Actifio Go を使って VM を Cloud Storage にバックアップしてみた（前編）

Published in

google-cloud-jp

18 min readMay 27, 2022

現在 Google Cloud のマーケットプレイス経由で提供している Actifio Go を使ってオンプレミス環境や Google Cloud 上で稼働しているワークロードのバックアップを Cloud Storage に格納する手順を検証して整理してみました。
前編ではGoogle Cloud のワークロードを保護する際の手順について紹介し、後編ではオンプレミス環境を保護する際の構成や手順の違いを紹介していきたいと思います。

アジェンダ

Actifio Go とは？
検証環境の概要
主な検証ステップ
まとめ

Actifio Go とは？

Google Cloud では 2020年末に Google が Actifio を買収後、Google Cloud を活用したバックアップや障害復旧に伴うビジネス継続性の強化に注力してきました。Actifio Go はオンプレミスおよび Google Cloud 内のワークロードを保護できる Google Cloudのファーストパーティのデータ保護ソリューションです。 VMware、SQL Server、SAP HANA などのプロダクトのネイティブ API や各サーバにエージェントをインストールすることで Change Block Tracking の仕組みを利用した永久増分バックアップ機能が利用可能となり、Cloud Storage にデータを保管することで低コストと高い耐久性を維持できる特徴があります。

検証環境の概要

今回の検証では図1に示す環境を用いて、Google Cloud 上で稼働しているLinux OS の Compute Engine のバックアップデータをバックアップデータを Google Cloud Storage 上に格納する方法を試しています。

Actifio Go を利用する際は主なコンポーネントとして Actifio Global Manager、 Actifio Sky 、Actifio Connector を利用します。それぞれの役割は以下となっております。

Actifio Global Manager（AGM)：Actifio Sky に接続する管理プレーン。
Actifio Sky（Sky）：Actifioが特許を取得したVirtual Data Pipeline（VDP）技術を活用し、データのライフサイクルに応じて、効率的にデータを取得、移動、管理するData Mover。保護対象となる VM と同じ VPC 環境にデプロイする必要があり、インフラ部分の使用料金に対するコストはかかります。
Actifio Connector（エージェント）：アプリケーションのネイティブ APIを呼び出すソフトウェアとして、保護対象の環境から増分バックアップを永久的に取得します。（GCE 保護の場合は不要）

Google Cloud 上の環境を保護する場合、 AGM は以下のようにデプロイされます。

Google Cloudが管理する VPC に配置
（インスタンスとしてお客さまが管理する必要はない & できない。また、同一組織の中では AGM は 1つのみデプロイ可能。）
お客さまの VPC との間は VPC Peeringによって接続

また、Compute Engine の Persistent Disk スナップショットによるデータバックアップではGoogle Cloud API を利用する事となるため Actifio Connector は不要となります。（後編で紹介するオンプレミス環境を保護する際やアプリケーションのネイティブ API を介したバックアップを行う際は必要となります。）

Actifio Go を利用する際のコストについては、Actifio Go を使用して保護しているデータ容量に応じた課金（GB単位）とお客様自身の Google Cloud プロジェクト内で利用しているリソース費用（Sky の GCEや後述するPersistent Disk Snapshotに係る費用）が発生します。

主な検証ステップ

今回の検証は以下のステップで進めて行きます。

事前準備（NW環境整備、Cloud Storage の作成など）
Actifio Go のセットアップとユーザアカウントの作成
AGM のデプロイ
Sky のデプロイ
バックアップ取得用の Credential 登録
GCE のバックアップ取得

1. 事前準備

今回は検証用に新規プロジェクトを作成し、保護対象の VM が稼働している backup-demo VPC と東京リージョンに tokyo-subnet1 を払い出しています。ここから先は Acitifio Go を利用する際の事前準備となります。

Sky をデプロイする VPC/サブネットの Private Google Access 有効化
Sky は Google Cloud API を介してGCE の PD スナップショットを取得しますが、Sky VM は外部 IP アドレス持たないため、Google Cloud API を利用できるよう Private Google Access を有効にします。

なお、共有 VPC を使っている場合、つまり VPC を用意したプロジェクトとは異なるプロジェクト(= サービスプロジェクト)で稼働している VM を保護したい場合、Actifio Sky もサービスプロジェクトに用意する必要があります。(手順 4「Sky のデプロイ」で選択できます)
※今回の検証では同一プロジェクトへのデプロイとなるため、こちらの作業は対象外。

また、Google Cloud 管理リソースの VPC とのピアリングや AGM / Sky のアプライアンスをデプロイする際に組織ポリシーの設定を一時的な変更が必要となる場合があります。
デフォルトでは以下の組織ポリシーは全て無効化されていますが、有効化されている場合に一時的に無効化する必要がある組織ポリシーをご紹介します。

「Domain Restricted Sharing」の無効化
AGM をデプロイする際に組織外のドメインの Service Account を一時的にプロジェクトに追加する必要があります。組織ポリシーでこちらが拒否となっている場合は Sky をデプロイするプロジェクトに対して一時的に許可します。

「Restrict VPC Peering usage」の無効化
Sky をデプロイする際、AGM が配置された Google 管理の VPC と Sky の VPC を VPC ピアリングする必要があります。組織ポリシーで組織外との VPC ピアリングが無効化されている場合は Sky をデプロイするプロジェクトに対して一時的にピアリングを許可します。

「Shielded VMs」の無効化
Sky は Shielded VM として登録されていないため、デプロイする際にプロジェクトレベルで無効化（Not Enforced）にしてください。

「Define Trusted Image Projects」に Sky のイメージを追加
Sky のデプロイでは外部組織（Actifio Go の組織）イメージを利用するため、カスタムルールを作成し、「projects/sky-launcher-195802」をTrusted Image として許可する必要があります。

2. Actifio Go のセットアップとユーザアカウント作成

Skyをデプロイするプロジェクトにて Marketplace から Actifio Go のサブスクリプションを有効化します。
（Actifio と検索すると以下の選択肢が出てきますが、Actifio Go を選択します。）

サブスクリプション有効化後、Register with Actifio を選択すると Actifio Go の Sign Up ページに遷移します。必要な情報を記入後、メールアドレス宛に届いたメールを確認してアカウントを有効化します。
※ここで作成したアカウントは Actifio のセルフサービスポータル Actifio Now へアクセスするものと同様になります。サポートケースを上げたい場合はこのポータルを使用してください。

3. AGM のデプロイ

2. で登録したユーザID（メールアドレス）とパスワードを使用して、Actifio Go のポータルにログインすると以下の画面に遷移します。こちらのActifio Go のダッシュボードから AGM のDeploy を押下します。

Google Cloud のコンソール上で Sky のデプロイ先となるプロジェクト ID を確認して、Deployment Wizard に必要なプロジェクト ID を記入します。（Sky のデプロイは後続の手順 4. で実施します。また、4. を繰り返すことで Sky は複数デプロイすることが可能です。）
プロジェクト ID を記入すると、画面下部に Actifio Go をデプロイする際に必要となる Actifio Go の IAM ロールの作成と Actifio Go をデプロイするサービスアカウントを追加するためのコマンドラインが生成されます。こちらをコピーして、Sky をデプロイするプロジェクトの Cloud Shell 上で実行します。
※コマンドを実行する際、画面中央にある5つの権限が必要となります。また、エラーとなった場合は事前準備の組織ポリシー「Domain Restricted Sharing」と「Restrict VPC Peering usage」の無効化をご確認ください。

Cloud Shell 上でコマンドを実行すると、ActifioGO のカスタムロールが作成されてgbaasprod@sky-launcher-195802.iam.gserviceaccount.com にこのロールが付与されていることを確認します。

次にAGM のデプロイメントを行います。Sky をデプロイするサブネットと重ならないCIDR Range を指定します。今回はSky を tokyo-subnet1（192.168.0.0/24）デプロイする予定なので192.168.1.0/29 を AGM 用に指定しています。
（サブネットマスクは未記入の場合、デフォルトで/29になりますが/29よりも広いアドレンジを指定することは可能です。）
さらに画面下部に AGM Location を東京リージョンに指定し、AGMの管理プレーンにアクセスする際のパスワードを設定した上で Next を押して AGM をデプロイを開始します。

デプロイには10–15分かかりますが、完了すると以下のような画面が表示されます。Launch を選択し、Login ID: admin と先ほど設定したパスワードを入力すると AGM の管理ポータルへアクセス出来ます。
また、Sky をデプロイする VPC ネットワークと AGM が配置された VPC がピアリングされていることも確認できます。

4. Sky のデプロイ

再度 Actifio Go のポータルにログイン後、次は Sky をデプロイしていきます。今回はStandalone Project に Sky をデプロイするため、Deploy Sky on a service project を無効化にします。
（冒頭に記述した、Shared VPC や Service Project を使用している場合、有効化します。Host Project ID には Shared VPC のプロジェクトID、Service Project ID に保護対象 VM が稼働しているプロジェクト ID を記入します。）
AGM のデプロイメントと同様に画面下部に生成されるコマンドを Cloud Shell で実行します。（Deploy Sky on a service project が無効化の場合は 2. と同じコマンドラインとなりますので、Validate > Next で進めます。）

次に Sky アプライアンスを搭載する Compute Engine の名称（Appliance Name）とデプロイ先ネットワーク情報を選択します。（Sky デプロイ時に IP アドレスは指定できないので、必要に応じて Sky 生成後に Google Cloud のコンソールなどから変更してください。）

On Vault ストレージはオンプレミス環境を保護する場合や Actifio Connector を使用したバックアップを取得する場合に利用するもので、GCE 保護では不要となるので Skip を選択します。入力内容を確認の上、Start Deploymentを選択すると Sky のデプロイメントが開始されます。
※デプロイは 1時間程度かかりますが、エラーとなった場合は事前準備の組織ポリシー「Shielded VMs」の無効化と「Define Trusted Image Projects」に Sky のイメージを追加について確認してみてください。

デプロイが完了すると以下のような画面が表示されます。また、Google Cloud コンソールの Compute Engine メニューにSky Appliance が作成されていることを確認できます。

ここまで完了したら、Actifio GOのサービスアカウントを削除することを推奨します。（また、Skyを追加する際やSkyのバージョンをアップグレードする際は専用のサービスアカウントを作成する必要があります。）
加えて、変更していた以下の組織ポリシーについても追加した設定を元の状態に戻すことを推奨します。

「Domain Restricted Sharing」の無効化
「Restrict VPC Peering usage」の無効化
「Shielded VMs」の無効化
「Define Trusted Image Projects」に Sky のイメージを追加

5. バックアップ取得用の Credential 登録

ここから先は GCE を保護する際の Persistent Disk （PD）のスナップショット取得に関する設定を行っていきます。
初めに、PD取得するためのサービスアカウント gceact を作成し、jsonキーを生成します。そして、Cloud Resource Manager API が有効になっていなければ、有効化します。
※最小限の権限を付与した、Actifio Go VM Snapshots System Recovery のカスタムロールを手順 5 と同様に実施することを推奨しますが、作業簡略化のために Compute Admin、Storage Admin、Service Account User の権限を直接サービスアカウントに付与することで作成することも可能です。

次にAGMポータルに再びログインして、上のメニューから Manage > Credentials > Add Credentials を選択し、作成したサービスアカウント gceact をPDスナップショット取得用の Cloud Credentials として登録します。

登録が完了すると、Credentials の一覧に上記で登録した内容が表示されます。

6. GCE のバックアップ取得

ここまで来ると、最後はバックアップ取得に関する設定を行うだけです。AGM のメニューから SLA Architect > Templates > Create Template を選択すると以下のような画面が表示されます。この画面でスナップショット取得に関するSLA（バックアップに関するジョブ）を定義します。
Actifio Go による GCE 保護では、 Snapshot Policy で定義した内容に沿ってGoogle Cloud API を介して PDスナップショットや増分バックアップを取得します。PD スナップショットの取得と PD スナップショットの管理は Google Cloud のマネージド機能を利用します。
（そのため、SLA Template にてオンプレ環境の保護する際に設定する On Vault などは設定しないでください。設定すると後続作業でエラーが発生します。）

今回は検証なので日次でスナップショットを取得して、7日間データを保護するポリシーを定義します。Policy を作成後、元の画面に戻り Save Template を押して保存します。

最後に SLA Template に沿ってバックアップを取得する対象サーバを登録します。メニューの Backup & Recover > Backup > GCP を選択します。先程登録した Cloud Credentials と保護対象のVM が稼働している Google Cloud のゾーンを選択します。

Next を選択すると、対象ゾーンで稼働している GCE が一覧化されるのでバックアップ取得を行いたい VM （今回の場合は centos07）を選択します。

次に先程作成したPD Snapshot Daily の SLA Template と Cloud Credential で作成されたプロファイルを選択して、OKを押します。

以下のような画面が表示されたら SLA Template を対象 VM への適用が完了したことになります。App Manager > Applications から管理対象の VM を確認する事ができます。

（おまけ：オンデマンドでバックアップを取得する方法）
定義したバックアップ取得までは時間があるので、試しにオンデマンドでバックアップを取得して見ました。
App Manager > Applications から先程登録した centos07 を選択して画面右下の Manage SLA を選択します。画面の右側に表示されている Policies から Run SLA を押すとオンデマンドでのバックアップ取得が開始します。

ジョブの実行状況について、Monitor > Jobs から確認すると Is Scheduled が No になっているバックアップジョブが完了していることが確認できます。

このように、SLA Template を対象システムの要件に合わせて作成し、VM に適用することで各システムで異なる要件に応じたバックアップ取得が可能となります。
また、Sky を介して取得した PD スナップショットについては Google Cloud のコンソール画面からも確認が可能となります。