Esta página foi traduzida pela API Cloud Translation.

Restaure uma instância do Compute Engine a partir de um cofre de cópias de segurança

Esta página ajuda a restaurar uma instância do Compute Engine a partir de um cofre de cópias de segurança na Google Cloud consola.

Antes de começar

Conceda a função IAM de operador do Compute Engine do Backup and DR (roles/backupdr.computeEngineOperator) ao agente do serviço de cofre de cópias de segurança do cofre no projeto de destino onde está a ser feita a restauração.
Conceda a função de utilizador da rede de computação (roles/compute.networkUser) da IAM ao agente do serviço de cofre de cópias de segurança do cofre no projeto anfitrião da VPC se estiver a usar a VPC partilhada.
Conceda as seguintes funções de IAM ao utilizador que executa a restauração no projeto do cofre de cópias de segurança.
- Utilizador de restauro de cópias de segurança e RD (roles/backupdr.restoreUser) para o cofre de cópias de segurança e o projeto de destino.
- Calcular o visualizador de computação (roles/compute.viewer) apenas para o destino.
Estas funções predefinidas contêm as autorizações necessárias para aceder ao cofre de cópias de segurança no projeto do Compute Engine. Para autorizações específicas, consulte a seguinte lista.
- backupdr.bvbackups.restore
- backupdr.compute.restoreFromBackupVault
- backupdr.backupVaults.get
- backupdr.backupVaults.list
- backupdr.bvbackups.list
- backupdr.bvdataSources.get
- backupdr.bvdataSources.list
- backupdr.bvbackups.get
Para restaurar uma instância através da CLI do Google Cloud ou da API, um utilizador tem de ter as seguintes autorizações:
- backupdr.bvbackups.restore no recurso de cópia de segurança.
- backupdr.compute.restoreFromBackupVault no projeto de destino onde a instância vai ser restaurada.

Autorizações adicionais para a consola Google Cloud

Quando restaura uma instância através da Google Cloud consola, o utilizador precisa das autorizações da CLI, além das seguintes autorizações. Estas autorizações adicionais são necessárias para que a consola liste e apresente os recursos do Compute Engine necessários para seleção na interface do utilizador:

compute.acceleratorTypes.list
compute.disks.list
compute.machineTypes.list
compute.projects.get
compute.regions.list
compute.zones.list

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Restaure uma instância do Compute Engine

Siga as instruções abaixo para restaurar uma instância do Compute Engine.

Consola

Na Google Cloud consola, aceda à página Cópias de segurança protegidas.

Aceda às cópias de segurança protegidas

Todas as instâncias do Compute Engine com cópias de segurança protegidas são apresentadas aqui.
Clique no ícone de ação para selecionar a ação Restaurar. A página Restaurar é apresentada quando seleciona as seguintes opções de restauro:
- Selecione um Nome do recurso.
- Selecione uma Hora de criação da cópia de segurança.
- Selecione o Nome do projeto no qual quer restaurar a VM.
Clique em Continuar.
- É apresentada a página seguinte Crie uma nova instância de VM a partir de uma cópia de segurança, onde as propriedades da VM são pré-preenchidas com base nas propriedades da VM de origem. Pode modificar as propriedades para criar uma nova VM. Por exemplo, altere a seleção para Região ou Tipo de máquina.
Clique em Criar para criar uma nova VM a partir da cópia de segurança selecionada.

Nota: pode ver e monitorizar as tarefas de restauro na página Backup and DR > Tarefas.

gcloud

Se ainda não tiver sido concedida, conceda a função do IAM Operador do Compute Engine de cópia de segurança e recuperação de desastres (roles/backupdr.computeEngineOperator) ao agente de serviço do cofre de cópias de segurança no projeto de recuperação onde a VM está a ser recuperada.
Para obter a conta de serviço do cofre de cópias de segurança, use o seguinte comando.
```
  gcloud backup-dr backup-vaults describe BACKUPVAULT_NAME
  --location=LOCATION
```
Substitua o seguinte:
- BACKUPVAULT_NAME: o nome do cofre de cópias de segurança a partir do qual quer restaurar os dados.
- LOCATION: a localização do cofre de cópias de segurança.
Para restaurar uma instância do Compute Engine, use os seguintes comandos.
- Restaure uma VM no mesmo projeto que o projeto de carga de trabalho com o ID da cópia de segurança.
```
  gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=LOCATION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT
```
- Restaure uma VM no mesmo projeto que o projeto da carga de trabalho com o URL completo do recurso de cópia de segurança.
```
  gcloud backup-dr backups restore compute projects/test-project-id/locations/us-central1/backupVaults/test-vault/dataSources/test-ds/backups/test-backup-id \
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT
```
- Restaure uma instância do Compute Engine com uma conta de serviço e uma configuração de rede personalizadas.
```
  gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=LOCATION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT \
  --network-interface=network=NETWORK,subnet=SUBNET \
  --service-account=SERVICE_ACCOUNT \
  --scopes=SCOPE
```
  Substitua o seguinte:
  - PROJECT: o nome do projeto do cofre de cópias de segurança.
  - LOCATION: a localização do cofre de cópias de segurança.
  - BACKUPVAULT_NAME: o nome do cofre de cópias de segurança a partir do qual quer restaurar os dados.
  - DATA_SOURCE: o nome da origem de dados a partir da qual quer restaurar os dados.
  - NAME: o nome da VM restaurada.
  - TARGET_ZONE: a região na qual a VM é restaurada.
  - TARGET_PROJECT: o projeto no qual a VM é restaurada.
  - NETWORK: o URI de rede da VM.
  - SUBNET: o URI da sub-rede da VM.
  - SERVICE_ACCOUNT: a conta de serviço da VM restaurada.
  - SCOPE: o âmbito de autorização da conta de serviço.

Para substituir outras propriedades da VM, consulte o artigo Vista geral dos comandos da CLI gcloud do serviço de cópia de segurança e recuperação de desastres.

Restaurar a partir de um cofre de cópias de segurança com CMEK ativada

Quando restaura uma cópia de segurança a partir de um cofre de cópias de segurança com CMEK ativada, a encriptação do recurso restaurado depende da encriptação da origem:

Se o recurso de origem estava protegido pela CMEK: o recurso restaurado usa por predefinição a mesma chave CMEK que a origem. Por exemplo:
- Um Persistent Disk do Compute Engine encriptado com a chave K1 é restaurado para um disco encriptado com K1.
- Se uma VM tiver vários discos, cada disco na VM restaurada herda a encriptação do disco de origem correspondente (os discos encriptados com CMEK permanecem encriptados com as respetivas chaves originais, e os discos encriptados geridos pela Google permanecem geridos pela Google).
Se o recurso de origem usou a encriptação gerida pela Google: o recurso restaurado usa a encriptação gerida pela Google por predefinição.

Pode substituir este comportamento predefinido quando restaurar discos persistentes do Compute Engine ou instâncias do Compute Engine através da API ou da CLI Google Cloud. Por exemplo, pode restaurar uma cópia de segurança de um recurso protegido por CMEK para um novo recurso que use a encriptação gerida pela Google ou para um novo recurso protegido por uma chave CMEK diferente. Para restaurar para um recurso protegido por uma nova chave CMEK, certifique-se de que o agente do serviço relevante (por exemplo, O agente do serviço do Compute Engine) para o projeto de destino tem autorização roles/cloudkms.cryptoKeyEncrypterDecrypter na nova chave de destino.

Se a chave do Cloud Key Management Service que protege a carga de trabalho de origem não estiver disponível durante uma operação de restauro, o restauro falha por predefinição. Neste caso, tem de usar a API ou a CLI Google Cloud para substituir a definição de encriptação especificando uma nova chave CMEK ou alterando o tipo de encriptação para encriptação gerida pela Google para o recurso restaurado.

Se a versão da chave do Cloud Key Management Service usada para encriptar dados no cofre de cópias de segurança estiver desativada ou destruída, não pode fazer o restauro a partir dessa cópia de segurança.