Sebelum memulai
Sebaiknya baca artikel Merencanakan deployment Pencadangan dan DR sebelum memulai bagian ini.
Halaman ini menjelaskan persyaratan Google Cloud yang harus dipenuhi sebelum Anda mengaktifkan Google Cloud Layanan Pencadangan dan DR yang harus dilakukan di konsolGoogle Cloud .
Semua tugas yang diuraikan di halaman ini harus dilakukan di project Google Cloud tempat Anda men-deploy appliance pencadangan/pemulihan. Jika project ini adalah project layanan VPC Bersama, beberapa tugas akan dilakukan di project VPC dan beberapa di project workload.
Mengizinkan project image tepercaya
Jika Anda telah mengaktifkan kebijakan constraint/compute.trustedImageProjects dalam
kebijakan Organisasi, project sumber yang dikelola Google untuk image
yang digunakan untuk men-deploy appliance pencadangan/pemulihan tidak diizinkan. Anda perlu
menyesuaikan kebijakan organisasi ini di project tempat appliance pencadangan/pemulihan
di-deploy untuk menghindari error pelanggaran kebijakan selama
pen-deployment seperti yang dijelaskan dalam petunjuk berikut:
Buka halaman Kebijakan organisasi dan pilih project tempat Anda men-deploy appliance.
Dalam daftar kebijakan, klik Tentukan project image tepercaya.
Klik Edit untuk menyesuaikan batasan image tepercaya yang ada.
Pada halaman Edit, pilih Customize.
Pilih dari tiga kemungkinan berikut:
Kebijakan yang diwariskan yang ada
Jika ada kebijakan yang diwarisi, selesaikan langkah-langkah berikut:
Untuk Penerapan kebijakan, pilih Gabungkan dengan induk.
Klik Tambahkan Aturan.
Pilih Custom dari menu drop-down Policy values untuk menetapkan batasan pada project image tertentu.
Pilih Allow dari menu drop-down Policy type untuk menghapus batasan untuk project image yang ditentukan.
Di kolom Nilai kustom, masukkan nilai kustom sebagai projects/backupdr-images.
Klik Done.
Aturan Izinkan yang ada
Jika sudah ada aturan Izinkan, selesaikan langkah-langkah berikut:
Biarkan Penerapan kebijakan tetap pada setelan default yang dipilih.
Pilih aturan Izinkan yang ada.
Klik Add value untuk menambahkan project image tambahan dan masukkan nilai sebagai projects/backupdr-images.
Klik Done.
Tidak ada kebijakan atau aturan yang ada
Jika tidak ada aturan yang ada, pilih Tambahkan aturan, lalu selesaikan langkah-langkah berikut:
Biarkan Penerapan kebijakan tetap pada setelan default yang dipilih.
Pilih Custom dari menu drop-down Policy values untuk menetapkan batasan pada project image tertentu.
Pilih Allow dari menu drop-down Policy type untuk menghapus batasan untuk project image yang ditentukan.
Di kolom Nilai kustom, masukkan nilai kustom sebagai projects/backupdr-images.
Jika Anda menetapkan batasan tingkat project, batasan tersebut mungkin bertentangan dengan batasan yang ada yang ditetapkan di organisasi atau folder Anda.
Klik Add value untuk menambahkan project gambar tambahan, lalu klik Done.
Klik Simpan.
Klik Simpan untuk menerapkan batasan.
Untuk mengetahui informasi selengkapnya tentang cara membuat kebijakan organisasi, lihat Membuat dan mengelola kebijakan organisasi.
Proses deployment
Untuk meluncurkan penginstalan, Layanan Pencadangan dan DR membuat akun layanan untuk menjalankan penginstal. Akun layanan memerlukan hak istimewa di project host, project layanan perangkat pencadangan/pemulihan, dan project layanan konsol pengelolaan. Untuk mengetahui informasi selengkapnya, lihat akun layanan.
Akun layanan yang digunakan untuk penginstalan menjadi akun layanan perangkat pencadangan/pemulihan. Setelah penginstalan, izin akun layanan dikurangi menjadi hanya izin yang diperlukan oleh appliance pencadangan/pemulihan.
Konsol pengelolaan di-deploy saat Anda menginstal perangkat pencadangan/pemulihan pertama. Anda dapat men-deploy Layanan Pencadangan dan DR di VPC Bersama atau di VPC non-bersama.
Layanan Pencadangan dan DR di VPC non-bersama
Saat men-deploy konsol pengelolaan dan appliance pencadangan/pemulihan pertama berada dalam satu project dengan VPC non-bersama, ketiga komponen Layanan Pencadangan dan DR akan berada dalam project yang sama.
Jika VPC dibagikan, lihat Layanan Pencadangan dan DR di VPC Bersama.
Mengaktifkan API yang diperlukan untuk penginstalan di VPC non-bersama
Sebelum mengaktifkan API yang diperlukan untuk penginstalan di VPC non-bersama, tinjau wilayah yang didukung deployment Layanan Pencadangan dan DR. Lihat Wilayah yang didukung.
Untuk menjalankan penginstal di VPC non-bersama, API berikut harus diaktifkan. Untuk mengaktifkan API, Anda memerlukan peran Admin penggunaan layanan.
| API | Nama layanan |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Alur kerja 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 Layanan alur kerja didukung di region yang tercantum. Jika layanan Workflows tidak tersedia di region tempat perangkat cadangan/pemulihan di-deploy, Backup and DR Service akan ditetapkan secara default ke region "us-central1". Jika memiliki kebijakan organisasi yang ditetapkan untuk mencegah pembuatan resource di region lain, Anda perlu memperbarui kebijakan organisasi untuk sementara agar mengizinkan pembuatan resource di region "us-central1". Anda dapat membatasi region "us-central1" setelah deployment appliance pencadangan/pemulihan.
Akun pengguna memerlukan izin ini di project VPC yang tidak dibagikan
| Peran pilihan | Izin diperlukan |
|---|---|
| resourcemanager.projectIamAdmin (Project IAM Admin) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Admin Penggunaan Layanan) | serviceusage.services.list |
| iam.serviceAccountUser (Pengguna Akun Layanan) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (Admin Akun Layanan) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (Workflows Editor) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (Admin Backup dan DR) | backupdr.* |
| pelihat (Dasar) | Memberikan izin yang diperlukan untuk melihat sebagian besar resource Google Cloud . |
Pencadangan dan DR di VPC Bersama
Saat men-deploy konsol pengelolaan dan appliance pencadangan/pemulihan pertama di project VPC Bersama, Anda harus mengonfigurasi ketiga project ini di project host atau di satu atau beberapa project layanan:
Sebelum mengaktifkan API yang diperlukan untuk penginstalan di VPC Bersama, tinjau wilayah yang mendukung deployment DR dan Pencadangan. Lihat Region yang didukung.
Project pemilik VPC: Project ini memiliki VPC yang dipilih. Pemilik VPC selalu merupakan project host.
Project konsol pengelolaan: Di sinilah Backup and DR API diaktifkan dan tempat Anda mengakses konsol pengelolaan untuk mengelola beban kerja.
Project appliance pencadangan/pemulihan: Di sinilah appliance pencadangan/pemulihan diinstal dan biasanya tempat resource yang dilindungi berada.
Di VPC Bersama, ini dapat berupa satu, dua, atau tiga project.
| Jenis | Pemilik VPC | Konsol pengelolaan | Appliance pencadangan/pemulihan |
|---|---|---|---|
| HHH | Project host | Project host | Project host |
| HHS | Project host | Project host | Project layanan |
| HSH | Project host | Project layanan | Project host |
| HSS | Project host | Project layanan | Project layanan |
| HS2 | Project host | Project layanan | Project layanan yang berbeda |
Deskripsi strategi deployment
HHH: VPC Bersama. Pemilik VPC, konsol pengelolaan, dan perangkat pencadangan/pemulihan semuanya ada di project host.
HHS: VPC Bersama. Pemilik VPC dan konsol pengelolaan berada di project host, dan perangkat pencadangan/pemulihan berada di project layanan.
HSH: Shared VPC. Pemilik VPC dan appliance pencadangan/pemulihan berada di project host, dan konsol pengelolaan berada di project layanan.
HSS: Shared VPC. Pemilik VPC berada di project host, dan peralatan pencadangan/pemulihan serta konsol pengelolaan berada dalam satu project layanan.
HS2: VPC Bersama. Pemilik VPC berada di project host, dan peralatan pencadangan/pemulihan serta konsol pengelolaan berada di dua project layanan yang berbeda.
Aktifkan API yang diperlukan ini untuk penginstalan di project host
Untuk menjalankan penginstal, API berikut harus diaktifkan. Untuk mengaktifkan API, Anda memerlukan peran Admin penggunaan layanan.
| API | Nama layanan |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
Aktifkan API yang diperlukan ini untuk penginstalan di project appliance pencadangan/pemulihan
| API | Nama layanan |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Alur kerja 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 Layanan alur kerja didukung di region yang tercantum. Jika layanan Workflows tidak tersedia di region tempat perangkat cadangan/pemulihan di-deploy, Backup and DR Service akan ditetapkan secara default ke region "us-central1". Jika Anda memiliki kebijakan organisasi yang ditetapkan untuk mencegah pembuatan resource di region lain, Anda perlu memperbarui kebijakan organisasi untuk sementara agar memungkinkan pembuatan resource di region "us-central1". Anda dapat membatasi region "us-central1" setelah deployment appliance pencadangan/pemulihan.
Akun pengguna memerlukan izin ini di project pemilik VPC
| Peran Pilihan | Izin diperlukan |
|---|---|
| resourcemanager.projectIamAdmin (Project IAM Admin) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Admin Penggunaan Layanan) | serviceusage.services.list |
Akun pengguna memerlukan izin ini di project konsol pengelolaan
Konsol pengelolaan di-deploy saat Anda menginstal perangkat pencadangan/pemulihan pertama.
| Peran Pilihan | Izin diperlukan |
|---|---|
| resourcemanager.projectIamAdmin (Project IAM Admin) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (Admin Backup dan DR) | backupdr.* |
| pelihat (Dasar) | Memberikan izin yang diperlukan untuk melihat sebagian besar resource Google Cloud . |
Akun pengguna memerlukan izin ini dalam project appliance pencadangan/pemulihan
| Peran Pilihan | Izin diperlukan |
|---|---|
| resourcemanager.projectIamAdmin (Project IAM Admin) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccountUser (Pengguna Akun Layanan) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (Admin Akun Layanan) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (Workflows Editor) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (Admin Penggunaan Layanan) | serviceusage.services.list |
Selain izin akun pengguna akhir, izin lainnya diberikan untuk sementara ke akun layanan yang dibuat atas nama Anda hingga penginstalan selesai.
Mengonfigurasi jaringan
Jika jaringan VPC belum dibuat untuk project target, Anda
perlu membuatnya sebelum melanjutkan.
Lihat Membuat dan mengubah jaringan Virtual Private Cloud (VPC) untuk mengetahui detailnya.
Anda memerlukan subnet di setiap region tempat Anda berencana men-deploy appliance pencadangan/pemulihan,
dan harus ditetapkan dengan izin compute.networks.create untuk membuatnya.
Jika Anda men-deploy perangkat pencadangan/pemulihan di beberapa jaringan, gunakan subnet yang tidak memiliki rentang alamat IP yang sama untuk mencegah beberapa perangkat pencadangan/pemulihan memiliki alamat IP yang sama.
Mengonfigurasi Akses Google Pribadi
Appliance pencadangan/pemulihan berkomunikasi dengan konsol pengelolaan menggunakan Akses Google Pribadi. Sebaiknya aktifkan Akses Google Pribadi untuk setiap subnet tempat Anda ingin men-deploy appliance pencadangan/pemulihan.
Subnet tempat appliance pencadangan/pemulihan di-deploy harus berkomunikasi dengan
domain unik yang dihosting di domain backupdr.googleusercontent.com. Sebaiknya
sertakan konfigurasi berikut di Cloud DNS:
- Buat zona pribadi untuk nama DNS
backupdr.googleusercontent.com. - Buat data
Auntuk domainbackupdr.googleusercontent.comdan sertakan setiap dari empat alamat IP199.36.153.8,199.36.153.9,199.36.153.10,199.36.153.11dari subnetprivate.googleapis.com199.36.153.8/30. Jika Anda menggunakan Kontrol Layanan VPC, gunakan199.36.153.4,199.36.153.5,199.36.153.6,199.36.153.7dari subnetrestricted.googleapis.com199.36.153.4/30. - Buat data
CNAMEuntuk*.backupdr.googleusercontent.comyang mengarah ke nama domainbackupdr.googleusercontent.com.
Hal ini memastikan bahwa resolusi DNS untuk domain konsol pengelolaan unik Anda dilalui menggunakan Akses Google Pribadi.
Pastikan aturan firewall Anda memiliki aturan keluar yang mengizinkan akses pada TCP
443 ke subnet 199.36.153.8/30 atau 199.36.153.4/30. Selain itu,
jika Anda memiliki aturan keluar yang mengizinkan semua traffic ke 0.0.0.0/0, konektivitas antara perangkat pencadangan/pemulihan dan konsol pengelolaan akan
berhasil.
Membuat bucket Cloud Storage
Anda memerlukan bucket Cloud Storage jika ingin melindungi database dan sistem file menggunakan agen Pencadangan dan DR, lalu menyalin cadangan ke Cloud Storage untuk retensi jangka panjang. Hal ini juga berlaku untuk pencadangan VM VMware yang dibuat menggunakan perlindungan data API penyimpanan VMware vSphere.
Buat bucket Cloud Storage menggunakan petunjuk berikut:
Di konsol Google Cloud , buka halaman Bucket Cloud Storage.
Klik Create bucket.
Masukkan nama untuk bucket.
Pilih wilayah untuk menyimpan data Anda, lalu klik Lanjutkan.
Pilih class penyimpanan default, lalu klik Lanjutkan. Gunakan nearline jika retensi adalah 30 hari atau kurang, atau coldline jika retensi adalah 90 hari atau lebih. Jika retensi antara 30 dan 90 hari, pertimbangkan untuk menggunakan coldline.
Biarkan Uniform access control dipilih, lalu klik Continue. Jangan gunakan halus.
Biarkan alat Perlindungan disetel ke Tidak ada, lalu klik Lanjutkan. Jangan pilih pilihan lain karena tidak berfungsi dengan Layanan Pencadangan dan DR.
Klik Create.
Validasi bahwa akun layanan Anda memiliki akses ke bucket:
Pilih bucket baru Anda untuk menampilkan detail bucket.
Buka Izin.
Di bagian Prinsipal, pastikan akun layanan baru Anda tercantum. Jika tidak, gunakan tombol Add untuk menambahkan akun layanan pembaca dan penulis sebagai akun utama.