Questa pagina è stata tradotta dall'API Cloud Translation.

Ripristina un'istanza Compute Engine da un vault di backup

Questa pagina ti aiuta a ripristinare un'istanza Compute Engine da un vault di backup nella console Google Cloud .

Prima di iniziare

Concedi il ruolo IAM Backup and DR Compute Engine Operator (roles/backupdr.computeEngineOperator) per l'agente di servizio del vault di backup del vault nel progetto di destinazione in cui viene eseguito il ripristino.
Concedi il ruolo IAM Utente di rete Compute (roles/compute.networkUser) per l'agente di servizio del vault di backup del vault nel progetto host VPC se utilizzi il VPC condiviso.
Concedi i seguenti ruoli IAM per l'utente che esegue il ripristino nel progetto del vault di backup.
- Backup and DR Restore User (roles/backupdr.restoreUser) sia per il vault di backup sia per il progetto di destinazione.
- Visualizzatore Compute (roles/compute.viewer) solo per la destinazione.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per accedere al vault di backup nel progetto Compute Engine. Per le autorizzazioni specifiche, consulta l'elenco seguente.
- backupdr.bvbackups.restore
- backupdr.compute.restoreFromBackupVault
- backupdr.backupVaults.get
- backupdr.backupVaults.list
- backupdr.bvbackups.list
- backupdr.bvdataSources.get
- backupdr.bvdataSources.list
- backupdr.bvbackups.get
Per ripristinare un'istanza utilizzando Google Cloud CLI o l'API, un utente deve disporre delle seguenti autorizzazioni:
- backupdr.bvbackups.restore sulla risorsa di backup.
- backupdr.compute.restoreFromBackupVault sul progetto di destinazione in cui verrà ripristinata l'istanza.

Autorizzazioni aggiuntive per la console Google Cloud

Quando ripristini un'istanza utilizzando la console Google Cloud , l'utente ha bisogno delle autorizzazioni CLI più le seguenti autorizzazioni. Queste autorizzazioni aggiuntive sono necessarie per consentire alla console di elencare e visualizzare le risorse Compute Engine necessarie per la selezione nell'interfaccia utente:

compute.acceleratorTypes.list
compute.disks.list
compute.machineTypes.list
compute.projects.get
compute.regions.list
compute.zones.list

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Ripristina un'istanza Compute Engine

Segui queste istruzioni per ripristinare un'istanza Compute Engine.

Console

Nella console Google Cloud , vai alla pagina Backup protetti.

Vai a Backup archiviati nel vault

Qui sono elencate tutte le istanze di Compute Engine con backup protetti.
Fai clic sull'icona dell'azione per selezionare l'azione Ripristina. La pagina Ripristina mostra dove selezionare le seguenti opzioni di ripristino:
- Seleziona un nome risorsa.
- Seleziona una data/ora di creazione del backup.
- Seleziona il nome del progetto in cui vuoi ripristinare la VM.
Fai clic su Procedi.
- Viene visualizzata la pagina successiva Crea una nuova istanza VM da un backup, in cui le proprietà della VM vengono precompilate in base alle proprietà della VM di origine. Puoi modificare le proprietà per creare una nuova VM, ad esempio modificare la selezione per Regione o Tipo di macchina.
Fai clic su Crea per creare una nuova VM dal backup selezionato.

Nota: puoi visualizzare e monitorare i job di ripristino nella pagina Backup e DR > Job.

gcloud

Se non è già stato concesso, concedi il ruolo IAM Operatore Compute Engine di Backup e DR (roles/backupdr.computeEngineOperator) all'agente di servizio del vault di backup nel progetto di ripristino in cui viene recuperata la VM.
Per ottenere l'account di servizio del vault di backup, utilizza il seguente comando.
```
  gcloud backup-dr backup-vaults describe BACKUPVAULT_NAME
  --location=LOCATION
```
Sostituisci quanto segue:
- BACKUPVAULT_NAME: il nome del vault di backup da cui vuoi ripristinare i dati.
- LOCATION: la posizione del vault di backup.
Per ripristinare un'istanza Compute Engine, utilizza i seguenti comandi.
- Ripristina una VM nello stesso progetto del progetto del carico di lavoro con l'ID backup.
```
  gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=LOCATION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT
```
- Ripristina una VM nello stesso progetto del progetto dei workload con l'URL completo della risorsa di backup.
```
  gcloud backup-dr backups restore compute projects/test-project-id/locations/us-central1/backupVaults/test-vault/dataSources/test-ds/backups/test-backup-id \
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT
```
- Ripristina un'istanza Compute Engine con un service account e una configurazione di rete personalizzati.
```
  gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=LOCATION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT \
  --network-interface=network=NETWORK,subnet=SUBNET \
  --service-account=SERVICE_ACCOUNT \
  --scopes=SCOPE
```
  Sostituisci quanto segue:
  - PROJECT: il nome del progetto del vault di backup.
  - LOCATION: la posizione del vault di backup.
  - BACKUPVAULT_NAME: il nome del vault di backup da cui vuoi ripristinare i dati.
  - DATA_SOURCE: il nome dell'origine dati da cui vuoi ripristinare i dati.
  - NAME: il nome della VM ripristinata.
  - TARGET_ZONE: la regione in cui viene ripristinata la VM.
  - TARGET_PROJECT: il progetto in cui viene ripristinata la VM.
  - NETWORK: l'URI di rete della VM.
  - SUBNET: l'URI della subnet della VM.
  - SERVICE_ACCOUNT: il account di servizio della VM ripristinata.
  - SCOPE: l'ambito di autorizzazione del account di servizio.

Per eseguire l'override di altre proprietà della VM, consulta Panoramica dei comandi Google Cloud CLI del servizio di backup e DR.

Ripristino da un vault di backup abilitato per CMEK

Quando ripristini un backup da un vault di backup abilitato per CMEK, la crittografia della risorsa ripristinata dipende dalla crittografia dell'origine:

Se la risorsa di origine era protetta da CMEK:la risorsa ripristinata utilizza per impostazione predefinita la stessa chiave CMEK dell'origine. Ad esempio:
- Un disco permanente di Compute Engine criptato con la chiave K1 viene ripristinato in un disco criptato con K1.
- Se una VM ha più dischi, ogni disco nella VM ripristinata eredita la crittografia del disco di origine corrispondente (i dischi criptati con CMEK rimangono criptati con le chiavi originali e i dischi criptati gestiti da Google rimangono gestiti da Google).
Se la risorsa di origine utilizzava la crittografia gestita da Google:la risorsa ripristinata utilizza per impostazione predefinita la crittografia gestita da Google.

Puoi eseguire l'override di questo comportamento predefinito durante il ripristino dei dischi permanenti Compute Engine o delle istanze Compute Engine utilizzando l'API o Google Cloud CLI. Ad esempio, puoi ripristinare un backup di una risorsa protetta da CMEK in una nuova risorsa che utilizza la crittografia gestita da Google o in una nuova risorsa protetta da una chiave CMEK diversa. Per eseguire il ripristino in una risorsa protetta da una nuova chiave CMEK, assicurati che l'agente di servizio pertinente (ad es. Compute Engine Service Agent) per il progetto di destinazione disponga dell'autorizzazione roles/cloudkms.cryptoKeyEncrypterDecrypter sulla nuova chiave di destinazione.

Se la chiave di Cloud Key Management Service che protegge il workload di origine non è disponibile durante un'operazione di ripristino, il ripristino non riesce per impostazione predefinita. In questo caso, devi utilizzare l'API o Google Cloud CLI per ignorare l'impostazione di crittografia specificando una nuova chiave CMEK o modificando il tipo di crittografia in crittografia gestita da Google per la risorsa ripristinata.

Se la versione della chiave Cloud Key Management Service utilizzata per criptare i dati nel vault di backup è disabilitata o eliminata, non potrai eseguire il ripristino da quel backup.