Google Cloud 憑證,用於備份和災難復原服務保護及資料存取

本頁說明預設 Google Cloud 憑證,以及如何在管理控制台中為備份/復原設備新增憑證。

Google Cloud 憑證是指向服務帳戶的指標,可讓備份/復原設備存取專案資源,例如 Compute Engine API 和 Cloud Storage 值區,以備份及復原 Compute Engine 執行個體。

備份或還原 Compute Engine 執行個體時,備份/還原設備會使用憑證中的服務帳戶,為執行個體建立快照,並透過 OnVault 集區將執行個體中繼資料 (例如 VM 設定、網路和標記) 上傳至 Cloud Storage 值區。如果建立執行個體快照的設備無法使用,您可以透過儲存在 Cloud Storage 值區中的中繼資料,使用其他設備存取備份。請參閱「匯入永久磁碟快照映像檔」。

預設 Google Cloud 憑證

部署備份/復原裝置時,系統會自動建立預設 Google Cloud 憑證。這項憑證是根據專案中附加至設備的服務帳戶所建立。這項憑證可簡化探索及保護 Compute Engine 執行個體的程序,無須建立 OnVault 集區和服務帳戶。在管理控制台中,依序前往「管理」>「憑證」,即可在「Cloud 憑證」頁面中查看這個預設 Google Cloud 憑證。

「Cloud Credentials」(雲端憑證) 頁面會根據設備名稱顯示預設 Google Cloud 憑證。舉例來說,如果備份/還原設備的名稱是 ba-name,則顯示的預設服務帳戶名稱為 *ba-name@developer.gserviceaccount.com。值 project-id 是專案 ID。 您無法編輯或刪除這個預設 Google Cloud 憑證,只能查看。

預設 Google Cloud 憑證會指向自動建立的 OnVault 集區,而該集區會指向自動建立的 Cloud Storage 值區。Cloud Storage 值區會保留 VM 執行個體建立的 Cloud Storage 值區。Cloud Storage 值區會保留 VM 執行個體設定和中繼資料,並在執行階段自動建立,前提是備份範本已指派給 Compute Engine 執行個體。Cloud Storage 值區的位置取決於備份範本中設定的永久磁碟快照儲存位置或區域。

即使您變更執行個體的區域或多區域,或是在首次快照成功執行後套用政策覆寫,系統也會自動建立 OnVault 集區。因此,這項服務可確保永久磁碟資料和執行個體 VM 設定位於同一位置。

如果是預設的 Google Cloud 憑證,系統會自動將 IAM 角色 Backup and DR Cloud Storage Operator 指派給備份/復原設備所連結的服務帳戶。您必須手動指派 Backup and DR Compute Engine Operator IAM 角色,才能備份 Compute Engine 執行個體。

在控制台中依序前往「Cloud Storage」>「Bucket」,即可查看設備對應的 Cloud Storage bucket。Google Cloud

儲存空間值區會以「<backup/recovery-appliance-name>-<random-string>-<region/multi-region>」<backup/recovery-appliance-name>-<random-string>-<region/multi-region>的名稱建立,並部署在與設備相同的專案中,且已設定下列屬性。

  • 儲存空間類別:標準
  • 物件存取控管:統一
  • Bucket 位置:與 Persistent Disk 快照位置相同
  • 物件版本管理:值區未設定物件版本管理或保留功能

  • 存取權:bucket 沒有公開存取權

新增 Google Cloud 憑證

如果您仍想為備份/復原設備手動建立新憑證,備份與災難復原服務可提供這項功能。 Google Cloud 如要建立新的 Google Cloud 憑證,請先建立新的 OnVault 集區,請參閱 OnVault 集區操作說明。

新增 Google Cloud 憑證

如要建立 Google Cloud 憑證,您需要定義憑證名稱和 OnVault 集區,以儲存備份資料。系統會根據附加至所選備份/復原設備的服務帳戶,自動填入服務帳戶。如果沒有 OnVault,請建立一個

新增 Google Cloud 憑證前,請先將 Backup and DR Compute Engine Operator 角色指派給附加至裝置的服務帳戶。

請按照下列操作說明,為備份/復原設備新增憑證: Google Cloud

  1. 按一下「管理」,然後從下拉式選單中選取「憑證」

    「Cloud Credentials」(雲端憑證) 頁面隨即開啟,列出管理控制台管理的所有憑證 (如果已新增任何憑證)。 Google Cloud

  2. 按一下「新增 Google Cloud 憑證」

  3. 在「憑證名稱」中,新增要用來識別憑證的專屬名稱。

  4. 選取「預設區域」。在專案中探索 Compute Engine VM 時,系統會根據預設區域決定預設區域。您也可以在探索期間選取其他可用區。

  5. 在「Appliances」(家電) 下拉式選單中,選取要與憑證建立關聯的家電。「服務帳戶」欄位會自動填入附加至該裝置的服務帳戶。

  6. 選取 OnVault 集區。系統會根據所選裝置顯示集區。如要新增 OnVault 集區,請按照「OnVault 集區」的說明操作。

  7. 按一下「新增」

管理控制台會向所選裝置傳送要求,驗證 Google Cloud 憑證。如果驗證成功,系統就會註冊憑證。 Google Cloud 建立憑證會自動建立 Cloud Storage 集區和資源設定檔,並以 Google Cloud 憑證名稱做為前置字元。

編輯 Google Cloud 憑證

請按照下列操作說明,編輯設備的現有 Google Cloud 憑證:

  1. 按一下「管理」,然後從下拉式選單中選取「憑證」。 「Cloud Credentials」(雲端憑證) 頁面隨即開啟,列出管理控制台所管理裝置上儲存的所有憑證。
  2. 選取要修改的憑證,然後選取頁面右下角的「編輯」。「編輯憑證」頁面隨即開啟。您也可以在憑證上按一下滑鼠右鍵,然後從下拉式選單選項中選取「編輯」
  3. 視需要更新名稱、預設區域、機構屬性和 OnVault 集區。
  4. 點選「儲存」來套用變更。

刪除憑證 Google Cloud

刪除憑證前,請先解除保護並移除使用該憑證探索到的所有應用程式和主機,然後再刪除憑證。

請按照這些操作說明刪除 Google Cloud 憑證。

  1. 按一下「管理」,然後從下拉式選單中選取「憑證」
  2. 在所需憑證上按一下滑鼠右鍵,然後選取「刪除」
  3. 按一下「確認」。

備份和災難復原 Compute Engine 指南