備份和災難復原服務保護和資料存取權的雲端憑證

本頁說明預設雲端憑證,以及如何在管理控制台中為備份/復原設備新增憑證。

雲端憑證是指向服務帳戶的指標,可讓備份/復原設備存取專案資源,例如 Compute Engine API 和 Cloud Storage 值區,以備份及復原 Compute Engine 執行個體。

備份或還原 Compute Engine 執行個體時,備份/還原設備會使用憑證中的服務帳戶,為執行個體建立快照,並透過 OnVault 集區將執行個體中繼資料 (例如 VM 設定、網路和標記) 上傳至 Cloud Storage 值區。如果建立執行個體快照的設備無法使用,您可以透過儲存在 Cloud Storage 值區中的中繼資料,使用其他設備存取備份。請參閱「匯入永久磁碟快照映像檔」。

預設雲端憑證

部署 11.0.2 以上版本的備份/還原裝置時,系統會自動建立預設雲端憑證。這項憑證是根據專案中附加至設備的服務帳戶所建立。這項憑證可簡化探索及保護 Compute Engine 執行個體的程序,無須建立 OnVault 集區和服務帳戶。在管理控制台中,依序前往「管理」>「憑證」,即可在「雲端憑證」頁面查看這個預設雲端憑證。

「雲端憑證」頁面會根據設備名稱顯示預設雲端憑證。舉例來說,如果備份/還原設備的名稱是 ba-name,則顯示的預設服務帳戶名稱為 *ba-name@developer.gserviceaccount.com。值 project-id 是專案 ID。 您無法編輯或刪除這項預設雲端憑證,只能查看。

預設雲端憑證會指向自動建立的 OnVault 集區,而該集區會指向自動建立的 Cloud Storage 值區。Cloud Storage 值區會保留 VM 執行個體建立的 Cloud Storage 值區。Cloud Storage 值區會保留 VM 執行個體設定和中繼資料,並在執行階段自動建立,前提是備份範本已指派給 Compute Engine 執行個體。Cloud Storage 值區的位置取決於備份範本中設定的永久磁碟快照儲存位置或區域。

即使您變更執行個體的區域或多區域,或是在首次快照成功執行後套用政策覆寫,系統也會自動建立 OnVault 集區。因此,這項服務可確保永久磁碟資料和執行個體 VM 設定位於同一位置。

如果是預設雲端憑證,系統會自動將 IAM 角色 Backup and DR Cloud Storage Operator 指派給備份/還原裝置所連結的服務帳戶。您必須手動指派 Backup and DR Compute Engine Operator IAM 角色,才能備份 Compute Engine 執行個體。

在控制台中依序前往「Cloud Storage」>「Bucket」,即可查看設備對應的 Cloud Storage bucket。Google Cloud

儲存空間值區會以「<backup/recovery-appliance-name>-<random-string>-<region/multi-region>」<backup/recovery-appliance-name>-<random-string>-<region/multi-region>的名稱建立,並部署在與設備相同的專案中,且已設定下列屬性。

  • 儲存空間類別:標準
  • 物件存取控管:統一
  • Bucket 位置:與 Persistent Disk 快照位置相同
  • 物件版本管理:值區未設定物件版本管理或保留功能

  • 存取權:bucket 沒有公開存取權

新增雲端憑證

如果您仍想為備份/復原設備手動建立新的雲端憑證,備份和災難復原服務可提供這項功能。如要建立新的雲端憑證,請先建立新的 OnVault 集區,請參閱 OnVault 集區操作說明。新增雲端憑證的程序會因備份/還原裝置的軟體版本而異。如要判斷目前使用的版本,請依序前往「管理」>「裝置」,然後查看「版本」欄。

下表重點說明已部署的設備版本搭配 Cloud 憑證的行為。

原始設備版本 設備升級版本 雲端憑證使用情形
11.0.1* 11.0.2 以上版本 現有的雲端憑證會繼續使用 JSON 金鑰。但您可以使用設備服務帳戶憑證,取代雲端憑證中的 JSON 金鑰
11.0.2 以上版本 不適用 系統會自動建立不使用 JSON 金鑰的預設雲端憑證。請參閱 預設雲端憑證

*2023 年 1 月前部署的設備很可能部署在 11.0.1 版。

為搭載 11.0.2 以上版本的裝置新增雲端憑證

如要建立 Cloud 憑證,您需要定義憑證名稱和 OnVault 集區,以儲存備份資料。系統會根據附加至所選備份/復原設備的服務帳戶,自動填入服務帳戶。如果沒有 OnVault,請建立一個

新增雲端憑證前,請先將 Backup and DR Compute Engine Operator 角色指派給連結至設備的服務帳戶。

如要為搭載 11.0.2 以上版本的裝置新增 Google Cloud 憑證,請按照下列操作說明進行:

  1. 按一下「管理」,然後從下拉式選單中選取「憑證」

    「雲端憑證」頁面隨即開啟,列出管理控制台管理的所有雲端憑證 (如有)。

  2. 按一下「新增 Google Cloud 憑證」

  3. 在「憑證名稱」中,新增要用來識別憑證的專屬名稱。

  4. 選取「預設區域」。在專案中探索 Compute Engine VM 時,系統會根據預設區域決定預設區域。您也可以在探索期間選取其他可用區。

  5. 在「電器」下拉式選單中,選取要與憑證建立關聯的電器。「服務帳戶」欄位會自動填入附加至該裝置的服務帳戶。

  6. 選取 OnVault 集區。系統會根據所選裝置顯示集區。如要新增 OnVault 集區,請按照「OnVault 集區」的說明操作。

  7. 按一下「新增」

管理控制台會向所選裝置傳送要求,驗證雲端憑證。如果驗證成功,系統就會註冊憑證。建立雲端憑證後,系統會自動建立 Cloud Storage 集區和資源設定檔,並以雲端憑證名稱做為前置字串。

為執行 11.0.2 以下版本的設備新增雲端憑證

建議將設備更新至最新版本。請參閱更新備份/復原設備的說明。

如要使用 11.0.1 以下版本的裝置建立 OnVault 集區,請手動上傳 JSON 金鑰。如需建立及下載 JSON 格式服務帳戶金鑰的操作說明,請參閱「建立服務帳戶金鑰」。

在備份/復原設備更新至 11.0.2 以上版本前,您必須手動上傳 JSON 金鑰。您需要定義憑證名稱和 OnVault 集區,以儲存備份資料。如果沒有 OnVault,請按照操作說明建立 OnVault 集區

請按照下列操作說明,為裝置新增 Google Cloud 憑證:

  1. 按一下「管理」,然後從下拉式選單中選取「憑證」。 「雲端憑證」頁面隨即開啟,列出管理控制台管理的所有雲端憑證 (如有)。
  2. 按一下「新增 Google Cloud 憑證」
  3. 在「憑證名稱」中,新增要用來識別憑證的專屬名稱。
  4. 選取「預設區域」。執行 Compute Engine 探索時,系統會使用預設區域來判斷要從哪個區域開始搜尋。每次執行探索工具時,都可以選取不同區域。
  5. 在「Appliances」(裝置) 下拉式選單中,選取要與憑證建立關聯的裝置。只有所選裝置可以存取這項憑證。
  6. 在「憑證 JSON」欄位中,按一下「選擇檔案」,然後匯入以 JSON 格式儲存的服務帳戶金鑰。服務帳戶和專案 ID 是從 JSON 金鑰檔案衍生而來。您可以視需要變更專案 ID。
  7. 選取 OnVault 集區。系統會根據所選裝置顯示集區。如要新增 OnVault 集區,請參閱「OnVault 集區」。
  8. 按一下「新增」

管理控制台會向所選裝置傳送要求,驗證雲端憑證。如果驗證成功,系統就會註冊憑證。建立雲端憑證後,系統會自動建立雲端集區和資源設定檔,並以雲端憑證名稱做為前置字串。

編輯雲端憑證

請按照下列操作說明,編輯裝置的現有雲端憑證:

  1. 按一下「管理」,然後從下拉式選單中選取「憑證」。 「Cloud Credentials」(雲端憑證) 頁面隨即開啟,列出管理控制台管理的裝置上儲存的所有憑證。
  2. 選取要修改的憑證,然後選取頁面右下角的「編輯」。系統隨即會開啟「編輯憑證」頁面。您也可以在憑證上按一下滑鼠右鍵,然後從下拉式選單選項中選取「編輯」
  3. 如果更新的設備搭載 11.0.2 以上版本,可以更新名稱、預設區域、機構屬性和 OnVault 集區。

  4. 如要更新執行 11.0.2 以下版本的設備:

    1. 按照下列方式變更憑證:

      • 如要更新名稱、預設區域或預設地帶,或是機構屬性,不必提供雲端存取資訊,例如 JSON 金鑰檔案。
      • 更新雲端憑證資訊或新增其他設備時,系統會要求您提供建立憑證時使用的雲端存取資訊。

    2. 您可以選取其他設備來儲存資料。

    3. 如有其他集區可用,您可以變更 OnVault 集區。

  5. 點選「儲存」來套用變更。

將 JSON 金鑰雲端憑證替換為設備服務帳戶憑證

如果您使用 JSON 金鑰建立雲端憑證進行驗證,就無法切換該憑證,改用設備服務帳戶驗證。請改為建立新的雲端憑證,並修改備份方案,指派系統自動使用雲端憑證建立的設定檔。

請按照下列操作說明,將 JSON 金鑰雲端憑證替換為設備服務帳戶憑證:

  1. 使用設備服務帳戶建立新的 Cloud 憑證。系統會建立名為「<new credentialname>_Profile」的新資源設定檔。

  2. 在 Backup and DR Service 管理控制台中,按一下「App Manager」(應用程式管理員),然後從下拉式選單中選取「Applications」(應用程式)

    「應用程式」頁面隨即開啟。

  3. 找出使用舊版 Cloud 認證的所有 Compute Engine 執行個體。找出格式為「<舊憑證名稱>_Profile」的設定檔名稱。

  4. 請按照「修改受管理應用程式的備份計畫管理設定」主題中的說明操作,並將目前使用的設定檔更新為新設定檔。

所有新映像檔都會使用新建立的雲端憑證。您必須先讓該集區中先前建立的所有映像檔過期,才能刪除舊的 Cloud 憑證定義。

刪除雲端憑證

刪除憑證前,請先解除保護並移除使用該憑證探索到的所有應用程式和主機,然後再刪除憑證。

請按照這些操作說明刪除雲端憑證。

  1. 按一下「管理」,然後從下拉式選單中選取「憑證」
  2. 在所需憑證上按一下滑鼠右鍵,然後選取「刪除」
  3. 按一下「確認」。

備份和災難復原 Compute Engine 指南

備份和災難復原 Compute Engine 指南