Azure バックアップ インフラストラクチャ
Azure Stack Hub は、ポータル (Azure Resource Manager) と全体的なインフラストラクチャ管理エクスペリエンスを構成する多くのサービスで構成されています。 Azure Stack Hub のアプリのような管理エクスペリエンスでは、ソリューションのオペレーターに公開される複雑さを軽減することに重点を置いています。
インフラストラクチャ バックアップ サービスは、インフラストラクチャ サービスのデータのバックアップと復元の複雑さを内部化するように設計されており、オペレーターはソリューションの管理とユーザーへの SLA の維持に集中できます。
バックアップ データを外部共有にエクスポートすることは、同じシステムにバックアップを保存しないようにするために必要です。 外部共有を要求すると、管理者は既存の BC/DR ポリシーに基づいてデータを格納する場所を柔軟に決定できます。
インフラストラクチャ バックアップ サービスのコンポーネント
インフラストラクチャ バックアップ サービスには、次のコンポーネントが含まれています。
-
インフラストラクチャ バックアップ コントローラー
インフラストラクチャ バックアップ コントローラーは、すべての Azure Stack Hub クラウドでインスタンス化され、存在します。 -
バックアップ リソース プロバイダー
バックアップ リソース プロバイダー (Backup RP) は、Azure Stack Hub インフラストラクチャの基本的なバックアップ機能を公開するユーザー インターフェイスと API で構成されています。
インフラストラクチャ バックアップ コントローラー
インフラストラクチャ バックアップ コントローラーは、Azure Stack Hub クラウド用にインスタンス化される Service Fabric サービスです。 バックアップ リソースはリージョン レベルで作成され、AD、CA、Azure Resource Manager、CRP、SRP、NRP、Key Vault、RBAC からリージョン固有のサービス データをキャプチャします。
バックアップ リソース プロバイダー
バックアップ リソース プロバイダーは、バックアップ リソースの基本的な構成と一覧を示すユーザー インターフェイスを Azure Stack Hub ポータルに表示します。 オペレーターは、ユーザー インターフェイスで次のアクションを実行できます。
- 外部ストレージの場所、資格情報、暗号化キーを指定して、初めてバックアップを有効にします。
- 作成された完了したバックアップ リソースと、作成中の状態リソースを表示します。
- バックアップ コントローラーがバックアップ データを配置するストレージの場所を変更します。
- バックアップ コントローラーが外部ストレージの場所にアクセスするために使用する資格情報を変更します。
- バックアップ コントローラーがバックアップの暗号化に使用する暗号化キーを変更します。
バックアップ コントローラーの要件
このセクションでは、インフラストラクチャ バックアップ サービスの重要な要件について説明します。 Azure Stack Hub インスタンスのバックアップを有効にする前に、情報を慎重に確認してから、デプロイとその後の操作中に必要に応じて参照することをお勧めします。
要件は次のとおりです。
- ソフトウェア要件 - サポートされているストレージの場所とサイズ設定のガイダンスについて説明します。
- ネットワーク要件 - さまざまな記憶域の場所のネットワーク要件について説明します。
ソフトウェア要件
サポートされる保存場所
| 保存先 | 詳細 |
|---|---|
| 信頼されたネットワーク環境内のストレージ デバイスでホストされている SMB ファイル共有。 | Azure Stack Hub がデプロイされているのと同じデータセンターまたは別のデータセンター内の SMB 共有。 複数の Azure Stack Hub インスタンスで同じファイル共有を使用できます。 |
| Azure 上の SMB ファイル共有。 | 現在サポートされていません。 |
| Azure 上の BLOB ストレージ。 | 現在サポートされていません。 |
サポートされている SMB バージョン
| SMB | バージョン |
|---|---|
| SMB | 3.x |
SMB 暗号化
Infrastructure Backup Service では、サーバー側で SMB 暗号化が有効になっている外部ストレージの場所へのバックアップ データの転送がサポートされています。 サーバーが SMB 暗号化をサポートしていない場合、または機能が有効になっていない場合、Infrastructure Backup Service は暗号化されていないデータ転送にフォールバックします。 外部ストレージの場所に配置されたバックアップ データは常に保存時に暗号化され、SMB 暗号化には依存しません。
ストレージの場所のサイズ変更
最後に 1 日に 2 回バックアップし、最大 7 日間のバックアップを保持することをお勧めします。 これは、Azure Stack Hub でインフラストラクチャ バックアップを有効にする場合の既定の動作です。
| 環境スケール | バックアップの予想サイズ | 必要な領域の合計量 |
|---|---|---|
| 4 ~ 16 ノード | 20 GB | 280 GB |
| ASDK | 10 GB | 140 GB |
ネットワークの要件
| 保存先 | 詳細 |
|---|---|
| 信頼されたネットワーク環境内のストレージ デバイスでホストされている SMB ファイル共有。 | Azure Stack Hub インスタンスがファイアウォール環境に存在する場合は、ポート 445 が必要です。 インフラストラクチャ バックアップ コントローラーは、ポート 445 経由で SMB ファイル サーバーへの接続を開始します。 |
| ファイル サーバーの FQDN を使用するには、名前を PEP から解決できる必要があります。 |
ファイアウォール規則
ERCS VM 間の外部ストレージの場所への接続を許可するようにファイアウォール規則を設定してください。
| 情報源 | 目標 | プロトコル/ポート |
|---|---|---|
| ERCS VM 1 | 保存先 | 445/SMB |
| ERCS VM 2 | 保存先 | 445/SMB |
| ERCS VM 3 | 保存先 | 445/SMB |
注
受信ポートを開く必要はありません。
暗号化の要件
インフラストラクチャ バックアップ サービスでは、バックアップ データを暗号化するために公開キー (.CER) を使用し、復号化するためにプライベートキー (.PFX) をクラウドの復旧中に使用します。 証明書キーの長さは 2048 バイトである必要があります。
- 証明書はキーの転送に使用され、セキュリティで保護された認証された通信を確立するために使用されません。 このため、証明書は自己署名証明書にすることができます。 Azure Stack Hub では、この証明書のルートまたは信頼を確認する必要がないため、外部のインターネット アクセスは必要ありません。
自己署名証明書は、公開キーと秘密キーの 2 つの部分で構成されます。
- バックアップ データの暗号化: 公開キーを使用した証明書 (エクスポートされます。CER ファイル) は、バックアップ データの暗号化に使用されます。
- バックアップ データの暗号化を解除する: 秘密キーを使用した証明書 (にエクスポートされます。PFX ファイル) は、バックアップ データの暗号化を解除するために使用されます。
公開キーを持つ証明書 (.CER) は内部シークレットローテーションによって管理されません。 証明書を更新するには、新しい自己署名証明書を作成し、新しいファイル (.CER) をバックアップ設定で更新してください。
- 既存のすべてのバックアップは、前の公開キーを使用して暗号化されたままになります。 新しいバックアップでは、新しい公開キーが使用されます。
秘密キーを使用してクラウドの回復中に使用される証明書 (.PFX) は、セキュリティ上の理由から Azure Stack Hub によって保持されません。 このファイルは、クラウドの復旧中に明示的に指定する必要があります。
インフラストラクチャ バックアップの制限
Microsoft Azure Stack Hub インスタンスを計画、デプロイ、運用する際には、これらの制限を考慮してください。 次の表では、これらの制限について説明します。
インフラストラクチャ バックアップの制限
| 制限の種類 | 極限 | Comments |
|---|---|---|
| バックアップの種類 | 完全のみ | インフラストラクチャ バックアップ コントローラーでは、完全バックアップのみがサポートされます。 増分バックアップはサポートされていません。 |
| スケジュールされたバックアップ | スケジュールと手動 | バックアップ コントローラーでは、スケジュールされたバックアップとオンデマンド バックアップがサポートされます。 |
| 同時バックアップ ジョブの最大数 | 1 | バックアップ コントローラーのインスタンスごとにサポートされるアクティブなバックアップ ジョブは 1 つだけです。 |
| ネットワーク スイッチの構成 | この記事で扱わない内容 | 管理者は、OEM ツールを使用してネットワーク スイッチの構成をバックアップする必要があります。 各 OEM ベンダーが提供する Azure Stack Hub のドキュメントを参照してください。 |
| ハードウェア ライフサイクル ホスト | この記事で扱わない内容 | 管理者は、OEM ツールを使用してハードウェア ライフサイクル ホストをバックアップする必要があります。 各 OEM ベンダーが提供する Azure Stack Hub のドキュメントを参照してください。 |
| ファイル共有の最大数 | 1 | バックアップ データの格納に使用できるファイル共有は 1 つだけです。 |
| App ServicesおよびFunction、SQL、MySQLリソースプロバイダーデータのバックアップ | この記事で扱わない内容 | Microsoft によって作成された付加価値 RP のデプロイと管理については、公開されているガイダンスを参照してください。 |
| サードパーティのリソース プロバイダーをバックアップする | この記事で扱わない内容 | サードパーティ ベンダーによって作成された付加価値 RP の展開と管理については、公開されているガイダンスを参照してください。 |
次のステップ
- インフラストラクチャ バックアップ サービスの詳細については、「インフラストラクチャ バックアップ サービスを使用した Azure Stack Hub のバックアップとデータ復旧」を参照してください。