このページでは、デフォルトのクラウド認証情報の概要と、管理コンソールでバックアップ/リカバリ アプライアンスの新しい認証情報を追加する方法について説明します。
Cloud 認証情報は、バックアップ/復元アプライアンスが Compute Engine API や Cloud Storage バケットなどのプロジェクト リソースにアクセスして Compute Engine インスタンスをバックアップおよび復元できるようにするサービス アカウントへのポインタです。
Compute Engine インスタンスのバックアップまたは復元中、バックアップ/復元アプライアンスは認証情報のサービス アカウントを使用してインスタンスのスナップショットを取得し、インスタンス メタデータ(VM 構成、ネットワーク、タグなど)を OnVault プールを介して Cloud Storage バケットにアップロードします。インスタンス スナップショットを作成したアプライアンスが使用できない場合は、Cloud Storage バケットに保存されているメタデータを使用して、別のアプライアンスを使用してバックアップにアクセスできます。永続ディスクのスナップショット イメージをインポートするをご覧ください。
デフォルトのクラウド認証情報
デフォルトのクラウド認証情報は、バージョン 11.0.2 以降のバックアップ/リカバリ アプライアンスをデプロイすると自動的に作成されます。この認証情報は、プロジェクト内のアプライアンスに接続されているサービス アカウントに基づいて作成されます。この認証情報を使用すると、OnVault プールとサービス アカウントを作成することなく、Compute Engine インスタンスの検出と保護のプロセスを簡素化できます。管理コンソールで、[管理] > [認証情報] に移動すると、[クラウド認証情報] ページでこのデフォルトのクラウド認証情報を確認できます。
[クラウド認証情報] ページのデフォルトのクラウド認証情報は、アプライアンス名に基づいて表示されます。たとえば、バックアップ/リカバリ アプライアンスの名前が ba-name の場合、デフォルトのサービス アカウント名は *ba-name@developer.gserviceaccount.comと表示されます。値 project-id はプロジェクト ID です。このデフォルトのクラウド認証情報は編集または削除できません。表示のみ可能です。
デフォルトのクラウド認証情報は、自動作成された OnVault プールを参照します。このプールは、自動作成された Cloud Storage バケットを参照します。Cloud Storage バケットには、VM インスタンスによって作成された Cloud Storage バケットが保持されます。Cloud Storage バケットには VM インスタンスの構成とメタデータが保持され、バックアップ テンプレートが Compute Engine インスタンスに割り当てられたときに実行時に自動的に作成されます。Cloud Storage バケットのロケーションは、バックアップ テンプレートで構成された永続ディスク スナップショットの保存場所またはリージョンに基づいて決定されます。
インスタンスのリージョンまたはマルチリージョンを変更した場合や、最初のスナップショットが正常に実行された後にポリシーのオーバーライドが適用された場合でも、OnVault プールは自動的に作成されます。このように、このサービスにより、永続ディスクデータとインスタンス VM 構成の両方が同じ場所に配置されます。
デフォルトのクラウド認証情報の場合、IAM ロール Backup and DR Cloud Storage Operator は、バックアップ/リカバリ アプライアンスに接続されているサービス アカウントに自動的に割り当てられます。Compute Engine インスタンスをバックアップするには、IAM ロール Backup and DR Compute Engine Operator を手動で割り当てる必要があります。
Google Cloud コンソールで、[Cloud Storage] > [バケット] に移動して、アプライアンスの対応する Cloud Storage バケットを表示します。
ストレージ バケットは、アプライアンスがデプロイされているプロジェクトに <backup/recovery-appliance-name>-<random-string>-<region/multi-region> という名前で作成され、次のプロパティが設定されます。
- ストレージ クラス: Standard
- オブジェクト アクセス制御: 均一
- バケットのロケーション: Persistent Disk スナップショットのロケーションと同じ
- オブジェクトのバージョニング: バケットにオブジェクトのバージョニングまたは保持が設定されていない
アクセス: バケットへの公開アクセスなし
Cloud 認証情報を追加する
バックアップと DR サービスには、バックアップ/リカバリ アプライアンス用に手動でクラウド認証情報を作成する機能があります。新しいクラウド認証情報を作成するには、まず新しい OnVault プールを作成する必要があります。OnVault プールの手順をご覧ください。クラウド認証情報を追加する手順は、バックアップ/リカバリ アプライアンスのソフトウェア バージョンによって異なります。使用しているバージョンを確認するには、[管理] > [アプライアンス] に移動し、[バージョン] 列を確認します。
次の表に、デプロイされたアプライアンス バージョンでの Cloud 認証情報の動作を示します。
| 元のアプライアンス バージョン | アプライアンスのアップグレード バージョン | Cloud 認証情報の使用 |
|---|---|---|
| 11.0.1* | 11.0.2 以降 | 既存のクラウド認証情報は引き続き JSON キーを使用します。ただし、クラウド認証情報の JSON キーをアプライアンスのサービス アカウント認証情報に置き換えることができます。 |
| 11.0.2 以降 | 該当なし | JSON 鍵を使用しないデフォルトのクラウド認証情報が自動的に作成されます。 デフォルトの Cloud 認証情報をご覧ください。 |
*2023 年 1 月より前にデプロイされたアプライアンスは、ほとんどの場合バージョン 11.0.1 でデプロイされています。
11.0.2 以降を実行しているアプライアンスのクラウド認証情報を追加する
Cloud 認証情報を作成するには、認証情報の名前と、バックアップ データを保存する OnVault プールを定義する必要があります。サービス アカウントは、選択したバックアップ/リカバリ アプライアンスに接続されているサービス アカウントに基づいて自動的に入力されます。OnVault を作成します(まだ作成していない場合)。
クラウド認証情報を追加する前に、アプライアンスに接続されているサービス アカウントにロール Backup and DR Compute Engine Operator を割り当てます。
次の手順で、11.0.2 以降で実行されているアプライアンスの Google Cloud 認証情報を追加します。
[管理] をクリックし、プルダウン メニューから [認証情報] を選択します。
[Cloud 認証情報] ページが開き、認証情報がすでに追加されている場合は、管理コンソールで管理されているすべてのクラウド認証情報が一覧表示されます。
[Add Google Cloud Credentials] をクリックします。
[認証情報名] に、認証情報を識別する一意の名前を追加します。
デフォルト ゾーンを選択します。デフォルトのゾーンは、プロジェクト内の Compute Engine VM を検出するときにデフォルトで使用するゾーンを決定するために使用されます。検出時に別のゾーンを選択することもできます。
[アプライアンス] プルダウンで、認証情報を関連付けるアプライアンスを選択します。[サービス アカウント] フィールドには、そのアプライアンスに接続されているサービス アカウントが自動的に入力されます。
OnVault プールを選択します。プールは、選択したアプライアンスに基づいて表示されます。OnVault プールを追加するには、OnVault プールの手順を使用します。
[追加] をクリックします。
管理コンソールから、選択したアプライアンスにクラウド認証情報を検証するリクエストが送信されます。検証に成功すると、認証情報が登録されます。Cloud 認証情報を作成すると、Cloud Storage プールと、Cloud 認証情報の名前を接頭辞とするリソース プロファイルが自動的に作成されます。
バージョン 11.0.2 以前を実行しているアプライアンスのクラウド認証情報を追加する
アプライアンスを最新バージョンに更新することをおすすめします。バックアップ/リカバリ アプライアンスを更新する手順をご覧ください。
バージョン 11.0.1 以前を実行しているアプライアンスで OnVault プールを作成するには、JSON キーを手動でアップロードする必要があります。JSON 形式でサービス アカウント キーを作成してダウンロードする手順については、サービス アカウント キーを作成するをご覧ください。
バックアップ/復元アプライアンスが 11.0.2 以降に更新されるまで、JSON キーを手動でアップロードする必要があります。認証情報の名前と、バックアップ データを保存する OnVault プールを定義する必要があります。OnVault がない場合は、OnVault プールを作成するの手順をご覧ください。
アプライアンスの Google Cloud 認証情報を追加する手順は次のとおりです。
- [管理] をクリックし、プルダウン メニューから [認証情報] を選択します。[Cloud 認証情報] ページが開き、認証情報がすでに追加されている場合は、管理コンソールで管理されているすべてのクラウド認証情報が一覧表示されます。
- [Add Google Cloud Credentials] をクリックします。
- [認証情報名] に、認証情報を識別する一意の名前を追加します。
- [デフォルト ゾーン] を選択します。デフォルトのゾーンは、Compute Engine 検出の実行時に最初に検索するゾーンを決定するために使用されます。検出ツールを実行するたびに別のゾーンを選択できます。
- [アプライアンス] プルダウンで、認証情報を関連付けるアプライアンスを選択します。この認証情報にアクセスできるのは、選択したアプライアンスのみです。
- [認証情報 JSON] フィールドで [ファイルを選択] をクリックし、JSON 形式で保存されているサービス アカウント キーをインポートします。サービス アカウントとプロジェクト ID は、JSON キーファイルから取得されます。プロジェクト ID は必要に応じて変更できます。
- OnVault プールを選択します。プールは、選択したアプライアンスに基づいて表示されます。OnVault プールを追加するには、OnVault プールをご覧ください。
- [追加] をクリックします。
管理コンソールから、選択したアプライアンスにクラウド認証情報を検証するためのリクエストが送信されます。検証に成功すると、認証情報が登録されます。Cloud 認証情報を作成すると、Cloud プールと、Cloud 認証情報の名前を接頭辞とするリソース プロファイルが自動的に作成されます。
Cloud 認証情報を編集する
アプライアンスの既存のクラウド認証情報を編集する手順は次のとおりです。
- [管理] をクリックし、プルダウン メニューから [認証情報] を選択します。[Cloud 認証情報] ページが開き、管理コンソールによって管理されるアプライアンスに保存されているすべての認証情報が一覧表示されます。
- 変更する認証情報を選択し、ページの右下にある [編集] を選択します。[認証情報の編集] ページが開きます。認証情報を右クリックし、プルダウン メニュー オプションから [編集] を選択することもできます。
- 11.0.2 以降で実行されているアプライアンスを更新する場合は、名前、デフォルト ゾーン、組織属性、OnVault プールを更新できます。
11.0.2 以前のバージョンで実行されているアプライアンスを更新する場合:
認証情報を次のように変更します。
- 名前、デフォルトのリージョン、デフォルトのゾーン、組織属性のいずれかを更新する場合、JSON キーファイルなどのクラウド アクセス情報を指定する必要はありません。
- クラウド認証情報の情報を更新する場合や、アプライアンスを追加する場合は、認証情報の作成に使用したクラウド アクセス情報を指定するよう求められます。
データを保存する追加のアプライアンスを選択できます。
別のプールが使用可能な場合は、OnVault プールを変更できます。
[保存] をクリックして変更を適用します。
JSON キーのクラウド認証情報をアプライアンスのサービス アカウント認証情報に置き換える
認証に JSON キーを使用して作成されたクラウド認証情報がある場合、その認証情報をアプライアンスのサービス アカウント認証で使用するように切り替えることはできません。代わりに、新しいクラウド認証情報を作成し、バックアップ プランを変更して、クラウド認証情報で自動的に作成されたプロファイルを割り当てます。
次の手順に沿って、JSON キーのクラウド認証情報をアプライアンスのサービス アカウント認証情報に置き換えます。
- アプライアンスのサービス アカウントを使用して、新しい Cloud 認証情報を作成します。これにより、<new credentialname>_Profile という名前の新しいリソース プロファイルが作成されます。
- [App Manager] に移動し、[アプリケーション] を選択します。
- 古い Cloud 認証情報を使用してすべての Compute Engine インスタンスを検索します。<old credentialname>_Profile という形式のプロフィール名を特定します。
- 管理対象アプリケーションのバックアップ プラン管理を変更するのトピックの手順に沿って、使用しているプロファイルを新しいプロファイルに更新します。
新しいイメージはすべて、新しく作成されたクラウド認証情報を使用します。以前にそのプールで作成されたすべてのイメージが期限切れになるまで、古い Cloud 認証情報の定義を削除することはできません。
Cloud 認証情報を削除する
認証情報を削除する前に、この認証情報を使用して検出されたすべてのアプリケーションとホストの保護を解除して削除してから、認証情報を削除します。
クラウド認証情報を削除する手順は次のとおりです。
- [管理] をクリックし、プルダウン メニューから [認証情報] を選択します。
- 必要な認証情報を右クリックして、[削除] を選択します。
- [確認] をクリックします。
バックアップと DR の Compute Engine ガイド
バックアップと DR の Compute Engine ガイド
- クラウド認証情報を確認する
- Compute Engine インスタンスの検出と保護
- Compute Engine インスタンスのバックアップ イメージをマウントする
- Compute Engine インスタンスを復元する
- Persistent Disk スナップショット イメージをインポートする