Ripristina un'istanza Compute Engine da un vault di backup

Questa pagina ti aiuta a ripristinare un'istanza Compute Engine da un vault di backup nella Google Cloud console.

Prima di iniziare

  • Concedi il ruolo IAM Backup e DR Compute Engine Operator (roles/backupdr.computeEngineOperator) all' service agent del vault di backup nel progetto di destinazione in cui viene eseguito il ripristino.

  • Concedi il ruolo IAM Compute Network User (roles/compute.networkUser) all'agente di servizio del vault di backup () del vault nel progetto host VPC se utilizzi il VPC condiviso.

  • Concedi i seguenti ruoli IAM all'utente che esegue il ripristino nel progetto del vault di backup.

    • Utente di Backup e DR Restore (roles/backupdr.restoreUser) sia per il vault di backup sia per il progetto di destinazione.
    • Compute Viewer (roles/compute.viewer) solo per la destinazione.

    Questi ruoli predefiniti contengono le autorizzazioni necessarie per accedere al vault di backup nel progetto Compute Engine. Per autorizzazioni specifiche, consulta l'elenco seguente.

    • backupdr.bvbackups.restore
    • backupdr.compute.restoreFromBackupVault
    • backupdr.backupVaults.get
    • backupdr.backupVaults.list
    • backupdr.bvbackups.list
    • backupdr.bvdataSources.get
    • backupdr.bvdataSources.list
    • backupdr.bvbackups.get

    Per ripristinare un'istanza utilizzando la gcloud CLI o l'API, un utente deve disporre delle seguenti autorizzazioni:

    • backupdr.bvbackups.restore sulla risorsa di backup.
    • backupdr.compute.restoreFromBackupVault sul progetto di destinazione in cui verrà ripristinata l'istanza.

Autorizzazioni aggiuntive per la Google Cloud console

Quando ripristini un'istanza utilizzando la Google Cloud console, l'utente ha bisogno delle autorizzazioni CLI più le seguenti autorizzazioni. Queste autorizzazioni aggiuntive sono necessarie affinché la console possa elencare e visualizzare le risorse Compute Engine necessarie per la selezione nell'interfaccia utente:

  • compute.acceleratorTypes.list
  • compute.disks.list
  • compute.machineTypes.list
  • compute.projects.get
  • compute.regions.list
  • compute.zones.list

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Ripristina un'istanza Compute Engine

Utilizza le seguenti istruzioni per ripristinare un'istanza Compute Engine.

Console

  1. Nella Google Cloud console, vai alla pagina Backup archiviati nel vault.

    Vai ai backup archiviati nel vault

    Qui sono elencate tutte le istanze Compute Engine con backup archiviati nel vault.

  2. Fai clic sull'icona delle azioni per selezionare l'azione Ripristina. Nella pagina Ripristina vengono visualizzate le opzioni di ripristino seguenti:

    • Seleziona un nome risorsa.
    • Seleziona un orario di creazione del backup.
    • Seleziona il nome del progetto in cui vuoi ripristinare la VM.

  3. Fai clic su Procedi.

    • Viene visualizzata la pagina successiva Crea una nuova istanza VM da un backup , in cui le proprietà della VM vengono precompilate in base alle proprietà della VM di origine. Puoi modificare le proprietà per creare una nuova VM, ad esempio modificare la selezione per Regione o Tipo di macchina.

  4. Fai clic su Crea per creare una nuova VM dal backup selezionato.

gcloud

  1. Se non è già stato concesso, concedi il ruolo IAM Backup and DR Compute Engine Operator (roles/backupdr.computeEngineOperator) al service agent del vault di backup nel progetto di ripristino in cui viene ripristinata la VM.

  2. Per ottenere il account di servizio del vault di backup, utilizza il seguente comando.

      gcloud backup-dr backup-vaults describe BACKUPVAULT_NAME
  --location=REGION

    Sostituisci quanto segue:

    • BACKUPVAULT_NAME: il nome del vault di backup da cui vuoi ripristinare i dati.
    • REGION: la regione del vault di backup.

  3. Prima di poter ripristinare un'istanza Compute Engine, utilizza i seguenti comandi per ottenere l'ID origine dati e l'ID del backup richiesto.

    1. Trova l'ID origine dati

        gcloud backup-dr data-sources list \
  --project=PROJECT \
  --location=REGION \
  --backup-vault=BACKUPVAULT_NAME \
  "--filter=dataSourceGcpResource.computeInstanceDatasourceProperties.name:(DATA_SOURCE)" \
  "--format=get(name)")

    2. Elenca i backup esistenti per l'origine dati per trovare l'ID BACKUP corretto.

        gcloud backup-dr backups list \
  --location=REGION \
  --backup-vault=BACKUPVAULT_NAME \
  --data-source=DATA_SOURCE \
  "--format=yaml(backupType,computeInstanceBackupProperties.sourceInstance,consistencyTime,enforcedRetentionEndTime,expireTime,name)"

  4. Per ripristinare un'istanza Compute Engine, utilizza i seguenti comandi.

    • Ripristina una VM nello stesso progetto del progetto del workload con l'ID backup.

        gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=REGION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT

    • Ripristina una VM nello stesso progetto del progetto del workload con l'URL completo della risorsa di backup.

        gcloud backup-dr backups restore compute projects/test-project-id/locations/us-central1/backupVaults/test-vault/dataSources/test-ds/backups/test-backup-id \
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT

    • Ripristina un'istanza Compute Engine con configurazione di rete e service account personalizzata.

        gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=REGION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT \
  --network-interface=network=NETWORK,subnet=SUBNET \
  --service-account=SERVICE_ACCOUNT \
  --scopes=SCOPE

      Sostituisci quanto segue:

      • PROJECT: il nome del progetto del vault di backup.
      • REGION: la posizione del vault di backup.
      • BACKUPVAULT_NAME: il nome del vault di backup da cui vuoi ripristinare i dati.
      • DATA_SOURCE: il nome dell'origine dati da cui vuoi ripristinare i dati.
      • NAME: il nome della VM ripristinata.
      • TARGET_ZONE: la regione in cui viene ripristinata la VM.
      • TARGET_PROJECT: il progetto in cui viene ripristinata la VM.
      • NETWORK: l'URI di rete della VM.
      • SUBNET: l'URI della subnet della VM.
      • SERVICE_ACCOUNT: il account di servizio della VM ripristinata.
      • SCOPE: l'ambito di autorizzazione del account di servizio.

Per sostituire altre proprietà della VM, consulta la panoramica dei comandi gcloud CLI del servizio di backup e DR.

Ripristino da un vault di backup abilitato per CMEK

Quando ripristini un backup da un vault di backup abilitato per CMEK, la crittografia della risorsa ripristinata dipende dalla crittografia dell'origine:

  • Se la risorsa di origine era protetta da CMEK: per impostazione predefinita, la risorsa ripristinata utilizza la stessa chiave CMEK dell'origine. Ad esempio:
    • Un disco permanente Compute Engine criptato con la chiave K1 viene ripristinato in un disco criptato con K1.
    • Se una VM ha più dischi, ogni disco della VM ripristinata eredita la crittografia del disco di origine corrispondente (i dischi criptati con CMEK rimangono criptati con le chiavi originali e i dischi criptati gestiti da Google rimangono gestiti da Google).
  • Se la risorsa di origine utilizzava la crittografia gestita da Google: per impostazione predefinita, la risorsa ripristinata utilizza la crittografia gestita da Google.

Puoi sostituire questo comportamento predefinito quando ripristini dischi permanenti Compute Engine o istanze Compute Engine utilizzando l'API o gcloud CLI. Ad esempio, puoi ripristinare un backup di una risorsa protetta da CMEK in una nuova risorsa che utilizza la crittografia gestita da Google o in una nuova risorsa protetta da una chiave CMEK diversa. Per eseguire il ripristino in una risorsa protetta da una nuova chiave CMEK, assicurati che l'agente di servizio pertinente (ad es. l'agente di servizio Compute Engine) per il progetto di destinazione disponga dell'autorizzazione roles/cloudkms.cryptoKeyEncrypterDecrypter sulla nuova chiave di destinazione.

Se la chiave Cloud Key Management Service che protegge il workload di origine non è disponibile durante un'operazione di ripristino, per impostazione predefinita il ripristino non riesce. In questo caso, devi utilizzare l'API o gcloud CLI per sostituire l'impostazione di crittografia specificando una nuova chiave CMEK o modificando il tipo di crittografia in crittografia gestita da Google per la risorsa ripristinata.

Se la versione della chiave Cloud Key Management Service utilizzata per criptare i dati nel vault di backup è disabilitata o eliminata, non potrai eseguire il ripristino da quel backup.

La guida di Backup e DR Compute Engine