Block Storage for VPC スナップショットについて
Block Storage for VPC スナップショットは、ブートボリュームまたはデータボリュームの特定時点のコピーを作成するために使用される地域限定の機能です。 最初に取得するスナップショットは、ボリュームのフルバックアップです。 同じボリュームの後続のスナップショットはインクリメンタルであるため、最後のスナップショットが取得された後に発生した変更のみがキャプチャされます。 インスタンスのプロビジョニング中、既存のインスタンスから、および未接続ボリュームの作成時に、新規ボリュームにデータをリストアすることができます。
スナップショットの概念
単一ボリューム・スナップショット
スナップショットはボリュームのコピーで、コンソールやCLIから手動で取得するか、APIやTerraformを使ってプログラムで作成します。 実行中の仮想サーバーインスタンスにアタッチされている第一世代のブートボリュームまたはデータボリュームのスナップショットを取得できます。 「ブート可能」スナップショットは、ブート・ボリュームのスナップショットです。 「ブート不能」スナップショットは、データ・ボリュームのスナップショットです。 必要な頻度でスナップショットを取ることができます。 ただし、劣化状態のボリュームのスナップショットを取得することはできません。
Block Storage for VPC ボリュームのスナップショットを自動的に作成しますか? Backup for VPC では、バックアップ・ポリシーを作成して、定期的なボリューム・バックアップをスケジュールすることができます。 詳しくは、Backup for VPC についてを参照してください。
ボリュームのスナップショットを初めて取得する場合、すべてのボリュームの内容がコピーされます。 2 番目のスナップショットを取得すると、最後のスナップショットが取得された後に発生した変更のみがキャプチャーされます。 そのため、 IBM Cloud® Object Storageにアップロードする内容に応じて、スナップショットのサイズが増減する可能性があります。 スナップショットの数は、連続するスナップショットが作成されるたびに増加します。 リージョン内の1ボリュームにつき750スナップショットまで取得できます。 この制限内で、1 時間ごとのスナップショットを 30 日間取得して保持し、さらにいくつかの追加のスナップショットを取得することができます。 このクォータからスナップショットを削除すると、より多くのスナップショットのためのスペースが解放されます。 ボリュームのスナップショットを 10 TB より大きくすることはできません。
スナップショットから初期化されたブートボリュームを持つ仮想サーバーインスタンスを作成できます。 新規インスタンスのインスタンス・プロファイルが、スナップショットの作成に使用されたインスタンスと一致している必要はありません。 また、データボリュームを作成してインスタンスにアタッチする際に、データボリュームのスナップショットをインポートすることもできます。 これらのスナップショットのユーザー・タグを指定できます。
いつでもスナップショットからボリュームを作成できます。 このプロセスはボリュームのリストアと呼ばれ、インスタンスの作成時、インスタンスの変更時、またはスタンドアロン・ボリュームの作成時に実行できます。 詳しくは、スナップショットからのボリュームのリストアを参照してください。 また、初期プロビジョニング後に高速リストア機能を使用して、完全にプロビジョンされたボリュームをリストアすることもできます。
スナップショットには、ソースの Block Storage for VPC ボリュームから独立したライフサイクルがあります。 元のボリュームを削除しても、スナップショットは持続します。 ただし、スナップショット作成中はインスタンスからボリュームを切り離さないでください。 スナップショットが stable になるまで待ってから切り離しを行う必要があります。そうしないと、ボリュームをインスタンスに再接続できません。 スナップショットはクラッシュ整合性があります。
仮想サーバーが何らかの理由で停止しても、スナップショットデータはディスク上で安全です。
スナップショットのコストは、期間が1ヶ月未満でない限り、1ヶ月あたりに保存されるGB容量に基づいて計算されます。 スナップショットは元のボリュームに対してプロビジョンされた容量に基づくため、スナップショット容量は変化しません。
IBM Cloud® Identity and Access Management を使用すると、アカウントにリソースグループを設定して、スナップショットへのユーザーアクセスを提供できます。 持っている IAM 役割によって、スナップショットの作成や管理ができるかどうかが決まります。 詳しくは、スナップショットを作成および管理するための IAM 役割を参照してください。
スナップショットを他のアカウントと共有し、他のアカウントにそのスナップショットでボリュームを作成させることができます。 これを行うには、スナップショット・リモート・アカウント復元ロールを使用して クロスアカウント認証 を設定し、スナップショットのCRNを他のアカウントと共有します。 スナップショット・リモート・アカウント復元ロールを持つもう一方のアカウントのユーザーは、CRNを使用して、コンソール、CLI、API、またはTerraformからボリュームを作成できます。
スナップショットを取得する前に、特にWindowsおよび Linux® オペレーティングシステムを使用するインスタンスのスナップショットを取得する場合は、すべてのキャッシュデータがディスク上に存在することを確認してください。 例えば、Linux オペレーティング・システムでは、sync コマンドを実行して、キャッシュされていたすべてのデータをただちに強制的にディスクに書き込みます。
特別なアクセス権限を持つお客様のために、専用ホストから作成したスナップショットを保管するためのデータ分離が提供されています。 データ分離のセキュリティーが強化されているため、保存中のデータは固有の鍵で暗号化され、データへのアクセスはプライベート・ファイアウォールによって保護されます。
高速リストア・スナップショット・クローン
スナップショット高速リストア機能を使用して、VPC リージョン内のゾーンにデータのクローンを作成し、保持します。 つまり、ボリュームが作成されると、そのボリュームは既に VPC リージョンにあり、 Object Storageにはないため、完全に使用可能になります。 対照的に、高速リストア・スナップショットのクローンからデータがリストアされない場合、ボリュームが時間の経過とともにインスタンスに接続されると、ボリューム・データは Object Storage からコピーされます。 高速リストア機能は、通常のスナップショットからリストアするよりも迅速に リカバリー時間目標災害復旧計画において、災害後にビジネスプロセスが復旧するまでの時間。 (RTO) を達成できます。
高速リストア機能は、コンソール、CLI、API、Terraformで有効にできます。 CLI、API、および Terraform では、応答に clones が表示されます。 UI では、高速リストア・スナップショットのクローンが高速リストア・スナップショットとして表示されますが、これらは同じです。
高速リストア機能の請求は、インスタンス時間に基づいて定額で設定されます。 この機能は、スナップショットのサイズに関係なく、有効になっているゾーンごとに追加の時間単価で請求されます。 高速リストア・クローンの保守は、通常のスナップショットを保持するよりもかなりコストがかかります。
詳しくは、 高速リストア機能を使用したボリュームのリストア を参照してください。
地域間スナップショット・コピー
あるリージョンから別のリージョンにスナップショットをコピーし、後でそのスナップショットを使用して新しいリージョンにボリュームをリストアすることができます。 この機能は、別のリージョンで仮想サーバー・インスタンスとデータ・ボリュームを開始する必要がある場合に、災害復旧シナリオで使用できます。 あるいは、リモート・コピーを使用して新しいリージョンにストレージ・ボリュームを作成し、VPC を拡張することもできます。
スナップショットのクロス・リージョン・コピーを作成することを選択した場合は、ターゲット・リージョンにコピーする単一のスナップショットを指定する必要があります。 スナップショットは通常どおり作成され、地域の Object Storageに保管されます。 スナップショットが安定すると、ターゲット領域のObject Storageバケットにスナップショットのコピーが作成される。
リモート領域のスナップショットコピーが安定している場合、親ボリュームや元のスナップショットから独立して使用および管理できます。
リモートリージョンでのコピーの作成には時間がかかる。 ボリュームの容量が多ければ多いほど、リモート領域のコピーが安定するのに時間がかかる。 例えば、リモート・リージョンにある3TBのボリュームのフル・スナップショットの作成には、 12.5 時間かかることがあります。
クロスリージョナルコピーを初めて作成する場合、そのスナップショットは親ボリュームのデータの完全コピーとなります。 その後のコピーは、インクリメンタルコピーでもフルコピーでもよい。 リモートコピーがインクリメンタルかどうかは、チェーンの直前のスナップショットに依存します。 直前のスナップショットがデスティネーション領域に存在する場合、コピーはインクリメンタルになる。 直前のスナップショットが存在しない場合、コピーは親ボリュームの完全スナップショットでなければなりません。
ソース・スナップショットがお客様の鍵で暗号化されていない場合、コピーの暗号化はプロバイダー管理のままになります。
ソース・スナップショットがお客様管理の鍵によって保護されている場合、新規コピーの暗号化に使用するお客様管理の鍵を指定する必要があります。
親ボリュームの暗号化タイプまたは暗号化キーを変更した場合、次のリモートコピーは増分コピーではなく、親スナップショットの完全コピーでなければなりません。
各リージョンに存在できるスナップショットのコピーは 1 つのみです。 ローカル (ソース) 領域にコピーを作成することはできません。
地域間コピーを作成すると、請求に影響します。 ターゲット・リージョンでのデータ転送とストレージ使用量に対して個別に課金されます。
スナップショットを作成したり、スナップショットの詳細をリストアップしたりする際には、システムは、お客様が指定したスナップショットの直接コピーのみをリストアップします。 コピーのコピーを作成した場合、元のスナップショットを照会しても2番目のコピーは返されません。
スナップショット整合性グループ
スナップショット整合性グループには、同じ仮想サーバー・インスタンスに接続されている複数の Block Storage ・ボリュームのスナップショットが含まれます。 ブート・ボリュームを包含または除外することができます。 インスタンス・ストレージは含まれません。
整合性グループのスナップショットを要求すると、システムは、スナップショットを取る前にすべての書き込み操作が完了していることを確認します。 その後、システムは、仮想サーバー・インスタンスに同時に接続されているすべてのタグ付き Block Storage ・ボリュームのスナップショットを生成します。 接続されているボリュームの数とサイズ、およびキャプチャーされるデータの量によっては、わずかな入出力の一時停止が発生することがあります。 この入出力一時停止の範囲は、数ミリ秒から 4 秒までです。
整合性グループには、64 文字を超えることができない固有の名前を付ける必要があります。 指定しない場合は、システムによって自動的に名前が生成されます。 整合性グループ内のスナップショットは、グループ名の最初の 16 文字と 3 から 4 文字の自動生成文字を使用して命名されるため、それらの名前も固有になります。 後で、必要に応じてメンバー・スナップショットの名前を変更できます。
スナップショット整合性グループには独自のライフサイクルがあり、メンバー・スナップショットへの参照が保持されます。 そのため、メンバー・スナップショットが削除または名前変更されると、整合性グループも更新されます。
グループ内のスナップショットは疎結合されています。 他のスナップショットを管理するのと同じ方法で、整合性グループ内のスナップショットを管理できます。 必要に応じて、整合性グループから個々のスナップショットを削除できます。 整合性グループの削除を決定した後、個々のスナップショットを保持することができます。
スナップショット整合性グループのメンバーを使用して、ボリュームを個別にリストアすることができます。 インスタンスをスナップショット整合性グループ ID から直接リストアすることはサポートされていません。 スナップショット・セットのメンバーの地域間コピーを個別に作成することはできますが、別のゾーンまたは地域に整合性グループのコピーを作成することはできません。
スナップショットの機能
スナップショットを取得する間、ボリュームに対する仮想サーバー・インスタンスの読み取り操作と書き込み操作が中断されることはありません。 ボリューム・データが取得された後、スナップショットが作成されるまで、スナップショットはpendingの状態になります。 スナップショットが正常に作成されてstable状態になると、ボリュームの削除やサイズ変更、切り離しなどのボリューム管理アクティビティーを再開できます。 さらにスナップショットを取得することもできます。
要求されたスナップショット用にキャプチャされたボリュームデータは、ハイパーバイザーから IBM Cloud® Object Storage への転送中に暗号化される。 初期スナップショットは、 Block Storage for VPC ボリューム全体のコピーです。 後続のスナップショットでは、最後のスナップショット以降に変更された内容のみがコピーされます。
コンソール、CLI、API、または Terraform で、実行中の仮想サーバーインスタンスからブートボリュームまたはデータボリュームを リストア できます。 スナップショットからデータをリストアすると、完全にプロビジョニングされた新しいボリュームが作成されます。 スナップショットの親ボリュームのデータを上書きしません。
ブート・ボリュームのスナップショットからリストアすると、別のインスタンスのプロビジョニングに使用できる新しいブート・ボリュームが作成されます。 データボリュームのスナップショットから復元すると、インスタンスにアタッチできるセカンダリボリュームが作成されます。または、スタンドアロン(アタッチされていない)データボリュームとして保持することもできます。
整合性グループ内のスナップショットからボリュームをリストアするときに、一部またはすべてのスナップショットを選択できます。
ボリュームが作成されるとすぐにボリュームデータの復元が開始されますが、 Object Storage からすべてのデータがコピーされ、ボリュームが完全に復元されるまではパフォーマンスが低下します。
制限
このリリースには、以下の制限が適用されます。
- リージョン内の1ボリュームにつき750スナップショットまで取得できます。
- 劣化状態 のボリュームのスナップショットを取得することはできません。
- ソース (ローカル) リージョンにスナップショットのコピーを作成することはできません。
- 他のリージョンにスナップショットのコピーを作成する場合、各リージョンに存在できるコピーは 1 つだけです。 つまり、9 つのコピーがグローバルにコピーされます
- モントリオール(
ca-mon)のMZRでは、地域をまたいだコピーはサポートされていません。 - 10 TB を超えるボリュームのスナップショットの取得はサポートされていません。
- 撮影したスナップショットは削除できます。 ただし、スナップショットは
stableまたはpendingの状態であり、アクティブにボリュームをリストアしていない必要があります。 - Block Storage for VPC ボリュームとそのすべてのスナップショットを削除できます。 すべてのスナップショットが、
stable状態またはpending状態でなければなりません。 ボリュームをアクティブにリストアしているスナップショットがあってはなりません。 - インスタンスをスナップショット整合性グループ ID から直接リストアすることはサポートされていません。
データの保護
IBM Cloud® セキュリティに特化したツールや機能を提供し、 を使用する際のデータの安全な管理を支援します。 IBM Cloud® Virtual Private Cloud 次のセクションでは、ブロックストレージスナップショットで使用できるアクセス制御、データ暗号化、構成管理、および監査オプションに関する情報を提供します。
単一および整合性グループのスナップショットを操作するためのIAMロール
スナップショットには、役割ベースのアクセス制御のために IAM 権限が必要です。 自分のアカウントでスナップショットを作成および管理するには、適切なプラットフォームの役割が必要です。また、別のアカウントからデータを復元するためにスナップショットを使用するには、適切なサービスの役割が必要です。 詳細については、 Block Storage Snapshots for VPCのIAMロールとアクションを 参照してください。
スナップショットを他のアカウントと共有する場合、スナップショットへのアクセスを許可するために、Snapshot Remote Account Restorer ロールを他のアカウントのユーザーに割り当てる必要があります。 また、コンソールでリモート スナップショットの CRN を持つボリュームを作成するには、そのアカウントで Restore Volume From Remote Account Snapshot ロールを持つ必要があります。
スナップショットを他のアカウントと共有する場合、スナップショットへのアクセスを許可するために、他のアカウントのユーザーに SnapshotRemoteAccountRestorer ロールを割り当てる必要があります。 また、CLIからリモートスナップショットのCRNでボリュームを作成するには、アカウントに VolumeRemoteAccountSnapshotRestorer ロールが必要です。
スナップショットを他のアカウントと共有する場合、スナップショットへのアクセスを許可するために、他のアカウントのユーザーに SnapshotRemoteAccountRestorer ロールを割り当てる必要があります。 また、リモートスナップショットのCRNを持つボリュームをAPIで作成するには、アカウントに VolumeRemoteAccountSnapshotRestorer ロールが必要です。
スナップショットを他のアカウントと共有する場合、スナップショットへのアクセスを許可するために、他のアカウントのユーザーに SnapshotRemoteAccountRestorer ロールを割り当てる必要があります。 また、TerraformでリモートスナップショットのCRNを持つボリュームを作成するには、アカウントに VolumeRemoteAccountSnapshotRestorer ロールが必要です。
詳細については、 「VPC の Block Storage スナップショットの IAM ロールとアクション」、 「VPC のマルチボリューム スナップショットの IAM ロールとアクション」、 および Block Storage for VPC の IAM ロールとアクション」を 参照してください。
詳しくは、アクセス権限を割り当てるためのベスト・プラクティスを参照してください。 アカウントへのユーザーの招待や Cloud IAM アクセス権限の割り当てを含め、IAM プロセス全体については、IAM 入門チュートリアルを参照してください。
静止時と輸送時の暗号化
スナップショットには、親ボリューム(顧客管理またはプロバイダー管理)と同じ暗号化タイプと暗号化キーがあります。 スナップショットは IBM Cloud® Object Storageに保管され、そこから取得されます。 データは転送中に暗号化され、元のボリュームと同じリージョンに保管されます。
セキュリティーとコンプライアンスの管理
Snapshot for VPCサービスは、 IBM Cloud® Security and Compliance Center に統合されており、組織のセキュリティとコンプライアンスの管理に役立ちます。 スナップショットについては、スナップショットが顧客が管理する鍵を使用して暗号化されているかどうかをチェックするゴールを設定できる。 Security and Compliance Center を使用して、アカウント内のスナップショット・リソース構成をプロファイルに対して検証することで、潜在的な問題が発生した場合にそれを特定することができます。
スナップショットは Block Storage for VPC ボリュームから作成されるため、 Block Storage for VPC ゴールは特別なセキュリティレベルを提供します。 詳しくは Security and Compliance Center を ご覧ください。 セキュリティ目標とコンプライアンス目標の作成に関する詳細は、「セキュリティとコンプライアンスに関する文書」の「 ルールの定義 」を参照してください。
アクティビティー・トラッキング・イベント
IBM Cloud® Activity Tracker Event Routing、監査イベントのルーティング方法を設定できます。 監査イベントは、セキュリティ運用にとって重要なデータであり、コンプライアンス要件を満たすための重要な要素である。 このようなイベントは、スナップショットを作成、変更、または削除したときにトリガーされます。 アクティビティ追跡イベントの詳細については、 スナップショットイベントを 参照してください。
JSON形式のアクティビティ追跡スナップショット・イベントの例
次の例は、スナップショットの作成に成功した後に生成されたアクティビティ追跡イベントのJSON出力を示しています。 応答メッセージに、スナップショットに付けた名前が表示され、理由コード Created が表示されます。
{
"eventTime": "2022-02-22T17:59:07.57+0000",
"action": "is.snapshot.create",
"outcome": "success",
"message": "Block Storage Snapshots for VPC: create my-snapshot-1",
"initiator": {
"id": "ABCid-45B7R6TVH4",
"typeURI": "service/security/account/user",
"name": "myname@mycompany.com",
"host": {
"address": "192.0.2.0"
},
"credential": {
"type": "token"
}
},
"target": {
"id": "crn:v1::public:is::a/a1234567::snapshot:09ca2bab-c5c4-4c06-b034-dda9bbeb859c",
"typeURI": "is.snapshot/snapshot",
"name": "my-snapshot-1"
},
"observer": {
"name": "ActivityTracker"
},
"reason": {
"reasonCode": 201,
"reasonType": "Created"
},
"severity": "normal",
"requestData": {
"generation": "2"
},
"responseData": {
"responseURI": "/v1/snapshots/09ca2bab-c5c4-4c06-b034-dda9bbeb859c"
},
"dataEvent": false,
"logSourceCRN": "crn:v1::public:is::a/a1234567::snapshot:09ca2bab-c5c4-4c06-b034-dda9bbeb859c",
"saveServiceCopy": true
}
以下の例は、ID を使用してスナップショットの詳細をリストしたときに生成されたイベントを示しています。
{
"eventTime": "2022-01-16T17:55:25.60+0000",
"action": "is.snapshot.read",
"outcome": "success",
"message": "Block Storage Snapshots for VPC: read my-snapshot-2",
"initiator": {
"id": "IBMid-50A7R6DVH5",
"typeURI": "service/security/account/user",
"name": "myuser@mycompany.com",
"host": {
"address": "192.0.2.0"
},
"credential": {
"type": "token"
}
},
"target": {
"id": "crn:v1::public:is::a/a1234567::snapshot:4e3252d7-cf32-4586-93e9-f7d9a497bed4",
"typeURI": "is.snapshot/snapshot",
"name": "my-snapshot-2"
},
"observer": {
"name": "ActivityTracker"
},
"reason": {
"reasonCode": 200,
"reasonType": "OK"
},
"severity": "normal",
"requestData": {
"generation": "2"
},
"responseData": {
"responseURI": "/v1/snapshots/4e3252d7-cf32-4586-93e9-f7d9a497bed4"
},
"dataEvent": false,
"logSourceCRN": "crn:v1::public:is::a/a1234567::snapshot:4e3252d7-cf32-4586-93e9-f7d9a497bed4",
"saveServiceCopy": true
}
次のステップ
作業を始める前に 、「 Block Storage for VPC スナップショットの計画 」トピックをご覧ください。
スナップショットは、UI、CLI、API、および Terraform を使用して作成および管理できます。
- UI を使用するには、IBM Cloud コンソールにログインします。
- CLIを 使用するには、必要なCLIプラグインをダウンロードしてインストールしてください。 詳しくは、CLI リファレンスを参照してください。
- API を使用するには、VPC API をセットアップします。
- Terraform を使用するには、Terraform CLI をダウンロードして、 IBM Cloud プロバイダー・プラグインを構成します。 詳しくは、 Terraform の概要 を参照してください。
スナップショットの作成と管理、およびスナップショットからのボリュームのリストアについて詳しくは、以下のトピックを参照してください。
整合性グループの作成および管理について詳しくは、以下のトピックを参照してください。
- 整合性グループを 作成 します。
- 整合性グループを表示 および 管理 します。