Azure ファイル共有バックアップ (Azure Files Backup) の Vault Tier への保存を試す！

Last updated at 2024-01-17Posted at 2023-06-06

こんにちは、駆け出しアーキテクトのやまぱんです。

今回は Azure Backup の一種類である Azure Files Backup の新機能、Vault Tier への保存を試してみました。

執筆時(2023/06/06(火))時点ではプレビュー(プライベートプレビュー)機能になります、プレビュー部分については GA (一般提供)までに仕様が変わる可能が十分にありますのでご承知おきください。

何がどうなって、なにが嬉しいんだってばよ

いままでの Azure Files バックアップ (Snapshot Tier) の仕組み

いままでの Azure Files Backup (Azureファイル共有バックアップ) では Azure Files の機能であるスナップショットを決められた定刻に取得し、決められた保持期間保持し、保持期間が過ぎればスナップショットを削除するというものでした。

Azure Files のスナップショットはストレージアカウントそのもののスナップショット領域に保存されるものであって、データのコピー(バックアップ)を別の場所に持つようなソリューションではありませんでした。
そのため仮にもし万が一ストレージアカウントそのものが破損してしまうようなことがあった場合には復元することができません。

・バックアッププロセスのしくみ - Azure ファイル共有のバックアップについて
https://learn.microsoft.com/ja-jp/azure/backup/azure-file-share-backup-overview

抜粋：ファイル共有データは Backup サービスには転送されません。これは、Backup サービスでは、ストレージアカウントの一部であるスナップショットの作成および管理が行われ、バックアップはコンテナーに転送されないからです。

ちなみに他にも Azure Backup の中でコンテナー(バックアップ専用の保存領域)に転送されないものはあります。
詳細は下記の公式ブログをご覧ください。
・バックアップソリューションとコンテナー、およびデータ保存先の比較表 - Japan CSS ABRS Support Blog !!
https://jpabrs-scem.github.io/blog/AzureBackupGeneral/RSV_BV/#1

また、 Azure Files のスナップショットはストレージアカウント内に完全なコピーを持つものでもありません。
具体的には初回のスナップショットも完全コピーが取られる仕組みにはなっていません。
初回スナップショットを取得してもスナップショット領域にはデータは保存されません、データの削除や追加を行うとその分が初めてスナップショット領域に保存されます。

これが本質的に増分と表現している所以です。
通常の増分バックアップでは初回はフルスナップショット(バックアップ)が取られますが、 Azure Files のスナップショットではそうではありません。

・共有スナップショット
https://learn.microsoft.com/ja-jp/azure/storage/files/storage-files-faq#billing-and-pricing

抜粋：共有スナップショットは、本質的に増分です。基本の共有スナップショットは、共有そのものです。それ以降の共有スナップショットはすべて増分であり、先行する共有スナップショットとの差分のみが格納されます。変更されたコンテンツに対してのみ、請求されます。共有に 100 GiB のデータがあり、最新の共有スナップショットの後に 5 GiB だけが変更された場合、共有スナップショットは追加の 5 GiB のみを消費し、請求は 105 GiB に対して行われます。

↑補足：上記の 「105 GiB」は「Azure Files共有のデータ100 GiB」 + 「Azure Files スナップショットのデータ 5 GiB 」です。

余談ですが、、、検索して出てくる下記のTokyo Electron Device さんの記事は一回目のスナップショットの動作に関しての内容が間違ってると思います。
(もし関係者のかたがいらっしゃったら修正してくださればと思います。)
・TED社_Azure基本の「き」_Azure Files のスナップショット

今回リリースされた Azure Files バックアップ(Vault Tier) の仕組み

一言で言えば、データの保存先がその Azure Files のスナップショット領域ではなく、Backup専用のストレージ(コンテナ( Recovery Services コンテナー/ Recovery Services vaults ))に保存されるようになりました。
なのでソースのストレージアカウントが破損してもリストアすることが可能です。
以下現在の仕様です。(プライベートプレビューなので変わる可能性はあります。)

現在、英国西部、ノルウェー東部、東アジア、英国南部、カナダ中部、米国中西部、オーストラリア東部、北ヨーロッパ、米国中部、東日本、東南アジア、スイス北部、西ヨーロッパで利用できます。
ストレージアカウントと Recovery Services コンテナーは同じリージョンに存在していないといけません。
プライベートプレビューでのバックアップでサポートされるファイル共有の最大サイズ (使用容量) は 500 GB です。この制限は、今後のリリースで増える予定。
コンテナー内のバックアップを使用したファイル共有単位での回復のみがサポートされます。そのため、ソースストレージアカウント内の別のストレージアカウントまたは別のファイル共有への復元を実行できます。(いままでは特定のファイルのみを復元することも可能でした。)
ネットワークアクセスが制限されているストレージアカウントは現在サポートされていません。ストレージアカウントのすべてのネットワークからのアクセスが有効になっていることが必要。
コンテナーに転送されるスケジュールバックアップは 1 日に 1 つだけ。(スケジュールバックアップ以外にオンデマンドバックアップで取ったものはVaultに転送されます)
現状はクロスリージョンリストアには非対応(ですが、将来的に対応する可能性がある気がします)

1.) データの分離コピー。これにより、バックアップを使用してシームレスな復元を実行することで、ソースデータが侵害された場合でもビジネスの運用を続行できます。

2.) 最大 99 年間の長期保有。監査とコンプライアンスの要件を満たすことができます。

3.) 暗号化され保護されたバックアップ。ランサムウェア保護が提供されます。

4.) 一元的なバックアップ管理。バックアップセンターを使用します。

上記URLのリンクからプライベートプレビュー登録して、下記のようなのメールが来て2~3日で使えるようになります。

つかってみる

下記の専用URLから Azure Portal にログインする

https://aka.ms/afshardening

ポリシー設定

要点だけまとめると、、以下のような感じです。

Recovery Services コンテナーを新規作成する必要はない。
バックアップポリシーはVault Tier のバックアップポリシーを新規作成する必要がある
Backup 構成されていない Azure Files 共有が必要 (すでに Azure Files Backup の構成(Snapshot Tier)が取られた Azure Files に対しては新たに作成したVault Tier を紐づけることはできない。)

【参考】
Azure Files Backup の構成(Snapshot Tier)が取られた Azure Files に対しては新たに作成したVault Tier を紐づけようとすると下記のエラーがでる

エラー コード
File shares backed up with the policy that retains backups only as snapshots cannot be associated with a policy that enables data transfer to the vault.
推奨される操作
Please protect an unprotected file share with the policy that enables data transfer to the vault.