VMware Cloud on AWS で AWS Backup を利用する

企業などの組織は、重要なデータを保護し、データを復元できるようにするため、データ保護やアーカイブのソリューションを利用しています。ハイブリッドアーキテクチャに移行するにつれて、データが様々な場所やプラットフォームに分散されるようになり、このような複雑性に対応できるバックアップソリューションが課題となっています。

インフラストラクチャの自動的なプロビジョニングと、クラウドをベースにしたリモートバックアップとリカバリのソリューションが登場したことにより、クラウドネイティブなワークロードに適合する高度なデータ保護とバックアップ戦略を採用できるようになりました。

VMware Cloud on AWS は、VMware によるエンタープライズグレードの SDDC (Software-Defined Data Center) と、Amazon Web Services (AWS) のグローバルインフラストラクチャ上で稼働する Amazon Elastic Compute Cloud (Amazon EC2) ベアメタルインスタンスを統合した、共同開発によるフルマネージドサービスです。この統合によって、仮想マシン (VM) をリプラットフォームすることなく、ワークロードを VMware Cloud on AWS にシームレスに移行することができます。

一方 AWS Backup は、さまざまな AWS サービスのデータバックアップを一元化および自動化するフルマネージドバックアップサービスです。re:Invent 2021 において、VMware をサポートすることが発表され、VMware Cloud on AWS、VMware Cloud on AWS Outposts、オンプレミスの VMware で稼働する仮想マシンについてもデータ保護を一元化および自動化できるようになっています。

さらに 2022 年 6 月、VMware ワークロード向けの AWS PrivateLink のサポートが加わりました。VMware 環境から、Virtual Private Cloud (VPC) のプライベートインターフェースエンドポイントを介して、 AWS Backup に直接アクセスすることができます。

この記事では、VMware Cloud on AWS で実行されるワークロードを保護するために、プライベートインターフェース VPC エンドポイント (AWS PrivateLink) を用いて AWS Backup を利用する際、考慮すべきアーキテクチャ設計について説明します。

ソリューションの概要

AWS Backup は VMware vSphere と統合されており、AWS エコシステム内での仮想マシンのバックアップのスケジューリング、管理、保存を可能にします。バックアップを異なる AWS リージョンやアカウント間でコピーすることもできる、事業継続とランサムウェア攻撃からの保護のための包括的なソリューションです。手動または指定されたスケジュールに従って、バックアップを作成することができます。

最初のバックアップの復旧ポイントは仮想マシンの完全なスナップショットで構成されます。その後のバックアップは増分で、最後のバックアップ以降の変更分のみを取得します。さらに、バックアップをウォームストレージ層から、より経済的なコールドストレージ層に自動的に移行することでコストを削減します。

デフォルトでは、仮想マシンのアプリケーション整合性を保持したバックアップを実現するために、VMware Tools の静止設定を使用します。VMware Tools が利用できない場合には、クラッシュ整合性バックアップを取得します。ネットワークの転送効率を高めるため、バックアップは圧縮されて転送されます。

AWS ではセキュリティが最優先事項であり、AWS Backup は強固な暗号化対策を採用しています。仮想マシンのバックアップは、非常に安全な AES-256 暗号化アルゴリズムを使用して、転送中と保管時に暗号化されます。カスタマーマネージドキーを使用してクラウドに保存されたバックアップを暗号化することで、セキュリティを強化できます。

図 1 – VMware Cloud on AWS と AWS Backup の統合アーキテクチャ

図 1 に示すように、VMware Cloud on AWS 上で動作する AWS Backup ゲートウェイアプライアンスに接続するためのインターフェース VPC エンドポイントが、Connected VPC がある AWS アカウントで実行されます。

AWS Backup を実行するための前提条件を詳しく説明する前に、AWS Backup の基本的な用語を確認しておきましょう。

• AWS Backup ゲートウェイアプライアンス： VMware Cloud on AWS 上で動作し、AWS Backup インターフェース VPC エンドポイントを通じて、AWS Backup コントロールプレーンにプライベート接続します。バックアップゲートウェイは ESXi ホストとの通信を確立し、VMware vCenter Server を介して、すべての仮想マシンを検出し、仮想マシンスナップショットを取得したり、データのバックアップとリストアを管理します。
• AWS Backup インターフェース VPC エンドポイント： AWS Backup ゲートウェイアプライアンスから AWS Backup コントロールプレーンにプライベートでアクセスできます。
• AWS Backup バックアップボールト： バックアップデータを保管および整理するコンテナです。クロスリージョンコピーにより、事業継続やコンプライアンス要件のために、本番データから離れた場所にある複数のバックアップボールトにデータを保管することができます。

前提条件

AWS Backup インターフェース VPC エンドポイントを使用して、VMware Cloud on AWS のために AWS Backup をデプロイするには、いくつかの前提条件があります。

• VMware Cloud on AWS SDDC で、vCenter Server の FQDN 解決アドレスを プライベート IP アドレス に設定します。
• VMware Cloud on AWS SDDC の管理ゲートウェイ (MGW) とコンピューティングゲートウェイ (CGW) のデフォルトのドメインネームシステム (DNS) ゾーンが、組織内部の DNS サーバーを利用するように構成されていることを確認します。
• vCenter へのアクセスを許可するために、前提条件となるファイアウォールルールを設定します。
• AWS Backup ゲートウェイアプライアンス用のコンピュートネットワークセグメントを作成します。
• AWS Backup サービスを実行する AWS アカウントを指定します。
• AWS Backup インターフェース VPC エンドポイントをホストする VPC を指定します。
• SDDC 上で動作する AWS Backup ゲートウェイアプライアンスと、以下のいずれかにある AWS Backup インターフェース VPC エンドポイント間のネットワーク接続を確認します。
  • Connected VPC： クロスアカウント Elastic Network Interface を使用して、接続が確立されています。 (作業は必要ありません)
  • その他の VPC： VMware Transit Connect の外部 VPC アタッチメントを使用して VPC 接続を構成します。

• AWS Backup の仮想マシンのサポートを有効化します。

作業手順

ステップ 1 ：インターフェース VPC エンドポイントを作成する

以下の手順に従って、AWS Backup サービスに接続するインターフェース VPC エンドポイントを作成します。

• Amazon VPC コンソールのナビゲーションペインで、エンドポイントを選択し、エンドポイントを作成をクリックします。

図 2 – Amazon VPC コンソールからエンドポイントを作成

• サービスカテゴリで AWS のサービスを選択し、サービスは com.amazonaws.ap-northeast-1.backup-gateway (東京リージョンの場合) を検索して選択します。

図 3 – AWS Backup ゲートウェイインターフェースのエンドポイントを選択

• VPC では、AWS Backup インターフェース VPC エンドポイントを作成する VPC を選択します。サブネットでは、AWS Availability Zone (AZ) ごとに 1 つのサブネットを選択します。 セキュリティグループでは、デフォルト以外の適切なセキュリティグループを選択します。
• ポリシーでは、フルアクセスまたはカスタムを選択して、組織の AWS セキュリティポリシーと一致する VPC エンドポイントポリシーをアタッチし、エンドポイントを作成をクリックします。
• インターフェース VPC エンドポイントが作成されたら、DNS 名を記録します。

図 4 – インターフェース VPC エンドポイントの DNS 名を記録

ステップ 2 ：AWS Backup ゲートウェイを導入する

手順に従って、AWS Backup ゲートウェイを作成します。

• AWS Backup コンソールのナビゲーションペインで、外部リソースセクションのゲートウェイを選択し、ゲートウェイを作成をクリックします。

図 5 – AWS Backup コンソールから AWS Backup ゲートウェイを作成

• ゲートウェイを設定セクションで、OVF テンプレートをダウンロードをクリックし、指示に従って AWS Backup ゲートウェイアプライアンスをデプロイします。
• OVF で仮想マシンをデプロイしたら、パワーオンを行います。
• これらの手順を実行するために使用するマシンや踏み台サーバーが、AWS Backup ゲートウェイアプライアンスに到達可能なネットワークに接続されていることを確認します。そうでない場合は、SDDC の NSX Manager からパブリック IP アドレスを使用して受信ネットワークアクセス変換 (NAT) ルールを構成することで、ネットワークの疎通を確保します。パブリック IP アドレスを忘れずに記録してください。
• ゲートウェイの設定手順に進みます。ゲートウェイ接続セクションで、前の手順で設定した仮想マシンの IP アドレスを指定し、組織の命名規則に従ってゲートウェイ名を設定します。
• エンドポイントのタイプで VPC でホストを選択し、前の手順で作成した VPC エンドポイントを選択します。インターフェース VPC エンドポイントを作成し、ゲートウェイタグセクションに必要なタグ (オプション) を追加します。最後に、ゲートウェイを作成をクリックします。

図 6 – AWS Backup ゲートウェイを構成し、インターフェースのエンドポイントを選択

ステップ 3 ：AWS Backup ゲートウェイに vCenter ハイパーバイザーを追加する

手順に従って、VMware Cloud on AWS SDDC の vCenter Server をハイパーバイザーとして AWS Backup ゲートウェイに追加します。

• AWS Backup コンソールのナビゲーションペインで、外部リソースセクションのハイパーバイザーを選択し、ハイパーバイザーを追加をクリックします。

図 7 – AWS Backup ゲートウェイにハイパーバイザーを追加

• ハイパーバイザーの設定では、ハイパーバイザー名、vCenter サーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN)、vCenter のユーザー認証情報、組織のポリシーに一致する暗号化キー (AWS 所有またはお客様所有) を指定します。デフォルトの SDDC 管理者 (cloudadmin@vmc.local) を使用するか、必要な VMware の権限を持つサービスアカウントを作成して使用することもできます。

図 8 – 認証情報とともにハイパーバイザー (vSphere) を指定

• ドロップダウンリストボックスから前の手順で作成したゲートウェイを選択します。次に、ゲートウェイ接続テストを実行してハイパーバイザーが正常に接続されていることを確認します。
• ハイパーバイザーのタグ (オプション) および VMware タグマッピング (オプション) では必要なタグを追加し、ハイパーバイザーを追加をクリックします。デフォルト以外の AWS Identity and Access Management (IAM) ロールを使用する場合には、kms:Decrypt アクションが含まれていることを確認し、AWS Backup が AWS Key Management Service (AWS KMS) のカスタマーマネージドキーを使用してハイパーバイザーの認証情報を暗号化および復号化できるようにします。
• ハイパーバイザーが正常に追加され、接続ステータスがオンラインであることを確認します。

ステップ 4 ：VMware Cloud on AWS のファイアウォールルールを追加する

手順に従って、AWS Backup ゲートウェイと SDDC の ESXi ホスト間の通信を確保します。この手順は、AWS Backup のプロビジョニングと操作を適切に機能させるために必要です。

• VMware Cloud コンソールから SDDC の NSX Manager にログインし、セキュリティタブからゲートウェイファイアウォールに移動します。管理ゲートウェイのファイアウォールに対して以下のようにルールを追加します。
  • 送信元： AWS Backup ゲートウェイアプライアンス
  • 宛先： ESXi
  • サービス： プロビジョニングとリモートコンソール ( 902 ) 、HTTPS ( 443 )

ベストプラクティス

VMware Cloud on AWS ワークロードに対する AWS Backup 導入に関して、以下に推奨事項を記載します。

• 導入においては AWS Backup インターフェースの VPC エンドポイントを常に使用し、パイロットや PoC の場合でもパブリックにアクセス可能なエンドポイントは利用しないようにします。
• 可能な限り、AWS Backup インターフェースの VPC エンドポイントを connected VPC 内に作成してください。VMware Transit Connect または AWS Transit Gateway を使用して AWS Backupインターフェースの VPC エンドポイントにアクセスすると、想定外のデータ処理コストの増大を招く可能性があります。
• アベイラビリティゾーン (AZ) 間のデータ転送コストを回避するために、AWS Backup のインターフェース VPC エンドポイントが、VMware Cloud on AWS SDDC と同じアベイラビリティゾーン (AZ) にある VPC サブネットに作成されていることを確認してください。
• 以下の要素に関連するコストを評価して管理します。
  • インターフェース VPC エンドポイントを通じて処理されるデータの GB あたりのコスト
  • ウォーム/コールド ストレージの 1 GB /月あたりのバックアップコスト
  • ウォーム/コールド ストレージの 1 GB /月あたりのリストアコスト
  • アイテムごとのリストア費用 (仮想マシンまたはディスクごと)
  • クロスアベイラビリティゾーン (AZ) 料金 (該当する場合)
  • クロスリージョン料金 (リージョンをまたがるバックアップボールトの場合)
  • AWS Backup 監査マネージャのコスト (オプション)
• 必須ではありませんが、関連するタグを利用することを推奨します (ゲートウェイ、ハイパーバイザー、VMware タグマッピングなど) 。タグを使用すると、ユーザーが定義したキーと値をメタデータとして割り当てることができます。タグは、目的、所有者、環境、その他の条件に基づいて、リソースの管理、識別、整理、検索、フィルタリングを支援します。
• AWS Backup は AES-256 暗号化アルゴリズムを採用していますが、カスタマーマネージドキーの自動キーローテーションを有効にすることを推奨します。

まとめ

AWS Backup は、複雑なバックアップインフラストラクチャを導入および管理することなく、AWS 上の VMware Cloud で稼働する仮想マシンを保護するソリューションです。
仮想マシン向け AWS Backup の詳細につきましては、製品ページをご覧ください。

VMware Cloud on AWS、AWS Backup の実装、設計、ベストプラクティスに関するガイダンスについては、お気軽にお問合せください。

翻訳をソリューションアーキテクトの Furuya が担当しました。原文はこちらです。

リソース

• VMware と VMware Cloud on AWS のための AWS Backup
• AWS Backup 製品ドキュメント
• AWS Backup の価格
• AWS Backup for VMware ローンチブログ