事前準備
建議您先閱讀「規劃備份和災難復原部署作業」,再開始進行本節內容。
本頁面詳細說明 Google Cloud 啟用 Google Cloud 備份和災難復原服務前必須符合的Google Cloud 需求。
本頁列出的所有工作都必須在Google Cloud 部署備份/復原設備的專案中執行。如果這個專案是 Shared VPC 服務專案,則部分任務會在 VPC 專案中執行,部分任務則會在工作負載專案中執行。
允許可信映像檔專案
如果您已在機構政策中啟用 constraint/compute.trustedImageProjects 政策,系統就不允許使用 Google Cloud管理的來源專案中的映像檔,部署備份/復原設備。您需要在部署備份/復原設備的專案中自訂這項組織政策,以免在部署期間發生政策違規錯誤,詳情請參閱下列操作說明:
前往「組織政策」頁面,然後選取部署設備的專案。
在政策清單中,點選 [Define trusted image projects] (定義可信映像檔專案)。
按一下「編輯」,即可自訂現有的可信映像檔限制。
在「Edit」(編輯) 頁面選取 [Customize] (自訂)。
從下列三種可能性中選取:
現有繼承政策
如果現有繼承政策,請完成下列步驟:
在「政策強制執行」部分,選取「與上層合併」。
按一下「Add rule」(新增規則)。
從「政策值」下拉式清單中選取「自訂」,即可針對特定映像檔專案設定限制。
從「政策類型」下拉式清單中選取「允許」,即可移除指定映像檔專案的限制。
在「Custom values」(自訂值) 欄位中,輸入自訂值,例如 projects/backupdr-images。
按一下 [完成]。
現有的「允許」規則
如果已有「允許」規則,請完成下列步驟:
保留預設選取的「政策強制執行」。
選取現有的「允許」規則。
按一下「新增值」,新增其他圖片專案,並輸入值 projects/backupdr-images。
按一下 [完成]。
沒有現有政策或規則
如果沒有現有規則,請選取「新增規則」,然後完成下列步驟:
保留預設選取的「政策強制執行」。
從「政策值」下拉式清單中選取「自訂」,即可針對特定映像檔專案設定限制。
從「政策類型」下拉式清單中選取「允許」,即可移除指定映像檔專案的限制。
在「Custom values」(自訂值) 欄位中,輸入自訂值,例如 projects/backupdr-images。
如果您要設定專案層級的限制條件,這些限制條件可能會與機構或資料夾上設定的現有限制條件發生衝突。
按一下「新增值」,新增其他圖片專案,然後按一下「完成」。
按一下 [儲存]。
按一下「儲存」即可套用限制條件。
如要進一步瞭解如何建立組織政策,請參閱「建立及管理組織政策」。
部署流程
如要啟動安裝程序,備份和災難復原服務會建立服務帳戶來執行安裝程式。服務帳戶必須在主專案、備份/復原設備服務專案,以及設備管理控制台服務專案中具備權限。詳情請參閱服務帳戶。
安裝時使用的服務帳戶會成為備份/還原設備的服務帳戶。安裝完成後,服務帳戶的權限會縮減為備份/復原設備所需的權限。
如果您部署多個備份/還原裝置,每個裝置都必須與專屬的服務帳戶建立關聯。如果多部裝置使用同一個服務帳戶,可能會導致註冊逾時或管理失敗。
安裝第一個備份/復原設備時,系統會部署設備管理控制台。您可以在Shared VPC或非共用虛擬私有雲中部署備份和災難復原服務。
非共用虛擬私有雲中的備份和災難復原服務
如果部署設備管理控制台和第一個備份/復原設備時,是在具有非共用 VPC 的單一專案中,則所有三個備份和災難復原服務元件都會位於同一個專案。
如果虛擬私有雲是共用的,請參閱「Shared VPC 中的備份和災難復原服務」。
在非共用 VPC 中安裝時,請啟用必要的 API
在非共用 VPC 中啟用安裝所需的 API 之前,請先查看備份和災難復原服務支援的部署區域。請參閱「支援的區域」。
如要在非共用 VPC 中執行安裝程式,必須啟用下列 API: 如要啟用 API,您需要「服務使用情形管理員」角色。
| API | 服務名稱 |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| 工作流程 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 工作流程服務支援所列區域。 如果備份/復原裝置部署所在的區域無法使用 Workflows 服務,備份和災難復原服務會預設為「us-central1」區域。如果您已設定機構政策,禁止在其他區域建立資源,請暫時更新機構政策,允許在「us-central1」區域建立資源。備份/還原設備部署完成後,您可以限制「us-central1」區域。
使用者帳戶必須在非共用 VPC 專案中具備這些權限
| 偏好的角色 | 所需權限 |
|---|---|
| resourcemanager.projectIamAdmin (專案 IAM 管理員) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (服務使用情形管理員) | serviceusage.services.list |
| iam.serviceAccountUser (服務帳戶使用者) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (服務帳戶管理員) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (工作流程編輯者) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (備份和災難復原管理員) | backupdr.* |
| 檢視者 (基本) | 授予查看 大多數 Google Cloud 資源所需的權限。 |
Shared VPC 中的備份和災難復原
在 Shared VPC 專案中部署設備管理控制台和第一個備份/復原設備時,您必須在主專案或一或多個服務專案中設定這三個專案:
在 Shared VPC 中啟用安裝所需的 API 之前,請先查看備份和災難復原部署作業支援的區域。請參閱「支援的區域」。
虛擬私有雲擁有者專案:擁有選取的虛擬私有雲。虛擬私有雲擁有者一律是主專案。
設備管理控制台專案:您可以在這裡啟用 Backup and DR API,並存取設備管理控制台來管理工作負載。
備份/復原設備專案:這是安裝備份/復原設備的位置,通常也是受保護資源所在的位置。
在 Shared VPC 中,這些專案可能是一、二或三個。
| 類型 | 虛擬私有雲擁有者 | 設備管理控制台 | 備份/復原設備 |
|---|---|---|---|
| HHH | 主專案 | 主專案 | 主專案 |
| HHS | 主專案 | 主專案 | 服務專案 |
| HSH | 主專案 | 服務專案 | 主專案 |
| HSS | 主專案 | 服務專案 | 服務專案 |
| HS2 | 主專案 | 服務專案 | 其他服務專案 |
部署策略說明
HHH:Shared VPC。虛擬私有雲擁有者、設備管理控制台和備份/復原設備都位於主專案中。
HHS:Shared VPC。虛擬私有雲擁有者和設備管理控制台位於主專案中,備份/復原設備則位於服務專案中。
HSH:Shared VPC。虛擬私有雲擁有者和備份/復原設備位於主專案中,而設備管理控制台則位於服務專案中。
HSS:Shared VPC。虛擬私有雲擁有者位於主專案中,而備份/復原設備和設備管理控制台則位於一個服務專案中。
HS2:Shared VPC。虛擬私有雲擁有者位於主專案中,備份/復原設備和設備管理控制台則位於兩個不同的服務專案中。
在主專案中啟用這些必要 API,以便安裝
如要執行安裝程式,必須啟用下列 API。如要啟用 API,您需要「Service Usage Admin」角色。
| API | 服務名稱 |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
在備份/復原設備專案中啟用這些必要 API,以便進行安裝
| API | 服務名稱 |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| 工作流程 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 工作流程服務支援所列區域。 如果備份/復原裝置部署所在的區域無法使用 Workflows 服務,備份和災難復原服務會預設為「us-central1」區域。如果您的機構政策禁止在其他區域建立資源,請暫時更新機構政策,允許在「us-central1」區域建立資源。備份/還原設備部署完成後,您可以限制「us-central1」區域。
使用者帳戶必須在 VPC 擁有者專案中具備這些權限
| 偏好角色 | 所需權限 |
|---|---|
| resourcemanager.projectIamAdmin (專案 IAM 管理員) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (服務使用情形管理員) | serviceusage.services.list |
使用者帳戶必須在設備管理控制台專案中擁有下列權限
安裝第一個備份/復原設備時,系統會部署設備管理控制台。
| 偏好角色 | 所需權限 |
|---|---|
| resourcemanager.projectIamAdmin (專案 IAM 管理員) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (備份和災難復原管理員) | backupdr.* |
| 檢視者 (基本) | 授予檢視 大多數 Google Cloud 資源所需的權限。 |
使用者帳戶必須在備份/復原設備專案中具備下列權限
| 偏好角色 | 所需權限 |
|---|---|
| resourcemanager.projectIamAdmin (專案 IAM 管理員) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccountUser (服務帳戶使用者) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (服務帳戶管理員) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (工作流程編輯者) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (服務使用情形管理員) | serviceusage.services.list |
除了使用者帳戶權限外,系統還會暫時將其他權限授予代表您建立的服務帳戶,直到安裝完成為止。
設定網路
如果尚未為目標專案建立虛擬私有雲網路,請先建立再繼續操作。詳情請參閱「建立及修改虛擬私有雲 (VPC) 網路」。
您需要在計畫部署備份/復原設備的每個區域中建立子網路,且必須具備 compute.networks.create 權限才能建立子網路。
如果您要在多個網路中部署備份/復原設備,請使用 IP 位址範圍不相同的子網路,以免多個備份/復原設備使用相同的 IP 位址。
設定私人 Google 存取權
備份/復原設備會使用 Private Google Access 與設備管理控制台通訊。建議您為要部署備份/復原設備的每個子網路啟用 Private Google Access。
備份/復原設備部署所在的子網路必須與 backupdr.googleusercontent.com 網域代管的專屬網域通訊。建議您在 Cloud DNS 中加入下列設定:
- 為 DNS 名稱
backupdr.googleusercontent.com建立私人區域。 - 為網域建立
A記錄,並納入private.googleapis.com子網路199.36.153.8/30中的四個 IP 位址:199.36.153.8、199.36.153.9、199.36.153.10、199.36.153.11。backupdr.googleusercontent.com如果您使用 VPC Service Controls,請使用restricted.googleapis.com子網路的199.36.153.4、199.36.153.5、199.36.153.6、199.36.153.7。199.36.153.4/30 - 為
*.backupdr.googleusercontent.com建立CNAME記錄,指向網域名稱backupdr.googleusercontent.com。
這可確保任何專屬設備管理控制台網域的 DNS 解析,都會透過 Private Google Access 傳輸。
確認防火牆規則具有輸出規則,允許在 TCP 443 上存取 199.36.153.8/30 或 199.36.153.4/30 子網路。此外,如果輸出規則允許所有流量前往 0.0.0.0/0,備份/復原設備與設備管理控制台之間的連線應該就能成功。
建立 Cloud Storage bucket
如要使用 Backup and DR 代理程式保護資料庫和檔案系統,然後將備份副本複製到 Cloud Storage 長期保留,您需要 Cloud Storage bucket。使用 VMware vSphere 儲存空間 API 資料保護功能建立的 VMware VM 備份也適用這項規定。
按照下列操作說明建立 Cloud Storage bucket:
前往 Google Cloud 控制台的 Cloud Storage「Buckets」(值區) 頁面。
按一下「建立值區」。
輸入 bucket 的名稱。
選擇要儲存資料的區域,然後按一下「繼續」。
選擇預設的儲存空間級別,然後按一下「繼續」。如果保留期限為 30 天以下,請使用 Nearline;如果保留期限為 90 天以上,請使用 Coldline。如果保留期限介於 30 到 90 天,建議使用 Coldline。
保持選取「統一存取控管」,然後按一下「繼續」。請勿使用細部。
將「保護」工具設為「無」,然後點選「繼續」。請勿選取其他選項,因為這些選項不適用於備份和災難復原服務。
點選「建立」。
確認服務帳戶有權存取 bucket:
選取新 bucket 即可顯示 bucket 詳細資料。
前往「權限」。
在「主體」下方,確認列出新的服務帳戶。如果不是,請使用「新增」按鈕,將讀取者和寫入者服務帳戶新增為主體。