Memulihkan instance Compute Engine dari vault cadangan

Halaman ini membantu Anda memulihkan instance Compute Engine dari vault cadangan di konsol Google Cloud .

Sebelum memulai

  • Berikan peran IAM Backup and DR Compute Engine Operator (roles/backupdr.computeEngineOperator) untuk agen layanan vault cadangan vault di project target tempat pemulihan dilakukan.

  • Berikan peran IAM Compute Network User (roles/compute.networkUser) untuk agen layanan brankas cadangan brankas di project host VPC jika Anda menggunakan VPC Bersama.

  • Berikan peran IAM berikut untuk pengguna yang melakukan pemulihan di project vault cadangan.

    • Pengguna Pemulihan Backup and DR (roles/backupdr.restoreUser) untuk project target dan vault cadangan.
    • Compute Viewer (roles/compute.viewer) hanya untuk target.

    Peran bawaan ini berisi izin yang diperlukan untuk mengakses vault cadangan di project Compute Engine. Untuk izin tertentu, lihat daftar berikut.

    • backupdr.bvbackups.restore
    • backupdr.compute.restoreFromBackupVault
    • backupdr.backupVaults.get
    • backupdr.backupVaults.list
    • backupdr.bvbackups.list
    • backupdr.bvdataSources.get
    • backupdr.bvdataSources.list
    • backupdr.bvbackups.get

    Untuk memulihkan instance menggunakan Google Cloud CLI atau API, pengguna harus memiliki izin berikut:

    • backupdr.bvbackups.restore pada resource cadangan.
    • backupdr.compute.restoreFromBackupVault di project target tempat instance akan dipulihkan.

Izin Tambahan untuk konsol Google Cloud

Saat memulihkan instance menggunakan konsol Google Cloud , pengguna memerlukan izin CLI dan izin berikut. Izin tambahan ini diperlukan agar konsol dapat mencantumkan dan menampilkan resource Compute Engine yang diperlukan untuk dipilih di antarmuka pengguna:

  • compute.acceleratorTypes.list
  • compute.disks.list
  • compute.machineTypes.list
  • compute.projects.get
  • compute.regions.list
  • compute.zones.list

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Memulihkan instance Compute Engine

Gunakan petunjuk berikut untuk memulihkan instance Compute Engine.

Konsol

  1. Di konsol Google Cloud , buka halaman Vaulted backups.

    Buka Cadangan tersimpan

    Semua instance Compute Engine dengan cadangan yang disimpan di vault tercantum di sini.

  2. Klik ikon tindakan untuk memilih tindakan Pulihkan. Halaman Pemulihan ditampilkan tempat Anda memilih opsi pemulihan berikut:

    • Pilih Nama resource.
    • Pilih Waktu pembuatan cadangan.
    • Pilih Nama project tempat Anda ingin memulihkan VM.

  3. Klik Lanjutkan.

    • Halaman berikutnya Buat instance VM baru dari cadangan akan muncul, dengan properti VM yang telah diisi otomatis berdasarkan properti VM sumber. Anda dapat mengubah properti untuk membuat VM baru, misalnya, mengubah pilihan untuk Region atau Jenis Mesin.

  4. Klik Buat untuk membuat VM baru dari cadangan yang dipilih.

gcloud

  1. Jika belum diberikan, berikan peran IAM Backup and DR Compute Engine Operator (roles/backupdr.computeEngineOperator) kepada agen layanan vault cadangan di project pemulihan tempat VM dipulihkan.

  2. Untuk mendapatkan akun layanan vault cadangan, gunakan perintah berikut.

      gcloud backup-dr backup-vaults describe BACKUPVAULT_NAME
  --location=LOCATION

    Ganti kode berikut:

    • BACKUPVAULT_NAME: nama brankas cadangan tempat Anda ingin memulihkan data.
    • LOCATION: lokasi brankas cadangan.

  3. Untuk memulihkan instance Compute Engine, gunakan perintah berikut.

    • Memulihkan VM di project yang sama dengan project beban kerja menggunakan ID cadangan.

        gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=LOCATION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT

    • Memulihkan VM dalam project yang sama dengan project workload menggunakan URL resource lengkap cadangan.

        gcloud backup-dr backups restore compute projects/test-project-id/locations/us-central1/backupVaults/test-vault/dataSources/test-ds/backups/test-backup-id \
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT

    • Memulihkan instance Compute Engine dengan konfigurasi jaringan dan akun layanan kustom.

        gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=LOCATION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT \
  --network-interface=network=NETWORK,subnet=SUBNET \
  --service-account=SERVICE_ACCOUNT \
  --scopes=SCOPE

      Ganti kode berikut:

      • PROJECT: nama project brankas cadangan.
      • LOCATION: lokasi brankas cadangan.
      • BACKUPVAULT_NAME: nama brankas cadangan tempat Anda ingin memulihkan data.
      • DATA_SOURCE: nama sumber data yang ingin Anda pulihkan datanya.
      • NAME: nama VM yang dipulihkan.
      • TARGET_ZONE: region tempat VM dipulihkan.
      • TARGET_PROJECT: project tempat VM dipulihkan.
      • NETWORK: URI jaringan VM.
      • SUBNET: URI subnet VM.
      • SERVICE_ACCOUNT: akun layanan VM yang dipulihkan.
      • SCOPE: cakupan otorisasi akun layanan.

Untuk mengganti properti VM lainnya, lihat Ringkasan perintah Google Cloud CLI Backup and DR Service.

Memulihkan dari vault cadangan yang mendukung CMEK

Saat Anda memulihkan cadangan dari vault cadangan yang mendukung CMEK, enkripsi resource yang dipulihkan bergantung pada enkripsi sumber:

  • Jika resource sumber dilindungi oleh CMEK: Resource yang dipulihkan secara default menggunakan kunci CMEK yang sama dengan sumber. Misalnya:
    • Persistent disk Compute Engine yang dienkripsi dengan kunci K1 dipulihkan ke disk yang dienkripsi dengan K1.
    • Jika VM memiliki beberapa disk, setiap disk di VM yang dipulihkan akan mewarisi enkripsi disk sumber yang sesuai (disk yang dienkripsi CMEK tetap dienkripsi dengan kunci aslinya, dan disk yang dienkripsi yang dikelola Google tetap dikelola Google).
  • Jika resource sumber menggunakan enkripsi yang dikelola Google: Resource yang dipulihkan secara default menggunakan enkripsi yang dikelola Google.

Anda dapat mengganti perilaku default ini saat memulihkan disk persisten Compute Engine atau instance Compute Engine menggunakan API atau Google Cloud CLI. Misalnya, Anda dapat memulihkan cadangan resource yang dilindungi CMEK ke resource baru yang menggunakan enkripsi yang dikelola Google, atau ke resource baru yang dilindungi oleh kunci CMEK yang berbeda. Untuk memulihkan ke resource yang dilindungi oleh kunci CMEK baru, pastikan agen layanan yang relevan (misalnya, Agen Layanan Compute Engine) untuk project tujuan memiliki izin roles/cloudkms.cryptoKeyEncrypterDecrypter pada kunci tujuan baru.

Jika kunci Cloud Key Management Service yang melindungi workload sumber tidak tersedia selama operasi pemulihan, pemulihan akan gagal secara default. Dalam hal ini, Anda harus menggunakan API atau Google Cloud CLI untuk mengganti setelan enkripsi dengan menentukan kunci CMEK baru atau mengubah jenis enkripsi menjadi enkripsi yang dikelola Google untuk resource yang dipulihkan.

Jika versi kunci Cloud Key Management Service yang digunakan untuk mengenkripsi data di vault cadangan dinonaktifkan atau dihancurkan, Anda tidak akan dapat memulihkan dari cadangan tersebut.

Panduan Backup and DR Compute Engine