Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Restaurer une instance Compute Engine à partir d'un coffre-fort de sauvegarde

Cette page vous explique comment restaurer une instance Compute Engine à partir d'un coffre de sauvegarde dans la Google Cloud console.

Avant de commencer

Attribuez le rôle IAM d'opérateur Backup and DR pour Compute Engine (roles/backupdr.computeEngineOperator) à l'agent de service du coffre de sauvegarde dans le projet cible où la restauration est effectuée.
Attribuez le rôle IAM d'utilisateur de réseau Compute (roles/compute.networkUser) à l'agent de service du coffre de sauvegarde dans le projet hôte VPC si vous utilisez un VPC partagé.
Attribuez les rôles IAM suivants à l'utilisateur qui effectue la restauration dans le projet de coffre de sauvegarde.
- Utilisateur de restauration Backup and DR (roles/backupdr.restoreUser) pour le coffre de sauvegarde et le projet cible.
- Lecteur de Compute (roles/compute.viewer) pour la cible uniquement.
Ces rôles prédéfinis contiennent les autorisations requises pour accéder au coffre de sauvegarde dans le projet Compute Engine. Pour connaître les autorisations spécifiques, consultez la liste suivante.
- backupdr.bvbackups.restore
- backupdr.compute.restoreFromBackupVault
- backupdr.backupVaults.get
- backupdr.backupVaults.list
- backupdr.bvbackups.list
- backupdr.bvdataSources.get
- backupdr.bvdataSources.list
- backupdr.bvbackups.get
Pour restaurer une instance à l'aide de Google Cloud CLI ou de l'API, un utilisateur doit disposer des autorisations suivantes :
- backupdr.bvbackups.restore sur la ressource de sauvegarde.
- backupdr.compute.restoreFromBackupVault sur le projet cible où l'instance sera restaurée.

Autorisations supplémentaires pour la Google Cloud console

Lors de la restauration d'une instance à l'aide de la Google Cloud console, l'utilisateur a besoin des autorisations de la CLI , ainsi que des autorisations suivantes. Ces autorisations supplémentaires sont requises pour que la console puisse lister et afficher les ressources Compute Engine nécessaires à la sélection dans l'interface utilisateur :

compute.acceleratorTypes.list
compute.disks.list
compute.machineTypes.list
compute.projects.get
compute.regions.list
compute.zones.list

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Restaurer une instance Compute Engine

Suivez les instructions ci-dessous pour restaurer une instance Compute Engine.

Console

Dans la Google Cloud console, accédez à la page Vaulted backups (Sauvegardes stockées dans un vault).

Accéder aux sauvegardes stockées dans un vault

Toutes les instances Compute Engine avec des sauvegardes stockées dans un vault sont listées ici.
Cliquez sur l'icône d'action pour sélectionner l'action Restore (Restaurer). La page de restauration s'affiche. Vous pouvez y sélectionner les options de restauration suivantes :
- Sélectionnez un nom de ressource.
- Sélectionnez une date et heure de création de la sauvegarde.
- Sélectionnez le nom du projet dans lequel vous souhaitez restaurer la VM.
Cliquez sur Proceed (Continuer).
- La page suivante, Create a new VM instance from a backup (Créer une instance de VM à partir d'une sauvegarde), s'affiche. Les propriétés de la VM sont préremplies en fonction des propriétés de la VM source. Vous pouvez modifier les propriétés pour créer une VM, par exemple en modifiant la sélection pour Region (Région) ou Machine Type (Type de machine).
Cliquez sur Create (Créer) pour créer une VM à partir de la sauvegarde sélectionnée.

Remarque : Vous pouvez afficher et surveiller les tâches de restauration sur la page Backup and DR > Jobs (Sauvegarde et reprise après sinistre > Tâches).

gcloud

Si ce n'est pas déjà fait, attribuez le rôle IAM d'opérateur Backup and DR pour Compute Engine (roles/backupdr.computeEngineOperator) à l'agent de service du coffre de sauvegarde dans le projet de récupération où la VM est récupérée.
Pour obtenir le compte de service du coffre de sauvegarde, utilisez la commande suivante.
```
  gcloud backup-dr backup-vaults describe BACKUPVAULT_NAME
  --location=REGION
```
Remplacez les éléments suivants :
- BACKUPVAULT_NAME : nom du coffre de sauvegarde à partir duquel vous souhaitez restaurer des données.
- REGION : région du coffre de sauvegarde.

Avant de pouvoir restaurer une instance Compute Engine, utilisez les commandes suivantes pour obtenir l'ID de la source de données et l'ID de la sauvegarde requise.

Recherchez l'ID de la source de données.

  gcloud backup-dr data-sources list \
  --project=PROJECT \
  --location=REGION \
  --backup-vault=BACKUPVAULT_NAME \
  "--filter=dataSourceGcpResource.computeInstanceDatasourceProperties.name:(DATA_SOURCE)" \
  "--format=get(name)")

Répertoriez les sauvegardes existantes pour la source de données afin de trouver le BACKUP_ID approprié.

  gcloud backup-dr backups list \
  --location=REGION \
  --backup-vault=BACKUPVAULT_NAME \
  --data-source=DATA_SOURCE \
  "--format=yaml(backupType,computeInstanceBackupProperties.sourceInstance,consistencyTime,enforcedRetentionEndTime,expireTime,name)"

Pour restaurer une instance Compute Engine, utilisez les commandes suivantes.
- Restaurez une VM dans le même projet que le projet de charge de travail avec l'ID de sauvegarde.
```
  gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=REGION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT
```
- Restaurez une VM dans le même projet que le projet de charge de travail avec l'URL complète de la ressource de sauvegarde.
```
  gcloud backup-dr backups restore compute projects/test-project-id/locations/us-central1/backupVaults/test-vault/dataSources/test-ds/backups/test-backup-id \
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT
```
- Restaurez une instance Compute Engine avec un compte de service et une configuration réseau personnalisés.
```
  gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=REGION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT \
  --network-interface=network=NETWORK,subnet=SUBNET \
  --service-account=SERVICE_ACCOUNT \
  --scopes=SCOPE
```
  Remplacez les éléments suivants :
  - PROJECT : nom du projet de coffre de sauvegarde.
  - REGION : emplacement du coffre de sauvegarde.
  - BACKUPVAULT_NAME : nom du coffre de sauvegarde à partir duquel vous souhaitez restaurer des données.
  - DATA_SOURCE : nom de la source de données à partir de laquelle vous souhaitez restaurer des données.
  - NAME : nom de la VM restaurée.
  - TARGET_ZONE : région dans laquelle la VM est restaurée.
  - TARGET_PROJECT : projet dans lequel la VM est restaurée.
  - NETWORK : URI réseau de la VM.
  - SUBNET : URI de sous-réseau de la VM.
  - SERVICE_ACCOUNT : compte de service de la VM restaurée.
  - SCOPE : niveau d'autorisation du compte de service.

Pour remplacer d'autres propriétés de VM, consultez Présentation des commandes Google Cloud CLI du service Backup and DR.

Restaurer à partir d'un coffre de sauvegarde compatible avec CMEK

Lorsque vous restaurez une sauvegarde à partir d'un coffre de sauvegarde compatible avec CMEK, le chiffrement de la ressource restaurée dépend du chiffrement de la source :

Si la ressource source était protégée par une clé CMEK : la ressource restaurée utilise par défaut la même clé CMEK que la source. Exemple :
- Un disque persistant Compute Engine chiffré avec la clé K1 est restauré sur un disque chiffré avec K1.
- Si une VM comporte plusieurs disques, chaque disque de la VM restaurée hérite du chiffrement de son disque source correspondant (les disques chiffrés par CMEK restent chiffrés avec leurs clés d'origine, et les disques chiffrés gérés par Google restent gérés par Google).
Si la ressource source utilisait le chiffrement géré par Google : la ressource restaurée utilise par défaut le chiffrement géré par Google.

Vous pouvez remplacer ce comportement par défaut lors de la restauration de disques persistants Compute Engine ou d'instances Compute Engine à l'aide de l'API ou de Google Cloud CLI. Par exemple, vous pouvez restaurer une sauvegarde d'une ressource protégée par une clé CMEK sur une nouvelle ressource qui utilise le chiffrement géré par Google, ou sur une nouvelle ressource protégée par une autre clé CMEK. Pour effectuer une restauration sur une ressource protégée par une nouvelle clé CMEK, assurez-vous que l'agent de service approprié (par exemple, l'agent de service Compute Engine) pour le projet de destination dispose de l'autorisation roles/cloudkms.cryptoKeyEncrypterDecrypter sur la nouvelle clé de destination.

Si la clé Cloud Key Management Service qui protège la charge de travail source n'est pas disponible lors d'une opération de restauration, la restauration échoue par défaut. Dans ce cas, vous devez utiliser l'API ou Google Cloud CLI pour remplacer le paramètre de chiffrement en spécifiant une nouvelle clé CMEK ou en remplaçant le type de chiffrement par le chiffrement géré par Google pour la ressource restaurée.

Si la version de clé Cloud Key Management Service utilisée pour chiffrer les données dans le coffre de sauvegarde est désactivée ou détruite, vous ne pourrez pas effectuer de restauration à partir de cette sauvegarde.