Esta página explica o que são as default Google Cloud credentials e como adicionar novas credenciais para dispositivos de backup/recuperação no console de gerenciamento de dispositivos.
Uma Google Cloud credencial é um ponteiro para uma conta de serviço que permite que o dispositivo de backup/recuperação acesse recursos do projeto, como APIs do Compute Engine e buckets do Cloud Storage, para fazer backup e recuperar instâncias do Compute Engine.
Durante o backup ou a recuperação de instâncias do Compute Engine, os dispositivos de backup/recuperação usam a conta de serviço na credencial para fazer snapshots das instâncias e fazer upload de metadados de instâncias (como configuração de VM, rede e tags) para um bucket do Cloud Storage usando um pool do OnVault. Se o dispositivo que criou os snapshots de instância não estiver disponível, você poderá acessar os backups usando um dispositivo diferente, pelos metadados armazenados no bucket do Cloud Storage. Consulte Importar imagens de snapshots de discos permanentes.
Default Google Cloud credential
A default Google Cloud credential é criada automaticamente quando você implanta o dispositivo de backup/recuperação. Essa credencial é criada com base na conta de serviço anexada ao dispositivo em um projeto. Ela simplifica o processo de descoberta e proteção de instâncias do Compute Engine sem a necessidade de criar um pool do OnVault e uma conta de serviço. No console de gerenciamento de dispositivos, é possível visualizar essa default Google Cloud credential na página Credenciais do Cloud acessando Gerenciar > Credenciais.
A default Google Cloud credential na página Credenciais do Cloud é exibida com base no nome do dispositivo. Por exemplo, se o nome do dispositivo de backup/recuperação for ba-name, o nome da conta de serviço padrão exibido será *ba-name@developer.gserviceaccount.com. O valor project-id é o ID do projeto. Não é possível editar ou excluir essa default Google Cloud credential, apenas visualizá-la.
A default Google Cloud credential aponta para um pool do OnVault criado automaticamente, que aponta para um bucket do Cloud Storage criado automaticamente. O bucket do Cloud Storage contém o bucket do Cloud Storage criado pela instância da VM. O bucket do Cloud Storage contém a configuração e os metadados da instância da VM e é criado automaticamente no momento da execução, quando um modelo de backup é atribuído a uma instância do Compute Engine. O local do bucket do Cloud Storage é determinado com base no local ou na região de armazenamento de snapshots de discos permanentes, conforme configurado no modelo de backup.
Os pools do OnVault são criados automaticamente, mesmo que você mude a região ou a multirregião da instância ou quando a substituição de política é aplicada após a primeira execução bem-sucedida do snapshot. Assim, o serviço garante que os dados do disco permanente e a configuração da VM da instância estejam colocalizados.
Para a default Google Cloud credential, o papel do IAM
Backup and DR Cloud Storage Operator é atribuído automaticamente à conta de serviço
anexada ao dispositivo de backup/recuperação. É necessário atribuir manualmente o papel do IAM Backup and DR Compute Engine Operator para fazer backup das instâncias do Compute Engine.
Para visualizar o bucket do Cloud Storage correspondente do dispositivo no Google Cloud console, acesse Cloud Storage > Buckets.
O bucket de armazenamento é criado com o nome <backup/recovery-appliance-name>-<random-string>-<region/multi-region> no mesmo projeto em que o dispositivo é implantado e tem as seguintes propriedades definidas.
- Classe de armazenamento: padrão
- Controle de acesso a objetos: uniforme
- Local do bucket: o mesmo que o local do snapshot do Persistent Disk
- Controle de versões de objetos: nenhum controle de versões ou retenção de objetos definido no bucket
Acesso: nenhum acesso público no bucket
Add Google Cloud credentials
O serviço de Backup e DR oferece a capacidade de criar uma new Google Cloud credential se você ainda quiser criar uma manualmente para um dispositivo de backup/recuperação. Para criar new Google Cloud credentials, primeiro é necessário criar um novo pool do OnVault. Consulte as instruções do pool do OnVault.
Add Google Cloud credentials
Para criar uma Google Cloud credencial, é necessário definir o nome da credencial e o pool do OnVault em que você quer armazenar os dados de backup. Uma conta de serviço é preenchida automaticamente com base na conta de serviço anexada ao dispositivo de backup/recuperação selecionado. Crie um OnVault, se você não tiver um.
Antes de adicionar a Google Cloud credencial, atribua o papel
Backup and DR Compute Engine Operator à conta de serviço anexada ao
dispositivo.
Use estas instruções para adicionar Google Cloud credencial para dispositivos de backup/recuperação:
Clique em Gerenciar e selecione Credenciais no menu suspenso.
A página Credenciais do Cloud é aberta, listando todas as Google Cloud credenciais gerenciadas pelo console de gerenciamento de dispositivos, se alguma credencial já tiver sido adicionada.
Clique em Adicionar credenciais do Google Cloud.
Em Nome da credencial, adicione um nome exclusivo para identificar a credencial.
Selecione uma zona padrão. A zona padrão é usada para determinar qual zona será usada por padrão ao descobrir VMs do Compute Engine em um projeto. Também é possível selecionar uma zona diferente durante a descoberta.
No menu suspenso Dispositivos, selecione o dispositivo ao qual você quer associar as credenciais. O campo Conta de serviço é preenchido automaticamente com a conta de serviço anexada a esse dispositivo.
Selecione o pool do OnVault. Os pools são exibidos com base no dispositivo selecionado. Para adicionar um pool do OnVault, use as instruções do pool do OnVault.
Clique em Adicionar.
O console de gerenciamento de dispositivos envia uma solicitação para validar as Google Cloud credenciais para o dispositivo selecionado. Se a validação for bem-sucedida, a credencial será registrada. Google Cloud A criação de credenciais leva à criação automática de um pool do Cloud Storage e de um perfil de recurso com Google Cloud o nome da credencial como prefixo.
Edit Google Cloud credentials
Use estas instruções para editar uma credencial existente para o dispositivo: Google Cloud
- Clique em Gerenciar e selecione Credenciais no menu suspenso. A página Credenciais do Cloud é aberta, listando todas as credenciais salvas em dispositivos gerenciados pelo console de gerenciamento de dispositivos.
- Selecione a credencial que você quer modificar e selecione Editar no canto inferior direito da página. A página Editar credencial é aberta. Também é possível clicar com o botão direito do mouse na credencial e selecionar Editar nas opções do menu suspenso.
- Atualize o nome, a zona padrão, os atributos da organização e o pool do OnVault conforme necessário.
- Clique em Salvar para aplicar as alterações.
Excluir uma Google Cloud credencial
Antes de excluir as credenciais, desproteja e remova todos os aplicativos e hosts descobertos usando essa credencial e, em seguida, exclua-a.
Use estas instruções para excluir uma Google Cloud credencial.
- Clique em Gerenciar e selecione Credenciais no menu suspenso.
- Clique com o botão direito do mouse nas credenciais necessárias e selecione Excluir.
- Clique em Confirmar.
O guia do Backup e DR Compute Engine
- Verificar as Google Cloud credenciais
- Descobrir e proteger instâncias do Compute Engine
- Montar imagens de backup de instâncias do Compute Engine
- Restaurar uma instância do Compute Engine
- Importar imagens de snapshots de discos permanentes