モチベ
- Azure Updateを見ていてこんなのがあった
- 確かにストレージアカウントのバックアップってどうする?と思いまとめてみる
Azure BLOBストレージのバックアップ
- Azure BLOBストレージにもバックアップの機能がある
-
運用中のバックアップと呼ばれるもの- これはAzure Backupと連携することでAzure Backup上のバックアップポリシーに従ってBLOBストレージのバックアップを取るという機能
- ここでAzure Backupは管理面を担当しているだけであり、バックアップデータはそのストレージアカウントのスナップショット領域に保存されている
- つまり、ローカルのバックアップになる
- バックアップコンテナーには保存されない
Azure Blob バックアップ は Azure Blob のポイントインタイムリストアの機能をバックアップサービスと連携することにより実現したバックアップソリューションです。
そのため、バックアップデータ (リストアに必要なデータ) の保存先は Azure Blob のポイントインタイムリストアと同じく、そのストレージ アカウント自身となります。
そのため、バックアップ コンテナーには転送されません。
・運用バックアップのしくみ - Azure Blob の運用バックアップの概要
https://learn.microsoft.com/ja-jp/azure/backup/blob-backup-overview
抜粋:BLOB の運用バックアップは、ローカル バックアップ ソリューションです。 そのため、バック アップデータはバックアップ コンテナーには転送されず、ソース ストレージ アカウント自体に格納されます。 ただし、バックアップ コンテナーは引き続きバックアップ管理の単位として機能します。 また、これは継続的バックアップ ソリューションです。つまり、バックアップをスケジュール設定する必要がなく、すべての変更内容が保持され、選択した時点の状態から復元できます。
- しかし、ストレージアカウント内での構成ミスによるデータ削除が発生した際、もしくはストレージアカウントが公開されていることによる外部からの攻撃によってデータが失われる可能性は否めない
- よってフールプルーフのため、ローカルバックアップではなく、バックアップコンテナーが内包しているリモートのストレージアカウントへバックアップデータを保存することが可能
- これを
保管済みバックアップと呼んでいる
- これを
まずは運用バックアップの構成
- ストレージアカウントの
データ保護から運用バックアップを構成 - バックアップコンテナーを選択
- バックアップコンテナーは対象のストレージアカウントに対して
Storage Account Backup Contributorロールが必要
- バックアップコンテナーは対象のストレージアカウントに対して
- この
運用バックアップのバックアップポリシーはかなりシンプル- 保持期間の設定しかできない
- 保持期間の設定しかできない
続いて保管済みバックアップの構成
-
保管済みバックアップを利用するには、そもそもポリシーの種類を変える必要がある
- これは
バックアップセンター(影薄い)から行う必要がある
- これは
-
ソースとしてAzure BLOBを選択
-
画面に従って設定していく
- 保持期間の設定画面で、
運用バックアップと保管済みバックアップのどちらかもしくは両方の構成が可能
ポリシーの変更
-
作成した
保管済みバックアップのポリシーを使用するように変更 -
ストレージアカウントの
データ保護等からバックアップ設定の管理ページへアクセス
-
ここでポリシーの変更ができるため、先ほど作成したポリシーへ変更
-
これでうまくいくはず、と思ったが
保護エラーが発生
運用バックアップを一度無効にしてからポリシーをアタッチ
-
ストレージアカウントの
データ保護から運用バックアップを無効化 -
改めてバックアップコンテナー側から設定してみる
-
この場合、対象とするBLOBコンテナの選択が可能
-
保護が構成されていることを確認。どうやらこちらが正規の手順。
参考
おわり
Azure Filesについても同様の手順でバックアップコンテナー側にバックアップを作成することができる。ランサムウェア対策とかで必要になってくるはず。
Discussion