備份和災難復原服務保護和資料存取權的雲端憑證

本頁說明預設雲端憑證為何,以及如何在管理控制台中為備份/復原裝置新增憑證。

雲端憑證是服務帳戶的指標,可讓備份/復原工具存取 Compute Engine API 和 Cloud Storage 值區等專案資源,以便備份及復原 Compute Engine 執行個體。

在備份或復原 Compute Engine 執行個體的過程中,備份/復原設備會使用憑證中的服務帳戶,擷取執行個體快照,並透過 OnVault 資源池將執行個體中繼資料 (例如 VM 設定、網路和標記) 上傳至 Cloud Storage 值區。如果建立執行個體快照的應用程式不可用,您可以透過儲存在 Cloud Storage 值區的中繼資料,使用其他應用程式存取備份。請參閱「匯入永久磁碟快照映像檔」一文。

預設雲端憑證

部署 11.0.2 以上版本的備份/復原機器時,系統會自動建立預設雲端憑證。系統會根據專案中設備附加的服務帳戶建立這個憑證。這項憑證可簡化探索及保護 Compute Engine 執行個體的程序,不必建立 OnVault 集區和服務帳戶。在管理控制台中,您可以前往「管理」>「憑證」,在「雲端憑證」頁面中查看這個預設雲端憑證。

系統會根據裝置名稱,在「Cloud 憑證」頁面中顯示預設的雲端憑證。舉例來說,如果備份/復原設備的名稱是 ba-name,則預設服務帳戶名稱會顯示為 *ba-name@developer.gserviceaccount.com。其中 project-id 是專案 ID。您無法編輯或刪除這個預設雲端憑證,只能查看。

預設雲端憑證會指向自動建立的 OnVault 資源池,而這會指向自動建立的 Cloud Storage 值區。Cloud Storage 值區會保留 VM 執行個體建立的 Cloud Storage 值區。Cloud Storage 值區會保留 VM 執行個體設定和中繼資料,並在備份範本指派給 Compute Engine 執行個體時,於執行階段自動建立。Cloud Storage 值區的位置會根據備份範本中設定的永久磁碟快照儲存位置或地區而定。

即使您變更執行個體的區域或多區域,或是在第一次快照成功執行後套用政策覆寫值,系統也會自動建立 OnVault 集區。因此,這項服務可確保永久磁碟資料和 VM 例項設定都位於同一位置。

對於預設的雲端憑證,系統會自動將 IAM 角色 Backup and DR Cloud Storage Operator 指派給已連結至備份/還原裝置的服務帳戶。您必須手動指派 IAM 角色 Backup and DR Compute Engine Operator,才能備份 Compute Engine 執行個體。

在Google Cloud 控制台中,依序前往「Cloud Storage」>「值區」,即可查看裝置的對應 Cloud Storage 值區。

儲存體值區會在部署設備的專案中建立,名稱為 <backup/recovery-appliance-name>-<random-string>-<region/multi-region>,並設定下列屬性。

  • 儲存空間級別:標準
  • Object Access Control:Uniform
  • Bucket 位置:與永久磁碟快照位置相同
  • 物件版本管理:未在值區上設定物件版本管理或保留設定

  • 存取權:值區不開放存取

新增雲端憑證

如果您仍想手動為備份/復原設備建立雲端憑證,備份和災難復原服務可讓您建立新的雲端憑證。如要建立新的雲端憑證,請先建立新的 OnVault 集區,請參閱 OnVault 集區操作說明。新增雲端憑證的程序會因備份/復原裝置的軟體版本而異。如要判斷目前使用的版本,請前往「管理」>「Appliances」,然後查看「Version」欄。

下表說明 Cloud 憑證與部署的機器人版本的行為。

原始設備版本 升級的設備版本 使用雲端憑證
11.0.1* 11.0.2 以上版本 任何現有的雲端憑證都會繼續使用 JSON 金鑰。不過,您可以將雲端憑證中的 JSON 金鑰替換為機器人服務帳戶憑證
11.0.2 以上版本 不適用 系統會自動建立不使用 JSON 金鑰的預設雲端憑證。請參閱 預設雲端憑證

*2023 年 1 月前部署的裝置,大多是部署在 11.0.1 版上。

為搭載 11.0.2 以上版本的機器人新增雲端憑證

如要建立 Cloud 憑證,您必須定義憑證名稱和要儲存備份資料的 OnVault 資源池。系統會根據附加至所選備份/復原設備的服務帳戶,自動填入服務帳戶。如果尚未建立 OnVault,請建立

新增雲端憑證前,請將 Backup and DR Compute Engine Operator 角色指派給連結至機器的服務帳戶。

請按照以下操作說明,為搭載 11.0.2 以上版本的機器新增 Google Cloud 憑證:

  1. 按一下「管理」,然後在下拉式選單中選取「憑證」

    「Cloud 憑證」頁面會隨即開啟,列出管理控制台管理的所有雲端憑證 (如果已新增任何憑證)。

  2. 按一下「新增 Google Cloud 憑證」

  3. 在「憑證名稱」中,新增您要用來識別憑證的專屬名稱。

  4. 選取「預設區域」。預設區域用於在專案中探索 Compute Engine VM 時,判斷預設要使用的區域。您也可以在探索期間選取其他區域。

  5. 在「Appliances」下拉式選單中,選取要與憑證建立關聯的裝置。系統會自動在「Service Account」欄位中填入連結至該裝置的服務帳戶。

  6. 選取 OnVault 集區。系統會根據所選裝置顯示資源池。如要新增 OnVault 集區,請參閱「OnVault 集區」中的操作說明。

  7. 按一下「新增」。

管理控制台會傳送要求,向所選裝置驗證雲端憑證。如果驗證成功,系統就會註冊憑證。建立雲端憑證後,系統會自動建立 Cloud Storage 集區和資源設定檔,並以雲端憑證名稱做為前置字串。

為搭載 11.0.2 以下版本的裝置新增雲端憑證

建議您將裝置更新至最新版本。請參閱更新備份/復原設備的操作說明。

如要建立 OnVault 集區,並使用搭載 11.0.1 以下版本的機器,您必須手動上傳 JSON 金鑰。如需建立及下載 JSON 格式服務帳戶金鑰的操作說明,請參閱「建立服務帳戶金鑰」。

您必須手動上傳 JSON 金鑰,直到備份/復原設備更新至 11.0.2 以上版本為止。您需要定義憑證名稱和要儲存備份資料的 OnVault 集區。如果您沒有 OnVault,請參閱建立 OnVault 叢集的操作說明。

請按照以下操作說明為裝置新增 Google Cloud 憑證:

  1. 按一下「管理」,然後在下拉式選單中選取「憑證」。「Cloud 憑證」頁面會隨即開啟,列出管理控制台管理的所有雲端憑證 (如果已新增任何憑證)。
  2. 按一下「新增 Google Cloud 憑證」
  3. 在「憑證名稱」中,新增您要用來識別憑證的專屬名稱。
  4. 選取「預設區域」。預設區域可用於決定在執行 Compute Engine 探索作業時,要從哪個區域進行初始搜尋。您每次執行探索工具時,都可以選取不同的區域。
  5. 在「Appliances」下拉式選單中,選取要與憑證建立關聯的應用程式。只有所選裝置可存取這項憑證。
  6. 在「憑證 JSON」欄位中,按一下「選擇檔案」,然後匯入以 JSON 格式儲存的服務帳戶金鑰。服務帳戶和專案 ID 會從 JSON 金鑰檔案衍生而來。您可以視需要變更專案 ID。
  7. 選取 OnVault 集區。系統會根據所選裝置顯示資源池。如要新增 OnVault 集區,請參閱「OnVault 集區」。
  8. 按一下「新增」。

管理控制台會傳送要求,向所選裝置驗證雲端憑證。如果驗證成功,系統就會註冊憑證。建立雲端憑證後,系統會自動建立雲端集區和資源設定檔,並以雲端憑證名稱做為前置字串。

編輯雲端憑證

請按照下列操作說明,編輯機器人現有的雲端憑證:

  1. 按一下「管理」,然後在下拉式選單中選取「憑證」。「Cloud 憑證」頁面會隨即開啟,列出管理控制台所管理裝置上儲存的所有憑證。
  2. 選取要修改的憑證,然後在頁面右下角選取「編輯」。「Edit Credential」(編輯憑證) 頁面隨即開啟。您也可以在憑證上按一下滑鼠右鍵,然後在下拉式選單選項中選取「編輯」
  3. 如果您要更新搭載 11.0.2 以上版本的裝置,可以更新名稱、預設區域、機構屬性和 OnVault 資源池。

  4. 如果您要更新執行 11.0.2 以上版本的機器:

    1. 請按照下列步驟變更憑證:

      • 如果您要更新名稱、預設區域或預設區域,或組織屬性,則不必提供雲端或組織屬性,也不必提供雲端存取資訊,例如 JSON 索引鍵檔案。
      • 如果您要更新雲端憑證資訊或新增其他設備,系統會要求您提供用於建立憑證的雲端存取資訊。

    2. 您可以選取其他應用程式來儲存資料。

    3. 如果有其他集區可供使用,您可以變更 OnVault 集區。

  5. 點選「儲存」來套用變更。

將 JSON 金鑰雲端憑證替換為機器人服務帳戶憑證

如果您使用 JSON 金鑰建立雲端憑證來進行驗證,就無法切換該憑證,以便與機器人服務帳戶驗證搭配使用。請改為建立新的雲端憑證,然後修改備份方案,將自動建立的設定檔指派給雲端憑證。

請按照下列操作說明,將 JSON 金鑰雲端憑證替換為機器人服務帳戶憑證:

  1. 使用機器人服務帳戶建立新的 Cloud 憑證。這會建立名為 <new credentialname>_Profile 的新資源設定檔。
  2. 前往「應用程式管理工具」,然後選取「應用程式」
  3. 使用舊版 Cloud 憑證找出所有 Compute Engine 執行個體。找出設定檔名稱,格式如下:<舊憑證名稱>_Profile
  4. 請按照「修改受管理應用程式的備份方案管理設定」主題中的操作說明,將目前使用的設定檔更新為新設定檔。

所有新映像檔都會使用新建立的雲端憑證。您必須先將先前在該集區中建立的所有映像檔刪除,才能刪除舊的 Cloud 憑證定義。

刪除雲端憑證

刪除憑證前,請先解除保護並移除所有使用此憑證偵測到的應用程式和主機,然後再刪除憑證。

請按照下列操作說明刪除雲端憑證。

  1. 按一下「管理」,然後在下拉式選單中選取「憑證」
  2. 在必要憑證上按一下滑鼠右鍵,然後選取「刪除」
  3. 按一下「確認」。

備份和災難復原 Compute Engine 指南

備份和災難復原 Compute Engine 指南