Compute Engine ブートディスクのデータを Compute Engine プロジェクトの外部に移動する必要がある場合は、ブートディスク イメージを tar.gz ファイルとして Cloud Storage にエクスポートできます。Compute Engine で新しい永続ディスクを作成するときに使用する永続ディスク イメージを作成する必要がある場合は、カスタム イメージを作成するをご覧ください。
Cloud Storage にイメージをエクスポートすることで、カスタム イメージのバックアップや共有が可能になります。この方法は、イメージにアクセスできないプロジェクトと個々のイメージを共有する場合に最適です。また、イメージまたはイメージを含むプロジェクトに Compute Engine イメージ ユーザーロールを付与することで、イメージを共有することもできます。
次の図は、カスタム イメージの作成と再利用の一般的なワークフローを示しています。
始める前に
- このガイドのコマンドラインの例を使用する場合、以下を行ってください。
- gcloud コマンドライン ツールの最新バージョンをインストールするか、最新バージョンに更新します。
- デフォルトのリージョンとゾーンを設定します。
- このガイドの API の例を使用する場合、API アクセスを設定します。
- イメージのページを参照してください。
- イメージのエクスポート元のプロジェクトに信頼できるイメージのポリシーが定義されている場合は、パブリッシャーの許可リストに
projects/compute-image-toolsを追加します。
Cloud Build API を有効にする
イメージ エクスポート ツールでは Cloud Build を使用します。
ほとんどの場合、gcloud compute images export はこれらの権限を Cloud Build サービス アカウントに付与しようとします。ただし、これらの権限を手動で付与して、必要な権限が有効になるようにすることもできます。
Console
Google Cloud Console で Cloud Build API を有効にします。
Console から Cloud Build API を有効にすると、Compute Engine は Cloud Build サービス アカウントに次のロールを付与し、Cloud Build サービスが Compute Engine からインスタンスをエクスポートできるようにします。
roles/iam.serviceAccountTokenCreatorroles/compute.adminroles/iam.serviceAccountUser
エクスポート ツールでは、デフォルトの Compute Engine サービス アカウントも使用されます。デフォルトで、Compute Engine サービス アカウントには IAM プロジェクト編集者のロールが付与されています。このロールを削除すると、エクスポート プロセスが失敗することがあります。ロールをサービス アカウントに再び追加するには、アクセス権の付与をご覧ください。Compute Engine のデフォルトのサービス アカウントについて詳しくは、Compute Engine のデフォルトのサービス アカウントをご覧ください。
gcloud
gcloud コマンドライン ツールを使用して Cloud Build サービスを設定する手順は次のとおりです。
gcloudコマンドライン ツールを使用して、Cloud Build を有効にします。gcloud services enable cloudbuild.googleapis.com
エクスポート ツールでは、デフォルトの Compute Engine サービス アカウントも使用されます。デフォルトで、Compute Engine サービス アカウントには IAM プロジェクト編集者のロールが付与されています。このロールを削除すると、エクスポート プロセスが失敗することがあります。ロールをサービス アカウントに再び追加するには、アクセス権の付与をご覧ください。Compute Engine のデフォルトのサービス アカウントについて詳しくは、Compute Engine のデフォルトのサービス アカウントをご覧ください。
Cloud Build API のサービス アカウントに
compute.admin役割を追加します。gcloud projects add-iam-policy-binding PROJECT_ID \ --member serviceAccount:PROJECT_NUM@cloudbuild.gserviceaccount.com \ --role roles/compute.admin
Cloud Build API のサービス アカウントに
iam.serviceAccountUser役割を追加します。gcloud projects add-iam-policy-binding PROJECT_ID \ --member serviceAccount:PROJECT_NUM@cloudbuild.gserviceaccount.com \ --role roles/iam.serviceAccountUser
Cloud Build API のサービス アカウントに
iam.serviceAccountTokenCreator役割を追加します。gcloud projects add-iam-policy-binding PROJECT_ID \ --member serviceAccount:PROJECT_NUM@cloudbuild.gserviceaccount.com \ --role roles/iam.serviceAccountTokenCreator
以下を置き換えます。
制限事項
VPC Service Controls で保護されているプロジェクトの場合、手動メソッドのみがサポートされます。
1 つのコマンドでのイメージのエクスポート
仮想ディスクは、Google Cloud Console または gcloud コマンドライン ツールのいずれかを使用するか、Cloud Build API を使用してエクスポートできます。
Console
Google Cloud Console で、[イメージ] ページに移動します。
エクスポートするイメージの名前をクリックして、詳細ページに移動します。Google が提供する公開イメージはエクスポートできません。エクスポートできるのは、以前に作成またはインポートしたイメージのみです。
イメージの詳細ページで [エクスポート] をクリックし、[イメージのエクスポート] ページを開きます。
[イメージのエクスポート] ページで、イメージの [エクスポート形式] を選択します。
[参照] をクリックして、イメージをエクスポートする Cloud Storage の場所を選択します。
既存の Cloud Storage の場所を選択して、イメージをエクスポートします。または、指示に従って新しい Cloud Storage バケットを作成し、新しい Cloud Storage バケットの名前を入力します。
Cloud Storage を選択したら、エクスポートしたイメージのファイル名を選択します。デフォルトのファイル名を使用することも、独自のファイル名を使用することもできます。
Cloud Storage を選択し、イメージのファイル名を入力したら、[選択] をクリックします。
[イメージのエクスポート] ページで [エクスポート] をクリックします。[エクスポート] を選択すると、Cloud Console にイメージ エクスポートの履歴が表示され、イメージのエクスポート プロセスを確認できます。イメージ エクスポート プロセスの詳細を確認するには、[Cloud Build ID] をクリックして [イメージのエクスポートの詳細] ページに移動すると、イメージ エクスポート ログを表示、ダウンロードできます。
[ストレージ] ページに移動して、エクスポートしたイメージにアクセスします。
gcloud
イメージを Cloud Storage にエクスポートするには、gcloud compute images export コマンドを使用することをおすすめします。このコマンドでは、Daisy を使用して、イメージをエクスポートするために必要な複数のステップが連結されています。これは gcloud compute images create コマンドを使用するなどして、すでにイメージを作成していることが前提です。
gcloud コマンドライン ツールを使用して、次のコマンドを実行します。
gcloud compute images export \
--destination-uri DESTINATION_URI \
--image IMAGE_NAME
以下を置き換えます。
DESTINATION_URI: エクスポートされる仮想ディスク ファイルの Cloud Storage URI の宛先。IMAGE_NAME: エクスポートするディスク イメージの名前。
例
たとえば、次のコマンドでは、my-image という名前のイメージが my-project から my-bucket という名前の Cloud Storage バケットにエクスポートされます。デフォルトでは、イメージは disk.raw ファイルとしてエクスポートされ、tar.gz ファイル形式に圧縮されます。
gcloud compute images export \
--destination-uri gs://my-bucket/my-image.tar.gz \
--image my-image \
--project my-project
フラグについては、gcloud compute images export リファレンス ドキュメントをご覧ください。
API
API で、Cloud Build API に対する POST リクエストを作成します。
POST https://cloudbuild.googleapis.com/v1/projects/PROJECT_ID/builds
{
"timeout": "7200s",
"steps":[
{
"args":[
"-timeout=7000s",
"-source_image=SOURCE_IMAGE",
"-client_id=api",
"-format=IMAGE_FORMAT",
"-destination_uri=DESTINATION_URI"
],
"name":"gcr.io/compute-image-tools/gce_vm_image_export:release",
"env":[
"BUILD_ID=$BUILD_ID"
]
}
],
"tags":[
"gce-daisy",
"gce-daisy-image-export"
]
}
以下を置き換えます。
PROJECT_ID: エクスポートするイメージを含むプロジェクトのプロジェクト ID。SOURCE_IMAGE: エクスポートするイメージの名前。IMAGE_FORMAT: エクスポートするイメージの形式。有効な形式は、vmdk、vhdx、vpc、vdi、qcow2です。DESTINATION_URI: 仮想ディスク ファイルのエクスポート先となる Cloud Storage URI の場所。例:gs://my-bucket/my-exported-image.vmdk。
提供できる追加の args 値については、VM イメージのエクスポートに関する GitHub のページのオプションのフラグ セクションを参照してください。
レスポンスの例
次のレスポンスのサンプルは、返される出力に似ています。
{
"name": "operations/build/myproject-12345/operation-1578608233418",
"metadata": {
"@type": "type.googleapis.com/google.devtools.cloudbuild.v1.BuildOperationMetadata",
"build": {
"id": "3a2055bc-ccbd-4101-9434-d376b88b8940",
"status": "QUEUED",
"createTime": "2019-10-02T18:59:13.393492020Z",
"steps": [
{
"name": "gcr.io/compute-image-tools/gce_vm_image_export:release",
"env": [
"BUILD_ID=3a2055bc-ccbd-4101-9434-d376b88b8940"
],
"args": [
"-timeout=7056s",
"-source_image=my-image",
"-client_id=api",
"-format=vmdk",
"-destination_uri=gs://my-bucket/my-exported-image.vmdk"
]
}
],
"timeout": "7200s",
"projectId": "myproject-12345",
"logsBucket": "gs://123456.cloudbuild-logs.googleusercontent.com",
"options": {
"logging": "LEGACY"
},
"logUrl": "https://console.cloud.google.com/gcr/builds/3a2055bc-ccbd-4101-9434-d376b88b8940?project=123456"
}
}
ビルドをモニタリングする方法はいくつかあります。
- 返される
build-idを使用して、projects.builds.get リクエストを実行します。 - 指定された
logUrlでホストされているログを確認します。
カスタム Compute Engine サービス アカウントを使用してプロジェクトからイメージをエクスポートする
イメージのエクスポート中に、一時的な仮想マシン(VM)インスタンスがプロジェクトに作成されます。この一時 VM 上のイメージ エクスポート ツールを認証する必要があります。
サービス アカウントは VM に関連付けられている ID です。サービス アカウントのアクセス トークンは、インスタンス メタデータ サーバーからアクセスでき、VM 上のイメージ エクスポート ツールの認証に使用できます。
デフォルトでは、エクスポート プロセスには、プロジェクトのデフォルトの Compute Engine System サービス アカウントが使用されます。ただし、プロジェクトでデフォルトの Compute Engine サービス アカウントが無効になっている場合や、カスタム Compute Engine サービス アカウントを使用する場合は、サービス アカウントを作成してエクスポート プロセスで指定する必要があります。
gcloud
サービス アカウントを作成して最小限のロールを割り当てます。サービス アカウントの作成に関する詳細については、サービス アカウントの作成と管理をご覧ください。
少なくとも、指定した Compute Engine サービス アカウントには次のロールが割り当てられている必要があります。
roles/compute.storageAdminroles/storage.objectAdmin
gcloud compute images exportコマンドを使用してイメージをエクスポートします。gcloud compute images export \ --destination-uri DESTINATION_URI \ --image IMAGE_NAME \ --service-account SERVICE_ACCOUNT_EMAIL以下を置き換えます。
DESTINATION_URI: エクスポートされる仮想ディスク ファイルの Cloud Storage URI の宛先。IMAGE_NAME: エクスポートするディスク イメージの名前。SERVICE_ACCOUNT_EMAIL: 前のステップで作成した Compute Engine サービス アカウントに関連付けられているメールアドレス。
例
たとえば、次のコマンドは、my-image という名前のイメージを my-project から my-bucket という名前の Cloud Storage バケットに、メールアドレス image-export-service-account@proj-12345.iam.gserviceaccount.com を持つサービス アカウントでエクスポートします。デフォルトでは、イメージは disk.raw ファイルとしてエクスポートされ、tar.gz ファイル形式に圧縮されます。
gcloud compute images export \
--destination-uri gs://my-bucket/my-image.tar.gz \
--image my-image \
--project my-project \
--service-account image-export-service-account@proj-12345.iam.gserviceaccount.com
フラグについては、gcloud compute images export リファレンス ドキュメントをご覧ください。
API
サービス アカウントを作成して最小限のロールを割り当てます。サービス アカウントの作成に関する詳細については、サービス アカウントの作成と管理をご覧ください。
少なくとも、指定した Compute Engine サービス アカウントには次のロールが割り当てられている必要があります。
roles/compute.storageAdminroles/storage.objectAdmin
API で、Cloud Build API に対する
POSTリクエストを作成します。POST https://cloudbuild.googleapis.com/v1/projects/PROJECT_ID/builds { "timeout": "7200s", "steps":[ { "args":[ "-timeout=7000s", "-source_image=SOURCE_IMAGE", "-client_id=api", "-format=IMAGE_FORMAT", "-destination_uri=DESTINATION_URI", "-compute_service_account=SERVICE_ACCOUNT_EMAIL" ], "name":"gcr.io/compute-image-tools/gce_vm_image_export:release", "env":[ "BUILD_ID=$BUILD_ID" ] } ], "tags":[ "gce-daisy", "gce-daisy-image-export" ] }以下を置き換えます。
PROJECT_ID: エクスポートするイメージを含むプロジェクトのプロジェクト ID。SOURCE_IMAGE: エクスポートするイメージの名前。IMAGE_FORMAT: エクスポートするイメージの形式。有効な形式は、vmdk、vhdx、vpc、vdi、qcow2です。DESTINATION_URI: 仮想ディスク ファイルのエクスポート先となる Cloud Storage URI の場所。例:gs://my-bucket/my-exported-image.vmdk。SERVICE_ACCOUNT_EMAIL: 前のステップで作成した Compute Engine サービス アカウントに関連付けられているメールアドレス。
提供できる追加の args 値については、VM イメージのエクスポートに関する GitHub のページのオプションのフラグ セクションを参照してください。
手動でのイメージの作成およびエクスポート
gcloud compute images create および gcloud compute images export コマンドでは要件が満たされない場合は、手動でイメージを作成して Compute Engine インスタンスからエクスポートできます。この処理は、最初にイメージを作成し、次にイメージをエクスポートする別々のステップです。
次の例では、作成されるディスクの名前は image-disk です。
イメージを作成およびエクスポートするには:
必要に応じて、スナップショットを作成する前に、ディスクがアタッチされているインスタンスを停止します。インスタンスを停止すると、スナップショット内のディスク コンテンツの整合性が確保されます。
DISK_NAMEは、スナップショットの作成に使用するディスクの名前に置き換えます。ディスクのスナップショットを作成します。スナップショットに
image-snapshotという名前を付けます。gcloud compute disks snapshot DISK_NAME \ --snapshot-names image-snapshotimage-snapshotスナップショットを使用してimage-diskという名前の新しいディスクを作成するには、次のコマンドを実行します。gcloud compute disks create image-disk \ --source-snapshot image-snapshottar ファイルを保持する
temporary-diskという名前の一時ディスクを作成し、ディスクのSIZEをイメージ ディスクより 50% 以上大きく指定します。後でディスクを接続解除および削除できます。
gcloud compute disks create temporary-disk \ --size SIZEここで、
SIZEは一時ディスクのサイズ(ギガバイト単位またはテラバイト単位)です。たとえば、100 GB のディスクを作成するには100GBを指定します。インスタンスを作成し、そのインスタンスで
storage-rwスコープを有効にします。また、image-diskとtemporary-diskを、特定のdevice-name属性を持つセカンダリ ディスクとしてインスタンスに接続します。VM_NAMEは、作成するインスタンスの名前に置き換えます。gcloud compute instances create VM_NAME \ --scopes storage-rw \ --disk name=image-disk,device-name=image-disk \ --disk name=temporary-disk,device-name=temporary-disk後の手順で Google Cloud Storage にファイルをアップロードできるように、サービス アカウント スコープを渡していることに注意してください。
必要に応じて、新規インスタンスの起動の詳細を確認します。
インスタンスに接続する。
VM_NAMEは、接続するインスタンスの名前に置き換えます。gcloud compute ssh VM_NAME
一時ディスクをフォーマットし、マウントします。ディスクをフォーマットすると、一時ディスクのコンテンツが削除されます。
sudo mkdir /mnt/tmp
sudo mkfs.ext4 -F /dev/disk/by-id/google-temporary-disk
sudo mount -o discard,defaults /dev/disk/by-id/google-temporary-disk /mnt/tmp
必要に応じて、イメージ ディスクをマウントし、tar ファイルを作成する前に追加の変更を加えることができます。たとえば、既存のファイルをイメージの一部としない場合は、それらのファイルを
/homeディレクトリから削除します。変更する必要のあるディスク パーティションをマウントし、変更する必要のあるディスク上のファイルを変更して、完了したらディスクをマウント解除します。ディスクまたはパーティションをマウントできるディレクトリを作成します。
sudo mkdir /mnt/image-disk
lsコマンドを使用して、マウントする必要のあるディスクまたはディスク パーティションを判別します。ls /dev/disk/by-id/
コマンドでは、ディスク ID とパーティションのリストが出力されます。たとえば、次のディスクには 1 つのパーティションがあるパーティション テーブルがあります。
google-image-diskID は、イメージの作成元の完全なディスクを指します。google-image-disk-part1ID は、このディスク上の最初のパーティションを指します。ディスクに変更を加える必要がある場合はパーティションをマウントし、完全なディスクからイメージを作成します。google-image-disk google-image-disk-part1
ディスクまたはパーティションをマウントします。ディスクにパーティション テーブルがある場合は、ディスクの個々のパーティションをマウントします。たとえば、
google-image-disk-part1をマウントします。sudo mount /dev/disk/by-id/google-image-disk-part1 /mnt/image-disk
または、ディスクが未加工形式でパーティション テーブルがない場合は、完全な
google-image-diskディスクをマウントします。sudo mount /dev/disk/by-id/google-image-disk /mnt/image-disk
/mnt/image-diskディレクトリ内のファイルを変更し、ディスク上のファイルを構成します。たとえば、/mnt/image-disk/home/[USER]/.ssh/authorized_keysファイルを削除して、SSH 認証鍵が共有されないよう保護できます。ファイルの変更後に、ディスクをマウント解除します。
sudo umount /mnt/image-disk/
イメージの tar ファイルを作成します。
イメージ ディスク上のファイルのカスタマイズが完了したら、一時ディスクに未加工ディスク ファイルを作成します。未加工ディスク イメージの名前は「disk.raw」である必要があります。
sudo dd if=/dev/disk/by-id/google-image-disk of=/mnt/tmp/disk.raw bs=4096
次に、このファイルに対して tar および gzip を実行します。
cd /mnt/tmp
sudo tar czvf myimage.tar.gz disk.raw
このコマンドにより、次の場所にインスタンスのイメージが作成されます。
/mnt/tmp/myimage.tar.gz
イメージを Cloud Storage にアップロードします。
tar ファイルを Cloud Storage にアップロードするには、インスタンスにプリインストールされている gsutil コマンドライン ツールを使用します。
gsutilを使用してバケットを作成します。バケットを作成する前に、バケットと命名のガイドラインを確認します。確認したら、次のコマンドを使用してバケットを作成します。
BUCKET_NAMEは、作成するバケットの名前に置き換えます。me@example-instance:~$ gsutil mb gs://BUCKET_NAMEファイルを新しいバケットにコピーします。
BUCKET_NAMEは、ファイルをコピーするバケットの名前に置き換えます。me@example-instance:~$ gsutil cp /mnt/tmp/myimage.tar.gz gs://BUCKET_NAME
ファイルが Cloud Storage にエクスポートされました。イメージを他の人と共有したり、tar ファイルを使用して Google Cloud Console プロジェクトに新規イメージを追加したりできます。
次のステップ
- イメージ ユーザーのロールを使用してイメージを共有する。
- Compute Engine で使用できるインポート方法を学習します。