事前準備
建議您先閱讀「規劃備份和災難復原部署作業」,再開始進行本節內容。
本頁面詳細說明 Google Cloud 啟用 Google Cloud 備份與 DR 服務前必須滿足的條件,啟用作業必須在Google Cloud 控制台中完成。
本頁列出的所有工作都必須在Google Cloud 部署備份/復原設備的專案中執行。如果這個專案是共用虛擬私有雲服務專案,則部分工作會在 VPC 專案中執行,部分工作則會在工作負載專案中執行。
允許可信映像檔專案
如果您已在機構政策中啟用 constraint/compute.trustedImageProjects 政策,系統就不允許使用 Google Cloud管理的來源專案,部署備份/復原設備時使用的映像檔。您需要在部署備份/復原設備的專案中自訂這項組織政策,以免在部署期間發生政策違規錯誤,詳情請參閱下列操作說明:
前往「機構政策」頁面,然後選取部署設備的專案。
在政策清單中,點選 [Define trusted image projects] (定義可信映像檔專案)。
按一下「編輯」,即可自訂現有的可信映像檔限制。
在「Edit」(編輯) 頁面選取 [Customize] (自訂)。
從下列三種可能性中選取:
現有的繼承政策
如果現有繼承政策,請完成下列步驟:
在「政策強制執行」部分,選取「與上層合併」。
按一下 [新增規則]。
從「政策值」下拉式清單中選取「自訂」,即可針對特定映像檔專案設定限制。
從「政策類型」下拉式清單中選取「允許」,即可移除指定映像檔專案的限制。
在「自訂值」欄位中,輸入自訂值,例如 projects/backupdr-images。
按一下 [完成]。
現有的「允許」規則
如果已有「允許」規則,請完成下列步驟:
保留預設選取的「政策強制執行」。
選取現有的「允許」規則。
按一下「新增值」,新增其他圖片專案,並輸入值「projects/backupdr-images」。
按一下 [完成]。
沒有現有政策或規則
如果沒有現有規則,請選取「新增規則」,然後完成下列步驟:
保留預設選取的「政策強制執行」。
從「政策值」下拉式清單中選取「自訂」,即可針對特定映像檔專案設定限制。
從「政策類型」下拉式清單中選取「允許」,即可移除指定映像檔專案的限制。
在「自訂值」欄位中,輸入自訂值,例如 projects/backupdr-images。
如果您要設定專案層級的限制條件,這些限制條件可能會與機構或資料夾上現有的限制條件發生衝突。
按一下「新增值」,新增其他圖片專案,然後按一下「完成」。
按一下 [儲存]。
按一下「儲存」即可套用限制。
如要進一步瞭解如何建立機構政策,請參閱「建立及管理機構政策」。
部署程序
如要啟動安裝程序,備份和災難復原服務會建立服務帳戶來執行安裝程式。服務帳戶必須在主機專案、備份/復原設備服務專案和管理控制台服務專案中具備權限。詳情請參閱服務帳戶。
安裝時使用的服務帳戶會成為備份/還原設備的服務帳戶。安裝完成後,服務帳戶的權限會縮減為備份/還原設備所需的權限。
安裝第一個備份/復原設備時,系統會部署管理控制台。您可以在共用虛擬私有雲或非共用虛擬私有雲中部署 Backup and DR 服務。
非共用虛擬私有雲中的備份和災難復原服務
如果管理控制台和第一個備份/復原設備部署在具有非共用 VPC 的單一專案中,則所有三個備份和災難復原服務元件都會位於同一個專案。
如果虛擬私有雲是共用的,請參閱「共用虛擬私有雲中的備份與災難復原服務」。
在非共用虛擬私有雲中安裝時,啟用必要的 API
在非共用 VPC 中啟用安裝所需的 API 之前,請先查看備份和災難復原服務支援的部署區域。請參閱「支援的區域」。
如要在非共用 VPC 中執行安裝程式,必須啟用下列 API: 如要啟用 API,您需要「服務使用情形管理員」角色。
| API | 服務名稱 |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| 工作流程 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 工作流程服務支援所列區域。 如果備份/復原設備部署所在區域沒有 Workflows 服務,備份和災難復原服務預設會使用「us-central1」區域。如果您已設定機構政策,禁止在其他區域建立資源,請暫時更新機構政策,允許在「us-central1」區域建立資源。備份/還原裝置部署完成後,即可限制「us-central1」區域。
使用者帳戶必須在非共用 VPC 專案中具備這些權限
| 偏好的角色 | 必須授予權限 |
|---|---|
| resourcemanager.projectIamAdmin (專案 IAM 管理員) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (服務使用情形管理員) | serviceusage.services.list |
| iam.serviceAccountUser (服務帳戶使用者) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (服務帳戶管理員) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (工作流程編輯者) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (備份和災難復原管理員) | backupdr.* |
| 檢視者 (基本) | 授予查看 大多數 Google Cloud 資源所需的權限。 |
共用虛擬私有雲中的備份與災難復原
在共用虛擬私有雲專案中部署管理控制台和第一個備份/還原裝置時,您必須在主專案或一或多個服務專案中設定這三個專案:
在共用 VPC 中啟用安裝所需的 API 之前,請先查看備份與 DR 部署作業支援的區域。請參閱「支援的區域」。
虛擬私有雲擁有者專案:擁有選取的虛擬私有雲。虛擬私有雲擁有者一律是主專案。
管理控制台專案:您可以在這裡啟用 Backup and DR API,並存取管理控制台來管理工作負載。
備份/復原設備專案:這是安裝備份/復原設備的位置,通常也是受保護資源所在的位置。
在共用虛擬私有雲中,這類專案可能有一、二或三個。
| 類型 | 虛擬私有雲擁有者 | 管理控制台 | 備份/復原設備 |
|---|---|---|---|
| HHH | 主專案 | 主專案 | 主專案 |
| HHS | 主專案 | 主專案 | 服務專案 |
| HSH | 主專案 | 服務專案 | 主專案 |
| HSS | 主專案 | 服務專案 | 服務專案 |
| HS2 | 主專案 | 服務專案 | 其他服務專案 |
部署策略說明
HHH:共用虛擬私有雲。虛擬私有雲擁有者、管理控制台和備份/復原設備都位於主專案中。
HHS:共用虛擬私有雲。虛擬私有雲擁有者和管理控制台位於主專案中,備份/復原設備則位於服務專案中。
HSH:共用虛擬私有雲。VPC 擁有者和備份/復原設備位於主專案中,而管理控制台則位於服務專案中。
HSS:共用虛擬私有雲。VPC 擁有者位於主專案中,備份/復原設備和管理控制台則位於一個服務專案中。
HS2:共用虛擬私有雲。VPC 擁有者位於主專案中,備份/復原設備和管理控制台則位於兩個不同的服務專案中。
在主專案中啟用這些必要 API,以便安裝
如要執行安裝程式,必須啟用下列 API。如要啟用 API,您需要「Service Usage Admin」角色。
| API | 服務名稱 |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
在備份/復原設備專案中啟用這些必要 API,以便進行安裝
| API | 服務名稱 |
|---|---|
| Compute Engine | compute.googleapis.com |
| Resource Manager | cloudresourcemanager.googleapis.com |
| 工作流程 1 | workflows.googleapis.com |
| Cloud Key Management Service (KMS) | cloudkms.googleapis.com |
| Identity and Access Management | iam.googleapis.com |
| Cloud Logging | logging.googleapis.com |
1 工作流程服務支援所列區域。 如果部署備份/復原裝置的區域無法使用 Workflows 服務,備份和災難復原服務預設會使用「us-central1」區域。如果您已設定機構政策,禁止在其他區域建立資源,請暫時更新機構政策,允許在「us-central1」區域建立資源。備份/還原裝置部署完成後,即可限制「us-central1」區域。
使用者帳戶必須在 VPC 擁有者專案中具備這些權限
| 偏好角色 | 必須授予權限 |
|---|---|
| resourcemanager.projectIamAdmin (專案 IAM 管理員) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (服務使用情形管理員) | serviceusage.services.list |
使用者帳戶必須在管理控制台專案中擁有這些權限
安裝第一個備份/復原設備時,系統會部署管理控制台。
| 偏好角色 | 必須授予權限 |
|---|---|
| resourcemanager.projectIamAdmin (專案 IAM 管理員) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| backupdr.admin (備份和災難復原管理員) | backupdr.* |
| 檢視者 (基本) | 授予查看 大多數 Google Cloud 資源所需的權限。 |
使用者帳戶必須在備份/復原設備專案中具備下列權限
| 偏好角色 | 必須授予權限 |
|---|---|
| resourcemanager.projectIamAdmin (專案 IAM 管理員) | resourcemanager.projects.getIamPolicy |
| resourcemanager.projects.setIamPolicy | |
| resourcemanager.projects.get | |
| iam.serviceAccountUser (服務帳戶使用者) | iam.serviceAccounts.actAs |
| iam.serviceAccountAdmin (服務帳戶管理員) | iam.serviceAccounts.create |
| iam.serviceAccounts.delete | |
| iam.serviceAccounts.get | |
| workflows.editor (工作流程編輯者) | workflows.workflows.create |
| workflows.workflows.delete | |
| workflows.executions.create | |
| workflows.executions.get | |
| workflows.operations.get | |
| serviceusage.serviceUsageAdmin (服務使用情形管理員) | serviceusage.services.list |
除了使用者帳戶權限外,系統還會暫時將其他權限授予代表您建立的服務帳戶,直到安裝完成為止。
設定網路
如果目標專案尚未建立虛擬私有雲網路,請先建立再繼續操作。詳情請參閱「建立及修改虛擬私有雲 (VPC) 網路」。
您需要在計畫部署備份/復原設備的每個區域中建立子網路,且必須指派 compute.networks.create 權限才能建立子網路。
如果您要在多個網路中部署備份/復原設備,請使用不共用相同 IP 位址範圍的子網路,以免多個備份/復原設備使用相同 IP 位址。
設定私人 Google 存取權
備份/復原設備會使用私人 Google 存取權與管理控制台通訊。建議您為要部署備份/復原設備的每個子網路啟用私人 Google 存取權。
部署備份/復原設備的子網路必須與 backupdr.googleusercontent.com 網域代管的專屬網域通訊。建議您在 Cloud DNS 中加入下列設定:
- 為 DNS 名稱
backupdr.googleusercontent.com建立不公開區域。 - 為網域建立
A記錄,並納入子網路private.googleapis.com199.36.153.8/30中的四個 IP 位址:199.36.153.8、199.36.153.9、199.36.153.10、199.36.153.11。backupdr.googleusercontent.com如果您使用 VPC Service Controls,請使用restricted.googleapis.com子網路中的199.36.153.4、199.36.153.5、199.36.153.6、199.36.153.7。199.36.153.4/30 - 為
*.backupdr.googleusercontent.com建立CNAME記錄,指向網域名稱backupdr.googleusercontent.com。
這可確保您專屬管理控制台網域的任何 DNS 解析,都會透過私人 Google 存取權傳輸。
確認防火牆規則有輸出規則,允許透過 TCP 443 存取 199.36.153.8/30 或 199.36.153.4/30 子網路。此外,如果您的輸出規則允許所有流量傳輸至 0.0.0.0/0,備份/復原設備與管理控制台之間的連線應該就能成功。
建立 Cloud Storage 值區
如要使用 Backup and DR 代理程式保護資料庫和檔案系統,然後將備份副本複製到 Cloud Storage 長期保留,您需要 Cloud Storage 值區。使用 VMware vSphere 儲存空間 API 資料保護功能建立的 VMware VM 備份也適用這項規定。
按照下列操作說明建立 Cloud Storage bucket:
在 Google Cloud 控制台,前往「Cloud Storage bucket」頁面。
點選「建立值區」。
輸入 bucket 的名稱。
選擇要儲存資料的地區,然後按一下「繼續」。
選擇預設的儲存空間類別,然後按一下「繼續」。如果保留期限為 30 天以下,請使用 Nearline;如果保留期限為 90 天以上,請使用 Coldline。如果保留時間介於 30 到 90 天,建議使用 Coldline。
保持選取「統一存取控管」,然後按一下「繼續」。請勿使用細部權限。
將「保護措施」工具設為「無」,然後點按「繼續」。 請勿選取其他選項,因為這些選項無法搭配備份與 DR 服務使用。
點選「建立」。
確認服務帳戶可存取 bucket:
選取新 bucket 即可顯示 bucket 詳細資料。
前往「權限」。
在「主體」下方,確認列出新的服務帳戶。如果不是,請使用「新增」按鈕,將讀取者和寫入者服務帳戶新增為主體。