Restaurar uma instância do Compute Engine de um cofre de backup

Esta página ajuda você a restaurar uma instância do Compute Engine de um backup vault no console do Google Cloud .

Antes de começar

  • Conceda o papel do IAM de operador do Backup e DR do Compute Engine (roles/backupdr.computeEngineOperator) ao agente de serviço do backup vault do vault no projeto de destino em que a restauração está sendo realizada.

  • Conceda o papel do IAM Usuário de rede do Compute (roles/compute.networkUser) para o agente de serviço do backup vault do vault no projeto host da VPC se você estiver usando a VPC compartilhada.

  • Conceda os seguintes papéis do IAM ao usuário que realiza a restauração no projeto do backup vault.

    • Usuário de Backup e DR (roles/backupdr.restoreUser) para o backup vault e o projeto de destino.
    • Leitor do Compute (roles/compute.viewer) apenas para o destino.

    Esses papéis predefinidos contêm as permissões necessárias para acessar o backup vault no projeto do Compute Engine. Para permissões específicas, consulte a lista a seguir.

    • backupdr.bvbackups.restore
    • backupdr.compute.restoreFromBackupVault
    • backupdr.backupVaults.get
    • backupdr.backupVaults.list
    • backupdr.bvbackups.list
    • backupdr.bvdataSources.get
    • backupdr.bvdataSources.list
    • backupdr.bvbackups.get

    Para restaurar uma instância usando a CLI do Google Cloud ou a API, um usuário precisa ter as seguintes permissões:

    • backupdr.bvbackups.restore no recurso de backup.
    • backupdr.compute.restoreFromBackupVault no projeto de destino em que a instância será restaurada.

Outras permissões para o console do Google Cloud

Ao restaurar uma instância usando o console do Google Cloud , o usuário precisa das permissões da CLI e das seguintes permissões. Essas permissões adicionais são necessárias para que o console liste e mostre os recursos do Compute Engine necessários para seleção na interface do usuário:

  • compute.acceleratorTypes.list
  • compute.disks.list
  • compute.machineTypes.list
  • compute.projects.get
  • compute.regions.list
  • compute.zones.list

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

restaurar uma instância do Compute Engine

Use as instruções a seguir para restaurar uma instância do Compute Engine.

Console

  1. No console Google Cloud , acesse a página Backups em cofre.

    Acessar backups em vault

    Todas as instâncias do Compute Engine com backups protegidos são listadas aqui.

  2. Clique no ícone de ação para selecionar a opção Restaurar. A página de restauração mostra onde você seleciona as seguintes opções de restauração:

    • Selecione um Nome do recurso.
    • Selecione um horário de criação do backup.
    • Selecione o Nome do projeto em que você quer restaurar a VM.

  3. Clique em Proceed.

    • A próxima página Criar uma nova instância de VM usando um backup aparece, em que as propriedades da VM são preenchidas automaticamente com base nas propriedades da VM de origem. É possível modificar as propriedades para criar uma nova VM. Por exemplo, mude a seleção de Região ou Tipo de máquina.

  4. Clique em Criar para criar uma VM com base no backup selecionado.

gcloud

  1. Se ainda não tiver sido concedido, conceda o papel do IAM Operador do Compute Engine de backup e DR (roles/backupdr.computeEngineOperator) ao agente de serviço do backup vault no projeto de recuperação em que a VM está sendo recuperada.

  2. Para acessar a conta de serviço do backup vault, use o seguinte comando:

      gcloud backup-dr backup-vaults describe BACKUPVAULT_NAME
  --location=LOCATION

    Substitua:

    • BACKUPVAULT_NAME: o nome do cofre de backup de que você quer restaurar os dados.
    • LOCATION: o local do backup vault.

  3. Para restaurar uma instância do Compute Engine, use os comandos a seguir.

    • Restaure uma VM no mesmo projeto da carga de trabalho com o ID do backup.

        gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=LOCATION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT

    • Restaure uma VM no mesmo projeto que o projeto de carga de trabalho com o URL completo do recurso de backup.

        gcloud backup-dr backups restore compute projects/test-project-id/locations/us-central1/backupVaults/test-vault/dataSources/test-ds/backups/test-backup-id \
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT

    • Restaurar uma instância do Compute Engine com configuração de rede e conta de serviço personalizadas.

        gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=LOCATION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT \
  --network-interface=network=NETWORK,subnet=SUBNET \
  --service-account=SERVICE_ACCOUNT \
  --scopes=SCOPE

      Substitua:

      • PROJECT: o nome do projeto do cofre de backup.
      • LOCATION: o local do backup vault.
      • BACKUPVAULT_NAME: o nome do cofre de backup de que você quer restaurar os dados.
      • DATA_SOURCE: o nome da fonte de dados de que você quer restaurar os dados.
      • NAME: o nome da VM restaurada.
      • TARGET_ZONE: a região em que a VM é restaurada.
      • TARGET_PROJECT: o projeto em que a VM é restaurada.
      • NETWORK: o URI de rede da VM.
      • SUBNET: o URI da sub-rede da VM.
      • SERVICE_ACCOUNT: a conta de serviço da VM restaurada.
      • SCOPE: o escopo de autorização da conta de serviço.

Para substituir outras propriedades da VM, consulte Visão geral dos comandos da CLI do Google Cloud do Serviço de backup e DR.

Como restaurar de um backup vault ativado para CMEK

Quando você restaura um backup de um cofre de backup habilitado para CMEK, a criptografia do recurso restaurado depende da criptografia da origem:

  • Se o recurso de origem estava protegido por CMEK:o recurso restaurado usa por padrão a mesma chave CMEK da origem. Por exemplo:
    • Um disco permanente do Compute Engine criptografado com a chave K1 é restaurado para um disco criptografado com K1.
    • Se uma VM tiver vários discos, cada disco na VM restaurada vai herdar a criptografia do disco de origem correspondente. Os discos criptografados com CMEK permanecem criptografados com as chaves originais, e os discos criptografados gerenciados pelo Google permanecem gerenciados pelo Google.
  • Se o recurso de origem usou a criptografia gerenciada pelo Google:o recurso restaurado usa a criptografia gerenciada pelo Google por padrão.

É possível substituir esse comportamento padrão ao restaurar discos persistentes ou instâncias do Compute Engine usando a API ou a CLI do Google Cloud. Por exemplo, é possível restaurar um backup de um recurso protegido por CMEK para um novo recurso que usa criptografia gerenciada pelo Google ou para um novo recurso protegido por uma chave CMEK diferente. Para restaurar um recurso protegido por uma nova chave da CMEK, verifique se o agente de serviço relevante (por exemplo, Agente de serviço do Compute Engine) para o projeto de destino tem permissão roles/cloudkms.cryptoKeyEncrypterDecrypter na nova chave de destino.

Se a chave de serviço do Cloud Key Management Service que protege a carga de trabalho de origem não estiver disponível durante uma operação de restauração, a restauração vai falhar por padrão. Nesse caso, use a API ou a CLI do Google Cloud para substituir a configuração de criptografia. Especifique uma nova chave CMEK ou mude o tipo de criptografia para a gerenciada pelo Google no recurso restaurado.

Se a versão da chave do Cloud Key Management Service usada para criptografar dados no backup vault for desativada ou destruída, não será possível fazer a restauração desse backup.

O guia do Backup e DR Compute Engine