Azure Backup を使用すると、 プライベート エンドポイントを使用して Recovery Services コンテナーからデータをバックアップおよび復元できます。 プライベート エンドポイントでは、Azure 仮想ネットワークの 1 つ以上のプライベート IP アドレスを使用して、サービスを仮想ネットワークに効果的に取り込みます。
Azure Backup では、バージョン 1 のエクスペリエンスと比較して、プライベート エンドポイントを作成して使用するための バージョン 2 エクスペリエンスが提供されるようになりました。
この記事では、Azure Backup のプライベート エンドポイントのバージョン 2 の機能がどのように機能し、リソースのセキュリティを維持しながらバックアップを実行するのに役立つかについて説明します。
主な機能強化
- マネージド ID を使用せずにプライベート エンドポイントを作成します。
- BLOB およびキュー サービス用のプライベート エンドポイントは作成されません。
- 使用するプライベート IP の数を減らします。
開始する前の考慮事項
Azure Backup と Azure Site Recovery の両方で Recovery Services コンテナーが使用されますが、この記事では Azure Backup 専用のプライベート エンドポイントの使用について説明します。
ネットワーク制限付きのキー保管庫を持つカスタマーマネージドキー (CMK) は、プライベートエンドポイントが有効な保管庫ではサポートされていません。
新しい Recovery Services コンテナーのプライベート エンドポイントは、コンテナーに項目が登録されていない場合にのみ作成できます。 ただし、現在、プライベート エンドポイントは Backup コンテナーではサポートされていません。
静的 IP を持つプライベート エンドポイントは、動的 IP 拡張のため、バージョン 2 のエクスペリエンスではサポートされていません。 作成は成功しますが、既存の保護された項目を持つコンテナーの登録が失敗する可能性があります。
Recovery Services コンテナーの下に同じ名前の複数のプライベート エンドポイントを作成することはサポートされていません。
バージョン 1 のエクスペリエンスで作成されたボールト (プライベート エンドポイントを含む) をバージョン 2 のエクスペリエンスにアップグレードすることはできません。 既存のすべてのプライベート エンドポイントを削除し、バージョン 2 のエクスペリエンスで新しいプライベート エンドポイントを作成できます。
1 つの仮想ネットワークに複数の Recovery Services コンテナーのプライベート エンドポイントを含めることができます。 また、1 つの Recovery Services コンテナーは、複数の仮想ネットワークにプライベート エンドポイントを持つことができます。 1 つのボールトに対して最大 12 個のプライベート エンドポイントを作成できます。
ボールトのプライベート エンドポイントでは 10 個のプライベート IP が使用され、時間と共にカウントが増加する可能性があります。 Azure Backup のプライベート エンドポイントを作成する場合は、十分なプライベート IP (/25) を使用できるようにすることをお勧めします。
Azure Backup のプライベート エンドポイントには、Microsoft Entra ID へのアクセスは含まれません。 アクセスを有効にして、Microsoft Entra ID をリージョンで機能させるために必要な IP と完全修飾ドメイン名 (FQDN) が、実行時にセキュリティで保護されたネットワークで許可された状態で送信アクセスできるようにします。
- Azure 仮想マシン (VM) 内のデータベースのバックアップ。
- Microsoft Azure Recovery Services (MARS) エージェントを使用するバックアップ。
必要に応じて、ネットワーク セキュリティ グループ (NSG) タグと Azure Firewall タグを使用して、Microsoft Entra ID へのアクセスを許可することもできます。
2020 年 5 月 1 日より前にサブスクリプションを登録した場合は、Recovery Services リソース プロバイダーをサブスクリプションに再登録する必要があります。 プロバイダーを再登録するには、Azure portal でサブスクリプションに移動し、左側のメニューの [リソース プロバイダー ] に移動し、 Microsoft.RecoveryServices>Re-register を選択します。
サブスクリプション間で DNS を作成できます。
ボールト内のアイテムを保護する前または後に、セカンダリのプライベートエンドポイントを作成できます。 プライベート エンドポイントが有効なコンテナーのリージョンをまたがる復元を行う方法を学びます。
推奨されるシナリオとサポートされるシナリオ
プライベート エンドポイントはコンテナーに対して有効になっていますが、Azure VM、MARS エージェント バックアップ、System Center Data Protection Manager (DPM) の SQL Server ワークロードと SAP HANA ワークロードのバックアップと復元にのみ使用されます。 他のワークロードのバックアップにはコンテナーを使用することもできますが、プライベート エンドポイントは必要ありません。 SQL Server と SAP HANA ワークロードのバックアップと MARS エージェント経由のバックアップに加えて、プライベート エンドポイントを使用して Azure VM バックアップのファイル回復を実行します。
次の表に、シナリオと推奨事項を示します。
| シナリオ | 推奨 |
|---|---|
| Azure VM (SQL Server、SAP HANA) でのワークロードのバックアップ、MARS エージェント経由のバックアップ、DPM サーバー | プライベート エンドポイントを使用して、仮想ネットワークから Azure Backup または Azure Storage の IP または FQDN を許可リストに追加する必要なく、バックアップと復元を許可することをお勧めします。 このシナリオでは、SQL データベースをホストする VM から Microsoft Entra の IP または FQDN に接続できることを確認します。 |
| Azure VM バックアップ | VM バックアップでは、IP または FQDN へのアクセスを許可する必要はありません。 そのため、ディスクのバックアップと復元のためにプライベート エンドポイントは必要ありません。 ただし、プライベート エンドポイントを含むコンテナーからのファイルの回復は、コンテナーのプライベート エンドポイントを含む仮想ネットワークに制限されます。 アクセス制御リスト (ACL) でアンマネージド ディスクを使用している場合は、ディスクを含むストレージ アカウントが、信頼できる Microsoft サービス (ACL 内にある場合) へのアクセスを許可していることを確認します。 |
| Azure Files のバックアップ | Azure Files バックアップは、ローカル ストレージ アカウントに格納されます。 そのため、バックアップと復元にプライベート エンドポイントは必要ありません。 |
| ボールトおよび仮想マシン内のプライベート エンドポイントの仮想ネットワークを変更しました | プライベート エンドポイントが有効になっている新しいコンテナーでバックアップ保護を停止し、バックアップ保護を構成します。 |
注
プライベート エンドポイントは、DPM 2022、Microsoft Azure Backup Server (MABS) v4 以降でのみサポートされます。
サポートされていないシナリオ
バックアップと復元の操作では、プライベート エンドポイントが有効な Recovery Services コンテナーは、Recovery Services コンテナーに CMK を格納するために、プライベート エンドポイントが有効な Azure キー コンテナーと互換性がありません。
プライベート エンドポイントによるネットワーク接続の違い
前述のように、プライベート エンドポイントは、Azure VM でのワークロード (SQL Server と SAP HANA) のバックアップや MARS エージェントのバックアップに特に役立ちます。
すべてのシナリオ (プライベート エンドポイントあり、またはプライベート エンドポイントなし) では、ワークロード拡張機能 (Azure VM 内で実行されている SQL Server インスタンスと SAP HANA インスタンスのバックアップ用) と MARS エージェントの両方が Microsoft Entra ID への接続呼び出しを行います。 Microsoft 365 Common および Office Online のセクション 56 と 59 に記載されている FQDN への呼び出しを行います。
これらの接続に加えて、プライベート エンドポイントのない Recovery Services コンテナーにワークロード拡張機能または MARS エージェントがインストールされている場合は、次のドメインへの接続が必要です。
| サービス | ドメイン名 | 港 / ポート |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com この記事に従って、セクション 56 および 59 の FQDN へのアクセスを許可します。 |
443 該当する場合 |
プライベート エンドポイントを持つ Recovery Services コンテナーにワークロード拡張機能または MARS エージェントがインストールされている場合、次のエンドポイントが関係します。
| サービス | ドメイン名 | 港 / ポート |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com この記事に従って、セクション 56 および 59 の FQDN へのアクセスを許可します。 |
443 該当する場合 |
注
前のテキストでは、 <geo> はリージョン コードを参照します (たとえば、米国東部の場合は eus 、北ヨーロッパの場合は ne )。 リージョン コードの詳細については、次の一覧を参照してください。
MARS エージェントを自動的に更新するには、 download.microsoft.com/download/MARSagent/*へのアクセスを許可します。
プライベート エンドポイントが設定された Recovery Services コンテナーの場合、FQDN の名前解決 (privatelink.<geo>.backup.windowsazure.com、*.blob.core.windows.net、*.queue.core.windows.net、*.blob.storage.azure.net) では、プライベート IP アドレスを返す必要があります。 これを実現するには、次を使用します。
- Azure プライベート DNS ゾーン。
- カスタム DNS。
- ホスト ファイル内の DNS エントリ。
- Azure DNS ゾーンまたは Azure プライベート DNS ゾーンへの条件付きフォワーダー。
ストレージ アカウントのプライベート IP マッピングは、Recovery Services コンテナー用に作成されたプライベート エンドポイントに一覧表示されます。 Azure では BLOB とキューの DNS レコードを管理できるため、Azure プライベート DNS ゾーンを使用することをお勧めします。 コンテナーに新しいストレージ アカウントが割り当てられると、そのプライベート IP の DNS レコードが BLOB またはキューの Azure プライベート DNS ゾーンに自動的に追加されます。
サード パーティのプロキシ サーバーまたはファイアウォールを使用して DNS プロキシ サーバーを構成した場合は、上記のドメイン名を許可し、次のいずれかの方法にリダイレクトする必要があります。
- 上記の FQDN の DNS レコードを持つカスタム DNS
- プライベート DNS ゾーンがリンクされている Azure 仮想ネットワーク上の 168.63.129.16
次の例は、Recovery Services コンテナー、BLOB、キュー、および Microsoft Entra ID のドメイン名クエリを 168.63.129.16 にリダイレクトするために DNS プロキシとして使用される Azure Firewall を示しています。
詳細については、「 プライベート エンドポイントの作成と使用」を参照してください。
プライベート エンドポイントを備えた保管庫のネットワーク接続性のセットアップ
Recovery Services のプライベート エンドポイントは、ネットワーク インターフェイス (NIC) に関連付けられます。 プライベート エンドポイント接続を機能させるには、Azure サービスのすべてのトラフィックをネットワーク インターフェイスにリダイレクトする必要があります。 このリダイレクトを実現するには、サービス、BLOB、またはキューの URL に対して、ネットワーク インターフェイスに関連付けられているプライベート IP の DNS マッピングを追加します。
プライベート エンドポイントを使用して Recovery Services コンテナーに登録されている仮想マシンにワークロード バックアップ拡張機能がインストールされると、拡張機能は Azure Backup サービスのプライベート URL ( <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com) への接続を試みます。
プライベート URL が機能しない場合、拡張機能はパブリック URL <azure_backup_svc>.<geo>.backup.windowsazure.comを試行します。 Recovery Services コンテナーのパブリック ネットワーク アクセスが すべてのネットワークからの許可として構成されている場合、Recovery Services コンテナーは、パブリック URL 経由で拡張機能からの要求を許可します。 Recovery Services コンテナーのパブリック ネットワーク アクセスが 拒否として構成されている場合、Recovery Services コンテナーは、パブリック URL 経由で拡張機能からの要求を拒否します。
注
上記のドメイン名では、 <geo> によってリージョン コードが決定されます (たとえば、米国東部の場合は eus 、北ヨーロッパの場合は ne )。 リージョン コードの詳細については、次の一覧を参照してください。
これらのプライベート URL は、コンテナーに固有です。 コンテナーに登録されている拡張機能とエージェントのみが、これらのエンドポイント経由で Azure Backup と通信できます。 Recovery Services コンテナーのパブリック ネットワーク アクセスが 拒否として構成されている場合、この設定では、仮想ネットワークで実行されていないクライアントがコンテナーに対するバックアップ操作と復元操作を要求することを制限します。
プライベート エンドポイントのセットアップと共に、パブリック ネットワーク アクセスを拒否に設定することをお勧めします。 拡張機能とエージェントが最初にプライベート URL を使用しようとすると、URL の *.privatelink.<geo>.backup.windowsazure.com DNS 解決は、プライベート エンドポイントに関連付けられている対応するプライベート IP を返す必要があります。
DNS 解決の対処法は次のとおりです。
- Azure プライベート DNS ゾーン
- [カスタム DNS]
- ホスト ファイル内の DNS エントリ
- Azure DNS または Azure プライベート DNS ゾーンへの条件付きフォワーダー
Azure portal でプライベート DNS ゾーンとの統合 オプションを使用して Recovery Services のプライベート エンドポイントを作成すると、リソースが割り当てられるたびに、Azure Backup サービス (*.privatelink.<geo>backup.windowsazure.com) のプライベート IP アドレスに必要な DNS エントリが自動的に作成されます。 それ以外の場合は、カスタム DNS ファイルまたはホスト ファイルで、これらの FQDN の DNS エントリを手動で作成する必要があります。
通信チャネルの VM 検出後の BLOB とキューの DNS レコードの手動管理については、 最初の登録後の BLOB とキューの DNS レコード (カスタム DNS サーバー/ホスト ファイルの場合のみ) を参照してください。 バックアップ ストレージ アカウント BLOB の最初のバックアップ後の DNS レコードの手動管理については、最初のバックアップ 後の BLOB の DNS レコード (カスタム DNS サーバー/ホスト ファイルの場合のみ) を参照してください。
FQDN のプライベート IP アドレスは、Recovery Services コンテナー用に作成したプライベート エンドポイントの DNS 構成 ウィンドウで確認できます。
次の図は、プライベート DNS ゾーンを使用してこれらのプライベート サービス FQDN を解決する場合の解決のしくみを示しています。
Azure VM で実行されているワークロード拡張機能には、少なくとも 2 つのストレージ アカウントへの接続が必要です。 1 つ目は、キュー メッセージを介して通信チャネルとして使用されます。 2 つ目は、バックアップ データを格納することです。 MARS エージェントは、バックアップ データの格納に使用される 1 つのストレージ アカウントにアクセスできる必要があります。
プライベート エンドポイントが有効なコンテナーの場合、Azure Backup サービスはこれらのストレージ アカウントのプライベート エンドポイントを作成します。 このアクションにより、Azure Backup に関連するネットワーク トラフィック (サービスへのコントロール プレーン トラフィック、ストレージ BLOB へのデータのバックアップ) が仮想ネットワークから離れるのを防ぐことができます。 ワークロード拡張機能とエージェントには、Azure Backup クラウド サービスに加えて、Azure Storage アカウントと Microsoft Entra ID への接続も必要です。
次の図は、プライベート DNS ゾーンを使用するストレージ アカウントの名前解決のしくみを示しています。
次の図は、セカンダリ リージョンでプライベート エンドポイントをレプリケートすることで、プライベート エンドポイント経由でリージョン間の復元を行う方法を示しています。 プライベート エンドポイントが有効なボールトに対して、クロスリージョン復元を行う方法を学ぶ。
