【Azure】オンプレミスWindows VMをRecovery Service コンテナーにバックアップする

Posted at 2025-03-07

みなさん、こんにちは！

今回はAzureの選定理由としてもよく上げられるAzure Backupについてご紹介します。
バックアップの必要性や重要性は皆様ご存じかと思います。様々なバックアップサービスがある中でAzure Backupを理解しご参考になれば幸いです。

Azure Backupとは？

Azure BackupとはMicrosoft Azureが提供するバックアップサービスです。
Recovery Services コンテナーやバックアップコンテナーと呼ばれる、バックアップ専用のストレージに厳密に保管されます。
Azure Backupによるバックアップ対象は下記になります。

オンプレミスのＶＭ(Hyper-V と VMware)
Azure VM
Azure Managed Disks※
Azure Files 共有
Azure VM 内の SQL Server

Azureが提供されているサービスのバックアップだけではなく、オンプレミスのVMもバックアップができるのもポイントです。
※コンテナーに転送されず、スナップショットを自動取得、自動削除を提供

Azure Backupを利用するメリット

Azureのドキュメントには様々なメリットが記載されいますが、その中で３つ紹介したいと思います。

無制限のデータ転送が可能

クラウドサービスでは、アウトバウンド通信に料金がかかることが一般的でAzureもその1つです。
ですが、Azure Backupを利用する際はアウトバウンド通信に料金がかかることがありません。
そのためオンプレサーバーへAzure Backupから大量のデータをリストアする際も、費用が想定以上にかかってしまった...という心配はありません。
実際にかかる費用はRecovery Services コンテナーに格納されたデータ容量のみです。

バックアップエージェントをAzure Backupが提供

Azureサービスをバックアップする際は、Azure portal上で完結するため、エージェントは必須ではありません。
オンプレミスでWinodws VMを利用している場合、Microsoft Azure Recovery Services (MARS)エージェントを利用してバックアップすることが可能です。
その際インターネット回線でバックアップを行うため、VPN等の回線は必要ありません。
さらにエージェントを利用することで、フォルダ単位、ファイル単位でバックアップが可能です。

高いセキュリティ性

データを保護するためバックアップされたデータは自動で暗号化されます。
もちろん転送中もHTTPS と TLS 1.2 以降のプロトコルを利用するためバックアップデータの改ざんや削除を防ぐことができます。
より高いセキュリティ性を持たせるため、ユーザーのアクセス制御やプライベートエンドポイント経由でのバックアップも提供が開始されました。
すでに備わっている機能だけでなく、ユーザー側でも設定することでより高いセキュリティを確保することが期待されます。
実装前に一度Docsをチェックしておきましょう。

Azure Backup のセキュリティ機能の概要

Azure Backupでバックアップを取ってみる

（オンプレWindowsVMパターン）では実際にAzureにアクセスして、Azure Backupを使ってみましょう。
今回はAzureに作成したWindows VMをオンプレVMと見立てて、MARSエージェントをインストールします。
このとき、Azureのサブスクリプションのご用意と、最低限Backup ContributorのをRBACロールを付与していてください。

Microsoft Azure Recovery Services (MARS) エージェントをインストールする - Azure Backup | Microsoft Learn

Azure portalへサインイン後、ビジネス継続センター＞管理＞コンテナーにアクセスし、「＋コンテナー」をクリックします。

Recovery Service Vaultを選択して、画面下の続行をクリック。

リソースグループを選択、または新規作成して、コンテナー名、リージョンを指定しましょう。

ここでバックアップデータの冗長性を設定できます。今回は一番冗長性と価格が低いローカル冗長性を選択します。
デフォルトではgeo冗長になっており、西日本にもデータを冗長化してくれますが、一度バックアップするとローカル冗長に戻せません。
バックアップを開始する前に、今一度確認しましょう。

暗号化、コンテナーのプロパティ、ネットワーク、タグはデフォルトのまま設定し、Recovery serviceコンテナーを作成します。
デプロイが完了したら、リソースに移動をクリックしてください。

作成が完了したら、バックアップの設定を行います。はじめに＞バックアップをクリックします。

ワークロードはオンプレミスを選択し、ファイルとフォルダーまたはシステム状態を選択してください。両方選択しても構いません。

Windows ServerまたはWindows クライアント用エージェントをダウンロードをクリックするとエージェントがダウンロードされます。
後程、エージェントはWindows serverで利用しますので、ローカルPC等で行っている場合はWindows serverにリダイレクトしてください。

最新のRecovery service Agentをすでにダウンロードしたか、使用しているにチェックを入れコンテナーの資格情報をダウンロードします。こちらもWindows server上で利用します。
ここまでがAzure portalで行う作業です。次にWindows serverにアクセスしてください。

Windows serverに先ほどAzure portalでダウンロードしたエージェントのインストーラーを開きます。

インストーラーを開くと、インストール先のフォルダーとキャッシュの場所を指定します。
今回はデフォルトのまま進みます。

ネットワークプロキシを介してインターネットにアクセスする場合は指定します。
サーバーから直接インターネットにアクセスするため、デフォルトのまま進みます。

要件がない限り、Microsoft Updateを使用して更新プログラムを確認するを選択します。

.NET4.5やWindows Powershellがインストールされていない場合はエージェントと一緒にインストールされます。
どちらも利用可能のため、インストールを開始します。

インストールが完了しました。
次にRecovery Service コンテナーへバックアップをするため資格情報を入力します。

先ほどAzure portalでダウンロードした資格情報のファイルを追加して下さい。

資格情報を入れると、自動でRecovery Service コンテナー、リージョン、サブスクリプションIDと資格情報の有効期限が下記のように表示されます。

バックアップデータの暗号化、複合化を行うためのパスフレーズを入力します。
今回はサーバー上に保存していますが、このサーバーが障害等で復帰できず、ほかのサーバーへリストアを行う場合もこのパスフレーズが必要になります。
Microsoftの推奨である、安全でセキュリティに保護されたAzure Key Vaultに格納することでパスフレーズの紛失の心配もなくなるので、なるべくKey Vaultを利用しましょう。
今回の手順ではKey Vaultをご用意していないのでサーバーに保存します。