ディザスタリカバリのためのクロスアカウントボールトレプリケーションの有効化 - Cloud Backup

アカウントの誤管理によるデータ損失を防ぐ、または複数の企業アカウントからバックアップを一元化するために、クロスアカウントバックアップボールトレプリケーションを構成できます。この機能により、他のアカウントが共有するレプリケーションターゲットボールトを選択し、バックアップデータのクロスアカウントディザスタリカバリを実現できます。必要に応じて、他のアカウントのレプリケーションターゲットボールトから迅速にデータを復元できます。

背景情報

Cloud Backup はリソース共有およびリソースディレクトリを使用して、柔軟かつ制御されたクロスアカウントバックアップデータ管理を可能にします。

説明

レプリケーションターゲットボールトは、バックアップボールトレプリケーションの送信先です。他のリージョンまたはアカウントからレプリケートされたバックアップデータを格納し、クロスリージョンまたはクロスアカウントのディザスタリカバリおよびデータ復元に使用されます。詳細については、「ボールトタイプ」をご参照ください。

業務部門のアカウント内のデータは Cloud Backup によって保護されていますが、データセキュリティやコンプライアンスの要件により、業務部門のデータの追加コピーを保存するための専用バックアップ管理アカウントが必要になる場合があります。業務部門のアカウントが、キー漏洩、誤ったデータ削除、支払い遅延、または業務調整などのセキュリティリスクにより侵害された場合でも、バックアップ管理アカウント内にバックアップデータが残っているため、復元が可能です。これにより、業務継続性とデータ復元が確保されます。クロスアカウントバックアップボールトレプリケーションを構成することで、業務部門のアカウントからバックアップ管理アカウントへバックアップデータを自動的に同期できます。この方法により、効率的かつコンプライアンスに準拠したクロスアカウントデータ保護が実現されます。

仕組み

宛先アカウントからソースアカウントに対してレプリケーションターゲットボールトを共有した後、ソースアカウント内のバックアップボールトに対してバックアップボールトレプリケーションを構成できます。レプリケーションを構成する際には、共有されたレプリケーションターゲットボールトを選択します。ソースバックアップボールトの標準ストレージ階層にある既存および新規のすべてのバックアップデータは、非同期レプリケーションを通じて、宛先アカウントのレプリケーションターゲットボールトに継続的かつ安全に同期されます。レプリケーションターゲットボールトはソースバックアップボールトの読み取り専用レプリカとして機能し、ディザスタリカバリおよび高可用性に使用されます。クロスアカウントバックアップボールトレプリケーションを使用するには、リソース共有を使用して権限を付与する必要があります。リソースディレクトリから共有を開始することも可能です。

レプリケーションプロセス全体はバックグラウンドで自動的に実行され、手動での介入は不要です。このメカニズムにより、データ整合性が保証されるとともに、クロスリージョンネットワーク遅延と伝送効率のバランスを取りながら、許容可能な目標復旧時点 (RPO) を達成し、ほとんどのビジネスシナリオにおけるディザスタリカバリ要件を満たします。

ソースアカウントのバックアップボールト内のデータが失われた場合、レプリケーションターゲットボールトから迅速に復元ジョブを開始し、重要なアプリケーションおよびデータを再構築できます。このプロセスにより、業務継続性が効果的に確保されます。

クォータと制限

クロスアカウントバックアップボールトレプリケーションをサポートするリージョンについては、「リージョン別の機能」をご参照ください。
クロスアカウントバックアップボールトレプリケーションをサポートするデータソースは、ECS ファイル、OSS、オンプレミス NAS、File Storage NAS、Tablestore、CPFS、ローカルファイル、および SAP HANA です。
重要
ECS インスタンスのデータソースについては、バックアップポリシー内でクロスリージョンレプリケーションのみを有効化できます。
以下のボールトタイプでは、クロスアカウントバックアップボールトレプリケーションはサポートされていません：OSS バックアップ (30 日間無料トライアル)、NAS バックアップ (30 日間無料トライアル)、Tablestore バックアップ (30 日間無料トライアル)、レプリケーションターゲットボールト、アーカイブボールト、データベースバックアップボールト、コンテナバックアップボールト。また、ERROR などの異常状態にあるボールトでもこの機能はサポートされていません。
単一のアカウントが各リージョンで作成できるレプリケーションターゲットボールトの最大数は 5 つです。
レプリケーションターゲットボールトから VMware 仮想マシンを復元することはできません。
レプリケーションターゲットボールトは、レプリケートされたデータの保存および復元専用であり、バックアッププランを構成してその中にバックアップを作成することはできません。
クロスアカウントバックアップボールトレプリケーションを構成すると、レプリケーションターゲットボールト内のバックアップポイントのライフサイクルはソースボールトと同じになります。ライフサイクルを変更することはできません。
ソースバックアップボールトで自動アーカイブを有効化した場合、ソースボールトのアーカイブストレージ階層にあるデータはレプリケーションターゲットボールトに同期されません。ソースバックアップボールトの標準ストレージ階層にあるデータがアーカイブストレージ階層に移動されると、レプリケーションターゲットボールト内の対応するデータも削除されます。
ソースバックアップボールトを削除するには、まずクロスアカウントバックアップボールトレプリケーションを停止する必要があります。レプリケーションを停止した後、ソースバックアップボールトを削除しても、レプリケーションターゲットボールトは削除されません。
レプリケーションターゲットボールト内のバックアップポイントはバックアップポリシーに関連付けられていません。レプリケーション関係が停止されると、レプリケーションターゲットボールト内のバックアップポイントは、ソースバックアップボールトに設定された保存期間に基づいて自動的に削除されます。手動で削除することも可能です。ソースバックアップボールトのバックアップポリシーで少なくとも 1 バージョンを保持するよう設定されていても、この設定はレプリケーションターゲットボールトには適用されません。レプリケーションターゲットボールト内のバックアップポイントの保存期間を変更することはできません。
ソースバックアップボールトがフルマネージド Cloud BackupまたはKMS暗号化方式を使用している場合、レプリケーションターゲットボールトも同じ暗号化方式を使用する必要があります。

前提条件

ソースバックアップボールトのストレージボールトのタイプは汎用バックアップである必要があり、宛先ボールトのストレージボールトのタイプはレプリケーションターゲットボールトである必要があります。ボールトタイプの確認方法については、「ボールト管理」をご参照ください。バックアップボールトは、[ボールト管理] ページ、バックアップポリシーの作成時、またはバックアップソースのバックアップボールト構成時に作成できます。
リソースディレクトリを使用して組織内でリソースを共有するには、次の操作を完了してください：
- レプリケーションターゲットボールトの所有者およびプリンシパルは、同一のリソースディレクトリに属している必要があります。
- リソースディレクトリを有効化する必要があります。詳細については、「リソースディレクトリの有効化」、「フォルダの作成」、「メンバーの作成」、「Alibaba Cloud アカウントをリソースディレクトリに招待」、および「メンバーの移動」をご参照ください。
- リソースディレクトリに対してリソース共有が有効になっていることを確認してください。有効になっていない場合は、「リソースディレクトリ内での共有の有効化」をご参照ください。

操作手順

[ボールト管理] ページまたはポリシーセンターでクロスアカウントバックアップボールトレプリケーションを有効化できます。この機能を有効化すると、ソースバックアップボールトの標準ストレージ階層にある既存および新規のすべてのバックアップデータが、自動的にレプリケーションターゲットボールトに同期されます。

説明

ポリシーの作成または編集時にバックアップボールトレプリケーションを有効化する方法については、「ポリシーセンター」をご参照ください。

ステップ 1：宛先アカウントにレプリケーションターゲットボールトを作成する

クロスアカウントバックアップボールトレプリケーションの送信先として、レプリケーションターゲットボールトを作成します。

宛先アカウントのCloud Backup コンソール > ボールト管理ページに移動します。リポジトリ管理ページで、宛先リージョンを選択します。
レプリケーションターゲットボールトの作成をクリックします。

レプリケーションターゲットボールトの作成パネルで、レプリケーションターゲットボールトのパラメーターを構成します。

パラメーター	説明
Vault Name	レプリケーションターゲットボールトの名前を入力します。
Vault Description	レプリケーションターゲットボールトの説明を入力します。
Vault Resource Group	レプリケーションターゲットボールトが属するリソースグループを選択します。
Vault Encryption Method	重要レプリケーションターゲットボールトの暗号化方式は、ソースバックアップボールトの暗号化方式と同一である必要があります。レプリケーションターゲットボールトの暗号化方式を選択します。デフォルト値はCloud Backup 完全管理で、バックアップサービスが提供する暗号化方式を使用します。ソースバックアップボールトが Alibaba Cloud KMS サービスのカスタムキーを使用して暗号化されている場合は、KMSをクリックし、KMS Key IDを選択します。Use KMS Aliasチェックボックスをオンにすると、KMS キーのエイリアスを KMS Key ID の識別子として使用できます。詳細については、「KMS キーの選択」をご参照ください。

OKをクリックします。

ステップ 2：宛先アカウントからソースアカウントにリソースを共有する

重要

レプリケーションターゲットボールトを他のアカウントと共有した場合、レプリケーションターゲットボールトを所有するアカウントが発生するすべてのストレージおよびトラフィック料金を負担します。リソースを共有する前に、潜在的なコストリスクを評価してください。

リソース共有ユニットを作成して、宛先アカウントのリソースをソースアカウントと共有します。

宛先アカウントのCloud Backup コンソール > ボールト管理ページに移動します。リポジトリ管理ページで、宛先リージョンを選択します。
レプリケーションターゲットボールトの操作列にある ┇ アイコンにマウスポインターを合わせ、リソース共有を選択します。

[リソース共有ユニットへのリソース追加] パネルで共有情報を構成し、OKをクリックします。

現在のリソースを既存のリソース共有ユニットに追加し、そのプリンシパルおよび権限を再利用する場合は、既存から選択をクリックして、既存のリソース共有ユニットを選択します。
システムは、リソース共有ユニット内の共有リソース、プリンシパル、および関連付けられた権限の一覧を表示します。

初めてリソースを共有する場合、または権限を分離する必要がある場合は、新しいリソース共有ユニットの作成をクリックして、共有パラメーターを構成します。パラメーターの詳細については、「リソース共有ユニットの作成」をご参照ください。

パラメーター	説明
Resource Share Name	リソース共有ユニットの名前です。
Principal Scope	プリンシパルの範囲を選択します。有効な値は次のとおりです。任意のアカウントとリソースを共有：リソース所有者は、任意のプリンシパルとリソースを共有できます。リソースディレクトリ内でのみリソースを共有：リソース所有者は、リソースディレクトリ内でのみリソースを共有できます。つまり、管理アカウントまたはリソースディレクトリのメンバーは、リソースディレクトリ自体、そのフォルダ、およびそのメンバーとリソースを共有できます。
Principals	プリンシパルを指定します。リソースディレクトリから追加または手動で追加できます。プリンシパルのタイプには、Alibaba Cloud アカウント、リソースディレクトリ組織、またはフォルダ (組織単位) が含まれます。重要リソースディレクトリが有効化されていない場合、指定された Alibaba Cloud アカウントとのみリソースを共有できます。リソースディレクトリから追加の方法は、リソースディレクトリが有効化されている場合にのみサポートされます。指定された Alibaba Cloud アカウント (UID) とリソースを共有する追加方法を手動で追加に設定します。次に、プリンシパルタイプを Alibaba Cloud アカウントに設定し、プリンシパル IDを設定して、OKをクリックします。リソースディレクトリ内のすべてのメンバーアカウント (新規メンバーを含む) とリソースを共有する次のいずれかの方法を使用できます。追加方法をリソースディレクトリから追加に設定します。次に、リソースディレクトリ組織を選択して、OKをクリックします。追加方法を手動で追加に設定します。次に、プリンシパルタイプをリソースディレクトリ組織に設定し、リソースディレクトリ IDを設定して、OKをクリックします。指定されたフォルダ内のすべてのメンバー (新規メンバーを含む) とリソースを共有する次のいずれかの方法を使用できます。追加方法をリソースディレクトリから追加に設定します。次に、フォルダを選択して、OKをクリックします。追加方法を手動で追加に設定します。次に、プリンシパルタイプをフォルダ (組織単位)に設定し、フォルダ IDを設定して、OKをクリックします。フォルダ ID の形式：fd-文字列。フォルダ ID の取得方法については、「フォルダ ID の取得」をご参照ください。
Associated Permissions	プリンシパル (バックアップボールトユーザー) の権限を構成します。Cloud Backup のレプリケーションターゲットボールトには、デフォルトで AliyunRSDefaultPermissionHBRVault という 1 つの権限のみが対応しています。関連付けられた権限を変更することはできません。権限の詳細については、リソース共有コンソールの権限ライブラリをご参照ください。

新しいリソース共有ユニットを作成してリソースを共有する場合、ソースアカウントでリソース共有の招待を承諾する必要があります。
1. ソースアカウントのResource Management コンソール > リソース共有 > 共有されたリソースページに移動します。自分に対して共有されたリソースページで、対象のリソース共有ユニットのステータス列の承諾をクリックします。
2. リソース共有の承諾ダイアログボックスで、OKをクリックします。
  招待を承諾すると、プリンシパルはリソース共有ユニット内のリソースにアクセスできるようになります。このリソース共有ユニットに新たに追加されたリソースは、デフォルトで承諾されます。

ステップ 3：ソースアカウントでバックアップボールトレプリケーションを構成する

クロスアカウントバックアップボールトレプリケーションを構成し、ソースアカウントから宛先アカウントのレプリケーションターゲットボールトにデータをレプリケートします。

ソースアカウントのCloud Backup コンソール > ボールト管理ページに移動します。リポジトリ管理ページで、ソースバックアップボールトが配置されているリージョンを選択します。
操作列の対象バックアップボールトで、ボールトレプリケーションの構成をクリックします。
[ボールトレプリケーションの開始] パネルで、レプリケーションターゲットボールトの選択をクリックします。次に、宛先ボールトが配置されているリージョンおよびステップ 1 で作成した共有レプリケーションターゲットボールトを選択します。
OKをクリックします。
構成が完了すると、Cloud Backup はソースバックアップボールトの既存データの同期を開始します。宛先アカウントのリージョンで同期の進捗状況を確認できます。同期が完了すると、ソースバックアップボールト内のすべてのデータがレプリケートされます。

クロスアカウントバックアップボールトレプリケーションの停止

重要

クロスアカウントバックアップボールトレプリケーションを停止すると、レプリケーション関係を再開することはできません。慎重に操作してください。レプリケーションターゲットボールトはデタッチされ、データ復元専用となります。

クロスアカウントバックアップボールトレプリケーションを停止するには、ソースバックアップボールトが配置されているリージョンに移動し、ソースバックアップボールトの操作列でボールトレプリケーションの停止をクリックして、操作を確定します。

クロスアカウントバックアップボールトレプリケーションを停止すると、ソースバックアップボールトからの新規データはレプリケーションターゲットボールトにレプリケートされなくなります。すでにレプリケーションターゲットボールトにレプリケートされたデータは、引き続き復元に使用できます。

重要

バックアップボールトを削除すると、ボールト内のすべてのバックアップデータが削除されます。対応するバックアップは復元できなくなります。慎重に操作してください。

クロスアカウントバックアップボールトレプリケーションを停止した後、必要に応じて次の操作を実行してください。

レプリケーションターゲットボールト内のデータを削除する：[復元ジョブの作成] ページでレプリケーションターゲットボールトを選択し、バックアップデータを削除します。
レプリケーションターゲットボールトに対してバックアップロック機能を有効化する：これにより、保存期間が満了する前にバックアップデータが誤って削除されたり、ランサムウェア攻撃を受けたりするのを防止できます。
ソースバックアップボールト内のデータを削除する：ソースバックアップボールトが配置されているリージョンに移動し、ソースバックアップボールトの操作列にある ┇ アイコンにマウスポインターを合わせ、削除を選択します。操作を確定してボールトを削除します。

課金

クロスアカウントバックアップボールトレプリケーションを使用すると、ストレージ容量料金が発生します。バックアップボールトとレプリケーションターゲットボールトが異なるリージョンにある場合、クロスリージョンレプリケーショントラフィック料金も発生します。レプリケーションターゲットボールトを所有するアカウントが、レプリケーションターゲットボールトのストレージ容量料金およびクロスリージョン・クロスアカウントレプリケーションによって発生するトラフィック料金を負担します。
リソースプラン購入ガイドを参照し、サブスクリプションリソースプランを購入してストレージ容量料金を相殺することを推奨します。クロスリージョンレプリケーショントラフィック料金は、従量課金方式でのみ支払うことができます。
レプリケーションターゲットボールトを使用して、同一リージョン内のリソースにデータを復元する場合、Cloud Backup は料金を請求しません。
インターネット経由でオンプレミス NAS ファイルシステムまたはローカルサーバーにデータを復元する場合 (VPN または専用回線を使用しない場合)、インターネットアウトバウンドトラフィック料金が発生します。トラフィック料金は、実際に復元されたデータ量に基づいて課金されます。詳細については、「オンプレミス NAS 復元料金」および「ローカルサーバーファイル復元料金」をご参照ください。

料金の詳細については、「Cloud Backup 料金」をご参照ください。

よくある質問

クロスアカウントバックアップボールトレプリケーションは課金対象の機能ですか？

この機能自体は無料です。レプリケーションに使用されるレプリケーションターゲットボールトのストレージ容量に対して料金が発生します。レプリケーションがクロスリージョンで行われる場合、トラフィック料金も発生します。レプリケーションターゲットボールトを所有するアカウントが、ストレージ容量料金およびトラフィック料金の両方を負担します。詳細については、「課金」をご参照ください。

クロスアカウントバックアップボールトレプリケーションとクロスアカウントバックアップの違いは何ですか？それぞれのユースケースは何ですか？

クロスアカウントバックアップボールトレプリケーションとは、すでにバックアップを実行してバックアップデータを生成しているソースアカウントが、そのバックアップボールトデータを別の Alibaba Cloud アカウントにレプリケートし、バックアップデータの冗長性やクロスアカウント利用を実現するものです。

クロスアカウントバックアップとは、バックアップ運用アカウントが他のアカウントのバックアップポリシーを一元的に管理し、他のアカウントのバックアップデータをバックアップ運用アカウントに保存するものです。バックアップ運用アカウントは、このバックアップデータを使用して必要に応じてデータを復元し、バックアップデータの一元管理を実現します。

どちらの方法も、企業のデータセキュリティおよびコンプライアンスのために広く使用されています。自社の具体的なニーズに基づいて方法を選択できます。また、両方の方法を組み合わせることで、バックアップデータの一元管理とバックアップデータの冗長性の両方を実現できます。

クロスアカウントバックアップボールトレプリケーションの同期頻度を設定できますか？

たとえば、ソースバックアップボールトは 1 日 1 回バックアップされますが、レプリケーションターゲットボールトは週に 1 回だけ同期させたい場合です。

いいえ、設定できません。 ソースバックアップボールトのデータは、レプリケーションターゲットボールトに継続的にレプリケートされます。

Cloud Backup:クロスアカウントバックアップボールトレプリケーション