用于备份和灾难恢复服务保护和数据访问的 Cloud 凭据

本页介绍了什么是默认云凭据,以及如何在管理控制台中为备份/恢复设备添加新的凭据。

云凭据是指向服务账号的指针,可让备份/恢复设备访问 Compute Engine API 和 Cloud Storage 存储分区等项目资源,以备份和恢复 Compute Engine 实例。

在备份或恢复 Compute Engine 实例期间,备份/恢复设备会使用凭据中的服务账号来拍摄实例的快照,并通过 OnVault 池将实例元数据(例如虚拟机配置、网络和标记)上传到 Cloud Storage 存储桶。如果创建实例快照的设备不可用,您可以使用其他设备通过存储在 Cloud Storage 存储桶中的元数据访问备份。请参阅导入永久性磁盘快照映像

默认云凭据

当您部署版本 11.0.2 或更高版本的备份/恢复设备时,系统会自动创建默认云凭据。此凭据是根据项目中与设备关联的服务账号创建的。此凭据简化了发现和保护 Compute Engine 实例的过程,无需创建 OnVault 池和服务账号。在管理控制台中,您可以前往管理 > 凭据,在云凭据页面中查看此默认云凭据。

云凭据页面中的默认云凭据会根据设备名称显示。例如,如果备份/恢复设备的名称为 ba-name,则系统会显示默认服务账号名称 *ba-name@developer.gserviceaccount.com。值 project-id 是项目 ID。您无法修改或删除此默认云凭据,只能查看。

默认云凭据指向自动创建的 OnVault 存储分区,该存储分区指向自动创建的 Cloud Storage 存储桶。Cloud Storage 存储桶用于存放虚拟机实例创建的 Cloud Storage 存储桶。Cloud Storage 存储桶用于存储虚拟机实例配置和元数据,并会在运行时(即向 Compute Engine 实例分配备份模板时)自动创建。Cloud Storage 存储桶的位置取决于备份模板中配置的永久性磁盘快照存储位置或区域。

即使您更改实例的区域或多区域,或者在首次快照成功运行后应用政策替换项,系统也会自动创建 OnVault 存储分区。因此,该服务可确保永久性磁盘数据和实例虚拟机配置共存。

对于默认云凭据,系统会自动将 IAM 角色 Backup and DR Cloud Storage Operator 分配给关联到备份/恢复设备的服务账号。您需要手动分配 IAM 角色 Backup and DR Compute Engine Operator 才能备份 Compute Engine 实例。

在Google Cloud 控制台中,依次前往 Cloud Storage > 存储分区,查看设备的相应 Cloud Storage 存储桶。

存储桶的名称为 <backup/recovery-appliance-name>-<random-string>-<区域/多区域>,在部署设备的同一项目中创建,并设置了以下属性。

  • 存储类别:标准
  • 对象访问控制:统一
  • 存储分区位置:与 Persistent Disk 快照位置相同
  • 对象版本控制:未在存储桶上设置对象版本控制或保留设置

  • 访问权限:存储桶不允许公开访问

添加云凭据

如果您仍想为备份/恢复设备手动创建新的云凭据,Backup and DR Service 提供了相应功能。如需创建新的云凭据,您需要先创建新的 OnVault 池,请参阅 OnVault 池说明。添加云凭据的步骤因备份/恢复设备的软件版本而异。如需确定正在使用的版本,请依次前往管理 > 设备,然后查看版本列。

下表重点介绍了 Cloud 凭据在部署的设备版本中的行为。

原始设备版本 升级后的设备版本 Cloud 凭据用量
11.0.1* 11.0.2 或更高版本 所有现有的云凭据都将继续使用 JSON 密钥。不过,您可以将云凭据中的 JSON 密钥替换为设备服务账号凭据
11.0.2 或更高版本 不适用 系统会自动创建不使用 JSON 密钥的默认云凭据。请参阅 默认云凭据

*在 2023 年 1 月之前部署的设备最有可能部署的是版本 11.0.1。

为搭载 11.0.2 或更高版本的设备添加云凭据

如需创建 Cloud 凭据,您需要定义凭据名称以及要存储备份数据的 OnVault 存储池。系统会根据与所选备份/恢复设备关联的服务账号自动填充服务账号。如果您还没有 OnVault,请创建一个 OnVault

在添加云凭据之前,请将 Backup and DR Compute Engine Operator 角色分配给附加到设备的服务账号。

请按照以下说明为搭载 11.0.2 或更高版本的设备添加 Google Cloud 凭据:

  1. 点击管理,然后从下拉菜单中选择凭据

    系统会打开 Cloud 凭据页面,其中列出了管理控制台管理的所有云凭据(如果已添加任何凭据)。

  2. 点击添加 Google Cloud 凭据

  3. 凭据名称中,添加要用于标识凭据的唯一名称。

  4. 选择默认可用区。默认可用区用于确定在项目中发现 Compute Engine 虚拟机时要默认使用哪个可用区。您还可以在发现过程中选择其他可用区。

  5. 家电下拉菜单中,选择要将凭据与其关联的家电。系统会自动在服务账号字段中填充与该设备关联的服务账号。

  6. 选择 OnVault 池。系统会根据所选设备显示相应的充电桩。如需添加 OnVault 池,请参阅 OnVault 池说明。

  7. 点击添加

管理控制台会向所选设备发送请求,以验证云凭据。如果验证成功,系统会注册凭据。创建云凭据后,系统会自动创建一个 Cloud Storage 存储分区和一个资源配置文件,并将云凭据名称用作前缀。

为搭载 11.0.2 或更低版本的设备添加云凭据

建议您将设备更新到最新版本。请参阅更新备份/恢复设备的说明。

如需创建运行版本 11.0.1 或更低版本的设备的 OnVault 池,您需要手动上传 JSON 密钥。如需了解如何创建和下载 JSON 格式的服务账号密钥,请参阅创建服务账号密钥

在备份/恢复设备更新到 11.0.2 或更高版本之前,您需要手动上传 JSON 密钥。您需要定义要存储备份数据的凭据名称和 OnVault 池。如果您没有 OnVault,请参阅创建 OnVault 池中的说明。

按照以下说明为设备添加 Google Cloud 凭据:

  1. 点击管理,然后从下拉菜单中选择凭据。 系统会打开 Cloud 凭据页面,其中列出了管理控制台管理的所有云凭据(如果已添加任何凭据)。
  2. 点击添加 Google Cloud 凭据
  3. 凭据名称中,添加要用于标识凭据的唯一名称。
  4. 选择默认可用区。默认可用区用于确定执行 Compute Engine 发现时要从哪个可用区进行初始搜索。您每次运行发现工具时都可以选择不同的可用区。
  5. 设备下拉菜单中,选择要与凭据关联的设备。只有所选设备有权访问此凭据。
  6. Credential JSON 字段中,点击 Choose file(选择文件),然后导入以 JSON 格式保存的服务账号密钥。服务账号和项目 ID 派生自 JSON 密钥文件。您可以根据需要更改项目 ID。
  7. 选择 OnVault 池。系统会根据所选设备显示相应的充电桩。如需添加 OnVault 池,请参阅 OnVault 池
  8. 点击添加

管理控制台会向所选设备发送验证云凭据的请求。如果验证成功,系统会注册凭据。创建 Cloud 凭据会导致系统自动创建一个 Cloud 池和一个资源配置文件,并将 Cloud 凭据名称用作前缀。

修改云凭据

按照以下说明修改设备的现有云凭据:

  1. 点击管理,然后从下拉菜单中选择凭据。 系统会打开 Cloud 凭据页面,其中列出了在管理控制台管理的设备上保存的所有凭据。
  2. 选择要修改的凭据,然后从页面右下角选择修改。系统随即会打开修改凭据页面。您也可以右键点击该凭据,然后从下拉菜单选项中选择修改
  3. 如果您要更新搭载 11.0.2 或更高版本的设备,则可以更新名称、默认区域、组织属性和 OnVault 池。

  4. 如果您要更新运行 11.0.2 或更低版本的设备,请执行以下操作:

    1. 对凭据进行更改,如下所示:

      • 如果您要更新名称、默认区域或默认可用区,或组织属性,则无需提供 JSON 密钥文件等云端访问信息。
      • 如果您要更新云凭据信息或添加其他设备,系统会要求您提供用于创建凭据的云访问信息。

    2. 您可以选择其他设备来存储数据。

    3. 如果有其他可用的池,您可以更改 OnVault 池。

  5. 点击保存以应用更改。

将 JSON 密钥云凭据替换为设备服务账号凭据

如果您使用 JSON 密钥创建了用于身份验证的云凭据,则无法将该凭据切换为与设备服务账号身份验证搭配使用。请改为创建新的云凭据,然后通过修改备份方案,将使用云凭据自动创建的配置文件分配给该凭据。

请按照以下说明将 JSON 密钥云凭据替换为设备服务账号凭据:

  1. 使用设备服务账号创建新的 Cloud 凭据。这将创建一个名为 <new credentialname>_Profile 的新资源配置文件。
  2. 前往应用管理器,然后选择应用
  3. 使用旧版 Cloud 凭据查找所有 Compute Engine 实例。确定配置文件名称,格式为:<old credentialname>_Profile
  4. 按照修改受管应用的备份方案管理主题中的说明操作,将使用的配置文件更新为新配置文件。

所有新映像都使用新创建的云凭据。在之前在该令牌桶中创建的所有映像过期之前,您无法删除旧的 Cloud 凭据定义。

删除云凭据

在删除凭据之前,请取消保护并移除使用此凭据发现的所有应用和主机,然后再删除该凭据。

按照以下说明删除云凭据。

  1. 点击管理,然后从下拉菜单中选择凭据
  2. 右键点击所需凭据,然后选择删除
  3. 点击确认

“Backup and DR Compute Engine”指南

“Backup and DR Compute Engine”指南