ストレージとデータ転送

プロジェクト間のバックアップと復元により GKE のデータ保護を強化

2025年7月29日

Ranjith Kumar Palthi

Product Manager

Try Gemini 2.5

Our most intelligent model is now available on Vertex AI

※この投稿は米国時間 2025 年 7 月 12 日に、Google Cloud blog に投稿されたものの抄訳です。

Google Kubernetes Engine（GKE）のデプロイの拡大とスケーリングに伴い、Google Cloud でマルチプロジェクト戦略を採用することが、セキュリティと環境を重視する組織にとってのベストプラクティスになります。開発環境、テスト環境、本番環境に個別のプロジェクトを使用することで明確な境界が生まれ、システムの分離性が高まり、アクセス制御がしやすくなります。

しかし、分離によってデータ保護の課題が生じます。これらのプロジェクト境界を越えてバックアップを効果的に管理するにはどうすればよいでしょうか。ネイティブソリューションがない場合、バックアップの一元化、IAM による職務分掌の明確化、確実な障害復旧体制の構築はすべて複雑なタスクとなり、多くの場合、チームはカスタムスクリプトや非効率的な手動プロセスに頼らざるを得なくなります。

プロジェクト間のバックアップと復元の概要

この問題を解決するために、現在プレビュー版の Backup for GKE では、プロジェクト間のバックアップと復元がサポートされています。この新機能により、1 つの Google Cloud プロジェクトの GKE クラスタからワークロードをバックアップし、2 つ目のプロジェクトに安全に保存して、3 つ目のプロジェクトのクラスタに復元できます。これは、データ保護の効率化、セキュリティポスチャーの強化、運用ワークフローの柔軟性向上につながります。バックアップを別の分離されたプロジェクトとリージョンに保存することは、最新の障害復旧に不可欠であり、リージョンの停止や Google Cloud プライマリプロジェクトでの侵害が発生した場合でも復旧機能を保護し、レジリエントなインフラストラクチャの基盤となります。この分離により、規制遵守が簡素化されるとともに、潜在的なインシデントの影響拡大を防いでセキュリティが強化され、RTO/RPO の目標達成にも役立ちます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/image1_LRWNdWl.max-1300x1300.png

プロジェクト間のバックアップと復元の主なメリット

バックアップの一元管理: 各クラスタのバックアッププランを、選択したバックアッププロジェクトに指定することで、複数の Google Cloud プロジェクトの GKE バックアップを 1 つのプロジェクトに統合します。このシンプルな構成により、チームは 1 つのコントロールプレーンでモニタリングを監視し、バックアップポリシーを管理できます。
強化された障害復旧: GKE バックアップを別のプロジェクトとリージョンに保存することで、重要な分離レイヤが提供され、リージョン停止などのイベントに対する復元力が向上します。ソースリージョンが利用できなくなった場合は、バックアッププロジェクトから復元プランを作成して、別のプロジェクトのクラスタにワークロードを復元できます。
オペレーションの効率化: シード、クローン、コラボレーション環境間でのデータのコピーが簡略化されるため、プロジェクトをまたぐ機能によって開発ライフサイクルにアジリティがもたらされます。本番環境のバックアップデータをテストに活用したり、アプリケーション環境全体を迅速に複製したりすることが可能です。

環境のシードとクローン: 以前のバックアップからデータをステージング環境に投入したり、サンドボックスを作成したりできます。バックアッププロジェクトにある既存のバックアッププランを使用して復元プランを作成し、シード用の本番環境からのバックアップや、クローン作成用の開発環境からのバックアップなど、バックアップを選択して、任意の他のプロジェクトのクラスタを宛先として指定します。これにより、テスト環境と分離されたサンドボックスを作成できます。
チーム間のコラボレーションの効率化: すべてのバックアップは一元化されたバックアッププロジェクトに保存されるため、別のチームの開発者に対して委任された復元管理者などのロールを割り当て、特定のバックアッププランとそれに関連するすべてのバックアップに対する読み取り権限を付与できます。権限を付与された開発者は、他のチームのライブソースプロジェクトにアクセスすることなく、そのバックアップを使用してクラスタを復元することが可能です。

セキュリティとコンプライアンスの職務分掌を実現バックアップを専用のプロジェクトに分離することで、責任を明確に割り当て、最小権限の原則を適用できます。アプリケーションチームに、中央のバックアップリポジトリを制御する権限を与えることなく、自分たちのプロジェクト内でアプリケーションをバックアップおよび復元するセルフサービス権限を付与することが可能です。中央のプラットフォームチームまたは運用チームにバックアッププロジェクトの管理制御を付与すれば、不変性を持つ保持ポリシーの設定から監査の実施まで、データライフサイクル全体を管理することができます。本番環境にアクセスする必要はありません。こうした分離は、リスクを軽減し、監査を簡素化するうえで重要です。Backup for GKE の IAM ロールと権限に関する詳細なガイダンスについては、ドキュメントをご覧ください。