Compute Engine-Instanz aus einem Backup-Vault wiederherstellen

Auf dieser Seite erfahren Sie, wie Sie eine Compute Engine-Instanz über die Google Cloud -Konsole aus einem Sicherungstresor wiederherstellen.

Hinweise

  • Gewähren Sie die IAM-Rolle „Backup and DR Compute Engine Operator“ (roles/backupdr.computeEngineOperator) für den Backup Vault-Dienst-Agent des Tresors im Zielprojekt, in dem die Wiederherstellung erfolgt.

  • Weisen Sie dem Backup Vault-Dienst-Agent des Tresors im VPC-Hostprojekt die IAM-Rolle „Compute Network User“ (roles/compute.networkUser) zu, wenn Sie eine freigegebene VPC verwenden.

  • Weisen Sie dem Nutzer, der die Wiederherstellung im Backup Vault-Projekt durchführt, die folgenden IAM-Rollen zu.

    • Backup and DR Restore User (roles/backupdr.restoreUser) für das Backup-Vault und das Zielprojekt.
    • Compute-Betrachter (roles/compute.viewer) nur für das Ziel.

    Diese vordefinierten Rollen enthalten die Berechtigungen, die für den Zugriff auf den Sicherungstresor im Compute Engine-Projekt erforderlich sind. Informationen zu bestimmten Berechtigungen finden Sie in der folgenden Liste.

    • backupdr.bvbackups.restore
    • backupdr.compute.restoreFromBackupVault
    • backupdr.backupVaults.get
    • backupdr.backupVaults.list
    • backupdr.bvbackups.list
    • backupdr.bvdataSources.get
    • backupdr.bvdataSources.list
    • backupdr.bvbackups.get

    Wenn ein Nutzer eine Instanz mit der Google Cloud CLI oder der API wiederherstellen möchte, muss er die folgenden Berechtigungen haben:

    • backupdr.bvbackups.restore für die Sicherungsressource.
    • backupdr.compute.restoreFromBackupVault für das Zielprojekt, in dem die Instanz wiederhergestellt wird.

Zusätzliche Berechtigungen für die Google Cloud -Konsole

Wenn Sie eine Instanz über die Google Cloud Console wiederherstellen, benötigt der Nutzer die CLI-Berechtigungen sowie die folgenden Berechtigungen. Diese zusätzlichen Berechtigungen sind erforderlich, damit in der Konsole die erforderlichen Compute Engine-Ressourcen für die Auswahl in der Benutzeroberfläche aufgeführt und angezeigt werden können:

  • compute.acceleratorTypes.list
  • compute.disks.list
  • compute.machineTypes.list
  • compute.projects.get
  • compute.regions.list
  • compute.zones.list

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Compute Engine-Instanz wiederherstellen

Folgen Sie der Anleitung unten, um eine Compute Engine-Instanz wiederherzustellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Vaulted Backups auf.

    Zu Vault-Sicherungen

    Hier werden alle Compute Engine-Instanzen mit gesicherten Back-ups aufgeführt.

  2. Klicken Sie auf das Aktionssymbol, um die Aktion Wiederherstellen auszuwählen. Auf der Seite Seite wiederherstellen können Sie die folgenden Wiederherstellungsoptionen auswählen:

    • Wählen Sie einen Ressourcennamen aus.
    • Wählen Sie einen Erstellungszeitpunkt der Sicherung aus.
    • Wählen Sie den Projektnamen aus, in dem Sie die VM wiederherstellen möchten.

  3. Klicken Sie auf Fortfahren.

    • Die nächste Seite Neue VM-Instanz aus Sicherung erstellen wird angezeigt. Die VM-Attribute sind basierend auf den Attributen der Quell-VM vorausgefüllt. Sie können die Eigenschaften ändern, um eine neue VM zu erstellen. Ändern Sie dazu beispielsweise die Auswahl für Region oder Maschinentyp.

  4. Klicken Sie auf Erstellen, um eine neue VM aus der ausgewählten Sicherung zu erstellen.

gcloud

  1. Wenn noch nicht geschehen, weisen Sie dem Backup and DR Compute Engine Operator-Dienst-Agent (roles/backupdr.computeEngineOperator) im Wiederherstellungsprojekt, in dem die VM wiederhergestellt wird, die IAM-Rolle zu.

  2. Verwenden Sie den folgenden Befehl, um das Dienstkonto des Sicherungstresors abzurufen.

      gcloud backup-dr backup-vaults describe BACKUPVAULT_NAME
  --location=LOCATION

    Ersetzen Sie Folgendes:

    • BACKUPVAULT_NAME: Der Name des Sicherungstresors, aus dem Sie Daten wiederherstellen möchten.
    • LOCATION: Der Speicherort des Backup Vaults.

  3. Verwenden Sie die folgenden Befehle, um eine Compute Engine-Instanz wiederherzustellen.

    • Stellen Sie eine VM im selben Projekt wie das Arbeitslastprojekt mit der Sicherungs-ID wieder her.

        gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=LOCATION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT

    • Stellen Sie eine VM im selben Projekt wie das Arbeitslastprojekt mit der vollständigen Ressourcen-URL der Sicherung wieder her.

        gcloud backup-dr backups restore compute projects/test-project-id/locations/us-central1/backupVaults/test-vault/dataSources/test-ds/backups/test-backup-id \
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT

    • Compute Engine-Instanz mit benutzerdefiniertem Dienstkonto und benutzerdefinierter Netzwerkkonfiguration wiederherstellen

        gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=LOCATION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT \
  --network-interface=network=NETWORK,subnet=SUBNET \
  --service-account=SERVICE_ACCOUNT \
  --scopes=SCOPE

      Ersetzen Sie Folgendes:

      • PROJECT: der Name des Projekts für den Sicherungstresor.
      • LOCATION: Der Speicherort des Backup Vaults.
      • BACKUPVAULT_NAME: Der Name des Sicherungstresors, aus dem Sie Daten wiederherstellen möchten.
      • DATA_SOURCE: der Name der Datenquelle, aus der Sie Daten wiederherstellen möchten.
      • NAME: der Name der wiederhergestellten VM.
      • TARGET_ZONE: Die Region, in der die VM wiederhergestellt wird.
      • TARGET_PROJECT: Das Projekt, in dem die VM wiederhergestellt wird.
      • NETWORK: Der Netzwerk-URI der VM.
      • SUBNET: der Subnetz-URI der VM.
      • SERVICE_ACCOUNT: Das Dienstkonto der wiederhergestellten VM.
      • SCOPE: der Autorisierungsbereich des Dienstkontos.

Informationen zum Überschreiben anderer VM-Eigenschaften finden Sie unter Übersicht über die Google Cloud CLI-Befehle des Backup and DR-Dienstes.

Aus einem CMEK-fähigen Backup Vault wiederherstellen

Wenn Sie eine Sicherung aus einem CMEK-fähigen Sicherungsspeicher wiederherstellen, hängt die Verschlüsselung der wiederhergestellten Ressource von der Verschlüsselung der Quelle ab:

  • Wenn die Quellressource durch CMEK geschützt war:Für die wiederhergestellte Ressource wird standardmäßig derselbe CMEK-Schlüssel wie für die Quelle verwendet. Beispiel:
    • Ein nichtflüchtiger Speicher von Compute Engine, der mit dem Schlüssel K1 verschlüsselt ist, wird auf einem Laufwerk wiederhergestellt, das mit K1 verschlüsselt ist.
    • Wenn eine VM mehrere Laufwerke hat, erbt jedes Laufwerk in der wiederhergestellten VM die Verschlüsselung des entsprechenden Quelllaufwerks. CMEK-verschlüsselte Laufwerke bleiben mit ihren ursprünglichen Schlüsseln verschlüsselt und von Google verwaltete verschlüsselte Laufwerke bleiben von Google verwaltet.
  • Wenn für die Quellressource die von Google verwaltete Verschlüsselung verwendet wurde:Für die wiederhergestellte Ressource wird standardmäßig die von Google verwaltete Verschlüsselung verwendet.

Sie können dieses Standardverhalten überschreiben, wenn Sie nichtflüchtige Compute Engine-Speicher oder Compute Engine-Instanzen mit der API oder der Google Cloud CLI wiederherstellen. Sie können beispielsweise eine Sicherung einer CMEK-geschützten Ressource in einer neuen Ressource wiederherstellen, die von Google verwaltete Verschlüsselung verwendet oder durch einen anderen CMEK-Schlüssel geschützt ist. Wenn Sie eine Ressource wiederherstellen möchten, die durch einen neuen CMEK-Schlüssel geschützt ist, müssen Sie dafür sorgen, dass das entsprechende Dienstkonto (z.B. Der Compute Engine-Dienst-Agent für das Zielprojekt hat die Berechtigung roles/cloudkms.cryptoKeyEncrypterDecrypter für den neuen Zielschlüssel.

Wenn der Cloud Key Management Service-Schlüssel, mit dem die Quellarbeitslast geschützt wird, während eines Wiederherstellungsvorgangs nicht verfügbar ist, schlägt die Wiederherstellung standardmäßig fehl. In diesem Fall müssen Sie die API oder die Google Cloud CLI verwenden, um die Verschlüsselungseinstellung zu überschreiben. Geben Sie dazu einen neuen CMEK-Schlüssel an oder ändern Sie den Verschlüsselungstyp für die wiederhergestellte Ressource in die von Google verwaltete Verschlüsselung.

Wenn die Cloud Key Management Service-Schlüsselversion, die zum Verschlüsseln von Daten im Sicherungstresor verwendet wird, deaktiviert oder gelöscht wird, können Sie die Daten nicht aus dieser Sicherung wiederherstellen.

Leitfaden zu Backup and DR Compute Engine