事前準備
建議您在開始本節之前,先閱讀「規劃備份和災難復原服務部署作業」。
本頁面詳細說明啟用 Google Cloud 備份和 DR 服務前必須符合的 Google Cloud 規定,這些規定必須在Google Cloud 控制台中完成。
您必須在部署備份/復原機器的Google Cloud 專案中,執行本頁所述的所有工作。如果這個專案是共用虛擬私有雲服務專案,則部分工作會在 VPC 專案中執行,部分工作則會在工作負載專案中執行。
允許可信映像檔專案
如果您已在機構政策中啟用 constraint/compute.trustedImageProjects 政策,則系統將不允許使用用於部署備份/復原設備的 Google 管理來源專案。您需要在部署備份/復原機器的專案中自訂這項機構政策,以免在部署期間收到政策違規錯誤,詳情請參閱以下操作說明:
前往「機構政策」頁面,選取要部署套件的專案。
在政策清單中,點選 [Define trusted image projects] (定義可信映像檔專案)。
按一下「編輯」,自訂可信映像檔現有的限制。
在「Edit」(編輯) 頁面選取 [Customize] (自訂)。
請從下列三個選項中選擇:
現有的繼承政策
如果已繼承現有政策,請完成下列步驟:
在「政策強制執行」部分,選取「與上層合併」。
按一下 [新增規則]。
從「政策值」下拉式清單中選取「自訂」,即可針對特定映像檔專案設定限制。
從「政策類型」下拉式清單中選取「允許」,即可移除指定圖片專案的限制。
在「自訂值」欄位中,輸入自訂值 projects/backupdr-images。
按一下 [完成]。
現有的「允許」規則
如果已建立「允許」規則,請完成下列步驟:
將「政策強制執行」保留為預設選取狀態。
選取現有的「允許」規則。
按一下「新增值」,新增其他圖片專案,並輸入 projects/backupdr-images 做為值。
按一下 [完成]。
沒有現有政策或規則
如果沒有現有規則,請選取「新增規則」,然後完成下列步驟:
將「政策強制執行」保留為預設選取狀態。
從「政策值」下拉式清單中選取「自訂」,即可針對特定映像檔專案設定限制。
從「政策類型」下拉式清單中選取「允許」,即可移除指定圖片專案的限制。
在「自訂值」欄位中,輸入自訂值 projects/backupdr-images。
如果您設定專案層級限制,這些限制可能會與機構或資料夾中已設定的限制條件發生衝突。
按一下「新增值」新增其他圖片專案,然後按一下「完成」。
按一下 [儲存]。
按一下「儲存」套用限制條件。
如要進一步瞭解如何建立機構政策,請參閱「建立及管理機構政策」。
部署程序
為了啟動安裝作業,備份和災難復原服務會建立服務帳戶來執行安裝程式。服務帳戶需要在主機專案、備份/復原設備服務專案和管理控制台服務專案中具備權限。詳情請參閱服務帳戶。
用於安裝的服務帳戶會成為備份/復原設備的服務帳戶。安裝完成後,服務帳戶的權限會縮減為備份/還原裝置所需的權限。
安裝第一個備份/復原設備時,系統會部署管理控制台。您可以在共用虛擬私有雲或非共用虛擬私有雲中部署備份和異地備援服務。
非共用虛擬私有雲中的備份和災難復原服務
當管理控制台和第一個備份/復原設備位於單一專案中,且該專案未共用虛擬私人雲端時,備份和災難復原服務的所有三個元件都會位於同一個專案中。
如果虛擬私有雲是共用,請參閱「共用虛擬私有雲中的備份和 DR 服務」。
啟用必要的 API,以便在非共用虛擬私有雲中進行安裝
在非共用 VPC 中啟用安裝所需的 API 前,請先查看備份和災難復原服務部署作業支援的區域。請參閱「支援的區域」。
如要在非共用虛擬私有雲中執行安裝程式,必須啟用下列 API。您必須具備「服務使用情形管理員」角色,才能啟用 API。
| API | 服務名稱 |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| 工作流程 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 工作流程服務支援列出的區域。如果備份/復原設備部署的區域無法使用 Workflows 服務,備份和災難復原服務會預設為「us-central1」區域。如果您設定的機構政策禁止在其他區域建立資源,則必須暫時更新機構政策,允許在「us-central1」區域建立資源。備份/復原機器人部署完成後,您可以限制「us-central1」區域。
使用者帳戶需要在非共用 VPC 專案中具備這些權限
| 偏好角色 | 所需權限 |
|---|---|
| resourcemanager.projectIamAdmin (專案 IAM 管理員) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (服務使用情形管理員) | serviceusage.services.list |
| iam.serviceAccountUser (服務帳戶使用者) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (服務帳戶管理員) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (工作流程編輯器) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (備份和災難復原管理員) | backupdr.* |
| 檢視者 (基本) | 授予查看 大部分 Google Cloud 資源所需的權限。 |
共用虛擬私有雲中的備份和災難復原
在共用虛擬私有雲專案中部署管理主控台和第一個備份/復原裝置時,您必須在主專案或一或多個服務專案中設定這三個專案:
在啟用共用 VPC 中安裝所需 API 前,請先查看備份和災難復原服務部署作業支援的區域。請參閱支援的區域。
VPC 擁有者專案:這是所選 VPC 的擁有者專案。虛擬私有雲擁有者一律為主專案。
管理控制台專案:這是啟用備份和災難復原 API 的所在位置,也是您存取管理控制台以管理工作負載的所在位置。
備份/復原設備專案:這是備份/復原設備安裝的位置,通常也是受保護資源所在的位置。
在共用虛擬私有雲中,這些專案可能有 1、2 或 3 個。
| 類型 | 虛擬私有雲擁有者 | 管理控制台 | 備份/復原設備 |
|---|---|---|---|
| HHH | 主專案 | 主專案 | 主專案 |
| HHS | 主專案 | 主專案 | 服務專案 |
| HSH | 主專案 | 服務專案 | 主專案 |
| HSS | 主專案 | 服務專案 | 服務專案 |
| HS2 | 主專案 | 服務專案 | 其他服務專案 |
部署策略說明
HHH:共用虛擬私有雲。虛擬私有雲擁有者、管理控制台和備份/復原設備都位於主專案中。
HHS:共用虛擬私有雲。虛擬私有雲擁有者和管理控制台位於主專案中,備份/復原設備則位於服務專案中。
HSH:共用虛擬私有雲。VPC 擁有者和備份/復原設備位於主專案中,管理控制台則位於服務專案中。
HSS:共用虛擬私有雲。VPC 擁有者位於主專案中,備份/復原設備和管理控制台則位於一個服務專案中。
HS2:共用虛擬私有雲。虛擬私有雲擁有者位於主專案中,備份/復原設備和管理控制台則位於兩個不同的服務專案中。
啟用這些必要 API,以便在主機專案中進行安裝
如要執行安裝程式,必須啟用下列 API。如要啟用 API,您必須具備「Service Usage」管理員角色。
| API | 服務名稱 |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
啟用這些必要 API,以便在備份/復原設備專案中進行安裝
| API | 服務名稱 |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| 工作流程 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 工作流程服務支援列出的區域。如果備份/復原設備部署區域無法使用 Workflows 服務,備份和災難復原服務會預設為「us-central1」區域。如果您設定的機構政策禁止在其他區域建立資源,則需要暫時更新機構政策,允許在「us-central1」區域建立資源。備份/復原機器人部署完成後,您可以限制「us-central1」區域。
使用者帳戶必須在 VPC 擁有者專案中取得這些權限
| 偏好角色 | 所需權限 |
|---|---|
| resourcemanager.projectIamAdmin (專案 IAM 管理員) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (服務使用情形管理員) | serviceusage.services.list |
使用者帳戶在管理控制台專案中需要這些權限
安裝第一個備份/復原設備時,系統會部署管理控制台。
| 偏好角色 | 所需權限 |
|---|---|
| resourcemanager.projectIamAdmin (專案 IAM 管理員) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (備份和災難復原管理員) | backupdr.* |
| 檢視者 (基本) | 授予查看 大多數 Google Cloud 資源所需的權限。 |
使用者帳戶在備份/復原設備專案中需要這些權限
| 偏好角色 | 所需權限 |
|---|---|
| resourcemanager.projectIamAdmin (專案 IAM 管理員) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccountUser (服務帳戶使用者) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (服務帳戶管理員) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (工作流程編輯器) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (服務使用情形管理員) | serviceusage.services.list |
除了使用者帳戶權限外,其他權限也會暫時授予代表您建立的服務帳戶,直到安裝作業完成為止。
設定網路
如果您尚未針對目標專案建立虛擬私有雲網路,請先建立再繼續操作。詳情請參閱「建立及修改虛擬私有雲 (VPC) 網路」。您需要在每個要部署備份/復原設備的區域中建立子網路,且應指派 compute.networks.create 權限才能建立。
如果您要在多個網路中部署備份/復原機器,請使用不共用相同 IP 位址範圍的子網路,以免多個備份/復原機器使用相同的 IP 位址。
設定私人 Google 存取權
備份/復原設備會透過 私人 Google 存取權與管理控制台通訊。建議您為要部署備份/復原機器的每個子網路啟用私人 Google 存取權。
部署備份/復原設備的子網路必須與 backupdr.googleusercontent.com 網域下代管的專屬網域進行通訊。建議您在 Cloud DNS 中加入下列設定:
- 為 DNS 名稱
backupdr.googleusercontent.com建立私人區域。 - 為網域
backupdr.googleusercontent.com建立A記錄,並納入private.googleapis.com子網路199.36.153.8/30中的四個 IP 位址199.36.153.8、199.36.153.9、199.36.153.10、199.36.153.11。如果您使用的是 VPC Service Controls,請使用restricted.googleapis.com子網路199.36.153.4/30中的199.36.153.4、199.36.153.5、199.36.153.6、199.36.153.7。 - 為
*.backupdr.googleusercontent.com建立指向網域名稱backupdr.googleusercontent.com的CNAME記錄。
這樣一來,您專屬的管理控制台網域的任何 DNS 解析都會透過私人 Google 存取權進行橫跨。
請確認防火牆規則含有輸出規則,允許 TCP 443 存取 199.36.153.8/30 或 199.36.153.4/30 子網路。此外,如果您有允許所有流量前往 0.0.0.0/0 的出口規則,備份/復原設備和管理控制台之間的連線應該會成功。
建立 Cloud Storage 值區
如果您想使用備份和 DR 代理程式保護資料庫和檔案系統,然後將備份複製到 Cloud Storage 以便長期保留,就需要一個 Cloud Storage 值區。這項規定也適用於使用 VMware vSphere 儲存空間 API 資料保護功能建立的 VMware VM 備份。
請按照下列操作說明建立 Cloud Storage 值區:
在 Google Cloud 控制台,前往「Cloud Storage 值區」頁面。
點選「建立值區」。
輸入值區的名稱。
選擇資料的儲存地區,然後按一下「Continue」(繼續)。
選擇預設的儲存空間級別,然後按一下「Continue」。如果保留期限為 30 天以下,請使用 nearline;如果保留期限為 90 天以上,請使用 coldline。如果資料保留時間介於 30 到 90 天,建議使用 Coldline。
保留「統一存取控管」的選取狀態,然後按一下「繼續」。請勿使用精細設定。
將「保護措施」工具保留為「無」,然後按一下「繼續」。請勿選取其他選項,因為這些選項無法與備份和災難復原服務搭配使用。
按一下 [建立]。
驗證服務帳戶是否具備 bucket 存取權:
選取新的 bucket 即可顯示 bucket 詳細資料。
前往「權限」。
在「主體」下方,確認新服務帳戶已列出。如果不是,請使用「Add」按鈕,將讀取器和寫入服務帳戶都新增為主要使用者。