Schutz von Compute Engine-Instanzen in der Appliance-Verwaltungskonsole automatisieren

Auf dieser Seite wird beschrieben, wie Sie Sicherungen für Compute Engine-Instanzen mithilfe von Tags in der Appliance-Verwaltungskonsole automatisieren.

Sicherung für neue Compute Engine-Instanzen konfigurieren

Eine Compute Engine-Instanz ist eine VM, die auf gehostet wird Google Cloud. In jeder Instanz werden Daten auf nichtflüchtigen Speichern gespeichert, die an die Instanz angehängt sind. Mithilfe der Google Cloud Console, der Google Cloud CLI oder der Compute Engine API können Sie eine Instanz oder eine Gruppe verwalteter Instanzen erstellen.

Weitere Informationen finden Sie unter Compute Engine.

Voraussetzung für die Automatisierung von Sicherungen

Bevor Sie mit der Automatisierung von Sicherungen von Compute Engine-Instanzen beginnen, lesen Sie die folgenden Anleitungen zur Vorbereitung auf Sicherungen:

• Vorlage für einen Sicherungsplan erstellen

Nachdem Sie den Backup- und DR-Dienst eingerichtet und eine Vorlage für einen Sicherungsplan erstellt haben, können Sie den Schutz Ihrer Compute Engine-Instanzen automatisieren, indem Sie die Vorlage für den Sicherungsplan mithilfe von Tags auf die Instanz anwenden.

Berechtigungen

Zum Erstellen, Aktualisieren und Löschen von Tag-Definitionen für Compute Engine Ressourcen benötigen Sie die Tag Administrator Rolle. Weitere Informationen zur tagUser Rolle finden Sie unter Erforderliche Berechtigungen.

Wenn Sie dynamisches Tagging verwenden möchten, um eine Compute Engine-Instanz zu sichern, müssen Sie dem Dienst-Agent für die Backup und DR-Appliance im Compute Engine-Projekt die IAM-Rolle (Identity and Access Management) „Backup and DR Compute Engine Operator“ (roles/backupdr.computeEngineOperator) gewähren.

Dynamische Schutz-Tags verwalten

Zum Erstellen, Aktualisieren und Löschen von dynamischen Schutz-Tags benötigen Sie die entsprechenden Berechtigungen für Ihre Rolle. Sie müssen eine der folgenden Rollen zugewiesen haben:

• Administrator von Backup und DR

• Backup and DR Backup User

• Backup and DR User V2

• Projektbearbeiter

• Project Owner

• Eine benutzerdefinierte Rolle mit den folgenden Berechtigungen:

Weitere Informationen zu den Rollen des Backup- und DR-Dienstes.

Vorlage für einen Sicherungsplan automatisch mit Tags anwenden

In diesem Abschnitt erfahren Sie, wie Sie die Anwendung eines Sicherungsplans auf eine Compute Engine-Instanz mithilfe von Tags automatisieren. Zuerst erstellen Sie in der Appliance-Verwaltungskonsole eine Zuordnung von Sicherungsplänen zu Tags. Anschließend erstellen Sie Tags über IAM mit denselben Werten, die in der Appliance-Verwaltungskonsole zugewiesen wurden.

Werte für dynamische Schutz-Tags erstellen

Folgen Sie dieser Anleitung, um Werte für dynamische Schutz-Tags zu erstellen, die mit Ihren Compute Engine-Instanzen verwendet werden können:

1. Klicken Sie in der Appliance-Verwaltungskonsole für Backup und DR auf das Drop-down-Menü Sicherungspläne und wählen Sie Dynamische Schutz-Tags aus.

2. Klicken Sie auf Dynamisches Schutz-Tag erstellen.

3. Geben Sie einen eindeutigen Tag-Wert ein, der diesen Namensanforderungen entspricht.

4. Wählen Sie in der Liste Anwendungstyp die Option Compute Engine aus.

5. Wählen Sie eine entsprechende Vorlage und ein Profil aus, die mit diesem Tag-Wert verknüpft werden sollen.

6. Klicken Sie auf Speichern. Ein Wert für das dynamische Schutz-Tag wird erstellt.

Dynamische Schutz-Tags erstellen

Folgen Sie dieser Anleitung, um dynamische Schutz-Tags zu erstellen, die Sie an Ihre Compute Engine-Instanzen anhängen können, um den Schutz zu automatisieren:

1. Zum Erstellen, Aktualisieren und Löschen von Tag-Definitionen benötigen Sie die Rolle „Tag-Administrator“ oder eine andere Rolle mit bestimmten Berechtigungen.

2. Öffnen Sie in der Google Cloud Console die Seite Tags.

   Zur Seite „Tags“

3. Wählen Sie oben auf der Seite in der Auswahl des Bereichs die Organisation oder das Projekt aus, unter dem Sie einen Tag-Schlüssel erstellen möchten.

4. Klicken Sie auf add Erstellen.

5. Geben Sie im Feld Tag-Schlüssel backupdr-dynamicprotect als Tag-Schlüssel ein. Dieser Schritt ist für eine erfolgreiche Automatisierung erforderlich. Achten Sie auf Rechtschreibfehler und darauf, dass Sie den Bindestrich einfügen.

6. Optional: Geben Sie im Feld Beschreibung des Tag-Schlüssels eine Beschreibung des Tag-Schlüssels ein.

7. Klicken Sie auf add Wert hinzufügen und geben Sie jeden Tag-Wert ein, den Sie gerade erstellt haben.

1. Geben Sie in das Feld Tag-Wert den Anzeigenamen Ihres Tag-Werts ein. Dieser wird Teil des Namespace-Namens Ihres Tags.

2. Geben Sie im Feld Tag-Wertbeschreibung eine Beschreibung der Vorlage und des Profils ein, die mit diesem Tag-Wert verknüpft sind.

3. Wenn Sie alle Tag-Werte hinzugefügt haben, klicken Sie auf Tag erstellen.

Dynamische Schutz-Tags zu einer Ressource hinzufügen

Nachdem Sie Werte für dynamische Schutz-Tags erstellt und mit einem dynamischen Schutz-Tag verknüpft haben, müssen Sie einer Compute Engine-Instanz ein Tag zuweisen. Der Tag-basierte Schutz funktioniert nicht, wenn Ihre Instanzen in einer logischen Gruppegeschützt sind. Entfernen Sie die logische Gruppe und versuchen Sie es mit dem dynamischen Schutz.

Ihre dynamischen Schutz-Tags können mit dieser Anleitung an Compute Engine-Instanzen angehängt werden:

1. Rufen Sie in der Google Cloud Console die Seite Compute Engine > VM-Instanzen auf.

   Zu "VM-Instanzen"

2. Klicken Sie in der Spalte Name auf den Namen der VM, der Sie Tags hinzufügen möchten.

3. Führen Sie auf der VM-Instanz-Detailseite folgende Schritte aus:

   1. Klicken Sie auf Bearbeiten.
   2. Klicken Sie im Bereich Basic auf Tags verwalten und fügen Sie die für die Instanz gewünschten Tags hinzu.

4. Wählen Sie den Schlüssel backupdr-dynamicprotect: und einen entsprechenden Tag-Wert aus, der einer Vorlage und einem Profil zugeordnet ist, die Sie in der Google Cloud Console festgelegt haben.

5. Klicken Sie auf Speichern.

Tags beim Erstellen einer Ressource hinzufügen

In bestimmten Szenarien möchten Sie möglicherweise Ressourcen während der Ressourcenerstellung statt nach der Erstellung der Ressource taggen.

variable "project_id" {
  description = "The ID of the existing Google Cloud project"
  type        = string
}

variable "region" {
  description = "The Google Cloud region where demo-instance should be created"
  type        = string
}

variable "zone" {
  description = "The Google Cloud zone where demo-instance should be created"
  type        = string
}

provider "google" {
  project = var.project_id
  region = var.region
  zone  = var.zone
}

data "google_project" "project" {
  project_id = var.project_id
}

# Reference: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/tags_tag_key
resource "google_tags_tag_key" "key" {
  parent = "projects/${var.project_id}"
  short_name = "backupdr-dynamicprotect"
  description = "Tag key for Dynamic Protection."
}

# Reference: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/tags_tag_value
resource "google_tags_tag_value" "value" {
  parent = "tagKeys/${google_tags_tag_key.key.name}"
  short_name = "backupdr-gold" # This value should be present in the "Management Console UI" > "Backup Plans" > "Dynamic Protection Tags"
  description = "Tag value for gold plan."
}

# Reference: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/compute_instance
# Ensure not to define tag in "resource_manager_tags" block while creating VM instance. It'll destroy the VM
# when tag value is changed/removed later. Instead define a separate tag binding using "google_tags_tag_binding"
# or "google_tags_location_tag_binding" resource. It'll modify just tag binding and VM instance won't be affected.

resource "google_compute_instance" "vm_instance" {
  name         = "demo-instance"
  machine_type = "e2-micro"
  zone         = var.zone

  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-11"
    }
  }

  network_interface {
    network = "default"

    access_config {
      // Ephemeral public IP
    }
  }
}

# Reference: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/google_tags_location_tag_binding
resource "google_tags_location_tag_binding" "binding" {
    parent    = "//compute.googleapis.com/projects/${data.google_project.project.number}/zones/${var.zone}/instances/${google_compute_instance.vm_instance.instance_id}"
    tag_value = "tagValues/${google_tags_tag_value.value.name}"
    location  = var.zone
}

# Reference for Tag bindings at project/org level: https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/tags_tag_binding

Tags von einer Ressource trennen

Sie können ein Tag von einer Ressource trennen, indem Sie die Tag-Bindungsressource löschen.

Eine Anleitung zum Trennen von Tags finden Sie in der Resource Manager-Dokumentation unter Tags von einer Ressource trennen.

Manuelle automatische Sicherung ausführen

Die Schutz-Engine wird zwar täglich um 4:15 Uhr und 16:15 Uhr Ortszeit ausgeführt, Sie können sie aber auch bei Bedarf mit den folgenden Befehlen ausführen:

1. Legen Sie den Endpunkt der Appliance-Verwaltungskonsole fest, indem Sie einen Wert eingeben, der mit „https://bmc-“ beginnt und mit „.com“ endet. Beispiel: https://bmc-PROJECT_NUMBER-GENERATED_ID-dot-REGION.backupdr.googleusercontent.com

   export MC_ENDPOINT="MC_ENDPOINT_edited_value"
   

2. Generieren Sie ein Bearer-Token:

   echo "Generating a new bearer token..."
   export BEARER_TOKEN=$(gcloud auth print-access-token)
   echo "Bearer token generated: BEARER_TOKEN=$BEARER_TOKEN"
   

3. Rufen Sie eine neue Sitzungs-ID ab:

   echo "Generating a new session id..."
   export SESSION_RESPONSE=$(curl -XPOST -H "Authorization: Bearer $BEARER_TOKEN" -H "Content-Type: application/json" -d '{}' "$MC_ENDPOINT/actifio/session" 2>&-)
   export SESSION_ID=$(echo $SESSION_RESPONSE | jq -r '.session_id')
   
   if [ -z ${SESSION_ID} ]
     then echo "Issue with generating a new session id. Response: $SESSION_RESPONSE";
     return 1;
   fi
   
   echo "Session id generated: SESSION_ID=$SESSION_ID"
   

   Nachdem Sie einen Endpunkt festgelegt, ein Inhabertoken generiert und eine Sitzungs-ID abgerufen haben, können Sie dynamische Schutzjobs für eine Stunde auslösen, bis die Sitzungs-ID abläuft.

4. Dynamischen Schutzjob auslösen

   Ein dynamischer Schutzjob aktualisiert alle Compute Engine-Instanzen mit ihren aktuellen Tags und weist Sicherungspläne basierend auf den Tags zu. Je nach Anzahl der ausstehenden Änderungen für Ihre Arbeitslasten kann der ausgelöste Job einige Minuten dauern.

   echo "Triggering dynamic protection job.."
   
   curl -H "Authorization: Bearer $BEARER_TOKEN" -H "backupdr-management-session: Actifio $SESSION_ID" -H "Content-Type: application/json" -XPOST -d '{}' "$MC_ENDPOINT/actifio/dynamicprotection/job/gceinstance"
   
   echo "Dynamic protection job triggered."
   

Dynamischen Schutz mit Resource Manager verwenden

Sie können dynamische Schutz-Tags mit Resource Manager verwenden, um den Schutz Ihrer Compute Engine-Instanzen auf einer höheren Organisationsebene zu automatisieren. Verwenden Sie Resource Manager, um Ressourcen auf Projektebene oder höher zu taggen, damit der Schutz für alle Ihre Ressourcen übernommen wird. Weitere Informationen dazu, wie Sie Tags übernehmen und entfernen.

Manuellen Schutz zu dynamischem Schutz migrieren

Wenn Sie Ihre bereits geschützten Ressourcen zu dynamischem Schutz mit Tags migrieren möchten, müssen Sie das Migrations-Flag in Ihrem Projekt aktivieren. Nachdem Sie die Migration aktiviert haben, können alle manuell geschützten Instanzen den dynamischen Schutz verwenden. Wenn Sie Tags und Ressourcen hinzufügen, werden sie automatisch basierend auf dem Tag geschützt. Der vorhandene manuelle Schutz wird entfernt.

Bevor Sie beginnen, folgen Sie der Anleitung unter Manuelle automatische Sicherung ausführen um die Sitzung einzurichten.

Ereignisse und Benachrichtigungen

Nachdem die Engine für dynamischen Schutz ausgeführt wurde, können Sie den Fortschritt in den Monitorereignissen sehen. Die Appliance-Verwaltungskonsole erhält Zusammenfassungsbenachrichtigungen, nachdem dynamische Schutzmaßnahmen ausgeführt wurden. Fehlermeldungen werden gesendet, wenn eine Nutzeraktion erforderlich ist.

Best Practices

Der dynamische Schutz kann die Anzahl der ausgeführten Sicherungsjobs und die Menge des verwendeten Speichers erhöhen. Für optimale Ergebnisse sollten Sie Folgendes beachten:

• Verlängern Sie die Sicherungszeitfenster. Ein Zeitfenster von 6 bis 10 Stunden reicht in der Regel aus, damit alle Jobs abgeschlossen werden können.

• Eine wiederhergestellte VM übernimmt dasselbe Schutz-Tag wie die Quell-VM sowie denselben Sicherungsplan. Der Schutztyp ändert sich jedoch von Tag-basiertem Schutz zu vom Nutzer initiiertem Schutz. Die Ressource wird weiterhin mit dem übernommenen Sicherungsplan geschützt. Wenn Sie den Schutztyp wieder in Tag-basierten Schutz ändern möchten, können Sie den übernommenen Sicherungsplan entfernen und einen dynamischen Schutzjob bei Bedarf auslösen oder warten, bis er das nächste Mal planmäßig ausgeführt wird, damit der Anwendung wieder Tag-basierter Schutz zugewiesen wird.

• Eine bereitgestellte VM auf einem vorhandenen oder neu erstellten Host übernimmt nicht dasselbe Schutz-Tag wie die Quell-VM. Sie wird daher nach der Bereitstellung nicht automatisch geschützt. Wenn eine neu bereitgestellte VM geschützt werden muss, können Sie eine Tag-Bindung auf die neue VM anwenden, ähnlich wie bei der Quell-VM.