本頁面由 Cloud Translation API 翻譯而成。

從備份保存庫還原 Compute Engine 執行個體

本頁面說明如何透過 Google Cloud 控制台，從備份保存庫還原 Compute Engine 執行個體。

事前準備

在執行還原作業的目標專案中，將備份和災難復原 Compute Engine 操作者 (roles/backupdr.computeEngineOperator) IAM 角色授予 backup vault 服務代理。
如果您使用共用虛擬私有雲，請為虛擬私有雲主專案中的備份儲存空間服務代理程式 () 授予 Compute Network User (roles/compute.networkUser) 身分與存取權管理角色。
為在備份儲存空間專案中執行還原作業的使用者授予下列 IAM 角色。
- 備份和災難復原還原使用者 (roles/backupdr.restoreUser)，適用於備份儲存空間和目標專案。
- 僅限目標的 Compute 檢視者 (roles/compute.viewer)。
這些預先定義的角色具備存取 Compute Engine 專案備份保存庫所需的權限。如需特定權限，請參閱下列清單。
- backupdr.bvbackups.restore
- backupdr.compute.restoreFromBackupVault
- backupdr.backupVaults.get
- backupdr.backupVaults.list
- backupdr.bvbackups.list
- backupdr.bvdataSources.get
- backupdr.bvdataSources.list
- backupdr.bvbackups.get
如要使用 Google Cloud CLI 或 API 還原執行個體，使用者必須具備下列權限：
- 備份資源的 backupdr.bvbackups.restore。
- backupdr.compute.restoreFromBackupVault 目標專案，執行個體將還原至該專案。

Google Cloud 控制台的其他權限

使用 Google Cloud 控制台還原執行個體時，使用者需要 CLI 權限和下列權限。主控台需要這些額外權限，才能列出並顯示必要 Compute Engine 資源，供使用者介面選取：

compute.acceleratorTypes.list
compute.disks.list
compute.machineTypes.list
compute.projects.get
compute.regions.list
compute.zones.list

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

還原 Compute Engine 執行個體

請按照下列指示還原 Compute Engine 執行個體。

控制台

前往 Google Cloud 控制台的「Vaulted backups」(封存備份) 頁面。

前往「vault 中的備份」

這裡會列出所有具有封存備份的 Compute Engine 執行個體。
按一下動作圖示，選取「還原」動作。系統會顯示「還原頁面」，您可以在其中選取下列還原選項：
- 選取資源名稱。
- 選取「備份建立時間」。
- 選取要還原 VM 的專案名稱。
按一下 [繼續]。
- 系統會顯示「透過備份建立新的 VM 執行個體」頁面，並根據來源 VM 屬性預先填入 VM 屬性。您可以修改屬性來建立新的 VM，例如變更「地區」或「機型」的選取項目。
按一下「建立」，從所選備份建立新的 VM。

注意： 您可以在「備份與 DR」 >「工作」頁面中，查看及監控還原工作。

gcloud

如果尚未授予，請在要還原 VM 的復原專案中，將備份和災難復原 Compute Engine 操作者 (roles/backupdr.computeEngineOperator) IAM 角色授予 backup vault 服務代理。
如要取得備份儲存空間服務帳戶，請使用下列指令。
```
  gcloud backup-dr backup-vaults describe BACKUPVAULT_NAME
  --location=LOCATION
```
更改下列內容：
- BACKUPVAULT_NAME：要從中還原資料的備份保存庫名稱。
- LOCATION：備份保存庫的位置。

如要還原 Compute Engine 執行個體，請使用下列指令。

使用備份 ID，在與工作負載專案相同的專案中還原 VM。

  gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=LOCATION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT

使用備份完整資源網址，在與工作負載專案相同的專案中還原 VM。

  gcloud backup-dr backups restore compute projects/test-project-id/locations/us-central1/backupVaults/test-vault/dataSources/test-ds/backups/test-backup-id \
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT

還原具備自訂服務帳戶和網路設定的 Compute Engine 執行個體。
```
  gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=LOCATION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT \
  --network-interface=network=NETWORK,subnet=SUBNET \
  --service-account=SERVICE_ACCOUNT \
  --scopes=SCOPE
```
更改下列內容：
- PROJECT：備份保存庫專案的名稱。
- LOCATION：備份保存庫的位置。
- BACKUPVAULT_NAME：要從中還原資料的備份保存庫名稱。
- DATA_SOURCE：要從中還原資料的資料來源名稱。
- NAME：還原的 VM 名稱。
- TARGET_ZONE：VM 還原所在的區域。
- TARGET_PROJECT：VM 還原所在的專案。
- NETWORK：VM 的網路 URI。
- SUBNET：VM 的子網路 URI。
- SERVICE_ACCOUNT：還原的 VM 服務帳戶。
- SCOPE：服務帳戶的授權範圍。

如要覆寫其他 VM 屬性，請參閱 Backup and DR 服務 Google Cloud CLI 指令總覽。

從已啟用 CMEK 的備份儲存空間還原

從啟用 CMEK 的備份保存庫還原備份時，還原資源的加密方式取決於來源的加密方式：

如果來源資源受 CMEK 保護：還原的資源預設會使用與來源相同的 CMEK 金鑰。例如：
- 以金鑰 K1 加密的 Compute Engine 永久磁碟會還原為以 K1 加密的磁碟。
- 如果 VM 有多個磁碟，還原的 VM 中的每個磁碟都會沿用對應來源磁碟的加密方式 (以 CMEK 加密的磁碟會繼續使用原始金鑰加密，以 Google 管理的加密方式加密的磁碟會繼續由 Google 管理)。
如果來源資源使用 Google 代管的加密機制：還原的資源預設會使用 Google 代管的加密機制。

使用 API 或 Google Cloud CLI 還原 Compute Engine 永久磁碟或 Compute Engine 執行個體時，可以覆寫這項預設行為。舉例來說，您可以將受 CMEK 保護的資源備份還原至使用 Google 代管加密的新資源，或是還原至受不同 CMEK 金鑰保護的新資源。如要還原至受新 CMEK 金鑰保護的資源，請確保相關服務代理程式 (例如目的地專案的 Compute Engine 服務代理人) 具有新目的地金鑰的 roles/cloudkms.cryptoKeyEncrypterDecrypter 權限。

如果還原作業期間無法使用保護來源工作負載的 Cloud Key Management Service 金鑰，系統預設會還原失敗。在這種情況下，您必須使用 API 或 Google Cloud CLI 覆寫加密設定，方法是指定新的 CMEK 金鑰，或是將還原資源的加密類型變更為 Google 管理的加密。

如果用於加密備份保存庫資料的 Cloud Key Management Service 金鑰版本已停用或刪除，您就無法從該備份還原資料。