Azure Backup を使用すると、 プライベート エンドポイントを使用して Recovery Services コンテナーからデータをバックアップおよび復元できます。 プライベート エンドポイントでは、Azure 仮想ネットワークの 1 つ以上のプライベート IP アドレスを使用して、サービスを仮想ネットワークに効果的に取り込みます。
この記事は、Azure Backup のプライベート エンドポイントがプライベート エンドポイントを作成するバージョン 1 のエクスペリエンスでどのように機能するかを理解するのに役立ちます。 プライベート エンドポイントを使用すると、リソースのセキュリティを維持するのに役立つシナリオが提供されます。
Azure Backup には、プライベート エンドポイントを作成して使用するためのバージョン 2 エクスペリエンスも用意されています。 詳細については、こちらを参照してください。
開始する前の考慮事項
新しい Recovery Services コンテナーのプライベート エンドポイントは、コンテナーに項目が登録されていない場合にのみ作成できます。 ボルト内の項目を保護する前に、プライベートエンドポイントを作成する必要があります。 ただし、プライベート エンドポイントは現在、Backup コンテナーではサポートされていません。
ネットワーク制限付きのキー保管庫を持つカスタマーマネージドキー (CMK) は、プライベートエンドポイントが有効な保管庫ではサポートされていません。
1 つの仮想ネットワークに複数の Recovery Services コンテナーのプライベート エンドポイントを含めることができます。 また、1 つの Recovery Services コンテナーは、複数の仮想ネットワークにプライベート エンドポイントを持つことができます。 1 つのボールトに対して最大 12 個のプライベート エンドポイントを作成できます。
コンテナーのパブリック ネットワーク アクセスが [すべてのネットワークから許可] に設定されている場合、コンテナーでは、コンテナーに登録されている任意のマシンからのバックアップと復元が許可されます。 コンテナーのパブリック ネットワーク アクセスが [拒否] に設定されている場合、コンテナーは、コンテナーに割り当てられたプライベート IP 経由でバックアップ/復元を要求しているコンテナーに登録されているマシンからのみバックアップと復元を許可します。
Azure Backup のプライベート エンドポイント接続では、Azure Backup がストレージに使用する IP を含め、サブネット内で合計 11 個のプライベート IP が使用されます。 この数は、特定の Azure リージョンでは高くなる可能性があります。 Azure Backup のプライベート エンドポイントを作成する場合は、十分なプライベート IP (/25) を使用できるようにすることをお勧めします。
Azure Backup と Azure Site Recovery の両方で Recovery Services コンテナーが使用されますが、この記事では Azure Backup 専用のプライベート エンドポイントの使用について説明します。
Azure Backup のプライベート エンドポイントには、Microsoft Entra ID へのアクセスは含まれません。 Microsoft Entra ID へのアクセスを個別に提供する必要があります。
Microsoft Entra ID をリージョンで動作させるために必要な IP アドレスと完全修飾ドメイン名 (FQDN) は、特定の操作を実行しているときに、セキュリティで保護されたネットワークから送信アクセスが許可される必要があります。
- Azure 仮想マシン (VM) 内のデータベースのバックアップ。
- Microsoft Azure Recovery Services (MARS) エージェントを使用するバックアップ。
必要に応じて、ネットワーク セキュリティ グループ (NSG) タグと Azure Firewall タグを使用して、Microsoft Entra ID へのアクセスを許可することもできます。
2020 年 5 月 1 日より前にサブスクリプションを登録した場合は、Recovery Services リソース プロバイダーをサブスクリプションに再登録する必要があります。 プロバイダーを再登録するには、Azure portal でサブスクリプションに移動し、左側のメニューの [リソース プロバイダー ] に移動し、 Microsoft.RecoveryServices>Re-register を選択します。
コンテナーでプライベート エンドポイントが有効になっている場合、SQL Server および SAP HANA データベース バックアップのリージョン間復元はサポートされません。
プライベート エンドポイントを既に使用している Recovery Services コンテナーを新しいテナントに移動する場合は、Recovery Services コンテナーを更新して、コンテナーのマネージド ID を再作成および再構成する必要があります。 必要に応じて、新しいテナントにプライベート エンドポイントを作成します。 これらのタスクを実行しないと、バックアップと復元の操作が失敗し始めます。 また、サブスクリプション内に設定されている Azure ロールベースのアクセス制御 (Azure RBAC) アクセス許可を再構成する必要があります。
推奨されるシナリオとサポートされるシナリオ
プライベート エンドポイントはコンテナーに対して有効になっていますが、Azure VM、MARS エージェント バックアップ、System Center Data Protection Manager (DPM) の SQL Server ワークロードと SAP HANA ワークロードのバックアップと復元にのみ使用されます。 他のワークロードのバックアップにはコンテナーを使用することもできますが、プライベート エンドポイントは必要ありません。 SQL Server と SAP HANA ワークロードのバックアップと MARS エージェント経由のバックアップに加えて、プライベート エンドポイントを使用して Azure VM バックアップのファイル回復を実行します。
次の表にその詳細を示します。
| Scenario | 推奨事項 |
|---|---|
| Azure VM (SQL Server、SAP HANA) でのワークロードのバックアップ、MARS エージェント経由のバックアップ、DPM サーバー | プライベート エンドポイントを使用して、仮想ネットワークから Azure Backup または Azure Storage の IP または FQDN を許可リストに追加する必要なく、バックアップと復元を許可することをお勧めします。 このシナリオでは、SQL データベースをホストする VM から Microsoft Entra の IP または FQDN に接続できることを確認します。 |
| Azure VM バックアップ | VM バックアップでは、IP または FQDN へのアクセスを許可する必要はありません。 そのため、ディスクのバックアップと復元のためにプライベート エンドポイントは必要ありません。 ただし、プライベート エンドポイントを含むコンテナーからのファイルの回復は、コンテナーのプライベート エンドポイントを含む仮想ネットワークに制限されます。 アクセス制御リスト (ACL) でアンマネージド ディスクを使用している場合は、ディスクを含むストレージ アカウントが、信頼できる Microsoft サービス (ACL 内にある場合) へのアクセスを許可していることを確認します。 |
| Azure Files のバックアップ | Azure Files バックアップは、ローカル ストレージ アカウントに格納されます。 そのため、バックアップと復元にプライベート エンドポイントは必要ありません。 |
| ボールトおよび仮想マシン内のプライベート エンドポイントの仮想ネットワークを変更しました | プライベート エンドポイントが有効になっている新しいコンテナーでバックアップ保護を停止し、バックアップ保護を構成します。 |
注
プライベート エンドポイントは、DPM 2022、Microsoft Azure Backup Server (MABS) v4 以降でのみサポートされます。
サポートされていないシナリオ
バックアップと復元の操作では、プライベート エンドポイントが有効な Recovery Services コンテナーは、Recovery Services コンテナーに CMK を格納するために、プライベート エンドポイントが有効な Azure キー コンテナーと互換性がありません。
プライベート エンドポイントによるネットワーク接続の違い
前述のように、プライベート エンドポイントは、Azure VM でのワークロード (SQL Server と SAP HANA) のバックアップや MARS エージェントのバックアップに特に役立ちます。
すべてのシナリオ (プライベート エンドポイントあり、またはプライベート エンドポイントなし) では、ワークロード拡張機能 (Azure VM 内で実行されている SQL Server インスタンスと SAP HANA インスタンスのバックアップ用) と MARS エージェントの両方が Microsoft Entra ID への接続呼び出しを行います。 Microsoft 365 Common および Office Online のセクション 56 と 59 に記載されている FQDN への呼び出しを行います。
これらの接続に加えて、 プライベート エンドポイントのない Recovery Services コンテナーにワークロード拡張機能または MARS エージェントがインストールされている場合は、次のドメインへの接続が必要です。
| サービス | ドメイン名 | ポート |
|---|---|---|
| Azure Backup | *.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com セクション 56 および 59 の FQDN へのアクセスを許可します。 |
443 該当する場合 |
プライベート エンドポイントを持つ Recovery Services コンテナーにワークロード拡張機能または MARS エージェントがインストールされている場合、次のエンドポイントが関係します。
| サービス | ドメイン名 | ポート |
|---|---|---|
| Azure Backup | *.privatelink.<geo>.backup.windowsazure.com |
443 |
| Azure Storage | *.blob.core.windows.net *.queue.core.windows.net *.blob.storage.azure.net *.storage.azure.net |
443 |
| Microsoft Entra ID | *.login.microsoft.com セクション 56 および 59 の FQDN へのアクセスを許可します。 |
443 該当する場合 |
注
前のテキストでは、 <geo> はリージョン コードを参照します (たとえば、米国東部の場合は eus 、北ヨーロッパの場合は ne )。 リージョン コードの詳細については、次の一覧を参照してください。
MARS エージェントを自動的に更新するには、 download.microsoft.com/download/MARSagent/*へのアクセスを許可します。
プライベート エンドポイントが設定された Recovery Services コンテナーの場合、FQDN の名前解決 (privatelink.<geo>.backup.windowsazure.com、*.blob.core.windows.net、*.queue.core.windows.net、*.blob.storage.azure.net) では、プライベート IP アドレスを返す必要があります。 これを実現するには、次を使用します。
- Azure プライベート DNS ゾーン。
- カスタム DNS。
- ホスト ファイル内の DNS エントリ。
- Azure DNS ゾーンまたは Azure プライベート DNS ゾーンへの条件付きフォワーダー。
BLOB とキューのプライベート エンドポイントは、標準の名前付けパターンに従います。 これらは <name of the private endpoint>_ecs または <name of the private endpoint>_protで始まり、 _blob と _queue (それぞれ) でサフィックスが付けられます。
注
Azure プライベート DNS ゾーンを使用することをお勧めします。 Azure Backup を使用して、BLOB とキューの DNS レコードを管理できます。 コンテナーに割り当てられたマネージド ID は、バックアップ データに新しいストレージ アカウントが割り当てられるたびに、DNS レコードの追加を自動化するために使用されます。
サード パーティのプロキシ サーバーまたはファイアウォールを使用して DNS プロキシ サーバーを構成した場合は、上記のドメイン名を許可し、次のいずれかの方法にリダイレクトする必要があります。
- 上記の FQDN の DNS レコードを持つカスタム DNS
- プライベート DNS ゾーンがリンクされている Azure 仮想ネットワーク上の 168.63.129.16
次の例は、Recovery Services コンテナー、BLOB、キュー、および Microsoft Entra ID のドメイン名クエリを 168.63.129.16 にリダイレクトするために DNS プロキシとして使用される Azure Firewall を示しています。
詳細については、「 プライベート エンドポイントの作成と使用」を参照してください。
プライベート エンドポイントを備えた保管庫のネットワーク接続性のセットアップ
Recovery Services のプライベート エンドポイントは、ネットワーク インターフェイス (NIC) に関連付けられます。 プライベート エンドポイント接続を機能させるには、Azure サービスのすべてのトラフィックをネットワーク インターフェイスにリダイレクトする必要があります。 このリダイレクトを実現するには、サービス、BLOB、またはキューの URL に対して、ネットワーク インターフェイスに関連付けられているプライベート IP の DNS マッピングを追加します。
プライベート エンドポイントを使用して Recovery Services コンテナーに登録されている仮想マシンにワークロード バックアップ拡張機能がインストールされると、拡張機能は Azure Backup サービスのプライベート URL ( <vault_id>.<azure_backup_svc>.privatelink.<geo>.backup.windowsazure.com) への接続を試みます。 プライベート URL が機能しない場合、拡張機能はパブリック URL <azure_backup_svc>.<geo>.backup.windowsazure.comを試行します。
注
前のテキストでは、 <geo> はリージョン コードを参照します (たとえば、米国東部の場合は eus 、北ヨーロッパの場合は ne )。 リージョン コードの詳細については、次の一覧を参照してください。
これらのプライベート URL は、ボールトに固有です。 コンテナーに登録されている拡張機能とエージェントのみが、これらのエンドポイント経由で Azure Backup と通信できます。 Recovery Services コンテナーのパブリック ネットワーク アクセスが 拒否として構成されている場合、この設定では、仮想ネットワークで実行されていないクライアントがコンテナーに対するバックアップ操作と復元操作を要求することを制限します。
プライベート エンドポイントのセットアップと共に、パブリック ネットワーク アクセスを拒否に設定することをお勧めします。 拡張機能とエージェントが最初にプライベート URL を使用しようとすると、URL の *.privatelink.<geo>.backup.windowsazure.com DNS 解決は、プライベート エンドポイントに関連付けられている対応するプライベート IP を返す必要があります。
DNS 解決の対処法は次のとおりです。
- Azure プライベート DNS ゾーン
- [カスタム DNS]
- ホスト ファイル内の DNS エントリ
- Azure DNS または Azure プライベート DNS ゾーンへの条件付きフォワーダー
Azure portal でプライベート DNS ゾーンとの統合 オプションを使用して Recovery Services のプライベート エンドポイントを作成すると、リソースが割り当てられるたびに、Azure Backup サービス (*.privatelink.<geo>backup.windowsazure.com) のプライベート IP アドレスに必要な DNS エントリが自動的に作成されます。 それ以外の場合は、カスタム DNS ファイルまたはホスト ファイルで、これらの FQDN の DNS エントリを手動で作成する必要があります。
通信チャネルの VM 検出後の BLOB とキューの DNS レコードの手動管理については、 最初の登録後の BLOB とキューの DNS レコード (カスタム DNS サーバー/ホスト ファイルの場合のみ) を参照してください。 バックアップ ストレージ アカウント BLOB の最初のバックアップ後の DNS レコードの手動管理については、最初のバックアップ 後の BLOB の DNS レコード (カスタム DNS サーバー/ホスト ファイルの場合のみ) を参照してください。
Recovery Services コンテナー用に作成したプライベート エンドポイントのウィンドウで、FQDN のプライベート IP アドレスを確認できます。
次の図は、プライベート DNS ゾーンを使用してこれらのプライベート サービス FQDN を解決する場合の解決のしくみを示しています。
Azure VM で実行されているワークロード拡張機能には、少なくとも 2 つのストレージ アカウントへの接続が必要です。 1 つ目は、キュー メッセージを介して通信チャネルとして使用されます。 2 つ目は、バックアップ データを格納することです。 MARS エージェントは、バックアップ データの格納に使用される 1 つのストレージ アカウントにアクセスできる必要があります。
プライベート エンドポイントが有効なコンテナーの場合、Azure Backup サービスはこれらのストレージ アカウントのプライベート エンドポイントを作成します。 このアクションにより、Azure Backup に関連するネットワーク トラフィック (サービスへのコントロール プレーン トラフィック、ストレージ BLOB へのデータのバックアップ) が仮想ネットワークから離れるのを防ぐことができます。 ワークロード拡張機能とエージェントには、Azure Backup クラウド サービスに加えて、Azure Storage アカウントと Microsoft Entra ID への接続も必要です。
前提条件として、Recovery Services コンテナーには、同じリソース グループに追加のプライベート エンドポイントを作成するためのアクセス許可が必要です。 また、Recovery Services コンテナーにプライベート DNS ゾーン (privatelink.blob.core.windows.net、privatelink.queue.core.windows.net) に DNS エントリを作成するためのアクセス許可を与えることをお勧めします。 Recovery Services コンテナーは、仮想ネットワークとプライベート エンドポイントが作成されるリソース グループ内のプライベート DNS ゾーンを検索します。 これらのゾーンに DNS エントリを追加するアクセス許可がある場合は、これらのエントリが作成されます。 それ以外の場合は、手動で作成する必要があります。
注
このエクスペリエンスでは、異なるサブスクリプションのプライベート DNS ゾーンとの統合はサポートされていません。
次の図は、プライベート DNS ゾーンを使用するストレージ アカウントの名前解決のしくみを示しています。
