このチュートリアルでは、Azure portal を使用して Azure Data Lake Storage をバックアップ (コンテナー化バックアップ) する方法について説明します。
Azure Backup は、バックアップ インフラストラクチャをデプロイおよび管理する必要なく、Azure Data Lake Storage アカウントを保護するためのシンプルで安全でコスト効率の高いソリューションを提供します。 コンテナー化されたバックアップでは、データは分離された Backup コンテナーに格納され、オフサイト保護と長期保有期間 (10 年) が提供されます。 このアプローチにより、偶発的な削除やランサムウェア攻撃に対する回復性が確保されます。 Azure の Backup コンテナーにデータをバックアップし、必要に応じて復元できます。 Azure Data Lake Storage のコンテナー化されたバックアップと復元、およびサポートされているシナリオについて説明します。
[前提条件]
Azure Data Lake Storage をバックアップする前に、次の前提条件が満たされていることを確認します。
- ストレージ アカウントは、必要な種類であり、サポートされているリージョンに存在する必要があります。この機能は現在、特定のリージョンでのみ使用できます。 サポートされているリージョンを参照してください。
- ターゲット アカウントには、復旧ポイント内のコンテナーと同じ名前のコンテナーを含めることはできません。それ以外の場合、復元操作は失敗します。
- Azure Data Lake Storage アカウントと同じリージョンに Backup コンテナー を特定または作成します。
- Azure Data Lake Storage のバックアップ ポリシーを作成 して、バックアップスケジュールとリテンション期間を構成します。
注
コンテナー化されたバックアップは、別のストレージ アカウントにのみ復元できます。
ストレージ アカウントでのバックアップ コンテナーへのアクセス許可の付与
バックアップ コンテナーには、バックアップ操作のためにストレージ アカウントに対する特定のアクセス許可が必要です。 ストレージ アカウント バックアップ共同作成者ロールは、これらのアクセス許可を統合して簡単に割り当てることができます。 バックアップを構成する前に、このロールを Backup コンテナーに付与することをお勧めします。
ご都合に合わせて、サブスクリプション レベルまたはリソース グループ レベルでボールトにロールを割り当てることができます。 ロールの割り当ては、バックアップの構成中に実行することもできます。
保護するストレージ アカウントに必要なロールを割り当てるには、次の手順に従います。
Azure portal でストレージ アカウントに移動し、アクセス制御 (IAM) を選択します。
[ アクセス制御 (IAM)] ウィンドウで、[ ロールの割り当ての追加 ] を選択して、必要なロールを割り当てます。
[ ロールの割り当ての追加 ] ウィンドウで、次の手順を実行します。
- ロール: ストレージ アカウント バックアップ共同作成者を選択します。
- [アクセスの割り当て先]: [ユーザー、グループ、またはサービス プリンシパル] を選びます。
- メンバー: [ + メンバーの選択 ] をクリックし、作成したバックアップ コンテナーを検索し、検索結果から選択して、基になるストレージ アカウント内の BLOB をバックアップします。
[ 保存] を 選択してロールの割り当てを完了します。
ロールの割り当てが有効になるまでに最大 30 分 かかる場合があります。
Azure Data Lake Storage のコンテナーバックアップを構成する
複数の Azure Data Lake Storage でバックアップを構成できます。
保管庫バックアップを構成するには、次の手順に従います。
Azure portal で バックアップ保管庫に移動し、[+ バックアップ] を選択します。
[ バックアップの構成 ] ウィンドウの [ 基本 ] タブで、 データソースの種類 が Azure Data Lake Storage として選択されていることを確認します。
[ バックアップ ポリシー ] タブの [ バックアップ ポリシー] で、データ保持に使用するポリシーを選択し、[ 次へ] を選択します。 新しいバックアップ ポリシーを作成する場合は、[ 新規作成] を選択します。 バックアップ ポリシーを作成する方法について説明します。
[データソース] タブ の [ 追加] を選択します。
[ストレージ アカウント コンテナーの選択] ウィンドウで、バックアップ インスタンス名を指定し、[ストレージ アカウント] の下の [選択] をクリックします。
[ 階層型名前空間が有効なストレージ アカウントの選択 ] ウィンドウで、コンテナーと同じリージョンにある一覧から、サブスクリプション間で Azure Data Lake Storage を使用するストレージ アカウントを選択します。
[ ストレージ アカウント コンテナーの選択 ] ウィンドウでは、すべてのコンテナーをバックアップしたり、特定のコンテナーを選択したりできます。
リソースを追加すると、バックアップの準備の検証が開始されます。 必要なロールが割り当てられている場合、 検証は成功 メッセージで成功します。
アクセス許可がない場合は、エラー メッセージが表示されます。 「 アクセス許可の付与」セクションを参照してください。
選択したストレージ アカウントにストレージ アカウント バックアップ共同作成者 ロールがない場合、検証エラーが表示されます。 エラー メッセージを確認し、必要なアクションを実行します。
エラー 原因 推奨されるアクション ロールの割り当てが完了していない ストレージ アカウント バックアップ共同作成者ロールと、コンテナーに対するストレージ アカウントに必要なその他のロールは割り当てられていません。 ロールを選択し、[ 不足しているロールの割り当て ] を選択して、必要なロールをバックアップ コンテナーに自動的に割り当て、自動再有効化をトリガーします。
ロールの伝達に 10 分以上かかる場合、検証が失敗する可能性があります。 このシナリオでは、数分待ってから、[検証の再試行] を選択する必要があります。
さまざまな操作に対して、次の種類のアクセス許可を割り当てる必要があります。
- リソース レベルの アクセス許可: リソース グループ内の 1 つのアカウントをバックアップする場合。
- リソース グループ または サブスクリプション レベルの アクセス許可: リソース グループ内の複数のアカウントをバックアップする場合。
- 上位レベルの アクセス許可: 必要なロールの割り当ての数を減らすため。
サブスクリプション レベルでサポートされるロールの割り当ての最大数は 4,000 です。 Azure Role-Based アクセス制御の制限の詳細について説明します。ロールの割り当てに対するアクセス許可が不十分 ボールトにはバックアップを構成するために必要なロールがなく、また、その必要なロールを割り当てるための十分なアクセス許可もありません。 ロールの割り当てテンプレートをダウンロードし、ストレージ アカウントのロールを割り当てるアクセス許可を持つユーザーと共有します。 構成の詳細を確認し、[ バックアップの構成] を選択します。
バックアップ構成の進行状況は、[ バックアップ インスタンス] で追跡できます。 バックアップの構成が完了すると、Azure Backup はバックアップ ポリシー スケジュールに従ってバックアップ操作をトリガーし、復旧ポイントを作成します。 バックアップはスナップショットに依存するため、バックアップには少なくとも 30 ~ 40 分かかる場合があります。これは 15 分ごとに作成され、バックアップをトリガーする前に変更を検出するために 2 つのスナップショットが必要です。
Azure Data Lake Storage バックアップ ジョブを監視する
Azure Backup サービスは、スケジュールされたバックアップのジョブを作成するか、オンデマンド バックアップ操作をトリガーして、ジョブの進行状況を監視できるようにします。
バックアップ ジョブの状態を確認するには、次の手順に従います。
Azure portal で、バックアップ コンテナー>バックアップ ジョブに移動します。
[ バックアップ ジョブ ] ウィンドウで、必要な時間範囲を選択し、フィルターを適用してジョブの一覧を絞り込みます。
[バックアップ ジョブ] ダッシュボードには、過去 7 日間の操作と状態が表示されます。
