Backup and DR サービスをデプロイする準備を行う

始める前に

このセクションを開始する前に、バックアップと DR のデプロイを計画するをご覧ください。

このページでは、 Google Cloud バックアップと DR サービスを有効にする前に満たす必要がある Google Cloud 要件について説明します。これは Google Cloud コンソールで行う必要があります。

このページで説明するタスクはすべて、バックアップ/リカバリ アプライアンスをデプロイするGoogle Cloud プロジェクトで行う必要があります。このプロジェクトが共有 VPC サービス プロジェクトの場合、一部のタスクは VPC プロジェクトで実行され、一部のタスクはワークロード プロジェクトで実行されます。

信頼できるイメージ プロジェクトを許可する

組織のポリシーで constraint/compute.trustedImageProjects ポリシーを有効にしている場合、バックアップ/リカバリ アプライアンスのデプロイに使用されるイメージの Google マネージド ソース プロジェクトは許可されません。デプロイ中にポリシー違反エラーが発生しないようにするには、次の手順で説明するように、バックアップ/リカバリ アプライアンスがデプロイされるプロジェクトでこの組織のポリシーをカスタマイズする必要があります。

  1. [組織のポリシー] ページに移動し、アプライアンスをデプロイするプロジェクトを選択します。

    [組織のポリシー] に移動

  2. ポリシーリストで、[信頼できるイメージ プロジェクトを定義する] をクリックします。

  3. 既存の信頼できるイメージの制約をカスタマイズするには、[編集] をクリックします。

  4. [編集] ページで、[カスタマイズ] を選択します。

  5. 次の 3 つの可能性から選択します。

    既存の継承ポリシー

    既存の継承ポリシーがある場合は、次の操作を行います。

    1. [ポリシーの適用] で、[親と結合する] を選択します。

    2. [ルールを追加] をクリックします。

    3. [ポリシーの値] プルダウン リストから [カスタム] を選択し、特定のイメージ プロジェクトに制約を設定します。

    4. [ポリシータイプ] プルダウン リストから [許可] を選択し、指定したイメージ プロジェクトの制限を解除します。

    5. [カスタム値] フィールドに、カスタム値として projects/backupdr-images と入力します。

    6. [完了] をクリックします。

    既存の許可ルール

    既存の [許可] ルールがある場合は、次の操作を行います。

    1. [ポリシーの適用] はデフォルトのままにします。

    2. 既存の [許可] ルールを選択します。

    3. [値を追加] をクリックしてイメージ プロジェクトを追加し、値を projects/backupdr-images として入力します。

    4. [完了] をクリックします。

    既存のポリシーまたはルールがない

    既存のルールがない場合は、[ルールを追加] を選択し、次の手順を完了します。

    1. [ポリシーの適用] はデフォルトのままにします。

    2. [ポリシーの値] プルダウン リストから [カスタム] を選択し、特定のイメージ プロジェクトに制約を設定します。

    3. [ポリシータイプ] プルダウン リストから [許可] を選択し、指定したイメージ プロジェクトの制限を解除します。

    4. [カスタム値] フィールドに、カスタム値として projects/backupdr-images と入力します。

    5. プロジェクト レベルの制約を設定すると、組織またはフォルダに設定されている既存の制約と競合する可能性があります。

    6. [値を追加] をクリックしてイメージ プロジェクトを追加し、[完了] をクリックします。

    7. [保存] をクリックします。

  6. [保存] をクリックして、制約を適用します。

    組織のポリシーの作成の詳細については、組織のポリシーの作成と管理をご覧ください。

デプロイ プロセス

インストールを開始するために、Backup and DR Service はインストーラを実行するサービス アカウントを作成します。サービス アカウントには、ホスト プロジェクト、バックアップ/リカバリ アプライアンス サービス プロジェクト、管理コンソール サービス プロジェクトに対する権限が必要です。詳細については、サービス アカウントをご覧ください。

インストールに使用されたサービス アカウントが、バックアップ/リカバリ アプライアンスのサービス アカウントになります。インストール後、サービス アカウントの権限は、バックアップ/リカバリ アプライアンスに必要な権限のみに減らされます。

管理コンソールは、最初のバックアップ/リカバリ アプライアンスをインストールするときにデプロイされます。バックアップ サービスと DR サービスは、共有 VPC または非共有 VPC にデプロイできます。

共有 VPC 以外の Backup and DR サービス

管理コンソールと最初のバックアップ/リカバリ アプライアンスを共有されていない VPC を持つ単一のプロジェクトにデプロイする場合、バックアップと DR サービスの 3 つのコンポーネントがすべて同じプロジェクトに配置されます。

VPC が共有されている場合は、共有 VPC のバックアップと DR サービスをご覧ください。

共有されていない VPC へのインストールに必要な API を有効にする

共有されていない VPC へのインストールに必要な API を有効にする前に、Backup and DR Service のデプロイでサポートされているリージョンを確認します。サポートされているリージョンをご覧ください。

共有 VPC 以外でインストーラを実行するには、次の API を有効にする必要があります。API を有効にするには、Service Usage 管理者のロールが必要です。

API サービス名
Compute Engine compute.googleapis.com
Resource Manager cloudresourcemanager.googleapis.com
ワークフロー 1 workflows.googleapis.com
Cloud Key Management Service(KMS) cloudkms.googleapis.com
Identity and Access Management iam.googleapis.com
Cloud Logging logging.googleapis.com

1 ワークフロー サービスは、記載されているリージョンでサポートされています。バックアップ/リカバリ アプライアンスがデプロイされているリージョンで Workflows サービスを使用できない場合、Backup and DR Service はデフォルトで「us-central1」リージョンになります。他のリージョンでリソースを作成できないように設定されている組織のポリシーがある場合は、組織のポリシーを一時的に更新して、「us-central1」リージョンでリソースの作成を許可する必要があります。バックアップ/リカバリ アプライアンスのデプロイ後に、「us-central1」リージョンを制限できます。

ユーザー アカウントには、共有されていない VPC プロジェクトに対する次の権限が必要です。

優先ロール 必要な権限
resourcemanager.projectIamAdmin(プロジェクト IAM 管理者) resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
resourcemanager.projects.get
iam.serviceAccounts.delete
iam.serviceAccounts.get
workflows.workflows.delete
workflows.executions.create
workflows.executions.get
workflows.operations.get
serviceusage.serviceUsageAdmin(Service Usage 管理者) serviceusage.services.list
iam.serviceAccountUser(サービス アカウント ユーザー) iam.serviceAccounts.actAs
iam.serviceAccountAdmin(サービス アカウント管理者) iam.serviceAccounts.create
iam.serviceAccounts.delete
iam.serviceAccounts.get
workflows.editor(ワークフロー編集者) workflows.workflows.create
workflows.workflows.delete
workflows.executions.create
workflows.executions.get
workflows.operations.get
backupdr.admin(バックアップと DR の管理者) backupdr.*
閲覧者(基本) Google Cloud リソースのほとんどを表示するために必要な権限を付与します。

共有 VPC のバックアップと DR

共有 VPC プロジェクトに管理コンソールと最初のバックアップ/リカバリ アプライアンスをデプロイする場合は、ホスト プロジェクトまたは 1 つ以上のサービス プロジェクトで次の 3 つのプロジェクトを構成する必要があります。

共有 VPC へのインストールに必要な API を有効にする前に、バックアップと DR のデプロイでサポートされているリージョンを確認してください。サポートされているリージョンをご覧ください。

  • VPC オーナー プロジェクト: 選択した VPC を所有します。VPC オーナーは常にホスト プロジェクトです。

  • 管理コンソール プロジェクト: Backup and DR API が有効になり、管理コンソールにアクセスしてワークロードを管理するプロジェクト。

  • バックアップ/リカバリ アプライアンス プロジェクト: バックアップ/リカバリ アプライアンスがインストールされる場所で、通常は保護されたリソースが存在する場所です。

共有 VPC では、1、2、または 3 つのプロジェクトになります。

タイプ VPC オーナー 管理コンソール バックアップ / リカバリ アプライアンス
HHH ホスト プロジェクト ホスト プロジェクト ホスト プロジェクト
HHS ホスト プロジェクト ホスト プロジェクト サービス プロジェクト
HSH ホスト プロジェクト サービス プロジェクト ホスト プロジェクト
HSS ホスト プロジェクト サービス プロジェクト サービス プロジェクト
HS2 ホスト プロジェクト サービス プロジェクト 別のサービス プロジェクト

デプロイ戦略の説明

  • HHH: 共有 VPC。VPC オーナー、管理コンソール、バックアップ/リカバリ アプライアンスはすべてホスト プロジェクトにあります。

  • HHS: 共有 VPC。VPC オーナーと管理コンソールはホスト プロジェクトにあり、バックアップ/リカバリ アプライアンスはサービス プロジェクトにあります。

  • HSH: 共有 VPC。VPC オーナーとバックアップ/リカバリ アプライアンスはホスト プロジェクトにあり、管理コンソールはサービス プロジェクトにあります。

  • HSS: 共有 VPC。VPC オーナーはホスト プロジェクトにあり、バックアップ/リカバリ アプライアンスと管理コンソールは 1 つのサービス プロジェクトにあります。

  • HS2: 共有 VPC。VPC オーナーはホスト プロジェクトにあり、バックアップ/リカバリ アプライアンスと管理コンソールは 2 つの異なるサービス プロジェクトにあります。

ホスト プロジェクトへのインストールに必要な API を有効にする

インストーラを実行するには、次の API を有効にする必要があります。API を有効にするには、Service Usage 管理者のロールが必要です。

API サービス名
Compute Engine compute.googleapis.com
Resource Manager cloudresourcemanager.googleapis.com

バックアップ/リカバリ アプライアンス プロジェクトでインストールに必要な API を有効にする

API サービス名
Compute Engine compute.googleapis.com
Resource Manager cloudresourcemanager.googleapis.com
ワークフロー 1 workflows.googleapis.com
Cloud Key Management Service(KMS) cloudkms.googleapis.com
Identity and Access Management iam.googleapis.com
Cloud Logging logging.googleapis.com

1 ワークフロー サービスは、記載されているリージョンでサポートされています。バックアップ/リカバリ アプライアンスがデプロイされているリージョンで Workflows サービスを使用できない場合、Backup and DR Service はデフォルトで「us-central1」リージョンになります。他のリージョンでリソースを作成できないように設定されている組織のポリシーがある場合は、組織のポリシーを一時的に更新して、「us-central1」リージョンでリソースの作成を許可する必要があります。バックアップ/リカバリ アプライアンスのデプロイ後に、「us-central1」リージョンを制限できます。

ユーザー アカウントには、VPC オーナー プロジェクトに対する次の権限が必要です。

優先ロール 必要な権限
resourcemanager.projectIamAdmin(プロジェクト IAM 管理者) resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
resourcemanager.projects.get
iam.serviceAccounts.delete
iam.serviceAccounts.get
workflows.workflows.delete
workflows.executions.create
workflows.executions.get
workflows.operations.get
serviceusage.serviceUsageAdmin(Service Usage 管理者) serviceusage.services.list

ユーザー アカウントには、管理コンソール プロジェクトに対する次の権限が必要です。

管理コンソールは、最初のバックアップ/リカバリ アプライアンスをインストールするときにデプロイされます。

優先ロール 必要な権限
resourcemanager.projectIamAdmin(プロジェクト IAM 管理者) resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
resourcemanager.projects.get
iam.serviceAccounts.delete
iam.serviceAccounts.get
workflows.workflows.delete
workflows.executions.create
workflows.executions.get
workflows.operations.get
backupdr.admin(バックアップと DR の管理者) backupdr.*
閲覧者(基本)
ほとんどの Google Cloud リソースを表示するために必要な権限を付与します。

ユーザー アカウントには、バックアップ/リカバリ アプライアンス プロジェクトに対する次の権限が必要です。

優先ロール 必要な権限
resourcemanager.projectIamAdmin(プロジェクト IAM 管理者) resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
resourcemanager.projects.get
iam.serviceAccountUser(サービス アカウント ユーザー) iam.serviceAccounts.actAs
iam.serviceAccountAdmin(サービス アカウント管理者) iam.serviceAccounts.create
iam.serviceAccounts.delete
iam.serviceAccounts.get
workflows.editor(ワークフロー編集者) workflows.workflows.create
workflows.workflows.delete
workflows.executions.create
workflows.executions.get
workflows.operations.get
serviceusage.serviceUsageAdmin(Service Usage 管理者) serviceusage.services.list

インストールが完了するまで、エンドユーザー アカウントの権限に加えて、その他の権限が、ユーザーに代わって作成されたサービス アカウントに一時的に付与されます。

ネットワークの構成

ターゲット プロジェクトの VPC ネットワークをまだ作成していない場合は、次に進む前に作成する必要があります。詳細については、Virtual Private Cloud(VPC)ネットワークの作成と変更をご覧ください。バックアップ/リカバリ アプライアンスをデプロイする予定のリージョンごとにサブネットが必要です。このサブネットには、作成する compute.networks.create 権限が割り当てられている必要があります。

複数のネットワークにバックアップ/リカバリ アプライアンスをデプロイする場合は、同じ IP アドレス範囲を共有しないサブネットを使用して、複数のバックアップ/リカバリ アプライアンスで同じ IP アドレスが使用されないようにします。

限定公開の Google アクセスを構成する

バックアップ/リカバリ アプライアンスは、限定公開の Google アクセスを使用して管理コンソールと通信します。バックアップ/リカバリ アプライアンスをデプロイするサブネットごとに限定公開の Google アクセスを有効にすることをおすすめします。

バックアップ/リカバリ アプライアンスがデプロイされているサブネットは、ドメイン backupdr.googleusercontent.com でホストされている一意のドメインと通信する必要があります。Cloud DNS に次の構成を含めることをおすすめします。

  1. DNS 名 backupdr.googleusercontent.com限定公開ゾーンを作成します。
  2. ドメイン backupdr.googleusercontent.comA レコードを作成し、private.googleapis.com サブネット 199.36.153.8/30 の 4 つの IP アドレス 199.36.153.8199.36.153.9199.36.153.10199.36.153.11 をそれぞれ含めます。VPC Service Controls を使用している場合は、restricted.googleapis.com サブネット 199.36.153.4/30199.36.153.4199.36.153.5199.36.153.6199.36.153.7 を使用します。
  3. ドメイン名 backupdr.googleusercontent.com を指す *.backupdr.googleusercontent.comCNAME レコードを作成します。

これにより、一意の管理コンソール ドメインの DNS 解決が限定公開の Google アクセスを使用して転送されます。

ファイアウォール ルールに、199.36.153.8/30 サブネットまたは 199.36.153.4/30 サブネットへの TCP 443 でのアクセスを許可する下り(外向き)ルールがあることを確認します。また、0.0.0.0/0 へのすべてのトラフィックを許可する下り(外向き)ルールがある場合、バックアップ/リカバリ アプライアンスと管理コンソール間の接続は成功します。

Cloud Storage バケットを作成する

バックアップと DR エージェントを使用してデータベースとファイル システムを保護し、バックアップを Cloud Storage にコピーして長期保存する場合は、Cloud Storage バケットが必要です。これは、VMware vSphere Storage API データ保護を使用して作成された VMware VM バックアップにも適用されます。

次の手順で Cloud Storage バケットを作成します。

  1. Google Cloud コンソールで、Cloud Storage の [バケット] ページに移動します。

    [バケット] に移動

  2. [バケットを作成] をクリックします。

  3. バケットの名前を入力します。

  4. データを保存するリージョンを選択し、[続行] をクリックします。

  5. デフォルトのストレージ クラスを選択し、[続行] をクリックします。保持期間が 30 日未満の場合は Nearline を使用し、保持期間が 90 日以上の場合は Coldline を使用します。保持期間が 30 ~ 90 日の場合は、Coldline の使用を検討してください。

  6. [均一なアクセス制御] はオンのままにして、[続行] をクリックします。きめ細かい設定は使用しないでください。

  7. [保護] ツールは [なし] のままにして、[続行] をクリックします。他のオプションはバックアップと DR サービスでは機能しないため、選択しないでください。

  8. [作成] をクリックします。

  9. サービス アカウントにバケットへのアクセス権があることを確認します。

    1. 新しいバケットを選択して、バケットの詳細を表示します。

    2. [権限] に移動します。

    3. [プリンシパル] で、新しいサービス アカウントが表示されていることを確認します。追加されていない場合は、[追加] ボタンを使用して、読み取りサービス アカウントと書き込みサービス アカウントの両方をプリンシパルとして追加します。

次のステップ