Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Compute Engine-Instanz aus einem Backup-Vault wiederherstellen

Auf dieser Seite erfahren Sie, wie Sie eine Compute Engine-Instanz aus einem Backup Vault in der Google Cloud Console wiederherstellen.

Hinweis

Weisen Sie dem Backup Vault-Dienst-Agent des Vault im Zielprojekt, in dem die Wiederherstellung ausgeführt wird, die IAM-Rolle „Backup und DR Compute Engine-Operator“ (roles/backupdr.computeEngineOperator) zu.
Weisen Sie dem Backup Vault-Dienst-Agent des Vault im VPC-Hostprojekt die IAM-Rolle „Compute-Netzwerknutzer“ (roles/compute.networkUser) zu, wenn Sie eine freigegebene VPC verwenden.
Weisen Sie dem Nutzer, der die Wiederherstellung im Backup Vault-Projekt ausführt, die folgenden IAM-Rollen zu:
- „Backup and DR Restore User“ (roles/backupdr.restoreUser) für den Backup Vault und das Zielprojekt.
- „Compute-Betrachter“ (roles/compute.viewer) nur für das Ziel.
Diese vordefinierten Rollen enthalten die Berechtigungen, die für den Zugriff auf den Backup Vault im Compute Engine-Projekt erforderlich sind. Informationen zu bestimmten Berechtigungen finden Sie in der folgenden Liste.
- backupdr.bvbackups.restore
- backupdr.compute.restoreFromBackupVault
- backupdr.backupVaults.get
- backupdr.backupVaults.list
- backupdr.bvbackups.list
- backupdr.bvdataSources.get
- backupdr.bvdataSources.list
- backupdr.bvbackups.get
Wenn ein Nutzer eine Instanz mit der Google Cloud CLI oder der API wiederherstellen möchte, benötigt er die folgenden Berechtigungen:
- backupdr.bvbackups.restore für die Sicherungsressource.
- backupdr.compute.restoreFromBackupVault für das Zielprojekt, in dem die Instanz wiederhergestellt wird.

Zusätzliche Berechtigungen für die Google Cloud Console

Wenn Sie eine Instanz mit der Google Cloud Console wiederherstellen, benötigt der Nutzer die CLI-Berechtigungen sowie die folgenden Berechtigungen. Diese zusätzlichen Berechtigungen sind erforderlich, damit die Console die erforderlichen Compute Engine-Ressourcen auflisten und zur Auswahl in der Benutzeroberfläche anzeigen kann:

compute.acceleratorTypes.list
compute.disks.list
compute.machineTypes.list
compute.projects.get
compute.regions.list
compute.zones.list

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Compute Engine-Instanz wiederherstellen

Folgen Sie der Anleitung, um eine Compute Engine-Instanz wiederherzustellen.

Console

Rufen Sie in der Google Cloud Console die Seite Vault-Sicherungen auf.

Zu Vault-Sicherungen

Hier sind alle Compute Engine-Instanzen mit Vault-Sicherungen aufgeführt.
Klicken Sie auf das Aktionssymbol , um die Aktion Wiederherstellen auszuwählen. Auf der Seite Wiederherstellen können Sie die folgenden Wiederherstellungsoptionen auswählen:
- Wählen Sie einen Ressourcennamen aus.
- Wählen Sie einen Erstellungszeitpunkt der Sicherung aus.
- Wählen Sie den Projektnamen aus, in dem Sie die VM wiederherstellen möchten.
Klicken Sie auf Weiter.
- Die nächste Seite Neue VM-Instanz aus Sicherung erstellen wird angezeigt. Die VM-Attribute werden basierend auf den Attributen der Quell-VM vorab ausgefüllt. Sie können die Attribute ändern, um eine neue VM zu erstellen, z. B. die Auswahl für Region oder Maschinentyp ändern.
Klicken Sie auf Erstellen , um eine neue VM aus der ausgewählten Sicherung zu erstellen.

Hinweis: Sie können die Wiederherstellungsjobs auf der Seite Backup und DR > Jobs ansehen und beobachten.

gcloud

Wenn noch nicht geschehen, weisen Sie dem Backup Vault-Dienst-Agent im Wiederherstellungsprojekt, in dem die VM wiederhergestellt wird, die IAM-Rolle „Backup und DR Compute Engine-Operator“ (roles/backupdr.computeEngineOperator) zu.
Verwenden Sie den folgenden Befehl, um das Backup Vault-Dienstkonto abzurufen.
```
  gcloud backup-dr backup-vaults describe BACKUPVAULT_NAME
  --location=REGION
```
Ersetzen Sie Folgendes:
- BACKUPVAULT_NAME: der Name des Backup Vault, aus dem Sie Daten wiederherstellen möchten.
- REGION: die Region des Backup Vault.

Bevor Sie eine Compute Engine-Instanz wiederherstellen können, müssen Sie mit den folgenden Befehlen die Datenquellen-ID und die ID der erforderlichen Sicherung abrufen.

Datenquellen-ID suchen

  gcloud backup-dr data-sources list \
  --project=PROJECT \
  --location=REGION \
  --backup-vault=BACKUPVAULT_NAME \
  "--filter=dataSourceGcpResource.computeInstanceDatasourceProperties.name:(DATA_SOURCE)" \
  "--format=get(name)")

Listen Sie die vorhandenen Sicherungen für die Datenquelle auf, um die richtige BACKUP_ID zu finden.

  gcloud backup-dr backups list \
  --location=REGION \
  --backup-vault=BACKUPVAULT_NAME \
  --data-source=DATA_SOURCE \
  "--format=yaml(backupType,computeInstanceBackupProperties.sourceInstance,consistencyTime,enforcedRetentionEndTime,expireTime,name)"

Verwenden Sie die folgenden Befehle, um eine Compute Engine-Instanz wiederherzustellen.
- VM im selben Projekt wie das Workload-Projekt mit Sicherungs-ID wiederherstellen.
```
  gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=REGION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT
```
- VM im selben Projekt wie das Workload-Projekt mit vollständiger Ressourcen-URL der Sicherung wiederherstellen.
```
  gcloud backup-dr backups restore compute projects/test-project-id/locations/us-central1/backupVaults/test-vault/dataSources/test-ds/backups/test-backup-id \
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT
```
- Compute Engine-Instanz mit benutzerdefiniertem Dienstkonto und benutzerdefinierter Netzwerkkonfiguration wiederherstellen.
```
  gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=REGION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT \
  --network-interface=network=NETWORK,subnet=SUBNET \
  --service-account=SERVICE_ACCOUNT \
  --scopes=SCOPE
```
  Ersetzen Sie Folgendes:
  - PROJECT: der Name des Backup Vault-Projekts.
  - REGION: der Standort des Backup Vault.
  - BACKUPVAULT_NAME: der Name des Backup Vault, aus dem Sie Daten wiederherstellen möchten.
  - DATA_SOURCE: der Name der Datenquelle, aus der Sie Daten wiederherstellen möchten.
  - NAME: der Name der wiederhergestellten VM.
  - TARGET_ZONE: die Region, in der die VM wiederhergestellt wird.
  - TARGET_PROJECT: das Projekt, in dem die VM wiederhergestellt wird.
  - NETWORK: der Netzwerk-URI der VM.
  - SUBNET: der Subnetz-URI der VM.
  - SERVICE_ACCOUNT: das Dienstkonto der wiederhergestellten VM.
  - SCOPE: der Autorisierungsbereich des Dienstkontos.

Informationen zum Überschreiben anderer VM-Attribute finden Sie unter Übersicht über die Google Cloud CLI-Befehle des Backup- und DR-Dienstes.

Wiederherstellen aus einem CMEK-fähigen Backup Vault

Wenn Sie eine Sicherung aus einem CMEK-fähigen Backup Vault wiederherstellen, hängt die Verschlüsselung der wiederhergestellten Ressource von der Verschlüsselung der Quelle ab:

Wenn die Quellressource durch CMEK geschützt war:Die wiederhergestellte Ressource verwendet standardmäßig denselben CMEK-Schlüssel wie die Quelle. Beispiel:
- Ein nichtflüchtiger Speicher von Compute Engine, der mit dem Schlüssel K1 verschlüsselt ist, wird in einem Laufwerk wiederhergestellt, das mit K1 verschlüsselt ist.
- Wenn eine VM mehrere Laufwerke hat, erbt jedes Laufwerk in der wiederhergestellten VM die Verschlüsselung des entsprechenden Quelllaufwerks. CMEK-verschlüsselte Laufwerke bleiben mit ihren ursprünglichen Schlüsseln verschlüsselt und von Google verwaltete verschlüsselte Laufwerke bleiben von Google verwaltet.
Wenn für die Quellressource die von Google verwaltete Verschlüsselung verwendet wurde:Die wiederhergestellte Ressource verwendet standardmäßig die von Google verwaltete Verschlüsselung.

Sie können dieses Standardverhalten überschreiben, wenn Sie nichtflüchtige Speicher oder Compute Engine-Instanzen mit der API oder der Google Cloud CLI wiederherstellen. Sie können beispielsweise eine Sicherung einer CMEK-geschützten Ressource in einer neuen Ressource wiederherstellen, die die von Google verwaltete Verschlüsselung verwendet, oder in einer neuen Ressource, die durch einen anderen CMEK-Schlüssel geschützt ist. Wenn Sie eine Wiederherstellung in einer Ressource ausführen möchten, die durch einen neuen CMEK-Schlüssel geschützt ist, muss der entsprechende Dienst-Agent (z.B. der Compute Engine-Dienst-Agent) für das Zielprojekt die Berechtigung roles/cloudkms.cryptoKeyEncrypterDecrypter für den neuen Zielschlüssel haben.

Wenn der Cloud Key Management Service-Schlüssel, der die Quell-Workload schützt, während eines Wiederherstellungsvorgangs nicht verfügbar ist, schlägt die Wiederherstellung standardmäßig fehl. In diesem Fall müssen Sie die API oder die Google Cloud CLI verwenden, um die Verschlüsselungseinstellung zu überschreiben. Geben Sie dazu einen neuen CMEK-Schlüssel an oder ändern Sie den Verschlüsselungstyp für die wiederhergestellte Ressource in die von Google verwaltete Verschlüsselung.

Wenn die Cloud Key Management Service-Schlüsselversion, die zum Verschlüsseln von Daten im Backup Vault verwendet wird, deaktiviert oder gelöscht wurde, können Sie keine Wiederherstellung aus dieser Sicherung ausführen.