Restaurer une instance Compute Engine à partir d'un coffre-fort de sauvegarde

Cette page vous aide à restaurer une instance Compute Engine à partir d'un coffre-fort de sauvegarde dans la console Google Cloud .

Avant de commencer

  • Attribuez le rôle IAM Opérateur Backup and DR Compute Engine (roles/backupdr.computeEngineOperator) à l'agent de service du coffre de sauvegarde du coffre dans le projet cible où la restauration est effectuée.

  • Si vous utilisez un VPC partagé, accordez le rôle IAM Utilisateur du réseau Compute (roles/compute.networkUser) à l'agent de service du parc de sauvegarde du parc dans le projet hôte du VPC.

  • Attribuez les rôles IAM suivants à l'utilisateur qui effectue la restauration dans le projet de coffre-fort de sauvegarde.

    • Rôle "Utilisateur de sauvegarde et de reprise après sinistre" (roles/backupdr.restoreUser) pour le coffre de sauvegarde et le projet cible.
    • Lecteur Compute (roles/compute.viewer) pour la cible uniquement.

    Ces rôles prédéfinis contiennent les autorisations requises pour accéder au coffre de sauvegarde dans le projet Compute Engine. Pour connaître les autorisations spécifiques, consultez la liste suivante.

    • backupdr.bvbackups.restore
    • backupdr.compute.restoreFromBackupVault
    • backupdr.backupVaults.get
    • backupdr.backupVaults.list
    • backupdr.bvbackups.list
    • backupdr.bvdataSources.get
    • backupdr.bvdataSources.list
    • backupdr.bvbackups.get

    Pour restaurer une instance à l'aide de la CLI Google Cloud ou de l'API, un utilisateur doit disposer des autorisations suivantes :

    • backupdr.bvbackups.restore sur la ressource de sauvegarde.
    • backupdr.compute.restoreFromBackupVault sur le projet cible dans lequel l'instance sera restaurée.

Autorisations supplémentaires pour la console Google Cloud

Lorsque vous restaurez une instance à l'aide de la console Google Cloud , l'utilisateur a besoin des autorisations de CLI, ainsi que des autorisations suivantes. Ces autorisations supplémentaires sont requises pour que la console puisse lister et afficher les ressources Compute Engine nécessaires à la sélection dans l'interface utilisateur :

  • compute.acceleratorTypes.list
  • compute.disks.list
  • compute.machineTypes.list
  • compute.projects.get
  • compute.regions.list
  • compute.zones.list

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Restaurer une instance Compute Engine

Suivez les instructions ci-dessous pour restaurer une instance Compute Engine.

Console

  1. Dans la console Google Cloud , accédez à la page Sauvegardes archivées.

    Accéder aux sauvegardes stockées dans un vault

    Toutes les instances Compute Engine avec des sauvegardes dans un coffre-fort sont listées ici.

  2. Cliquez sur l'icône d'action pour sélectionner l'action Restaurer. La page Restaurer s'affiche. Vous y sélectionnez les options de restauration suivantes :

    • Sélectionnez un nom de ressource.
    • Sélectionnez une date et heure de création de la sauvegarde.
    • Sélectionnez le nom du projet dans lequel vous souhaitez restaurer la VM.

  3. Cliquez sur Continuer.

    • La page suivante, Créer une instance de VM à partir d'une sauvegarde, s'affiche. Les propriétés de la VM y sont préremplies en fonction de celles de la VM source. Vous pouvez modifier les propriétés pour créer une VM, par exemple en modifiant la sélection pour Région ou Type de machine.

  4. Cliquez sur Créer pour créer une VM à partir de la sauvegarde sélectionnée.

gcloud

  1. Si ce n'est pas déjà fait, accordez le rôle IAM Opérateur Compute Engine de sauvegarde et reprise après sinistre (roles/backupdr.computeEngineOperator) à l'agent de service du coffre de sauvegarde dans le projet de récupération où la VM est en cours de récupération.

  2. Pour obtenir le compte de service du coffre-fort de sauvegarde, utilisez la commande suivante.

      gcloud backup-dr backup-vaults describe BACKUPVAULT_NAME
  --location=LOCATION

    Remplacez les éléments suivants :

    • BACKUPVAULT_NAME : nom du coffre-fort de sauvegarde à partir duquel vous souhaitez restaurer les données.
    • LOCATION : emplacement du coffre de sauvegarde.

  3. Pour restaurer une instance Compute Engine, utilisez les commandes suivantes.

    • Restaurez une VM dans le même projet que le projet de charge de travail avec l'ID de sauvegarde.

        gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=LOCATION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT

    • Restaurez une VM dans le même projet que le projet de charge de travail avec l'URL complète de la ressource de sauvegarde.

        gcloud backup-dr backups restore compute projects/test-project-id/locations/us-central1/backupVaults/test-vault/dataSources/test-ds/backups/test-backup-id \
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT

    • Restaurer une instance Compute Engine avec un compte de service et une configuration réseau personnalisés.

        gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=LOCATION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT \
  --network-interface=network=NETWORK,subnet=SUBNET \
  --service-account=SERVICE_ACCOUNT \
  --scopes=SCOPE

      Remplacez les éléments suivants :

      • PROJECT : nom du projet de coffre-fort de sauvegarde.
      • LOCATION : emplacement du coffre de sauvegarde.
      • BACKUPVAULT_NAME : nom du coffre-fort de sauvegarde à partir duquel vous souhaitez restaurer les données.
      • DATA_SOURCE : nom de la source de données à partir de laquelle vous souhaitez restaurer les données.
      • NAME : nom de la VM restaurée.
      • TARGET_ZONE : région dans laquelle la VM est restaurée.
      • TARGET_PROJECT : projet dans lequel la VM est restaurée.
      • NETWORK : URI réseau de la VM.
      • SUBNET : URI du sous-réseau de la VM.
      • SERVICE_ACCOUNT : compte de service de la VM restaurée.
      • SCOPE : champ d'autorisation du compte de service.

Pour remplacer d'autres propriétés de VM, consultez Présentation des commandes Google Cloud CLI du service de sauvegarde et de reprise après sinistre.

Restaurer à partir d'un coffre de sauvegarde CMEK

Lorsque vous restaurez une sauvegarde à partir d'un coffre-fort de sauvegarde pour lequel CMEK est activé, le chiffrement de la ressource restaurée dépend du chiffrement de la source :

  • Si la ressource source était protégée par une clé CMEK : la ressource restaurée utilise par défaut la même clé CMEK que la source. Exemple :
    • Un disque persistant Compute Engine chiffré avec la clé K1 est restauré sur un disque chiffré avec K1.
    • Si une VM comporte plusieurs disques, chaque disque de la VM restaurée hérite du chiffrement de son disque source correspondant (les disques chiffrés avec une CMEK restent chiffrés avec leurs clés d'origine, et les disques chiffrés gérés par Google restent gérés par Google).
  • Si la ressource source utilisait le chiffrement géré par Google : la ressource restaurée utilise par défaut le chiffrement géré par Google.

Vous pouvez remplacer ce comportement par défaut lorsque vous restaurez des disques persistants Compute Engine ou des instances Compute Engine à l'aide de l'API ou de Google Cloud CLI. Par exemple, vous pouvez restaurer la sauvegarde d'une ressource protégée par une clé CMEK dans une nouvelle ressource utilisant le chiffrement géré par Google ou dans une nouvelle ressource protégée par une autre clé CMEK. Pour restaurer une ressource protégée par une nouvelle clé CMEK, assurez-vous que l'agent de service concerné (par exemple, Agent de service Compute Engine) pour le projet de destination dispose de l'autorisation roles/cloudkms.cryptoKeyEncrypterDecrypter sur la nouvelle clé de destination.

Si la clé Cloud Key Management Service qui protège la charge de travail source n'est pas disponible lors d'une opération de restauration, la restauration échoue par défaut. Dans ce cas, vous devez utiliser l'API ou Google Cloud CLI pour remplacer le paramètre de chiffrement en spécifiant une nouvelle clé CMEK ou en remplaçant le type de chiffrement par le chiffrement géré par Google pour la ressource restaurée.

Si la version de clé Cloud Key Management Service utilisée pour chiffrer les données dans le coffre-fort de sauvegarde est désactivée ou détruite, vous ne pourrez pas restaurer la sauvegarde.

Guide Backup and DR pour Compute Engine