Recovery Services コンテナーに Azure VM をバックアップするBack up Azure VMs in a Recovery Services vault

この記事では、Azure Backup サービスを使用して Recovery Services コンテナーに Azure VM をバックアップする方法について説明します。This article describes how to back up Azure VMs in a Recovery Services vault, using the Azure Backup service.

この記事では、次のことについて説明します。In this article, you learn how to:

  • Azure VM を準備する。Prepare Azure VMs.
  • コンテナーを作成する。Create a vault.
  • VM を検出し、バックアップ ポリシーを構成する。Discover VMs and configure a backup policy.
  • Azure VM のバックアップを有効にする。Enable backup for Azure VMs.
  • 初回バックアップを実行する。Run the initial backup.

注意

この記事では、コンテナーの設定方法およびバックアップする VM の選択方法について説明します。This article describes how to set up a vault and select VMs to back up. これは複数の VM をバックアップする場合に便利です。It's useful if you want to back up multiple VMs. また、VM の設定から直接 1 つの Azure VM をバックアップすることもできます。Alternatively, you can back up a single Azure VM directly from the VM settings.

開始する前にBefore you start

さらに、状況によっては、いくつか行う必要があることがあります。In addition, there are a couple of things that you might need to do in some circumstances:

  • VM に VM エージェントをインストールする: Azure Backup では、マシンで実行されている Azure VM エージェントに拡張機能をインストールすることで、Azure VM がバックアップされます。Install the VM agent on the VM: Azure Backup backs up Azure VMs by installing an extension to the Azure VM agent running on the machine. VM が Azure Marketplace のイメージから作成されている場合は、エージェントがインストールされ、実行されます。If your VM was created from an Azure marketplace image, the agent is installed and running. カスタム VM を作成する場合、またはオンプレミスのマシンを移行する場合は、手動でのエージェントのインストールが必要な場合があります。If you create a custom VM, or you migrate an on-premises machine, you might need to install the agent manually.
  • 発信アクセスを明示的に許可する: 一般に、Azure VM が Azure Backup と通信するために、発信ネットワーク アクセスを明示的に許可する必要はありません。Explicitly allow outbound access: Generally, you don't need to explicitly allow outbound network access for an Azure VM in order for it to communicate with Azure Backup. ただし、一部の VM では、接続しようとすると、接続に関する問題が発生する場合があり、ExtensionSnapshotFailedNoNetwork エラーが表示されます。However, some VMs might experience connection issues, showing the ExtensionSnapshotFailedNoNetwork error when attempting to connect. これが発生した場合、Azure Backup の拡張機能でバックアップ トラフィックのために Azure パブリック IP アドレスと通信できるように、明示的に発信アクセスを許可する必要があります。If this happens, you should explicitly allow outbound access, so the Azure Backup extension can communicate with Azure public IP addresses for backup traffic.

コンテナーの作成Create a vault

コンテナーには、経時的に作成されたバックアップと復旧ポイントと、バックアップしたマシンに関連付けられたバックアップ ポリシーが格納されます。A vault stores backups and recovery points created over time, and stores backup policies associated with backed up machines. 次の手順に従ってコンテナーを作成します。Create a vault as follows:

  1. Azure Portal にサインインします。Sign in to the Azure portal.

  2. 検索で、「Recovery Services」と入力します。In search, type Recovery Services. [サービス][Recovery Services コンテナー] をクリックします。Under Services, click Recovery Services vaults.

    Recovery Services コンテナーの検索

  3. [Recovery Services コンテナー] メニューの [+追加] をクリックします。In Recovery Services vaults menu, click +Add.

    Create Recovery Services Vault step 2

  4. [Recovery Services コンテナー] に、コンテナーを識別するフレンドリ名を入力します。In Recovery Services vault, type in a friendly name to identify the vault.

    • 名前は Azure サブスクリプションに対して一意である必要があります。The name needs to be unique for the Azure subscription.
    • 2 から 50 文字を含めることができます。It can contain 2 to 50 characters.
    • 名前の先頭にはアルファベットを使用する必要があります。また、名前に使用できるのはアルファベット、数字、ハイフンのみです。It must start with a letter, and it can contain only letters, numbers, and hyphens.
  5. Azure サブスクリプションとリソース グループ、およびコンテナーを作成する必要のある geography 型のリージョンを選択します。Select the Azure subscription, resource group, and geographic region in which the vault should be created. [Create] をクリックします。Then click Create.

    • コンテナーが作成されるまで時間がかかることがあります。It can take a while for the vault to be created.
    • ポータルの右上の領域で、状態の通知を監視します。Monitor the status notifications in the upper-right area of the portal.

コンテナーが作成されると、Recovery Services コンテナーの一覧に表示されます。After the vault is created, it appears in the Recovery Services vaults list. コンテナーが表示されない場合は、 [最新の情報に更新] を選択します。If you don't see your vault, select Refresh.

バックアップ コンテナーの一覧

注意

Azure Backup サービスでは、スナップショットを格納するために別のリソース グループ (VM のリソース グループ以外) が作成されます。名前の形式は AzureBackupRG_geography_number です (例:AzureBackupRG_northeurope_1)。Azure Backup service creates a separate resource group (other than the VM resource group) to store snapshot, with the naming format AzureBackupRG_geography_number (example: AzureBackupRG_northeurope_1). このリソース グループ内のデータは、Azure Virtual Machine Backup ポリシーの [Retain instant recovery snapshot](インスタント リカバリ スナップショットの保存) セクションに指定されている日数の期間保持されます。The data in this resource group will be retained for the duration in days as specified in Retain instant recovery snapshot section of the Azure Virtual Machine Backup policy. このリソース グループにロックを適用すると、バックアップが失敗する可能性があります。Applying a lock to this resource group can cause backup failures.
制限ポリシーによってリソース ポイント コレクションの作成がブロックされ、この場合もバックアップが失敗するため、このリソース グループも名前/タグの制限から除外する必要があります。This resource group should also be excluded from any name/tag restrictions as a restriction policy would block creation of Resource Point collections in it again causing backup failures.

ストレージ レプリケーションを変更するModify storage replication

既定では、コンテナーには geo 冗長ストレージ (GRS) が使用されます。By default, vaults use geo-redundant storage (GRS).

  • コンテナーをプライマリ バックアップ メカニズムとする場合は、GRS を使用することをお勧めします。If the vault is your primary backup mechanism, we recommend you use GRS.
  • コストを抑えるオプションとしてローカル冗長ストレージ (LRS) を使用できます。You can use locally-redundant storage (LRS) for a cheaper option.

ストレージ レプリケーションの種類を変更にするには、次の手順に従います。Modify storage replication type as follows:

  1. 新しいコンテナーで、 [設定] セクションの [プロパティ] をクリックします。In the new vault, click Properties in the Settings section.

  2. [プロパティ] で、 [バックアップ構成][更新] をクリックします。In Properties, under Backup Configuration, click Update.

  3. ストレージのレプリケーションの種類を選択し、 [保存] をクリックします。Select the storage replication type, and click Save.

    新しいコンテナーのストレージ構成を設定する

注意

コンテナーを設定してバックアップ項目を格納した後で、ストレージ レプリケーションの種類を変更することはできません。You can't modify the storage replication type after the vault is set up and contains backup items. これを行う場合は、コンテナーを再作成する必要があります。If you want to do this you need to recreate the vault.

バックアップ ポリシーを適用するApply a backup policy

コンテナー用のバックアップ ポリシーを構成します。Configure a backup policy for the vault.

  1. コンテナーで、 [概要] セクションの [+バックアップ] をクリックします。In the vault, click +Backup in the Overview section.

    [バックアップ] ボタン

  2. [バックアップの目標] > [ワークロードはどこで実行されていますか?][Azure] を選択します。In Backup Goal > Where is your workload running? select Azure. [バックアップの対象] で、 [仮想マシン] > [OK] を選択します。In What do you want to back up? select Virtual machine > OK. これにより、VM 拡張機能がコンテナーに登録されます。This registers the VM extension in the vault.

    [バックアップ] ウィンドウと [バックアップの目標] ウィンドウ

  3. [バックアップ ポリシー] で、コンテナーに関連付けるポリシーを選択します。In Backup policy, select the policy that you want to associate with the vault.

    • 既定のポリシーでは、1 日に 1 回、VM がバックアップされます。The default policy backs up the VM once a day. 毎日のバックアップは 30 日間保持されます。The daily backups are retained for 30 days. インスタント回復スナップショットは 2 日間保持されます。Instant recovery snapshots are retained for two days.

    • 既定のポリシーを使用する必要がない場合は、 [新規作成] を選択し、次の手順に従ってカスタム ポリシーを作成します。If you don't want to use the default policy, select Create New, and create a custom policy as described in the next procedure.

      既定のバックアップ ポリシー

  4. [仮想マシンの選択] で、ポリシーを使用してバックアップを作成したい VM を選択します。In Select virtual machines, select the VMs you want to back up using the policy. 次に、 [OK] をクリックしますThen click OK.

    • 選択した VM が検証されます。The selected VMs are validated.

    • コンテナーと同じリージョンにある VM のみを選択できます。You can only select VMs in the same region as the vault.

    • VM は、1 つのコンテナーでのみバックアップできます。VMs can only be backed up in a single vault.

      [仮想マシンの選択] ウィンドウ

  5. [バックアップ] で、 [バックアップの有効化] をクリックします。In Backup, click Enable backup. これにより、ポリシーがコンテナーと VM にデプロイされ、Azure VM で実行されている VM エージェントにバックアップ拡張機能がインストールされます。This deploys the policy to the vault and to the VMs, and installs the backup extension on the VM agent running on the Azure VM.

    [バックアップの有効化] ボタン

バックアップの有効化後:After enabling backup:

  • バックアップ拡張機能は、VM が実行されているかどうかにかかわらず、Backup サービスによってインストールされます。The Backup service installs the backup extension whether or not the VM is running.
  • バックアップ スケジュールに従って初回バックアップが実行されます。An initial backup will run in accordance with your backup schedule.
  • バックアップの実行時には、次の点に注意してください。When backups run, note that:
    • 実行されている VM では、アプリケーション整合性復旧ポイントが取り込まれる可能性が最も高くなります。A VM that's running have the greatest chance for capturing an application-consistent recovery point.
    • ただし、VM がオフになっている場合でも、VM はバックアップされます。However, even if the VM is turned off it's backed up. このような VM はオフライン VM と呼ばれます。Such a VM is known as an offline VM. この場合、復旧ポイントは、クラッシュ整合性復旧ポイントになります。In this case, the recovery point will be crash-consistent.

カスタム ポリシーの作成Create a custom policy

新しいバックアップ ポリシーを作成するように選択した場合は、ポリシー設定を入力します。If you selected to create a new backup policy, fill in the policy settings.

  1. [ポリシー名] で、わかりやすい名前を指定します。In Policy name, specify a meaningful name.

  2. [バックアップ スケジュール] で、バックアップを作成するタイミングを指定します。In Backup schedule, specify when backups should be taken. Azure VM について毎日または毎週のバックアップを作成できます。You can take daily or weekly backups for Azure VMs.

  3. [インスタント リストア] で、インスタント リストアに備えてスナップショットをローカルで保持する期間を指定します。In Instant Restore, specify how long you want to retain snapshots locally for instant restore.

    • 復元の際は、バックアップされた VM ディスクが、ストレージからネットワーク経由で復旧ストレージの場所にコピーされます。When you restore, backed up VM disks are copied from storage, across the network to the recovery storage location. インスタント リストアを使用すれば、バックアップ ジョブ中に作成されローカルに格納されたスナップショットを活用できるので、バックアップ データがコンテナーに転送されるのを待たずに済みます。With instant restore, you can leverage locally-stored snapshots taken during a backup job, without waiting for backup data to be transferred to the vault.
    • インスタント リストア用のスナップショットは、1 日から 5 日間、保持することができます。You can retain snapshots for instant restore for between one to five days. 既定値は 2 日間です。Two days is the default setting.
  4. [保有期間の範囲] で、毎日または毎週のバックアップのポイントを保持する期間を指定します。In Retention range, specify how long you want to keep your daily or weekly backup points.

  5. [毎月のバックアップ ポイントの保持期間] で、毎日または毎週のバックアップの毎月のバックアップを保持するかどうかを指定します。In Retention of monthly backup point, specify whether you want to keep a monthly backup of your daily or weekly backups.

  6. [OK] をクリックしてポリシーを保存します。Click OK to save the policy.

    新しいバックアップ ポリシー

注意

Azure Backup では、Azure VM バックアップの夏時間変更に対する時計の自動調整はサポートされていません。Azure Backup doesn't support automatic clock adjustment for daylight-saving changes for Azure VM backups. 時間の変更が行われたら、必要に応じて手動でバックアップ ポリシーを変更します。As time changes occur, modify backup policies manually as required.

初回バックアップをトリガーするTrigger the initial backup

初回バックアップはスケジュールに従って実行されますが、次のようにすぐに実行することもできます。The initial backup will run in accordance with the schedule, but you can run it immediately as follows:

  1. コンテナー メニューで [バックアップ アイテム] をクリックします。In the vault menu, click Backup items.
  2. [バックアップ アイテム] で、 [Azure Virtual Machines] をクリックします。In Backup Items click Azure Virtual Machine.
  3. [バックアップ アイテム] の一覧で、省略記号 [...] をクリックします。In the Backup Items list, click the ellipses (...).
  4. [今すぐバックアップ] をクリックします。Click Backup now.
  5. [今すぐバックアップ] で、カレンダー コントロールを使用して復旧ポイントを保持する最終日を選択します。In Backup Now, use the calendar control to select the last day that the recovery point should be retained. 次に、 [OK] をクリックしますThen click OK.
  6. ポータルの通知を監視します。Monitor the portal notifications. コンテナー ダッシュボードの [バックアップ ジョブ] > [進行中] でジョブの進行状況を監視できます。You can monitor the job progress in the vault dashboard > Backup Jobs > In progress. VM のサイズによっては、最初のバックアップの作成に時間がかかる場合があります。Depending on the size of your VM, creating the initial backup may take a while.

バックアップ ジョブの状態を確認するVerify Backup job status

各 VM バックアップのバックアップ ジョブの詳細は、スナップショット フェーズとその後のコンテナーへのデータ転送フェーズの 2 つのフェーズで構成されます。The Backup job details for each VM backup consist of two phases, the Snapshot phase followed by the Transfer data to vault phase.
スナップショット フェーズは、インスタント リストア用のディスクと共に格納される復旧ポイントの可用性を保証し、ユーザーによって構成されるスナップショットの保持期間に応じて最大 5 日間使用できます。The snapshot phase guarantees the availability of a recovery point stored along with the disks for Instant Restores and are available for a maximum of five days depending on the snapshot retention configured by the user. コンテナーへのデータ転送では、長期の保持期間のためにコンテナー内に復旧ポイントを作成します。Transfer data to vault creates a recovery point in the vault for long-term retention. コンテナーへのデータ転送は、スナップショット フェーズが完了した後でのみ開始されます。Transfer data to vault only starts after the snapshot phase is completed.

バックアップ ジョブの状態

バックエンドで実行されている 2 つのサブタスクがあり、1 つは、下に示すように [バックアップ ジョブ] 詳細ブレードから確認できるフロント エンド バックアップ ジョブ用です。There are two Sub Tasks running at the backend, one for front-end backup job that can be checked from the Backup Job details blade as given below:

バックアップ ジョブの状態

コンテナーへのデータ転送フェーズは、ディスクのサイズ、ディスクごとのチャーン、その他のいくつかの要因に応じて、完了するまでに数日かかる場合があります。The Transfer data to vault phase can take multiple days to complete depending on the size of the disks, churn per disk and several other factors.

ジョブの状態は、次のシナリオによって異なることがあります。Job status can vary depending on the following scenarios:

スナップショットSnapshot コンテナーへのデータ転送Transfer data to vault ジョブの状態Job Status
完了Completed 進行中In progress 進行中In progress
完了Completed SkippedSkipped 完了Completed
完了Completed 完了Completed 完了Completed
完了Completed 失敗Failed 警告で完了Completed with warning
失敗Failed 失敗Failed 失敗Failed

この機能により、同じ VM に対して 2 つのバックアップを並列に実行できるようになりましたが、どちらのフェーズ (スナップショット、コンテナーへのデータ転送) でも実行できるのは 1 つのサブタスクだけです。Now with this capability, for the same VM, two backups can run in parallel, but in either phase (snapshot, transfer data to vault) only one sub task can be running. この分離機能により、進行中のバックアップ ジョブが翌日のバックアップになって失敗するシナリオは回避されます。So in scenarios were a backup job in progress resulted in the next day’s backup to fail will be avoided with this decoupling functionality. 次の日のバックアップは、前の日のバックアップ ジョブが進行中の状態にある場合、コンテナーへのデータ転送がスキップされた状態でスナップショットを完了できます。Subsequent day’s backups can have snapshot completed while Transfer data to vault skipped if an earlier day’s backup job is in progress state. コンテナーで作成された増分型の復旧ポイントは、コンテナーで作成された最後の復旧ポイントからのすべてのチャーンをキャプチャします。The incremental recovery point created in the vault will capture all the churn from the last recovery point created in the vault. ユーザーへのコストの影響はありません。There is no cost impact on the user.

オプションの手順 (エージェントをインストールする/送信を許可する)Optional steps (install agent/allow outbound)

VM エージェントのインストールInstall the VM agent

Azure Backup では、マシンで実行されている Azure VM エージェントに拡張機能をインストールすることで、Azure VM がバックアップされます。Azure Backup backs up Azure VMs by installing an extension to the Azure VM agent running on the machine. VM が Azure Marketplace のイメージから作成されている場合は、エージェントがインストールされ、実行されます。If your VM was created from an Azure Marketplace image, the agent is installed and running. カスタム VM を作成する場合、またはオンプレミスのマシンを移行する場合は、表に示すように、エージェントを手動でインストールする必要があります。If you create a custom VM, or you migrate an on-premises machine, you might need to install the agent manually, as summarized in the table.

VMVM 詳細Details
WindowsWindows 1.エージェント MSI ファイルをダウンロードしてインストールします。1. Download and install the agent MSI file.

2.マシンでの管理者権限でインストールします。2. Install with admin permissions on the machine.

手順 3.インストールを確認します。3. Verify the installation. VM 上の C:\WindowsAzure\Packages で、WaAppAgent.exe > を右クリックして、 [プロパティ] を選択します。In C:\WindowsAzure\Packages on the VM, right-click WaAppAgent.exe > Properties. [詳細] タブで、 [製品バージョン] が 2.6.1198.718 以降であることを確認します。On the Details tab, Product Version should be 2.6.1198.718 or higher.

エージェントを更新する場合は、バックアップ操作が実行されていないことを確認し、エージェントを再インストールします。If you're updating the agent, make sure that no backup operations are running, and reinstall the agent.
LinuxLinux ディストリビューションのパッケージのリポジトリから、RPM または DEB パッケージを使用してインストールします。Install by using an RPM or a DEB package from your distribution's package repository. これは、Azure Linux エージェントのインストールおよびアップグレードとしてお勧めする方法です。This is the preferred method for installing and upgrading the Azure Linux agent. すべての動作保証済みディストリビューション プロバイダーAzure Linux エージェント パッケージをイメージとリポジトリに統合します。All the endorsed distribution providers integrate the Azure Linux agent package into their images and repositories. エージェントは GitHub から入手できますが、そこからインストールすることはお勧めできません。The agent is available on GitHub, but we don't recommend installing from there.

エージェントを更新する場合は、バックアップ操作が実行されていないことを確認し、バイナリを更新します。If you're updating the agent, make sure no backup operations are running, and update the binaries.

発信アクセスを明示的に許可するExplicitly allow outbound access

VM で実行されているバックアップ拡張機能には、Azure パブリック IP アドレスへの発信アクセスが必要です。The backup extension running on the VM needs outbound access to Azure public IP addresses.

  • 一般に、Azure VM が Azure Backup と通信するために、発信ネットワーク アクセスを明示的に許可する必要はありません。Generally you don't need to explicitly allow outbound network access for an Azure VM in order for it to communicate with Azure Backup.
  • VM の接続で問題が発生した場合、または接続しようとするとエラー ExtensionSnapshotFailedNoNetwork が表示された場合は、バックアップ拡張機能がバックアップ トラフィック用の Azure パブリック IP アドレスに通信できるように、明示的にアクセスを許可する必要があります。If you do run into difficulties with VMs connecting, or if you see the error ExtensionSnapshotFailedNoNetwork when attempting to connect, you should explicitly allow access so the backup extension can communicate to Azure public IP addresses for backup traffic. アクセス方法を次の表にまとめて示します。Access methods are summarized in the following table.
オプションOption アクションAction 詳細Details
NSG ルールを設定するSet up NSG rules Azure データセンターの IP 範囲を許可します。Allow the Azure datacenter IP ranges.

すべてのアドレス範囲を許可して管理するのではなく、サービス タグを使用して Azure Backup サービスへのアクセスを許可するルールを追加することができます。Instead of allowing and managing every address range, you can add a rule that allows access to the Azure Backup service using a service tag.
サービス タグについての詳細を参照してください。Learn more about service tags.

サービス タグを使用すれば、アクセス管理を簡略化できます。追加のコストはかかりません。Services tags simplify access management, and don't incur additional costs.
プロキシをデプロイするDeploy a proxy トラフィックをルーティングする HTTP プロキシ サーバーをデプロイする。Deploy an HTTP proxy server for routing traffic. Storage だけでなく、Azure 全体へのアクセスを提供することになる。Provides access to the whole of Azure, and not just storage.

ストレージ URL に対する詳細な制御が可能。Granular control over the storage URLs is allowed.

VM に対するインターネット アクセスを単一の場所で実現。Single point of internet access for VMs.

プロキシの追加のコスト。Additional costs for proxy.
Azure Firewall を設定するSet up Azure Firewall Azure Backup サービスの FQDN タグを使用して、VM で Azure Firewall を経由したトラフィックを許可しますAllow traffic through the Azure Firewall on the VM, using an FQDN tag for the Azure Backup service VNet サブネットで Azure Firewall が設定されている場合は、簡単に使用できる。Simple to use if you have Azure Firewall set up in a VNet subnet.

独自の FQDN タグを作成したり、タグで FQDN を変更したりすることはできない。You can't create your own FQDN tags, or modify FQDNs in a tag.

ご利用の Azure VM にマネージド ディスクが含まれる場合、ファイアウォール上で追加のポート (8443) を開くことが必要な場合があります。If your Azure VMs have managed disks, you might need to open an additional port (8443) on the firewalls.

ネットワーク接続を確立するEstablish network connectivity

NSG を使用するか、プロキシまたはファイアウォールを介して接続を確立するEstablish connectivity with NSG, by proxy, or through the firewall

Azure への発信アクセスを許可する NSG ルールを設定するSet up an NSG rule to allow outbound access to Azure

VM のアクセス権が NSG によって管理される場合は、バックアップ ストレージに対する送信アクセスを、必要な範囲とポートに許可します。If an NSG manages the VM access, allow outbound access for the backup storage to the required ranges and ports.

  1. VM のプロパティで [ネットワーク][送信ポートの規則を追加する] の順に選択します。In the VM properties > Networking, select Add outbound port rule.

  2. [送信セキュリティ規則の追加] で、 [詳細] を選択します。In Add outbound security rule, select Advanced.

  3. [ソース][VirtualNetwork] を選択します。In Source, select VirtualNetwork.

  4. [ソース ポート範囲] で、任意のポートからの発信アクセスを許可するアスタリスク (*) を入力します。In Source port ranges, enter an asterisk (*) to allow outbound access from any port.

  5. [宛先][サービス タグ] を選択します。In Destination, select Service Tag. 一覧から、Storage.region を選択します。From the list, select Storage.region. リージョンはコンテナーと、バックアップする VM が配置されている場所です。The region is where the vault, and the VMs that you want to back up, are located.

  6. [宛先ポート範囲] でポートを選択します。In Destination port ranges, select the port.

    • アンマネージド ディスクと暗号化されていないストレージ アカウントを使用する VM: 80VM using unmanaged disks with unencrypted storage account: 80
    • アンマネージド ディスクと暗号化されているストレージ アカウントを使用する VM: 443 (既定の設定)VM using unmanaged disks with encrypted storage account: 443 (default setting)
    • マネージド ディスクを使用する VM: 8443VM using managed disks: 8443.
  7. [プロトコル] で、 [TCP] を選択します。In Protocol, select TCP.

  8. [優先度] で、上位の拒否ルールより低い優先度値を指定します。In Priority, specify a priority value less than any higher deny rules.

    アクセスを拒否するルールがある場合、新しい許可ルールを上位にする必要があります。If you have a rule that denies access, the new allow rule must be higher. たとえば、優先順位 1000 で Deny_All (すべて拒否) ルール セットがある場合、新しいルールは、1000 未満に設定する必要があります。For example, if you have a Deny_All rule set at priority 1000, your new rule must be set to less than 1000.

  9. ルールの名前と説明を指定して、 [OK] を選択します。Provide a name and description for the rule, and select OK.

NSG ルールを複数の VM に適用して、発信アクセスを許可することができます。You can apply the NSG rule to multiple VMs to allow outbound access. このビデオでは、その手順について説明します。This video walks you through the process.

プロキシ経由のバックアップ トラフィックのルーティングRoute backup traffic through a proxy

プロキシ経由でバックアップ トラフィックをルーティングし、必要な Azure 範囲へのプロキシ アクセスを付与できます。You can route backup traffic through a proxy, and then give the proxy access to the required Azure ranges. 次を許可するように、プロキシ VM を構成します。Configure the proxy VM to allow the following:

  • Azure VM は、パブリック インターネット宛てのすべての HTTP トラフィックをプロキシ VM 経由でルーティングする必要があります。The Azure VM should route all HTTP traffic bound for the public internet through the proxy.
  • 該当する仮想ネットワーク内の VM からの受信トラフィックがプロキシによって許可される必要があります。The proxy should allow incoming traffic from VMs in the applicable virtual network.
  • NSG NSF ロックダウンには、プロキシ VM からの発信インターネット トラフィックを許可するルールが必要です。The NSG NSF-lockdown needs a rule that allows outbound internet traffic from the proxy VM.
プロキシを設定するSet up the proxy

システム アカウントのプロキシがない場合は、次の手順で設定します。If you don't have a system account proxy, set one up as follows:

  1. PsExec をダウンロードします。Download PsExec.
  2. PsExec.exe -i -s cmd.exe を実行して、システム アカウントでコマンド プロンプトを実行します。Run PsExec.exe -i -s cmd.exe to run the command prompt under a system account.
  3. システム コンテキストでブラウザーを実行します。Run the browser in system context. 例: %PROGRAMFILES%\Internet Explorer\iexplore.exe を使用します (Internet Explorer の場合)。For example, use %PROGRAMFILES%\Internet Explorer\iexplore.exe for Internet Explorer.
  4. プロキシ設定を定義します。Define the proxy settings.
    • Linux マシンで:On Linux machines:
      • /etc/environment ファイルに次の行を追加します。Add this line to the /etc/environment file:
        • http_proxy=http://proxy IP address:proxy porthttp_proxy=http://proxy IP address:proxy port
      • /etc/waagent.conf ファイルに次の行を追加します。Add these lines to the /etc/waagent.conf file:
        • HttpProxy.Host=proxy IP addressHttpProxy.Host=proxy IP address
        • HttpProxy.Port=proxy portHttpProxy.Port=proxy port
    • Windows マシンのブラウザー設定で、プロキシを使用する必要があることを指定します。On Windows machines, in the browser settings, specify that a proxy should be used. ユーザー アカウントで現在、プロキシを使用している場合、次のスクリプトを使用してシステム アカウント レベルで設定を適用することができます。If you're currently using a proxy on a user account, you can use this script to apply the setting at the system account level.
      $obj = Get-ItemProperty -Path Registry::"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections"
      Set-ItemProperty -Path Registry::"HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections" -Name DefaultConnectionSettings -Value $obj.DefaultConnectionSettings
      Set-ItemProperty -Path Registry::"HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections" -Name SavedLegacySettings -Value $obj.SavedLegacySettings
      $obj = Get-ItemProperty -Path Registry::"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
      Set-ItemProperty -Path Registry::"HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings" -Name ProxyEnable -Value $obj.ProxyEnable
      Set-ItemProperty -Path Registry::"HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings" -Name Proxyserver -Value $obj.Proxyserver
      
      
プロキシで着信接続を許可するAllow incoming connections on the proxy

プロキシ設定で着信接続を許可します。Allow incoming connections in the proxy settings.

  1. Windows ファイアウォールで、セキュリティが強化された Windows ファイアウォールを開きます。In Windows Firewall, open Windows Firewall with Advanced Security.

  2. [受信の規則] を右クリックし、 > [新しい規則] をクリックします。Right-click Inbound Rules > New Rule.

  3. [規則の種類] で、 [カスタム] > [次へ] の順に選択します。In Rule Type, select Custom > Next.

  4. [プログラム] で、 [すべてのプログラム] > [次へ] を選択します。In Program, select All Programs > Next.

  5. [プロトコルおよびポート] で、次を実行します。In Protocols and Ports:

    • 種類を [TCP] に設定する。Set the type to TCP.
    • [ローカル ポート][特定のポート] に設定する。Set Local Ports to Specific Ports.
    • [リモート ポート][すべてのポート] に設定する。Set Remote port to All Ports.
  6. ウィザードを終了し、ルールの名前を指定します。Finish the wizard and specify a name for the rule.

プロキシの NSG に例外規則を追加するAdd an exception rule to the NSG for the proxy

NSG NSF ロックダウンで、10.0.0.5 の任意のポートから、ポート 80 (HTTP) または 443 (HTTPS) 上の任意のインターネット アドレスへのトラフィックを許可します。On the NSG NSF-lockdown, allow traffic from any port on 10.0.0.5 to any internet address on port 80 (HTTP) or 443 (HTTPS).

次の PowerShell スクリプトでは、トラフィックを許可する例を示します。The following PowerShell script provides an example for allowing traffic. すべてのパブリック インターネット アドレスへの送信を許可する代わりに、IP アドレス範囲を指定する (-DestinationPortRange) ことも、storage.region サービス タグを使用することもできます。Instead of allowing outbound to all public internet addresses, you can specify an IP address range (-DestinationPortRange), or use the storage.region service tag.

Get-AzureNetworkSecurityGroup -Name "NSG-lockdown" |
Set-AzureNetworkSecurityRule -Name "allow-proxy " -Action Allow -Protocol TCP -Type Outbound -Priority 200 -SourceAddressPrefix "10.0.0.5/32" -SourcePortRange "*" -DestinationAddressPrefix Internet -DestinationPortRange "80-443"
FQDN タグを使用してファイアウォール アクセスを許可するAllow firewall access with an FQDN tag

Azure Backup へのネットワーク トラフィックの送信アクセスを許可するように Azure Firewall を設定することができます。You can set up Azure Firewall to allow outbound access for network traffic to Azure Backup.

次の手順Next steps