インフラストラクチャ バックアップ サービスのベスト プラクティス - Modular Data Center (MDC)
適用対象:Modular Data Center、Azure Stack Hub ラグド
これらのベスト プラクティスは定期的に確認して、操作フローに変更が加えられた場合でもインストールがコンプライアンスに対応していることを確認します。 ベスト プラクティスを適用する過程で問題が生じた場合は、Microsoft サポートにお問い合わせください。
構成のベスト プラクティス
インフラストラクチャ バックアップは、新しいシステムの展開時に既定で有効になり、内部的に格納されます。 Azure Stack ポータルまたは PowerShell を使用すると、外部の保存場所を指定して、バックアップをセカンダリ ロケーションにエクスポートできます。
ネットワーク
パスの汎用名前付け規則 (UNC) 文字列には、完全修飾ドメイン名 (FQDN) を使用する必要があります。 名前解決ができない場合は、IP アドレスを使用することができます。 UNC 文字列は、共有ファイルやデバイスといった、リソースの場所を指定します。
暗号化
暗号化証明書を使用して、外部ストレージにエクスポートされるバックアップ データを暗号化します。 証明書はキーの転送にしか使用されないため、自己署名証明書でかまいません。 証明書の作成方法の詳細については、New-SelfSignedCertificate のドキュメントを参照してください。
証明書は安全な場所に保存する必要があります。 証明書の CER 形式は、データの暗号化のためにのみ使用されます。通信の確立には使用されません。
運用上のベスト プラクティス
バックアップ
バックアップ ジョブはシステムの稼働中に実行されるため、管理エクスペリエンスやユーザーのアプリにダウンタイムが発生しません。 それなりに負荷がかかっているソリューションでは、バックアップ ジョブに 20 から 40 分かかると想定してください。
ネットワーク スイッチとハードウェア ライフサイクル ホスト (HLH) を手動でバックアップするための追加の手順が提供されます。
フォルダー名
インフラストラクチャでは、MASBACKUP フォルダーが自動的に作成されます。 これは、Microsoft によって管理される共有です。 MASBACKUP と同じレベルの共有を作成することもできます。 Azure Stack 以外で作成された MASBACKUP 内に、フォルダーやストレージ データを作成することは推奨されません。
フォルダー名に FQDN とリージョンを使用して、バックアップ データを、他のクラウドと区別します。 Azure Stack のデプロイの FQDN とエンドポイントは、リージョン パラメーターと外部ドメイン名パラメーターの組み合わせです。 詳細については、「Azure Stack とデータセンターの統合 - DNS」をご覧ください。
たとえば、バックアップ共有を、fileserver01.contoso.com 上でホストされている AzSBackups とします。 このファイル共有では、外部ドメイン名を使用する、Azure Stack 展開ごとのフォルダーと、リージョン名を使用するサブフォルダーが存在する可能性があります。
- FQDN: contoso.com
- リージョン: nyc
\\fileserver01.contoso.com\AzSBackups
\\fileserver01.contoso.com\AzSBackups\contoso.com
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\MASBackup
MASBackup フォルダーは、Azure Stack が Azure Stack のバックアップ データを格納する場所です。 独自のデータを格納するために、このフォルダーは使用しないでください。 また、OEM も、バックアップ データの格納にはこのフォルダーを使用しないでください。
OEM は、各社のコンポーネントのバックアップ データは、リージョン フォルダー配下に格納することを推奨します。 各ネットワーク スイッチ、ハードウェア ライフサイクル ホスト (HLH) などを、それぞれのサブフォルダーに格納できます。 次に例を示します。
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\HLH
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\Switches
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\DeploymentData
\\fileserver01.contoso.com\AzSBackups\contoso.com\nyc\Registration
監視
システムでサポートされるアラートは、以下のとおりです。
| アラート: | 説明 | Remediation |
|---|---|---|
| ファイル共有の容量が不足しているため、バックアップに失敗しました。 | ファイル共有が容量不足のため、バックアップ コントローラーがバックアップ ファイルをその場所にエクスポートできません。 | ストレージ容量を追加して、バックアップをやり直します。 既存のバックアップを (最も古いものから) 削除して、空き容量を増やします。 |
| 接続の問題のため、バックアップに失敗しました。 | Azure Stack とファイル共有間のネットワークに問題があります。 | ネットワークの問題に対処して、バックアップをやり直します。 |
| パスに障害があるため、バックアップに失敗しました。 | ファイル共有のパスを解決できません。 | 別のコンピューターからこの共有をマップして、共有にアクセスできることを確認します。 パスが無効になっている場合は、更新が必要な場合があります。 |
| 認証の問題のため、バックアップに失敗しました。 | 資格情報に問題があるか、認証に影響を与えるネットワークの問題がある可能性があります。 | 別のコンピューターからこの共有をマップして、共有にアクセスできることを確認します。 資格情報が無効になっている場合は、更新が必要な場合があります。 |
| 一般的なエラーのため、バックアップに失敗しました。 | 断続的な問題のため、要求が失敗した可能性があります。 バックアップをやり直してください。 | サポートに問い合わせます。 |
Infrastructure Backup サービスのコンポーネント
Infrastructure Backup サービスには、次のコンポーネントが含まれています。
Infrastructure Backup コントローラー: Infrastructure Backup コントローラーは、各 Azure Stack クラウド内でインスタンス化され、配置されています。
バックアップ リソース プロバイダー: バックアップ リソース プロバイダー (バックアップ RP) は、ユーザー インターフェイスと、Azure Stack インフラストラクチャ向けの基本バックアップ機能を公開する API で構成されています。
インフラストラクチャ バックアップ コントローラー
Infrastructure Backup コント ローラーは、Azure Stack クラウド向けにインスタンス化された Service Fabric サービスです。 バックアップ リソースはリージョン レベルで作成され、AD、CA、Azure Resource Manager、CRP、SRP、NRP、Key Vault、および RBAC からのリージョン固有のサービス データを記録します。
バックアップ リソース プロバイダー
バックアップ リソース プロバイダーは、Azure Stack ポータルで基本構成用のユーザー インターフェイスと、バックアップ リソースの一覧を表示します。 オペレーターは、ユーザー インターフェイスで次のアクションを実行できます。
- 初めてバックアップを有効にする場合に、外部の保存場所、資格情報、暗号化キーを指定する
- 完了した作成済みバックアップ リソースや作成中の状態リソースを表示する
- バックアップ コントローラーがバックアップ データを配置する保存場所を変更する
- バックアップ コントローラーが外部の保存場所へのアクセスで使用する資格情報を変更する
- バックアップ コントローラーがバックアップの暗号化で使用する暗号化証明書を変更する
バックアップ コントローラーの要件
このセクションでは、Infrastructure Backup サービスの重要な要件について説明します。 Azure Stack インスタンスのバックアップを有効にする前に、次の情報を慎重に確認してください。また、デプロイや後続の操作中にも、必要に応じて再度この情報をご覧になることをお勧めします。
要件は次のとおりです。
- ソフトウェア要件: サポートされる保存場所とサイズ設定のガイダンスを示します。
- ネットワークの要件: 各種保存場所のネットワーク要件について説明します。
ソフトウェア要件
サポートされる保存場所
| 保存先 | 詳細 |
|---|---|
| 信頼されたネットワーク環境内のストレージ デバイスでホストされる SMB ファイル共有 | Azure Stack がデプロイされているのと同じデータセンター内、または別のデータセンター内にある SMB 共有。 複数の Azure Stack インスタンスで同じファイル共有を使用できます。 |
| Azure 上の SMB ファイル共有 | 現在はサポートされていません。 |
| Azure 上の BLOB ストレージ | 現在はサポートされていません。 |
サポートされる SMB バージョン
| SMB | Version |
|---|---|
| SMB | 3.x |
SMB 暗号化
Infrastructure Backup サービスでは、サーバー側で SMB 暗号化が有効になっている外部の保存場所へのバックアップ データの転送がサポートされています。 サーバーで SMB 暗号化がサポートされていない場合、または機能が有効になっていない場合、Infrastructure Backup サービスでは暗号化されていないデータ転送にフォールバックされます。 外部の保存場所に配置されるバックアップ データは、保存時に常に暗号化され、SMB 暗号化に依存しません。
保存場所のサイズ設定
少なくとも 1 日に 2 回バックアップを行い、バックアップは最長で 7 日間保持することをお勧めします。 これは、Azure Stack でインフラストラクチャ バックアップを有効にした場合の既定の動作です。
| 環境のスケール | バックアップの予測サイズ | 必要な領域の合計サイズ |
|---|---|---|
| 4-16 ノード | 20 GB | 280 GB |
ネットワークの要件
| 保存先 | 詳細 |
|---|---|
| 信頼されたネットワーク環境内のストレージ デバイスでホストされる SMB ファイル共有 | Azure Stack インスタンスがファイアウォールで保護された環境に存在する場合、ポート 445 が必須です。 インフラストラクチャ バックアップ コントローラーは、ポート 445 経由で SMB ファイル サーバーへの接続を開始します。 |
| ファイル サーバーの FQDN を使用するには、名前を PEP から解決可能にする必要があります。 |
Note
受信ポートを開く必要はありません。
暗号化の要件
Infrastructure Backup サービスは、公開キー付きの証明書 (.CER) を使用して、バックアップ データを暗号化します。 証明書は、キーのトランスポートに使用され、セキュリティで保護された認証済みの通信を確立するためには使用されません。 このため、証明書は自己署名証明書でもかまいません。 Azure Stack では、この証明書のルートまたは信頼を確認する必要はないため、外部のインターネット アクセスは必要ありません。
自己署名証明書は、公開キーと秘密キーの 2 つの部分で構成されます。
- バックアップ データの暗号化: バックアップ データの暗号化には、(.CER ファイルにエクスポートされる) 公開キーを含む証明書が使用されます
- バックアップ データの解読: バックアップ データの暗号化の解除には、(.PFX ファイルにエクスポートされる) 秘密キーを含む証明書が使用されます
公開キー (.CER) を含む証明書は、内部シークレットのローテーションによっては管理されません。 証明書のローテーションを行うには、新しい自己署名証明書を作成し、新しいファイル (.CER) でバックアップの設定を更新する必要があります。
既存のすべてのバックアップは、前の公開キーを使用して暗号化されたままになります。 新しいバックアップでは、新しい公開キーを使用します。
セキュリティ上の理由から、秘密キー (.PFX) によるクラウドの復旧中に使用される証明書は、Azure Stack では保存されません。
インフラストラクチャ バックアップの制限事項
Microsoft Azure Stack インスタンスを計画、デプロイ、および運用する際には、以下の制限事項を考慮してください。 次の表に制限事項を示します。
| 制限の種類 | 制限 | 説明 |
|---|---|---|
| バックアップの種類 | 完全のみ | インフラストラクチャ バックアップ コントローラーでは、完全バックアップのみがサポートされます。 増分バックアップはサポートされません。 |
| スケジュールされたバックアップ | スケジュールおよび手動 | バックアップ コントローラーでは、スケジュールされたバックアップとオンデマンド バックアップがサポートされます。 |
| バックアップ ジョブの最大同時実行数 | 1 | バックアップ コントローラーのインスタンスごとに、アクティブなバックアップ ジョブが 1 つのみサポートされます。 |
| ネットワーク スイッチの構成 | この記事で扱わない内容 | ネットワーク スイッチの構成は、管理者が OEM ツールを使用してバックアップする必要があります。 各 OEM ベンダーから提供される Azure Stack 向けマニュアルをご覧ください。 |
| ハードウェア ライフサイクル ホスト | この記事で扱わない内容 | ハードウェア ライフサイクル ホストは、管理者が OEM ツールを使用してバックアップする必要があります。 各 OEM ベンダーから提供される Azure Stack 向けマニュアルをご覧ください。 |
| 最大ファイル共有数 | 1 | バックアップ データの格納に使用できるファイル共有は 1 つのみです。 |
| バックアップの付加価値リソース プロバイダー | 対象 | インフラストラクチャ バックアップには、Event Hubs RP、Data Box Edge RP のバックアップが含まれています。 |
次のステップ
- Infrastructure Backup サービスについて確認します。