本页介绍了什么是默认云凭据,以及如何在管理控制台中为备份/恢复设备添加新凭据。
云凭据是指向服务账号的指针,可让备份/恢复设备访问项目资源(例如 Compute Engine API 和 Cloud Storage 存储分区),以备份和恢复 Compute Engine 实例。
在备份或恢复 Compute Engine 实例期间,备份/恢复设备会使用凭据中的服务账号来拍摄实例快照,并通过 OnVault 池将实例元数据(例如虚拟机配置、网络和标记)上传到 Cloud Storage 存储桶。如果创建实例快照的设备不可用,您可以通过存储在 Cloud Storage 存储桶中的元数据,使用其他设备访问备份。请参阅导入永久性磁盘快照映像。
默认云凭据
当您部署 11.0.2 版或更高版本的备份/恢复设备时,系统会自动创建默认的云端凭据。此凭据是根据项目中附加到设备的相应服务账号创建的。此凭据简化了发现和保护 Compute Engine 实例的过程,无需创建 OnVault 池和服务账号。在管理控制台中,您可以前往管理 > 凭据,在云凭据页面中查看此默认云凭据。
云凭据页面中的默认云凭据会根据设备名称显示。例如,如果备份/恢复设备的名称为 ba-name,则显示的默认服务账号名称为 *ba-name@developer.gserviceaccount.com。值 project-id 是项目 ID。 您无法修改或删除此默认云凭据,只能查看它。
默认云端凭据指向自动创建的 OnVault 池,而该池指向自动创建的 Cloud Storage 存储桶。Cloud Storage 存储桶保存虚拟机实例创建的 Cloud Storage 存储桶。Cloud Storage 存储桶用于保存虚拟机实例配置和元数据,并在运行时(当备份模板分配给 Compute Engine 实例时)自动创建。Cloud Storage 存储桶的位置取决于备份模板中配置的 Persistent Disk 快照存储位置或区域。
即使您更改了实例的区域或多区域,或者在首次成功运行快照后应用了政策替换,系统也会自动创建 OnVault 池。因此,该服务可确保永久性磁盘数据和虚拟机实例配置位于同一位置。
对于默认云凭据,系统会自动为附加到备份/恢复设备的相应服务账号分配 IAM 角色 Backup and DR Cloud Storage Operator。您需要手动分配 IAM 角色 Backup and DR Compute Engine Operator,才能备份 Compute Engine 实例。
在Google Cloud 控制台中,依次前往 Cloud Storage > 存储分区,查看相应设备的 Cloud Storage 存储桶。
存储桶是在部署设备的项目中创建的,名称为 <backup/recovery-appliance-name>-<random-string>-<区域/多区域>,并设置了以下属性。
- 存储类别:标准
- 对象访问权限控制:统一
- 存储分区位置:与 Persistent Disk 快照位置相同
- 对象版本控制:未在存储桶上设置对象版本控制或保留
访问权限:存储桶不具有公开访问权限
添加云凭据
如果您仍想为备份/恢复设备手动创建新的云凭据,Backup and DR 服务可提供相应功能。如需创建新的云凭据,您需要先创建一个新的 OnVault 池,请参阅 OnVault 池说明。添加云凭据的程序因备份/恢复设备的软件版本而异。如需确定正在使用的版本,请依次前往管理 > 设备,然后查看版本列。
下表重点介绍了已部署设备版本的云凭据的行为。
| 原始设备版本 | 设备升级版本 | Cloud 凭据使用情况 |
|---|---|---|
| 11.0.1* | 11.0.2 或更高版本 | 所有现有的云端凭据将继续使用 JSON 密钥。不过,您可以将云端凭据中的 JSON 密钥替换为设备服务账号凭据。 |
| 11.0.2 或更高版本 | 不适用 | 系统会自动创建不使用 JSON 密钥的默认云凭据。请参阅 默认云凭据。 |
*2023 年 1 月之前部署的设备很可能部署在版本 11.0.1 上。
为搭载 11.0.2 或更高版本的设备添加云凭据
如需创建 Cloud 凭据,您需要定义凭据名称和要存储备份数据的 OnVault 池。系统会根据附加到所选备份/恢复设备的服务账号自动填充服务账号。创建 OnVault(如果您还没有 OnVault)。
在添加云凭据之前,请将 Backup and DR Compute Engine Operator 角色分配给附加到设备的服务账号。
请按照以下说明为搭载 11.0.2 或更高版本的设备添加 Google Cloud 凭据:
点击管理,然后从下拉菜单中选择凭据。
系统会打开云凭据页面,其中列出了管理控制台管理的所有云凭据(如果已添加任何凭据)。
点击添加 Google Cloud 凭据。
在凭据名称中,添加您要用于标识凭据的唯一名称。
选择一个默认可用区。默认地区用于确定在项目中发现 Compute Engine 虚拟机时默认使用哪个地区。您还可以在发现期间选择其他可用区。
在设备下拉菜单中,选择要与凭据关联的设备。服务账号字段会自动填充与相应设备关联的服务账号。
选择 OnVault 池。系统会根据所选设备显示相应池。如需添加 OnVault 池,请按照 OnVault 池说明操作。
点击添加。
管理控制台会向所选设备发送请求,以验证云凭据。如果验证成功,系统会注册相应凭据。创建云凭据会导致系统自动创建一个 Cloud Storage 池和一个以云凭据名称为前缀的资源配置文件。
为运行 11.0.2 版或更低版本的设备添加云凭据
建议您将设备更新到最新版本。请参阅有关更新备份/恢复设备的说明。
如需创建使用版本 11.0.1 或更低版本的设备运行的 OnVault 池,您需要手动上传 JSON 密钥。如需了解如何创建和下载 JSON 格式的服务账号密钥,请参阅创建服务账号密钥。
在备份/恢复设备更新到 11.0.2 或更高版本之前,您需要手动上传 JSON 密钥。您需要定义凭据名称和要存储备份数据的 OnVault 池。如果您没有 OnVault,请参阅创建 OnVault 池的相关说明。
请按照以下说明为设备添加 Google Cloud 凭据:
- 点击管理,然后从下拉菜单中选择凭据。 系统会打开云凭据页面,其中列出了管理控制台管理的所有云凭据(如果已添加任何凭据)。
- 点击添加 Google Cloud 凭据。
- 在凭据名称中,添加您要用于标识凭据的唯一名称。
- 选择默认区域。默认可用区用于确定执行 Compute Engine 发现时要初始搜索的可用区。 每次运行发现工具时,您都可以选择不同的可用区。
- 在设备下拉菜单中,选择要与凭据关联的设备。只有所选设备有权访问此凭据。
- 在凭据 JSON 字段中,点击选择文件,然后导入以 JSON 格式保存的服务账号密钥。服务账号和项目 ID 派生自 JSON 密钥文件。您可以根据需要更改项目 ID。
- 选择 OnVault 池。系统会根据所选设备显示相应池。如需添加 OnVault 池,请参阅 OnVault 池。
- 点击添加。
管理控制台会向所选设备发送请求,以验证云凭据。如果验证成功,系统会注册相应凭据。创建云凭据会导致系统自动创建云池和资源配置文件,并以云凭据名称作为前缀。
修改云凭据
按照以下说明修改设备的现有云凭据:
- 点击管理,然后从下拉菜单中选择凭据。 系统会打开云凭据页面,其中列出了管理控制台所管理设备上保存的所有凭据。
- 选择要修改的凭据,然后从页面右下角选择修改。系统随即会打开修改凭据页面。 您也可以右键点击相应凭据,然后从下拉菜单选项中选择修改。
- 如果您要更新搭载 11.0.2 或更高版本的设备,则可以更新名称、默认区域、组织属性和 OnVault 池。
如果您要更新运行 11.0.2 版或更低版本的设备,请执行以下操作:
对凭据进行如下更改:
- 如果您要更新名称、默认区域或默认可用区,或者组织属性,则无需提供云或组织属性,也无需提供 JSON 密钥文件等云访问信息。
- 如果您要更新云凭据信息或添加其他设备,系统会要求您提供用于创建凭据的云访问信息。
您可以选择其他设备来存储数据。
如果还有其他池可用,您可以更改 OnVault 池。
点击保存应用更改。
将 JSON 密钥云凭据替换为设备服务账号凭据
如果您有使用 JSON 密钥创建的云凭据用于身份验证,则无法将该凭据切换为与设备服务账号身份验证搭配使用。请改为创建新的云凭据,并通过修改备份方案来分配使用云凭据自动创建的配置文件。
请按照以下说明将 JSON 密钥云凭据替换为设备服务账号凭据:
- 使用设备服务账号创建新的 Cloud 凭据。这会创建一个名为 <new credentialname>_Profile 的新资源配置文件。
在备份和灾难恢复服务管理控制台中,点击应用管理器,然后从下拉菜单中选择应用。
系统会打开应用页面。
查找使用旧 Cloud 凭据的所有 Compute Engine 实例。 确定采用以下格式的个人资料名称:<旧凭据名称>_Profile
按照修改受管理应用的备份方案管理主题中的说明操作,并将正在使用的配置文件更新为新配置文件。
所有新映像都使用新创建的云凭据。只有当之前在该池中创建的所有映像都过期后,您才能删除旧的 Cloud 凭据定义。
删除云凭据
在删除凭据之前,请先取消保护并移除使用此凭据发现的所有应用和主机,然后再删除该凭据。
按照以下说明删除云凭据。
- 点击管理,然后从下拉菜单中选择凭据。
- 右键点击所需的凭据,然后选择删除。
- 点击确认。