Cloud Service
Azure Backup
VM やファイル、データベースのバックアップをエージェントレスで一元管理し、保持ポリシーと復元をクラウドに集約するマネージドサービス。AWS の AWS Backup に相当。
- 1.VM・ファイル・DB のバックアップを Recovery Services コンテナーに集約。
- 2.ポリシーで取得頻度と保持世代を一元管理し、必要時に復元する。
- 3.AWS Backup 相当。インフラ不要でオフサイトに保護する。
解決する課題
自前でバックアップサーバーやテープを運用せず、VM・ファイル・データベースのバックアップ取得と保持、そして復元をクラウドに任せたい場面で使います。
- VM やデータをインフラを持たずにバックアップし、別の場所(オフサイト)に保護したい
- 複数のリソースのバックアップを1か所のポリシーで一元管理したい
- ランサムウェアや誤削除に備え、**過去の時点へ復元(リストア)**できるようにしたい
- 取得頻度・保持世代・暗号化などの要件を標準化された運用として揃えたい
主要概念と用語
- Recovery Services コンテナー: バックアップデータと復元ポイント、ポリシーを格納する管理単位。多くのワークロードの保護先になる
- バックアップコンテナー(Backup vault): 新しいワークロード(PostgreSQL、ディスク、Blob、AKS など)向けの管理単位。Recovery Services コンテナーとは別系統
- バックアップポリシー: 取得のスケジュール(頻度)と保持期間(日次・週次・月次・年次の世代)を定義したルール
- 復元ポイント(リカバリーポイント): ある時点のバックアップ。ここから復元する
- MARS エージェント: オンプレや VM 上のファイル・フォルダーをバックアップする Azure Recovery Services エージェント
- MABS / DPM: アプリ整合バックアップに対応するバックアップサーバー。中継して Azure に転送する
- GRS / ZRS / LRS: コンテナーのストレージ冗長性。地理冗長(GRS)にすると別リージョンへも複製される
- 論理的な削除(ソフト削除): 削除したバックアップを一定期間保持し、誤削除や悪意ある削除から復旧できる仕組み
仕様・制限・クォータ
- 保護対象は Azure VM、ファイル・フォルダー(MARS)、SQL Server in Azure VM、SAP HANA、Azure Files、Azure Blob、Azure Managed Disk、PostgreSQL など多岐にわたる
- 取得頻度はワークロードにより異なり、VM は標準で日次、拡張ポリシーでより短い間隔も選べる。ファイルやアプリはより細かい間隔に対応する
- 保持は日次・週次・月次・年次を組み合わせ、長期保持にも対応する
- コンテナーのストレージ冗長性は LRS / ZRS / GRS から選ぶ。GRS ではリージョン復元が可能になる
- エージェントレスで動く対象(Azure VM など)と、エージェント / バックアップサーバーが必要な対象(オンプレのファイルやアプリ)がある
内部の仕組み
Azure Backup は、対象ワークロードごとに最適な方式でデータを取得し、復元ポイントとしてコンテナーに保存します。Azure VM の場合はゲスト内にエージェントを常駐させず、ディスクのスナップショットを取得してからコンテナーへ転送するエージェントレス方式です。スナップショット取得時にアプリの整合性(アプリ整合・ファイル整合・クラッシュ整合)を確保し、初回はフル、以降は増分で変更分だけを転送するため効率的です。
オンプレのファイルやアプリは、MARS エージェントや MABS / DPM サーバーを介して取得し、Azure のコンテナーへ送ります。保持ポリシーに従って古い復元ポイントが自動的に削除され、世代管理が行われます。
- マネージドディスクの増分スナップショットが単一ディスクの保護なのに対し、Azure Backup はポリシーによる世代管理と一元的な復元まで含めて担う
- データはコンテナーの冗長性設定(LRS / ZRS / GRS)に従って複製され、GRS なら別リージョンにも保持される
- バックアップデータはサービス側で暗号化され、ユーザーが直接ストレージを操作する必要がない
設計パターン / ベストプラクティス
- ポリシーの標準化: 環境(本番・検証)やワークロード種別ごとにバックアップポリシーを定義し、リソースに一括適用する
- 長期保持で年次世代を確保: コンプライアンス要件があるデータは月次・年次の保持を組み合わせ、長期の復元ポイントを残す
- GRS + リージョン復元: リージョン障害に備える重要ワークロードは GRS コンテナーにし、別リージョンへ復元できるようにする
- アプリ整合バックアップ: データベースは SQL / HANA 向けの拡張、または MABS / DPM を使い、復元後すぐ使える整合性を確保する
- 不変・ソフト削除の有効化: ランサムウェア対策として、論理的な削除や不変コンテナーを有効にしておく
個々のディスクの素早い複製はマネージドディスクのスナップショット、サイト全体の事業継続(DR)は Azure Site Recovery、ポリシーに基づく定期バックアップと世代管理・復元は Azure Backup と役割が異なります。
運用・監視
- バックアップセンターで、複数コンテナー・サブスクリプションをまたいでジョブの成功・失敗やコンプライアンス状況を一覧できる
- Azure Monitor / アラートでジョブ失敗を検知し、通知する。組み込みのバックアップレポートで傾向やストレージ消費を把握する
- 失敗時は、エージェントのバージョン、スナップショット取得の整合性、ネットワークやアクセス権を確認する
- 復元テストを定期的に行い、復元ポイントから実際にリストアできることを検証しておく
ジョブが成功していても、実際に復元できなければ意味がありません。定期的な復元テストと、保持世代が要件を満たしているかの確認をセットで運用しましょう。
コスト
課金は主に、保護するインスタンス(保護対象)の数と、コンテナーに保存されるバックアップストレージの使用量で決まります。冗長性や保持期間が増えるほど保存コストが上がります。
| コスト要因 | 内容 | 抑える工夫 |
|---|---|---|
| 保護インスタンス料 | 保護対象ごとに発生 | 不要な対象の保護を解除する |
| ストレージ使用量 | 復元ポイントの保存容量 | 増分取得と適切な保持で削減 |
| 冗長性 | GRS は地理冗長の分だけ割高 | 要件に応じ LRS / ZRS を選ぶ |
| 保持世代 | 長期保持ほど容量が増加 | 世代数を要件に合わせる |
- 過剰な保持世代や不要に高い冗長性を避け、要件に合わせてポリシーを調整する
- 使われていない保護対象を放置すると課金が続くため、棚卸しして解除する
セキュリティ
- バックアップデータはサービス側で保存時暗号化される。要件に応じて Key Vault のカスタマー管理キーも利用できる
- **論理的な削除(ソフト削除)**により、削除されたバックアップを一定期間保持し、誤削除や悪意ある削除から復旧できる
- **多要素の保護(重要操作の認可)**で、削除や保持短縮などの危険な操作に追加認証を要求できる
- 操作は Microsoft Entra ID + RBAC(Backup Contributor / Operator / Reader など)で最小権限に制御する
- ネットワークはプライベートエンドポイントでコンテナーへのアクセスを閉域化できる
バックアップを単一リージョンの LRS だけで保持し、削除保護も有効にしないのは危険です。リージョン障害やランサムウェアによる削除でバックアップごと失われかねません。重要データは GRS(または ZRS)+ ソフト削除 + 重要操作の追加認可で保護しましょう。
Well-Architected の観点
- 信頼性(Reliability): ポリシーに基づく定期バックアップと GRS による地理冗長で、データ損失やリージョン障害に備える。復元テストで復旧可能性を担保する
- オペレーショナルエクセレンス(Operational Excellence): バックアップセンターによる一元監視と、ポリシーの標準適用で運用を自動化・統一する。アラートで失敗を早期に検知する
- セキュリティ面では、ソフト削除や重要操作の追加認可によって、運用上の事故と攻撃の双方からバックアップ自体を守る
試験で問われるポイント
- Recovery Services コンテナーがバックアップ・復元ポイント・ポリシーの格納先である、という基本構造
- Azure Backup(定期バックアップ・世代管理) と Azure Site Recovery(DR・レプリケーション) の役割の違い
- Azure VM はゲスト内エージェント不要のエージェントレスでバックアップできる点
- コンテナーの冗長性(LRS / ZRS / GRS)と、GRS によるリージョン復元の関係
- ソフト削除や重要操作の追加認可でバックアップを削除から保護できること
- 課金は主に保護インスタンス数とバックアップストレージ使用量で決まること
関連サービス・比較
Azure Backup は、AWS の AWS Backup に相当する一元バックアップ管理サービスです。ポリシーで複数リソースの保護をまとめる点が共通します。
| 観点 | Azure Backup | AWS Backup |
|---|---|---|
| 位置づけ | バックアップの一元管理 | バックアップの一元管理 |
| 管理単位 | Recovery Services コンテナー | バックアップボールト |
| 保護対象の例 | VM・Files・SQL・ディスク・Blob | EC2・EBS・EFS・RDS・DynamoDB |
| ポリシー | バックアップポリシーで頻度と保持を定義 | バックアッププランで頻度と保持を定義 |
| 地理冗長 | GRS でリージョン復元 | リージョン間コピー |
| 削除保護 | ソフト削除・重要操作の追加認可 | Vault Lock |
「複数リソースのバックアップをポリシーで一元管理する」役割は Azure Backup ≒ AWS Backup。サイト全体の災害復旧は Azure では Azure Site Recovery、AWS では別途 DR 構成が担います。
ハンズオン / CLI例
# リソースグループを作成
az group create --name demo-rg --location japaneast
# Recovery Services コンテナーを作成
az backup vault create \
--resource-group demo-rg \
--name demo-vault \
--location japaneast
# コンテナーのストレージ冗長性を地理冗長(GRS)に設定
az backup vault backup-properties set \
--resource-group demo-rg \
--name demo-vault \
--backup-storage-redundancy GeoRedundant
# 既存の VM を既定ポリシーで保護有効化
az backup protection enable-for-vm \
--resource-group demo-rg \
--vault-name demo-vault \
--vm demo-vm \
--policy-name DefaultPolicy
# オンデマンドでバックアップを実行
az backup protection backup-now \
--resource-group demo-rg \
--vault-name demo-vault \
--container-name demo-vm \
--item-name demo-vm \
--retain-until 14-07-2026
# 復元ポイントを一覧表示
az backup recoverypoint list \
--resource-group demo-rg \
--vault-name demo-vault \
--container-name demo-vm \
--item-name demo-vm -o table
Azure Service
Azure Backupを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
ストレージ
比較で見る軸
クラウド: Azure / カテゴリ: ストレージ / 難易度: basic
導入後に効く点
ポリシーで取得頻度と保持世代を一元管理し、必要時に復元する。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
- クラウド
- Azure
- カテゴリ
- ストレージ
- 難易度
- basic
- 関連資格
- —
- 設計柱
- reliability / operational
判断チェックリスト
- 自社の用途が「ストレージ / reliability」に近いか確認する。
- 強みである「VM・ファイル・DB のバックアップを Recovery Services コンテナーに集約。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。