Hinweise
Es empfiehlt sich, den Abschnitt Backup & DR-Bereitstellung planen zu lesen, bevor Sie mit diesem Abschnitt beginnen.
Auf dieser Seite werden die Google Cloud Anforderungen beschrieben, die erfüllt sein müssen, bevor Sie den Google Cloud Backup and DR Service in derGoogle Cloud Console aktivieren können.
Alle auf dieser Seite beschriebenen Aufgaben müssen imGoogle Cloud -Projekt ausgeführt werden, in dem Sie Ihre Sicherungs-/Wiederherstellungs-Appliance bereitstellen. Wenn dieses Projekt ein Dienstprojekt mit freigegebene VPC ist, werden einige Aufgaben im VPC-Projekt und einige im Arbeitslastprojekt ausgeführt.
Trusted Image-Projekte zulassen
Wenn Sie die Richtlinie constraint/compute.trustedImageProjects in den Organisationsrichtlinien aktiviert haben, ist das von Google Cloudverwaltete Quellprojekt für die Bilder, die zum Bereitstellen der Sicherungs-/Wiederherstellungs-Appliance verwendet werden, nicht zulässig. Sie müssen diese Organisationsrichtlinie in den Projekten anpassen, in denen Sicherungs-/Wiederherstellungsgeräte bereitgestellt werden, um einen Richtlinienverstoß während der Bereitstellung zu vermeiden. Weitere Informationen finden Sie in der folgenden Anleitung:
Rufen Sie die Seite Organisationsrichtlinien auf und wählen Sie das Projekt aus, in dem Sie Ihre Appliances bereitstellen.
Klicken Sie in der Richtlinienliste auf Vertrauenswürdige Image-Projekte definieren.
Klicken Sie auf Bearbeiten, um die vorhandenen Einschränkungen für vertrauenswürdige Images zu bearbeiten.
Wählen Sie auf der Seite Bearbeiten die Option Anpassen aus.
Wählen Sie eine der folgenden drei Möglichkeiten aus:
Vorhandene übernommene Richtlinie
Wenn es eine vorhandene übernommene Richtlinie gibt, gehen Sie so vor:
Wählen Sie unter Richtlinienerzwingung die Option Mit übergeordneter Ressource zusammenführen aus.
Klicken Sie auf Regel hinzufügen.
Wählen Sie in der Drop-down-Liste Richtlinienwerte die Option Benutzerdefiniert aus, um eine Einschränkung für bestimmte Image-Projekte festzulegen.
Wählen Sie in der Drop-down-Liste Richtlinientyp die Option Zulassen aus, um Einschränkungen für die angegebenen Image-Projekte zu entfernen.
Geben Sie im Feld Benutzerdefinierte Werte den benutzerdefinierten Wert als projects/backupdr-images ein.
Klicken Sie auf Fertig.
Bestehende Zulassen-Regel
Wenn es eine vorhandene Allow-Regel gibt, führen Sie die folgenden Schritte aus:
Lassen Sie die Standardeinstellung für Richtlinienerzwingung ausgewählt.
Wählen Sie die vorhandene Zulassen-Regel aus.
Klicken Sie auf Wert hinzufügen, um weitere Image-Projekte hinzuzufügen, und geben Sie den Wert als projects/backupdr-images ein.
Klicken Sie auf Fertig.
Keine vorhandene Richtlinie oder Regel
Wenn keine Regel vorhanden ist, wählen Sie Regel hinzufügen aus und führen Sie die folgenden Schritte aus:
Lassen Sie die Standardeinstellung für Richtlinienerzwingung ausgewählt.
Wählen Sie in der Drop-down-Liste Richtlinienwerte die Option Benutzerdefiniert aus, um eine Einschränkung für bestimmte Image-Projekte festzulegen.
Wählen Sie in der Drop-down-Liste Richtlinientyp die Option Zulassen aus, um Einschränkungen für die angegebenen Image-Projekte zu entfernen.
Geben Sie im Feld Benutzerdefinierte Werte den benutzerdefinierten Wert als projects/backupdr-images ein.
Wenn Sie Einschränkungen auf Projektebene festlegen, können diese mit den vorhandenen Einschränkungen in Ihrer Organisation oder Ihrem Ordner in Konflikt stehen.
Klicken Sie auf Wert hinzufügen, um weitere Image-Projekte hinzuzufügen, und dann auf Fertig.
Klicken Sie auf Speichern.
Klicken Sie auf Speichern, um die Einschränkung anzuwenden.
Weitere Informationen zum Erstellen von Organisationsrichtlinien finden Sie unter Organisationsrichtlinien erstellen und verwalten.
Bereitstellungsprozess
Zum Starten der Installation erstellt der Backup and DR-Dienst ein Dienstkonto, mit dem das Installationsprogramm ausgeführt wird. Das Dienstkonto benötigt Berechtigungen im Hostprojekt, im Dienstprojekt für die Sicherungs-/Wiederherstellungs-Appliance und im Dienstprojekt für die Verwaltungskonsole. Weitere Informationen finden Sie unter Dienstkonten.
Das für die Installation verwendete Dienstkonto wird zum Dienstkonto der Sicherungs-/Wiederherstellungs-Appliance. Nach der Installation werden die Berechtigungen des Dienstkontos auf die Berechtigungen reduziert, die für die Sicherungs-/Wiederherstellungs-Appliance erforderlich sind.
Die Verwaltungskonsole wird bereitgestellt, wenn Sie die erste Sicherungs-/Wiederherstellungs-Appliance installieren. Sie können den Backup and DR-Dienst in einer freigegebenen VPC oder in einer nicht freigegebenen VPC bereitstellen.
Backup- und DR-Dienst in einer nicht freigegebenen VPC
Wenn Sie die Verwaltungskonsole und die erste Sicherungs-/Wiederherstellungs-Appliance in einem einzelnen Projekt mit einer nicht freigegebenen VPC bereitstellen, befinden sich alle drei Backup and DR Service-Komponenten im selben Projekt.
Wenn die VPC freigegeben ist, lesen Sie den Abschnitt Backup and DR Service in einer freigegebenen VPC.
Erforderliche APIs für die Installation in einer nicht freigegebenen VPC aktivieren
Bevor Sie die erforderlichen APIs für die Installation in einer nicht freigegebenen VPC aktivieren, sehen Sie sich die unterstützten Regionen für die Bereitstellung des Backup and DR-Dienstes an. Unterstützte Regionen
Wenn Sie das Installationsprogramm in einer nicht freigegebenen VPC ausführen möchten, müssen die folgenden APIs aktiviert sein. Zum Aktivieren von APIs benötigen Sie die Rolle Service Usage-Administrator.
| API | Dienstname |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 Der Workflow-Dienst wird in den aufgeführten Regionen unterstützt. Wenn der Workflows-Dienst in einer Region, in der die Sicherungs-/Wiederherstellungs-Appliance bereitgestellt wird, nicht verfügbar ist, wird standardmäßig die Region „us-central1“ verwendet. Wenn Sie eine Organisationsrichtlinie haben, die das Erstellen von Ressourcen in anderen Regionen verhindert, müssen Sie Ihre Organisationsrichtlinie vorübergehend aktualisieren, um das Erstellen von Ressourcen in der Region „us-central1“ zu ermöglichen. Sie können die Region „us-central1“ nach der Bereitstellung der Sicherungs-/Wiederherstellungs-Appliance einschränken.
Das Nutzerkonto benötigt diese Berechtigungen im Projekt ohne freigegebene VPC.
| Bevorzugte Rolle | Berechtigungen erforderlich |
|---|---|
| resourcemanager.projectIamAdmin (Projekt-IAM-Administrator) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Service Usage-Administrator) | serviceusage.services.list |
| iam.serviceAccountUser (Dienstkontonutzer) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (Dienstkontoadministrator) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (Workflow-Bearbeiter) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (Administrator von Sicherungen und Notfallwiederherstellungen) | backupdr.* |
| Betrachter (Basic) | Gewährt die Berechtigungen, die zum Aufrufen der meisten Google Cloud Ressourcen erforderlich sind. |
Sicherung und Notfallwiederherstellung in einer freigegebene VPC
Wenn Sie die Verwaltungskonsole und die erste Sicherungs-/Wiederherstellungs-Appliance in einem Projekt mit freigegebene VPC bereitstellen, müssen Sie diese drei Projekte entweder im Hostprojekt oder in einem oder mehreren Dienstprojekten konfigurieren:
Bevor Sie die erforderlichen APIs für die Installation in einer freigegebene VPC aktivieren, sollten Sie sich die unterstützten Regionen für die Backup and DR-Bereitstellung ansehen. Unterstützte Regionen
VPC-Inhaberprojekt: Dieses Projekt ist Inhaber der ausgewählten VPC. Der VPC-Inhaber ist immer das Hostprojekt.
Projekt der Verwaltungskonsole: Hier wird die Backup and DR API aktiviert und hier greifen Sie auf die Verwaltungskonsole zu, um Arbeitslasten zu verwalten.
Projekt für Sicherungs-/Wiederherstellungs-Appliance: Hier wird die Sicherungs-/Wiederherstellungs-Appliance installiert und hier befinden sich in der Regel die geschützten Ressourcen.
In einer freigegebene VPC kann es sich um ein, zwei oder drei Projekte handeln.
| Typ | VPC-Inhaber | Verwaltungskonsole | Sicherungs‑/Wiederherstellungs-Appliance |
|---|---|---|---|
| HHH | Hostprojekt | Hostprojekt | Hostprojekt |
| HHS | Hostprojekt | Hostprojekt | Dienstprojekt |
| HSH | Hostprojekt | Dienstprojekt | Hostprojekt |
| HSS | Hostprojekt | Dienstprojekt | Dienstprojekt |
| HS2 | Hostprojekt | Dienstprojekt | Ein anderes Dienstprojekt |
Beschreibung der Bereitstellungsstrategien
HHH: Freigegebene VPC. Der VPC-Inhaber, die Verwaltungskonsole und die Sicherungs-/Wiederherstellungs-Appliance befinden sich alle im Hostprojekt.
HHS: freigegebene VPC. Der VPC-Inhaber und die Verwaltungskonsole befinden sich im Hostprojekt und die Sicherungs-/Wiederherstellungs-Appliance in einem Dienstprojekt.
HSH: freigegebene VPC. Der VPC-Inhaber und die Sicherungs-/Wiederherstellungs-Appliance befinden sich im Hostprojekt und die Verwaltungskonsole in einem Dienstprojekt.
HSS: freigegebene VPC. Der VPC-Inhaber befindet sich im Hostprojekt und die Sicherungs-/Wiederherstellungs-Appliance und die Verwaltungskonsole befinden sich in einem Dienstprojekt.
HS2: freigegebene VPC. Der VPC-Inhaber befindet sich im Hostprojekt und die Sicherungs-/Wiederherstellungs-Appliance und die Verwaltungskonsole befinden sich in zwei verschiedenen Dienstprojekten.
Erforderliche APIs für die Installation im Hostprojekt aktivieren
Damit das Installationsprogramm ausgeführt werden kann, müssen die folgenden APIs aktiviert sein. Zum Aktivieren von APIs benötigen Sie die Rolle Service Usage-Administrator.
| API | Dienstname |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
Aktivieren Sie diese erforderlichen APIs für die Installation im Projekt der Sicherungs-/Wiederherstellungs-Appliance.
| API | Dienstname |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 Der Workflow-Dienst wird in den aufgeführten Regionen unterstützt. Wenn der Workflows-Dienst in einer Region, in der die Appliance für Sicherung und Notfallwiederherstellung bereitgestellt wird, nicht verfügbar ist, wird standardmäßig die Region „us-central1“ verwendet. Wenn Sie eine Organisationsrichtlinie haben, die das Erstellen von Ressourcen in anderen Regionen verhindert, müssen Sie Ihre Organisationsrichtlinie vorübergehend aktualisieren, um das Erstellen von Ressourcen in der Region „us-central1“ zuzulassen. Sie können die Region „us-central1“ nach der Bereitstellung der Sicherungs-/Wiederherstellungs-Appliance einschränken.
Für das Nutzerkonto sind diese Berechtigungen im VPC-Inhaberprojekt erforderlich.
| Bevorzugte Rolle | Berechtigungen erforderlich |
|---|---|
| resourcemanager.projectIamAdmin (Projekt-IAM-Administrator) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Service Usage-Administrator) | serviceusage.services.list |
Für das Nutzerkonto sind diese Berechtigungen im Projekt der Verwaltungskonsole erforderlich.
Die Verwaltungskonsole wird bereitgestellt, wenn Sie die erste Sicherungs-/Wiederherstellungs-Appliance installieren.
| Bevorzugte Rolle | Berechtigungen erforderlich |
|---|---|
| resourcemanager.projectIamAdmin (Projekt-IAM-Administrator) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (Administrator von Sicherungen und Notfallwiederherstellungen) | backupdr.* |
| Betrachter (Basic) | Gewährt die Berechtigungen, die zum Aufrufen der meisten Google Cloud Ressourcen erforderlich sind. |
Das Nutzerkonto benötigt diese Berechtigungen im Projekt der Sicherungs-/Wiederherstellungs-Appliance.
| Bevorzugte Rolle | Berechtigungen erforderlich |
|---|---|
| resourcemanager.projectIamAdmin (Projekt-IAM-Administrator) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccountUser (Dienstkontonutzer) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (Dienstkontoadministrator) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (Workflow-Bearbeiter) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Service Usage-Administrator) | serviceusage.services.list |
Zusätzlich zu den Berechtigungen des Endnutzerkontos werden dem in Ihrem Namen erstellten Dienstkonto vorübergehend andere Berechtigungen erteilt, bis die Installation abgeschlossen ist.
Netzwerke konfigurieren
Wenn noch kein VPC-Netzwerk für Ihr Zielprojekt erstellt wurde, müssen Sie eines erstellen, bevor Sie fortfahren.
Weitere Informationen finden Sie unter VPC-Netzwerke (Virtual Private Cloud) erstellen und ändern.
Sie benötigen ein Subnetz in jeder Region, in der Sie eine Appliance für Sicherung und Wiederherstellung bereitstellen möchten. Für das Erstellen des Subnetzes muss die Berechtigung compute.networks.create zugewiesen sein.
Wenn Sie Sicherungs-/Wiederherstellungs-Appliances in mehreren Netzwerken bereitstellen, verwenden Sie Subnetze, die nicht denselben IP-Adressbereich haben, um zu verhindern, dass mehrere Sicherungs-/Wiederherstellungs-Appliances dieselbe IP-Adresse haben.
Privaten Google-Zugriff konfigurieren
Die Sicherungs-/Wiederherstellungs-Appliance kommuniziert über den privaten Google-Zugriff mit der Verwaltungskonsole. Es wird empfohlen, den privater Google-Zugriff für jedes Subnetz zu aktivieren, in dem Sie ein Sicherungs-/Wiederherstellungsgerät bereitstellen möchten.
Das Subnetz, in dem die Appliance für Sicherung und Wiederherstellung bereitgestellt wird, muss mit einer eindeutigen Domain kommunizieren, die unter der Domain backupdr.googleusercontent.com gehostet wird. Es wird empfohlen, die folgende Konfiguration in Cloud DNS einzuschließen:
- Private Zone erstellen für den DNS-Namen
backupdr.googleusercontent.com. - Erstellen Sie einen
A-Eintrag für die Domainbackupdr.googleusercontent.comund fügen Sie jede der vier IP-Adressen199.36.153.8,199.36.153.9,199.36.153.10,199.36.153.11aus dem Subnetzprivate.googleapis.com199.36.153.8/30ein. Wenn Sie VPC Service Controls verwenden, nutzen Sie199.36.153.4,199.36.153.5,199.36.153.6,199.36.153.7aus demrestricted.googleapis.com-Subnetz199.36.153.4/30. - Erstellen Sie einen
CNAME-Eintrag für*.backupdr.googleusercontent.com, der auf den Domainnamenbackupdr.googleusercontent.comverweist.
So wird sichergestellt, dass jede DNS-Auflösung für Ihre eindeutige Verwaltungskonsolendomain über den privater Google-Zugriff erfolgt.
Achten Sie darauf, dass Ihre Firewallregeln eine Regel für ausgehenden Traffic haben, die den Zugriff über TCP 443 auf das Subnetz 199.36.153.8/30 oder 199.36.153.4/30 zulässt. Wenn Sie außerdem eine Regel für ausgehenden Traffic haben, die den gesamten Traffic zu 0.0.0.0/0 zulässt, sollte die Verbindung zwischen den Appliances für Sicherung und Wiederherstellung und der Verwaltungskonsole erfolgreich sein.
Cloud Storage-Bucket erstellen
Sie benötigen einen Cloud Storage-Bucket, wenn Sie Datenbanken und Dateisysteme mit dem Backup and DR-Agent schützen und die Sicherungen dann zur langfristigen Aufbewahrung in Cloud Storage kopieren möchten. Dies gilt auch für VMware-VM-Sicherungen, die mit den VMware vSphere Storage APIs Data Protection erstellt wurden.
Erstellen Sie einen Cloud Storage-Bucket. Folgen Sie dazu der Anleitung:
Wechseln Sie in der Google Cloud -Console unter „Cloud Storage“ zur Seite Buckets.
Klicken Sie auf Bucket erstellen.
Geben Sie einen Namen für den Bucket ein.
Wählen Sie eine Region aus, in der Ihre Daten gespeichert werden sollen, und klicken Sie auf Weiter.
Wählen Sie eine Standardspeicherklasse aus und klicken Sie auf Weiter. Verwenden Sie Nearline, wenn die Aufbewahrungsdauer 30 Tage oder weniger beträgt, und Coldline, wenn die Aufbewahrungsdauer 90 Tage oder mehr beträgt. Wenn die Aufbewahrungsdauer zwischen 30 und 90 Tagen liegt, sollten Sie Coldline in Betracht ziehen.
Lassen Sie Einheitliche Zugriffssteuerung ausgewählt und klicken Sie auf Weiter. Verwenden Sie keine detaillierten.
Lassen Sie die Schutztools auf Keine eingestellt und klicken Sie auf Weiter. Wählen Sie keine anderen Optionen aus, da sie nicht mit dem Dienst für Sicherung und Notfallwiederherstellung funktionieren.
Klicken Sie auf Erstellen.
Prüfen Sie, ob Ihr Dienstkonto Zugriff auf Ihren Bucket hat:
Wählen Sie den neuen Bucket aus, um die Bucket-Details aufzurufen.
Rufen Sie Berechtigungen auf.
Prüfen Sie, ob Ihre neuen Dienstkonten unter Hauptkonten aufgeführt sind. Wenn nicht, fügen Sie mit der Schaltfläche Hinzufügen sowohl das Dienstkonto für Lese- als auch für Schreibvorgänge als Hauptkonten hinzu.