이 문서에서는 인스턴스 리소스의 deletionProtection
속성을 설정하여 특정 VM 인스턴스가 삭제되지 않도록 보호하는 방법을 설명합니다. VM 인스턴스에 대해 자세히 알아보려면 인스턴스 문서를 읽어보세요.
워크로드 중에는 SQL 서버를 실행하는 인스턴스, 라이선스 관리자로 사용되는 서버 등과 같이 애플리케이션 또는 서비스를 실행하는 데 필수적인 특정 VM 인스턴스가 존재할 수 있습니다. 이러한 VM 인스턴스는 지속적으로 실행되어야 하므로, VM이 삭제되지 않도록 보호할 수 있는 방법이 필요합니다.
deletionProtection
플래그를 설정하면 VM 인스턴스가 실수로 삭제되지 않도록 보호할 수 있습니다. 사용자가 deletionProtection
플래그를 설정한 VM 인스턴스를 삭제하려고 하면 요청이 실패합니다. compute.instances.create
권한이 부여된 사용자만 이 플래그를 재설정하여 리소스 삭제를 허용할 수 있습니다.
시작하기 전에
사양
삭제 방지를 해도 다음 작업은 방지되지 않습니다.
삭제 보호는 일반 VM과 선점형 VM 모두에 적용할 수 있습니다.
관리형 인스턴스 그룹에 속하는 VM에는 삭제 보호를 적용할 수 없지만, 비관리형 인스턴스 그룹에 속하는 인스턴스에 적용할 수 있습니다.
인스턴스 템플릿에는 삭제 방지를 지정할 수 없습니다.
권한
이 작업을 수행하려면 리소스에 대한 다음 권한 또는 다음 IAM 역할 중 하나를 부여받아야 합니다.
권한
역할
compute.admin
compute.instanceAdmin.v1
인스턴스 생성 시 삭제 보호 설정
기본적으로 인스턴스의 삭제 보호는 사용 안함으로 설정됩니다. 아래 안내에 따라 삭제 보호를 사용 설정하세요.
콘솔
Google Cloud 콘솔에서 인스턴스 만들기 페이지로 이동합니다.
인스턴스 만들기로 이동
고급 옵션 섹션을 펼쳐서 다음을 수행합니다.
- 관리 섹션을 펼칩니다.
- 삭제 보호 사용 설정 체크박스를 선택합니다.
VM 만들기 프로세스를 계속 진행합니다.
gcloud
VM 인스턴스를 만들 때 --deletion-protection
또는 no-deletion-protection
플래그를 포함합니다. 삭제 보호는 기본적으로 사용 안함으로 설정되어 있으므로 사용 설정을 해야 합니다.
gcloud compute instances create [INSTANCE_NAME] --deletion-protection
여기에서 [INSTANCE_NAME]
은 원하는 인스턴스 이름입니다.
인스턴스 생성 시 삭제 보호를 사용 안함으로 설정하려면 다음을 사용하세요.
gcloud compute instances create [INSTANCE_NAME] --no-deletion-protection
Python
from __future__ import annotations
import re
import sys
from typing import Any
import warnings
from google.api_core.extended_operation import ExtendedOperation
from google.cloud import compute_v1
def get_image_from_family(project: str, family: str) -> compute_v1.Image:
"""
Retrieve the newest image that is part of a given family in a project.
Args:
project: project ID or project number of the Cloud project you want to get image from.
family: name of the image family you want to get image from.
Returns:
An Image object.
"""
image_client = compute_v1.ImagesClient()
# List of public operating system (OS) images: https://cloud.google.com/compute/docs/images/os-details
newest_image = image_client.get_from_family(project=project, family=family)
return newest_image
def disk_from_image(
disk_type: str,
disk_size_gb: int,
boot: bool,
source_image: str,
auto_delete: bool = True,
) -> compute_v1.AttachedDisk:
"""
Create an AttachedDisk object to be used in VM instance creation. Uses an image as the
source for the new disk.
Args:
disk_type: the type of disk you want to create. This value uses the following format:
"zones/{zone}/diskTypes/(pd-standard|pd-ssd|pd-balanced|pd-extreme)".
For example: "zones/us-west3-b/diskTypes/pd-ssd"
disk_size_gb: size of the new disk in gigabytes
boot: boolean flag indicating whether this disk should be used as a boot disk of an instance
source_image: source image to use when creating this disk. You must have read access to this disk. This can be one
of the publicly available images or an image from one of your projects.
This value uses the following format: "projects/{project_name}/global/images/{image_name}"
auto_delete: boolean flag indicating whether this disk should be deleted with the VM that uses it
Returns:
AttachedDisk object configured to be created using the specified image.
"""
boot_disk = compute_v1.AttachedDisk()
initialize_params = compute_v1.AttachedDiskInitializeParams()
initialize_params.source_image = source_image
initialize_params.disk_size_gb = disk_size_gb
initialize_params.disk_type = disk_type
boot_disk.initialize_params = initialize_params
# Remember to set auto_delete to True if you want the disk to be deleted when you delete
# your VM instance.
boot_disk.auto_delete = auto_delete
boot_disk.boot = boot
return boot_disk
def wait_for_extended_operation(
operation: ExtendedOperation, verbose_name: str = "operation", timeout: int = 300
) -> Any:
"""
Waits for the extended (long-running) operation to complete.
If the operation is successful, it will return its result.
If the operation ends with an error, an exception will be raised.
If there were any warnings during the execution of the operation
they will be printed to sys.stderr.
Args:
operation: a long-running operation you want to wait on.
verbose_name: (optional) a more verbose name of the operation,
used only during error and warning reporting.
timeout: how long (in seconds) to wait for operation to finish.
If None, wait indefinitely.
Returns:
Whatever the operation.result() returns.
Raises:
This method will raise the exception received from `operation.exception()`
or RuntimeError if there is no exception set, but there is an `error_code`
set for the `operation`.
In case of an operation taking longer than `timeout` seconds to complete,
a `concurrent.futures.TimeoutError` will be raised.
"""
result = operation.result(timeout=timeout)
if operation.error_code:
print(
f"Error during {verbose_name}: [Code: {operation.error_code}]: {operation.error_message}",
file=sys.stderr,
flush=True,
)
print(f"Operation ID: {operation.name}", file=sys.stderr, flush=True)
raise operation.exception() or RuntimeError(operation.error_message)
if operation.warnings:
print(f"Warnings during {verbose_name}:\n", file=sys.stderr, flush=True)
for warning in operation.warnings:
print(f" - {warning.code}: {warning.message}", file=sys.stderr, flush=True)
return result
def create_instance(
project_id: str,
zone: str,
instance_name: str,
disks: list[compute_v1.AttachedDisk],
machine_type: str = "n1-standard-1",
network_link: str = "global/networks/default",
subnetwork_link: str = None,
internal_ip: str = None,
external_access: bool = False,
external_ipv4: str = None,
accelerators: list[compute_v1.AcceleratorConfig] = None,
preemptible: bool = False,
spot: bool = False,
instance_termination_action: str = "STOP",
custom_hostname: str = None,
delete_protection: bool = False,
) -> compute_v1.Instance:
"""
Send an instance creation request to the Compute Engine API and wait for it to complete.
Args:
project_id: project ID or project number of the Cloud project you want to use.
zone: name of the zone to create the instance in. For example: "us-west3-b"
instance_name: name of the new virtual machine (VM) instance.
disks: a list of compute_v1.AttachedDisk objects describing the disks
you want to attach to your new instance.
machine_type: machine type of the VM being created. This value uses the
following format: "zones/{zone}/machineTypes/{type_name}".
For example: "zones/europe-west3-c/machineTypes/f1-micro"
network_link: name of the network you want the new instance to use.
For example: "global/networks/default" represents the network
named "default", which is created automatically for each project.
subnetwork_link: name of the subnetwork you want the new instance to use.
This value uses the following format:
"regions/{region}/subnetworks/{subnetwork_name}"
internal_ip: internal IP address you want to assign to the new instance.
By default, a free address from the pool of available internal IP addresses of
used subnet will be used.
external_access: boolean flag indicating if the instance should have an external IPv4
address assigned.
external_ipv4: external IPv4 address to be assigned to this instance. If you specify
an external IP address, it must live in the same region as the zone of the instance.
This setting requires `external_access` to be set to True to work.
accelerators: a list of AcceleratorConfig objects describing the accelerators that will
be attached to the new instance.
preemptible: boolean value indicating if the new instance should be preemptible
or not. Preemptible VMs have been deprecated and you should now use Spot VMs.
spot: boolean value indicating if the new instance should be a Spot VM or not.
instance_termination_action: What action should be taken once a Spot VM is terminated.
Possible values: "STOP", "DELETE"
custom_hostname: Custom hostname of the new VM instance.
Custom hostnames must conform to RFC 1035 requirements for valid hostnames.
delete_protection: boolean value indicating if the new virtual machine should be
protected against deletion or not.
Returns:
Instance object.
"""
instance_client = compute_v1.InstancesClient()
# Use the network interface provided in the network_link argument.
network_interface = compute_v1.NetworkInterface()
network_interface.network = network_link
if subnetwork_link:
network_interface.subnetwork = subnetwork_link
if internal_ip:
network_interface.network_i_p = internal_ip
if external_access:
access = compute_v1.AccessConfig()
access.type_ = compute_v1.AccessConfig.Type.ONE_TO_ONE_NAT.name
access.name = "External NAT"
access.network_tier = access.NetworkTier.PREMIUM.name
if external_ipv4:
access.nat_i_p = external_ipv4
network_interface.access_configs = [access]
# Collect information into the Instance object.
instance = compute_v1.Instance()
instance.network_interfaces = [network_interface]
instance.name = instance_name
instance.disks = disks
if re.match(r"^zones/[a-z\d\-]+/machineTypes/[a-z\d\-]+$", machine_type):
instance.machine_type = machine_type
else:
instance.machine_type = f"zones/{zone}/machineTypes/{machine_type}"
instance.scheduling = compute_v1.Scheduling()
if accelerators:
instance.guest_accelerators = accelerators
instance.scheduling.on_host_maintenance = (
compute_v1.Scheduling.OnHostMaintenance.TERMINATE.name
)
if preemptible:
# Set the preemptible setting
warnings.warn(
"Preemptible VMs are being replaced by Spot VMs.", DeprecationWarning
)
instance.scheduling = compute_v1.Scheduling()
instance.scheduling.preemptible = True
if spot:
# Set the Spot VM setting
instance.scheduling.provisioning_model = (
compute_v1.Scheduling.ProvisioningModel.SPOT.name
)
instance.scheduling.instance_termination_action = instance_termination_action
if custom_hostname is not None:
# Set the custom hostname for the instance
instance.hostname = custom_hostname
if delete_protection:
# Set the delete protection bit
instance.deletion_protection = True
# Prepare the request to insert an instance.
request = compute_v1.InsertInstanceRequest()
request.zone = zone
request.project = project_id
request.instance_resource = instance
# Wait for the create operation to complete.
print(f"Creating the {instance_name} instance in {zone}...")
operation = instance_client.insert(request=request)
wait_for_extended_operation(operation, "instance creation")
print(f"Instance {instance_name} created.")
return instance_client.get(project=project_id, zone=zone, instance=instance_name)
def create_protected_instance(
project_id: str, zone: str, instance_name: str
) -> compute_v1.Instance:
"""
Create a new VM instance with Debian 10 operating system and delete protection
turned on.
Args:
project_id: project ID or project number of the Cloud project you want to use.
zone: name of the zone to create the instance in. For example: "us-west3-b"
instance_name: name of the new virtual machine (VM) instance.
Returns:
Instance object.
"""
newest_debian = get_image_from_family(project="debian-cloud", family="debian-11")
disk_type = f"zones/{zone}/diskTypes/pd-standard"
disks = [disk_from_image(disk_type, 10, True, newest_debian.self_link)]
instance = create_instance(
project_id, zone, instance_name, disks, delete_protection=True
)
return instance
REST
API에서 VM 인스턴스를 만들 때, 요청 본문에 deletionProtection
속성을 포함합니다. 예를 들면 다음과 같습니다.
POST https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances
{
"name": "[INSTANCE_NAME]",
"deletionProtection": "true",
...
}
삭제 보호를 사용하지 않도록 설정하려면 deletionProtection
을 false
로 설정합니다.
인스턴스에 삭제 보호가 설정되었는지 확인
gcloud tool
또는 API에서 인스턴스에 삭제 보호가 사용 설정되었는지 확인할 수 있습니다.
콘솔
VM 인스턴스 페이지로 이동합니다.
VM 인스턴스로 이동
메시지가 표시되면 프로젝트를 선택하고 계속을 클릭합니다.
VM 인스턴스 페이지에서 열 메뉴를 표시하고 삭제 보호를 사용 설정합니다.
삭제 보호 아이콘이 표시된 새 열이 나타납니다. VM에 삭제 보호가 설정된 경우 인스턴스 이름 옆에 이 아이콘이 표시됩니다.
gcloud
gcloud CLI에서 instances describe
명령어를 실행하고 삭제 보호 필드를 검색합니다. 예를 들면 다음과 같습니다.
gcloud compute instances describe example-instance | grep "deletionProtection"
도구는 deletionProtection
속성 값을 반환합니다. true
또는 false
로 설정하세요.
deletionProtection: false
REST
API에서 GET
요청을 생성하고 deletionProtection
필드를 검색합니다.
GET https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]
기존 인스턴스의 삭제 보호 설정 변경
인스턴스의 현재 상태에 관계없이 기존 인스턴스의 삭제 보호를 전환할 수 있습니다.
특히 삭제 보호를 사용 혹은 사용 안함으로 설정하기 위해 인스턴스를 중지할 필요가 없습니다.
콘솔
VM 인스턴스 페이지로 이동합니다.
VM 인스턴스로 이동
메시지가 표시되면 프로젝트를 선택하고 계속을 클릭합니다.
삭제 보호를 전환하려는 인스턴스의 이름을 클릭합니다. 인스턴스 세부정보 페이지가 표시됩니다.
인스턴스 세부정보 페이지에서 다음 단계를 완료합니다.
- 페이지 상단에서 수정 버튼을 클릭합니다.
삭제 보호 아래에서 상자를 선택하여 삭제 보호를 사용 설정하거나 선택 해제하여 중지합니다.
변경사항을 저장합니다.
gcloud
gcloud CLI를 사용하여 --deletion-protection
또는 --no-deletion-protection
플래그를 사용하여 update
명령어를 실행합니다.
gcloud compute instances update [INSTANCE_NAME] \
[--deletion-protection | --no-deletion-protection]
예를 들어 이름이 example-vm
인 인스턴스에 대해 삭제 보호를 사용 설정하려면 다음을 실행합니다.
gcloud compute instances update example-vm --deletion-protection
REST
API에서 setDeletionProtection
메서드에 deletionProtection
쿼리 매개변수를 사용해 POST
요청을 보냅니다. 예를 들면 다음과 같습니다.
POST https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]/setDeletionProtection?deletionProtection=true
삭제 보호를 사용하지 않도록 설정하려면 deletionProtection
을 false
로 설정합니다. 요청에 요청 본문을 제공하지 마세요.
다음 단계