Kredensial cloud untuk perlindungan dan akses data Backup and DR Service

Halaman ini menjelaskan apa yang dimaksud dengan kredensial cloud default dan cara menambahkan kredensial baru untuk peralatan pencadangan/pemulihan di konsol pengelolaan.

Kredensial cloud adalah pointer ke akun layanan yang memungkinkan alat pencadangan/pemulihan mengakses resource project seperti API Compute Engine dan bucket Cloud Storage untuk mencadangkan dan memulihkan instance Compute Engine.

Selama pencadangan atau pemulihan instance Compute Engine, perangkat pencadangan/pemulihan menggunakan akun layanan dalam kredensial untuk mengambil snapshot instance, dan mengupload metadata instance (seperti konfigurasi VM, jaringan, dan tag) ke bucket Cloud Storage melalui kumpulan OnVault. Jika alat yang membuat snapshot instance tidak tersedia, Anda dapat mengakses cadangan menggunakan alat lain, melalui metadata yang disimpan di bucket Cloud Storage. Lihat Mengimpor image snapshot persistent disk.

Kredensial cloud default

Kredensial cloud default dibuat secara otomatis saat Anda men-deploy perangkat cadangan/pemulihan versi 11.0.2 atau yang lebih baru. Kredensial ini dibuat berdasarkan akun layanan yang dilampirkan ke appliance dalam project. Kredensial ini menyederhanakan proses penemuan dan perlindungan instance Compute Engine tanpa perlu membuat akun layanan dan kumpulan OnVault. Di konsol pengelolaan, Anda dapat melihat kredensial cloud default ini di halaman Cloud Credentials dengan membuka Manage > Credentials.

Kredensial cloud default di halaman Cloud Credentials ditampilkan berdasarkan nama appliance. Misalnya, jika nama alat pencadangan/pemulihan adalah ba-name, maka nama akun layanan default yang ditampilkan adalah *ba-name@. Nilai project-id adalah project ID. Anda tidak dapat mengedit atau menghapus kredensial cloud default ini, Anda hanya dapat melihatnya.

Kredensial cloud default mengarah ke kumpulan OnVault yang dibuat secara otomatis—yang mengarah ke bucket Cloud Storage yang dibuat secara otomatis. Bucket Cloud Storage menyimpan bucket Cloud Storage yang dibuat instance VM. Bucket Cloud Storage menyimpan konfigurasi dan metadata instance VM serta dibuat secara otomatis saat runtime, saat template cadangan ditetapkan ke instance Compute Engine. Lokasi bucket Cloud Storage ditentukan berdasarkan lokasi atau region penyimpanan snapshot persistent disk seperti yang dikonfigurasi dalam template pencadangan.

Pool OnVault dibuat secara otomatis meskipun Anda mengubah region atau multi-region instance atau saat penggantian kebijakan diterapkan setelah snapshot pertama berhasil dijalankan. Dengan demikian, layanan ini memastikan bahwa data persistent disk dan konfigurasi VM instance ditempatkan bersama.

Untuk kredensial cloud default, peran IAM Backup and DR Cloud Storage Operator otomatis ditetapkan ke akun layanan yang terlampir ke appliance pencadangan/pemulihan. Anda harus menetapkan peran IAM Backup and DR Compute Engine Operator secara manual untuk mencadangkan instance Compute Engine.

Lihat bucket Cloud Storage yang sesuai dari appliance di konsolGoogle Cloud dengan membuka Cloud Storage > Buckets.

Bucket penyimpanan dibuat dengan nama <backup/recovery-appliance-name>-<random-string>-<region/multi-region> di project yang sama tempat appliance di-deploy dan memiliki setelan properti berikut.

  • Storage Class: Standard
  • Kontrol Akses Objek: Seragam
  • Lokasi Bucket: Sama dengan lokasi snapshot Persistent Disk
  • Pembuatan Versi Objek: Tidak ada pembuatan versi atau retensi objek yang ditetapkan di bucket

  • Akses: Tidak ada akses publik di bucket

Tambahkan kredensial cloud

Backup and DR Service memberikan kemampuan untuk membuat kredensial cloud baru jika Anda masih ingin membuatnya secara manual untuk appliance pencadangan/pemulihan. Untuk membuat kredensial cloud baru, Anda harus membuat pool OnVault baru terlebih dahulu. Lihat petunjuk pool OnVault. Prosedur untuk menambahkan kredensial cloud bervariasi berdasarkan versi software appliance pencadangan/pemulihan. Untuk menentukan versi yang sedang digunakan, buka Manage > Appliances dan periksa kolom Version.

Tabel berikut menunjukkan perilaku kredensial Cloud dengan versi appliance yang di-deploy.

Versi perangkat asli Versi upgrade perangkat Penggunaan kredensial cloud
11.0.1* 11.0.2 atau yang lebih tinggi Kredensial cloud yang ada akan terus menggunakan kunci JSON. Namun, Anda dapat mengganti kunci JSON di kredensial cloud dengan Kredensial Akun Layanan appliance.
11.0.2 atau yang lebih tinggi Tidak berlaku Kredensial cloud default yang tidak menggunakan kunci JSON akan dibuat secara otomatis. Lihat kredensial cloud default.

*Perangkat yang di-deploy sebelum Januari 2023 kemungkinan besar di-deploy di versi 11.0.1.

Menambahkan kredensial cloud untuk appliance yang berjalan di 11.0.2 atau yang lebih tinggi

Untuk membuat kredensial Cloud, Anda perlu menentukan nama kredensial dan kumpulan OnVault tempat Anda ingin menyimpan data cadangan. Akun layanan diisi otomatis berdasarkan akun layanan yang terlampir ke alat pencadangan/pemulihan yang dipilih. Buat OnVault, jika Anda belum memilikinya.

Sebelum menambahkan kredensial cloud, tetapkan peran Backup and DR Compute Engine Operator ke akun layanan yang dilampirkan ke alat.

Gunakan petunjuk ini untuk menambahkan Google Cloud kredensial bagi peralatan yang berjalan di 11.0.2 atau yang lebih tinggi:

  1. Klik Kelola, lalu pilih Kredensial dari menu drop-down.

    Halaman Cloud Credentials akan terbuka dan mencantumkan semua kredensial cloud yang dikelola oleh konsol pengelolaan jika ada kredensial yang sudah ditambahkan.

  2. Klik Add Google Cloud Credentials.

  3. Di Credential Name, tambahkan nama unik yang ingin Anda gunakan untuk mengidentifikasi kredensial.

  4. Pilih Zona Default. Zona default digunakan untuk menentukan zona mana yang akan digunakan secara default saat menemukan VM Compute Engine dalam project. Anda juga dapat memilih zona yang berbeda selama penemuan.

  5. Di drop-down Peralatan, pilih peralatan yang ingin Anda kaitkan dengan kredensial. Kolom Service Account akan otomatis diisi dengan akun layanan yang terlampir ke appliance tersebut.

  6. Pilih pool OnVault. Kumpulan ditampilkan berdasarkan peralatan yang dipilih. Untuk menambahkan pool OnVault, gunakan petunjuk OnVault Pool.

  7. Klik Tambahkan.

Konsol pengelolaan mengirimkan permintaan untuk memvalidasi kredensial cloud ke appliance yang dipilih. Jika validasi berhasil, kredensial akan didaftarkan. Pembuatan kredensial cloud akan menyebabkan pembuatan otomatis pool Cloud Storage dan profil resource dengan nama kredensial cloud sebagai awalan.

Menambahkan kredensial cloud untuk appliance yang berjalan di versi 11.0.2 atau yang lebih lama

Sebaiknya update perangkat Anda ke versi terbaru. Lihat petunjuk untuk memperbarui appliance pencadangan/pemulihan.

Untuk membuat pool OnVault dengan appliance yang berjalan di versi 11.0.1 atau yang lebih lama, Anda harus mengupload kunci JSON secara manual. Lihat Membuat kunci akun layanan untuk mengetahui petunjuk cara membuat dan mendownload kunci akun layanan dalam format JSON.

Anda harus mengupload kunci JSON secara manual hingga perangkat cadangan/pemulihan diupdate ke 11.0.2 atau yang lebih tinggi. Anda perlu menentukan nama kredensial dan pool OnVault tempat Anda ingin menyimpan data cadangan. Jika Anda tidak memiliki OnVault, lihat petunjuk untuk Membuat kumpulan OnVault.

Gunakan petunjuk ini untuk menambahkan kredensial Google Cloud untuk perangkat:

  1. Klik Kelola, lalu pilih Kredensial dari menu drop-down. Halaman Cloud Credentials akan terbuka dan mencantumkan semua kredensial cloud yang dikelola oleh konsol pengelolaan jika ada kredensial yang sudah ditambahkan.
  2. Klik Add Google Cloud Credentials.
  3. Di Credential Name, tambahkan nama unik yang ingin Anda gunakan untuk mengidentifikasi kredensial.
  4. Pilih Zona Default. Zona default digunakan untuk menentukan zona mana yang akan ditelusuri terlebih dahulu saat melakukan penemuan Compute Engine. Anda dapat memilih zona yang berbeda setiap kali menjalankan alat penemuan.
  5. Di menu drop-down Appliances, pilih peralatan yang akan dikaitkan dengan kredensial. Hanya peralatan yang dipilih yang memiliki akses ke kredensial ini.
  6. Di kolom Credential JSON, klik Choose file dan impor kunci akun layanan yang disimpan dalam format JSON. ID project dan akun layanan berasal dari file kunci JSON. Anda dapat mengubah ID project sesuai kebutuhan.
  7. Pilih pool OnVault. Kumpulan ditampilkan berdasarkan peralatan yang dipilih. Untuk menambahkan pool OnVault, lihat Pool OnVault.
  8. Klik Tambahkan.

Konsol pengelolaan mengirimkan permintaan untuk memvalidasi kredensial cloud ke appliance yang dipilih. Jika validasi berhasil, kredensial akan didaftarkan. Pembuatan kredensial cloud akan menyebabkan pembuatan otomatis pool cloud dan profil resource dengan nama kredensial cloud sebagai awalan.

Mengedit kredensial cloud

Gunakan petunjuk ini untuk mengedit kredensial cloud yang ada untuk appliance:

  1. Klik Kelola, lalu pilih Kredensial dari menu drop-down. Halaman Cloud Credentials akan terbuka dan mencantumkan semua kredensial yang disimpan di perangkat yang dikelola oleh konsol pengelolaan.
  2. Pilih kredensial yang ingin Anda ubah, lalu pilih Edit dari sudut kanan bawah halaman. Halaman Edit Kredensial akan terbuka. Anda juga dapat mengklik kanan kredensial dan memilih Edit dari opsi menu drop-down.
  3. Jika Anda memperbarui appliance yang berjalan di 11.0.2 atau yang lebih tinggi, Anda dapat memperbarui nama, zona default, atribut organisasi, dan kumpulan OnVault.

  4. Jika Anda mengupdate appliance yang menjalankan versi 11.0.2 atau versi yang lebih lama:

    1. Lakukan perubahan pada kredensial sebagai berikut:

      • Jika Anda memperbarui nama, region default, atau zona default, atau atribut organisasi, Anda tidak perlu memberikan informasi akses cloud atau organisasi, seperti file kunci JSON.
      • Jika Anda memperbarui informasi kredensial cloud atau menambahkan appliance tambahan, Anda akan diminta untuk memberikan informasi akses cloud yang digunakan untuk membuat kredensial.

    2. Anda dapat memilih perangkat tambahan untuk menyimpan data.

    3. Anda dapat mengubah pool OnVault, jika pool lain tersedia.

  5. Klik Save untuk menerapkan perubahan.

Mengganti kredensial cloud kunci JSON dengan Kredensial Akun Layanan appliance

Jika Anda memiliki kredensial cloud yang dibuat menggunakan kunci JSON untuk autentikasi, Anda tidak dapat mengalihkan kredensial tersebut untuk digunakan dengan autentikasi akun layanan appliance. Sebagai gantinya, buat kredensial cloud baru dan tetapkan profil yang dibuat secara otomatis dengan kredensial cloud dengan mengubah rencana pencadangan.

Gunakan petunjuk berikut untuk mengganti kredensial cloud kunci JSON dengan Kredensial Akun Layanan appliance:

  1. Buat Kredensial Cloud baru menggunakan akun layanan appliance. Tindakan ini akan membuat profil resource baru dengan nama: <new credentialname>_Profile.

  2. Dari konsol pengelolaan Layanan Pencadangan dan DR, klik Pengelola Aplikasi, lalu pilih Aplikasi dari menu drop-down.

    Halaman Applications akan terbuka.

  3. Temukan semua instance Compute Engine yang menggunakan kredensial Cloud lama. Identifikasi nama profil yang menggunakan format: <old credentialname>_Profile

  4. Ikuti petunjuk di topik Mengubah pengelolaan paket pencadangan aplikasi terkelola dan perbarui profil yang digunakan ke profil baru.

Semua image baru menggunakan kredensial cloud yang baru dibuat. Anda tidak dapat menghapus definisi kredensial Cloud lama hingga semua image yang dibuat sebelumnya di pool tersebut telah habis masa berlakunya.

Menghapus kredensial cloud

Sebelum menghapus kredensial, batalkan perlindungan dan hapus semua aplikasi dan host yang ditemukan menggunakan kredensial ini, lalu hapus kredensial tersebut.

Gunakan petunjuk ini untuk menghapus kredensial cloud.

  1. Klik Kelola, lalu pilih Kredensial dari menu drop-down.
  2. Klik kanan kredensial yang diperlukan, lalu pilih Hapus.
  3. Klik Konfirmasi.

Panduan Compute Engine Backup and DR

Panduan Compute Engine Backup and DR