Sebelum memulai
Sebaiknya baca Merencanakan deployment pencadangan dan DR sebelum Anda memulai bagian ini.
Halaman ini menjelaskan secara mendetail persyaratan Google Cloud yang harus dipenuhi sebelum Anda mengaktifkan Google Cloud Layanan Pencadangan dan DR yang harus dilakukan di Google Cloud konsol.
Semua tugas yang diuraikan di halaman ini harus dilakukan di Google Cloud project tempat Anda men-deploy appliance pencadangan/pemulihan. Jika project ini adalah project layanan VPC Bersama, maka beberapa tugas dilakukan di project VPC dan beberapa di project workload.
Mengizinkan project image tepercaya
Jika Anda telah mengaktifkan kebijakan constraint/compute.trustedImageProjects di kebijakan
Organisasi, maka project sumber yang dikelola Google Clouduntuk image
yang digunakan untuk men-deploy alat cadangan/pemulihan tidak diizinkan. Anda perlu menyesuaikan kebijakan organisasi ini di project tempat appliance pencadangan/pemulihan di-deploy untuk menghindari error pelanggaran kebijakan selama deployment seperti yang dijelaskan dalam petunjuk berikut:
Buka halaman Kebijakan organisasi dan pilih project tempat Anda men-deploy appliance.
Di daftar kebijakan, klik Tentukan project gambar tepercaya.
Klik Edit untuk menyesuaikan batasan image tepercaya yang ada.
Pada halaman Edit, pilih Customize.
Pilih dari tiga kemungkinan berikut:
Kebijakan yang diwariskan yang ada
Jika ada kebijakan turunan yang sudah ada, selesaikan langkah-langkah berikut:
Untuk Penerapan kebijakan, pilih Gabungkan dengan induk.
Klik Tambahkan Aturan.
Pilih Custom dari menu drop-down Policy values untuk menetapkan batasan pada project gambar tertentu.
Pilih Izinkan dari daftar drop-down Jenis kebijakan untuk menghapus batasan pada project gambar yang ditentukan.
Di kolom Nilai kustom, masukkan nilai kustom sebagai projects/backupdr-images.
Klik Selesai.
Aturan Izinkan yang ada
Jika ada aturan Izinkan yang sudah ada, selesaikan langkah-langkah berikut:
Biarkan Penerapan kebijakan dipilih secara default.
Pilih aturan Izinkan yang ada.
Klik Tambahkan nilai untuk menambahkan project gambar tambahan dan masukkan nilai sebagai projects/backupdr-images.
Klik Selesai.
Tidak ada kebijakan atau aturan yang ada
Jika tidak ada aturan yang ada, pilih Tambahkan aturan, lalu selesaikan langkah-langkah berikut:
Biarkan Penerapan kebijakan dipilih secara default.
Pilih Kustom dari menu drop-down Nilai kebijakan untuk menetapkan batasan pada project gambar tertentu.
Pilih Izinkan dari daftar drop-down Jenis kebijakan untuk menghapus batasan pada project gambar yang ditentukan.
Di kolom Nilai kustom, masukkan nilai kustom sebagai projects/backupdr-images.
Jika Anda menetapkan batasan tingkat project, batasan tersebut dapat berkonflik dengan batasan yang ada yang ditetapkan di organisasi atau folder Anda.
Klik Tambahkan nilai untuk menambahkan project gambar lainnya, lalu klik Selesai.
Klik Simpan.
Klik Simpan untuk menerapkan batasan.
Untuk mengetahui informasi selengkapnya tentang cara membuat kebijakan organisasi, lihat Membuat dan mengelola kebijakan organisasi.
Proses deployment
Untuk meluncurkan penginstalan, Layanan Backup dan DR membuat akun layanan untuk menjalankan penginstal. Akun layanan memerlukan hak istimewa di project host, project layanan appliance pencadangan/pemulihan, dan project layanan konsol pengelolaan. Untuk mengetahui informasi selengkapnya, lihat akun layanan.
Akun layanan yang digunakan untuk penginstalan menjadi akun layanan perangkat cadangan/pemulihan. Setelah penginstalan, izin akun layanan dikurangi menjadi hanya izin yang diperlukan oleh appliance pencadangan/pemulihan.
Konsol pengelolaan di-deploy saat Anda menginstal appliance pencadangan/pemulihan pertama. Anda dapat men-deploy Layanan Backup dan DR di VPC Bersama atau di VPC non-bersama.
Layanan Pencadangan dan DR di VPC yang tidak dibagikan
Saat men-deploy konsol pengelolaan dan appliance pencadangan/pemulihan pertama berada dalam satu project dengan VPC non-bersama, maka ketiga komponen Layanan Pencadangan dan DR berada dalam project yang sama.
Jika VPC dibagikan, lihat Layanan Pencadangan dan DR di VPC Bersama.
Aktifkan API yang diperlukan untuk penginstalan di VPC yang tidak dibagikan
Sebelum mengaktifkan API yang diperlukan untuk penginstalan di VPC non-bersama, tinjau wilayah yang didukung untuk deployment Layanan Pencadangan dan DR. Lihat Wilayah yang didukung.
Untuk menjalankan penginstal di VPC non-bersama, API berikut harus diaktifkan. Untuk mengaktifkan API, Anda memerlukan peran Admin penggunaan layanan.
| API | Nama layanan |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Alur kerja 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 Layanan alur kerja didukung di region yang tercantum. Jika layanan Workflows tidak tersedia di region tempat appliance pencadangan/pemulihan di-deploy, Layanan Pencadangan dan DR akan menggunakan region "us-central1" secara default. Jika Anda memiliki kebijakan organisasi yang ditetapkan untuk mencegah pembuatan resource di region lain, Anda harus memperbarui kebijakan organisasi untuk sementara agar dapat membuat resource di region "us-central1". Anda dapat membatasi region "us-central1" setelah deployment appliance pencadangan/pemulihan.
Akun pengguna memerlukan izin ini di project VPC yang tidak dibagikan
| Peran pilihan | Izin diperlukan |
|---|---|
| resourcemanager.projectIamAdmin (Project IAM Admin) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Admin Penggunaan Layanan) | serviceusage.services.list |
| iam.serviceAccountUser (Pengguna Akun Layanan) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (Admin Akun Layanan) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (Workflows Editor) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (Admin Backup dan DR) | backupdr.* |
| pelihat (Dasar) | Memberikan izin yang diperlukan untuk melihat sebagian besar Google Cloud resource. |
Backup and DR di VPC Bersama
Saat men-deploy konsol pengelolaan dan appliance pencadangan/pemulihan pertama di project VPC Bersama, Anda harus mengonfigurasi ketiga project ini di project host atau di satu atau beberapa project layanan:
Sebelum mengaktifkan API yang diperlukan untuk penginstalan di VPC Bersama, tinjau wilayah yang didukung untuk deployment Backup dan DR. Lihat Wilayah yang didukung.
Project pemilik VPC: Project ini memiliki VPC yang dipilih. Pemilik VPC selalu merupakan project host.
Project konsol pengelolaan: Di sinilah Backup and DR API diaktifkan dan tempat Anda mengakses konsol pengelolaan untuk mengelola beban kerja.
Project perangkat pencadangan/pemulihan: Di sinilah perangkat pencadangan/pemulihan diinstal dan biasanya tempat sumber daya yang dilindungi berada.
Dalam VPC Bersama, project ini dapat berupa satu, dua, atau tiga project.
| Jenis | Pemilik VPC | Konsol pengelolaan | Perangkat pencadangan/pemulihan |
|---|---|---|---|
| HHH | Project host | Project host | Project host |
| HHS | Project host | Project host | Project layanan |
| HSH | Project host | Project layanan | Project host |
| HSS | Project host | Project layanan | Project layanan |
| HS2 | Project host | Project layanan | Project layanan yang berbeda |
Deskripsi strategi deployment
HHH: VPC Bersama. Pemilik VPC, konsol pengelolaan, dan peralatan pencadangan/pemulihan semuanya ada di project host.
HHS: VPC Bersama. Pemilik VPC dan konsol pengelolaan berada di project host, dan peralatan pencadangan/pemulihan berada di project layanan.
HSH: Shared VPC. Pemilik VPC dan peralatan pencadangan/pemulihan berada di project host, dan konsol pengelolaan berada di project layanan.
HSS: Shared VPC. Pemilik VPC berada di project host, dan peralatan pencadangan/pemulihan serta konsol pengelolaan berada di satu project layanan.
HS2: VPC Bersama. Pemilik VPC berada di project host, dan peralatan pencadangan/pemulihan serta konsol pengelolaan berada di dua project layanan yang berbeda.
Aktifkan API yang diperlukan ini untuk penginstalan di project host
Untuk menjalankan penginstal, API berikut harus diaktifkan. Untuk mengaktifkan API, Anda memerlukan peran Admin penggunaan layanan.
| API | Nama layanan |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
Aktifkan API yang diperlukan ini untuk penginstalan di project appliance pencadangan/pemulihan
| API | Nama layanan |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Alur kerja 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 Layanan alur kerja didukung di region yang tercantum. Jika layanan Workflows tidak tersedia di region tempat appliance pencadangan/pemulihan di-deploy, Layanan Pencadangan dan DR akan menggunakan region "us-central1" secara default. Jika memiliki kebijakan organisasi yang ditetapkan untuk mencegah pembuatan resource di region lain, Anda harus memperbarui kebijakan organisasi untuk sementara agar dapat membuat resource di region "us-central1". Anda dapat membatasi region "us-central1" setelah deployment appliance pencadangan/pemulihan.
Akun pengguna memerlukan izin ini di project pemilik VPC
| Peran yang Diinginkan | Izin diperlukan |
|---|---|
| resourcemanager.projectIamAdmin (Project IAM Admin) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Admin Penggunaan Layanan) | serviceusage.services.list |
Akun pengguna memerlukan izin ini di project konsol pengelolaan
Konsol pengelolaan di-deploy saat Anda menginstal appliance pencadangan/pemulihan pertama.
| Peran yang Diinginkan | Izin diperlukan |
|---|---|
| resourcemanager.projectIamAdmin (Project IAM Admin) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (Admin Backup dan DR) | backupdr.* |
| pelihat (Dasar) | Memberikan izin yang diperlukan untuk melihat sebagian besar Google Cloud resource. |
Akun pengguna memerlukan izin ini di project appliance pencadangan/pemulihan
| Peran yang Diinginkan | Izin diperlukan |
|---|---|
| resourcemanager.projectIamAdmin (Project IAM Admin) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccountUser (Pengguna Akun Layanan) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (Admin Akun Layanan) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (Workflows Editor) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Admin Penggunaan Layanan) | serviceusage.services.list |
Selain izin akun pengguna akhir, izin lainnya diberikan sementara kepada akun layanan yang dibuat atas nama Anda hingga penginstalan selesai.
Mengonfigurasi jaringan
Jika jaringan VPC belum dibuat untuk project target Anda, Anda perlu membuatnya sebelum melanjutkan.
Lihat Membuat dan mengubah jaringan Virtual Private Cloud (VPC) untuk mengetahui detailnya.
Anda memerlukan subnet di setiap region tempat Anda berencana men-deploy appliance pencadangan/pemulihan, dan subnet tersebut harus ditetapkan dengan izin compute.networks.create untuk membuatnya.
Jika Anda men-deploy perangkat cadangan/pemulihan di beberapa jaringan, gunakan subnet yang tidak memiliki rentang alamat IP yang sama untuk mencegah beberapa perangkat cadangan/pemulihan memiliki alamat IP yang sama.
Mengonfigurasi Akses Google Pribadi
Perangkat cadangan/pemulihan berkomunikasi dengan konsol pengelolaan menggunakan Akses Google Pribadi. Sebaiknya Anda mengaktifkan Akses Google Pribadi untuk setiap subnet tempat Anda ingin men-deploy appliance pencadangan/pemulihan.
Subnet tempat appliance pencadangan/pemulihan di-deploy harus berkomunikasi dengan
domain unik yang dihosting di domain backupdr.googleusercontent.com. Sebaiknya Anda menyertakan konfigurasi berikut di Cloud DNS:
- Buat zona pribadi untuk
nama DNS
backupdr.googleusercontent.com. - Buat data
Auntuk domainbackupdr.googleusercontent.comdan sertakan masing-masing dari empat alamat IP199.36.153.8,199.36.153.9,199.36.153.10,199.36.153.11dariprivate.googleapis.comsubnet199.36.153.8/30. Jika Anda menggunakan Kontrol Layanan VPC, gunakan199.36.153.4,199.36.153.5,199.36.153.6,199.36.153.7dari subnetrestricted.googleapis.com199.36.153.4/30. - Buat data
CNAMEuntuk*.backupdr.googleusercontent.comyang mengarah ke nama domainbackupdr.googleusercontent.com.
Hal ini memastikan bahwa setiap resolusi DNS untuk domain konsol pengelolaan unik Anda melakukan traversal menggunakan Akses Google Pribadi.
Pastikan aturan firewall Anda memiliki aturan keluar yang mengizinkan akses pada TCP
443 ke subnet 199.36.153.8/30 atau 199.36.153.4/30. Selain itu,
jika Anda memiliki aturan keluar yang mengizinkan semua traffic ke 0.0.0.0/0, maka
konektivitas antara peralatan pencadangan/pemulihan dan konsol pengelolaan akan berhasil.
Membuat bucket Cloud Storage
Anda memerlukan bucket Cloud Storage jika ingin melindungi database dan sistem file menggunakan agen Backup and DR, lalu menyalin cadangan ke Cloud Storage untuk retensi jangka panjang. Hal ini juga berlaku untuk pencadangan VM VMware yang dibuat menggunakan perlindungan data API penyimpanan VMware vSphere.
Buat bucket Cloud Storage menggunakan petunjuk berikut:
Di Google Cloud konsol, buka halaman Bucket Cloud Storage.
Klik Create bucket.
Masukkan nama bucket.
Pilih wilayah untuk menyimpan data Anda, lalu klik Lanjutkan.
Pilih kelas penyimpanan default, lalu klik Lanjutkan. Gunakan nearline jika retensi 30 hari atau kurang, atau coldline jika retensi 90 hari atau lebih. Jika retensi antara 30 dan 90 hari, pertimbangkan untuk menggunakan coldline.
Biarkan Kontrol akses seragam dipilih, lalu klik Lanjutkan. Jangan gunakan perincian.
Biarkan alat Perlindungan disetel ke Tidak ada, lalu klik Lanjutkan. Jangan memilih opsi lain karena opsi tersebut tidak berfungsi dengan Layanan Pencadangan dan DR.
Klik Buat.
Validasi bahwa akun layanan Anda memiliki akses ke bucket Anda:
Pilih bucket baru Anda untuk menampilkan detail bucket.
Buka Izin.
Di bagian Principal, pastikan akun layanan baru Anda tercantum. Jika tidak, gunakan tombol Tambahkan untuk menambahkan akun layanan pembaca dan penulis sebagai akun utama.