從備份保存庫還原 Compute Engine 執行個體

本頁面說明如何透過 Google Cloud 控制台,從備份保存庫還原 Compute Engine 執行個體。

事前準備

  • 在執行還原作業的目標專案中,將備份和災難復原 Compute Engine 操作者 (roles/backupdr.computeEngineOperator) IAM 角色授予備份儲存空間的備份儲存空間服務代理

  • 如果您使用 Shared VPC,請在虛擬私有雲主專案中,將 Compute 網路使用者 (roles/compute.networkUser) IAM 角色指派給備份儲存空間的備份儲存空間服務代理程式

  • 為在備份儲存空間專案中執行還原作業的使用者授予下列 IAM 角色。

    • 備份和災難復原還原使用者 (roles/backupdr.restoreUser),適用於備份儲存空間和目標專案。
    • 僅限目標的 Compute 檢視者 (roles/compute.viewer)。

    這些預先定義的角色具備存取 Compute Engine 專案中備份保存庫所需的權限。如需特定權限,請參閱下列清單。

    • backupdr.bvbackups.restore
    • backupdr.compute.restoreFromBackupVault
    • backupdr.backupVaults.get
    • backupdr.backupVaults.list
    • backupdr.bvbackups.list
    • backupdr.bvdataSources.get
    • backupdr.bvdataSources.list
    • backupdr.bvbackups.get

    如要使用 Google Cloud CLI 或 API 還原執行個體,使用者必須具備下列權限:

    • 備份資源的 backupdr.bvbackups.restore
    • backupdr.compute.restoreFromBackupVault,執行個體將還原至目標專案。

Google Cloud 控制台的其他權限

使用 Google Cloud 控制台還原執行個體時,使用者需要 CLI 權限和下列權限。主控台需要這些額外權限,才能列出並顯示必要 Compute Engine 資源,供使用者介面選取:

  • compute.acceleratorTypes.list
  • compute.disks.list
  • compute.machineTypes.list
  • compute.projects.get
  • compute.regions.list
  • compute.zones.list

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

還原 Compute Engine 執行個體

請按照下列指示還原 Compute Engine 執行個體。

控制台

  1. 前往 Google Cloud 控制台的「Vaulted backups」(封存備份) 頁面。

    前往「vault 中的備份」

    這裡會列出所有具有封存備份的 Compute Engine 執行個體。

  2. 按一下動作圖示,選取「還原」動作。系統會顯示「還原頁面」,您可以在其中選取下列還原選項:

    • 選取資源名稱
    • 選取「備份建立時間」
    • 選取要還原 VM 的專案名稱

  3. 按一下 [繼續]

    • 系統會顯示「透過備份建立新的 VM 執行個體」頁面,並根據來源 VM 屬性預先填入 VM 屬性。您可以修改屬性來建立新的 VM,例如變更「區域」或「機型」的選取項目。

  4. 按一下「建立」,從所選備份建立新的 VM。

gcloud

  1. 如果尚未授予,請在要還原 VM 的復原專案中,將 Backup and DR Compute Engine 運算子 (roles/backupdr.computeEngineOperator) IAM 角色授予備份儲存空間服務代理。

  2. 如要取得備份儲存空間服務帳戶,請使用下列指令。

      gcloud backup-dr backup-vaults describe BACKUPVAULT_NAME
  --location=REGION

    更改下列內容:

    • BACKUPVAULT_NAME:要從中還原資料的備份保存庫名稱。
    • REGION:備份保存庫的區域。

  3. 還原 Compute Engine 執行個體前,請先使用下列指令取得資料來源 ID 和所需備份的 ID。

    1. 找出資料來源 ID

        gcloud backup-dr data-sources list \
  --project=PROJECT \
  --location=REGION \
  --backup-vault=BACKUPVAULT_NAME \
  "--filter=dataSourceGcpResource.computeInstanceDatasourceProperties.name:(DATA_SOURCE)" \
  "--format=get(name)")

    2. 列出資料來源的現有備份,找出正確的 BACKUP_ID。

        gcloud backup-dr backups list \
  --location=REGION \
  --backup-vault=BACKUPVAULT_NAME \
  --data-source=DATA_SOURCE \
  "--format=yaml(backupType,computeInstanceBackupProperties.sourceInstance,consistencyTime,enforcedRetentionEndTime,expireTime,name)"

  4. 如要還原 Compute Engine 執行個體,請使用下列指令。

    • 使用備份 ID,在與工作負載專案相同的專案中還原 VM。

        gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=REGION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT

    • 使用備份完整資源網址,在與工作負載專案相同的專案中還原 VM。

        gcloud backup-dr backups restore compute projects/test-project-id/locations/us-central1/backupVaults/test-vault/dataSources/test-ds/backups/test-backup-id \
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT

    • 還原具備自訂服務帳戶和網路設定的 Compute Engine 執行個體。

        gcloud backup-dr backups restore compute test-backup-id \
  --project=PROJECT --location=REGION \
  --backup-vault=BACKUPVAULT_NAME --data-source=DATA_SOURCE\
  --name=NAME --target-zone=TARGET_ZONE \
  --target-project=TARGET_PROJECT \
  --network-interface=network=NETWORK,subnet=SUBNET \
  --service-account=SERVICE_ACCOUNT \
  --scopes=SCOPE

      更改下列內容:

      • PROJECT:備份保存庫專案的名稱。
      • REGION:備份保存庫的位置。
      • BACKUPVAULT_NAME:要從中還原資料的備份保存庫名稱。
      • DATA_SOURCE:要從中還原資料的資料來源名稱。
      • NAME:還原的 VM 名稱。
      • TARGET_ZONE:VM 還原所在的區域。
      • TARGET_PROJECT:VM 還原所在的專案。
      • NETWORK:VM 的網路 URI。
      • SUBNET:VM 的子網路 URI。
      • SERVICE_ACCOUNT:還原的 VM 服務帳戶。
      • SCOPE:服務帳戶的授權範圍。

如要覆寫其他 VM 屬性,請參閱「備份和災難復原服務 Google Cloud CLI 指令總覽」。

從已啟用 CMEK 的 backup vault 還原

從已啟用 CMEK 的 backup vault 還原備份時,還原資源的加密方式取決於來源的加密方式:

  • 如果來源資源受 CMEK 保護:還原的資源預設會使用與來源相同的 CMEK 金鑰。例如:
    • 以金鑰 K1 加密的 Compute Engine 永久磁碟會還原為以 K1 加密的磁碟。
    • 如果 VM 有多個磁碟,還原的 VM 中的每個磁碟都會沿用對應來源磁碟的加密方式 (以 CMEK 加密的磁碟會繼續使用原始金鑰加密,而 Google 管理的加密磁碟則會繼續由 Google 管理)。
  • 如果來源資源使用 Google 代管的加密機制:還原的資源預設會使用 Google 代管的加密機制。

使用 API 或 Google Cloud CLI 還原 Compute Engine 永久磁碟或 Compute Engine 執行個體時,可以覆寫這項預設行為。舉例來說,您可以將受 CMEK 保護的資源備份還原至使用 Google 代管加密的新資源,或是還原至受不同 CMEK 金鑰保護的新資源。如要還原至受新 CMEK 金鑰保護的資源,請確保目的地專案的相關服務代理 (例如 Compute Engine 服務代理) 具有新目的地金鑰的 roles/cloudkms.cryptoKeyEncrypterDecrypter 權限。

如果還原作業期間無法使用保護來源工作負載的 Cloud Key Management Service 金鑰,系統預設會還原失敗。在這種情況下,您必須使用 API 或 Google Cloud CLI 覆寫加密設定,方法是指定新的 CMEK 金鑰,或是將還原資源的加密類型變更為 Google 管理的加密。

如果用於加密備份保存庫資料的 Cloud Key Management Service 金鑰版本已停用或刪除,您就無法從該備份還原資料。

備份和災難復原 Compute Engine 指南