インフラストラクチャ バックアップ サービスのリファレンス

Azure バックアップ インフラストラクチャ

Azure Stack Hub は、ポータル (Azure Resource Manager) と全体的なインフラストラクチャ管理エクスペリエンスから成る多数のサービスで構成されています。 Azure Stack Hub の管理エクスペリエンスはアプリと同様で、ソリューションのオペレーターがさらされる複雑さを緩和することに焦点を当てています。

Infrastructure Backup サービスは、インフラストラクチャ サービス用のデータのバックアップや復元の複雑さを表面化させずに、オペレーターがソリューションの管理やユーザーに対する SLA の維持に確実に専念できるように設計されています。

バックアップを同一システム上に保存しないようにするには、バックアップ データを外部共有にエクスポートする必要があります。 外部共有が必要となることで、管理者はデータの格納場所を既存の社内 BC/DR ポリシーに基づいて柔軟に決定できます。

Infrastructure Backup サービスのコンポーネント

Infrastructure Backup サービスには、次のコンポーネントが含まれています。

  • インフラストラクチャ バックアップ コントローラー
    Infrastructure Backup コントローラーは、各 Azure Stack Hub クラウド内にインスタンス化され、配置されています。
  • バックアップ リソース プロバイダー
    バックアップ リソース プロバイダー (バックアップ RP) は、ユーザー インターフェイスと、Azure Stack Hub インフラストラクチャ向けの基本バックアップ機能を公開する API で構成されています。

インフラストラクチャ バックアップ コントローラー

Infrastructure Backup コントローラーは、Azure Stack Hub クラウド向けにインスタンス化された Service Fabric サービスです。 バックアップ リソースはリージョン レベルで作成され、AD、CA、Azure Resource Manager、CRP、SRP、NRP、Key Vault、RBAC からのリージョン固有のサービス データを記録します。

バックアップ リソース プロバイダー

バックアップ リソース プロバイダーには、Azure Stack Hub ポータルで基本構成用のユーザー インターフェイスと、バックアップ リソースの一覧が表示されます。 オペレーターは、ユーザー インターフェイスで次のアクションを行うことができます。

  • 初めてバックアップを有効にする場合に、外部の保存場所、資格情報、暗号化キーを指定する
  • 完了した作成済みバックアップ リソースや作成中の状態リソースを表示する
  • バックアップ コントローラーがバックアップ データを配置する保存場所を変更する
  • バックアップ コントローラーが外部の保存場所へのアクセスで使用する資格情報を変更する
  • バックアップ コントローラーがバックアップの暗号化で使用する暗号化キーを変更する

バックアップ コントローラーの要件

このセクションでは、Infrastructure Backup サービスの重要な要件について説明します。 Azure Stack Hub インスタンスのバックアップを有効にする前に、次の情報を慎重に確認してください。また、デプロイや後続の操作中にも、必要に応じて再度この情報を参照することをお勧めします。

要件は次のとおりです。

  • ソフトウェア要件 - サポートされる保存場所とサイズ設定のガイダンスを示します。
  • ネットワーク要件 - 各種保存場所のネットワーク要件について説明します。

ソフトウェア要件

サポートされる保存場所

保存先 詳細
信頼されたネットワーク環境内のストレージ デバイスでホストされる SMB ファイル共有 Azure Stack Hub がデプロイされているのと同じデータセンター内、または別のデータセンター内にある SMB 共有。 複数の Azure Stack Hub インスタンスで同じファイル共有を使用できます。
Azure 上の SMB ファイル共有 現在はサポートされていません。
Azure 上の BLOB ストレージ 現在はサポートされていません。

サポートされる SMB バージョン

SMB Version
SMB 3.x

SMB 暗号化

Infrastructure Backup サービスでは、サーバー側で SMB 暗号化が有効になっている外部の保存場所へのバックアップ データの転送がサポートされています。 サーバーで SMB 暗号化がサポートされていない場合、または機能が有効になっていない場合、Infrastructure Backup サービスでは暗号化されていないデータ転送にフォールバックされます。 外部の保存場所に配置されるバックアップ データは、保存時に常に暗号化され、SMB 暗号化に依存しません。

保存場所のサイズ設定

少なくとも 1 日に 2 回はバックアップを行い、バックアップは最長で 7 日間保持することをお勧めします。 これは、Azure Stack Hub でインフラストラクチャ バックアップを有効にした場合の既定の動作です。

環境のスケール バックアップの予測サイズ 必要な領域の合計サイズ
4-16 ノード 20 GB 280 GB
ASDK 10 GB 140 GB

ネットワークの要件

保存先 詳細
信頼されたネットワーク環境内のストレージ デバイスでホストされる SMB ファイル共有 Azure Stack Hub インスタンスがファイアウォールで保護された環境に存在する場合、ポート 445 が必須です。 インフラストラクチャ バックアップ コントローラーは、ポート 445 経由で SMB ファイル サーバーへの接続を開始します。
ファイル サーバーの FQDN を使用するには、名前を PEP から解決可能にする必要があります。

ファイアウォール規則

ERCS VM と外部の保存場所の間の接続を許可するように、ファイアウォール規則を設定してください。

source 移行先 プロトコル/ポート
ERCS VM 1 保存先 445/SMB
ERCS VM 2 保存先 445/SMB
ERCS VM 3 保存先 445/SMB

注意

受信ポートを開く必要はありません。

暗号化の要件

1901 以降の Infrastructure Backup サービスでは、バックアップ データを暗号化するには公開キー (.CER) を含む証明書が使用され、クラウド復旧中にバックアップ データの暗号化を解除するには秘密キー (.PFX) を含む証明書が使用されます。 証明書キーの長さは 2048 バイトである必要があります。

  • 証明書は、キーのトランスポートに使用され、セキュリティで保護された認証済みの通信を確立するためには使用されません。 このため、証明書は自己署名証明書でもかまいません。 Azure Stack Hub では、この証明書のルートまたは信頼を確認する必要はないため、外部のインターネット アクセスは必要ありません。

自己署名証明書は、公開キーと秘密キーの 2 つの部分で構成されます。

  • バックアップ データの暗号化: バックアップ データの暗号化には、(.CER ファイルにエクスポートされる) 公開キーを含む証明書が使用されます
  • バックアップ データの解読: バックアップ データの暗号化の解除には、(.PFX ファイルにエクスポートされる) 秘密キーを含む証明書が使用されます

公開キー (.CER) を含む証明書は、内部シークレットのローテーションによっては管理されません。 証明書のローテーションを行うには、新しい自己署名証明書を作成し、新しいファイル (.CER) でバックアップの設定を更新する必要があります。

  • 既存のすべてのバックアップは、前の公開キーを使用して暗号化されたままになります。 新しいバックアップでは、新しい公開キーを使用します。

秘密キー (.PFX) によるクラウドの復旧中に使用される証明書は、セキュリティ上の理由から、Azure Stack Hub では保存されません。 クラウドの復旧時に、このファイルを明示的に指定する必要があります。

下位互換性モード 1901 以降では、暗号化キーのサポートは非推奨になり、将来のリリースで削除される予定です。 暗号化キーを使用したバックアップが既に有効になっている 1811 から更新した場合、Azure Stack Hub では暗号化キーが引き続き使用されます。 下位互換性モードは、少なくとも 3 リリースでサポートされます。 その後は、証明書が必要になります。

  • 暗号化キーから証明書への更新は、一方向の操作です。
  • 既存のすべてのバックアップは、暗号化キーを使用して暗号化されたまま残ります。 新しいバックアップでは、証明書が使用されます。

インフラストラクチャ バックアップの制限事項

Microsoft Azure Stack Hub インスタンスを計画、デプロイ、および運用する際には、以下の制限事項を考慮してください。 次の表に制限事項を示します。

インフラストラクチャ バックアップの制限事項

制限の種類 制限 説明
バックアップの種類 完全のみ インフラストラクチャ バックアップ コントローラーでは、完全バックアップのみがサポートされます。 増分バックアップは、サポートされていません。
スケジュールされたバックアップ スケジュールおよび手動 バックアップ コントローラーでは、スケジュールされたバックアップとオンデマンド バックアップがサポートされます。
バックアップ ジョブの最大同時実行数 1 バックアップ コントローラーのインスタンスごとに、アクティブなバックアップ ジョブが 1 つのみサポートされます。
ネットワーク スイッチの構成 この記事で扱わない内容 ネットワーク スイッチの構成は、管理者が OEM ツールを使用してバックアップする必要があります。 各 OEM ベンダーから提供される Azure Stack Hub 向けドキュメントを参照してください。
ハードウェア ライフサイクル ホスト この記事で扱わない内容 ハードウェア ライフサイクル ホストは、管理者が OEM ツールを使用してバックアップする必要があります。 各 OEM ベンダーから提供される Azure Stack Hub 向けドキュメントを参照してください。
最大ファイル共有数 1 バックアップ データの格納に使用できるファイル共有は 1 つのみです。
App Services、関数、SQL、mysql リソース プロバイダー データのバックアップ この記事で扱わない内容 Microsoft 作成の付加価値 RP のデプロイや管理についての公開されたガイダンスをご覧ください。
サードパーティ リソース プロバイダーのバックアップ この記事で扱わない内容 サードパーティ作成の付加価値 RP のデプロイや管理についての公開されたガイダンスをご覧ください。

次のステップ