백업 및 DR 서비스 배포 준비

시작하기 전에

이 섹션을 시작하기 전에 백업 및 DR 배포 계획을 읽어보세요.

이 페이지에서는 Google Cloud 백업 및 DR 서비스를 사용 설정하기 전에 충족해야 하는 Google Cloud 요구사항을 자세히 설명합니다. 이 작업은Google Cloud 콘솔에서 완료해야 합니다.

이 페이지에 설명된 모든 작업은 백업/복구 어플라이언스를 배포하는Google Cloud 프로젝트에서 실행해야 합니다. 이 프로젝트가 공유 VPC 서비스 프로젝트인 경우 일부 태스크는 VPC 프로젝트에서 실행되고 일부 태스크는 워크로드 프로젝트에서 실행됩니다.

신뢰할 수 있는 이미지 프로젝트 허용

이 태스크에 필요한 권한

이는 설정되지 않거나 존재하지 않을 수도 있는 조직 수준 정책입니다. 이를 변경하려면 사용자에게 다음 권한이 있어야 합니다.

• orgpolicy.policies.create
• orgpolicy.policies.delete
• orgpolicy.policies.delete
• orgpolicy.policy.get
이 권한이 있는 역할의 예는 조직 정책 관리자입니다.

조직 정책에서 constraint/compute.trustedImageProjects 정책을 사용 설정한 경우 백업/복구 어플라이언스를 배포하는 데 사용되는 이미지의 Google 관리 소스 프로젝트는 허용되지 않습니다. 다음 안내에 설명된 대로 배포 중에 정책 위반 오류가 발생하지 않도록 백업/복구 어플라이언스가 배포된 프로젝트에서 이 조직 정책을 맞춤설정해야 합니다.

1. 조직 정책 페이지로 이동하여 어플라이언스를 배포할 프로젝트를 선택합니다.

   조직 정책으로 이동

2. 정책 목록에서 신뢰할 수 있는 이미지 프로젝트 정의를 클릭합니다.

3. 편집을 클릭하여 기존의 신뢰할 수 있는 이미지 제약조건을 맞춤설정합니다.

4. 수정 페이지에서 맞춤설정을 선택합니다.

5. 다음 세 가지 옵션 중에서 선택하세요.

   기존 상속된 정책

   기존 상속 정책이 있는 경우 다음을 완료합니다.

   1. 정책 시행에서 상위 요소와 병합을 선택합니다.

   2. 규칙 추가를 클릭합니다.

   3. 정책 값 드롭다운 목록에서 커스텀을 선택하여 특정 이미지 프로젝트에 대한 제약조건을 설정합니다.

   4. 정책 유형 드롭다운 목록에서 허용을 선택하여 지정된 이미지 프로젝트의 제한사항을 삭제합니다.

   5. 커스텀 값 필드에 커스텀 값을 projects/backupdr-images로 입력합니다.

   6. 완료를 클릭합니다.

   기존 허용 규칙

   기존 허용 규칙이 있는 경우 다음 단계를 완료합니다.

   1. 정책 시행을 기본값으로 선택한 상태로 둡니다.

   2. 기존 허용 규칙을 선택합니다.

   3. 값 추가를 클릭하여 이미지 프로젝트를 추가하고 값을 projects/backupdr-images로 입력합니다.

   4. 완료를 클릭합니다.

   기존 정책 또는 규칙이 없음

   기존 규칙이 없는 경우 규칙 추가를 선택한 다음 다음 단계를 완료합니다.

   1. 정책 시행을 기본값으로 선택된 상태로 둡니다.

   2. 정책 값 드롭다운 목록에서 커스텀을 선택하여 특정 이미지 프로젝트에 대한 제약조건을 설정합니다.

   3. 정책 유형 드롭다운 목록에서 허용을 선택하여 지정된 이미지 프로젝트의 제한사항을 삭제합니다.

   4. 커스텀 값 필드에 커스텀 값을 projects/backupdr-images로 입력합니다.

   5. 프로젝트 수준 제약조건을 설정하는 경우 조직 또는 폴더에 설정된 기존 제약조건과 충돌할 수 있습니다.

   6. 값 추가를 클릭하여 이미지 프로젝트를 추가하고 완료를 클릭합니다.

   7. 저장을 클릭합니다.

6. 저장을 클릭하여 제약조건을 적용합니다.

   조직 정책 만들기에 대한 자세한 내용은 조직 정책 만들기 및 관리를 참고하세요.

배포 프로세스

백업 및 DR 서비스는 설치를 실행하기 위해 서비스 계정을 만들어 설치 프로그램을 실행합니다. 서비스 계정에는 호스트 프로젝트, 백업/복원 어플라이언스 서비스 프로젝트, 관리 콘솔 서비스 프로젝트의 권한이 필요합니다. 자세한 내용은 서비스 계정을 참고하세요.

설치에 사용된 서비스 계정이 백업/복구 어플라이언스의 서비스 계정이 됩니다. 설치 후 서비스 계정의 권한은 백업/복구 어플라이언스에 필요한 권한으로만 축소됩니다.

관리 콘솔은 첫 번째 백업/복구 어플라이언스를 설치할 때 배포됩니다. 공유 VPC 또는 비공유 VPC에 백업 및 DR 서비스를 배포할 수 있습니다.

비공유 VPC의 백업 및 DR 서비스

관리 콘솔과 첫 번째 백업/복구 어플라이언스를 공유되지 않은 VPC가 있는 단일 프로젝트에 배포하는 경우 세 가지 백업 및 DR 서비스 구성요소가 모두 동일한 프로젝트에 있습니다.

VPC가 공유되는 경우 공유 VPC의 백업 및 DR 서비스를 참고하세요.

공유되지 않은 VPC에 설치하는 데 필요한 API 사용 설정

공유되지 않은 VPC에 설치하는 데 필요한 API를 사용 설정하기 전에 백업 및 DR 서비스 배포 지원 지역을 검토하세요. 지원되는 리전을 참고하세요.

공유되지 않은 VPC에서 설치 프로그램을 실행하려면 다음 API를 사용 설정해야 합니다. API를 사용 설정하려면 서비스 사용량 관리자 역할이 필요합니다.

API	서비스 이름
Compute Engine	compute.googleapis.com
Resource Manager	cloudresourcemanager.googleapis.com
워크플로 1	workflows.googleapis.com
Cloud Key Management Service(KMS)	cloudkms.googleapis.com
Identity and Access Management	iam.googleapis.com
Cloud Logging	logging.googleapis.com

¹ 워크플로 서비스는 나열된 리전에서 지원됩니다. 백업/복구 어플라이언스가 배포되는 리전에서 Workflows 서비스를 사용할 수 없는 경우 백업 및 DR 서비스는 기본적으로 'us-central1' 리전으로 설정됩니다. 다른 리전에서 리소스를 만들지 못하도록 설정된 조직 정책이 있는 경우 'us-central1' 리전에서 리소스를 만들 수 있도록 조직 정책을 일시적으로 업데이트해야 합니다. 백업/복구 어플라이언스 배포 후 'us-central1' 리전을 제한할 수 있습니다.

사용자 계정에 비공유 VPC 프로젝트에 대한 다음 권한이 필요합니다.

선호하는 역할	권한 필요
resourcemanager.projectIamAdmin (프로젝트 IAM 관리자)	resourcemanager.projects.getIamPolicy
	resourcemanager.projects.setIamPolicy
	resourcemanager.projects.get
	iam.serviceAccounts.delete
	iam.serviceAccounts.get
	workflows.workflows.delete
	workflows.executions.create
	workflows.executions.get
	workflows.operations.get
serviceusage.serviceUsageAdmin (서비스 사용량 관리자)	serviceusage.services.list
iam.serviceAccountUser (서비스 계정 사용자)	iam.serviceAccounts.actAs
iam.serviceAccountAdmin (서비스 계정 관리자)	iam.serviceAccounts.create
	iam.serviceAccounts.delete
	iam.serviceAccounts.get
workflows.editor (워크플로 편집기)	workflows.workflows.create
	workflows.workflows.delete
	workflows.executions.create
	workflows.executions.get
	workflows.operations.get
backupdr.admin (백업 및 DR 관리자)	backupdr.*
뷰어 (기본)	대부분의 Google Cloud 리소스를 보려면 필요한 권한을 부여합니다.

공유 VPC의 백업 및 DR

공유 VPC 프로젝트에 관리 콘솔과 첫 번째 백업/복구 어플라이언스를 배포할 때는 호스트 프로젝트 또는 하나 이상의 서비스 프로젝트에서 다음 세 가지 프로젝트를 구성해야 합니다.

공유 VPC에 설치하는 데 필요한 API를 사용 설정하기 전에 백업 및 DR 배포 지원 지역을 검토하세요. 지원되는 리전을 참고하세요.

• VPC 소유자 프로젝트: 선택한 VPC를 소유합니다. VPC 소유자는 항상 호스트 프로젝트입니다.

• 관리 콘솔 프로젝트: 백업 및 DR API가 활성화되고 관리 콘솔에 액세스하여 워크로드를 관리하는 곳입니다.

• 백업/복구 어플라이언스 프로젝트: 백업/복구 어플라이언스가 설치되는 위치이며 일반적으로 보호된 리소스가 있는 위치입니다.

공유 VPC에서는 프로젝트가 1개, 2개 또는 3개일 수 있습니다.

유형	VPC 소유자	관리 콘솔	백업/복구 어플라이언스
HHH	호스트 프로젝트	호스트 프로젝트	호스트 프로젝트
HHS	호스트 프로젝트	호스트 프로젝트	서비스 프로젝트
HSH	호스트 프로젝트	서비스 프로젝트	호스트 프로젝트
HSS	호스트 프로젝트	서비스 프로젝트	서비스 프로젝트
HS2	호스트 프로젝트	서비스 프로젝트	다른 서비스 프로젝트

배포 전략 설명

• HHH: 공유 VPC VPC 소유자, 관리 콘솔, 백업/복원 어플라이언스는 모두 호스트 프로젝트에 있습니다.

• HHS: 공유 VPC VPC 소유자와 관리 콘솔은 호스트 프로젝트에 있고 백업/복원 어플라이언스는 서비스 프로젝트에 있습니다.

• HSH: 공유 VPC입니다. VPC 소유자와 백업/복원 어플라이언스는 호스트 프로젝트에 있고 관리 콘솔은 서비스 프로젝트에 있습니다.

• HSS: 공유 VPC입니다. VPC 소유자는 호스트 프로젝트에 있고 백업/복원 어플라이언스와 관리 콘솔은 하나의 서비스 프로젝트에 있습니다.

• HS2: 공유 VPC입니다. VPC 소유자는 호스트 프로젝트에 있고 백업/복원 어플라이언스와 관리 콘솔은 서로 다른 두 서비스 프로젝트에 있습니다.

호스트 프로젝트에 설치하기 위해 다음과 같은 필수 API를 사용 설정합니다.

설치 프로그램을 실행하려면 다음 API를 사용 설정해야 합니다. API를 사용 설정하려면 서비스 사용량 관리자 역할이 필요합니다.

API	서비스 이름
Compute Engine	compute.googleapis.com
Resource Manager	cloudresourcemanager.googleapis.com

백업/복구 어플라이언스 프로젝트에 설치하기 위해 다음과 같은 필수 API를 사용 설정합니다.

API	서비스 이름
Compute Engine	compute.googleapis.com
Resource Manager	cloudresourcemanager.googleapis.com
워크플로 1	workflows.googleapis.com
Cloud Key Management Service(KMS)	cloudkms.googleapis.com
Identity and Access Management	iam.googleapis.com
Cloud Logging	logging.googleapis.com

¹ 워크플로 서비스는 나열된 리전에서 지원됩니다. 백업/복구 어플라이언스가 배포되는 리전에서 Workflows 서비스를 사용할 수 없는 경우 백업 및 DR 서비스는 기본적으로 'us-central1' 리전으로 설정됩니다. 다른 리전에서 리소스를 만들지 못하도록 설정된 조직 정책이 있는 경우 'us-central1' 리전에서 리소스를 만들 수 있도록 조직 정책을 일시적으로 업데이트해야 합니다. 백업/복구 어플라이언스 배포 후 'us-central1' 리전을 제한할 수 있습니다.

사용자 계정에 VPC 소유자 프로젝트의 다음 권한이 필요합니다.

선호 역할	권한 필요
resourcemanager.projectIamAdmin (프로젝트 IAM 관리자)	resourcemanager.projects.getIamPolicy
	resourcemanager.projects.setIamPolicy
	resourcemanager.projects.get
	iam.serviceAccounts.delete
	iam.serviceAccounts.get
	workflows.workflows.delete
	workflows.executions.create
	workflows.executions.get
	workflows.operations.get
serviceusage.serviceUsageAdmin (서비스 사용량 관리자)	serviceusage.services.list

사용자 계정에 관리 콘솔 프로젝트에서 다음 권한이 필요합니다.

관리 콘솔은 첫 번째 백업/복구 어플라이언스를 설치할 때 배포됩니다.

선호 역할	권한 필요
resourcemanager.projectIamAdmin (프로젝트 IAM 관리자)	resourcemanager.projects.getIamPolicy
	resourcemanager.projects.setIamPolicy
	resourcemanager.projects.get
	iam.serviceAccounts.delete
	iam.serviceAccounts.get
	workflows.workflows.delete
	workflows.executions.create
	workflows.executions.get
	workflows.operations.get
backupdr.admin (백업 및 DR 관리자)	backupdr.*
뷰어 (기본)	대부분의 Google Cloud 리소스를 보려면 필요한 권한을 부여합니다.

사용자 계정에 백업/복구 어플라이언스 프로젝트의 다음 권한이 필요합니다.

선호 역할	권한 필요
resourcemanager.projectIamAdmin (프로젝트 IAM 관리자)	resourcemanager.projects.getIamPolicy
	resourcemanager.projects.setIamPolicy
	resourcemanager.projects.get
iam.serviceAccountUser (서비스 계정 사용자)	iam.serviceAccounts.actAs
iam.serviceAccountAdmin (서비스 계정 관리자)	iam.serviceAccounts.create
	iam.serviceAccounts.delete
	iam.serviceAccounts.get
workflows.editor (워크플로 편집기)	workflows.workflows.create
	workflows.workflows.delete
	workflows.executions.create
	workflows.executions.get
	workflows.operations.get
serviceusage.serviceUsageAdmin (서비스 사용량 관리자)	serviceusage.services.list

최종 사용자 계정 권한 외에도 설치가 완료될 때까지 개발자를 대신하여 생성된 서비스 계정에 기타 권한이 일시적으로 부여됩니다.

네트워크 구성

타겟 프로젝트에 VPC 네트워크가 아직 생성되지 않았다면 계속하기 전에 VPC 네트워크를 생성해야 합니다. 자세한 내용은 Virtual Private Cloud (VPC) 네트워크 만들기 및 수정을 참고하세요. 백업/복구 어플라이언스를 배포하려는 각 리전에 서브넷이 필요하며, 이 서브넷에는 compute.networks.create 권한이 할당되어 있어야 합니다.

여러 네트워크에 백업/복구 어플라이언스를 배포하는 경우 동일한 IP 주소 범위를 공유하지 않는 서브넷을 사용하여 여러 백업/복구 어플라이언스에 동일한 IP 주소가 할당되지 않도록 합니다.

비공개 Google 액세스 구성

백업/복구 어플라이언스는 비공개 Google 액세스를 사용하여 관리 콘솔과 통신합니다. 백업/복구 어플라이언스를 배포하려는 각 서브넷에 비공개 Google 액세스를 사용 설정하는 것이 좋습니다.

백업/복구 어플라이언스가 배포된 서브넷은 backupdr.googleusercontent.com 도메인 아래에 호스팅된 고유한 도메인과 통신해야 합니다. Cloud DNS에 다음 구성을 포함하는 것이 좋습니다.

1. DNS 이름 backupdr.googleusercontent.com의 비공개 영역을 만듭니다.
2. backupdr.googleusercontent.com 도메인의 A 레코드를 만들고 private.googleapis.com 서브넷 199.36.153.8/30의 4개 IP 주소(199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11)를 각각 포함합니다. VPC 서비스 제어를 사용하는 경우 restricted.googleapis.com 서브넷 199.36.153.4/30의 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7를 사용합니다.
3. 도메인 이름 backupdr.googleusercontent.com을 가리키는 *.backupdr.googleusercontent.com의 CNAME 레코드를 만듭니다.

이렇게 하면 고유한 관리 콘솔 도메인의 DNS 확인이 비공개 Google 액세스를 사용하여 이동합니다.

방화벽 규칙에 TCP 443에서 199.36.153.8/30 또는 199.36.153.4/30 서브넷에 대한 액세스를 허용하는 이그레스 규칙이 있는지 확인합니다. 또한 0.0.0.0/0로의 모든 트래픽을 허용하는 이그레스 규칙이 있는 경우 백업/복구 어플라이언스와 관리 콘솔 간의 연결이 성공합니다.

Cloud Storage 버킷 만들기

백업 및 DR 에이전트를 사용하여 데이터베이스와 파일 시스템을 보호한 후 장기 보관을 위해 백업을 Cloud Storage에 복사하려면 Cloud Storage 버킷이 필요합니다. 이는 VMware vSphere Storage API 데이터 보호를 사용하여 만든 VMware VM 백업에도 적용됩니다.

이 태스크에 필요한 권한

Cloud Storage 버킷을 만들려면 다음 권한이 포함된 역할이 필요합니다.

• storage.buckets.get
• storage.objects.create
• storage.objects.delete
• storage.objects.get
• storage.objects.list
• iam.serviceAccountKeys.create
이러한 권한이 있는 역할에는 Storage Admin 및 Editor가 있습니다.

다음 안내에 따라 Cloud Storage 버킷을 만듭니다.

1. Google Cloud 콘솔에서 Cloud Storage 버킷 페이지로 이동합니다.
   

   버킷으로 이동

2. 버킷 만들기를 클릭합니다.

3. 버킷 이름을 입력합니다.

4. 데이터를 저장할 리전을 선택하고 계속을 클릭합니다.

5. 기본 스토리지 클래스를 선택하고 계속을 클릭합니다. 보관 기간이 30일 이하인 경우 Nearline을, 90일 이상인 경우 Coldline을 사용하세요. 보관 기간이 30~90일인 경우 Coldline을 사용하는 것이 좋습니다.

6. 균일한 액세스 제어를 선택한 상태로 두고 계속을 클릭합니다. 세분화된 액세스 권한을 사용하지 마세요.

7. 보호 도구를 없음으로 설정하고 계속을 클릭합니다. 백업 및 DR 서비스와 호환되지 않으므로 다른 옵션은 선택하지 마세요.

8. 만들기를 클릭합니다.

9. 서비스 계정에 버킷에 대한 액세스 권한이 있는지 확인합니다.

   1. 새 버킷을 선택하여 버킷 세부정보를 표시합니다.

   2. 권한으로 이동합니다.

   3. 주 구성원 아래에 새 서비스 계정이 표시되는지 확인합니다. 그렇지 않은 경우 추가 버튼을 사용하여 리더 및 작성자 서비스 계정을 모두 주 구성원으로 추가합니다.

다음 단계

• 백업 및 DR 서비스 배포