Cloud-Anmeldedaten für den Schutz und den Datenzugriff des Sicherungs- und Notfallwiederherstellungsdienstes

Auf dieser Seite wird erläutert, was Standardanmeldedaten für die Cloud sind und wie Sie in der Verwaltungskonsole neue Anmeldedaten für Sicherungs-/Wiederherstellungsgeräte hinzufügen.

Eine Cloud-Anmeldedaten sind ein Verweis auf ein Dienstkonto, über das die Appliance für Sicherung und Wiederherstellung auf Projektressourcen wie Compute Engine-APIs und Cloud Storage-Buckets zugreifen kann, um Compute Engine-Instanzen zu sichern und wiederherzustellen.

Während der Sicherung oder Wiederherstellung von Compute Engine-Instanzen verwenden die Sicherungs-/Wiederherstellungs-Appliances das Dienstkonto in den Anmeldedaten, um Snapshots der Instanzen zu erstellen und Instanzmetadaten (z. B. VM-Konfiguration, Netzwerk und Tags) über einen OnVault-Pool in einen Cloud Storage-Bucket hochzuladen. Wenn die Appliance, mit der die Instanz-Snapshots erstellt wurden, nicht verfügbar ist, können Sie über eine andere Appliance auf die Sicherungen zugreifen. Dazu verwenden Sie die Metadaten, die im Cloud Storage-Bucket gespeichert sind. Weitere Informationen finden Sie unter Snapshot-Images von nichtflüchtigem Speicher importieren.

Standard-Cloud-Anmeldedaten

Standardmäßige Cloud-Anmeldedaten werden automatisch erstellt, wenn Sie die Sicherungs-/Wiederherstellungs-Appliance der Version 11.0.2 oder höher bereitstellen. Diese Anmeldedaten werden auf Grundlage des Dienstkontos erstellt, das an die Appliance in einem Projekt angehängt ist. Mit diesem Anmeldedaten werden Compute Engine-Instanzen einfacher erkannt und geschützt, ohne dass ein OnVault-Pool und ein Dienstkonto erstellt werden müssen. In der Managementkonsole können Sie diese Standardanmeldedaten für die Cloud auf der Seite Cloud-Anmeldedaten ansehen. Rufen Sie dazu Verwalten > Anmeldedaten auf.

Die Standard-Cloud-Anmeldedaten auf der Seite Cloud-Anmeldedaten werden basierend auf dem Namen des Geräts angezeigt. Wenn der Name der Sicherungs-/Wiederherstellungsanwendung beispielsweise ba-name ist, wird der Standarddienstkontoname *ba-name@developer.gserviceaccount.comangezeigt. Der Wert project-id ist die Projekt-ID. Sie können diese Standardanmeldedaten für die Cloud nicht bearbeiten oder löschen, sondern nur ansehen.

Die Standardanmeldedaten für die Cloud verweisen auf einen automatisch erstellten OnVault-Pool, der wiederum auf einen automatisch erstellten Cloud Storage-Bucket verweist. Der Cloud Storage-Bucket enthält den von der VM-Instanz erstellten Cloud Storage-Bucket. Der Cloud Storage-Bucket enthält die Konfiguration und Metadaten der VM-Instanz und wird automatisch zur Laufzeit erstellt, wenn einer Compute Engine-Instanz eine Sicherungsvorlage zugewiesen wird. Der Speicherort des Cloud Storage-Bucket wird anhand des Speicherorts oder der Region für Snapshots nichtflüchtiger Speicher bestimmt, wie in der Sicherungsvorlage konfiguriert.

OnVault-Pools werden automatisch erstellt, auch wenn Sie die Region oder Multi-Region der Instanz ändern oder wenn die Richtlinienüberschreibung nach dem ersten erfolgreichen Snapshot angewendet wird. Der Dienst sorgt so dafür, dass sowohl die Daten auf dem nichtflüchtigen Speicher als auch die VM-Konfiguration der Instanz gemeinsam platziert werden.

Für die Standard-Cloud-Anmeldedaten wird dem Dienstkonto, das an das Sicherungs-/Wiederherstellungsgerät angehängt ist, automatisch die IAM-Rolle Backup and DR Cloud Storage Operator zugewiesen. Sie müssen die IAM-Rolle Backup and DR Compute Engine Operator manuell zuweisen, um die Compute Engine-Instanzen zu sichern.

Rufen Sie den entsprechenden Cloud Storage-Bucket des Geräts in derGoogle Cloud -Konsole auf, indem Sie zu Cloud Storage > Buckets wechseln.

Das Storage-Bucket wird mit dem Namen <backup/recovery-appliance-name>-<random-string>-<region/multi-region> im selben Projekt erstellt, in dem die Appliance bereitgestellt wird. Es hat die folgenden Eigenschaften.

  • Speicherklasse: Standard
  • Objektzugriffssteuerung: Einheitlich
  • Bucket-Standort: entspricht dem Speicherort des Snapshots des nichtflüchtigen Speichers
  • Objektversionsverwaltung: Für den Bucket ist keine Objektversionsverwaltung oder Aufbewahrung festgelegt.

  • Zugriff: Kein öffentlicher Zugriff auf den Bucket

Cloud-Anmeldedaten hinzufügen

Mit dem Backup and DR Service können Sie neue Cloud-Anmeldedaten erstellen, wenn Sie weiterhin manuell Anmeldedaten für eine Sicherungs-/Wiederherstellungs-Appliance erstellen möchten. Wenn Sie neue Cloud-Anmeldedaten erstellen möchten, müssen Sie zuerst einen neuen OnVault-Pool erstellen. Eine Anleitung dazu finden Sie unter OnVault-Pool. Das Verfahren zum Hinzufügen von Cloud-Anmeldedaten variiert je nach Softwareversion der Sicherungs-/Wiederherstellungs-Appliance. Um herauszufinden, welche Version verwendet wird, rufen Sie Verwalten > Geräte auf und sehen Sie in der Spalte Version nach.

In der folgenden Tabelle wird das Verhalten von Cloud-Anmeldedaten mit der bereitgestellten Appliance-Version beschrieben.

Originalversion des Geräts Appliance-Version nach Upgrade Verwendung von Cloud-Anmeldedaten
11.0.1* 11.0.2 oder höher Für alle vorhandenen Cloud-Anmeldedaten werden weiterhin JSON-Schlüssel verwendet. Sie können jedoch einen JSON-Schlüssel in Cloud-Anmeldedaten durch Anmeldedaten für ein Appliance-Dienstkonto ersetzen.
11.0.2 oder höher Nicht zutreffend Es wird automatisch ein Standard-Cloud-Anmeldedatum erstellt, für das kein JSON-Schlüssel verwendet wird. Weitere Informationen finden Sie unter Standard-Cloud-Anmeldedaten.

* Geräte, die vor Januar 2023 bereitgestellt wurden, werden höchstwahrscheinlich mit Version 11.0.1 bereitgestellt.

Cloud-Anmeldedaten für eine Appliance mit Version 11.0.2 oder höher hinzufügen

Zum Erstellen von Cloud-Anmeldedaten müssen Sie den Namen der Anmeldedaten und den OnVault-Pool definieren, in dem Sie die Sicherungsdaten speichern möchten. Ein Dienstkonto wird automatisch auf Grundlage des Dienstkontos ausgefüllt, das an das ausgewählte Sicherungs-/Wiederherstellungsgerät angehängt ist. Erstellen Sie ein OnVault, falls Sie noch keines haben.

Bevor Sie die Cloud-Anmeldedaten hinzufügen, weisen Sie dem Dienstkonto, das mit dem Gerät verknüpft ist, die Rolle Backup and DR Compute Engine Operator zu.

So fügen Sie Google Cloud Anmeldedaten für Geräte mit Version 11.0.2 oder höher hinzu:

  1. Klicken Sie auf Verwalten und wählen Sie im Drop-down-Menü die Option Anmeldedaten aus.

    Die Seite Cloud-Anmeldedaten wird geöffnet. Dort werden alle Cloud-Anmeldedaten aufgeführt, die von der Verwaltungskonsole verwaltet werden, sofern bereits Anmeldedaten hinzugefügt wurden.

  2. Klicken Sie auf Google Cloud-Anmeldedaten hinzufügen.

  3. Geben Sie unter Name der Anmeldedaten einen eindeutigen Namen ein, mit dem Sie die Anmeldedaten identifizieren möchten.

  4. Wählen Sie eine Standardzone aus. Die Standardzone wird verwendet, um zu bestimmen, welche Zone standardmäßig verwendet werden soll, wenn Compute Engine-VMs in einem Projekt ermittelt werden. Sie können auch während der Erkennung eine andere Zone auswählen.

  5. Wählen Sie im Drop-down-Menü Geräte das Gerät aus, dem die Anmeldedaten zugeordnet werden sollen. Das Feld Dienstkonto wird automatisch mit dem Dienstkonto ausgefüllt, das mit diesem Gerät verknüpft ist.

  6. Wählen Sie den OnVault-Pool aus. Pools werden basierend auf dem ausgewählten Gerät angezeigt. Wenn Sie einen OnVault-Pool hinzufügen möchten, folgen Sie der Anleitung unter OnVault-Pool.

  7. Klicken Sie auf Hinzufügen.

Die Verwaltungskonsole sendet eine Anfrage zur Validierung der Cloud-Anmeldedaten an das ausgewählte Gerät. Wenn die Validierung erfolgreich ist, werden die Anmeldedaten registriert. Beim Erstellen von Cloud-Anmeldedaten werden automatisch ein Cloud Storage-Pool und ein Ressourcenprofil mit dem Namen der Cloud-Anmeldedaten als Präfix erstellt.

Cloud-Anmeldedaten für eine Appliance mit Version 11.0.2 oder niedriger hinzufügen

Wir empfehlen, Ihre Appliance auf die aktuelle Version zu aktualisieren. Eine Anleitung zum Aktualisieren der Sicherungs-/Wiederherstellungs-Appliance finden Sie hier.

Wenn Sie einen OnVault-Pool mit Appliances erstellen möchten, auf denen Version 11.0.1 oder früher ausgeführt wird, müssen Sie den JSON-Schlüssel manuell hochladen. Eine Anleitung zum Erstellen und Herunterladen des Dienstkontoschlüssels im JSON-Format finden Sie unter Dienstkontoschlüssel erstellen.

Sie müssen den JSON-Schlüssel manuell hochladen, bis die Sicherungs-/Wiederherstellungs-Appliance auf Version 11.0.2 oder höher aktualisiert wird. Sie müssen den Namen der Anmeldedaten und den OnVault-Pool definieren, in dem Sie die Sicherungsdaten speichern möchten. Wenn Sie kein OnVault haben, folgen Sie der Anleitung unter OnVault-Pool erstellen.

Folgen Sie dieser Anleitung, um Google Cloud Anmeldedaten für das Gerät hinzuzufügen:

  1. Klicken Sie auf Verwalten und wählen Sie im Drop-down-Menü die Option Anmeldedaten aus. Die Seite Cloud-Anmeldedaten wird geöffnet. Dort werden alle Cloud-Anmeldedaten aufgeführt, die von der Verwaltungskonsole verwaltet werden, sofern bereits Anmeldedaten hinzugefügt wurden.
  2. Klicken Sie auf Google Cloud-Anmeldedaten hinzufügen.
  3. Geben Sie unter Name der Anmeldedaten einen eindeutigen Namen ein, mit dem Sie die Anmeldedaten identifizieren möchten.
  4. Wählen Sie Standardzone aus. Die Standardzone wird verwendet, um zu bestimmen, in welcher Zone bei der Suche nach Compute Engine-Ressourcen zuerst gesucht werden soll. Sie können bei jedem Ausführen des Erkennungstools eine andere Zone auswählen.
  5. Wählen Sie im Drop-down-Menü Appliances (Geräte) das Gerät aus, dem die Anmeldedaten zugewiesen werden sollen. Nur das ausgewählte Gerät hat Zugriff auf diese Anmeldedaten.
  6. Klicken Sie im Feld Credential JSON (JSON-Anmeldedaten) auf Choose file (Datei auswählen) und importieren Sie den Dienstkontoschlüssel, der im JSON-Format gespeichert ist. Dienstkonto und Projekt-ID werden aus der JSON-Schlüsseldatei abgeleitet. Sie können die Projekt-ID nach Bedarf ändern.
  7. Wählen Sie den OnVault-Pool aus. Pools werden basierend auf dem ausgewählten Gerät angezeigt. Informationen zum Hinzufügen eines OnVault-Pools finden Sie unter OnVault-Pool.
  8. Klicken Sie auf Hinzufügen.

Die Verwaltungskonsole sendet eine Anfrage zur Validierung der Cloud-Anmeldedaten an das ausgewählte Gerät. Wenn die Validierung erfolgreich ist, werden die Anmeldedaten registriert. Beim Erstellen von Cloud-Anmeldedaten werden automatisch ein Cloud-Pool und ein Ressourcenprofil mit dem Namen der Cloud-Anmeldedaten als Präfix erstellt.

Cloud-Anmeldedaten bearbeiten

So bearbeiten Sie vorhandene Cloud-Anmeldedaten für die Appliance:

  1. Klicken Sie auf Verwalten und wählen Sie im Drop-down-Menü die Option Anmeldedaten aus. Die Seite Cloud-Anmeldedaten wird geöffnet und enthält alle Anmeldedaten, die auf Appliances gespeichert sind, die von der Verwaltungskonsole verwaltet werden.
  2. Wählen Sie die Anmeldedaten aus, die Sie ändern möchten, und klicken Sie dann rechts unten auf der Seite auf Bearbeiten. Die Seite Anmeldedaten bearbeiten wird geöffnet. Sie können auch mit der rechten Maustaste auf die Anmeldedaten klicken und im Drop-down-Menü Bearbeiten auswählen.
  3. Wenn Sie eine Appliance aktualisieren, auf der Version 11.0.2 oder höher ausgeführt wird, können Sie den Namen, die Standardzone, die Organisationsattribute und den OnVault-Pool aktualisieren.

  4. Wenn Sie die Appliance mit Version 11.0.2 oder einer früheren Version aktualisieren:

    1. Nehmen Sie die folgenden Änderungen an den Anmeldedaten vor:

      • Wenn Sie den Namen, die Standardregion, die Standardzone oder Organisationsattribute aktualisieren, müssen Sie keine Cloud- oder Organisationsattribute wie die JSON-Schlüsseldatei angeben.
      • Wenn Sie die Informationen zu Cloud-Anmeldedaten aktualisieren oder zusätzliche Appliances hinzufügen, werden Sie aufgefordert, die Informationen zum Cloud-Zugriff anzugeben, die zum Erstellen der Anmeldedaten verwendet wurden.

    2. Sie können ein zusätzliches Gerät zum Speichern der Daten auswählen.

    3. Sie können den OnVault-Pool ändern, wenn ein anderer Pool verfügbar ist.

  5. Klicken Sie auf Speichern, um die Änderungen zu übernehmen.

Cloud-Anmeldedaten für JSON-Schlüssel durch Anmeldedaten für das Dienstkonto der Appliance ersetzen

Wenn Sie Cloud-Anmeldedaten haben, die mit einem JSON-Schlüssel für die Authentifizierung erstellt wurden, können Sie diese Anmeldedaten nicht für die Authentifizierung mit dem Dienstkonto der Appliance verwenden. Erstellen Sie stattdessen neue Cloud-Anmeldedaten und weisen Sie das Profil, das automatisch mit den Cloud-Anmeldedaten erstellt wird, zu, indem Sie den Sicherungsplan ändern.

Folgen Sie der Anleitung unten, um Cloud-Anmeldedaten mit einem JSON-Schlüssel durch Anmeldedaten für ein Appliance-Dienstkonto zu ersetzen:

  1. Erstellen Sie ein neues Cloud-Anmeldedaten mit dem Dienstkonto der Appliance. Dadurch wird ein neues Ressourcenprofil mit dem Namen <new credentialname>_Profile erstellt.

  2. Klicken Sie in der Backup and DR Service-Verwaltungskonsole auf App Manager und wählen Sie im Drop-down-Menü Applications aus.

    Die Seite Anwendungen wird geöffnet.

  3. Suchen Sie alle Compute Engine-Instanzen, die die alten Cloud-Anmeldedaten verwenden. Suchen Sie nach Profilnamen im Format <old credentialname>_Profile.

  4. Folgen Sie der Anleitung im Thema Sicherungsplanverwaltung einer verwalteten Anwendung ändern und aktualisieren Sie das verwendete Profil auf das neue Profil.

Für alle neuen Bilder werden die neu erstellten Cloud-Anmeldedaten verwendet. Sie können die alte Cloud-Anmeldedefinition erst löschen, wenn alle zuvor in diesem Pool erstellten Bilder abgelaufen sind.

Cloud-Anmeldedaten löschen

Bevor Sie die Anmeldedaten löschen, müssen Sie den Schutz für alle Anwendungen und Hosts aufheben, die mit diesen Anmeldedaten ermittelt wurden, und sie entfernen. Löschen Sie die Anmeldedaten erst dann.

Folgen Sie dieser Anleitung, um Anmeldedaten für die Cloud zu löschen.

  1. Klicken Sie auf Verwalten und wählen Sie im Drop-down-Menü die Option Anmeldedaten aus.
  2. Klicken Sie mit der rechten Maustaste auf die erforderlichen Anmeldedaten und wählen Sie Löschen aus.
  3. Klicken Sie auf Bestätigen.

Leitfaden zu Backup and DR Compute Engine

Leitfaden zu Backup and DR Compute Engine