用于 Backup and DR Service 保护和数据访问的 Google Cloud 凭据

本页介绍了什么是默认 Google Cloud 凭据，以及如何在管理控制台中为备份/恢复设备添加新凭据。

凭据是指向服务账号的指针，可让备份/恢复设备访问项目资源（如 Compute Engine API 和 Cloud Storage 存储分区），以备份和恢复 Compute Engine 实例。 Google Cloud

在备份或恢复 Compute Engine 实例期间，备份/恢复设备会使用凭据中的服务账号来拍摄实例快照，并通过 OnVault 池将实例元数据（例如虚拟机配置、网络和标记）上传到 Cloud Storage 存储桶。如果创建实例快照的设备不可用，您可以通过存储在 Cloud Storage 存储桶中的元数据，使用其他设备访问备份。请参阅导入永久性磁盘快照映像。

默认 Google Cloud 凭据

部署备份/恢复设备时，系统会自动创建默认 Google Cloud 凭据。此凭据是根据项目中附加到设备的相应服务账号创建的。此凭据简化了发现和保护 Compute Engine 实例的过程，无需创建 OnVault 池和服务账号。在管理控制台中，您可以前往管理 > 凭据，在云凭据页面中查看此默认 Google Cloud 凭据。

云凭据页面中的默认 Google Cloud 凭据会根据设备名称显示。例如，如果备份/恢复设备的名称为 ba-name，则显示的默认服务账号名称为 *ba-name@developer.gserviceaccount.com。值 project-id 是项目 ID。 您无法修改或删除此默认 Google Cloud 凭据，只能查看。

默认 Google Cloud 凭据指向自动创建的 OnVault 池，而该池指向自动创建的 Cloud Storage 存储桶。Cloud Storage 存储桶保存虚拟机实例创建的 Cloud Storage 存储桶。Cloud Storage 存储桶用于保存虚拟机实例配置和元数据，并在运行时（当备份模板分配给 Compute Engine 实例时）自动创建。Cloud Storage 存储桶的位置取决于备份模板中配置的 Persistent Disk 快照存储位置或区域。

即使您更改了实例的区域或多区域，或者在首次成功运行快照后应用了政策替换，系统也会自动创建 OnVault 池。因此，该服务可确保永久性磁盘数据和虚拟机实例配置位于同一位置。

对于默认的 Google Cloud 凭据，系统会自动将 IAM 角色Backup and DR Cloud Storage Operator分配给附加到备份/恢复设备的相应服务账号。您需要手动分配 IAM 角色 Backup and DR Compute Engine Operator，才能备份 Compute Engine 实例。

在Google Cloud 控制台中，依次前往 Cloud Storage > 存储分区，查看相应设备的 Cloud Storage 存储桶。

存储桶是在部署设备的项目中创建的，名称为 <backup/recovery-appliance-name>-<random-string>-<区域/多区域>，并设置了以下属性。

• 存储类别：标准
• 对象访问权限控制：统一
• 存储分区位置：与 Persistent Disk 快照位置相同
• 对象版本控制：未在存储桶上设置对象版本控制或保留

• 访问权限：存储桶不具有公开访问权限

添加 Google Cloud 凭据

如果您仍想为备份/恢复设备手动创建 Google Cloud 凭据，Backup and DR Service 提供了相应功能。如需创建新的 Google Cloud 凭据，您需要先创建一个新的 OnVault 池，请参阅 OnVault 池说明。

添加 Google Cloud 凭据

如需创建 Google Cloud 凭据，您需要定义凭据名称和要存储备份数据的 OnVault 池。系统会根据附加到所选备份/恢复设备的服务账号自动填充服务账号。创建 OnVault（如果您还没有 OnVault）。

在添加 Google Cloud 凭据之前，请将角色 Backup and DR Compute Engine Operator 分配给附加到设备的服务账号。

按照以下说明为备份/恢复设备添加 Google Cloud 凭据：

1. 点击管理，然后从下拉菜单中选择凭据。

   系统会打开云凭据页面，其中列出了管理控制台管理的所有 Google Cloud 凭据（如果已添加任何凭据）。

2. 点击添加 Google Cloud 凭据。

3. 在凭据名称中，添加您要用于标识凭据的唯一名称。

4. 选择一个默认可用区。默认地区用于确定在项目中发现 Compute Engine 虚拟机时默认使用哪个地区。您还可以在发现期间选择其他可用区。

5. 在设备下拉菜单中，选择要与凭据关联的设备。服务账号字段会自动填充与相应设备关联的服务账号。

6. 选择 OnVault 池。系统会根据所选设备显示相应池。如需添加 OnVault 池，请按照 OnVault 池说明操作。

7. 点击添加。

管理控制台会向所选设备发送请求，以验证 Google Cloud 凭据。如果验证成功，系统会注册凭据。 Google Cloud 创建凭据会导致系统自动创建 Cloud Storage 池和以 Google Cloud 凭据名称为前缀的资源配置文件。

修改 Google Cloud 凭据

按照以下说明修改设备的现有 Google Cloud 凭据：

1. 点击管理，然后从下拉菜单中选择凭据。 系统会打开云凭据页面，其中列出了管理控制台所管理设备上保存的所有凭据。
2. 选择要修改的凭据，然后从页面右下角选择修改。系统随即会打开修改凭据页面。 您也可以右键点击相应凭据，然后从下拉菜单选项中选择修改。
3. 根据需要更新名称、默认可用区、组织属性和 OnVault 池。
4. 点击保存应用更改。

删除 Google Cloud 凭据

在删除凭据之前，请先取消保护并移除使用此凭据发现的所有应用和主机，然后再删除该凭据。

按照以下说明删除 Google Cloud 凭据。

1. 点击管理，然后从下拉菜单中选择凭据。
2. 右键点击所需的凭据，然后选择删除。
3. 点击确认。

Backup and DR Compute Engine 指南

• 检查 Google Cloud 凭据
• 发现并保护 Compute Engine 实例
• 装载 Compute Engine 实例的备份映像
• 恢复 Compute Engine 实例
• 导入永久性磁盘快照映像