准备工作
建议您在开始阅读本部分之前,先阅读规划备份和灾难恢复部署。
本页面详细介绍了在Google Cloud 控制台中启用 Google Cloud 备份和灾难恢复服务之前必须满足的 Google Cloud 要求。
本页中列出的所有任务都必须在您部署备份/恢复设备的Google Cloud 项目中执行。如果此项目是共享 VPC 服务项目,则某些任务在 VPC 项目中执行,而某些任务在工作负载项目中执行。
允许可信映像项目
如果您已在组织政策中启用 constraint/compute.trustedImageProjects 政策,则不允许使用 Google Cloud管理的源项目中的映像来部署备份/恢复设备。您需要在部署了备份/恢复设备的项目中自定义此组织政策,以避免在部署期间出现政策违规错误,具体操作请参阅以下说明:
前往组织政策页面,然后选择部署设备的相应项目。
在政策列表中,点击定义可信映像项目。
点击修改以自定义现有的可信映像限制。
在修改页面,选择自定义。
从以下三种可能性中进行选择:
现有的继承政策
如果存在现有的继承政策,请完成以下操作:
对于强制执行政策,选择与父级合并。
点击添加规则。
从政策值下拉列表中选择自定义,以设置对特定映像项目的限制条件。
从政策类型下拉列表中选择允许,以移除指定映像项目的限制。
在自定义值字段中,输入自定义值 projects/backupdr-images。
点击完成。
现有允许规则
如果存在现有的允许规则,请完成以下步骤:
将强制执行政策保留为默认选中状态。
选择现有的允许规则。
点击添加值以添加其他映像项目,然后输入值 projects/backupdr-images。
点击完成。
没有现有政策或规则
如果没有现有规则,请选择添加规则,然后完成以下步骤:
将强制执行政策保留为默认选中状态。
从政策值下拉列表中选择自定义,以设置对特定映像项目的限制条件。
从政策类型下拉列表中选择允许,以移除指定映像项目的限制。
在自定义值字段中,输入自定义值 projects/backupdr-images。
如果您要设置项目级限制条件,它们可能与现有的组织级或文件夹级限制条件冲突。
点击添加值以添加其他映像项目,然后点击完成。
点击保存。
点击保存以应用该限制条件。
如需详细了解如何创建组织政策,请参阅创建和管理组织政策。
部署流程
为了启动安装,Backup and DR Service 会创建一个服务账号来运行安装程序。服务账号需要在宿主项目、备份/恢复设备服务项目和管理控制台服务项目中拥有相应权限。如需了解详情,请参阅服务账号。
用于安装的服务账号会成为备份/恢复设备的服务账号。安装后,服务账号的权限会减少到备份/恢复设备所需的权限。
当您安装第一个备份/恢复设备时,系统会部署管理控制台。您可以将 Backup and DR 服务部署在共享 VPC 或非共享 VPC 中。
非共享 VPC 中的 Backup and DR Service
如果管理控制台和第一个备份/恢复设备部署在具有非共享 VPC 的单个项目中,则所有三个备份和灾难恢复服务组件都位于同一项目中。
如果 VPC 是共享的,请参阅共享 VPC 中的 Backup and DR 服务。
在非共享 VPC 中安装时启用所需的 API
在非共享 VPC 中启用安装所需的 API 之前,请查看 Backup and DR 服务支持的部署区域。请参阅支持的地区。
如需在非共享 VPC 中运行安装程序,必须启用以下 API。 如需启用 API,您需要拥有 Service usage admin 角色。
| API | 服务名称 |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 工作流服务在所列区域中受支持。 如果 Workflows 服务在部署备份/恢复设备的区域不可用,则 Backup and DR Service 默认使用“us-central1”区域。如果您设置了组织政策来防止在其他区域中创建资源,则需要暂时更新组织政策,以允许在“us-central1”区域中创建资源。您可以在部署备份/恢复设备后限制“us-central1”区域。
用户账号需要在非共享 VPC 项目中具备这些权限
| 首选角色 | 所需权限 |
|---|---|
| resourcemanager.projectIamAdmin(项目 IAM 管理员) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin(Service Usage Admin) | serviceusage.services.list |
| iam.serviceAccountUser(服务账号用户) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin(服务账号管理员) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor(Workflows 编辑器) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin(Backup and DR 管理员) | backupdr.* |
| 查看者(基本) | 授予查看 大多数 Google Cloud 资源所需的权限。 |
共享 VPC 中的备份和灾难恢复
在共享 VPC 项目中部署管理控制台和第一个备份/恢复设备时,您必须在宿主项目或一个或多个服务项目中配置以下三个项目:
在共享 VPC 中启用安装所需的 API 之前,请查看 Backup and DR 部署支持的区域。请参阅支持的地区。
VPC 所有者项目:拥有所选 VPC。VPC 所有者始终是宿主项目。
管理控制台项目:这是激活 Backup and DR API 的位置,也是您访问管理控制台以管理工作负载的位置。
备份/恢复设备项目:这是安装备份/恢复设备的项目,通常也是受保护资源所在的项目。
在共享 VPC 中,这些项目可能是一个、两个或三个。
| 类型 | VPC 所有者 | 管理控制台 | 备份/恢复设备 |
|---|---|---|---|
| HHH | 宿主项目 | 宿主项目 | 宿主项目 |
| HHS | 宿主项目 | 宿主项目 | 服务项目 |
| HSH | 宿主项目 | 服务项目 | 宿主项目 |
| HSS | 宿主项目 | 服务项目 | 服务项目 |
| HS2 | 宿主项目 | 服务项目 | 其他服务项目 |
部署策略说明
HHH:共享 VPC。VPC 所有者、管理控制台和备份/恢复设备都在宿主项目中。
HHS:共享 VPC。VPC 所有者和管理控制台位于宿主项目中,而备份/恢复设备位于服务项目中。
HSH:共享 VPC。VPC 所有者和备份/恢复设备位于宿主项目中,而管理控制台位于服务项目中。
HSS:共享 VPC。VPC 所有者位于宿主项目中,而备份/恢复设备和管理控制台位于一个服务项目中。
HS2:共享 VPC。VPC 所有者位于宿主项目中,而备份/恢复设备和管理控制台位于两个不同的服务项目中。
在宿主项目中启用这些必需的 API 以进行安装
如需运行安装程序,必须启用以下 API。如需启用 API,您需要拥有 Service usage admin 角色。
| API | 服务名称 |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
在备份/恢复设备项目中启用这些必需的 API 以进行安装
| API | 服务名称 |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 工作流服务在所列区域中受支持。 如果 Workflows 服务在部署备份/恢复设备的区域不可用,则 Backup and DR Service 会默认使用“us-central1”区域。如果您设置了组织政策来阻止在其他区域中创建资源,则需要暂时更新组织政策,以允许在“us-central1”区域中创建资源。您可以在部署备份/恢复设备后限制“us-central1”区域。
用户账号需要在 VPC 所有者项目中具备这些权限
| 首选角色 | 所需权限 |
|---|---|
| resourcemanager.projectIamAdmin(项目 IAM 管理员) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin(Service Usage Admin) | serviceusage.services.list |
用户账号需要在管理控制台项目中具备以下权限
当您安装第一个备份/恢复设备时,系统会部署管理控制台。
| 首选角色 | 所需权限 |
|---|---|
| resourcemanager.projectIamAdmin(项目 IAM 管理员) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin(Backup and DR 管理员) | backupdr.* |
| 查看者(基本) | 授予查看 大多数 Google Cloud 资源所需的权限。 |
用户账号需要在备份/恢复设备项目中具备以下权限
| 首选角色 | 所需权限 |
|---|---|
| resourcemanager.projectIamAdmin(项目 IAM 管理员) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccountUser(服务账号用户) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin(服务账号管理员) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor(Workflows 编辑器) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin(Service Usage Admin) | serviceusage.services.list |
除了最终用户账号权限之外,系统还会临时向代表您创建的服务账号授予其他权限,直到安装完成为止。
配置网络
如果尚未为目标项目创建 VPC 网络,您需要先创建一个,然后才能继续。
如需了解详情,请参阅创建和修改虚拟私有云 (VPC) 网络。
您需要在计划部署备份/恢复设备的每个区域中创建一个子网,并且应为创建该子网的用户分配 compute.networks.create 权限。
如果您要在多个网络中部署备份/恢复设备,请使用不共享相同 IP 地址范围的子网,以防止多个备份/恢复设备具有相同的 IP 地址。
配置专用 Google 访问通道
备份/恢复设备使用专用 Google 访问通道与管理控制台通信。建议您为要部署备份/恢复设备的每个子网启用专用 Google 访问通道。
部署备份/恢复设备的子网需要与网域 backupdr.googleusercontent.com 下托管的唯一网域进行通信。建议您在 Cloud DNS 中添加以下配置:
- 为 DNS 名称
backupdr.googleusercontent.com创建专用可用区。 - 为网域
backupdr.googleusercontent.com创建A记录,并包含private.googleapis.com子网199.36.153.8/30中的四个 IP 地址199.36.153.8、199.36.153.9、199.36.153.10、199.36.153.11。如果您使用的是 VPC Service Controls,请使用restricted.googleapis.com子网199.36.153.4/30中的199.36.153.4、199.36.153.5、199.36.153.6、199.36.153.7。 - 为
*.backupdr.googleusercontent.com创建一条指向域名backupdr.googleusercontent.com的CNAME记录。
这可确保您的唯一管理控制台网域的任何 DNS 解析都通过专用 Google 访问通道进行。
确保您的防火墙规则具有出站规则,允许通过 TCP 443 访问 199.36.153.8/30 或 199.36.153.4/30 子网。此外,如果您有允许所有流量流向 0.0.0.0/0 的出站规则,则备份/恢复设备与管理控制台之间的连接应会成功。
创建 Cloud Storage 存储桶
如果您想使用 Backup and DR 代理保护数据库和文件系统,然后将备份复制到 Cloud Storage 以进行长期保留,则需要一个 Cloud Storage 存储桶。这也适用于使用 VMware vSphere 存储 API 数据保护功能创建的 VMware 虚拟机备份。
按照以下说明创建 Cloud Storage 存储桶:
在 Google Cloud 控制台中,前往 Cloud Storage 存储分区页面。
点击创建存储分区。
输入存储桶的名称。
选择一个用于存储数据的区域,然后点击继续。
选择默认存储类别,然后点击继续。如果保留期限为 30 天或更短,请使用 Nearline;如果保留期限为 90 天或更长,请使用 Coldline。如果保留期介于 30 天到 90 天之间,请考虑使用 Coldline。
保留统一访问权限控制,然后点击继续。请勿使用精细。
将保护工具设置为无,然后点击继续。 请勿选择其他选项,因为它们不适用于备份和灾难恢复服务。
点击创建。
验证您的服务账号是否具有对相应存储桶的访问权限:
选择新存储桶以显示存储桶详细信息。
前往权限。
在主账号下,确保列出了您的新服务账号。如果不是,请使用添加按钮将读取者和写入者服务账号都添加为主账号。