准备工作
建议您先阅读规划备份和灾难恢复部署,然后再开始本部分。
本页详细介绍了您必须满足的 Google Cloud 要求,才能启用 Google Cloud 备份和灾难恢复服务,此操作必须在Google Cloud 控制台中完成。
本页面中列出的所有任务都必须在您部署备份/恢复设备的Google Cloud 项目中执行。如果此项目是共享 VPC 服务项目,则部分任务在 VPC 项目中执行,部分任务在工作负载项目中执行。
允许可信映像项目
如果您在组织政策中启用了 constraint/compute.trustedImageProjects 政策,则不允许使用 Google 管理的源代码项目来部署备份/恢复设备所用的映像。您需要在部署备份/恢复设备的项目中自定义此组织政策,以免在部署过程中收到违反政策的错误,如以下说明中所详述:
前往组织政策页面,然后选择您部署设备的项目。
在政策列表中,点击定义可信映像项目。
点击修改以自定义现有的可信映像限制。
在修改页面,选择自定义。
请从以下三种可能性中选择:
现有的继承政策
如果存在现有继承的政策,请完成以下操作:
对于强制执行政策,请选择与父级合并。
点击添加规则。
从政策值下拉列表中选择自定义,以设置对特定映像项目的限制条件。
从政策类型下拉列表中选择允许,以移除指定映像项目的限制。
在自定义值字段中,输入自定义值 projects/backupdr-images。
点击完成。
现有的允许规则
如果存在现有的允许规则,请完成以下步骤:
将强制执行政策保留为选中的默认设置。
选择现有的允许规则。
点击添加值以添加其他映像项目,并将值输入为 projects/backupdr-images。
点击完成。
没有现有政策或规则
如果没有现有规则,请选择添加规则,然后完成以下步骤:
将强制执行政策保留为选中的默认设置。
从政策值下拉列表中选择自定义以设置对特定映像项目的限制条件。
从政策类型下拉列表中选择允许,以移除指定映像项目的限制。
在自定义值字段中,输入自定义值 projects/backupdr-images。
如果您要设置项目级限制条件,它们可能与现有的组织级或文件夹级限制条件冲突。
点击添加值以添加其他映像项目,然后点击完成。
点击保存。
点击保存以应用该限制条件。
如需详细了解如何创建组织政策,请参阅创建和管理组织政策。
部署流程
为了启动安装,Backup and DR Service 会创建一个服务账号来运行安装程序。该服务账号需要在宿主项目、备份/恢复设备服务项目和管理控制台服务项目中拥有特权。如需了解详情,请参阅服务账号。
用于安装的服务账号将成为备份/恢复设备的服务账号。安装后,服务账号的权限将仅限于备份/恢复设备所需的权限。
在您安装第一个备份/恢复设备时,系统会部署管理控制台。您可以在共享 VPC 或非共享 VPC 中部署备份和灾难恢复服务。
非共享 VPC 中的备份和灾难恢复服务
如果在使用非共享 VPC 的单个项目中部署管理控制台和第一个备份/恢复设备,则所有三个备份和灾难恢复服务组件都位于同一项目中。
如果 VPC 是共享的,请参阅共享 VPC 中的备份和灾难恢复服务。
启用在非共享 VPC 中安装所需的 API
在启用在非共享 VPC 中安装所需的 API 之前,请查看备份和灾难恢复服务部署支持的区域。请参阅支持的区域。
如需在非共享 VPC 中运行安装程序,必须启用以下 API。如需启用 API,您需要拥有 Service Usage Admin 角色。
| API | 服务名称 |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 列出的区域支持 Workflow 服务。如果备份/恢复设备部署所在的区域不提供 Workflows 服务,则 Backup and DR Service 会默认采用“us-central1”区域。如果您的组织政策设置为阻止在其他区域创建资源,则需要暂时更新组织政策,以允许在“us-central1”区域创建资源。在备份/恢复设备部署后,您可以限制“us-central1”区域。
用户账号需要在非共享 VPC 项目中拥有以下权限
| 首选角色 | 所需权限 |
|---|---|
| resourcemanager.projectIamAdmin(Project IAM Admin) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin(Service Usage Admin) | serviceusage.services.list |
| iam.serviceAccountUser(服务账号用户) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin(Service Account Admin) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor(Workflows Editor) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin(备份和灾难恢复管理员) | backupdr.* |
| 查看者(基本) | 授予查看 大多数 Google Cloud 资源所需的权限。 |
共享 VPC 中的备份和灾难恢复
在共享 VPC 项目中部署管理控制台和第一个备份/恢复设备时,您必须在宿主项目或一个或多个服务项目中配置以下三个项目:
在共享 VPC 中启用安装所需的 API 之前,请查看备份和灾难恢复部署支持的区域。请参阅支持的区域。
VPC 所有者项目:此项目拥有所选 VPC。VPC 所有者始终是宿主项目。
管理控制台项目:您可以在其中激活备份和灾难恢复 API,并访问管理控制台来管理工作负载。
备份/恢复设备项目:这是备份/恢复设备的安装位置,通常也是受保护资源所在的位置。
在共享 VPC 中,这些项目可以是 1 个、2 个或 3 个。
| 类型 | VPC 所有者 | 管理控制台 | 备份/恢复设备 |
|---|---|---|---|
| HHH | 宿主项目 | 宿主项目 | 宿主项目 |
| HHS | 宿主项目 | 宿主项目 | 服务项目 |
| HSH | 宿主项目 | 服务项目 | 宿主项目 |
| HSS | 宿主项目 | 服务项目 | 服务项目 |
| HS2 | 宿主项目 | 服务项目 | 其他服务项目 |
部署策略说明
HHH:共享 VPC。VPC 所有者、管理控制台和备份/恢复设备都位于宿主项目中。
HHS:共享 VPC。VPC 所有者和管理控制台位于宿主项目中,而备份/恢复设备位于服务项目中。
HSH:共享 VPC。VPC 所有者和备份/恢复设备位于宿主项目中,而管理控制台位于服务项目中。
HSS:共享 VPC。VPC 所有者位于宿主项目中,而备份/恢复设备和管理控制台位于一个服务项目中。
HS2:共享 VPC。VPC 所有者位于宿主项目中,而备份/恢复设备和管理控制台位于两个不同的服务项目中。
启用这些所需的 API 以便在宿主项目中进行安装
如需运行安装程序,必须启用以下 API。如需启用 API,您需要拥有 Service Usage Admin 角色。
| API | 服务名称 |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
启用以下所需 API,以便在备份/恢复设备项目中进行安装
| API | 服务名称 |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| Workflows 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 列出的区域支持 Workflow 服务。如果备份/恢复设备部署的区域不提供 Workflows 服务,则 Backup and DR Service 会默认使用“us-central1”区域。如果您的组织政策设置为禁止在其他区域创建资源,则您需要暂时更新组织政策,以允许在“us-central1”区域创建资源。在备份/恢复设备部署后,您可以限制“us-central1”区域。
用户账号需要在 VPC 所有者项目中拥有以下权限
| 首选角色 | 所需权限 |
|---|---|
| resourcemanager.projectIamAdmin(Project IAM Admin) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin(Service Usage Admin) | serviceusage.services.list |
用户账号需要在管理控制台项目中拥有以下权限
在您安装第一个备份/恢复设备时,系统会部署管理控制台。
| 首选角色 | 所需权限 |
|---|---|
| resourcemanager.projectIamAdmin(Project IAM Admin) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin(备份和灾难恢复管理员) | backupdr.* |
| 查看者(基本) | 授予查看 大多数 Google Cloud 资源所需的权限。 |
用户账号需要在备份/恢复设备项目中拥有以下权限
| 首选角色 | 所需权限 |
|---|---|
| resourcemanager.projectIamAdmin(Project IAM Admin) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccountUser(服务账号用户) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin(Service Account Admin) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor(Workflows Editor) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin(Service Usage Admin) | serviceusage.services.list |
除了最终用户账号权限之外,系统还会暂时向代表您创建的服务账号授予其他权限,直到安装完成为止。
配置网络
如果尚未为目标项目创建 VPC 网络,您需要先创建一个,然后才能继续。如需了解详情,请参阅创建和修改虚拟私有云 (VPC) 网络。您需要在计划部署备份/恢复设备的每个区域中创建一个子网,并为其分配 compute.networks.create 权限。
如果您要在多个网络中部署备份/恢复设备,请使用不共享相同 IP 地址范围的子网,以防止多个备份/恢复设备具有相同的 IP 地址。
配置专用 Google 访问通道
备份/恢复设备使用专用 Google 访问通道与管理控制台通信。建议您为要部署备份/恢复设备的每个子网启用专用 Google 访问通道。
部署备份/恢复设备的子网需要与托管在域名 backupdr.googleusercontent.com 下的唯一网域进行通信。建议您在 Cloud DNS 中添加以下配置:
- 为 DNS 名称
backupdr.googleusercontent.com创建专用区域。 - 为网域
backupdr.googleusercontent.com创建A记录,并添加private.googleapis.com子网199.36.153.8/30中的四个 IP 地址199.36.153.8、199.36.153.9、199.36.153.10、199.36.153.11。如果您使用的是 VPC Service Controls,请使用restricted.googleapis.com子网199.36.153.4/30中的199.36.153.4、199.36.153.5、199.36.153.6、199.36.153.7。 - 为
*.backupdr.googleusercontent.com创建一条指向域名backupdr.googleusercontent.com的CNAME记录。
这样可确保对您专属管理控制台网域的任何 DNS 解析都使用专用 Google 访问通道进行遍历。
确保您的防火墙规则包含一条出站规则,允许通过 TCP 443 访问 199.36.153.8/30 或 199.36.153.4/30 子网。此外,如果您有一个出站规则允许所有流量流向 0.0.0.0/0,则备份/恢复设备与管理控制台之间的连接应该会成功。
创建 Cloud Storage 存储桶
如果您想使用备份和灾难恢复代理保护数据库和文件系统,然后将备份复制到 Cloud Storage 以进行长期保留,则需要 Cloud Storage 存储桶。这也适用于使用 VMware vSphere Storage API 数据保护功能创建的 VMware 虚拟机备份。
按照以下说明创建 Cloud Storage 存储桶:
在 Google Cloud 控制台中,前往 Cloud Storage 存储分区页面。
点击创建存储桶。
为存储桶输入名称。
选择要存储数据的区域,然后点击继续。
选择默认存储类别,然后点击继续。当保留期限不超过 30 天时,请使用 Nearline;当保留期限不低于 90 天时,请使用 Coldline。如果保留期限介于 30 天到 90 天之间,请考虑使用 Coldline。
保留统一访问权限控制,然后点击继续。请勿使用精细粒度。
将保护工具设置为无,然后点击继续。 请勿选择其他选项,因为它们不适用于备份和灾难恢复服务。
点击创建。
验证您的服务账号是否有权访问您的存储桶:
选择您的新存储桶以显示存储桶详情。
前往权限。
在主账号下,确保列出了您的新服务账号。如果不是,请使用添加按钮将读取器和写入器服务账号都添加为主账号。