Hinweise
Lesen Sie den Abschnitt Bereitstellung von Sicherung und Notfallwiederherstellung planen, bevor Sie mit diesem Abschnitt beginnen.
Auf dieser Seite werden die Anforderungen von Google Cloud beschrieben, die erfüllt sein müssen, bevor Sie den Google Cloud -Sicherungs- und Notfallwiederherstellungsdienst aktivieren können. Dies muss in derGoogle Cloud -Konsole erfolgen.
Alle auf dieser Seite beschriebenen Aufgaben müssen imGoogle Cloud -Projekt ausgeführt werden, in dem Sie Ihre Sicherungs-/Wiederherstellungs-Appliance bereitstellen. Wenn es sich bei diesem Projekt um ein Dienstprojekt mit freigegebene VPC handelt, werden einige Aufgaben im VPC-Projekt und einige im Arbeitslastprojekt ausgeführt.
Trusted Image-Projekte zulassen
Wenn Sie die Richtlinie constraint/compute.trustedImageProjects in den Organisationsrichtlinien aktiviert haben, ist das von Google verwaltete Quellprojekt für die Images, die zum Bereitstellen der Sicherungs-/Wiederherstellungs-Appliance verwendet werden, nicht zulässig. Sie müssen diese Organisationsrichtlinie in den Projekten anpassen, in denen Sicherungs-/Wiederherstellungsgeräte bereitgestellt werden, um während der Bereitstellung einen Fehler aufgrund eines Richtlinienverstoßes zu vermeiden. Folgen Sie dazu der Anleitung unten:
Rufen Sie die Seite Organisationsrichtlinien auf und wählen Sie das Projekt aus, in dem Sie Ihre Appliances bereitstellen.
Klicken Sie in der Richtlinienliste auf Vertrauenswürdige Image-Projekte definieren.
Klicken Sie auf Bearbeiten, um die vorhandenen Einschränkungen für vertrauenswürdige Images zu bearbeiten.
Wählen Sie auf der Seite Bearbeiten die Option Anpassen aus.
Wählen Sie eine der folgenden drei Möglichkeiten aus:
Vorhandene übernommene Richtlinie
Wenn es eine vorhandene übernommene Richtlinie gibt, gehen Sie so vor:
Wählen Sie unter Richtlinienerzwingung die Option Mit übergeordneter Ressource zusammenführen aus.
Klicken Sie auf Regel hinzufügen.
Wählen Sie in der Drop-down-Liste Richtlinienwerte die Option Benutzerdefiniert aus, um eine Einschränkung für bestimmte Image-Projekte festzulegen.
Wählen Sie in der Drop-down-Liste Richtlinientyp die Option Zulassen aus, um die Einschränkungen für die angegebenen Image-Projekte zu entfernen.
Geben Sie im Feld Benutzerdefinierte Werte den benutzerdefinierten Wert projects/backupdr-images ein.
Klicken Sie auf Fertig.
Bestehende Zulassungsregel
Wenn bereits eine Regel vom Typ Zulassen vorhanden ist, führen Sie die folgenden Schritte aus:
Lassen Sie die Standardeinstellung für Richtlinienerzwingung beibehalten.
Wählen Sie die vorhandene Regel Zulassen aus.
Klicken Sie auf Wert hinzufügen, um weitere Image-Projekte hinzuzufügen, und geben Sie den Wert projects/backupdr-images ein.
Klicken Sie auf Fertig.
Keine vorhandene Richtlinie oder Regel
Wenn keine Regel vorhanden ist, wählen Sie Regel hinzufügen aus und führen Sie dann die folgenden Schritte aus:
Lassen Sie die Standardeinstellung für Richtlinienerzwingung beibehalten.
Wählen Sie in der Drop-down-Liste Richtlinienwerte die Option Benutzerdefiniert aus, um eine Einschränkung für bestimmte Image-Projekte festzulegen.
Wählen Sie in der Drop-down-Liste Richtlinientyp die Option Zulassen aus, um die Einschränkungen für die angegebenen Image-Projekte zu entfernen.
Geben Sie im Feld Benutzerdefinierte Werte den benutzerdefinierten Wert projects/backupdr-images ein.
Wenn Sie Einschränkungen auf Projektebene festlegen, können diese mit den vorhandenen Einschränkungen in Ihrer Organisation oder Ihrem Ordner in Konflikt stehen.
Klicken Sie auf Wert hinzufügen, um weitere Image-Projekte hinzuzufügen, und dann auf Fertig.
Klicken Sie auf Speichern.
Klicken Sie auf Speichern, um die Einschränkung anzuwenden.
Weitere Informationen zum Erstellen von Organisationsrichtlinien finden Sie unter Organisationsrichtlinien erstellen und verwalten.
Bereitstellungsprozess
Für die Installation erstellt der Sicherungs- und Notfallwiederherstellungs-Dienst ein Dienstkonto, um das Installationsprogramm auszuführen. Das Dienstkonto benötigt Berechtigungen im Hostprojekt, im Dienstprojekt für die Sicherungs-/Wiederherstellungs-Appliance und im Dienstprojekt für die Verwaltungskonsole. Weitere Informationen finden Sie unter Dienstkonten.
Das für die Installation verwendete Dienstkonto wird zum Dienstkonto der Sicherungs-/Wiederherstellungs-Appliance. Nach der Installation werden die Berechtigungen des Dienstkontos auf die Berechtigungen reduziert, die für die Sicherungs-/Wiederherstellungs-Appliance erforderlich sind.
Die Verwaltungskonsole wird bereitgestellt, wenn Sie die erste Sicherungs-/Wiederherstellungs-Appliance installieren. Sie können den Sicherungs- und Notfallwiederherstellungsdienst in einer freigegebenen VPC oder in einer nicht freigegebenen VPC bereitstellen.
Sicherungs- und Notfallwiederherstellungsdienst in einer nicht freigegebenen VPC
Wenn die Verwaltungskonsole und die erste Sicherungs-/Wiederherstellungs-Appliance in einem einzelnen Projekt mit einer nicht freigegebenen VPC bereitgestellt werden, befinden sich alle drei Komponenten des Sicherungs- und Notfallwiederherstellungsdienstes im selben Projekt.
Wenn die VPC freigegeben ist, lesen Sie den Hilfeartikel Sicherungs- und Notfallwiederherstellungsdienst in einer freigegebenen VPC.
Erforderliche APIs für die Installation in einer nicht freigegebenen VPC aktivieren
Bevor Sie die erforderlichen APIs für die Installation in einer nicht freigegebenen VPC aktivieren, sehen Sie sich die Regionen an, in denen die Bereitstellung des Sicherungs- und Notfallwiederherstellungsdiensts unterstützt wird. Weitere Informationen finden Sie unter Unterstützte Regionen.
Wenn Sie das Installationsprogramm in einer nicht freigegebenen VPC ausführen möchten, müssen die folgenden APIs aktiviert sein. Zum Aktivieren von APIs benötigen Sie die Rolle Service Usage-Administrator.
| API | Dienstname |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 Der Workflow-Dienst wird in den aufgeführten Regionen unterstützt. Wenn der Workflows-Dienst in einer Region, in der die Sicherungs-/Wiederherstellungs-Appliance bereitgestellt wird, nicht verfügbar ist, wird standardmäßig die Region „us-central1“ verwendet. Wenn Sie eine Organisationsrichtlinie haben, die das Erstellen von Ressourcen in anderen Regionen verhindert, müssen Sie Ihre Organisationsrichtlinie vorübergehend aktualisieren, damit Ressourcen in der Region „us-central1“ erstellt werden können. Sie können die Region „us-central1“ nach der Bereitstellung der Sicherungs-/Wiederherstellungs-Appliance einschränken.
Das Nutzerkonto benötigt diese Berechtigungen im nicht freigegebenen VPC-Projekt.
| Bevorzugte Rolle | Berechtigungen erforderlich |
|---|---|
| resourcemanager.projectIamAdmin (Projekt-IAM-Administrator) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Service Usage-Administrator) | serviceusage.services.list |
| iam.serviceAccountUser (Dienstkontonutzer) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (Dienstkontoadministrator) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (Workflow-Bearbeiter) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (Administrator von Sicherungen und Notfallwiederherstellungen) | backupdr.* |
| Betrachter (Basic) | Gewährt die Berechtigungen, die zum Ansehen der meisten Google Cloud -Ressourcen erforderlich sind. |
Sicherung und Notfallwiederherstellung in einer freigegebene VPC
Wenn Sie die Verwaltungskonsole und die erste Sicherungs-/Wiederherstellungs-Appliance in einem freigegebene VPC-Projekt bereitstellen, müssen Sie diese drei Projekte entweder im Hostprojekt oder in einem oder mehreren Dienstprojekten konfigurieren:
Bevor Sie die erforderlichen APIs für die Installation in einer freigegebene VPC aktivieren, sehen Sie sich die Regionen an, in denen die Bereitstellung von Sicherungen und Notfallwiederherstellungen unterstützt wird. Weitere Informationen finden Sie unter Unterstützte Regionen.
VPC-Inhaberprojekt: Inhaber des ausgewählten VPC. Der VPC-Inhaber ist immer das Hostprojekt.
Verwaltungskonsolenprojekt: Hier wird die Backup- und Notfallwiederherstellungs-API aktiviert und Sie greifen über die Verwaltungskonsole auf Arbeitslasten zu.
Sicherungs-/Wiederherstellungs-Appliance-Projekt: Hier ist die Sicherungs-/Wiederherstellungs-Appliance installiert und befinden sich normalerweise die geschützten Ressourcen.
In einer freigegebene VPC kann es sich um ein, zwei oder drei Projekte handeln.
| Typ | VPC-Inhaber | Verwaltungskonsole | Sicherungs-/Wiederherstellungs-Appliance |
|---|---|---|---|
| HHH | Hostprojekt | Hostprojekt | Hostprojekt |
| HHS | Hostprojekt | Hostprojekt | Dienstprojekt |
| HSH | Hostprojekt | Dienstprojekt | Hostprojekt |
| HSS | Hostprojekt | Dienstprojekt | Dienstprojekt |
| HS2 | Hostprojekt | Dienstprojekt | Ein anderes Dienstprojekt |
Beschreibungen der Bereitstellungsstrategien
HHH: freigegebene VPC. Der VPC-Inhaber, die Verwaltungskonsole und die Sicherungs-/Wiederherstellungs-Appliance befinden sich alle im Hostprojekt.
HHS: freigegebene VPC. Der VPC-Inhaber und die Verwaltungskonsole befinden sich im Hostprojekt und die Sicherungs-/Wiederherstellungs-Appliance in einem Dienstprojekt.
HSH: freigegebene VPC. Der VPC-Inhaber und die Sicherungs-/Wiederherstellungs-Appliance befinden sich im Hostprojekt und die Verwaltungskonsole in einem Dienstprojekt.
HSS: freigegebene VPC. Der VPC-Inhaber befindet sich im Hostprojekt und die Sicherungs-/Wiederherstellungs-Appliance und die Verwaltungskonsole in einem Dienstprojekt.
HS2: freigegebene VPC. Der VPC-Inhaber befindet sich im Hostprojekt und die Sicherungs-/Wiederherstellungs-Appliance und die Verwaltungskonsole in zwei verschiedenen Dienstprojekten.
Aktivieren Sie diese erforderlichen APIs für die Installation im Hostprojekt.
Damit das Installationsprogramm ausgeführt werden kann, müssen die folgenden APIs aktiviert sein. Zum Aktivieren von APIs benötigen Sie die Rolle Service Usage-Administrator.
| API | Dienstname |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
Aktivieren Sie diese erforderlichen APIs für die Installation im Sicherungs-/Wiederherstellungs-Appliance-Projekt.
| API | Dienstname |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 Der Workflow-Dienst wird in den aufgeführten Regionen unterstützt. Wenn der Workflows-Dienst in einer Region, in der die Sicherungs-/Wiederherstellungs-Appliance bereitgestellt wird, nicht verfügbar ist, wird standardmäßig die Region „us-central1“ verwendet. Wenn Sie eine Organisationsrichtlinie haben, die das Erstellen von Ressourcen in anderen Regionen verhindert, müssen Sie Ihre Organisationsrichtlinie vorübergehend aktualisieren, damit Ressourcen in der Region „us-central1“ erstellt werden können. Sie können die Region „us-central1“ nach der Bereitstellung der Sicherungs-/Wiederherstellungs-Appliance einschränken.
Für das Nutzerkonto sind diese Berechtigungen im VPC-Inhaberprojekt erforderlich.
| Bevorzugte Rolle | Berechtigungen erforderlich |
|---|---|
| resourcemanager.projectIamAdmin (Projekt-IAM-Administrator) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Service Usage-Administrator) | serviceusage.services.list |
Für das Nutzerkonto sind diese Berechtigungen im Verwaltungskonsolenprojekt erforderlich.
Die Verwaltungskonsole wird bereitgestellt, wenn Sie die erste Sicherungs-/Wiederherstellungs-Appliance installieren.
| Bevorzugte Rolle | Berechtigungen erforderlich |
|---|---|
| resourcemanager.projectIamAdmin (Projekt-IAM-Administrator) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (Administrator von Sicherungen und Notfallwiederherstellungen) | backupdr.* |
| Betrachter (Basic) | Gewährt die Berechtigungen, die zum Ansehen der meisten Google Cloud -Ressourcen erforderlich sind. |
Das Nutzerkonto benötigt diese Berechtigungen im Projekt der Sicherungs-/Wiederherstellungs-Appliance.
| Bevorzugte Rolle | Berechtigungen erforderlich |
|---|---|
| resourcemanager.projectIamAdmin (Projekt-IAM-Administrator) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccountUser (Dienstkontonutzer) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (Dienstkontoadministrator) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (Workflow-Bearbeiter) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Service Usage-Administrator) | serviceusage.services.list |
Zusätzlich zu den Berechtigungen für das Endnutzerkonto werden dem in Ihrem Namen erstellten Dienstkonto vorübergehend andere Berechtigungen gewährt, bis die Installation abgeschlossen ist.
Netzwerke konfigurieren
Wenn für Ihr Zielprojekt noch kein VPC-Netzwerk erstellt wurde, müssen Sie eines erstellen, bevor Sie fortfahren.
Weitere Informationen finden Sie unter VPC-Netzwerke (Virtual Private Cloud) erstellen und ändern.
Sie benötigen ein Subnetz in jeder Region, in der Sie eine Sicherungs-/Wiederherstellungs-Appliance bereitstellen möchten. Diesem Subnetz sollte die Berechtigung compute.networks.create create it zugewiesen werden.
Wenn Sie Sicherungs-/Wiederherstellungs-Appliances in mehreren Netzwerken bereitstellen, verwenden Sie Subnetze, die nicht dieselben IP-Adressbereiche haben, damit nicht mehrere Sicherungs-/Wiederherstellungs-Appliances dieselbe IP-Adresse haben.
Privaten Google-Zugriff konfigurieren
Die Sicherungs-/Wiederherstellungs-Appliance kommuniziert über den privaten Google-Zugriff mit der Verwaltungskonsole. Wir empfehlen, den privater Google-Zugriff für jedes Subnetz zu aktivieren, in dem Sie eine Sicherungs-/Wiederherstellungs-Appliance bereitstellen möchten.
Das Subnetz, in dem die Sicherungs-/Wiederherstellungs-Appliance bereitgestellt wird, muss mit einer eindeutigen Domain kommunizieren, die unter der Domain backupdr.googleusercontent.com gehostet wird. Wir empfehlen, die folgende Konfiguration in Cloud DNS anzugeben:
- Erstellen Sie eine private Zone für den DNS-Namen
backupdr.googleusercontent.com. - Erstellen Sie einen
A-Eintrag für die Domainbackupdr.googleusercontent.comund fügen Sie die vier IP-Adressen199.36.153.8,199.36.153.9,199.36.153.10und199.36.153.11aus demprivate.googleapis.com-Subnetz199.36.153.8/30hinzu. Wenn Sie VPC Service Controls verwenden, verwenden Sie199.36.153.4,199.36.153.5,199.36.153.6und199.36.153.7aus demrestricted.googleapis.com-Subnetz199.36.153.4/30. - Erstellen Sie einen
CNAME-Eintrag für*.backupdr.googleusercontent.com, der auf den Domainnamenbackupdr.googleusercontent.comverweist.
So wird sichergestellt, dass jede DNS-Auflösung für Ihre eindeutige Verwaltungskonsolendomain über den privater Google-Zugriff erfolgt.
Achten Sie darauf, dass Ihre Firewallregeln eine ausgehende Regel haben, die den Zugriff über TCP 443 auf das Subnetz 199.36.153.8/30 oder 199.36.153.4/30 zulässt. Wenn Sie außerdem eine ausgehende Regel haben, die den gesamten Traffic zu 0.0.0.0/0 zulässt, sollte die Verbindung zwischen den Appliances für Sicherung und Wiederherstellung und der Verwaltungskonsole funktionieren.
Cloud Storage-Bucket erstellen
Sie benötigen einen Cloud Storage-Bucket, wenn Sie Datenbanken und Dateisysteme mit dem Sicherungs- und Notfallwiederherstellungs-Agenten schützen und die Sicherungen dann zur langfristigen Aufbewahrung in Cloud Storage kopieren möchten. Dies gilt auch für VMware-VM-Sicherungen, die mithilfe der Datensicherheitsfunktionen der VMware vSphere Storage APIs erstellt wurden.
So erstellen Sie einen Cloud Storage-Bucket:
Rufen Sie in der Google Cloud Console die Seite Cloud Storage-Buckets auf.
Klicken Sie auf Bucket erstellen.
Geben Sie einen Namen für den Bucket ein.
Wählen Sie eine Region für das Speichern Ihrer Daten aus und klicken Sie auf Weiter.
Wählen Sie eine Standardspeicherklasse aus und klicken Sie auf Weiter. Verwenden Sie Nearline Storage, wenn die Aufbewahrungsdauer 30 Tage oder weniger beträgt, und Coldline Storage, wenn sie 90 Tage oder mehr beträgt. Wenn die Verweildauer zwischen 30 und 90 Tagen liegt, sollten Sie die Coldline verwenden.
Lassen Sie Einheitliche Zugriffssteuerung ausgewählt und klicken Sie auf Weiter. Verwenden Sie nicht die Option „Detaillierte Daten“.
Lassen Sie für Schutztools die Einstellung Keine beibehalten und klicken Sie auf Weiter. Wählen Sie keine anderen Optionen aus, da diese nicht mit dem Dienst für Sicherung und Notfallwiederherstellung funktionieren.
Klicken Sie auf Erstellen.
Prüfen Sie, ob Ihr Dienstkonto Zugriff auf Ihren Bucket hat:
Wählen Sie den neuen Bucket aus, um die Bucket-Details aufzurufen.
Rufen Sie Berechtigungen auf.
Prüfen Sie unter Principals, ob Ihre neuen Dienstkonten aufgeführt sind. Falls nicht, verwenden Sie die Schaltfläche Hinzufügen, um sowohl Leser- als auch Schreibdienstkonten als Hauptkonten hinzuzufügen.