Establecer ubicaciones de creación y restauración para instantáneas con ámbito regional,Establecer ubicaciones de creación y restauración para instantáneas con ámbito regional

De forma predeterminada, las instantáneas se crean con un alcance global. Las instantáneas de ámbito global se almacenan en una ubicación de almacenamiento específica y se pueden restaurar (usar para crear un nuevo disco) en cualquier región o zona. Para obtener un control de aislamiento adicional basado en la ubicación, puede crear instantáneas con ámbito regional. Las instantáneas con ámbito regional almacenan todos los datos y metadatos de la instantánea juntos en la región con ámbito. Con las instantáneas de ámbito regional, también puede restringir las regiones donde puede crear y restaurar instantáneas.

Este documento explica cómo establecer ubicaciones permitidas para la creación y restauración de instantáneas regionales.

Antes de comenzar

  • Si aún no lo has hecho, configura la autenticación. La autenticación es el proceso mediante el cual se verifica su identidad para acceder a Google Cloud servicios y API. Para ejecutar código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. After installing the Google Cloud CLI, initialize it by running the following command: 

      gcloud init

      If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

    2. Set a default region and zone.

      3. REST

      Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporcionas a la CLI de gcloud.

        After installing the Google Cloud CLI, initialize it by running the following command: 

        gcloud init

        If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

      Para obtener más información, consulta Autentica para usar REST en la documentación de autenticación de Google Cloud .

Limitaciones

  • Establecer un ámbito regional anula todas las configuraciones de ubicación de almacenamiento predeterminadas para el proyecto.
  • La configuración de un alcance regional se aplica solo a nuevas instantáneas regionales.
  • No puede convertir una instantánea de ámbito global en una instantánea de ámbito regional. Debe crear una nueva instantánea con el alcance adecuado.

Roles y permisos necesarios

Para obtener los permisos que necesita para configurar ubicaciones de almacenamiento y restauración para instantáneas de ámbito regional, solicite a su administrador que le otorgue las siguientes funciones de IAM en el proyecto:

Para obtener más información sobre cómo otorgar roles, consulte Administrar el acceso a proyectos, carpetas y organizaciones .

Estos roles predefinidos contienen los permisos necesarios para configurar la creación de instantáneas y las ubicaciones de restauración. Para ver los permisos exactos que se requieren, expanda la sección Permisos requeridos :

Establecer ubicaciones permitidas para la creación de instantáneas

De forma predeterminada, puede crear instantáneas en todas las regiones. Para restringir dónde puede crear instantáneas con ámbito regional, establezca ubicaciones de acceso permitidas a nivel de proyecto. Una vez que establezca las ubicaciones de acceso, puede crear instantáneas de ámbito regional para el proyecto solo en estas ubicaciones.

nube de gcloud

Para permitir que los discos zonales de la Zona A creen instantáneas en cualquier región, usa el comando gcloud beta compute disk-settings update :

  gcloud beta compute disk-settings update \
      --zone=ZONE_A \
      --access-location-policy=all-regions \

Para permitir que los discos regionales de la Región A creen instantáneas en cualquier región, usa el comando gcloud beta compute disk-settings update :

  gcloud beta compute disk-settings update \
      --region=REGION_A \
      --access-location-policy=all-regions

Para permitir que los discos de la Región A creen instantáneas solo en la Región B, usa el comando gcloud beta compute disk-settings update :

  gcloud beta compute disk-settings update \
      --access-location-policy=specific-regions \
      --region=REGION_A \
      --add-access-locations=REGION_B

Reemplace lo siguiente:

  • ZONE_A : la zona de los discos que pueden crear instantáneas en cualquier región.
  • REGION_A : la región de todos los discos (en un proyecto) que requieren restricciones de creación de instantáneas de ámbito regional.
  • REGION_B : una región permitida para la creación de instantáneas con ámbito regional. Puede configurar varias regiones como ubicaciones de acceso permitido. Debe incluir la región en la que está almacenado el disco de origen como una de las regiones permitidas.

DESCANSAR

Para permitir que los discos zonales de la Zona A creen instantáneas en cualquier región, realice una solicitud PATCH al método diskSettings.patch :

  PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/zones/ZONE_A/diskSettings?updateMask=accessLocation

  {
    "accessLocation":
    {
      "policy":"ALL_REGIONS"
    }
  }

Para permitir que los discos regionales de la Región A creen instantáneas solo en la Región B, realice una solicitud PATCH al método regionDiskSettings.patch :

  PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION_A/diskSettings?updateMask=accessLocation

  {
    "accessLocation":
    {
      "policy":"SPECIFIC_REGIONS",
      "locations":
      {
        "REGION_B":{"region":"REGION_B"}
      }
    }
  }

Reemplace lo siguiente:

  • PROJECT_ID : El ID del proyecto.
  • ZONE_A : La zona del disco.
  • REGION_A : La región del disco.
  • REGION_B : una región permitida para la creación de instantáneas. Puede configurar varias regiones como ubicaciones de acceso permitido. Debe incluir la región en la que está almacenado el disco de origen como una de las regiones permitidas.

Establecer ubicaciones de restauración de instantáneas permitidas

De forma predeterminada, puede restaurar instantáneas con ámbito regional y global en cualquier región. Para configurar ubicaciones de restauración para sus instantáneas de ámbito regional, establezca ubicaciones de acceso permitido a nivel de proyecto. Debe establecer ubicaciones de acceso permitidas para cada proyecto individualmente. Una vez que establezca las ubicaciones de acceso, puede restaurar instantáneas de ámbito regional para el proyecto solo en estas ubicaciones.

nube de gcloud

Para permitir que las instantáneas de un proyecto en la Región A se restauren en todas las regiones, usa el comando gcloud beta compute snapshot-settings update :

  gcloud beta compute snapshot-settings update \
      --project=PROJECT_ID \
      --region=REGION_A \
      --access-location-policy=all-regions

Para permitir que las instantáneas de un proyecto en la Región A se restauren solo en la Región B, usa el comando gcloud beta compute snapshot-settings update :

  gcloud beta compute snapshot-settings update \
      --project=PROJECT_ID \
      --access-location-policy=specific-regions \
      --region=REGION_A \
      --add-access-locations=REGION_B

Reemplace lo siguiente:

  • PROJECT_ID : El ID del proyecto.
  • REGION_A : la región donde se almacenan las instantáneas de ámbito regional.
  • REGION_B : una región permitida donde se pueden restaurar instantáneas de ámbito regional. Puede configurar varias regiones como ubicaciones de restauración permitidas.

DESCANSAR

Para permitir que las instantáneas de un proyecto en la Región A se restauren en todas las regiones, realice una solicitud PATCH al método regionSnapshotSettings.patch :

  PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_A/snapshotSettings?updateMask=accessLocation

  {
    "accessLocation":
    {
      "policy":"ALL_REGIONS"
    }
  }

Para permitir que las instantáneas de un proyecto en la Región A se restauren solo en la Región B, realice una solicitud PATCH al método regionSnapshotSettings.patch :

  PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_A/snapshotSettings?updateMask=accessLocation

  {
    "accessLocation":
    {
      "policy":"SPECIFIC_REGIONS",
      "locations":
        {"REGION_B":
          {"region":"REGION_B"}
        }
    }
  }

Reemplace lo siguiente:

  • PROJECT_ID : El ID del proyecto.
  • REGION_A : la región donde se almacenan las instantáneas de ámbito regional.
  • REGION_B : una región permitida donde se pueden restaurar instantáneas de ámbito regional. Puede configurar varias regiones como ubicaciones de restauración permitidas.

Editar ubicaciones permitidas de restauración de instantáneas

nube de gcloud

Para ver las ubicaciones de restauración permitidas para instantáneas de un proyecto almacenado en la Región A, usa el comando gcloud beta compute snapshot-settings describe : 

  gcloud beta compute snapshot-settings describe \
      --project=PROJECT_ID \
      --region=REGION_A

Para eliminar la Región B de la lista de ubicaciones de restauración permitidas para instantáneas de un proyecto almacenado en la Región A, usa el comando gcloud beta compute snapshot-settings update : 

  gcloud beta compute snapshot-settings update \
      --project=PROJECT_ID \
      --access-location-policy=specific-regions \
      --remove-access-locations=REGION_B \
      --region=REGION_A

Reemplace lo siguiente:

  • PROJECT_ID : El ID del proyecto.
  • REGION_A : la región donde se almacenan las instantáneas de ámbito regional.
  • REGION_B : la región donde desea eliminar el acceso de restauración para instantáneas de ámbito regional.

DESCANSAR

Para ver las ubicaciones de restauración permitidas para instantáneas de un proyecto almacenado en la Región A, realice una solicitud GET al método regionSnapshotSettings.get : 

  GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_A/snapshotSettings

Para eliminar la Región B de la lista de ubicaciones de restauración permitidas para instantáneas de un proyecto almacenado en la Región A, realice una solicitud PATCH al método regionSnapshotSettings.patch : 

  PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_A/snapshotSettings?updateMask=accessLocation

  {
    "accessLocation":
    {
      "policy":"SPECIFIC_REGIONS",
      "locations":
        {"REGION_B":{}}
    }
  }

Reemplace lo siguiente:

  • PROJECT_ID : El ID del proyecto.
  • REGION_A : la región donde se almacenan las instantáneas de ámbito regional.
  • REGION_B : la región donde desea eliminar el acceso de restauración para instantáneas de ámbito regional.
,

De forma predeterminada, las instantáneas se crean con un alcance global. Las instantáneas de ámbito global se almacenan en una ubicación de almacenamiento específica y se pueden restaurar (usar para crear un nuevo disco) en cualquier región o zona. Para obtener un control de aislamiento adicional basado en la ubicación, puede crear instantáneas con ámbito regional. Las instantáneas con ámbito regional almacenan todos los datos y metadatos de la instantánea juntos en la región con ámbito. Con las instantáneas de ámbito regional, también puede restringir las regiones donde puede crear y restaurar instantáneas.

Este documento explica cómo establecer ubicaciones permitidas para la creación y restauración de instantáneas regionales.

Antes de comenzar

  • Si aún no lo has hecho, configura la autenticación. La autenticación es el proceso mediante el cual se verifica su identidad para acceder a Google Cloud servicios y API. Para ejecutar código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. After installing the Google Cloud CLI, initialize it by running the following command: 

      gcloud init

      If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

    2. Set a default region and zone.

      3. REST

      Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporcionas a la CLI de gcloud.

        After installing the Google Cloud CLI, initialize it by running the following command: 

        gcloud init

        If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

      Para obtener más información, consulta Autentica para usar REST en la documentación de autenticación de Google Cloud .

Limitaciones

  • Establecer un ámbito regional anula todas las configuraciones de ubicación de almacenamiento predeterminadas para el proyecto.
  • La configuración de un alcance regional se aplica solo a nuevas instantáneas regionales.
  • No puede convertir una instantánea de ámbito global en una instantánea de ámbito regional. Debe crear una nueva instantánea con el alcance adecuado.

Roles y permisos necesarios

Para obtener los permisos que necesita para configurar ubicaciones de almacenamiento y restauración para instantáneas de ámbito regional, solicite a su administrador que le otorgue las siguientes funciones de IAM en el proyecto:

Para obtener más información sobre cómo otorgar roles, consulte Administrar el acceso a proyectos, carpetas y organizaciones .

Estos roles predefinidos contienen los permisos necesarios para configurar la creación de instantáneas y las ubicaciones de restauración. Para ver los permisos exactos que se requieren, expanda la sección Permisos requeridos :

Establecer ubicaciones permitidas para la creación de instantáneas

De forma predeterminada, puede crear instantáneas en todas las regiones. Para restringir dónde puede crear instantáneas con ámbito regional, establezca ubicaciones de acceso permitidas a nivel de proyecto. Una vez que establezca las ubicaciones de acceso, puede crear instantáneas de ámbito regional para el proyecto solo en estas ubicaciones.

nube de gcloud

Para permitir que los discos zonales de la Zona A creen instantáneas en cualquier región, usa el comando gcloud beta compute disk-settings update :

  gcloud beta compute disk-settings update \
      --zone=ZONE_A \
      --access-location-policy=all-regions \

Para permitir que los discos regionales de la Región A creen instantáneas en cualquier región, usa el comando gcloud beta compute disk-settings update :

  gcloud beta compute disk-settings update \
      --region=REGION_A \
      --access-location-policy=all-regions

Para permitir que los discos de la Región A creen instantáneas solo en la Región B, usa el comando gcloud beta compute disk-settings update :

  gcloud beta compute disk-settings update \
      --access-location-policy=specific-regions \
      --region=REGION_A \
      --add-access-locations=REGION_B

Reemplace lo siguiente:

  • ZONE_A : la zona de los discos que pueden crear instantáneas en cualquier región.
  • REGION_A : la región de todos los discos (en un proyecto) que requieren restricciones de creación de instantáneas de ámbito regional.
  • REGION_B : una región permitida para la creación de instantáneas con ámbito regional. Puede configurar varias regiones como ubicaciones de acceso permitido. Debe incluir la región en la que está almacenado el disco de origen como una de las regiones permitidas.

DESCANSAR

Para permitir que los discos zonales de la Zona A creen instantáneas en cualquier región, realice una solicitud PATCH al método diskSettings.patch :

  PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/zones/ZONE_A/diskSettings?updateMask=accessLocation

  {
    "accessLocation":
    {
      "policy":"ALL_REGIONS"
    }
  }

Para permitir que los discos regionales de la Región A creen instantáneas solo en la Región B, realice una solicitud PATCH al método regionDiskSettings.patch :

  PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION_A/diskSettings?updateMask=accessLocation

  {
    "accessLocation":
    {
      "policy":"SPECIFIC_REGIONS",
      "locations":
      {
        "REGION_B":{"region":"REGION_B"}
      }
    }
  }

Reemplace lo siguiente:

  • PROJECT_ID : El ID del proyecto.
  • ZONE_A : La zona del disco.
  • REGION_A : La región del disco.
  • REGION_B : una región permitida para la creación de instantáneas. Puede configurar varias regiones como ubicaciones de acceso permitido. Debe incluir la región en la que está almacenado el disco de origen como una de las regiones permitidas.

Establecer ubicaciones de restauración de instantáneas permitidas

De forma predeterminada, puede restaurar instantáneas con ámbito regional y global en cualquier región. Para configurar ubicaciones de restauración para sus instantáneas de ámbito regional, establezca ubicaciones de acceso permitido a nivel de proyecto. Debe establecer ubicaciones de acceso permitidas para cada proyecto individualmente. Una vez que establezca las ubicaciones de acceso, puede restaurar instantáneas de ámbito regional para el proyecto solo en estas ubicaciones.

nube de gcloud

Para permitir que las instantáneas de un proyecto en la Región A se restauren en todas las regiones, usa el comando gcloud beta compute snapshot-settings update :

  gcloud beta compute snapshot-settings update \
      --project=PROJECT_ID \
      --region=REGION_A \
      --access-location-policy=all-regions

Para permitir que las instantáneas de un proyecto en la Región A se restauren solo en la Región B, usa el comando gcloud beta compute snapshot-settings update :

  gcloud beta compute snapshot-settings update \
      --project=PROJECT_ID \
      --access-location-policy=specific-regions \
      --region=REGION_A \
      --add-access-locations=REGION_B

Reemplace lo siguiente:

  • PROJECT_ID : El ID del proyecto.
  • REGION_A : la región donde se almacenan las instantáneas de ámbito regional.
  • REGION_B : una región permitida donde se pueden restaurar instantáneas de ámbito regional. Puede configurar varias regiones como ubicaciones de restauración permitidas.

DESCANSAR

Para permitir que las instantáneas de un proyecto en la Región A se restauren en todas las regiones, realice una solicitud PATCH al método regionSnapshotSettings.patch :

  PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_A/snapshotSettings?updateMask=accessLocation

  {
    "accessLocation":
    {
      "policy":"ALL_REGIONS"
    }
  }

Para permitir que las instantáneas de un proyecto en la Región A se restauren solo en la Región B, realice una solicitud PATCH al método regionSnapshotSettings.patch :

  PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_A/snapshotSettings?updateMask=accessLocation

  {
    "accessLocation":
    {
      "policy":"SPECIFIC_REGIONS",
      "locations":
        {"REGION_B":
          {"region":"REGION_B"}
        }
    }
  }

Reemplace lo siguiente:

  • PROJECT_ID : El ID del proyecto.
  • REGION_A : la región donde se almacenan las instantáneas de ámbito regional.
  • REGION_B : una región permitida donde se pueden restaurar instantáneas de ámbito regional. Puede configurar varias regiones como ubicaciones de restauración permitidas.

Editar ubicaciones permitidas de restauración de instantáneas

nube de gcloud

Para ver las ubicaciones de restauración permitidas para instantáneas de un proyecto almacenado en la Región A, usa el comando gcloud beta compute snapshot-settings describe : 

  gcloud beta compute snapshot-settings describe \
      --project=PROJECT_ID \
      --region=REGION_A

Para eliminar la Región B de la lista de ubicaciones de restauración permitidas para instantáneas de un proyecto almacenado en la Región A, usa el comando gcloud beta compute snapshot-settings update : 

  gcloud beta compute snapshot-settings update \
      --project=PROJECT_ID \
      --access-location-policy=specific-regions \
      --remove-access-locations=REGION_B \
      --region=REGION_A

Reemplace lo siguiente:

  • PROJECT_ID : El ID del proyecto.
  • REGION_A : la región donde se almacenan las instantáneas de ámbito regional.
  • REGION_B : la región donde desea eliminar el acceso de restauración para instantáneas de ámbito regional.

DESCANSAR

Para ver las ubicaciones de restauración permitidas para instantáneas de un proyecto almacenado en la Región A, realice una solicitud GET al método regionSnapshotSettings.get : 

  GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_A/snapshotSettings

Para eliminar la Región B de la lista de ubicaciones de restauración permitidas para instantáneas de un proyecto almacenado en la Región A, realice una solicitud PATCH al método regionSnapshotSettings.patch : 

  PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_A/snapshotSettings?updateMask=accessLocation

  {
    "accessLocation":
    {
      "policy":"SPECIFIC_REGIONS",
      "locations":
        {"REGION_B":{}}
    }
  }

Reemplace lo siguiente:

  • PROJECT_ID : El ID del proyecto.
  • REGION_A : la región donde se almacenan las instantáneas de ámbito regional.
  • REGION_B : la región donde desea eliminar el acceso de restauración para instantáneas de ámbito regional.