Kredensial cloud untuk perlindungan dan akses data Backup and DR Service

Halaman ini menjelaskan apa yang dimaksud dengan kredensial cloud default dan cara menambahkan kredensial baru untuk perangkat pencadangan/pemulihan di konsol pengelolaan.

Kredensial cloud adalah pointer ke akun layanan yang memungkinkan perangkat pencadangan/pemulihan mengakses resource project seperti Compute Engine API dan bucket Cloud Storage untuk mencadangkan dan memulihkan instance Compute Engine.

Selama pencadangan atau pemulihan instance Compute Engine, perangkat pencadangan/pemulihan menggunakan akun layanan dalam kredensial untuk mengambil snapshot instance, dan mengupload metadata instance (seperti konfigurasi VM, jaringan, dan tag) ke bucket Cloud Storage melalui kumpulan OnVault. Jika aplikasi yang membuat snapshot instance tidak tersedia, Anda dapat mengakses cadangan menggunakan aplikasi lain, melalui metadata yang disimpan di bucket Cloud Storage. Lihat Mengimpor image snapshot persistent disk.

Kredensial cloud default

Kredensial cloud default dibuat secara otomatis saat Anda men-deploy perangkat pencadangan/pemulihan versi 11.0.2 atau yang lebih tinggi. Kredensial ini dibuat berdasarkan akun layanan yang dilampirkan ke appliance dalam project. Kredensial ini menyederhanakan proses penemuan dan perlindungan instance Compute Engine tanpa perlu membuat kumpulan OnVault dan akun layanan. Di konsol pengelolaan, Anda dapat melihat kredensial cloud default ini di halaman Kredensial Cloud dengan membuka Kelola > Kredensial.

Kredensial cloud default di halaman Cloud Credentials ditampilkan berdasarkan nama appliance. Misalnya, jika nama perangkat pencadangan/pemulihan adalah ba-name, nama akun layanan default yang ditampilkan adalah *ba-name@developer.gserviceaccount.com. Nilai project-id adalah project ID. Anda tidak dapat mengedit atau menghapus kredensial cloud default ini, Anda hanya dapat melihatnya.

Kredensial cloud default mengarah ke kumpulan OnVault yang dibuat secara otomatis—yang mengarah ke bucket Cloud Storage yang dibuat secara otomatis. Bucket Cloud Storage menyimpan bucket Cloud Storage yang dibuat instance VM. Bucket Cloud Storage menyimpan konfigurasi dan metadata instance VM serta dibuat secara otomatis saat runtime, saat template cadangan ditetapkan ke instance Compute Engine. Lokasi bucket Cloud Storage ditentukan berdasarkan lokasi atau region penyimpanan snapshot disk persisten seperti yang dikonfigurasi dalam template pencadangan.

Kumpulan OnVault dibuat secara otomatis meskipun Anda mengubah region atau beberapa region instance atau saat penggantian kebijakan diterapkan setelah snapshot pertama berhasil dijalankan. Dengan demikian, layanan ini memastikan bahwa data disk persisten dan konfigurasi VM instance ditempatkan bersama.

Untuk kredensial cloud default, peran IAM Backup and DR Cloud Storage Operator secara otomatis ditetapkan ke akun layanan yang dilampirkan ke appliance pencadangan/pemulihan. Anda harus menetapkan peran IAM Backup and DR Compute Engine Operator secara manual untuk mencadangkan instance Compute Engine.

Lihat bucket Cloud Storage yang sesuai untuk appliance di konsolGoogle Cloud dengan membuka Cloud Storage > Buckets.

Bucket penyimpanan dibuat dengan nama <backup/recovery-appliance-name>-<random-string>-<region/multi-region> di project yang sama tempat appliance di-deploy dan memiliki properti berikut yang ditetapkan.

  • Storage Class: Standard
  • Kontrol Akses Objek: Seragam
  • Bucket Location: Sama dengan lokasi snapshot Persistent Disk
  • Pembuatan Versi Objek: Tidak ada pembuatan versi objek atau retensi yang ditetapkan di bucket

  • Akses: Tidak ada akses publik di bucket

Menambahkan kredensial cloud

Layanan Pencadangan dan DR memberikan kemampuan untuk membuat kredensial cloud baru jika Anda masih ingin membuatnya secara manual untuk appliance pencadangan/pemulihan. Untuk membuat kredensial cloud baru, Anda harus membuat kumpulan OnVault baru terlebih dahulu. Lihat petunjuk kumpulan OnVault. Prosedur untuk menambahkan kredensial cloud bervariasi berdasarkan versi software appliance pencadangan/pemulihan. Untuk menentukan versi yang digunakan, buka Kelola > Perangkat dan periksa kolom Versi.

Tabel berikut menyoroti perilaku kredensial Cloud dengan versi appliance yang di-deploy.

Versi perangkat asli Versi upgrade perangkat Penggunaan kredensial Cloud
11.0.1* 11.0.2 atau yang lebih tinggi Kredensial cloud yang ada akan terus menggunakan kunci JSON. Namun, Anda dapat mengganti kunci JSON di kredensial cloud dengan Kredensial Akun Layanan Appliance.
11.0.2 atau yang lebih tinggi Tidak berlaku Kredensial cloud default yang tidak menggunakan kunci JSON akan otomatis dibuat. Lihat kredensial cloud default.

*Perangkat yang di-deploy sebelum Januari 2023 kemungkinan besar di-deploy pada versi 11.0.1.

Menambahkan kredensial cloud untuk appliance yang berjalan di 11.0.2 atau yang lebih tinggi

Untuk membuat kredensial Cloud, Anda perlu menentukan nama kredensial dan kumpulan OnVault tempat Anda ingin menyimpan data cadangan. Akun layanan diisi otomatis berdasarkan akun layanan yang dilampirkan ke perangkat pencadangan/pemulihan yang dipilih. Buat OnVault, jika Anda belum memilikinya.

Sebelum menambahkan kredensial cloud, tetapkan peran Backup and DR Compute Engine Operator ke akun layanan yang dilampirkan ke perangkat.

Gunakan petunjuk ini untuk menambahkan kredensial Google Cloud untuk appliance yang berjalan di 11.0.2 atau yang lebih baru:

  1. Klik Kelola, lalu pilih Kredensial dari menu drop-down.

    Halaman Cloud Credentials akan terbuka dan mencantumkan semua kredensial cloud yang dikelola oleh konsol pengelolaan jika ada kredensial yang sudah ditambahkan.

  2. Klik Tambahkan Kredensial Google Cloud.

  3. Di Credential Name, tambahkan nama unik yang ingin Anda gunakan untuk mengidentifikasi kredensial.

  4. Pilih Zona Default. Zona default digunakan untuk menentukan zona mana yang akan digunakan secara default saat menemukan VM Compute Engine dalam project. Anda juga dapat memilih zona lain selama penemuan.

  5. Di drop-down Appliances, pilih perangkat yang ingin Anda kaitkan dengan kredensial. Kolom Service Account akan otomatis diisi dengan akun layanan yang terlampir ke perangkat tersebut.

  6. Pilih kumpulan OnVault. Kumpulan ditampilkan berdasarkan aplikasi yang dipilih. Untuk menambahkan kumpulan OnVault, gunakan petunjuk Kumpulan OnVault.

  7. Klik Tambahkan.

Konsol pengelolaan mengirimkan permintaan untuk memvalidasi kredensial cloud ke perangkat yang dipilih. Jika validasi berhasil, kredensial akan didaftarkan. Pembuatan kredensial cloud akan menghasilkan pembuatan otomatis kumpulan Cloud Storage dan profil resource dengan nama kredensial cloud sebagai awalan.

Menambahkan kredensial cloud untuk appliance yang berjalan pada versi 11.0.2 atau yang lebih lama

Sebaiknya update appliance Anda ke versi terbaru. Lihat petunjuk untuk mengupdate perangkat pencadangan/pemulihan.

Untuk membuat kumpulan OnVault dengan appliance yang berjalan pada versi 11.0.1 atau yang lebih lama, Anda harus mengupload kunci JSON secara manual. Lihat Membuat kunci akun layanan untuk mengetahui petunjuk cara membuat dan mendownload kunci akun layanan dalam format JSON.

Anda harus mengupload kunci JSON secara manual hingga appliance pencadangan/pemulihan diupdate ke 11.0.2 atau yang lebih tinggi. Anda perlu menentukan nama kredensial dan kumpulan OnVault tempat Anda ingin menyimpan data cadangan. Jika Anda tidak memiliki OnVault, lihat petunjuk untuk Membuat kumpulan OnVault.

Gunakan petunjuk ini untuk menambahkan kredensial Google Cloud untuk appliance:

  1. Klik Kelola, lalu pilih Kredensial dari menu drop-down. Halaman Cloud Credentials akan terbuka dan mencantumkan semua kredensial cloud yang dikelola oleh konsol pengelolaan jika ada kredensial yang sudah ditambahkan.
  2. Klik Tambahkan Kredensial Google Cloud.
  3. Di Credential Name, tambahkan nama unik yang ingin Anda gunakan untuk mengidentifikasi kredensial.
  4. Pilih Zona Default. Zona default digunakan untuk menentukan zona yang akan ditelusuri pertama kali saat melakukan penemuan Compute Engine. Anda dapat memilih zona yang berbeda setiap kali menjalankan alat penemuan.
  5. Di drop-down Appliances, pilih appliance yang akan dikaitkan dengan kredensial. Hanya appliance yang dipilih yang memiliki akses ke kredensial ini.
  6. Di kolom JSON Kredensial, klik Pilih file dan impor kunci akun layanan yang disimpan dalam format JSON. Akun layanan dan ID project berasal dari file kunci JSON. Anda dapat mengubah ID project sesuai kebutuhan.
  7. Pilih kumpulan OnVault. Kumpulan ditampilkan berdasarkan aplikasi yang dipilih. Untuk menambahkan pool OnVault, lihat Pool OnVault.
  8. Klik Tambahkan.

Konsol pengelolaan mengirimkan permintaan untuk memvalidasi kredensial cloud ke perangkat yang dipilih. Jika validasi berhasil, kredensial akan didaftarkan. Pembuatan kredensial cloud akan menghasilkan pembuatan otomatis kumpulan cloud dan profil resource dengan nama kredensial cloud sebagai awalan.

Mengedit kredensial cloud

Gunakan petunjuk ini untuk mengedit kredensial cloud yang ada untuk appliance:

  1. Klik Kelola, lalu pilih Kredensial dari menu drop-down. Halaman Kredensial Cloud akan terbuka dan mencantumkan semua kredensial yang disimpan di perangkat yang dikelola oleh konsol pengelolaan.
  2. Pilih kredensial yang ingin Anda ubah, lalu pilih Edit dari sudut kanan bawah halaman. Halaman Edit Kredensial akan terbuka. Anda juga dapat mengklik kanan kredensial dan memilih Edit dari opsi menu drop-down.
  3. Jika mengupdate appliance yang berjalan di 11.0.2 atau yang lebih tinggi, Anda dapat memperbarui nama, zona default, atribut organisasi, dan kumpulan OnVault.

  4. Jika Anda mengupdate appliance yang menjalankan versi 11.0.2 atau versi sebelumnya:

    1. Buat perubahan pada kredensial sebagai berikut:

      • Jika Anda memperbarui nama, region default, atau zona default, atau atribut organisasi, Anda tidak perlu memberikan atribut cloud atau organisasi, Anda tidak perlu memberikan informasi akses cloud seperti file kunci JSON.
      • Jika memperbarui informasi kredensial cloud atau menambahkan perangkat tambahan, Anda akan diminta untuk memberikan informasi akses cloud yang digunakan untuk membuat kredensial.

    2. Anda dapat memilih appliance tambahan untuk menyimpan data.

    3. Anda dapat mengubah kumpulan OnVault, jika kumpulan lain tersedia.

  5. Klik Save untuk menerapkan perubahan.

Mengganti kredensial cloud kunci JSON dengan Kredensial Akun Layanan appliance

Jika memiliki kredensial cloud yang dibuat menggunakan kunci JSON untuk autentikasi, Anda tidak dapat mengalihkan kredensial tersebut untuk digunakan dengan autentikasi akun layanan peralatan. Sebagai gantinya, buat kredensial cloud baru dan tetapkan profil yang otomatis dibuat dengan kredensial cloud dengan mengubah rencana pencadangan.

Gunakan petunjuk berikut untuk mengganti kredensial cloud kunci JSON dengan Kredensial Akun Layanan aplikasi:

  1. Buat Kredensial Cloud baru menggunakan akun layanan perangkat. Tindakan ini akan membuat profil resource baru dengan nama: <new credentialname>_Profile.
  2. Buka App Manager, lalu pilih Applications.
  3. Temukan semua instance Compute Engine menggunakan kredensial Cloud lama. Identifikasi nama profil yang memiliki format: <old credentialname>_Profile
  4. Ikuti petunjuk dalam topik Mengubah pengelolaan rencana pencadangan aplikasi terkelola dan perbarui profil yang digunakan ke profil baru.

Semua image baru menggunakan kredensial cloud yang baru dibuat. Anda tidak dapat menghapus definisi kredensial Cloud lama hingga semua gambar yang dibuat sebelumnya di kumpulan tersebut habis masa berlakunya.

Menghapus kredensial cloud

Sebelum menghapus kredensial, batalkan perlindungan dan hapus semua aplikasi dan host yang ditemukan menggunakan kredensial ini, lalu hapus.

Gunakan petunjuk ini untuk menghapus kredensial cloud.

  1. Klik Kelola, lalu pilih Kredensial dari menu drop-down.
  2. Klik kanan kredensial yang diperlukan, lalu pilih Hapus.
  3. Klik Konfirmasi.

Panduan Compute Engine Backup and DR

Panduan Compute Engine Backup and DR