Azure Backup を使用して Azure BLOB のバックアップを構成および管理する

  • [アーティクル]

Azure Backup を使用すると、運用と保管済みの各バックアップを構成して、ストレージ アカウント内のブロック BLOB を保護できます。 この記事では、Azure portal を使用して 1 つ以上のストレージ アカウントのバックアップを構成および管理する方法について説明します。

開始する前に

  • BLOB の運用バックアップは、ソース ストレージ アカウント自体にデータを指定された期間保持するローカル バックアップ ソリューションです。 このソリューションを使用した場合、コンテナー内にデータの追加コピーは保持されません。 このソリューションを使用すると、データを復元用に最大 360 日間保持することができます。 ただし、保持期間が長いと、復元操作にかかる時間が長くなる場合があります。
  • このソリューションを使用した場合は、ソース ストレージ アカウントにしか復元を実行できず、データが上書きされるおそれがあります。
  • "コンテナーの削除操作" を呼び出してストレージ アカウントからコンテナーを削除した場合、復元操作でそのコンテナーを復元することはできません。 後で復元が必要になる可能性がある場合は、コンテナー全体を削除するのではなく、個々の BLOB を削除してください。 また、コンテナーの誤削除防止のために、運用バックアップに加えてコンテナーの論理的な削除を有効にすることをお勧めします。
  • Microsoft.DataProtection プロバイダーがサブスクリプションに登録されていることを確認します。

サポートされているシナリオ、制限事項、可用性の詳細については、サポート マトリックスを参照してください。

バックアップ コンテナーの作成

バックアップ コンテナーは、時間の経過と共に作成された復旧ポイントを格納する管理エンティティであり、バックアップ関連の操作を実行するためのインターフェイスを提供するものです。 たとえば、オンデマンドのバックアップの作成、復元の実行、バックアップ ポリシーの作成などの操作です。 BLOB の運用バックアップはローカル バックアップであり、コンテナーにデータは "格納" されませんが、さまざまな管理操作のためにコンテナーが必要です。

Note

バックアップ コンテナーは、新しくサポートされたワークロードをバックアップするために使用される新しいリソースであり、既存の Recovery Services コンテナーとは異なります。

バックアップ コンテナーを作成する方法については、バックアップ コンテナーのドキュメントを参照してください。

ストレージ アカウントでのバックアップ コンテナーへのアクセス許可の付与

運用バックアップを使用すると、バックアップ所有の削除ロックを適用することによって、ストレージ アカウント (保護対象の BLOB が含まれている) の誤削除を防止することもできます。 これを行うには、保護する必要があるストレージ アカウントのバックアップ コンテナーに特定のアクセス許可が与えられている必要があります。 便利に使えるように、これらの最小限のアクセス許可は、ストレージ アカウント バックアップの共同作成者ロールに統合されています。

バックアップを構成する前に、このロールを Backup コンテナーに割り当てすることをお勧めします。 ただし、バックアップの構成中にロールの割り当てを実行することもできます。

保護する必要があるストレージ アカウントに必要なロールを割り当てるには、次の手順に従います。

Note

また、利便性に応じて、サブスクリプションまたはリソース グループのレベルでコンテナーにロールを割り当てることもできます。

  1. 保護する必要があるストレージ アカウントで、左側のナビゲーション ウィンドウにある [アクセス制御 (IAM)] タブに移動します。

  2. 必要なロールを割り当てるために、 [ロールの割り当ての追加] を選択します。

    ロールの割り当てを追加する

  3. [ロールの割り当ての追加] ペインにおいて:

    1. [ロール][ストレージ アカウント バックアップの共同作成者] を選択します。

    2. [アクセスの割り当て先] で、 [ユーザー、グループ、またはサービス プリンシパル] を選択します。

    3. このストレージ アカウントで BLOB のバックアップに使用する Backup コンテナーを検索し、検索結果から選択します。

    4. [保存] を選択します。

      ロールの割り当てオプション

      Note

      ロールの割り当ては、反映されるまで最大 30 分ほどかかることがあります。

バックアップ ポリシーの作成

バックアップ ポリシーでは、復旧ポイントの作成のスケジュールと頻度、およびバックアップ コンテナー内の保持期間を定義します。 保管済みバックアップ、運用バックアップ、またはその両方に 1 つのバックアップ ポリシーを使用できます。 同じバックアップ ポリシーを使用して、1 つのコンテナーへの複数のストレージ アカウントのバックアップを構成できます。

新しいバックアップ ポリシーを作成するには、次の手順に従います。

  1. [バックアップ センター] に移動し、[+ ポリシー] を選びます。 これにより、ポリシーの作成エクスペリエンスに移動します。

    スクリーンショットには、保管済み BLOB バックアップのバックアップ ポリシーの追加を開始する方法が示されています。

  2. [データ ソースの種類] として [Azure BLOB (Azure Storage)] を選んでから、[続行] を選びます。

    スクリーンショットには、保管済み BLOB バックアップのデータソースの種類を選ぶ方法が示されています。

  3. [基本] タブで、ポリシーの名前を入力し、このポリシーを関連付けるコンテナーを選びます。

    スクリーンショットには、保管済み BLOB バックアップのポリシー名を追加する方法が示されています。

    選んだコンテナーの詳細をこのタブで確認でき、その後、[続行] を選びます。

  4. [スケジュールと保持期間] タブで、該当する場合は、データ ストアの "バックアップの詳細"、スケジュール、これらのデータ ストアの保持期間を入力します。

    1. 保管済みバックアップ、運用バックアップ、またはその両方にバックアップ ポリシーを使用するには、対応するチェック ボックスをオンにします。
    2. 選んだデータ ストアごとに、スケジュールと保持期間の設定を追加または編集します。
      • 保管済みバックアップ: "毎日" と "毎週" のどちらかからバックアップの頻度を選び、バックアップ回復ポイントを作成する必要があるスケジュールを指定してから、既定の保持ルールを編集する ([編集] を選択) か、新しいルールを追加して "祖父母-親-子" 表記を使用して復旧ポイントの保持を指定します。
      • 運用バックアップ: これらは継続的であり、スケジュールは必要ありません。 運用バックアップの既定のルールを編集して、必要な保持期間を指定します。

    スクリーンショットには、保管済み BLOB バックアップのスケジュールと保持を構成する方法が示されています。

  5. [確認と作成] に移動します。

  6. 確認が完了したら、[作成] を選びます。

バックアップを構成する

Azure リージョン内の 1 つまたは複数のストレージ アカウントのバックアップを構成できます (1 つのバックアップ ポリシーを使用して同じコンテナーにそれらをバックアップする場合)。

ストレージ アカウントのバックアップを構成するには、以下の手順に従います。

  1. [バックアップ センター]>[概要] に移動し、[+ バックアップ] を選びます。

    スクリーンショットには、保管済み BLOB バックアップを開始する方法が示されています。

  2. [開始: バックアップの構成] タブで、[データソースの種類] として [Azure BLOB (Azure Storage)] を選びます。

    スクリーンショットには、保管済み BLOB バックアップの構成を開始する方法が示されています。

  3. [基本] タブで、[データソースの種類] として [Azure BLOB (Azure Storage)] を指定し、ストレージ アカウントと関連付ける "バックアップ コンテナー" を選びます。

    選んだコンテナーの詳細をこのタブで確認でき、その後、[次へ] を選びます。

    スクリーンショットには、保管済み BLOB バックアップを開始するためにデータソースの種類を選ぶ方法が示されています。

  4. 保持に使用する "バックアップ ポリシー" を選びます。

    選んだポリシーの詳細を表示できます。 必要に応じて、新しいバックアップ ポリシーを作成することもできます。 完了したら、[次へ] を選択します。

    スクリーンショットには、保管済み BLOB バックアップのポリシーを選ぶ方法が示されています。

  5. [データソース] タブ で、バックアップする "ストレージ アカウント" を選びます。

    スクリーンショットには、保管済み BLOB バックアップのストレージ アカウントを選ぶ方法が示されています。

    選んだポリシーを使用して、バックアップするリージョン内の複数のストレージ アカウントを選ぶことができます。 必要に応じて、ストレージ アカウントを検索またはフィルター処理します。

    手順 4 で保管済みバックアップ ポリシーを選んだ場合は、バックアップする特定のコンテナーを選ぶこともできます。 [選択したコンテナー] 列の下にある [変更] をクリックします。 コンテキスト ブレードで、[バックアップするコンテナーの参照] を選択し、バックアップしないコンテナーの選択を解除します。

  6. ストレージ アカウントと保護するコンテナーを選ぶと、Azure Backup では次の検証を実行して、すべての前提条件が満たされていることを確認します。 [バックアップの準備] 列に、各ストレージ アカウントのバックアップを構成するための十分なアクセス許可がバックアップ コンテナーにあるかどうかが示されます。

    1. バックアップ コンテナーにバックアップを構成するために必要なアクセス許可がある (コンテナーに、選んだすべてのストレージ アカウントに対する ストレージ アカウント バックアップ共同作成者ロールが付与されている) ことを検証します。 検証でエラーが表示された場合、選んだストレージ アカウントには ストレージ アカウント バックアップ共同作成者ロールが付与されていません。 ご自分の現在のアクセス許可に基づいて、必要なロールを割り当てることができます。 エラー メッセージは、必要なアクセス許可があるかどうかを把握し、適切なアクションを実行するのに役立ちます。

      • Role assignment not done (ロールの割り当てが完了していません): これは、ユーザーがストレージ アカウント バックアップ共同作成者ロールと、ストレージ アカウントに必要なその他のロールをコンテナーに割り当てるためのアクセス許可を持っていることを示しています。

        ロールを選んでから、ツール バーの [不足しているロールの割り当て] を選び、必要なロールをバックアップ コンテナーに自動的に割り当て、自動再検証をトリガーします。

        ロールの伝達に時間がかかり (最大 10 分)、再検証が失敗する場合があります。 このシナリオでは、数分待ってから、[再検証] を選んで、検証を再試行する必要があります。

      • Insufficient permissions for role assignment (ロールの割り当てに必要なアクセス許可が不十分です): これは、コンテナーにバックアップを構成するために必要なロールが付与されておらず、ユーザーが必要なロールを割り当てるための十分なアクセス許可を持っていないことを示します。 ロールの割り当てを簡単にするために、Azure Backup ではロールの割り当てテンプレートをダウンロードできます。これは、ストレージ アカウントのロールを割り当てるためのアクセス許可を持つユーザーと共有できます。

        これを行うには、ストレージ アカウントを選び、[ロールの割り当てテンプレートのダウンロード] を選んでテンプレートをダウンロードします。 ロールの割り当てが完了したら、[再検証] を選んでアクセス許可を再度検証してから、バックアップを構成します。

        スクリーンショットには、ロールの割り当てが成功したことが示されています。

        注意

        テンプレートに含まれる内容は、選んだストレージ アカウントの詳細のみです。 そのため、異なるストレージ アカウントにロールを割り当てる必要があるユーザーが複数ある場合は、別のテンプレートをそれぞれ選択してダウンロードできます。

    2. 保管済みバックアップの場合、バックアップするコンテナーの数が 100 未満であることを検証します。 既定では、すべてのコンテナーが選択されています。ただし、バックアップすべきでないコンテナーは除外できます。 ストレージ アカウントに "100 を超える"コンテナーがある場合は、コンテナーを除外して、数を "100 以下" に減らす必要があります。

    注意

    保管済みバックアップの場合、バックアップするストレージ アカウントには、少なくとも "1 つのコンテナー" が含まれている必要があります。 選んだストレージ アカウントにコンテナーが含まれていない場合、またはコンテナーが選択されていない場合は、バックアップの構成中にエラーが発生するおそれがあります。

  7. 検証が成功したら、[レビューと構成] タブを開きます。

  8. レビューと構成 タブで詳細を確認し、次へ を選んで "バックアップの構成" 操作を開始します。

保護の構成の状態に関する情報とその完了を受け取ります。

ストレージ アカウントのデータ保護設定を使用してバックアップを構成する

ストレージ アカウントの BLOB のバックアップは、ストレージ アカウントの [データ保護] 設定から直接構成できます。

  1. BLOB のバックアップを構成するストレージ アカウントに移動し、左側のペインの ([データ管理] の下にある) [データ保護] に移動します。

  2. 使用可能なデータ保護オプションの最初のオプションを使用すると、Azure Backup を使用した運用バックアップを有効にできます。

    Azure Backup を使用した運用バックアップ

  3. [Azure Backup で運用中のバックアップを有効にする] に対応するチェックボックスをオンにします。 次に、関連付ける Backup コンテナーと Backup ポリシーを選択します。 既存のコンテナーとポリシーを選択することも、必要に応じて新しく作成することもできます。

    重要

    選択したコンテナーにストレージ アカウント バックアップ共同作成者ロールを割り当てている必要があります。 詳しくは、「ストレージ アカウントでのバックアップ コンテナーへのアクセス許可の付与」をご覧ください。

    • 必要なロールが既に割り当てられている場合は、[保存] を選んでバックアップの構成を完了します。 ポータルの通知に従って、バックアップの構成の進行状況を追跡します。

    • ロールをまだ割り当てていない場合は、[Manage identity] (ID の管理) を選び、次の手順に従って割り当てます。

      Azure Backup で運用中のバックアップを有効にする

      1. [Manage identity] (ID の管理) を選ぶと、ストレージ アカウントの [ID] ペインが表示されます。

      2. ロールの割り当てを開始するには、[ロールの割り当ての追加] を選びます。

        ロールの割り当てを開始するための [ロールの割り当ての追加]

      3. ロールに割り当てるスコープ、サブスクリプション、リソース グループ、またはストレージ アカウントを選択します。

        複数のストレージ アカウントの BLOB に運用バックアップを構成する場合は、リソース グループ レベルでロールを割り当てることをお勧めします。

      4. [ロール] ドロップダウンから、 [ストレージ アカウントのバックアップ共同作成者] ロールを選択します。

        [ストレージ アカウントのバックアップ共同作成者ロール] の選択

      5. [保存] を選んで、ロールの割り当てを完了します。

        これが正常に完了すると、ポータルから通知を受け取ります。 選択したコンテナーの既存のロールの一覧で、新しいロールが追加されていることを確認することもできます。

        ロールの割り当ての完了

      6. 右上隅にあるキャンセル アイコン ([x]) を選んで、ストレージ アカウントの [データ保護] ペインに戻ります。

        戻ったら、バックアップの構成を続行します。

バックアップ対象ストレージ アカウントに対する影響

バックアップを構成すると、ストレージ アカウント内のブロック BLOB に対して行われた変更が追跡され、バックアップ ポリシーに従ってデータが保持されます。 バックアップを構成したストレージ アカウントには、次の変更点があることがわかるでしょう。

  • ストレージ アカウントで次の機能が有効になっています。 これらは、ストレージ アカウントの [データ保護] タブで確認できます。

    • コンテナーのポイントインタイム リストア: バックアップ ポリシーで指定した保持期間
    • BLOB の論理的な削除: バックアップ ポリシーで指定した保持期間 + 5 日
    • BLOB のバージョン管理
    • BLOB の変更フィード

    バックアップ対象として構成したストレージ アカウントで、コンテナーのポイントインタイム リストアまたは BLOB の論理的な削除が (バックアップを構成する前に) 既に有効になっていた場合、Backup によって、少なくともバックアップ ポリシーで定義した保持期間が確保されます。 したがって、プロパティごとに次のようになります。

    • バックアップ ポリシーによる保持期間が、ストレージ アカウントに最初から存在する保持期間よりも長い場合: ストレージ アカウントでの保持期間は、バックアップ ポリシーに従って変更されます。
    • バックアップ ポリシーによる保持期間が、ストレージ アカウントに最初から存在する保持期間よりも短い場合: ストレージ アカウントでの保持期間は変更されず、当初の設定期間のままになります。

    [データ保護] タブ

  • 削除ロックは、保護されているストレージ アカウントに Backup によって適用されます。 このロックは、ストレージ アカウントの誤削除を防ぐことを目的としています。 これは [ストレージ アカウント]>[ロック] で確認できます。

    ロックを削除する

バックアップの管理

バックアップ センターは、すべてのバックアップを管理するための 1 つのウィンドウとして使用できます。 Azure BLOB のバックアップに関しては、バックアップ センターを使用して次のことを実行できます。

  • 既に説明したように、これを使用してバックアップのコンテナーとポリシーを作成できます。 また、選択したサブスクリプションのすべてのコンテナーとポリシーを表示することもできます。

  • バックアップ センターを使用すると、保護されているストレージ アカウントの保護の状態と、バックアップが現在構成されていないストレージ アカウントを簡単に監視できます。

  • [+ バックアップ] ボタンを使用して任意のストレージ アカウントのバックアップを構成できます。

  • [復元] ボタンを使用して復元を開始し、 [バックアップ ジョブ] を使用して復元を追跡します。 復元の実行の詳細については、「Azure BLOB の復元」を参照してください。

  • バックアップ レポートを使用してバックアップの使用状況を分析します。

    バックアップ センター

詳細については、「バックアップ センターの概要」を参照してください。

保護の停止

必要に応じて、ストレージ アカウントの運用バックアップを停止できます。

Note

バックアップを削除しても、オブジェクト レプリケーション ポリシーはソースから削除されません。 そのため、ポリシーを個別に削除する必要があります。 保護を停止すると、バックアップ コンテナー (およびバックアップ センターなどのバックアップ ツール) からストレージ アカウントの関連付けが解除されるだけで、構成された BLOB のポイントインタイム リストア、バージョン管理、および変更フィードは無効になりません。

ストレージ アカウントのバックアップを停止するには、次の手順を実行します。

  1. バックアップされているストレージ アカウントのバックアップ インスタンスに移動します。

    これには、ストレージ アカウント ->データ保護 ->Manage backup settings (バックアップ設定の管理) を使用してストレージ アカウントから移動することも、バックアップ センター ->バックアップ インスタンス に移動してストレージ アカウント名を検索し、バックアップ センターから直接移動することもできます。

    ストレージ アカウントの場所

    バックアップ センターを使用したストレージ アカウントの場所

  2. バックアップ インスタンスで、[削除] を選んで、特定のストレージ アカウントの運用バックアップを停止します。

    運用バックアップの停止

バックアップを停止した後、ストレージ アカウントの [データ保護] ペインから、(バックアップの構成のために有効になっている) 他のストレージ データ保護機能を無効にすることができます。

次のステップ

Azure BLOB の復元