このページでは、Vaulted リソースのデフォルトのバックアップ プラン、そのメリット、仕組み、制限事項について説明します。
バックアップと DR サービスは、バックアップ プランを使用して、データリソースのバックアップのタイミングと方法、バックアップの保持期間とセキュリティを制御します。ニーズに合わせてさまざまなバックアップ プランを作成できます。Backup and DR サービスには、Compute Engine インスタンスを保護するためのデフォルトのバックアップ プランが用意されています。
Backup and DR サービスのデフォルトのバックアップ プランの概要
Google Cloud コンソールで作成されたバックアップ プランと同様のデフォルトのバックアップ プランを使用すると、Compute Engine VM を保護するための効率的なアプローチが可能になります。プロジェクトで Backup and DR サービスを有効にして、VM を作成するために必要な権限がある場合は、新しい Compute Engine VM にデフォルトのバックアップ プランを自動的に適用できます。デフォルトのバックアップ プランを使用すると、Backup and DR サービスでバックアップ プランを手動で作成する必要がなくなり、VM のベースライン レベルの保護が作成されます。
デフォルトのバックアップ プランの設定
デフォルトのバックアップ プランでは、毎日バックアップが作成されます。バックアップはデフォルトの Backup Vault に 14 日間保存されます。このうち、最初の 1 日間は変更できません。14 日間の残りの期間は、承認されたユーザーがバックアップを削除できます。14 日後にバックアップは自動的に削除されます。
| 設定 | 値 |
|---|---|
| バックアップ スケジュール | リージョンのローカル タイムゾーンで 00:00 ~ 06:00 の間。 |
| ストレージ | デフォルトの Backup Vault |
| 保持 | 14 日 |
| 適用される保持期間 | 1 日 |
バックアップ スケジュールと保存期間は、バックアップ プランで変更できます。
適用する保持期間は、バックアップ ボルトを編集することで変更できます。
デフォルトのバックアップ プランが組織の要件を満たしていない場合は、VM の作成時に別のプランを選択するか、[バックアップなし] オプションを使用してオプトアウトできます。
利点
デフォルトのバックアップ プランには、次の利点があります。
- データ保護の強化: デフォルトのバックアップ プランにより、 Google Cloud コンソールで作成されたすべての新しい VM の保護のベースライン レベルが向上します。これにより、誤削除、サイバー攻撃、その他の予期しないイベントによるデータ損失のリスクを最小限に抑えることができます。
- データ保護管理の簡素化: デフォルトのバックアップ プランが自動的に適用されるため、手動で構成する必要がなくなり、初日から VM を簡単に保護できます。
- ベスト プラクティスを推進する: デフォルトのバックアップ プランは、 Google Cloud 環境全体で堅牢なデータ保護を推進します。
Compute Engine インスタンスのデフォルトのバックアップ プランの仕組み
新しい Compute Engine インスタンスを作成するときに、Compute Engine インスタンスでデフォルトのバックアップ プランを使用するか、手動構成で新しいバックアップ プランを作成するかを指定できます。デフォルトのバックアップ プラン オプションのままにすると、同じプロジェクト内にデフォルトの Backup Vault が自動的に作成されます。この Backup Vault の最小保持期間は 1 日です。デフォルトの Backup Vault では保持期間はロックされませんが、最短保持期間を変更して保持ロックを有効にすることはできます。手順については、既存の Backup Vault の最小保持期間を更新するをご覧ください。デフォルトのバックアップ プランは、作成後に変更できません。Compute Engine インスタンスのサポートされているリージョンごとに適用できるデフォルトのバックアップ プランは 1 つだけです。
デフォルトのバックアップ プランでは、ワークロードのローカル タイムゾーンの 0 時から 6 時までの間に、毎日自動的にバックアップが作成されます。これらのバックアップは、デフォルトの Backup Vault に 14 日間保持されます。デフォルトのバックアップ プランには、1 日間のバックアップ削除ポリシーが設定されています。
デフォルトのバックアップ プランの名前は default-compute-instance-plan-<region> です。サポートされているリージョンごとに 1 つのデフォルトのバックアップ プランがあります。このプランでは、リージョン内の関連付けられたすべての Compute Engine インスタンスに対して同じ保護が提供されます。
デフォルトのバックアップ プランは、 Google Cloud コンソールで作成された新しい Compute Engine VM でのみ使用できます。既存の VM やそのデータ保護構成には影響しません。マルチリージョン Persistent Disk スナップショットを使用して VM を保護している場合は、マルチリージョン Backup Vault に保護を手動で構成できます。
制限事項
- Backup and DR サービスでサポートされていないリージョンで VM が作成された場合、デフォルトのバックアップ プランは使用できません。
- デフォルトのバックアップ プランは、Compute Engine インスタンスが存在するリージョンでのみ使用できます。
- リージョンごとに適用できるデフォルトのバックアップ プランは 1 つだけです。
新しい Compute Engine 仮想マシンのデフォルトのバックアップ プラン
Backup and DR サービスでは、 Google Cloud コンソールを使用して作成された新しい Compute Engine VM のデフォルトのバックアップ プランが導入されています。必知事項は次のとおりです。
新しい Compute Engine VM への影響
Google Cloud コンソールを使用して作成された新しい Compute Engine VM には、プロジェクトで Backup and DR Service が有効になっており、VM を作成するユーザーに必要な権限がある場合、デフォルトのバックアップ プランが自動的に適用されます。
利点
Google は、Compute Engine で貴重なデータとワークロードを保護することの重要性を認識しています。この変更の目的は次のとおりです。
- データ保護の強化: デフォルトのバックアップ プランにより、 Google Cloud コンソールで作成されたすべての新しい VM のベースライン レベルの保護が強化されます。これにより、誤削除、サイバー攻撃、その他の予期しないイベントによるデータ損失のリスクを最小限に抑えることができます。
- データ保護管理を簡素化する: デフォルトのバックアップ プランが自動的に適用されるため、手動で構成する必要がなくなり、初日から VM を簡単に保護できます。
- ベスト プラクティスを推進する: この変更により、 Google Cloud 環境全体で堅牢なデータ保護対策の導入が促進されます。
この機能強化により、ワークロードの保護の基盤レベルが向上し、ビジネスの他の重要な側面に集中できるようになります。
既存の VM への影響
この変更は、既存の VM や現在のデータ保護構成には影響しません。影響を受けるのは、Google Cloud コンソールで作成された新しい VM のみです。
自動化または Terraform を使用して作成された VM への影響
Google Cloud CLI、Terraform、または他の API を使用して作成された VM は、この変更の影響を受けません。
Q: デフォルトのバックアップ プランをオプトアウトできますか?
A: はい。 Google Cloud コンソールの VM 作成プロセスで、バックアップ プランをオプトアウトするか、別のバックアップ プランを選択できます。これらのオプションは、新しい [データ保護] タブにあります。プロジェクトのデフォルトを構成して、任意の値に設定します。
A: いいえ。タグベースの保護など、既存の Backup and DR 保護は変更されません。この更新は、この機能のリリース後に Cloud コンソールで作成された新しい VM にのみ影響します。タグベースの保護では、VM にデフォルト プランがあるかどうかを識別できます。タグが適用されている場合、インスタンスが二重に保護されることはありません。タグベースの保護を使用する場合は、VM を [バックアップなし] としてマークし、VM にタグ付けを続行する必要があります。
Q: 既存の Backup and DR 保護を維持するために、何か対応が必要ですか?
A: お客様側でご対応いただく必要はございません。既存の VM とそれに関連付けられたバックアップ構成は自動的に変更されません。
Q: デフォルト プランを使用して、この新しい保護スキームに移行する必要がありますか?
A: ユーザーの具体的なニーズと現在の設定によって異なります。次の要素を考慮してください。
- 使いやすさ: デフォルト プランは、基本的な VM 保護のための基本的なソリューションを提供します。毎日バックアップが取得され、14 日間保持されます。
- カスタマイズ: デフォルトのプランが組織の要件を満たしていない場合は、VM の作成時に別のプランを選択するか、[バックアップなし] オプションを使用してオプトアウトできます。
Q: マルチリージョン Persistent Disk スナップショットを使用して VM を保護している場合、新しい VM をリージョン バックアップ ボルトに移動したくないことがあります。どうすればよいですか?(プレビュー)
A: 保護は、マルチリージョン Backup Vault に手動で構成できます。
Q: Backup and DR のお客様ですが、VM を保護していません(データベースのみなど)。これは、新しい VM がバックアップ Vault で保護されるようになるということですか?
A: はい。 Google Cloud コンソールから新しい VM を作成し、必要な権限で Backup and DR サービスが有効になっている場合は、デフォルトのバックアップ プランと関連付けられたデフォルトの Vault で保護されます。別のバックアップ プランを使用する場合は、VM の作成時に選択できます。この新しい機能を使用して VM を保護しない場合は、[バックアップなし] オプションを選択します。
Q: この新しいデフォルトのバックアップ プランは、現在の永続ディスク保護(スナップショットを使用している場合)と比較してどうですか?
A: どちらもデータ保護を提供しますが、重要な違いがあります。
- スナップショット: 個々のディスクのバックアップ。悪意のあるユーザーがスナップショットが存在するプロジェクトにアクセスした場合、サイバー攻撃や悪意のある削除の影響を受けやすい。
- Backup and DR: ランサムウェア攻撃や悪意のある削除から保護する Backup Vault にバックアップを保存する機能を提供します。バックアップ ストレージとその強制保持の両方の期間を定義します。
Q: バックアップ プランのデフォルトの保護を使用する必要がありますか?
A: 最終的には、組織固有の要件と優先度によって決まります。デフォルトのバックアップ計画により、すべての VM にベースライン レベルの保護が適用されるため、安心してご利用いただけます。保護を削除して永続ディスク スナップショットの使用に切り替えるか、Backup and DR 内で別のバックアップ プランを選択してバックアップを取得できます。複雑なバックアップのニーズがある場合は、特定のワークロード用に独自のバックアップ プラン ポリシーを構成することをおすすめします。
Q: 作成された VM がバックアップ プランでサポートされていない別のリージョンにある場合はどうなりますか?
A: VM が Backup and DR でサポートされていないリージョンで作成されている場合、ユーザーはデフォルトのバックアップ プランを使用できません。
Q: 組織のポリシーを使用してこの機能を無効にできますか?
A: いいえ。組織のポリシーを使用してこの機能を無効にすることはできません。VM を保護しない場合は、[バックアップなし] オプションを選択します。また、Compute Engine の設定ページでデフォルト構成をカスタマイズすることもできます。
Q: デフォルトのバックアップ プランを使用するには、どのような権限が必要ですか?
A: IAM 設定内でカスタムロールを使用している場合は、バックアップ プランを使用するために backupdr.serviceConfig.initialize 権限が必要です。Backup and DR Admin や Backup and DR User V2 などの Backup and DR の事前定義ロールのいずれかを使用している場合、権限は自動的に使用可能になります。computeAdmin ロールまたは computeInstanceAdmin ロールを使用している場合は、これらのロールにも権限が自動的に追加されています。roles/compute.admin、roles/compute.instanceAdmin、roles/compute.instanceAdmin.v1 の各ロールに追加する権限の最終リストは次のとおりです。
backupdr.backupPlans.useForComputeInstancebackupdr.serviceConfig.initializebackupdr.backupPlanAssociations.createForComputeInstancebackupdr.backupPlanAssociations.deleteForComputeInstancebackupdr.backupPlanAssociations.triggerBackupForComputeInstancebackupdr.backupPlanAssociations.listbackupdr.locations.list
Q: その他の質問はどこに問い合わせればよいですか?
A: ご不明な点がございましたら、gcbdr-default-backup-plans@google.com までお問い合わせください。