Backup and DR サービスをデプロイする準備を行う

始める前に

このセクションを開始する前に、バックアップと DR のデプロイを計画するを読むことをおすすめします。

このページでは、 Google Cloud バックアップと DR サービスを有効にする前に満たす必要がある Google Cloud 要件について説明します。この操作はGoogle Cloud コンソールで行う必要があります。

このページで説明するタスクはすべて、バックアップ/復元アプライアンスをデプロイするGoogle Cloud プロジェクトで実行する必要があります。このプロジェクトが共有 VPC サービス プロジェクトの場合、一部のタスクは VPC プロジェクトで実行され、一部はワークロード プロジェクトで実行されます。

信頼できるイメージ プロジェクトを許可する

組織のポリシーで constraint/compute.trustedImageProjects ポリシーを有効にしている場合、バックアップ/リカバリ アプライアンスのデプロイに使用されるイメージの Google Cloud管理ソース プロジェクトは許可されません。次の手順で説明するように、バックアップ/復元アプライアンスがデプロイされているプロジェクトでこの組織のポリシーをカスタマイズして、デプロイ中にポリシー違反エラーが発生しないようにする必要があります。

  1. [組織のポリシー] ページに移動し、アプライアンスをデプロイするプロジェクトを選択します。

    [組織のポリシー] に移動

  2. ポリシーリストで、[信頼できるイメージ プロジェクトを定義する] をクリックします。

  3. 既存の信頼できるイメージの制約をカスタマイズするには、[編集] をクリックします。

  4. [編集] ページで、[カスタマイズ] を選択します。

  5. 次の 3 つの可能性から選択します。

    既存の継承されたポリシー

    継承された既存のポリシーがある場合は、次の操作を行います。

    1. [ポリシーの適用] で、[親と結合する] を選択します。

    2. [ルールを追加] をクリックします。

    3. [ポリシーの値] プルダウン リストから [カスタム] を選択し、特定のイメージ プロジェクトに制約を設定します。

    4. [ポリシータイプ] プルダウン リストから [許可] を選択して、指定したイメージ プロジェクトの制限を解除します。

    5. [カスタム値] フィールドに、カスタム値として「projects/backupdr-images」と入力します。

    6. [完了] をクリックします。

    既存の許可ルール

    既存の許可ルールがある場合は、次の手順を行います。

    1. [ポリシーの適用] はデフォルトの選択のままにします。

    2. 既存の [許可] ルールを選択します。

    3. [値を追加] をクリックしてイメージ プロジェクトを追加し、値を projects/backupdr-images と入力します。

    4. [完了] をクリックします。

    既存のポリシーまたはルールがない

    既存のルールがない場合は、[ルールを追加] を選択し、次の手順を完了します。

    1. [ポリシーの適用] はデフォルトの選択のままにします。

    2. [ポリシーの値] プルダウン リストから [カスタム] を選択し、特定のイメージ プロジェクトに制約を設定します。

    3. [ポリシータイプ] プルダウン リストから [許可] を選択して、指定したイメージ プロジェクトの制限を解除します。

    4. [カスタム値] フィールドに、カスタム値として「projects/backupdr-images」と入力します。

    5. プロジェクト レベルの制約を設定すると、組織またはフォルダに設定されている既存の制約と競合する可能性があります。

    6. [値を追加] をクリックしてイメージ プロジェクトを追加し、[完了] をクリックします。

    7. [保存] をクリックします。

  6. [保存] をクリックして、制約を適用します。

    組織のポリシーの作成の詳細については、組織のポリシーの作成と管理をご覧ください。

デプロイ プロセス

インストールを開始するために、Backup and DR Service はインストーラを実行するサービス アカウントを作成します。サービス アカウントには、ホスト プロジェクト、バックアップ/リカバリ アプライアンス サービス プロジェクト、管理コンソール サービス プロジェクトの権限が必要です。詳しくは、サービス アカウントをご覧ください。

インストールに使用されたサービス アカウントは、バックアップ/リカバリ アプライアンスのサービス アカウントになります。インストール後、サービス アカウントの権限は、バックアップ/復元アプライアンスに必要な権限のみに削減されます。

管理コンソールは、最初のバックアップ/リカバリ アプライアンスをインストールするときにデプロイされます。Backup and DR Service は、共有 VPC または非共有 VPC にデプロイできます。

非共有 VPC の Backup and DR サービス

管理コンソールと最初のバックアップ/リカバリ アプライアンスが共有されていない VPC を使用する単一のプロジェクトにデプロイされている場合、3 つの Backup and DR Service コンポーネントはすべて同じプロジェクトに存在します。

VPC が共有されている場合は、共有 VPC の Backup and DR Service をご覧ください。

共有 VPC 以外の VPC にインストールするために必要な API を有効にする

共有 VPC 以外の VPC でインストールに必要な API を有効にする前に、Backup and DR Service のデプロイがサポートされているリージョンを確認してください。サポートされているリージョンをご覧ください。

共有 VPC 以外の VPC でインストーラを実行するには、次の API を有効にする必要があります。API を有効にするには、Service Usage 管理者ロールが必要です。

API サービス名
Compute Engine compute.googleapis.com
Resource Manager cloudresourcemanager.googleapis.com
ワークフロー 1 workflows.googleapis.com
Cloud Key Management Service(KMS) cloudkms.googleapis.com
Identity and Access Management iam.googleapis.com
Cloud Logging logging.googleapis.com

1 ワークフロー サービスは、リストされているリージョンでサポートされています。バックアップ/復元アプライアンスがデプロイされているリージョンで Workflows サービスが使用できない場合、Backup and DR サービスはデフォルトで「us-central1」リージョンになります。他のリージョンでのリソースの作成を禁止するように設定された組織のポリシーがある場合は、組織のポリシーを一時的に更新して、us-central1 リージョンでのリソースの作成を許可する必要があります。バックアップ/リカバリ アプライアンスのデプロイ後に、「us-central1」リージョンを制限できます。

ユーザー アカウントには、共有されていない VPC プロジェクトで次の権限が必要です

優先ロール 必要な権限
resourcemanager.projectIamAdmin(プロジェクト IAM 管理者) resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
resourcemanager.projects.get
iam.serviceAccounts.delete
iam.serviceAccounts.get
workflows.workflows.delete
workflows.executions.create
workflows.executions.get
workflows.operations.get
serviceusage.serviceUsageAdmin(Service Usage 管理者) serviceusage.services.list
iam.serviceAccountUser(サービス アカウント ユーザー) iam.serviceAccounts.actAs
iam.serviceAccountAdmin(サービス アカウント管理者) iam.serviceAccounts.create
iam.serviceAccounts.delete
iam.serviceAccounts.get
workflows.editor(ワークフロー編集者) workflows.workflows.create
workflows.workflows.delete
workflows.executions.create
workflows.executions.get
workflows.operations.get
backupdr.admin(バックアップと DR の管理者) backupdr.*
閲覧者(基本) ほとんどの
リソースを表示するために必要な権限を付与します。 Google Cloud

共有 VPC での Backup and DR

共有 VPC プロジェクトに管理コンソールと最初のバックアップ/復元アプライアンスをデプロイする場合は、ホスト プロジェクトまたは 1 つ以上のサービス プロジェクトで次の 3 つのプロジェクトを構成する必要があります。

共有 VPC でインストールに必要な API を有効にする前に、Backup and DR のデプロイでサポートされているリージョンを確認してください。サポートされているリージョンをご覧ください。

  • VPC オーナー プロジェクト: 選択した VPC を所有します。VPC オーナーは常にホスト プロジェクトです。

  • 管理コンソール プロジェクト: Backup and DR API が有効になっており、管理コンソールにアクセスしてワークロードを管理する場所です。

  • バックアップ/リカバリ アプライアンス プロジェクト: バックアップ/リカバリ アプライアンスがインストールされ、通常は保護されたリソースが存在する場所です。

共有 VPC では、1 つ、2 つ、または 3 つのプロジェクトになることがあります。

タイプ VPC オーナー 管理コンソール バックアップ / リカバリ アプライアンス
HHH ホスト プロジェクト ホスト プロジェクト ホスト プロジェクト
HHS ホスト プロジェクト ホスト プロジェクト サービス プロジェクト
HSH ホスト プロジェクト サービス プロジェクト ホスト プロジェクト
HSS ホスト プロジェクト サービス プロジェクト サービス プロジェクト
HS2 ホスト プロジェクト サービス プロジェクト 別のサービス プロジェクト

デプロイ戦略の説明

  • HHH: 共有 VPC。VPC オーナー、管理コンソール、バックアップ/リカバリ アプライアンスはすべてホスト プロジェクトにあります。

  • HHS: 共有 VPC。VPC オーナーと管理コンソールはホスト プロジェクトにあり、バックアップ/リカバリ アプライアンスはサービス プロジェクトにあります。

  • HSH: 共有 VPC。VPC オーナーとバックアップ/リカバリ アプライアンスはホスト プロジェクトにあり、管理コンソールはサービス プロジェクトにあります。

  • HSS: 共有 VPC。VPC オーナーはホスト プロジェクトにあり、バックアップ/リカバリ アプライアンスと管理コンソールは 1 つのサービス プロジェクトにあります。

  • HS2: 共有 VPC。VPC オーナーはホスト プロジェクトにあり、バックアップ/リカバリ アプライアンスと管理コンソールは 2 つの異なるサービス プロジェクトにあります。

ホスト プロジェクトにインストールするために必要な API を有効にする

インストーラを実行するには、次の API を有効にする必要があります。API を有効にするには、Service Usage 管理者ロールが必要です。

API サービス名
Compute Engine compute.googleapis.com
Resource Manager cloudresourcemanager.googleapis.com

バックアップ/リカバリ アプライアンス プロジェクトでインストールに必要な API を有効にする

API サービス名
Compute Engine compute.googleapis.com
Resource Manager cloudresourcemanager.googleapis.com
ワークフロー 1 workflows.googleapis.com
Cloud Key Management Service(KMS) cloudkms.googleapis.com
Identity and Access Management iam.googleapis.com
Cloud Logging logging.googleapis.com
Google Cloud

1 ワークフロー サービスは、リストされているリージョンでサポートされています。バックアップ/復元アプライアンスがデプロイされているリージョンで Workflows サービスが使用できない場合、Backup and DR サービスはデフォルトで「us-central1」リージョンになります。他のリージョンでのリソースの作成を禁止するように設定された組織のポリシーがある場合は、組織のポリシーを一時的に更新して、us-central1 リージョンでのリソースの作成を許可する必要があります。バックアップ/リカバリ アプライアンスのデプロイ後に、「us-central1」リージョンを制限できます。

ユーザー アカウントには、VPC 所有者プロジェクトで次の権限が必要です

希望する職種 必要な権限
resourcemanager.projectIamAdmin(プロジェクト IAM 管理者) resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
resourcemanager.projects.get
iam.serviceAccounts.delete
iam.serviceAccounts.get
workflows.workflows.delete
workflows.executions.create
workflows.executions.get
workflows.operations.get
serviceusage.serviceUsageAdmin(Service Usage 管理者) serviceusage.services.list

ユーザー アカウントには、管理コンソール プロジェクトで次の権限が必要です

管理コンソールは、最初のバックアップ/リカバリ アプライアンスをインストールするときにデプロイされます。

希望する職種 必要な権限
resourcemanager.projectIamAdmin(プロジェクト IAM 管理者) resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
resourcemanager.projects.get
iam.serviceAccounts.delete
iam.serviceAccounts.get
workflows.workflows.delete
workflows.executions.create
workflows.executions.get
workflows.operations.get
backupdr.admin(バックアップと DR の管理者) backupdr.*
閲覧者(基本) ほとんどの
リソースを表示するために必要な権限を付与します。 Google Cloud

ユーザー アカウントには、バックアップ/リカバリ アプライアンス プロジェクトで次の権限が必要です

希望する職種 必要な権限
resourcemanager.projectIamAdmin(プロジェクト IAM 管理者) resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
resourcemanager.projects.get
iam.serviceAccountUser(サービス アカウント ユーザー) iam.serviceAccounts.actAs
iam.serviceAccountAdmin(サービス アカウント管理者) iam.serviceAccounts.create
iam.serviceAccounts.delete
iam.serviceAccounts.get
workflows.editor(ワークフロー編集者) workflows.workflows.create
workflows.workflows.delete
workflows.executions.create
workflows.executions.get
workflows.operations.get
serviceusage.serviceUsageAdmin(Service Usage 管理者) serviceusage.services.list

エンドユーザー アカウントの権限に加えて、インストールが完了するまで、お客様に代わって作成されたサービス アカウントに他の権限が一時的に付与されます。

ネットワークの構成

ターゲット プロジェクトの VPC ネットワークがまだ作成されていない場合は、続行する前に作成する必要があります。詳細については、Virtual Private Cloud(VPC)ネットワークの作成と変更をご覧ください。バックアップ/復元アプライアンスをデプロイする予定の各リージョンにサブネットが必要です。また、サブネットを作成するには compute.networks.create 権限を割り当てる必要があります。

複数のネットワークにバックアップ/復元アプライアンスをデプロイする場合は、同じ IP アドレス範囲を共有しないサブネットを使用して、複数のバックアップ/復元アプライアンスが同じ IP アドレスを持つことを防ぎます。

プライベート Google アクセスを構成する

バックアップ/復元アプライアンスは、限定公開の Google アクセスを使用して管理コンソールと通信します。バックアップ/復元アプライアンスをデプロイするサブネットごとに限定公開の Google アクセスを有効にすることをおすすめします。

バックアップ/復元アプライアンスがデプロイされているサブネットは、ドメイン backupdr.googleusercontent.com でホストされている一意のドメインと通信する必要があります。Cloud DNS に次の構成を含めることをおすすめします。

  1. DNS 名 backupdr.googleusercontent.com限定公開ゾーンを作成します。
  2. ドメイン backupdr.googleusercontent.comA レコードを作成し、private.googleapis.com サブネット 199.36.153.8/30 から 4 つの IP アドレス 199.36.153.8199.36.153.9199.36.153.10199.36.153.11 をそれぞれ含めます。VPC Service Controls を使用している場合は、restricted.googleapis.com サブネット 199.36.153.4/30 から 199.36.153.4199.36.153.5199.36.153.6199.36.153.7 を使用します。
  3. ドメイン名 backupdr.googleusercontent.com を指す *.backupdr.googleusercontent.comCNAME レコードを作成します。

これにより、一意の管理コンソール ドメインの DNS 解決は、限定公開の Google アクセスを使用してトラバースされます。

ファイアウォール ルールに、TCP 443199.36.153.8/30 サブネットまたは 199.36.153.4/30 サブネットへのアクセスを許可する下り(外向き)ルールがあることを確認します。また、すべてのトラフィックを 0.0.0.0/0 に許可する下り(外向き)ルールがある場合は、バックアップ/リカバリ アプライアンスと管理コンソール間の接続が成功します。

Cloud Storage バケットを作成する

Backup and DR エージェントを使用してデータベースとファイル システムを保護し、バックアップを Cloud Storage にコピーして長期保存する場合は、Cloud Storage バケットが必要です。これは、VMware vSphere Storage APIs Data Protection を使用して作成された VMware VM バックアップにも適用されます。

次の手順で Cloud Storage バケットを作成します。

  1. Google Cloud コンソールで Cloud Storage の [バケット] ページに移動します。

    [バケット] に移動

  2. [バケットを作成] をクリックします。

  3. バケットの名前を入力します。

  4. データを保存するリージョンを選択し、[続行] をクリックします。

  5. デフォルトのストレージ クラスを選択し、[続行] をクリックします。保持期間が 30 日以下の場合は Nearline を使用し、保持期間が 90 日以上の場合は Coldline を使用します。保持期間が 30 ~ 90 日の場合は、Coldline の使用を検討してください。

  6. [均一アクセス制御] を選択したままにして、[続行] をクリックします。きめ細かい設定は使用しないでください。

  7. [保護ツール] は [なし] のままにして、[続行] をクリックします。他の選択肢は Backup and DR Service で機能しないため、選択しないでください。

  8. [作成] をクリックします。

  9. サービス アカウントにバケットへのアクセス権があることを確認します。

    1. 新しいバケットを選択して、バケットの詳細を表示します。

    2. [権限] に移動します。

    3. [プリンシパル] に、新しいサービス アカウントが一覧表示されていることを確認します。そうでない場合は、[追加] ボタンを使用して、読み取りと書き込みの両方のサービス アカウントをプリンシパルとして追加します。

次のステップ