このドキュメントでは、インスタンス リソースで deletionProtection
プロパティを設定することによって特定の VM インスタンスが削除されないようにする方法について説明します。VM インスタンスの詳細については、インスタンスのドキュメントをご覧ください。
ワークロードの一部として、アプリケーションやサービスの実行に不可欠な VM インスタンスが存在する場合があります。たとえば、SQL サーバーを実行するインスタンスや、ライセンス マネージャーとして使用されるサーバーなどがこれに該当します。このような VM インスタンスは常に稼働していなければならないため、これらの VM が削除されないようにする手段が必要です。
deletionProtection
フラグを設定することで、VM インスタンスが誤って削除される事態を防ぐことができます。deletionProtection
フラグが設定された VM インスタンスをユーザーが削除しようとすると、そのリクエストは失敗します。このフラグをリセットしてリソースを削除可能にできるのは、compute.instances.create
権限を持つ役割を付与されたユーザーだけです。
準備
仕様
削除保護では、次の操作は妨げられません。
削除保護は、通常の VM とプリエンプティブル VM の両方に適用できます。
削除保護は、マネージド インスタンス グループに属する VM には適用できませんが、非マネージド インスタンス グループに属するインスタンスには適用できます。
削除保護は、インスタンス テンプレートでは指定できません。
権限
このタスクを実施するには、次の権限またはリソースに対する次の IAM ロールが付与されている必要があります。
権限
役割
compute.admin
compute.instanceAdmin.v1
インスタンスの作成時に削除保護を設定する
デフォルトでは、インスタンスの削除保護は無効になっています。削除保護を有効にするには、次の手順に従います。
コンソール
Google Cloud コンソールで、[インスタンスの作成] ページに移動します。
[インスタンスの作成] に移動
[詳細オプション] セクションを開き、次の操作を行います。
- [管理] セクションを開きます。
- [削除からの保護の有効化] チェックボックスをオンにします。
VM 作成プロセスを続行します。
gcloud
VM インスタンスを作成するときに --deletion-protection
または no-deletion-protection
フラグを指定します。削除保護はデフォルトで無効になっているため、削除保護を有効にするには次のコマンドを実行します。
gcloud compute instances create [INSTANCE_NAME] --deletion-protection
ここで、[INSTANCE_NAME]
は対象のインスタンスの名前です。
作成時に削除保護を無効にするには、次のコマンドを実行します。
gcloud compute instances create [INSTANCE_NAME] --no-deletion-protection
Python
from __future__ import annotations
import re
import sys
from typing import Any
import warnings
from google.api_core.extended_operation import ExtendedOperation
from google.cloud import compute_v1
def get_image_from_family(project: str, family: str) -> compute_v1.Image:
"""
Retrieve the newest image that is part of a given family in a project.
Args:
project: project ID or project number of the Cloud project you want to get image from.
family: name of the image family you want to get image from.
Returns:
An Image object.
"""
image_client = compute_v1.ImagesClient()
# List of public operating system (OS) images: https://cloud.google.com/compute/docs/images/os-details
newest_image = image_client.get_from_family(project=project, family=family)
return newest_image
def disk_from_image(
disk_type: str,
disk_size_gb: int,
boot: bool,
source_image: str,
auto_delete: bool = True,
) -> compute_v1.AttachedDisk:
"""
Create an AttachedDisk object to be used in VM instance creation. Uses an image as the
source for the new disk.
Args:
disk_type: the type of disk you want to create. This value uses the following format:
"zones/{zone}/diskTypes/(pd-standard|pd-ssd|pd-balanced|pd-extreme)".
For example: "zones/us-west3-b/diskTypes/pd-ssd"
disk_size_gb: size of the new disk in gigabytes
boot: boolean flag indicating whether this disk should be used as a boot disk of an instance
source_image: source image to use when creating this disk. You must have read access to this disk. This can be one
of the publicly available images or an image from one of your projects.
This value uses the following format: "projects/{project_name}/global/images/{image_name}"
auto_delete: boolean flag indicating whether this disk should be deleted with the VM that uses it
Returns:
AttachedDisk object configured to be created using the specified image.
"""
boot_disk = compute_v1.AttachedDisk()
initialize_params = compute_v1.AttachedDiskInitializeParams()
initialize_params.source_image = source_image
initialize_params.disk_size_gb = disk_size_gb
initialize_params.disk_type = disk_type
boot_disk.initialize_params = initialize_params
# Remember to set auto_delete to True if you want the disk to be deleted when you delete
# your VM instance.
boot_disk.auto_delete = auto_delete
boot_disk.boot = boot
return boot_disk
def wait_for_extended_operation(
operation: ExtendedOperation, verbose_name: str = "operation", timeout: int = 300
) -> Any:
"""
Waits for the extended (long-running) operation to complete.
If the operation is successful, it will return its result.
If the operation ends with an error, an exception will be raised.
If there were any warnings during the execution of the operation
they will be printed to sys.stderr.
Args:
operation: a long-running operation you want to wait on.
verbose_name: (optional) a more verbose name of the operation,
used only during error and warning reporting.
timeout: how long (in seconds) to wait for operation to finish.
If None, wait indefinitely.
Returns:
Whatever the operation.result() returns.
Raises:
This method will raise the exception received from `operation.exception()`
or RuntimeError if there is no exception set, but there is an `error_code`
set for the `operation`.
In case of an operation taking longer than `timeout` seconds to complete,
a `concurrent.futures.TimeoutError` will be raised.
"""
result = operation.result(timeout=timeout)
if operation.error_code:
print(
f"Error during {verbose_name}: [Code: {operation.error_code}]: {operation.error_message}",
file=sys.stderr,
flush=True,
)
print(f"Operation ID: {operation.name}", file=sys.stderr, flush=True)
raise operation.exception() or RuntimeError(operation.error_message)
if operation.warnings:
print(f"Warnings during {verbose_name}:\n", file=sys.stderr, flush=True)
for warning in operation.warnings:
print(f" - {warning.code}: {warning.message}", file=sys.stderr, flush=True)
return result
def create_instance(
project_id: str,
zone: str,
instance_name: str,
disks: list[compute_v1.AttachedDisk],
machine_type: str = "n1-standard-1",
network_link: str = "global/networks/default",
subnetwork_link: str = None,
internal_ip: str = None,
external_access: bool = False,
external_ipv4: str = None,
accelerators: list[compute_v1.AcceleratorConfig] = None,
preemptible: bool = False,
spot: bool = False,
instance_termination_action: str = "STOP",
custom_hostname: str = None,
delete_protection: bool = False,
) -> compute_v1.Instance:
"""
Send an instance creation request to the Compute Engine API and wait for it to complete.
Args:
project_id: project ID or project number of the Cloud project you want to use.
zone: name of the zone to create the instance in. For example: "us-west3-b"
instance_name: name of the new virtual machine (VM) instance.
disks: a list of compute_v1.AttachedDisk objects describing the disks
you want to attach to your new instance.
machine_type: machine type of the VM being created. This value uses the
following format: "zones/{zone}/machineTypes/{type_name}".
For example: "zones/europe-west3-c/machineTypes/f1-micro"
network_link: name of the network you want the new instance to use.
For example: "global/networks/default" represents the network
named "default", which is created automatically for each project.
subnetwork_link: name of the subnetwork you want the new instance to use.
This value uses the following format:
"regions/{region}/subnetworks/{subnetwork_name}"
internal_ip: internal IP address you want to assign to the new instance.
By default, a free address from the pool of available internal IP addresses of
used subnet will be used.
external_access: boolean flag indicating if the instance should have an external IPv4
address assigned.
external_ipv4: external IPv4 address to be assigned to this instance. If you specify
an external IP address, it must live in the same region as the zone of the instance.
This setting requires `external_access` to be set to True to work.
accelerators: a list of AcceleratorConfig objects describing the accelerators that will
be attached to the new instance.
preemptible: boolean value indicating if the new instance should be preemptible
or not. Preemptible VMs have been deprecated and you should now use Spot VMs.
spot: boolean value indicating if the new instance should be a Spot VM or not.
instance_termination_action: What action should be taken once a Spot VM is terminated.
Possible values: "STOP", "DELETE"
custom_hostname: Custom hostname of the new VM instance.
Custom hostnames must conform to RFC 1035 requirements for valid hostnames.
delete_protection: boolean value indicating if the new virtual machine should be
protected against deletion or not.
Returns:
Instance object.
"""
instance_client = compute_v1.InstancesClient()
# Use the network interface provided in the network_link argument.
network_interface = compute_v1.NetworkInterface()
network_interface.network = network_link
if subnetwork_link:
network_interface.subnetwork = subnetwork_link
if internal_ip:
network_interface.network_i_p = internal_ip
if external_access:
access = compute_v1.AccessConfig()
access.type_ = compute_v1.AccessConfig.Type.ONE_TO_ONE_NAT.name
access.name = "External NAT"
access.network_tier = access.NetworkTier.PREMIUM.name
if external_ipv4:
access.nat_i_p = external_ipv4
network_interface.access_configs = [access]
# Collect information into the Instance object.
instance = compute_v1.Instance()
instance.network_interfaces = [network_interface]
instance.name = instance_name
instance.disks = disks
if re.match(r"^zones/[a-z\d\-]+/machineTypes/[a-z\d\-]+$", machine_type):
instance.machine_type = machine_type
else:
instance.machine_type = f"zones/{zone}/machineTypes/{machine_type}"
instance.scheduling = compute_v1.Scheduling()
if accelerators:
instance.guest_accelerators = accelerators
instance.scheduling.on_host_maintenance = (
compute_v1.Scheduling.OnHostMaintenance.TERMINATE.name
)
if preemptible:
# Set the preemptible setting
warnings.warn(
"Preemptible VMs are being replaced by Spot VMs.", DeprecationWarning
)
instance.scheduling = compute_v1.Scheduling()
instance.scheduling.preemptible = True
if spot:
# Set the Spot VM setting
instance.scheduling.provisioning_model = (
compute_v1.Scheduling.ProvisioningModel.SPOT.name
)
instance.scheduling.instance_termination_action = instance_termination_action
if custom_hostname is not None:
# Set the custom hostname for the instance
instance.hostname = custom_hostname
if delete_protection:
# Set the delete protection bit
instance.deletion_protection = True
# Prepare the request to insert an instance.
request = compute_v1.InsertInstanceRequest()
request.zone = zone
request.project = project_id
request.instance_resource = instance
# Wait for the create operation to complete.
print(f"Creating the {instance_name} instance in {zone}...")
operation = instance_client.insert(request=request)
wait_for_extended_operation(operation, "instance creation")
print(f"Instance {instance_name} created.")
return instance_client.get(project=project_id, zone=zone, instance=instance_name)
def create_protected_instance(
project_id: str, zone: str, instance_name: str
) -> compute_v1.Instance:
"""
Create a new VM instance with Debian 10 operating system and delete protection
turned on.
Args:
project_id: project ID or project number of the Cloud project you want to use.
zone: name of the zone to create the instance in. For example: "us-west3-b"
instance_name: name of the new virtual machine (VM) instance.
Returns:
Instance object.
"""
newest_debian = get_image_from_family(project="debian-cloud", family="debian-11")
disk_type = f"zones/{zone}/diskTypes/pd-standard"
disks = [disk_from_image(disk_type, 10, True, newest_debian.self_link)]
instance = create_instance(
project_id, zone, instance_name, disks, delete_protection=True
)
return instance
REST
API では、VM インスタンスを作成するときにリクエスト本文に deletionProtection
プロパティを含めます。次に例を示します。
POST https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances
{
"name": "[INSTANCE_NAME]",
"deletionProtection": "true",
...
}
削除保護を無効にするには、deletionProtection
を false
に設定します。
インスタンスの削除保護が有効になっているかどうかを確認する
インスタンスの削除保護が有効になっているかどうかは、gcloud tool
または API で確認できます。
Console
[VM インスタンス] ページに移動します。
[VM インスタンス] に移動
プロンプトが表示されたら、プロジェクトを選択して [続行] をクリックします。
[VM インスタンス] ページの [列を選択] プルダウン メニューで [削除からの保護] を有効にします。
新しい列が追加され、削除保護アイコンが表示されます。VM で削除保護が有効になっている場合、インスタンス名の横にアイコンが表示されます。
gcloud
gcloud CLI で instances describe
コマンドを実行して、削除保護フィールドを検索します。次に例を示します。
gcloud compute instances describe example-instance | grep "deletionProtection"
このツールは、deletionProtection
プロパティに設定されている値(true
または false
)を返します。
deletionProtection: false
REST
API では、GET
リクエストを発行して deletionProtection
フィールドを探します。
GET https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]
既存インスタンスの削除保護を切り替える
インスタンスの現在のステータスにかかわらず、既存インスタンスの削除保護を切り替えることができます。削除保護を有効または無効にする前にインスタンスを停止する必要はありません。
Console
[VM インスタンス] ページに移動します。
[VM インスタンス] に移動
プロンプトが表示されたら、プロジェクトを選択して [続行] をクリックします。
削除保護を切り替えるインスタンスの名前をクリックします。インスタンスの詳細ページが表示されます。
インスタンスの詳細ページで、次の手順を実行します。
- ページの上部にある [編集] ボタンをクリックします。
[削除からの保護] で、チェックボックスをオンにして削除保護を有効にするか、チェックボックスをオフにして削除保護を無効にします。
変更を保存します。
gcloud
gcloud CLI で、--deletion-protection
または --no-deletion-protection
フラグを使用して、update
コマンドを実行します。
gcloud compute instances update [INSTANCE_NAME] \
[--deletion-protection | --no-deletion-protection]
たとえば、example-vm
というインスタンスの削除保護を有効にするには、次のコマンドを実行します。
gcloud compute instances update example-vm --deletion-protection
REST
API では、deletionProtection
クエリ パラメータを使用して setDeletionProtection
メソッドに POST
リクエストを発行します。次に例を示します。
POST https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]/setDeletionProtection?deletionProtection=true
削除保護を無効にするには、deletionProtection
を false
に設定します。リクエスト本文は提供しないでください。
次のステップ