Cloud Storage へのカスタム イメージのエクスポート


Compute Engine ブートディスクのデータを Compute Engine プロジェクトの外部に移動する必要がある場合は、ブートディスク イメージを tar.gz ファイルとして Cloud Storage にエクスポートできます。Compute Engine で新しい永続ディスクを作成するときに使用する永続ディスク イメージを作成する必要がある場合は、カスタム イメージを作成するをご覧ください。

Cloud Storage にイメージをエクスポートすることで、カスタム イメージのバックアップや共有が可能になります。この方法は、イメージにアクセスできないプロジェクトと個々のイメージを共有する場合に最適です。また、イメージまたはイメージを含むプロジェクトに Compute Engine イメージ ユーザーロールを付与することで、イメージを共有することもできます。

次の図は、カスタム イメージの作成と再利用の一般的なワークフローを示しています。

カスタム イメージの作成と再利用
図 1. カスタム イメージの作成と再利用の例

始める前に

Cloud Build API を有効にする

イメージ エクスポート ツールでは Cloud Build を使用します。

ほとんどの場合、gcloud compute images export はこれらの権限を Cloud Build サービス アカウントに付与しようとします。ただし、これらの権限を手動で付与して、必要な権限が有効になるようにすることもできます。

Console

  1. Google Cloud Console で Cloud Build API を有効にします。

    Cloud Build API を有効にする

    Console から Cloud Build API を有効にすると、Compute Engine は Cloud Build サービス アカウントに次のロールを付与し、Cloud Build サービスが Compute Engine からインスタンスをエクスポートできるようにします。

    • roles/iam.serviceAccountTokenCreator
    • roles/compute.admin
    • roles/iam.serviceAccountUser

    エクスポート ツールでは、デフォルトの Compute Engine サービス アカウントも使用されます。デフォルトで、Compute Engine サービス アカウントには IAM プロジェクト編集者のロールが付与されています。このロールを削除すると、エクスポート プロセスが失敗することがあります。ロールをサービス アカウントに再び追加するには、アクセス権の付与をご覧ください。Compute Engine のデフォルトのサービス アカウントについて詳しくは、Compute Engine のデフォルトのサービス アカウントをご覧ください。

gcloud

gcloud コマンドライン ツールを使用して Cloud Build サービスを設定する手順は次のとおりです。

  1. gcloud コマンドライン ツールを使用して、Cloud Build を有効にします。

    gcloud services enable cloudbuild.googleapis.com

    エクスポート ツールでは、デフォルトの Compute Engine サービス アカウントも使用されます。デフォルトで、Compute Engine サービス アカウントには IAM プロジェクト編集者のロールが付与されています。このロールを削除すると、エクスポート プロセスが失敗することがあります。ロールをサービス アカウントに再び追加するには、アクセス権の付与をご覧ください。Compute Engine のデフォルトのサービス アカウントについて詳しくは、Compute Engine のデフォルトのサービス アカウントをご覧ください。

  2. Cloud Build API のサービス アカウントに compute.admin 役割を追加します。

    gcloud projects add-iam-policy-binding PROJECT_ID \
       --member serviceAccount:PROJECT_NUM@cloudbuild.gserviceaccount.com \
       --role roles/compute.admin
    
  3. Cloud Build API のサービス アカウントに iam.serviceAccountUser 役割を追加します。

    gcloud projects add-iam-policy-binding PROJECT_ID \
       --member serviceAccount:PROJECT_NUM@cloudbuild.gserviceaccount.com \
       --role roles/iam.serviceAccountUser
    
  4. Cloud Build API のサービス アカウントに iam.serviceAccountTokenCreator 役割を追加します。

    gcloud projects add-iam-policy-binding PROJECT_ID \
       --member serviceAccount:PROJECT_NUM@cloudbuild.gserviceaccount.com \
       --role roles/iam.serviceAccountTokenCreator
    

    以下を置き換えます。

制限事項

VPC Service Controls で保護されているプロジェクトの場合、手動メソッドのみがサポートされます。

1 つのコマンドでのイメージのエクスポート

仮想ディスクは、Google Cloud Console または gcloud コマンドライン ツールのいずれかを使用するか、Cloud Build API を使用してエクスポートできます。

Console

  1. Google Cloud Console で、[イメージ] ページに移動します。

    [イメージ] に移動

  2. エクスポートするイメージの名前をクリックして、詳細ページに移動します。Google が提供する公開イメージはエクスポートできません。エクスポートできるのは、以前に作成またはインポートしたイメージのみです。

  3. イメージの詳細ページで [エクスポート] をクリックし、[イメージのエクスポート] ページを開きます。

  4. [イメージのエクスポート] ページで、イメージの [エクスポート形式] を選択します。

  5. [参照] をクリックして、イメージをエクスポートする Cloud Storage の場所を選択します。

  6. 既存の Cloud Storage の場所を選択して、イメージをエクスポートします。または、指示に従って新しい Cloud Storage バケットを作成し、新しい Cloud Storage バケットの名前を入力します。

  7. Cloud Storage を選択したら、エクスポートしたイメージのファイル名を選択します。デフォルトのファイル名を使用することも、独自のファイル名を使用することもできます。

  8. Cloud Storage を選択し、イメージのファイル名を入力したら、[選択] をクリックします。

  9. [イメージのエクスポート] ページで [エクスポート] をクリックします。[エクスポート] を選択すると、Cloud Console にイメージ エクスポートの履歴が表示され、イメージのエクスポート プロセスを確認できます。イメージ エクスポート プロセスの詳細を確認するには、[Cloud Build ID] をクリックして [イメージのエクスポートの詳細] ページに移動すると、イメージ エクスポート ログを表示、ダウンロードできます。

  10. [ストレージ] ページに移動して、エクスポートしたイメージにアクセスします。

    [ストレージ] に移動

gcloud

イメージを Cloud Storage にエクスポートするには、gcloud compute images export コマンドを使用することをおすすめします。このコマンドでは、Daisy を使用して、イメージをエクスポートするために必要な複数のステップが連結されています。これは gcloud compute images create コマンドを使用するなどして、すでにイメージを作成していることが前提です。

gcloud コマンドライン ツールを使用して、次のコマンドを実行します。

gcloud compute images export \
    --destination-uri DESTINATION_URI \
    --image IMAGE_NAME

以下を置き換えます。

  • DESTINATION_URI: エクスポートされる仮想ディスク ファイルの Cloud Storage URI の宛先。
  • IMAGE_NAME: エクスポートするディスク イメージの名前。

たとえば、次のコマンドでは、my-image という名前のイメージが my-project から my-bucket という名前の Cloud Storage バケットにエクスポートされます。デフォルトでは、イメージは disk.raw ファイルとしてエクスポートされ、tar.gz ファイル形式に圧縮されます。

gcloud compute images export \
    --destination-uri gs://my-bucket/my-image.tar.gz \
    --image my-image \
    --project my-project

フラグについては、gcloud compute images export リファレンス ドキュメントをご覧ください。

API

API で、Cloud Build API に対する POST リクエストを作成します。

POST https://cloudbuild.googleapis.com/v1/projects/PROJECT_ID/builds
{
  "timeout": "7200s",
  "steps":[
    {
      "args":[
        "-timeout=7000s",
        "-source_image=SOURCE_IMAGE",
        "-client_id=api",
        "-format=IMAGE_FORMAT",
        "-destination_uri=DESTINATION_URI"
      ],
      "name":"gcr.io/compute-image-tools/gce_vm_image_export:release",
      "env":[
        "BUILD_ID=$BUILD_ID"
      ]
    }
  ],
  "tags":[
    "gce-daisy",
    "gce-daisy-image-export"
  ]
}

以下を置き換えます。

  • PROJECT_ID: エクスポートするイメージを含むプロジェクトのプロジェクト ID。
  • SOURCE_IMAGE: エクスポートするイメージの名前。
  • IMAGE_FORMAT: エクスポートするイメージの形式。有効な形式は、vmdkvhdxvpcvdiqcow2 です。
  • DESTINATION_URI: 仮想ディスク ファイルのエクスポート先となる Cloud Storage URI の場所。例: gs://my-bucket/my-exported-image.vmdk

提供できる追加の args 値については、VM イメージのエクスポートに関する GitHub のページのオプションのフラグ セクションを参照してください。

レスポンスの例

次のレスポンスのサンプルは、返される出力に似ています。

{
"name": "operations/build/myproject-12345/operation-1578608233418",
"metadata": {
 "@type": "type.googleapis.com/google.devtools.cloudbuild.v1.BuildOperationMetadata",
 "build": {
  "id": "3a2055bc-ccbd-4101-9434-d376b88b8940",
  "status": "QUEUED",
  "createTime": "2019-10-02T18:59:13.393492020Z",
  "steps": [
   {
    "name": "gcr.io/compute-image-tools/gce_vm_image_export:release",
    "env": [
     "BUILD_ID=3a2055bc-ccbd-4101-9434-d376b88b8940"
    ],
    "args": [
     "-timeout=7056s",
     "-source_image=my-image",
     "-client_id=api",
     "-format=vmdk",
     "-destination_uri=gs://my-bucket/my-exported-image.vmdk"
    ]
   }
  ],
  "timeout": "7200s",
  "projectId": "myproject-12345",
  "logsBucket": "gs://123456.cloudbuild-logs.googleusercontent.com",
  "options": {
   "logging": "LEGACY"
  },
  "logUrl": "https://console.cloud.google.com/gcr/builds/3a2055bc-ccbd-4101-9434-d376b88b8940?project=123456"
 }
 }

ビルドをモニタリングする方法はいくつかあります。

  • 返される build-id を使用して、projects.builds.get リクエストを実行します。
  • 指定された logUrl でホストされているログを確認します。

カスタム Compute Engine サービス アカウントを使用してプロジェクトからイメージをエクスポートする

イメージのエクスポート中に、一時的な仮想マシン(VM)インスタンスがプロジェクトに作成されます。この一時 VM 上のイメージ エクスポート ツールを認証する必要があります。

サービス アカウントは VM に関連付けられている ID です。サービス アカウントのアクセス トークンは、インスタンス メタデータ サーバーからアクセスでき、VM 上のイメージ エクスポート ツールの認証に使用できます。

デフォルトでは、エクスポート プロセスには、プロジェクトのデフォルトの Compute Engine System サービス アカウントが使用されます。ただし、プロジェクトでデフォルトの Compute Engine サービス アカウントが無効になっている場合や、カスタム Compute Engine サービス アカウントを使用する場合は、サービス アカウントを作成してエクスポート プロセスで指定する必要があります。

gcloud

  1. サービス アカウントを作成して最小限のロールを割り当てます。サービス アカウントの作成に関する詳細については、サービス アカウントの作成と管理をご覧ください。

    少なくとも、指定した Compute Engine サービス アカウントには次のロールが割り当てられている必要があります。

    • roles/compute.storageAdmin
    • roles/storage.objectAdmin
  2. gcloud compute images export コマンドを使用してイメージをエクスポートします。

    gcloud compute images export \
        --destination-uri DESTINATION_URI \
        --image IMAGE_NAME \
        --service-account SERVICE_ACCOUNT_EMAIL

    以下を置き換えます。

    • DESTINATION_URI: エクスポートされる仮想ディスク ファイルの Cloud Storage URI の宛先。
    • IMAGE_NAME: エクスポートするディスク イメージの名前。
    • SERVICE_ACCOUNT_EMAIL: 前のステップで作成した Compute Engine サービス アカウントに関連付けられているメールアドレス。

たとえば、次のコマンドは、my-image という名前のイメージを my-project から my-bucket という名前の Cloud Storage バケットに、メールアドレス image-export-service-account@proj-12345.iam.gserviceaccount.com を持つサービス アカウントでエクスポートします。デフォルトでは、イメージは disk.raw ファイルとしてエクスポートされ、tar.gz ファイル形式に圧縮されます。

gcloud compute images export \
    --destination-uri gs://my-bucket/my-image.tar.gz \
    --image my-image \
    --project my-project \
    --service-account image-export-service-account@proj-12345.iam.gserviceaccount.com
    

フラグについては、gcloud compute images export リファレンス ドキュメントをご覧ください。

API

  1. サービス アカウントを作成して最小限のロールを割り当てます。サービス アカウントの作成に関する詳細については、サービス アカウントの作成と管理をご覧ください。

    少なくとも、指定した Compute Engine サービス アカウントには次のロールが割り当てられている必要があります。

    • roles/compute.storageAdmin
    • roles/storage.objectAdmin
  2. API で、Cloud Build API に対する POST リクエストを作成します。

    POST https://cloudbuild.googleapis.com/v1/projects/PROJECT_ID/builds
    {
      "timeout": "7200s",
      "steps":[
        {
          "args":[
            "-timeout=7000s",
            "-source_image=SOURCE_IMAGE",
            "-client_id=api",
            "-format=IMAGE_FORMAT",
            "-destination_uri=DESTINATION_URI",
            "-compute_service_account=SERVICE_ACCOUNT_EMAIL"
          ],
          "name":"gcr.io/compute-image-tools/gce_vm_image_export:release",
          "env":[
            "BUILD_ID=$BUILD_ID"
          ]
        }
      ],
      "tags":[
        "gce-daisy",
        "gce-daisy-image-export"
      ]
    }
    

    以下を置き換えます。

    • PROJECT_ID: エクスポートするイメージを含むプロジェクトのプロジェクト ID。
    • SOURCE_IMAGE: エクスポートするイメージの名前。
    • IMAGE_FORMAT: エクスポートするイメージの形式。有効な形式は、vmdkvhdxvpcvdiqcow2 です。
    • DESTINATION_URI: 仮想ディスク ファイルのエクスポート先となる Cloud Storage URI の場所。例: gs://my-bucket/my-exported-image.vmdk
    • SERVICE_ACCOUNT_EMAIL: 前のステップで作成した Compute Engine サービス アカウントに関連付けられているメールアドレス。

提供できる追加の args 値については、VM イメージのエクスポートに関する GitHub のページのオプションのフラグ セクションを参照してください。

手動でのイメージの作成およびエクスポート

gcloud compute images create および gcloud compute images export コマンドでは要件が満たされない場合は、手動でイメージを作成して Compute Engine インスタンスからエクスポートできます。この処理は、最初にイメージを作成し、次にイメージをエクスポートする別々のステップです。

次の例では、作成されるディスクの名前は image-disk です。

イメージを作成およびエクスポートするには:

  1. 必要に応じて、スナップショットを作成する前に、ディスクがアタッチされているインスタンスを停止します。インスタンスを停止すると、スナップショット内のディスク コンテンツの整合性が確保されます。DISK_NAME は、スナップショットの作成に使用するディスクの名前に置き換えます。

  2. ディスクのスナップショットを作成します。スナップショットに image-snapshot という名前を付けます。

    gcloud compute disks snapshot DISK_NAME \
        --snapshot-names image-snapshot
  3. image-snapshot スナップショットを使用して image-disk という名前の新しいディスクを作成するには、次のコマンドを実行します。

    gcloud compute disks create image-disk \
        --source-snapshot image-snapshot
  4. tar ファイルを保持する temporary-disk という名前の一時ディスクを作成し、ディスクの SIZE をイメージ ディスクより 50% 以上大きく指定します。

    後でディスクを接続解除および削除できます。

    gcloud compute disks create temporary-disk \
        --size SIZE

    ここで、SIZE は一時ディスクのサイズ(ギガバイト単位またはテラバイト単位)です。たとえば、100 GB のディスクを作成するには 100GB を指定します。

  5. インスタンスを作成し、そのインスタンスで storage-rw スコープを有効にします。また、image-disktemporary-disk を、特定の device-name 属性を持つセカンダリ ディスクとしてインスタンスに接続します。VM_NAME は、作成するインスタンスの名前に置き換えます。

    gcloud compute instances create VM_NAME \
        --scopes storage-rw \
        --disk name=image-disk,device-name=image-disk \
        --disk name=temporary-disk,device-name=temporary-disk

    後の手順で Google Cloud Storage にファイルをアップロードできるように、サービス アカウント スコープを渡していることに注意してください。

    必要に応じて、新規インスタンスの起動の詳細を確認します。

  6. インスタンスに接続する。VM_NAME は、接続するインスタンスの名前に置き換えます。

    gcloud compute ssh VM_NAME
  7. 一時ディスクをフォーマットし、マウントします。ディスクをフォーマットすると、一時ディスクのコンテンツが削除されます。

    sudo mkdir /mnt/tmp
    sudo mkfs.ext4 -F /dev/disk/by-id/google-temporary-disk
    sudo mount -o discard,defaults /dev/disk/by-id/google-temporary-disk /mnt/tmp
  8. 必要に応じて、イメージ ディスクをマウントし、tar ファイルを作成する前に追加の変更を加えることができます。たとえば、既存のファイルをイメージの一部としない場合は、それらのファイルを /home ディレクトリから削除します。変更する必要のあるディスク パーティションをマウントし、変更する必要のあるディスク上のファイルを変更して、完了したらディスクをマウント解除します。

    1. ディスクまたはパーティションをマウントできるディレクトリを作成します。

      sudo mkdir /mnt/image-disk
    2. ls コマンドを使用して、マウントする必要のあるディスクまたはディスク パーティションを判別します。

      ls /dev/disk/by-id/

      コマンドでは、ディスク ID とパーティションのリストが出力されます。たとえば、次のディスクには 1 つのパーティションがあるパーティション テーブルがあります。google-image-disk ID は、イメージの作成元の完全なディスクを指します。google-image-disk-part1 ID は、このディスク上の最初のパーティションを指します。ディスクに変更を加える必要がある場合はパーティションをマウントし、完全なディスクからイメージを作成します。

      google-image-disk
      google-image-disk-part1
      
    3. ディスクまたはパーティションをマウントします。ディスクにパーティション テーブルがある場合は、ディスクの個々のパーティションをマウントします。たとえば、google-image-disk-part1 をマウントします。

      sudo mount /dev/disk/by-id/google-image-disk-part1 /mnt/image-disk

      または、ディスクが未加工形式でパーティション テーブルがない場合は、完全な google-image-disk ディスクをマウントします。

      sudo mount /dev/disk/by-id/google-image-disk /mnt/image-disk
    4. /mnt/image-disk ディレクトリ内のファイルを変更し、ディスク上のファイルを構成します。たとえば、/mnt/image-disk/home/[USER]/.ssh/authorized_keys ファイルを削除して、SSH 認証鍵が共有されないよう保護できます。

    5. ファイルの変更後に、ディスクをマウント解除します。

      sudo umount /mnt/image-disk/
  9. イメージの tar ファイルを作成します。

    イメージ ディスク上のファイルのカスタマイズが完了したら、一時ディスクに未加工ディスク ファイルを作成します。未加工ディスク イメージの名前は「disk.raw」である必要があります。

     sudo dd if=/dev/disk/by-id/google-image-disk of=/mnt/tmp/disk.raw bs=4096

    次に、このファイルに対して tar および gzip を実行します。

    cd /mnt/tmp

    sudo tar czvf myimage.tar.gz disk.raw

    このコマンドにより、次の場所にインスタンスのイメージが作成されます。

    /mnt/tmp/myimage.tar.gz

  10. イメージを Cloud Storage にアップロードします。

    tar ファイルを Cloud Storage にアップロードするには、インスタンスにプリインストールされている gsutil コマンドライン ツールを使用します。

    1. gsutil を使用してバケットを作成します。

      バケットを作成する前に、バケットと命名のガイドラインを確認します。確認したら、次のコマンドを使用してバケットを作成します。BUCKET_NAME は、作成するバケットの名前に置き換えます。

      me@example-instance:~$ 
      gsutil mb gs://BUCKET_NAME
    2. ファイルを新しいバケットにコピーします。BUCKET_NAME は、ファイルをコピーするバケットの名前に置き換えます。

      me@example-instance:~$ 
      gsutil cp /mnt/tmp/myimage.tar.gz gs://BUCKET_NAME

ファイルが Cloud Storage にエクスポートされました。イメージを他の人と共有したり、tar ファイルを使用して Google Cloud Console プロジェクトに新規イメージを追加したりできます。

次のステップ