バックアップのスケジュール設定

Cloud Scheduler と Cloud Run functions 用のクライアント サービス アカウントを作成する

1. まだ行っていない場合は、 Google Cloud コンソールで [Cloud Shell をアクティブにする] をクリックします。

2. Cloud Scheduler が Cloud Run functions の呼び出しに応じて実行するクライアント サービス アカウントを作成します。この例では、iam service-accounts create コマンドを使用してアカウント schedulerunner に名前を付け、表示名を「Service Account for FS Backups-Schedule」に設定します。

   gcloud iam service-accounts create schedulerunner \
       --display-name="Service Account for FS Backups-Scheduler"
   

3. Cloud Run functions が Filestore エンドポイントを呼び出すために実行するクライアント サービス アカウントを作成します。この例では、アカウントに backupagent という名前を付けて、表示名を「Service Account for FS Backups-GCF」に設定します。

   gcloud iam service-accounts create backupagent \
       --display-name="Service Account for FS Backups-GCF"
   

   サービス アカウントが作成されたかどうかを確認するには、iam service-accounts list コマンドを実行します。

   gcloud iam service-accounts list
   

   コマンドは次のような結果を返します。

   NAME                                         EMAIL                                                   DISABLED
   Service Account for FS Backups-GCF           backupagent@$PROJECT_ID.iam.gserviceaccount.com         False
   Service Account for FS Backups-Scheduler     schedulerunner@$PROJECT_ID.iam.gserviceaccount.com      False
   

環境変数を設定する

ローカル環境に、次の環境変数を設定します。

• Google Cloud プロジェクト ID とプロジェクト:

  export PROJECT_ID=`gcloud config get-value core/project`
  export PROJECT_NUMBER=`gcloud projects describe $PROJECT_ID --format="value(projectNumber)"`
  

• Cloud Scheduler サービス エージェント、および Cloud Scheduler と Cloud Run functions のクライアント サービス アカウント:

  export SCHEDULER_SA=service-$PROJECT_NUMBER@gcp-sa-cloudscheduler.iam.gserviceaccount.com
  export SCHEDULER_CLIENT_SA=schedulerunner@$PROJECT_ID.iam.gserviceaccount.com
  export GCF_CLIENT_SA=backupagent@$PROJECT_ID.iam.gserviceaccount.com
  

• Filestore インスタンス:

  export SOURCE_INSTANCE_LOCATION=fs-location
  export SOURCE_INSTANCE_NAME=instance-id
  export SHARE_NAME=file-share-name
  

  以下を置き換えます。

  • fs-location は、ソース Filestore インスタンスが存在するゾーンまたはリージョンに置き換えます。
  • instance-id は、Filestore インスタンスのインスタンス ID に置き換えます。
  • file-share-name は、インスタンスから提供される NFS ファイル共有に指定する名前。

• Filestore バックアップの環境変数を設定します。

  export BACKUP_REGION=backup-region
  

  backup-region は、バックアップを保存するリージョンに置き換えます。

バックアップを作成する関数を作成する

1. Google Cloud コンソールで、Cloud Run functions ページに移動します。

   [Cloud Run functions] ページに移動

2. [関数を作成] をクリックして、次のように関数を構成します。

   • 構成:
     • サービス名: この例では、関数に fsbackup と名前を付けます。
     • リージョン: この例では us-central1 を選択します。
     • ランタイム: メニューから、Cloud Run functions で完全にサポートされているサポート対象の Python 3 ランタイムを選択します。
   • トリガー:
     • この例では、トリガーを設定する必要はありません。
   • Authentication: Require authentication を選択します。
   • Ingress: All を選択します。
   • コンテナ、ボリューム、ネットワーキング、セキュリティ
     • [セキュリティ] タブに移動し、メニューから Service Account for FS Backups-GCF（backupagent@$PROJECT_ID.iam.gserviceaccount.com）を選択します。

3. [作成] をクリックし、次のように構成を続行します。

   • 関数のエントリ ポイント: 「create_backup」と入力します。

   • 次の依存関係を requirements.txt ファイルに追加します。

     functions-framework==3.*
     google-auth==2.29.0
     requests==2.31.0
     

     ユースケースによっては、他の依存関係、および対応するバージョン番号を指定しなければならない場合があります。詳細については、プリインストールされたパッケージをご覧ください。

   • インライン エディタを使用して、次の Python コードサンプルを main.py ファイルにコピーします。

     バックアップの作成

     このコードサンプルは、作成時間が付加された mybackup- という名前のバックアップを作成します。

     PROJECT_ID = 'project-id'
     SOURCE_INSTANCE_LOCATION = 'fs-location'
     SOURCE_INSTANCE_NAME = 'instance-id'
     SOURCE_FILE_SHARE_NAME = 'file-share-name'
     BACKUP_REGION = 'backup-region'
     
     import functions_framework
     import google.auth
     import google.auth.transport.requests
     from google.auth.transport.requests import AuthorizedSession
     import time
     import requests
     import json
     
     credentials, project = google.auth.default()
     request = google.auth.transport.requests.Request()
     credentials.refresh(request)
     authed_session = AuthorizedSession(credentials)
     
     def get_backup_id():
         return "mybackup-" + time.strftime("%Y%m%d-%H%M%S")
     
     @functions_framework.http
     def create_backup(request):
         trigger_run_url = "https://file.googleapis.com/v1/projects/{}/locations/{}/backups?backupId={}".format(PROJECT_ID, BACKUP_REGION, get_backup_id())
         headers = {
           'Content-Type': 'application/json'
         }
         post_data = {
           "description": "my new backup",
           "source_instance": "projects/{}/locations/{}/instances/{}".format(PROJECT_ID, SOURCE_INSTANCE_LOCATION, SOURCE_INSTANCE_NAME),
           "source_file_share": "{}".format(SOURCE_FILE_SHARE_NAME)
         }
         print("Making a request to " + trigger_run_url)
         r = authed_session.post(url=trigger_run_url, headers=headers, data=json.dumps(post_data))
         data = r.json()
         print(data)
         if r.status_code == requests.codes.ok:
           print(str(r.status_code) + ": The backup is uploading in the background.")
         else:
           raise RuntimeError(data['error'])
         return "Backup creation has begun!"
     

     次のように置き換えます。

     • project-id は、ソース Filestore インスタンスの Google Cloud プロジェクト ID に置き換えます。
     • fs-location は、ソース Filestore インスタンスのゾーンまたはリージョンに置き換えます。
     • instance-id を、ソース Filestore インスタンスの名前に置き換えます。
     • file-share-name を、ファイル共有の名前に置き換えます。
     • backup-region を、バックアップを保存するリージョンに置き換えます。

     1. [テスト] をクリックします。

        Cloud Shell で新しいタブ セッションが開きます。成功すると、次のメッセージが返されます。

        Backup creation has begun!
        

     2. [保存して再デプロイ] をクリックし、デプロイが完了するまで待ちます。

     3. 前の Cloud Shell タブに戻ります。

     バックアップを削除する

     このサンプルコードは、事前定義された期間よりも古いバックアップを削除します。

     一度に削除できるバックアップは、ソース インスタンスごとに 1 つだけです。詳細については、バックアップをご覧ください。

     この関数は、次の変更を加えて、バックアップの作成に使用した関数と同じように構成します。

     • 関数名: deletefsbackup。
     • エントリ ポイント: delete_backup。

     PROJECT_ID = 'project-id'
     BACKUP_REGION = 'region'
     BACKUP_RETENTION_TIME_HRS = hours
     
     import functions_framework
     import google.auth
     import google.auth.transport.requests
     from google.auth.transport.requests import AuthorizedSession
     import time
     import requests
     import json
     
     credentials, project = google.auth.default()
     request = google.auth.transport.requests.Request()
     credentials.refresh(request)
     authed_session = AuthorizedSession(credentials)
     
     retention_seconds = BACKUP_RETENTION_TIME_HRS * 60 * 60
     
     @functions_framework.http
     def delete_backup(request):
         now = time.time()
         backup_list = []
         trigger_run_url = "https://file.googleapis.com/v1/projects/{}/locations/{}/backups".format(PROJECT_ID, BACKUP_REGION)
         r = authed_session.get(trigger_run_url)
         data = r.json()
         if not data:
             print("No backups to delete.")
             return "No backups to delete."
         else:
             backup_list.extend(data['backups'])
             while "nextPageToken" in data.keys():
                 nextPageToken = data['nextPageToken']
                 trigger_run_url_next = "https://file.googleapis.com/v1/projects/{}/locations/{}/backups?pageToken={}".format(PROJECT_ID, BACKUP_REGION, nextPageToken)
                 r = authed_session.get(trigger_run_url_next)
                 data = r.json()
                 backup_list.extend(data['backups'])
         for i in backup_list:
             backup_time = i['createTime']
             backup_time = backup_time[:-4]
             backup_time = float(time.mktime(time.strptime(backup_time, "%Y-%m-%dT%H:%M:%S.%f")))
             i['backup_timestamp'] = backup_time
         sorted_backup_list = sorted(backup_list, key=lambda d: d['backup_timestamp'])
         oldest_backup = sorted_backup_list[0]
         if now - oldest_backup['backup_timestamp'] > retention_seconds:
             print(oldest_backup['name'] + " is older than the indicated retention time.")
             r = authed_session.delete("https://file.googleapis.com/v1/{}".format(oldest_backup['name']))
             data = r.json()
             print(data)
             if r.status_code == requests.codes.ok:
                 print(str(r.status_code) + ": Deleting " + oldest_backup['name'] + " in the background.")
             else:
                 raise RuntimeError(data['error'])
             return "Backup deletion has begun!"
         return "All backups are within the indicated retention period."
     

     次のように置き換えます。

     • project-id は、バックアップの Google Cloud プロジェクト ID に置き換えます。
     • region は、バックアップが存在するリージョンです。バックアップ、Scheduler ジョブ、関数はすべて同じロケーションに存在する必要があります。
     • hours をバックアップを保持する時間に置き換えます。たとえば、バックアップを 10 日間保持する場合は「240」を入力します。

クライアント サービス アカウントに IAM のロールを割り当てる

1. Cloud Scheduler サービス エージェントを、roles/cloudscheduler.serviceAgent のロールを持つ Cloud Scheduler クライアント サービス アカウントの IAM ポリシーに追加します。これにより、サービス エージェントは、バックアップを作成する関数を呼び出すために、クライアント サービス アカウントの権限を借用できます。iam service-accounts add-iam-policy-binding コマンドを実行する

   gcloud iam service-accounts add-iam-policy-binding $SCHEDULER_CLIENT_SA \
       --member=serviceAccount:$SCHEDULER_SA \
       --role=roles/cloudscheduler.serviceAgent
   

2. Cloud Run functions のクライアント サービス アカウントに roles/file.editor ロールを付与して、Filestore エンドポイントを呼び出せるようにします。projects add-iam-policy-binding コマンドを実行する

   gcloud projects add-iam-policy-binding $PROJECT_ID \
       --member=serviceAccount:$GCF_CLIENT_SA \
       --role=roles/file.editor
   

3. Cloud Scheduler のクライアント サービス アカウントに、使用する関数の roles/run.invoker ロールを付与します。次の run services add-iam-policy-binding コマンドを実行します。

   バックアップの作成

   gcloud run services add-iam-policy-binding fsbackup \
       --member serviceAccount:$SCHEDULER_CLIENT_SA \
       --role roles/run.invoker \
       --region=us-central1
   

   これで、Cloud Scheduler のクライアント サービス アカウントだけが fsbackup を呼び出せるようになりました。

   バックアップを削除する

   gcloud run services add-iam-policy-binding deletefsbackup \
       --member serviceAccount:$SCHEDULER_CLIENT_SA \
       --role roles/run.invoker
   

   これで、Cloud Scheduler のクライアント サービス アカウントだけが deletefsbackup を呼び出せるようになりました。

指定されたスケジュールで関数をトリガーする Cloud Scheduler ジョブを作成する

バックアップの割り当て不足のアラート

バックアップのスケジュールを実装すると、バックアップの割り当てが不足するおそれがあります。その場合、バックアップの割り当て不足のアラートを設定することをおすすめします。そうすれば、バックアップの割り当てが不足している際に通知を受け取ることができます。