In diesem Dokument wird beschrieben, wie Sie bestimmte VM-Instanzen vor dem Löschen schützen. Legen Sie dazu das Attribut deletionProtection für eine Instanzressource fest. Weitere Informationen zu VM-Instanzen finden Sie in der Dokumentation zu Instanzen.
Ihre Arbeitslast kann bestimmte VM-Instanzen enthalten, die für die Ausführung Ihrer Anwendung oder Dienste wichtig sind, z. B. eine Instanz, auf der ein SQL-Server ausgeführt wird, ein Server, der als Lizenzmanager verwendet wird, und so weiter. Diese VM-Instanzen müssen möglicherweise unbegrenzt laufen. Sie müssen also in der Lage sein, zu verhindern, dass diese VMs gelöscht werden.
Mit dem Flag deletionProtection kann eine VM-Instanz vor versehentlichem Löschen geschützt werden. Wenn ein Nutzer versucht, eine VM-Instanz zu löschen, für die Sie das Flag deletionProtection gesetzt haben, schlägt die Anforderung fehl. Nur ein Nutzer, dem eine Rolle mit der Berechtigung compute.instances.create erteilt wurde, kann das Flag zurücksetzen, damit die Ressource gelöscht werden kann.
Vorbereitung
- Wenn Sie die Befehlszeilenbeispiele in dieser Anleitung verwenden möchten:
- Installieren Sie das gcloud-Befehlszeilentool oder aktualisieren Sie es auf die neueste Version.
- Legen Sie eine Standardregion und -zone fest.
- Wenn Sie die API-Beispiele dieser Anleitung verwenden möchten, richten Sie den API-Zugang ein.
- Lesen Sie die Dokumentation zu Instanzen.
Spezifikationen
Durch den Löschschutz werden die folgenden Aktionen nicht verhindert:
- Instanz innerhalb der VM beenden (z. B. durch Ausführen des Befehls
shutdown) - Instanz beenden
- Instanz zurücksetzen
- Instanzentfernung durch Google aufgrund von Betrug und Missbrauch
- Instanzen aufgrund eines Projektabschlusses entfernen
- Instanz innerhalb der VM beenden (z. B. durch Ausführen des Befehls
Der Löschschutz kann sowohl auf normale VMs als auch auf präemptive VMs angewendet werden.
Der Löschschutz kann nicht auf VMs angewendet werden, die Teil einer verwalteten Instanzgruppe sind, kann aber auf Instanzen angewendet werden, die Teil von nicht verwalteten Instanzgruppen sind.
Der Löschschutz kann nicht in Instanzvorlagen festgelegt werden.
Berechtigungen
Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen ODER eine der folgenden IAM-Rollen für die Ressource.
Berechtigungen
compute.instances.create
Rollen
compute.admincompute.instanceAdmin.v1
Löschschutz während der Instanzerstellung festlegen
Standardmäßig ist der Löschschutz für Ihre Instanz deaktiviert. Aktivieren Sie den Löschschutz mithilfe der folgenden Anweisungen.
Konsole
- Öffnen Sie die Seite "VM-Instanzen".
- Wenn Sie dazu aufgefordert werden, wählen Sie Ihr Projekt aus und klicken Sie auf Weiter.
- Klicken Sie auf Instanz erstellen.
- Erweitern Sie den Abschnitt Verwaltung, Sicherheit, Laufwerke, Netzwerke, einzelne Mandanten.
Klicken Sie unter Management das Kästchen Enable deletion protection (Löschschutz aktivieren) an.
Fahren Sie mit dem VM-Erstellungsprozess fort.
gcloud
Verwenden Sie beim Erstellen einer VM-Instanz entweder das Flag --deletion-protection oder das Flag no-deletion-protection. Der Löschschutz ist standardmäßig deaktiviert. Aktivieren Sie den Löschschutz wie im Folgenden beschrieben:
gcloud compute instances create [INSTANCE_NAME] --deletion-protection
Dabei steht [INSTANCE_NAME] für den Namen der gewünschten Instanz.
So deaktivieren Sie den Löschschutz während der Erstellung:
gcloud compute instances create [INSTANCE_NAME] --no-deletion-protection
API
Fügen Sie in der API beim Erstellen einer VM-Instanz das Attribut deletionProtection in den Anfragetext ein. Beispiel:
POST https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances
{
"name": "[INSTANCE_NAME]",
"deletionProtection": "true",
...
}
Um den Löschschutz zu deaktivieren, setzen Sie deletionProtection auf false.
Löschschutz für vorhandene Instanzen umschalten
Sie können den Löschschutz für eine vorhandene Instanz unabhängig vom aktuellen Status der Instanz umschalten. Insbesondere müssen Sie die Instanz nicht stoppen, bevor Sie den Löschschutz aktivieren oder deaktivieren können.
Konsole
- Öffnen Sie die Seite "VM-Instanzen".
- Wenn Sie dazu aufgefordert werden, wählen Sie Ihr Projekt aus und klicken Sie auf Weiter.
- Klicken Sie auf den Namen der Instanz, für die Sie den Löschschutz aktivieren bzw. deaktivieren möchten. Die Seite mit den Instanzdetails wird angezeigt.
Führen Sie auf der Seite mit den Instanzdetails folgende Schritte aus:
- Klicken Sie oben auf der Seite auf Bearbeiten.
Klicken Sie unter Deletion Protection (Löschschutz)auf das Kästchen, um den Löschschutz zu aktivieren, oder entfernen Sie das Häkchen, um ihn zu deaktivieren.
Speichern Sie die Änderungen.
gcloud
Führen Sie mit dem gcloud-Tool den Befehl update mit dem Flag --deletion-protection oder dem Flag --no-deletion-protection aus:
gcloud compute instances update [INSTANCE_NAME] \
[--deletion-protection | --no-deletion-protection]
Geben Sie z. B. Folgendes ein, um den Löschschutz für eine Instanz namens example-vm zu deaktivieren:
gcloud compute instances update example-vm --deletion-protection
API
Führen Sie in der API eine POST-Anfrage für die Methode setDeletionProtection mit dem Suchparameter delectionProtection aus. Beispiel:
POST https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]/setDeletionProtection?deletionProtection=true
Um den Löschschutz zu deaktivieren, setzen Sie deletionProtection auf "false". Geben Sie bei der Anfrage keinen Anfragetext an.
Ermitteln, ob für eine Instanz Löschschutz aktiviert ist
Sie können mit dem gcloud tool oder der API feststellen, ob der Löschschutz für eine Instanz aktiviert ist.
Console
- Öffnen Sie die Seite "VM-Instanzen".
- Wenn Sie dazu aufgefordert werden, wählen Sie Ihr Projekt aus und klicken Sie auf Weiter.
Öffnen Sie auf der Seite VM-Instanzen das Menü Spalten und aktivieren Sie Deletion protection (Löschschutz).
Eine neue Spalte wird mit dem Löschschutzsymbol angezeigt. Wenn auf einer VM der Löschschutz aktiviert ist, wird das Symbol neben dem Instanznamen angezeigt.
gcloud
Führen Sie im gcloud-Tool den Befehl instances describe aus und suchen Sie nach dem Feld für den Löschschutz. Beispiel:
gcloud compute instances describe example-instance | grep "deletionProtection"
Das Tool gibt den Wert des Attributs deletionProtection zurück, das entweder auf true oder false festgelegt ist:
deletionProtection: false
API
Geben Sie in der API eine GET-Anfrage ein und suchen Sie nach dem Feld deletionProtection:
GET https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]
Weitere Informationen
- Instanz beenden
- Instanzen löschen, wenn sie nicht mehr benötigt werden