Google Cloud コンソールでバックアップ ボルトを作成して管理する

概要

このページでは、Google Cloud コンソールで Backup Vault を作成して管理する方法について説明します。Backup Vault の詳細については、変更不可・削除不可のバックアップ用の Backup Vault をご覧ください。

始める前に

Backup Vault の作成と管理に必要な権限を取得するには、Backup Vault を作成するプロジェクトに対する Backup and DR Backup Vault 管理者 roles/backupdr.backupvaultAdmin)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

この事前定義ロールには、Backup Vault の作成と管理に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

Backup Vault を作成、管理するには、次の権限が必要です。

  • backupdr.backupVaults.create
  • backupdr.backupVaults.list
  • backupdr.backupVaults.get
  • backupdr.backupVaults.update
  • backupdr.backupVaults.delete
  • backupdr.bvbackups.restore

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

Backup Vault の作成

Backup Vault を作成する手順は次のとおりです。

コンソール

  1. Google Cloud コンソールで、[バックアップ ボルト] ページに移動します。

    [バックアップ ボルト] に移動

  2. [バックアップ Vault を作成] をクリックします。

  3. [バックアップ Vault の作成] ページで、バックアップ Vault の情報を入力します。

    1. [Backup Vault に名前を付ける] フィールドに、Backup Vault 名の要件を満たす名前を入力します。
    2. [データの保存場所の選択] リストから、バックアップ データが永続的に保存されるサポートされているロケーションを選択します。

    3. [バックアップの削除を防止] フィールドに、バックアップが削除から保護される期間を定義する適用される最短保持期間を入力します。最小値は 1 日、最大値は 99 年です。

      最小強制保持期間の値をロックする場合は、[強制保持をロックする] を選択し、 アイコンをクリックして、カレンダーから日付を選択します。

      • バックアップ ルールで指定された期間、削除を禁止する: バックアップ プランで設定された [バックアップを削除するまでの期間] の値を Vault に継承するように設定できます。バックアップは手動で削除できません。関連付けられているバックアップ プランの値に従って削除されます。

      • 強制保持をロックする: 最小強制保持期間の値をロックする場合は、このチェックボックスをオンにして、 アイコンをクリックし、カレンダーから日付を選択します。

    4. 独自の暗号鍵を使用する場合は、[暗号化] で [顧客管理の暗号鍵(CMEK)] オプションを選択し、プルダウン リストから鍵を選択します。バックアップ Vault と同じロケーションにある鍵のみが表示されます。CMEK を構成できるのは、Backup Vault の作成時のみです。CMEK の使用の詳細については、暗号化をご覧ください。

      必要な権限については、CMEK の権限をご覧ください。

    1. [Backup Vault へのアクセスを定義する] セクションで、Backup Vault のアクセス制限を定義するオプションを選択します。オプションを選択しない場合、Backup Vault は [現在の組織へのアクセスを制限する] 制限付きで作成されます。

  4. [作成] をクリックします。

gcloud

  1. 次のいずれかの開発環境で gcloud CLI を設定します。
  2. Cloud Shell: gcloud CLI がすでに設定されているオンライン ターミナルを使用するには、Cloud Shell をアクティブにします。このページの下部で Cloud Shell セッションが開始し、コマンドライン プロンプトが表示されます。セッションが初期化されるまで数秒かかることがあります。

  3. ローカルシェル: ローカル開発環境を使用するには、gcloud CLI をインストールして初期化します。

  4. Backup Vault を作成します。

      gcloud backup-dr backup-vaults create BACKUPVAULT_NAME \
  --project=PROJECT_ID \
  --location=LOCATION \
  --backup-retention-inheritance=RETENTION_PERIOD_INHERITANCE \
  --backup-min-enforced-retention=RETENTION_PERIOD_IN_DAYS \
  --kms-key=KMS_KEY \
  --access-restriction=ACCESS_RESTRICTION

    次のように置き換えます。

    • BACKUPVAULT_NAME: Backup Vault の名前。
    • PROJECT_ID: Backup Vault を作成するプロジェクトの名前。
    • LOCATION: Backup Vault を作成するロケーション。

    • RETENTION_PERIOD_INHERITANCE: この Backup Vault 内のバックアップの強制保持終了時刻の継承モード。一度設定した継承モードは変更できません。デフォルト値は inherit-vault-retention です。

      • inherit-vault-retention に設定すると、バックアップの保持期間は Backup Vault から継承されます。
      • match-backup-expire-time に設定すると、バックアップの保持期間はバックアップの有効期限と同じになります。

    • RETENTION_PERIOD_IN_DAYS: Backup Vault 内の各バックアップを削除できない期間。最小値は 1 日、最大値は 99 年です。たとえば、2w1d は 2 週間と 1 日です。詳細については、Backup Vault に適用する最短保持期間をご覧ください。

    • KMS_KEY: 暗号化に使用する顧客管理の暗号鍵(CMEK)。形式は projects/KMS_PROJECT_ID/locations/KMS_LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME です。鍵を指定すると、Backup Vault で CMEK が有効になります。CMEK を構成できるのは、Backup Vault の作成時のみです。CMEK の使用の詳細については、暗号化をご覧ください。必要な権限については、CMEK の権限をご覧ください。

    • ACCESS_RESTRICTION: Backup Vault のアクセス制限を指定します。指定できる値は within-projectwithin-orgunrestrictedwithin-org-but-unrestricted-for-ba です。値を指定しない場合、Backup Vault は within-org 制限付きで作成されます。

    Backup and DR は、バックアップ Vault に保存されている Compute Engine インスタンスと Persistent Disk のバックアップに対してのみ CMEK 保護をサポートします。

  5. オペレーションのステータスを確認します。

      gcloud backup-dr operations describe FULL_OPERATION_ID

    次のように置き換えます。

    • FULL_OPERATION_ID Backup Vault に表示されるオペレーション ID。形式は次のとおりです。 projects/test-project/locations/us-central1/operations/operationID

    出力は次のように表示されます。

    
    Create in progress for backup vault [projects/test-project/locations/us-central1/operations/operation-1721893921568-41e0dab8938a1-f1dc6ad2-3051b3ce]. Run the [gcloud backup-dr operations describe] command to check the status of this operation.

Terraform

Backup Vaultの作成には Terraform リソースを使用します。


resource "google_backup_dr_backup_vault" "default" {
  provider                                   = google-beta
  location                                   = "us-central1"
  backup_vault_id                            = "my-vault"
  description                                = "This vault is created usingTerraform."
  backup_minimum_enforced_retention_duration = "100000s"
  force_update                               = "true"
  ignore_inactive_datasources                = "true"
  allow_missing                              = "true"
}

プロジェクト内の Backup Vault を一覧表示する

プロジェクト内のバックアップ ボルトを一覧表示する手順は次のとおりです。

コンソール

  1. Google Cloud コンソールで、[バックアップ ボルト] ページに移動します。

    [バックアップ ボルト] に移動

    選択したプロジェクトの一部であるバックアップ ボルトがリストに表示されます。

gcloud

  1. バックアップ Vault を一覧表示します。

      gcloud backup-dr backup-vaults list \
  --project=PROJECT_ID \
  --location=LOCATION

    次のように置き換えます。

    • PROJECT_ID: Backup Vault が作成されるプロジェクトの名前。
    • LOCATION: バックアップ Vault が作成されるロケーション。

Backup Vault の詳細を表示

Backup Vault の詳細ページには構成情報が表示され、編集可能な項目を更新できます。

  • 作成日: Backup Vault が作成された日付。
  • 最終更新日: Backup Vault が最後に変更された日付。
  • 説明: Backup Vault の説明(省略可)。
  • ステータス: 有効
  • ロケーション タイプ: リージョンまたはマルチリージョン
  • ロケーション: 選択したリージョンまたはマルチリージョン(us-central1 (Iowa)us など)。
  • 保存済みバイト数: Backup Vault に保存されているデータ量。
  • 適用される保持期間
    • バックアップの最短保持期間: この Backup Vault の最小値を選択します。
    • バックアップ ルールから継承: この Backup Vault に保存されるバックアップに、バックアップ ルールですでに設定されている値を使用します。
  • 保持ロックのステータス
    • ロック解除: Backup Vault にロックが適用されておらず、保留中のロックもありません。
    • ロックは datetime に有効になります: 指定された日付に Backup Vault でロックが有効になるように設定されています。
    • ロック済み: バックアップ ボルトの最小強制保持期間の値が、削減または削除に対してロックされています。
  • 暗号化のタイプ: Google-managed encryption key
    • 暗号鍵: 使用中の顧客管理の暗号鍵。
  • アクセス制限: 制限なし、または現在の組織へのアクセスを制限する

バックアップ ボルトの詳細を表示する手順は次のとおりです。

コンソール

  1. Google Cloud コンソールで、[バックアップ ボルト] ページに移動します。

    [バックアップ ボルト] に移動

    このページには、選択したプロジェクトの一部である Backup Vault が一覧表示されます。

  2. 表示する Backup Vault をクリックします。

    Backup Vault の詳細ページには、適用される最小保持期間の値やロック ステータスなどの構成情報が表示されます。

gcloud

  1. Backup Vault の詳細を表示します。

      gcloud backup-dr backup-vaults describe BACKUPVAULT_NAME \
  --location=LOCATION \
  --project=PROJECT_ID

    次のように置き換えます。

    • BACKUPVAULT_NAME: Backup Vault の名前。
    • LOCATION: Backup Vault のロケーション。
    • PROJECT_ID: Backup Vault が作成されるプロジェクトの名前。

既存の Backup Vault の適用する最短保持期間を更新する

ロックのステータスに基づいて、適用する最短保持期間を更新できます。

  • ロック解除: 適用する最小保持期間を延長または短縮できます。
  • ロック済み: 適用される最短保持期間を延長することのみ可能です。

発効日を過ぎている場合、ロックは削除できません。ただし、発効日に達していない場合は、ロックを解除して、最初に指定した発効日をクリアできます。

最小適用保持期間の値の変更は、更新後に作成されたバックアップにのみ適用されます。最短保持期間の値を変更しても、Backup Vault にすでに存在するバックアップの残りの適用済み保持期間には影響しません。

Backup Vault の適用される保持期間を延長する場合、Backup Vault の適用される保持期間は、Backup Vault に保存するバックアップのバックアップ プランの保持期間を超えないようにする必要があります。変更後の値がバックアップ保持期間よりも長い場合、Backup and DR サービスはバックアップ プランのタイプに基づいてこれらの変更を異なる方法で処理します。

  • Google Cloud コンソールベースのプラン: Backup Vault の値の変更は禁止されます。

  • 管理コンソール ベースのプラン: Backup Vault の値を変更できますが、関連するバックアップ プランを直ちに更新して、更新された Backup Vault の最小強制保持期間以上の保持期間を指定する必要があります。

    プランの保持期間が Backup Vault の最短保持期間よりも短い場合に生成されたバックアップは、Backup Vault の最短保持期間に設定された適用保持期間で作成されます。また、バックアップの有効期限は、適用されている保持期間が満了した後に設定されます。

既存の Backup Vault で適用する最短保持期間を更新する手順は次のとおりです。

コンソール

  1. Google Cloud コンソールで、[バックアップ ボルト] ページに移動します。

    [バックアップ ボルト] に移動

  2. バックアップ ボルトのリストで、更新する Backup Vault の名前をクリックします。

  3. アイコンをクリックします。

  4. [適用する最短保持期間の編集] ダイアログで、[新たに適用する最短保持期間] の値を入力します。これは、Backup Vault 内の各バックアップを削除できない期間です。最小値は 1 日、最大値は 99 年です。

  5. 適用する最短保持期間をロックする場合は、[適用する保持期間をロックする] チェックボックスをオンにして、カレンダーからロックの発効日を選択します。

  6. [保存] をクリックします。

gcloud

  1. 既存の Backup Vault の適用する最短保持期間を更新します。

      gcloud backup-dr backup-vaults update BACKUPVAULT_NAME\
  --project=PROJECT_ID \
  --location=LOCATION \
  --backup-min-enforced-retention=RETENTION_PERIOD_IN_DAYS

    次のように置き換えます。

    • BACKUPVAULT_NAME: Backup Vault の名前。
    • PROJECT_ID: Backup Vault が作成されるプロジェクトの名前。
    • LOCATION: Backup Vault のロケーション。
    • RETENTION_PERIOD_IN_DAYS: Backup Vault 内の各バックアップを削除できない期間。最小値は 1 日、最大値は 99 年です。

適用される保持期間のリソース制限

一部のリソースタイプを Backup Vault にバックアップする場合、Backup Vault の最小保持期間の設定との互換性に関する制限があります。

リソースの種類 適用される最短保持期間(バックアップ) 適用される最短保持期間(ログ) 手動での削除を防止する
AlloyDB for PostgreSQL 1 ~ 365 日 1 ~ 35 日 必須
Cloud SQL 1 日~ 10 年 該当なし 省略可
Compute Engine インスタンス 1 日~ 99 年 該当なし 省略可
Compute Engine ディスク 1 日~ 99 年 該当なし 省略可
Filestore 1 日~ 99 年 該当なし 省略可

バックアップ Vault を削除する

バックアップ Vault を削除するには、含まれているすべてのバックアップが適用されている保持期間を満たし、期限切れになるか手動で削除されるまで待つ必要があります。

含まれているすべてのバックアップが期限切れになったか削除された後に Backup Vault を削除する手順は次のとおりです。

コンソール

  1. Google Cloud コンソールで、[バックアップ ボルト] ページに移動します。

    [バックアップ ボルト] に移動

  2. 削除する Backup Vault をクリックします。

  3. [削除] をクリックします。

  4. 表示されたオーバーレイ ウィンドウで、Backup Vault とそのコンテンツを削除することを確認します。

  5. [削除] をクリックします。

gcloud

  1. バックアップ Vault を削除します。

      gcloud backup-dr backup-vaults delete BACKUPVAULT_NAME \
  --project=PROJECT_ID \
  --location=LOCATION

    次のように置き換えます。

    • BACKUPVAULT_NAME: Backup Vault の名前。
    • PROJECT_ID: Backup Vault が作成されるプロジェクトの名前。
    • LOCATION: Backup Vault のロケーション。

Backup Vault サービス エージェントとバックアップ/リカバリ アプライアンスへのアクセス権を付与する

作成された Backup Vault には、一意のサービス エージェントがリンクされています。一部のリソースタイプでは、サービス エージェントが Backup and DR サービス の代わりにアクションを実行するため、Backup Vault サービス エージェントがアクセスする必要があるプロジェクトに対する適切な権限を付与する必要があります。サービス エージェントは Google マネージド サービス アカウントです。詳細については、サービス エージェントをご覧ください。

Google Cloud VMware Engine、Oracle データベース、SQL Server データベースなど、一部のリソースタイプでは、Backup and DR のバックアップ/リカバリ アプライアンスが Backup Vault でアクションを実行する必要があります。このような場合、バックアップ/リカバリ アプライアンスには、Backup Vault に対する適切な権限が必要です。また、ターゲット Backup Vault には、UNRESTRICTED または WITHIN_ORG_BUT_UNRESTRICTED_FOR_BA のアクセス制限を設定する必要があります。

サービス アカウントにロールを付与する

サービス エージェントのメールアドレスを確認したら、他のプリンシパルにロールを付与する場合と同様に、Backup Vault のサービス エージェントにロールを付与できます。

バックアップ Vault が作成されたプロジェクトとは異なるプロジェクトにある Compute Engine VM インスタンスをバックアップするには、Compute Engine プロジェクト内のバックアップ Vault サービス エージェントに Backup and DR Compute Engine オペレーター(roles/backupdr.computeEngineOperator)IAM ロールを付与する必要があります。ただし、バックアップ Vault が作成されたプロジェクトと同じプロジェクトで Compute Engine VM インスタンスをバックアップする場合は、ロールを付与する必要はありません。

Compute Engine インスタンスを復元するには、復元プロジェクトの Backup and DR Compute Engine オペレータ(roles/backupdr.computeEngineOperator)IAM ロールを Backup Vault サービス エージェントに付与する必要があります。

サービス エージェントにロールを付与する手順は次のとおりです。

コンソール

  1. Google Cloud コンソールで、[バックアップ ボルト] ページに移動します。

    [バックアップ ボルト] に移動

  2. Backup Vault の名前をクリックして、サービス エージェントのメールアドレスをコピーします。

  3. Google Cloud コンソールで、[IAM] ページに移動します。

    IAM に移動

  4. [新しいプリンシパル] フィールドに、サービス エージェントのメールアドレスを入力します。

  5. [ロールを選択] リストから、リソースタイプに基づいて適切なロールを選択します。たとえば、Backup Vault が作成されたプロジェクトとは異なるプロジェクトにある Compute Engine インスタンスをバックアップするには、Backup and DR Compute Engine オペレーター(roles/backupdr.computeEngineOperator)IAM ロールを選択します。

  6. [保存] をクリックします。

gcloud

  1. サービス エージェントにロールを付与します。

      gcloud projects add-iam-policy-binding PROJECT_ID \
  --member='serviceAccount:SERVICE_ACCOUNT \
  --role=ROLE

    次のように置き換えます。

    • PROJECT_ID: プロジェクトの名前。
    • SERVICE_ACCOUNT: Backup Vault サービス エージェントのメールアドレス。例: my-service-account@my-project.iam.gserviceaccount.com
    • ROLE: リソース プロジェクトで付与する必要があるロール。たとえば、Backup Vault が作成されたプロジェクトとは異なるプロジェクトにある Compute Engine インスタンスをバックアップするには、Backup and DR Compute Engine オペレーター(roles/backupdr.computeEngineOperator)IAM ロールを選択します。

バックアップ/復元アプライアンスのサービス アカウントにロールを付与する

バックアップ/リカバリ アプライアンス プロジェクトから Backup Vault にアクセスできるのは、アプライアンス サービス アカウントに Backup Vault プロジェクトの Backup and DR Backup Vault アクセサー(roles/backupdr.backupvaultAccessor)IAM ロールが付与された後のみです。このロールがないと、Backup Vault にアクセスして、バックアップ作成を有効にする設定を完了できません。

バックアップ/リカバリ アプライアンスのサービス アカウントにロールを付与すると、アプライアンス管理コンソールを使用して、Google Cloud VMware Engine、Oracle データベース、SQL Server データベースを Backup Vault にバックアップして復元できます。

バックアップ/復元アプライアンスのサービス アカウントにロールを付与する手順は次のとおりです。

  1. Google Cloud コンソールで、アプライアンスが作成された [VM インスタンス] ページに移動します。

    [VM インスタンス] ページに移動

  2. サービス アカウントを取得する Compute Engine インスタンスをクリックします。

  3. [API と ID の管理] セクションで、[サービス アカウント] フィールドからサービス アカウントのメールアドレスをコピーします。

  4. Google Cloud コンソールで、Backup Vault プロジェクトの IAM ロールに移動します。

    IAM に移動

  5. [アクセス権を付与] をクリックします。

  6. [新しいプリンシパル] フィールドに、アプライアンスのサービス アカウントのメールアドレスを入力します。

  7. [ロールを選択] リストから、[Backup and DR バックアップ ボルト アクセサー] ロールを選択します。

  8. 省略可: バックアップ/リカバリ アプライアンスが特定の Backup Vault にのみアクセスできるように制限するには、[Backup and DR Backup Vault Accessor] ロールの横にある IAM の条件を追加] をクリックします。

    1. [タイトル] フィールドに、条件の名前を入力します。

    2. [条件エディタ] タブをクリックします。

      • [式 CEL エディタ] フィールドに、次の式を入力します。

        resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
/{name}/") == ("BACKUPVAULT_NAME") || resource.name.extract("projects/PROJECT_ID/locations/LOCATION/backupVaults
/{name}") == ("BACKUPVAULT_NAME") || resource.name.extract("operations/{op}") != ""

      次のように置き換えます。

      • BACKUPVAULT_NAME: Backup Vault の名前。
      • PROJECT_ID: Backup Vault が作成されるプロジェクトの名前。

      • LOCATION: Backup Vault のロケーション。

        追加のバックアップ ボルトのアクセス権を追加するには、必要に応じて追加の「resource.name.startsWith」ステートメント(「||」OR 論理演算子を使用)を追加します。

        たとえば、次のステートメントは、testproject というプロジェクトの us-central1 というロケーションにある bv-test という Backup Vault と user-bv1 という Backup Vault の両方を承認します。

        resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}/") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}") == ("bv-test") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}/") == ("user-bv1") || resource.name.extract("projects/testproject/locations/us-central1/backupVaults
/{name}") == ("user-bv1") || resource.name.extract("operations/{op}") != ""

    3. [保存] をクリックします。

  9. [保存] をクリックします。

次のステップ