重要:

このハンズオンラボは、デスクトップまたはノートパソコンでのみ完了するようにしてください。

ラボごとに 5 回までしか試行できません。

なお、最初の試行で全問正解できないことや、タスクをやり直す必要があることはよくあります。これは学習プロセスの一部です。

ラボを開始すると、タイマーを一時停止することはできません。1 時間 30 分後にラボは終了し、最初からやり直す必要があります。

詳しくは、ラボでの技術的なヒントの資料をご覧ください。 注: [ラボを開始] をクリックしてから、タスクの完了を開始できるようになるまで、ラボリソースの起動に約 40 分かかります。

アクティビティの概要

事業継続計画と障害復旧計画は、重大なセキュリティ インシデント、自然災害、サービスの中断から復旧するとともに、ビジネス オペレーションを維持するために不可欠です。

Google Cloud Backup and DR サービスは、クラウドベースのバックアップと障害復旧ソリューションです。データのバックアップと復元を可能にし、重要なビジネス オペレーションの迅速な再開をサポートします。

Backup and DR が最初の完全バックアップを実行した後、データ（一般的なアプリケーション、VMware VM、Compute Engine VM、データベース、ファイル システム）は増分バックアップされ、前回のバックアップ以降に変更されたデータが更新されて保存されます。

Backup and DR サービスの初期構成には、管理アプライアンスのデプロイが含まれます。これには最大 45 分かかる場合があります。このタスクは、ラボの開始前にすでに実施されています。Backup and DR サービスを有効にすると、Backup and DR 管理コンソールを探索してワークロードの保護を開始できるようになります。

このラボでは、Compute Engine インスタンスの検出と保護の手順を説明し、最後に、バックアップ イメージから完全に機能する新しい Compute Engine インスタンスを新しい場所にマウントします。

シナリオ

Cymbal Bank のインシデント対応チームは、セキュリティ インシデントに適切に対応し、不正アクセスを封じ込めました。ハンナとインシデント対応チームのメンバーは、影響を受けた仮想マシン（VM）を復元するための復旧アクションの実装に取り組んでいます。あなたは、この件についてサポートを依頼されました。

このタスクを行うため、まず、Backup and DR の管理コンソールに接続します。次に、バックアップ プラン テンプレートを作成し、検証します。次に、Compute Engine インスタンスを見つけて、Backup and DR 管理コンソールに追加します。最後に、2 つの異なる Google Cloud プロジェクトで Compute Engine インスタンスを復元します。

設定

[ラボを開始] をクリックする前に

こちらの手順をお読みください。ラボには時間制限があり、一時停止することはできません。[ラボを開始] をクリックすることでスタートするタイマーは、Google Cloud のリソースを利用できる時間を示しています。

この実践ラボでは、シミュレーションやデモ環境ではなく、実際のクラウド環境を使ってご自身でアクティビティを行うことができます。そのため、ラボの受講中に Google Cloud にログインおよびアクセスするための、新しい一時的な認証情報が提供されます。

このラボを完了するためには、以下が必要です。

• 標準的なインターネット ブラウザ（Chrome を推奨）

注: このラボの実行には、シークレット モードまたはシークレット ブラウジング ウィンドウを使用してください。これにより、個人アカウントと受講者アカウントの競合を防ぎ、個人アカウントに追加料金が発生することを防ぎます。

• ラボを完了するための時間（開始後は一時停止できません）

注: すでに個人の Google Cloud アカウントやプロジェクトをお持ちの場合でも、このラボでは使用しないでください。アカウントへの追加料金が発生する可能性があります。

ラボを開始して Google Cloud コンソールにログインする方法

1. [ラボを開始] ボタンをクリックします。左側の [ラボの詳細] パネルには、以下が表示されます。

   • 残り時間
   • [Google Cloud コンソールを開く] ボタン
   • このラボで使用する必要がある一時的な認証情報
   • このラボを行うために必要なその他の情報（ある場合）
   注: ラボの料金をお支払いいただく必要がある場合は、表示されるポップアップでお支払い方法を選択してください。

2. [Google Cloud コンソールを開く] をクリックします（Chrome ブラウザを使用している場合は、右クリックして [シークレット ウィンドウで開く] を選択します）。新しいブラウザタブで [ログイン] ページが開きます。

   ヒント: タブをそれぞれ別のウィンドウで開き、並べて表示しておくと、簡単に切り替えられます。

   注: [アカウントの選択] ダイアログが表示されたら、[別のアカウントを使用] をクリックします。

3. 必要に応じて、下のGoogle Cloud ユーザー名をコピーして、[ログイン] ダイアログに貼り付けます。[Next] をクリックします。

{{{user_0.username | "Google Cloud username"}}}

[ラボの詳細] パネルでも Google Cloud ユーザー名を確認できます。

4. 以下の Google Cloud パスワードをコピーして、[ようこそ] ダイアログに貼り付けます。[Next] をクリックします。

{{{user_0.password | "Google Cloud password"}}}

[ラボの詳細] パネルでも Google Cloud のパスワードを確認できます。

重要: ラボで提供された認証情報を使用する必要があります。Google Cloud アカウントの認証情報は使用しないでください。 注: このラボでご自身の Google Cloud アカウントを使用すると、追加料金が発生する場合があります。

5. その後次のように進みます。
   • 利用規約に同意します。
   • 一時的なアカウントですので、復元オプションや 2 要素認証プロセスは設定しないでください。
   • 無料トライアルに登録しないでください。

しばらくすると、このタブで Cloud コンソールが開きます。

注: 左上にある [ナビゲーション メニュー] をクリックすると、Google Cloud のプロダクトやサービスのリストが含まれるメニューが表示されます。

タスク 1. Backup and DR コンソールに接続する

復元アクションの実装を開始する前に、まず Backup and DR コンソールに接続する必要があります。

1. Google Cloud コンソールのタイトルバーにある検索フィールドに「Backup and DR」と入力し、検索結果から [Backup and DR] をクリックします。[Backup and DR] ページが開きます。
2. [Backup and DR] の横にある固定アイコンをクリックします。
3. 左側のナビゲーション パネルで [管理コンソール] をクリックします。
4. [管理コンソールにログイン] セクションで、[管理コンソールにログイン] をクリックします。
5. [アカウントを選択] を求められたら、Google Cloud ユーザー名をクリックします: 。
6. Google Backup and DR へようこそ！ツアーをスキップします。 Backup and DR 管理コンソールが開きます。
7. Backup and DR 管理コンソールのタイトルバーで、[管理] > [アプライアンス] をクリックします。

管理サーバーと、バックアップと復元サーバーが正常にインストールされると、接続ステータスに緑色のチェックマークが表示されます。

注: [更新ステータス] が [保留中]（黄色の感嘆符）の場合、更新がインストール待ちになっています。このエラーは無視して、次のタスクに進んでください。

タスク 2. バックアップ プラン テンプレートを作成する

このタスクでは、バックアップ計画テンプレートを作成します。

バックアップ プラン テンプレートは、バックアップ ポリシーで構成されます。ポリシーでは、バックアップの実行タイミング、バックアップの実行頻度、バックアップ イメージの保持期間（日、週、月、年）を定義します。

1. Backup and DR 管理コンソールのタイトルバーで、[バックアップ プラン] > [テンプレート] をクリックし、[+ テンプレートを作成] をクリックします。
2. [テンプレート] フィールドで、テンプレート名を vm-backup に設定します。

注: テンプレート名はテキスト文字列です。使用できる特殊文字は、スペース、アンダースコア（_）、ダッシュ（-）のみです。

3. [説明] フィールドに「Virtual Machine Backups」と入力します。
4. [ポリシー] ボックスで、[スナップショット] の横にある [+ 追加] をクリックして、本番環境からスナップショットへのバックアップ ポリシーを追加します。

注: [ポリシー] ボックスが表示されない場合は、右にスクロールするか、ブラウザ ウィンドウを広げてください。

[本番環境からスナップショット] ダイアログが開きます。

5. [ポリシーの作成/編集] セクションで、次のフィールドを設定します。その他の設定はすべてデフォルト値のままにします。

項目	値
ポリシー名	VM のスナップショット（毎日）
スケジュール設定	連続
毎	2 時間

注: Scheduling ポリシータイプは、Windowed または Continuous のいずれかにできます。デフォルトは Windowed:

• Windowed は、特定の頻度と時間枠に準拠した個別のスナップショット バックアップ スケジュールを定義します。
• Continuous は、継続的なスナップショット バックアップ スケジュールを定義します。

6. [ポリシーを作成] をクリックします。
7. [テンプレートを保存] をクリックします。
8. [OK] をクリックして、テンプレートの作成が成功したことを確認します。

Backup and DR の管理コンソールは、ラボ全体を通して新しいタブで開いたままにしておきます。

[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。

バックアップ プラン テンプレートを作成する

タスク 3. バックアップと復元のアプライアンスのサービス アカウントの権限を検証する

このタスクでは、バックアップ/復元アプライアンスに必要な IAM ロールを表示して、正しい IAM ロールが設定されていることを確認します。

アプライアンスは、特定のタスクを実行するように設計されたハードウェアまたはソフトウェア デバイスです。セキュリティ アプライアンスは、不正アクセス、攻撃、データ侵害からネットワークを保護するために使用されます。

すべてのアプライアンスには、専用のサービス アカウントがアタッチされています。これは、アプライアンスがデプロイされたプロジェクトでアプライアンスのデプロイ中に作成されたものです。バージョン 11.0.2 以降でインストールされたアプライアンスの場合、このサービス アカウントに対応するクラウド認証情報は、アプライアンスのデプロイ時に自動的に作成されます。

クラウド認証情報の名前は、アプライアンス名にサフィックス -sa を付けたものです。たとえば、バックアップ / リカバリ アプライアンスの名前が bur-appliance-us-east1 の場合、対応するクラウド認証情報の名前は bur-appliance-us-east1-sa になります。

必要な IAM ロールを表示して確認するには:

1. Google Cloud コンソールに戻り、ナビゲーション メニュー（）で、[IAM と管理] > [IAM] をクリックします。
2. [名前] 列で、バックアップ アプライアンスにアタッチされているサービス アカウントを見つけます。サービス アカウントの名前は Service account for backup and recovery appliance です。
3. [ロール] 列で、Backup and DR Cloud Storage オペレーターのロールがすでに割り当てられていることを確認します。

タスク 4. Compute Engine インスタンスを検出して管理コンソールに追加する

このタスクでは、オンボーディング ウィザードを使用して、Compute Engine インスタンスをオンボーディングします。インスタンスのオンボーディングとは、テンプレートをインスタンスにアタッチすることを意味します。

1. Backup and DR の管理コンソールに移動します。
2. タイトルバーで [バックアップと復元] > [バックアップ] をクリックします。
3. [Google Cloud] セクションで、[Compute Engine] をクリックします。
4. [認証情報] で [backup] を選択し、[次へ] をクリックします。

[プロジェクト ID] と [ゾーン] のプルダウン オプションには、ワークフローの認証情報にマッピングされるアプライアンスの詳細が入力されます。

5. [検索] をクリックします。

検索結果にリストが表示されます。表示されていない場合は、下にスクロールしてください。

• lab-vm
• qwiklabs-appliance

6. バックアップする lab-vm Compute Engine インスタンスを選択し、[次へ] をクリックします。

注: インスタンスが表示されない場合、または 1 つしか表示されない場合は、選択したゾーンが、Compute Engine インスタンス（lab-vm）が存在または実行されているゾーンと一致していることを確認してください。

7. [Compute Engine VM インスタンスのバックアップを有効にしますか？] ページで、[lab-vm] を選択し、次のように設定します。
   • アクション: プルダウン メニューから [バックアップ テンプレートを適用] を選択します。
   • バックアップ テンプレート: プルダウン メニューから [vm-backup] を選択します。
8. [OK] をクリックします。
9. [次へ] をクリックします。

[変更の概要] 画面が表示され、次の情報が表示されます。

• インスタンス名: lab-vm
• アプライアンス: qwiklabs-appliance
• アクション: バックアップ テンプレートを適用する

11. [完了] をクリックして、オンボーディング プロセスを完了します。これにより、アタッチしたポリシー テンプレートに基づいて、選択した Compute Engine インスタンスのバックアップがトリガーされます。
12. [完了] をクリックして、完了する意図を確定します。

オンボーディングが完了すると、ステータスが緑色のチェックマークになります。これは、ポリシー テンプレートが選択した VM にアタッチされたことを意味します。

注: Backup and DR は、選択した Compute Engine インスタンスがバックアップ ポリシーで設定した頻度でバックアップされるようにします。

13. Backup and DR の管理コンソールのタイトルバーで、[Monitor] > [Jobs] をクリックします。

バックアップ ジョブの進行状況をモニタリングできます。ジョブが完了すると、必要に応じて復元できるイメージが作成されます。

ジョブリストが空の場合、バックアップ ジョブはまだ開始されていないか、すでに完了しています。[成功] や [すべて] などのさまざまなフィルタ オプションを使用して、ジョブリストにデータを入力します。フィルタの結果が [ジョブ] リストに表示されます。

注: ジョブが完了するまで 5 分以上かかることがあります。

[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。

Compute Engine インスタンスを検出して管理コンソールに追加する

タスク 5. Compute Engine インスタンスを復元する

Compute Engine インスタンスのイメージが作成されたので、このタスクでは、前のタスクで作成したバックアップ イメージを使用して、新しい Compute Engine インスタンスを作成します。

1. Backup and DR の管理コンソールのタイトルバーで、[Backup & Recover] > [Recover] をクリックします。
2. 復元する Compute Engine インスタンスの名前（lab-vm）をクリックして選択します。[次へ] をクリックします。
3. アクションバーで [表] をクリックします。[画像] リストには、バックアップ画像が 1 つしか作成されていないため、画像が 1 つ表示されます。
4. イメージを選択し、[マウント] をクリックします。

注: 通常、[マウント] パネルには、イメージの復元先と復元方法を選択できるオプションが多数あります。このラボでは、最初のバックアップを作成したばかりなので、タイムライン オプションは 1 つしかない場合があります。

5. [マウント] で、[新しい GCE インスタンスとしてマウント] を選択します。
6. 構成オプションを確認し、以下を更新します。
   • リージョン: これを に変更します
   • ゾーン: これを に変更します
   • インスタンス名: lab-vm-recovered
7. ページの下部までスクロールして、[Mount] をクリックします。
8. [成功] ダイアログで、[ジョブ モニタに移動] をクリックします。
9. フィルタ ペインの [ステータス] セクションで、[実行中] のチェックを外します。2 つのジョブが表示されます。1 つはステータスが [完了] と示された以前のジョブで、もう 1 つはステータスが [実行中] の今開始したジョブです。

両方のジョブのステータスが [完了] になったら、Computer Engine インスタンスが作成されています。

注: ジョブには、選択したリージョンに応じて 5 分以上かかる場合があります。

復元された VM を表示するには、Google Cloud コンソールに移動し、ナビゲーション メニュー（）で [Compute Engine] > [VM インスタンス] をクリックして、3 つの VM インスタンスを表示します。

• lab-vm
• lab-vm-recovered
• qwiklabs-appliance

[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。

Compute Engine インスタンスを復元する

タスク 6. Compute Engine インスタンスを別のプロジェクトに復元する

このタスクでは、作成したバックアップ テンプレートを使用して Computer Engine インスタンスを復元しますが、今回は別のプロジェクトに復元します。

バックアップ イメージから、別のプロジェクトに新しい Compute Engine インスタンスを作成することもできます。

注: デフォルトのサービス アカウントを別のプロジェクトのプリンシパルとして設定する前に、デフォルトのサービス アカウントをターゲット プロジェクトのプリンシパルとして追加する必要があります。

Compute Engine インスタンスを別のプロジェクトに復元するには、まずプロジェクト 1 のサービス アカウントをプリンシパルとして Google Cloud プロジェクト 2 に追加し、次に Google Cloud プロジェクト 2 でインスタンスを復元します。

1. Google Cloud コンソールのナビゲーション メニュー（）で、[IAM と管理] > [IAM] をクリックします。
2. プリンシパルのリストで、バックアップと復元アプライアンスのサービス アカウントのメールアドレスを見つけてコピーし、ステップ 6 で使用します。メールは qwiklabs-appliances@qwiklabs-gcp-xx-xxxxxxxxx.iam.gserviceaccount.com のようになります。
3. Google Cloud コンソールで、[プロジェクト] の選択プルダウンをクリックします。プロジェクトが 1 つしかリストされていない場合は、[すべて] をクリックして [すべて] タブを開きます。
4. Google Cloud プロジェクト ID 2: を検索し、クリックしてそのプロジェクト ID を選択します。Google Cloud プロジェクト ID 2: の [権限] ページが表示されます。
5. [アクセス権を付与] をクリックします。
6. [プリンシパルの追加] セクションの [新しいプリンシパル] フィールドに、Google Cloud プロジェクト 1 のサービス アカウントのメールアドレスを貼り付けます。このサービス アカウントの名前は「Service account for backup and recovery appliance」です。これはクリップボードにまだ残っているはずです。
7. [ロールの割り当て] セクションで次の操作を行います。
   • [ロールを選択] をクリックし、[Backup and DR] > [Backup and DR Compute Engine オペレーター] ロールを割り当てます。
   • [+ 別のロールを追加] をクリックします。
   • [ロールを選択] をクリックし、[Backup and DR] > [Backup and DR Cloud Storage オペレーター] ロールを割り当てます。
8. [保存] をクリックします。

これで Google Cloud プロジェクト 1 のサービス アカウントが、プリンシパルとして Google Cloud プロジェクト 2 に追加されました。これで、Google Cloud プロジェクト 2 でインスタンスを復元できるようになりました。

9. Backup and DR の管理コンソールで、[Backup & Recover] > [Recover] に移動します。
10. lab-vm（復元する Compute Engine インスタンス）を選択し、[次へ] をクリックします。

注: インスタンスの横の緑色のチェックマークは、インスタンスがバックアップされていることを意味します。赤い X は、バックアップされていないことを意味します。

11. アクションバーで [テーブル] をクリックします。
12. [イメージ] リストで、一番上のイメージを選択し、[マウント] をクリックします。
13. [マウント] で、[新しい GCE インスタンスとしてマウント] を選択します。
14. 構成を確認し、次のオプションを更新します。
    • プロジェクト: これを に変更して、Google Cloud の別のプロジェクトへの復元をシミュレートします。
    • インスタンス名: 別の Google Cloud プロジェクトにいるため、同じインスタンス名を使用できます。インスタンス名を lab-vm-project2 に変更します。
    • リージョン: これを に変更します。
    • ゾーン: これを に変更します。
15. パネルの下部にある [マウント] を選択します。 マウント ジョブが開始されます。[完了] ダイアログで、[ジョブ モニタに移動] をクリックして、現在のジョブのステータスをモニタリングします。選択したリージョンによっては、ジョブに 5 分以上かかる場合があります。
16. Google Cloud プロジェクト 2 の Google Cloud コンソールで復元された Compute Engine インスタンスを表示するには、ナビゲーション メニューで [Compute Engine] > [VM インスタンス] をクリックします。

注: ジョブが完了するまで 5 分以上かかることがあります。 注: デフォルトのサービス アカウントを別のプロジェクトのプリンシパルとして設定する前に、デフォルトのサービス アカウントをターゲット プロジェクトのプリンシパルとして追加する必要があります。

[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。

Compute Engine インスタンスを別のプロジェクトに復元する

まとめ

これで完了です。Google Backup and DR サービスを使用してバックアップ テンプレートを作成し、それを 2 つの Compute Engine インスタンスに適用しました。

あなたは VM とサービスの問題に備える方法を示しました。デバイスが故障した場合、Backup and DR サービスを使用して、複数の Google Cloud プロジェクトにわたって故障したデバイスを復元できます。

ラボを終了する

すべてのタスクが問題なく完了したことを確認してから、ラボを終了してください。準備ができたら、[ラボを終了] をクリックし、[送信] をクリックします。

ラボを終了すると、ラボ環境へのアクセス権が削除され、完了した作業にもう一度アクセスすることはできなくなります。

Copyright 2020 Google LLC All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。