バックアップ コンテナーの概要
この記事では、バックアップ コンテナーの機能について説明します。 バックアップ コンテナーは、Azure Backup によってサポートされる特定の新しいワークロードのバックアップ データを格納する Azure のストレージ エンティティです。 Backup コンテナーを使用すると、Azure Blob、Azure Database for PostgreSQL サーバー、および Azure Backup によってサポートされる新しいワークロードなど、さまざまな Azure サービスのバックアップ データを保持できます。 バックアップ コンテナーを使用すると、管理オーバーヘッドを最小限に抑えながら、バックアップ データを簡単に整理できます。 バックアップ コンテナーは、Azure の Azure Resource Manager モデルに基づいており、次のような機能を提供します。
強化されたバックアップ データの保護機能:バックアップ コンテナーでは、Azure Backup によりクラウド バックアップを保護するセキュリティ機能が提供されます。 このセキュリティ機能により、バックアップをセキュリティで保護することができ、運用サーバーとバックアップ サーバーが侵害された場合でもデータを安全に回復できます。 詳細情報
Azure ロールベースのアクセス制御 (Azure RBAC) : Azure RBAC を使用すると、Azure のアクセス制御を詳細に管理できます。 Azure にはさまざまな組み込みのロールがあります。また、Azure Backup には、復旧ポイントを管理するための 3 つの組み込みのロールがあります。 バックアップ コンテナーは Azure RBAC と互換性があります。これにより、定義された一連のユーザー ロールへのバックアップと復元のアクセスが制限されます。 詳細情報
データ分離: Azure Backup では、保管済みのバックアップ データは Microsoft が管理する Azure サブスクリプションとテナントに格納されます。 外部ユーザーまたはゲストは、このバックアップ ストレージまたはその内容に直接アクセスできないため、データ ソースが存在する運用環境からバックアップ データが確実に分離されます。 この堅牢なアプローチにより、環境が侵害された場合でも、許可されていないユーザーによる既存のバックアップの改ざんや削除ができません。
バックアップ コンテナーのストレージ設定
バックアップ コンテナーは、時間の経過と共に作成されたバックアップと復旧ポイントを格納するエンティティです。 バックアップ コンテナーには、保護対象のリソースに関連付けられたバックアップ ポリシーも格納されます。
Azure Backup では、コンテナーのストレージが自動的に処理されます。 バックアップ コンテナーを作成するときに、ビジネス ニーズに合ったストレージの冗長性を選択します。
ストレージの冗長性の詳細については、geo、ゾーン (プレビュー)、ローカルの冗長性に関する記事を参照してください。
バックアップ コンテナーの暗号化設定
このセクションでは、バックアップ コンテナーに格納されるバックアップ データを暗号化するために使用できるオプションについて説明します。 Azure Backup サービスは、バックアップ管理サービス アプリを使用して Azure Key Vault にアクセスしますが、バックアップ コンテナーのマネージド ID は使用しません。
プラットフォーム マネージド キーを使用したバックアップ データの暗号化
Azure Backup には、バックアップ コンテナーのバックアップ データ暗号化を管理するための 2 つのオプション (Microsoft マネージド キーとカスタマー マネージド キー) が用意されています。 既定では、すべてのデータが、Microsoft マネージド キーを使用して暗号化されます。 Azure Backup は、バックアップ管理サービス アプリを使用して Azure Key Vault にアクセスしますが、バックアップ コンテナーのマネージド ID は使用しません。
独自のキーをフェッチしてバックアップ データを暗号化するには、"バックアップ コンテナー" の [暗号化の設定] で [カスタマー マネージド キー] オプションを使用します。
Azure Backup を使用した PostgreSQL のリージョン間復元のサポート
Azure Backup を使用すると、geo 冗長ストレージ (GRS) を使用してリージョンの障害からバックアップを保護することで、追加の Azure ペアリージョンにバックアップをレプリケートできます。 GRS を使用したバックアップを有効にすると、Microsoft がプライマリ リージョンで停止を宣言した場合にのみ、セカンダリ リージョンのバックアップにアクセスできるようになります。 ただし、リージョン間復元では、プライマリ リージョンで障害が発生していない場合でも、セカンダリ リージョンの回復ポイントにアクセスしてそこから復元を実行できます。そのため、リージョンの回復性を評価するための訓練を実行できます。
リージョンをまたがる復元を実行する方法に関する記事を参照してください。
Note
- リージョン間復元は、バックアップ コンテナーで保護された PostgreSQL バックアップに対して使用できるようになりました。
- リージョン間復元が有効化されたバックアップ コンテナーは、コンテナーに格納されている PostgreSQL バックアップに対して RA-GRS レートで自動的に課金されます。