Azure Backup を使用して Azure BLOB のバックアップを構成および管理する

Azure Backup を使用すると、運用と保管済みの各バックアップを構成して、ストレージ アカウント内のブロック BLOB を保護できます。 この記事では、Azure portal を使用して 1 つ以上のストレージ アカウントのバックアップを構成および管理する方法について説明します。

開始する前に

  • BLOB の運用バックアップは、ソース ストレージ アカウント自体にデータを指定された期間保持するローカル バックアップ ソリューションです。 このソリューションを使用した場合、コンテナー内にデータの追加コピーは保持されません。 このソリューションを使用すると、データを復元用に最大 360 日間保持することができます。 ただし、保持期間が長いと、復元操作にかかる時間が長くなる場合があります。
  • このソリューションを使う場合は、ソース ストレージ アカウントへの復元しか実行できず、データが上書きされるおそれがあります。
  • Delete Container 操作を呼び出してストレージ アカウントからコンテナーを削除した場合、復元操作でそのコンテナーを復元することはできません。 後で復元が必要になる場合は、コンテナー全体を削除するのではなく、個々の BLOB を削除してください。 また、コンテナーの誤削除防止のために、運用バックアップに加えてコンテナーの論理的な削除を有効にすることをお勧めします。
  • Microsoft.DataProtection プロバイダーがサブスクリプションに登録されていることを確認します。

サポートされているシナリオ、制限事項、可用性の詳細については、サポート マトリックスを参照してください。

バックアップ コンテナーの作成

バックアップ コンテナーは、時間の経過と共に作成された復旧ポイントを格納する管理エンティティであり、バックアップ関連の操作を実行するためのインターフェイスを提供するものです。 たとえば、オンデマンドのバックアップの作成、復元の実行、バックアップ ポリシーの作成などの操作です。 BLOB の運用バックアップはローカル バックアップであり、コンテナーにデータは "格納" されませんが、さまざまな管理操作のためにコンテナーが必要です。

Note

バックアップ コンテナーは、新しくサポートされたワークロードをバックアップするために使用される新しいリソースであり、既存の Recovery Services コンテナーとは異なります。

バックアップ コンテナーを作成する方法については、バックアップ コンテナーのドキュメントを参照してください。

ストレージ アカウントでのバックアップ コンテナーへのアクセス許可の付与

運用バックアップを使用すると、バックアップ所有の削除ロックを適用することによって、ストレージ アカウント (保護対象の BLOB が含まれている) の誤削除を防止することもできます。 これを行うには、保護する必要があるストレージ アカウントのバックアップ コンテナーに特定のアクセス許可が与えられている必要があります。 便利に使えるように、これらの最小限のアクセス許可は、ストレージ アカウント バックアップの共同作成者ロールに統合されています。

バックアップを構成する前に、このロールを Backup コンテナーに割り当てすることをお勧めします。 ただし、バックアップの構成中にロールの割り当てを実行することもできます。

保護する必要があるストレージ アカウントに必要なロールを割り当てるには、次の手順に従います。

Note

また、利便性に応じて、サブスクリプションまたはリソース グループのレベルでコンテナーにロールを割り当てることもできます。

  1. 保護する必要があるストレージ アカウントで、左側のナビゲーション ブレードにある [アクセス制御 (IAM)] タブに移動します。

  2. 必要なロールを割り当てるために、 [ロールの割り当ての追加] を選択します。

    ロールの割り当てを追加する

  3. [ロールの割り当ての追加] ブレードで、以下を実行します。

    1. [ロール][ストレージ アカウント バックアップの共同作成者] を選択します。

    2. [アクセスの割り当て先] で、 [ユーザー、グループ、またはサービス プリンシパル] を選択します。

    3. このストレージ アカウントで BLOB のバックアップに使用する Backup コンテナーを検索し、検索結果から選択します。

    4. [保存] を選択します。

      ロールの割り当てオプション

      Note

      ロールの割り当ては、反映されるまで最大 30 分ほどかかることがあります。

バックアップ ポリシーの作成

バックアップ ポリシーでは、復旧ポイントの作成のスケジュールと頻度、およびバックアップ コンテナー内の保持期間を定義します。 保管済みバックアップ、運用バックアップ、またはその両方に 1 つのバックアップ ポリシーを使用できます。 同じバックアップ ポリシーを使用して、1 つのコンテナーへの複数のストレージ アカウントのバックアップを構成できます。

新しいバックアップ ポリシーを作成するには、次の手順に従います。

  1. [バックアップ センター]>[概要] に移動し、[+ ポリシー] を選びます。

    スクリーンショットには、保管済み BLOB バックアップのバックアップ ポリシーの追加を開始する方法が示されています。

  2. [開始: ポリシーの作成] ページで、[データ ソースの種類] として [Azure BLOB (Azure Storage)] を選び、次に [続行] を選びます。

    スクリーンショットには、保管済み BLOB バックアップのデータソースの種類を選ぶ方法が示されています。

  3. [バックアップ ポリシーの作成] ページの [基本] タブで、[ポリシー名] に入力し、[コンテナーの選択] から、このポリシーを関連付けるコンテナーを選びます。

    スクリーンショットには、保管済み BLOB バックアップのポリシー名を追加する方法が示されています。

    選んだコンテナーの詳細をこのタブで確認してから、[次へ] を選びます。

  4. [スケジュールと保持期間] タブで、該当する場合は、データ ストアの "バックアップの詳細"、スケジュール、これらのデータ ストアの保持期間を入力します。

    1. 保管済みバックアップ、運用バックアップ、またはその両方にバックアップ ポリシーを使用するには、対応するチェック ボックスをオンにします。
    2. 選んだデータ ストアごとに、スケジュールと保持期間の設定を追加または編集します。
      • 保管済みバックアップ: "毎日" と "毎週" のどちらかからバックアップの頻度を選び、バックアップ回復ポイントを作成する必要があるスケジュールを指定してから、既定の保持ルールを編集する ([編集] を選択) か、新しいルールを追加して "祖父母-親-子" 表記を使用して復旧ポイントの保持を指定します。
      • 運用バックアップ: これらは継続的であり、スケジュールは必要ありません。 運用バックアップの既定のルールを編集して、必要な保持期間を指定します。

    スクリーンショットには、保管済み BLOB バックアップのスケジュールと保持を構成する方法が示されています。

  5. [Review + create](レビュー + 作成) を選択します。

  6. 確認して問題がなければ、[作成] を選択します。

バックアップを構成する

1 つのバックアップ ポリシーを使用して、Azure リージョン内の同じコンテナーに 1 つ以上のストレージ アカウントをバックアップできます。

ストレージ アカウントのバックアップを構成するには、以下の手順に従います。

  1. [バックアップ センター]>[概要] に移動し、[+ バックアップ] を選びます。

    スクリーンショットには、保管済み BLOB バックアップを開始する方法が示されています。

  2. [開始: バックアップの構成] ブレードで、[データソースの種類] として [Azure BLOB (Azure Storage)] を選びます。

    スクリーンショットには、保管済み BLOB バックアップの構成を開始する方法が示されています。

  3. [バックアップの構成] ページの [基本] タブで、[データソースの種類] として [Azure BLOB (Azure Storage)] を選び、[ボールト] としてストレージ アカウントと関連付ける "バックアップ コンテナー" を選びます。

    [選択したバックアップ コンテナーの詳細] を確認してから、[次へ] を選びます。

    スクリーンショットには、保管済み BLOB バックアップを開始するためにデータソースの種類を選ぶ方法が示されています。

  4. [バックアップ ポリシー] タブで、保持に使用する "バックアップ ポリシー" を選びます。 必要に応じて、新しいバックアップ ポリシーを作成することもできます。

    [選択したポリシーの詳細] を確認してから、[次へ] を選びます。

    スクリーンショットには、保管済み BLOB バックアップのポリシーを選ぶ方法が示されています。

  5. [バックアップの構成] ページの [データソース] タブで、バックアップする "ストレージ アカウント" を選びます。

    選んだポリシーを使用して、バックアップするリージョン内の複数のストレージ アカウントを選ぶことができます。 必要に応じて、ストレージ アカウントを検索またはフィルター処理します。

    手順 4 で保管済みバックアップ ポリシーを選んだ場合は、バックアップする特定のコンテナーを選ぶこともできます。 [選択したコンテナー] 列の下にある [変更] を選びます。 コンテキスト ブレードで、[バックアップするコンテナーの参照] を選択し、バックアップしないコンテナーの選択を解除します。

    ストレージ アカウントと保護するコンテナーを選ぶと、Azure Backup では次の検証を実行して、すべての前提条件が満たされていることを確認します。

    Note

    [バックアップの準備] 列に、各ストレージ アカウントのバックアップを構成するための十分なアクセス許可がバックアップ コンテナーにあるかどうかが示されます。

    1. 保管済みバックアップの場合、バックアップするコンテナーの数が 100 未満であること。 既定では、すべてのコンテナーが選択されています。ただし、バックアップすべきでないコンテナーは除外できます。 ストレージ アカウントに "100 を超える"コンテナーがある場合は、コンテナーを除外して、数を "100 以下" に減らす必要があります。

      注意

      保管済みバックアップの場合、バックアップするストレージ アカウントには、少なくとも "1 つのコンテナー" が含まれている必要があります。 選んだストレージ アカウントにコンテナーが含まれていない場合、またはコンテナーが選択されていない場合は、バックアップの構成中にエラーが発生するおそれがあります。

    2. バックアップ コンテナーにバックアップを構成するために必要なアクセス許可がある (コンテナーに、選んだすべてのストレージ アカウントに対するストレージ アカウント バックアップ共同作成者ロールが付与されている) こと。 検証でエラーが表示された場合、選んだストレージ アカウントには ストレージ アカウント バックアップ共同作成者ロールが付与されていません。 ご自分の現在のアクセス許可に基づいて、必要なロールを割り当てることができます。 エラー メッセージは、必要なアクセス許可があるかどうかを把握し、適切なアクションを実行するのに役立ちます。

      • ロールの割り当てが完了していません: ユーザーがストレージ アカウント バックアップ共同作成者ロールと、ストレージ アカウントに必要なその他のロールをコンテナーに割り当てるためのアクセス許可を持っていることを示します。

        ロールを選んでから、ツール バーの [不足しているロールの割り当て] を選び、必要なロールをバックアップ コンテナーに自動的に割り当て、自動再検証をトリガーします。

        ロールの反映に 10 分以上かかった場合、検証は失敗します。 このシナリオでは、数分待ってから、[再検証] を選んで、検証を再試行する必要があります。

      • ロールの割り当てに必要なアクセス許可が不十分です: コンテナーにバックアップを構成するために必要なロールがなく、ユーザーが必要なロールを割り当てるための十分なアクセス許可を持っていないことを示します。 ロールの割り当てを簡単にするために、Azure Backup ではロールの割り当てテンプレートをダウンロードできます。これは、ストレージ アカウントのロールを割り当てるためのアクセス許可を持つユーザーと共有できます。

        Note

        テンプレートに含まれる内容は、選んだストレージ アカウントの詳細のみです。 異なるストレージ アカウントにロールを割り当てる必要があるユーザーが複数存在する場合は、異なるテンプレートをそれぞれ選択してダウンロードできます。

  6. 必要なロールを割り当てるには、ストレージ アカウントを選び、[ロールの割り当てテンプレートのダウンロード] を選んでテンプレートをダウンロードします。 ロールの割り当てが完了したら、[再検証] を選んでアクセス許可を再度検証してから、バックアップを構成します。

    スクリーンショットには、ロールの割り当てが成功したことが示されています。

  7. 検証が成功したら、[レビューと構成] タブを選びます。

  8. レビューと構成 タブで詳細を確認し、次へ を選んで "バックアップの構成" 操作を開始します。

保護の構成の状態とその完了に関する通知を受け取ります。

ストレージ アカウントのデータ保護設定を使用してバックアップを構成する

ストレージ アカウントの BLOB のバックアップは、ストレージ アカウントの [データ保護] 設定から直接構成できます。

  1. BLOB のバックアップを構成するストレージ アカウントに移動し、左側のブレードの ([データ管理] の下にある) [データ保護] に移動します。

  2. 使用可能なデータ保護オプションの最初のオプションを使用すると、Azure Backup を使用した運用バックアップを有効にできます。

    Azure Backup を使用した運用バックアップ

  3. [Azure Backup で運用中のバックアップを有効にする] に対応するチェックボックスをオンにします。 次に、関連付ける Backup コンテナーと Backup ポリシーを選択します。 既存のコンテナーとポリシーを選択することも、必要に応じて新しく作成することもできます。

    重要

    選択したコンテナーにストレージ アカウント バックアップ共同作成者ロールを割り当てている必要があります。 詳しくは、「ストレージ アカウントでのバックアップ コンテナーへのアクセス許可の付与」をご覧ください。

    • 必要なロールが既に割り当てられている場合は、[保存] を選んでバックアップの構成を完了します。 ポータルの通知に従って、バックアップの構成の進行状況を追跡します。

    • ロールをまだ割り当てていない場合は、[Manage identity] (ID の管理) を選び、次の手順に従って割り当てます。

      Azure Backup で運用中のバックアップを有効にする

      1. [ID の管理] を選ぶと、ストレージ アカウントの [ID] ブレードが表示されます。

      2. ロールの割り当てを開始するには、[ロールの割り当ての追加] を選びます。

        ロールの割り当てを開始するための [ロールの割り当ての追加]

      3. ロールに割り当てるスコープ、サブスクリプション、リソース グループ、またはストレージ アカウントを選択します。

        複数のストレージ アカウントの BLOB に運用バックアップを構成する場合は、リソース グループ レベルでロールを割り当てることをお勧めします。

      4. [ロール] ドロップダウンから、 [ストレージ アカウントのバックアップ共同作成者] ロールを選択します。

        [ストレージ アカウントのバックアップ共同作成者ロール] の選択

      5. [保存] を選んで、ロールの割り当てを完了します。

        これが正常に完了すると、ポータルから通知を受け取ります。 選択したコンテナーの既存のロールの一覧で、新しいロールが追加されていることを確認することもできます。

        ロールの割り当ての完了

      6. 右上隅にあるキャンセル アイコン ([x]) を選択して、ストレージ アカウントの [データ保護] ブレードに戻ります。

        戻ったら、バックアップの構成を続行します。

バックアップ対象ストレージ アカウントに対する影響

バックアップを構成すると、ストレージ アカウント内のブロック BLOB に対して行われた変更が追跡され、バックアップ ポリシーに従ってデータが保持されます。 バックアップを構成したストレージ アカウントには、次の変更点があることがわかるでしょう。

  • ストレージ アカウントで次の機能が有効になっています。 これらは、ストレージ アカウントの [データ保護] タブで確認できます。

    • コンテナーのポイントインタイム リストア: バックアップ ポリシーで指定した保持期間
    • BLOB の論理的な削除: バックアップ ポリシーで指定した保持期間 + 5 日
    • BLOB のバージョン管理
    • BLOB の変更フィード

    バックアップ対象として構成したストレージ アカウントで、コンテナーのポイントインタイム リストアまたは BLOB の論理的な削除が (バックアップを構成する前に) 既に有効になっていた場合、Backup によって、少なくともバックアップ ポリシーで定義した保持期間が確保されます。 したがって、プロパティごとに次のようになります。

    • バックアップ ポリシーによる保持期間が、ストレージ アカウントに最初から存在する保持期間よりも長い場合: ストレージ アカウントでの保持期間は、バックアップ ポリシーに従って変更されます。
    • バックアップ ポリシーによる保持期間が、ストレージ アカウントに最初から存在する保持期間よりも短い場合: ストレージ アカウントでの保持期間は変更されず、当初の設定期間のままになります。

    [データ保護] タブ

  • 削除ロックは、保護されているストレージ アカウントに Backup によって適用されます。 このロックは、ストレージ アカウントの誤削除を防ぐことを目的としています。 これは [ストレージ アカウント]>[ロック] で確認できます。

    ロックを削除する

バックアップの管理

バックアップ センターは、すべてのバックアップを管理するための 1 つのウィンドウとして使用できます。 Azure BLOB のバックアップに関しては、バックアップ センターを使用して次のことを実行できます。

  • 既に説明したように、これを使用してバックアップのコンテナーとポリシーを作成できます。 また、選択したサブスクリプションのすべてのコンテナーとポリシーを表示することもできます。

  • バックアップ センターを使用すると、保護されているストレージ アカウントの保護の状態と、バックアップが現在構成されていないストレージ アカウントを簡単に監視できます。

  • [+ バックアップ] ボタンを使用して任意のストレージ アカウントのバックアップを構成できます。

  • [復元] ボタンを使用して復元を開始し、 [バックアップ ジョブ] を使用して復元を追跡します。 復元の実行の詳細については、「Azure BLOB の復元」を参照してください。

  • バックアップ レポートを使用してバックアップの使用状況を分析します。

    バックアップ センター

詳細については、「バックアップ センターの概要」を参照してください。

保護の停止

必要に応じて、ストレージ アカウントの運用バックアップを停止できます。

Note

バックアップを削除しても、オブジェクト レプリケーション ポリシーはソースから削除されません。 そのため、ポリシーを個別に削除する必要があります。 保護を停止すると、バックアップ コンテナー (およびバックアップ センターなどのバックアップ ツール) からストレージ アカウントの関連付けが解除されるだけで、構成された BLOB のポイントインタイム リストア、バージョン管理、および変更フィードは無効になりません。

ストレージ アカウントのバックアップを停止するには、次の手順を実行します。

  1. バックアップされているストレージ アカウントのバックアップ インスタンスに移動します。

    これには、ストレージ アカウント ->データ保護 ->Manage backup settings (バックアップ設定の管理) を使用してストレージ アカウントから移動することも、バックアップ センター ->バックアップ インスタンス に移動してストレージ アカウント名を検索し、バックアップ センターから直接移動することもできます。

    ストレージ アカウントの場所

    バックアップ センターを使用したストレージ アカウントの場所

  2. バックアップ インスタンスで、[削除] を選んで、特定のストレージ アカウントの運用バックアップを停止します。

    運用バックアップの停止

バックアップを停止した後、ストレージ アカウントの [データ保護] ブレードから、(バックアップの構成のために有効になっている) 他のストレージ データ保護機能を無効にすることができます。

次のステップ

Azure BLOB の復元