|---|
| resourcemanager.projectIamAdmin (Administrador de IAM do projeto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (administrador de backup e DR) | backupdr.* |
| leitor (básico) | Concede as permissões necessárias para acessar a maioria dos recursos do Google Cloud . |
A conta de usuário precisa dessas permissões no projeto do dispositivo de backup/recuperação.
| Papel preferencial | Permissões necessárias |
|---|---|
| resourcemanager.projectIamAdmin (Administrador de IAM do projeto) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccountUser (Usuário da conta de serviço) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (administrador da conta de serviço) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (editor do Workflows) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Administrador do Service Usage) | serviceusage.services.list |
Além das permissões da conta de usuário final, outras permissões são concedidas temporariamente à conta de serviço criada em seu nome até que a instalação seja concluída.
Configurar redes
Se uma rede VPC ainda não tiver sido criada para o projeto de destino, será necessário
criar uma antes de continuar.
Consulte Criar e modificar redes de nuvem privada virtual (VPC) para mais detalhes.
Você precisa de uma sub-rede em cada região em que planeja implantar um dispositivo de backup/recuperação,
e ela precisa ser atribuída com a permissão compute.networks.create para criar.
Se você estiver implantando appliances de backup/recuperação em várias redes, use sub-redes que não compartilhem os mesmos intervalos de endereços IP para evitar que vários appliances de backup/recuperação tenham o mesmo endereço IP.
Configurar Acesso privado do Google
O dispositivo de backup/recuperação se comunica com o console de gerenciamento usando o Acesso privado do Google. É recomendado ativar o Acesso privado do Google para cada sub-rede em que você quer implantar um dispositivo de backup/recuperação.
A sub-rede em que o dispositivo de backup/recuperação é implantado precisa se comunicar com
um domínio exclusivo hospedado no domínio backupdr.googleusercontent.com. É
recomendado incluir a seguinte configuração no Cloud DNS:
- Crie uma zona particular para o
nome DNS
backupdr.googleusercontent.com. - Crie um registro
Apara o domíniobackupdr.googleusercontent.come inclua cada um dos quatro endereços IP199.36.153.8,199.36.153.9,199.36.153.10e199.36.153.11da sub-redeprivate.googleapis.com199.36.153.8/30. Se você estiver usando o VPC Service Controls, use199.36.153.4,199.36.153.5,199.36.153.6,199.36.153.7da sub-rederestricted.googleapis.com199.36.153.4/30. - Crie um registro
CNAMEpara*.backupdr.googleusercontent.comque aponte para o nome de domíniobackupdr.googleusercontent.com.
Isso garante que qualquer resolução de DNS para seu domínio exclusivo do Google Admin Console seja feita usando o Acesso privado do Google.
Verifique se as regras de firewall têm uma regra de saída que permita o acesso no TCP
443 à sub-rede 199.36.153.8/30 ou 199.36.153.4/30. Além disso,
se você tiver uma regra de saída que permita todo o tráfego para 0.0.0.0/0, a
conectividade entre os dispositivos de backup/recuperação e o console de gerenciamento será
bem-sucedida.
Criar um bucket do Cloud Storage
Você precisa de um bucket do Cloud Storage se quiser proteger bancos de dados e sistemas de arquivos usando o agente de backup e DR e copiar os backups para o Cloud Storage para retenção de longo prazo. Isso também se aplica a backups de VM do VMware criados usando a proteção de dados das APIs de armazenamento do VMware vSphere.
Crie um bucket do Cloud Storage seguindo estas instruções:
No console do Google Cloud , acesse a página Buckets.
Clique em Criar bucket.
Digite um nome para o bucket.
Escolha uma região para armazenar seus dados e clique em Continuar.
Escolha uma classe de armazenamento padrão e clique em Continuar. Use a classe Nearline quando a retenção for de 30 dias ou menos ou Coldline quando a retenção for de 90 dias ou mais. Se a retenção for entre 30 e 90 dias, considere usar o coldline.
Deixe a opção Controle de acesso uniforme selecionada e clique em Continuar. Não use detalhes.
Deixe as ferramentas de Proteção definidas como Nenhum e clique em Continuar. Não selecione outras opções, porque elas não funcionam com o serviço de backup e DR.
Clique em Criar.
Valide se a conta de serviço tem acesso ao bucket:
Selecione o novo bucket para mostrar os detalhes dele.
Acesse Permissões.
Em Principais, verifique se as novas contas de serviço estão listadas. Se não forem, use o botão Adicionar para adicionar as contas de serviço de leitor e escritor como principais.