準備部署備份和災難復原服務

事前準備

建議您先閱讀「規劃備份和災難復原部署作業」,再開始進行本節內容。

本頁面詳細說明 Google Cloud 啟用 Google Cloud 備份與 DR 服務前必須滿足的條件,啟用作業必須在Google Cloud 控制台中完成。

本頁列出的所有工作都必須在Google Cloud 部署備份/復原設備的專案中執行。如果這個專案是共用虛擬私有雲服務專案,則部分工作會在 VPC 專案中執行,部分工作則會在工作負載專案中執行。

允許可信映像檔專案

如果您已在機構政策中啟用 constraint/compute.trustedImageProjects 政策,系統就不允許使用 Google Cloud管理的來源專案,部署備份/復原設備時使用的映像檔。您需要在部署備份/復原設備的專案中自訂這項組織政策,以免在部署期間發生政策違規錯誤,詳情請參閱下列操作說明:

  1. 前往「機構政策」頁面,然後選取部署設備的專案。

    前往「機構政策」

  2. 在政策清單中,點選 [Define trusted image projects] (定義可信映像檔專案)。

  3. 按一下「編輯」,即可自訂現有的可信映像檔限制。

  4. 在「Edit」(編輯) 頁面選取 [Customize] (自訂)

  5. 從下列三種可能性中選取:

    現有的繼承政策

    如果現有繼承政策,請完成下列步驟:

    1. 在「政策強制執行」部分,選取「與上層合併」

    2. 按一下 [新增規則]

    3. 從「政策值」下拉式清單中選取「自訂」,即可針對特定映像檔專案設定限制。

    4. 從「政策類型」下拉式清單中選取「允許」,即可移除指定映像檔專案的限制。

    5. 在「自訂值」欄位中,輸入自訂值,例如 projects/backupdr-images

    6. 按一下 [完成]

    現有的「允許」規則

    如果已有「允許」規則,請完成下列步驟:

    1. 保留預設選取的「政策強制執行」

    2. 選取現有的「允許」規則。

    3. 按一下「新增值」,新增其他圖片專案,並輸入值「projects/backupdr-images」

    4. 按一下 [完成]

    沒有現有政策或規則

    如果沒有現有規則,請選取「新增規則」,然後完成下列步驟:

    1. 保留預設選取的「政策強制執行」

    2. 從「政策值」下拉式清單中選取「自訂」,即可針對特定映像檔專案設定限制。

    3. 從「政策類型」下拉式清單中選取「允許」,即可移除指定映像檔專案的限制。

    4. 在「自訂值」欄位中,輸入自訂值,例如 projects/backupdr-images

    5. 如果您要設定專案層級的限制條件,這些限制條件可能會與機構或資料夾上現有的限制條件發生衝突。

    6. 按一下「新增值」,新增其他圖片專案,然後按一下「完成」

    7. 按一下 [儲存]

  6. 按一下「儲存」即可套用限制。

    如要進一步瞭解如何建立機構政策,請參閱「建立及管理機構政策」。

部署程序

如要啟動安裝程序,備份和災難復原服務會建立服務帳戶來執行安裝程式。服務帳戶必須在主機專案、備份/復原設備服務專案和管理控制台服務專案中具備權限。詳情請參閱服務帳戶

安裝時使用的服務帳戶會成為備份/還原設備的服務帳戶。安裝完成後,服務帳戶的權限會縮減為備份/還原設備所需的權限。

安裝第一個備份/復原設備時,系統會部署管理控制台。您可以在共用虛擬私有雲非共用虛擬私有雲中部署 Backup and DR 服務。

非共用虛擬私有雲中的備份和災難復原服務

如果管理控制台和第一個備份/復原設備部署在具有非共用 VPC 的單一專案中,則所有三個備份和災難復原服務元件都會位於同一個專案。

如果虛擬私有雲是共用的,請參閱「共用虛擬私有雲中的備份與災難復原服務」。

在非共用虛擬私有雲中安裝時,啟用必要的 API

在非共用 VPC 中啟用安裝所需的 API 之前,請先查看備份和災難復原服務支援的部署區域。請參閱「支援的區域」。

如要在非共用 VPC 中執行安裝程式,必須啟用下列 API: 如要啟用 API,您需要「服務使用情形管理員」角色。

API 服務名稱
Compute Engine compute.googleapis.com
Resource Manager cloudresourcemanager.googleapis.com
工作流程 1 workflows.googleapis.com
Cloud Key Management Service (KMS) cloudkms.googleapis.com
Identity and Access Management iam.googleapis.com
Cloud Logging logging.googleapis.com

1 工作流程服務支援所列區域。 如果備份/復原設備部署所在區域沒有 Workflows 服務,備份和災難復原服務預設會使用「us-central1」區域。如果您已設定機構政策,禁止在其他區域建立資源,請暫時更新機構政策,允許在「us-central1」區域建立資源。備份/還原裝置部署完成後,即可限制「us-central1」區域。

使用者帳戶必須在非共用 VPC 專案中具備這些權限

偏好的角色 必須授予權限
resourcemanager.projectIamAdmin (專案 IAM 管理員) resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
resourcemanager.projects.get
iam.serviceAccounts.delete
iam.serviceAccounts.get
workflows.workflows.delete
workflows.executions.create
workflows.executions.get
workflows.operations.get
serviceusage.serviceUsageAdmin (服務使用情形管理員) serviceusage.services.list
iam.serviceAccountUser (服務帳戶使用者) iam.serviceAccounts.actAs
iam.serviceAccountAdmin (服務帳戶管理員) iam.serviceAccounts.create
iam.serviceAccounts.delete
iam.serviceAccounts.get
workflows.editor (工作流程編輯者) workflows.workflows.create
workflows.workflows.delete
workflows.executions.create
workflows.executions.get
workflows.operations.get
backupdr.admin (備份和災難復原管理員) backupdr.*
檢視者 (基本) 授予查看
大多數 Google Cloud 資源所需的權限

共用虛擬私有雲中的備份與災難復原

在共用虛擬私有雲專案中部署管理控制台和第一個備份/還原裝置時,您必須在主專案或一或多個服務專案中設定這三個專案:

在共用 VPC 中啟用安裝所需的 API 之前,請先查看備份與 DR 部署作業支援的區域。請參閱「支援的區域」。

  • 虛擬私有雲擁有者專案:擁有選取的虛擬私有雲。虛擬私有雲擁有者一律是主專案。

  • 管理控制台專案:您可以在這裡啟用 Backup and DR API,並存取管理控制台來管理工作負載。

  • 備份/復原設備專案:這是安裝備份/復原設備的位置,通常也是受保護資源所在的位置。

在共用虛擬私有雲中,這類專案可能有一、二或三個。

類型 虛擬私有雲擁有者 管理控制台 備份/復原設備
HHH 主專案 主專案 主專案
HHS 主專案 主專案 服務專案
HSH 主專案 服務專案 主專案
HSS 主專案 服務專案 服務專案
HS2 主專案 服務專案 其他服務專案

部署策略說明

  • HHH:共用虛擬私有雲。虛擬私有雲擁有者、管理控制台和備份/復原設備都位於主專案中。

  • HHS:共用虛擬私有雲。虛擬私有雲擁有者和管理控制台位於主專案中,備份/復原設備則位於服務專案中。

  • HSH:共用虛擬私有雲。VPC 擁有者和備份/復原設備位於主專案中,而管理控制台則位於服務專案中。

  • HSS:共用虛擬私有雲。VPC 擁有者位於主專案中,備份/復原設備和管理控制台則位於一個服務專案中。

  • HS2:共用虛擬私有雲。VPC 擁有者位於主專案中,備份/復原設備和管理控制台則位於兩個不同的服務專案中。

在主專案中啟用這些必要 API,以便安裝

如要執行安裝程式,必須啟用下列 API。如要啟用 API,您需要「Service Usage Admin」角色。

API 服務名稱
Compute Engine compute.googleapis.com
Resource Manager cloudresourcemanager.googleapis.com

在備份/復原設備專案中啟用這些必要 API,以便進行安裝

API 服務名稱
Compute Engine compute.googleapis.com
Resource Manager cloudresourcemanager.googleapis.com
工作流程 1 workflows.googleapis.com
Cloud Key Management Service (KMS) cloudkms.googleapis.com
Identity and Access Management iam.googleapis.com
Cloud Logging logging.googleapis.com
Google Cloud

1 工作流程服務支援所列區域。 如果部署備份/復原裝置的區域無法使用 Workflows 服務,備份和災難復原服務預設會使用「us-central1」區域。如果您已設定機構政策,禁止在其他區域建立資源,請暫時更新機構政策,允許在「us-central1」區域建立資源。備份/還原裝置部署完成後,即可限制「us-central1」區域。

使用者帳戶必須在 VPC 擁有者專案中具備這些權限

偏好角色 必須授予權限
resourcemanager.projectIamAdmin (專案 IAM 管理員) resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
resourcemanager.projects.get
iam.serviceAccounts.delete
iam.serviceAccounts.get
workflows.workflows.delete
workflows.executions.create
workflows.executions.get
workflows.operations.get
serviceusage.serviceUsageAdmin (服務使用情形管理員) serviceusage.services.list

使用者帳戶必須在管理控制台專案中擁有這些權限

安裝第一個備份/復原設備時,系統會部署管理控制台。

偏好角色 必須授予權限
resourcemanager.projectIamAdmin (專案 IAM 管理員) resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
resourcemanager.projects.get
iam.serviceAccounts.delete
iam.serviceAccounts.get
workflows.workflows.delete
workflows.executions.create
workflows.executions.get
workflows.operations.get
backupdr.admin (備份和災難復原管理員) backupdr.*
檢視者 (基本) 授予查看
大多數 Google Cloud 資源所需的權限

使用者帳戶必須在備份/復原設備專案中具備下列權限

偏好角色 必須授予權限
resourcemanager.projectIamAdmin (專案 IAM 管理員) resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
resourcemanager.projects.get
iam.serviceAccountUser (服務帳戶使用者) iam.serviceAccounts.actAs
iam.serviceAccountAdmin (服務帳戶管理員) iam.serviceAccounts.create
iam.serviceAccounts.delete
iam.serviceAccounts.get
workflows.editor (工作流程編輯者) workflows.workflows.create
workflows.workflows.delete
workflows.executions.create
workflows.executions.get
workflows.operations.get
serviceusage.serviceUsageAdmin (服務使用情形管理員) serviceusage.services.list

除了使用者帳戶權限外,系統還會暫時將其他權限授予代表您建立的服務帳戶,直到安裝完成為止。

設定網路

如果目標專案尚未建立虛擬私有雲網路,請先建立再繼續操作。詳情請參閱「建立及修改虛擬私有雲 (VPC) 網路」。 您需要在計畫部署備份/復原設備的每個區域中建立子網路,且必須指派 compute.networks.create 權限才能建立子網路。

如果您要在多個網路中部署備份/復原設備,請使用不共用相同 IP 位址範圍的子網路,以免多個備份/復原設備使用相同 IP 位址。

設定私人 Google 存取權

備份/復原設備會使用私人 Google 存取權與管理控制台通訊。建議您為要部署備份/復原設備的每個子網路啟用私人 Google 存取權。

部署備份/復原設備的子網路必須與 backupdr.googleusercontent.com 網域代管的專屬網域通訊。建議您在 Cloud DNS 中加入下列設定:

  1. 為 DNS 名稱 backupdr.googleusercontent.com 建立不公開區域
  2. 為網域建立 A 記錄,並納入子網路 private.googleapis.com 199.36.153.8/30 中的四個 IP 位址:199.36.153.8199.36.153.9199.36.153.10199.36.153.11backupdr.googleusercontent.com如果您使用 VPC Service Controls,請使用 restricted.googleapis.com 子網路中的 199.36.153.4199.36.153.5199.36.153.6199.36.153.7199.36.153.4/30
  3. *.backupdr.googleusercontent.com 建立 CNAME 記錄,指向網域名稱 backupdr.googleusercontent.com

這可確保您專屬管理控制台網域的任何 DNS 解析,都會透過私人 Google 存取權傳輸。

確認防火牆規則有輸出規則,允許透過 TCP 443 存取 199.36.153.8/30199.36.153.4/30 子網路。此外,如果您的輸出規則允許所有流量傳輸至 0.0.0.0/0,備份/復原設備與管理控制台之間的連線應該就能成功。

建立 Cloud Storage 值區

如要使用 Backup and DR 代理程式保護資料庫和檔案系統,然後將備份副本複製到 Cloud Storage 長期保留,您需要 Cloud Storage 值區。使用 VMware vSphere 儲存空間 API 資料保護功能建立的 VMware VM 備份也適用這項規定。

按照下列操作說明建立 Cloud Storage bucket:

  1. 在 Google Cloud 控制台,前往「Cloud Storage bucket」頁面。

    前往「Buckets」(值區) 頁面

  2. 點選「建立值區」

  3. 輸入 bucket 的名稱。

  4. 選擇要儲存資料的地區,然後按一下「繼續」

  5. 選擇預設的儲存空間類別,然後按一下「繼續」。如果保留期限為 30 天以下,請使用 Nearline;如果保留期限為 90 天以上,請使用 Coldline。如果保留時間介於 30 到 90 天,建議使用 Coldline。

  6. 保持選取「統一存取控管」,然後按一下「繼續」。請勿使用細部權限。

  7. 將「保護措施」工具設為「無」,然後點按「繼續」。 請勿選取其他選項,因為這些選項無法搭配備份與 DR 服務使用。

  8. 點選「建立」

  9. 確認服務帳戶可存取 bucket:

    1. 選取新 bucket 即可顯示 bucket 詳細資料。

    2. 前往「權限」

    3. 在「主體」下方,確認列出新的服務帳戶。如果不是,請使用「新增」按鈕,將讀取者和寫入者服務帳戶新增為主體。

後續步驟