ニフクラ ブログ

ニフクラやクラウドの技術について、エンジニアが語るブログです。

プライベートブリッジとAcronisを併用した東西リージョン間のバックアップ検証

こんにちは、富士通クラウドテクノロジーズの吉崎です。

ニフクラでは、対応リージョン内のプライベートLAN同士を接続することで、インターネットを経由するよりもセキュアかつ高速に通信を行うことができる「プライベートブリッジ」サービスを2019年12月より提供しています。今回はこのプライベートブリッジを経由し、「Acronis Backup Cloud for ニフクラ」を用いて東日本リージョンに構築したサーバーのバックアップデータを西日本リージョンに構築したサーバーに保存する検証を行いました。

最終的には図1のような構成となっております。

f:id:TechnicalAccountEngineer:20200916104014p:plain
図1.今回検証したインフラの構成

本ブログでは、その構成手順と検証結果を解説します。また、Acronisの登録・設定に関してお問い合わせをいただくこともありますので、構成手順の中でその設定方法についてもご紹介します。

前提条件

本ブログは、以下の前提知識がある方を想定しています。

  • ニフクラの基本的なコントロールパネルの操作、サービスを利用する知識
    (サーバー作成、ネットワーク構築など)
  • 基本的なサーバーOSを構築する知識

利用リソース

今回の検証を実施するにあたり、利用したニフクラのリソース情報を以下に記載します。

※各リソースのアクセス制限に関しては、ニフクラのファイアウォール等を用いて適切に設定を行った上で実施しています。

ニフクラ利用リソース

サービス 数量
サーバー 3台
標準ディスク 100GB
プライベートLAN 1台
プライベートブリッジ 1台
Acronis Backup Cloud for ニフクラ 1台

サーバー

名前 OS グローバルNIC プライベートNIC 備考
WebAP CentOS 7.6 LANEast WebAP サーバー用途
DB CentOS 7.6 LANEast DBサーバー用途
BackUp Windows Server 2019 Std 64bit LANWest バックアップ保存用のバックアップサーバー

プライベートLAN

名前 CIDR 備考
LANEast 192.168.1.0/24 WebAPサーバーのセグメントおよびプライベートブリッジ接続用
LANWest 192.168.1.0/24 プライベートブリッジ接続用

プライベートブリッジ

リーチャビリティ 接続情報
jp-east-1 LANEast
jp-west-1 LANWest

構成手順

東日本リージョンにあるWebAPサーバーのバックアップ先を西日本リージョンに構築します。

構築の大まかな流れは以下の通りです。

  1. 西日本リージョンにバックアップサーバーを作成(ニフクラ)
  2. プライベートLAN作成(ニフクラ)
  3. プライベートブリッジ接続(ニフクラ)
  4. 必要なアプリケーションのインストール(WebAP:Linux OS)
  5. Acronisのインストール(WebAP:Linux OS)
  6. Acronisにサーバーを登録(Acronis)
  7. 保護計画の作成(Acronis)

さらにバックアップ検証手順の大まかな流れは以下の通りです。

  1. バックアップの取得検証(Acronis)
  2. データの復旧検証(Acronis)

1. 西日本リージョンにバックアップサーバーを作成(ニフクラ)

以下の手順を参考に、西日本リージョンにバックアップ用のWindowsサーバーを構築します。 また、バックアップデータの保存用に100GBの標準ディスクを増設します。

2. プライベートLAN作成(ニフクラ)

以下の手順を参考に、東日本リージョンのWebAPサーバー・西日本リージョンのWindowsサーバーをプライベートLANに接続します。

3. プライベートブリッジ接続(ニフクラ)

以下の手順を参考に、東日本リージョン・西日本リージョンのプライベートLANにプライベートブリッジを接続します。

実際にブリッジが接続されているか、東西間でPingを飛ばし確認してください。

Acronisインストール・登録

注意:今回はAcronis Cyber Cloud バージョン20.07 でインストールを行いました

4. 必要なアプリケーションのインストール(WebAP:Linux OS)

1.AcronisのWeb管理コンソールにログインします
2.インストールファイルをダウンロードします

  • デバイスすべてのデバイス追加サーバーLinux
  • Cyber_Protection_Agent_for_Linux_x86_64.binがダウンロードされます

3.LinuxサーバーにCyber_Protection_Agent_for_Linux_x86_64.binをアップロードします

  • 今回は踏み台経由でLinuxにアクセスしたので、以下のコマンドを用いてファイルを転送しました
scp -P 22 -i SSH_KEY.pem Cyber_Protection_Agent_for_Linux_x86_64.bin USER_NAME@XXX.XXX.XXX.XXX:/USER_NAME/

※グローバルIPアドレスはXXX.XXX.XXX.XXXでマスクしてあります

4.Linuxに必要なファイルをインストールします

5.セキュリティの更新およびPerlのインストールを行います

yum -y install dnf
dnf check-update
dnf upgrade
reboot
yum install perl

5. Acronisのインストール(WebAP:Linux OS)

1.Acronisエージェントモジュールのインストールを行います

sh Cyber_Protection_Agent_for_Linux_x86_64.bin

2.インストール画面が起動するので、for Linuxを選択しNextを押下します(↑↓キー・Tabキーで選択します)

f:id:TechnicalAccountEngineer:20200827150809p:plain
図2. for Linuxを選択しNext
エージェントをセットアップするのに必要なパッケージがない場合はインストールを要求されます

3.Acronisのパッケージをインストールするかどうか聞かれますのでContinueを選択します

f:id:TechnicalAccountEngineer:20200827151059p:plain
図3. Continueを選択

4.セットアップを完了するためにはサーバーをCyber Protection serviceに登録する必要がありますので、Show registration infoを選択し、登録コードを表示します

f:id:TechnicalAccountEngineer:20200827151657p:plain
図4. Show registration infoを選択する
次にコードを控え、AcronisのWeb管理コンソールで登録処理を行います

f:id:TechnicalAccountEngineer:20200909164044p:plain
図5. 登録コードを控える

6. Acronisにサーバー登録

1.AcronisのWeb管理コンソールにログインします

  • デバイスすべてのデバイス追加登録

f:id:TechnicalAccountEngineer:20200909162752p:plain
図6. 登録ボタンを押下

2.登録コードの入力フォームが表示されますので、先ほど控えたコードを入力し登録を行います

コードを確認登録を確認

f:id:TechnicalAccountEngineer:20200909171152p:plain
図7. 「登録を確認」を押下

3.登録が完了すると、Linuxの画面には登録が完了したことを示す画面が表示されますので、Exitを選択してインストールを終了します

f:id:TechnicalAccountEngineer:20200827153058p:plain
図8. Exitを選択して終了

【備忘】

今回、バックアップ先の共有フォルダ指定箇所が上手く行かず初回バックアップが失敗しました。
原因を調べてみるとSMB v3.x でのアクセスが正常に行えず(※)、SMB での接続でPermission denied が返されているためにマウントエラーが発生していたと分かりました。バックアップ先を指定するにあたり、今回はSMBバージョン指定を変更することで解決できましたので、その作業内容を記載しておきます。

1. /usr/sbin/acronis_mms に次の記述を追加します

#!/bin/bash

ここに追記します

[ -r /usr/lib/Acronis/system_libs/8.2.1/config ] && . /usr/lib/Acronis/system_libs/8.2.1/config
  • SMB v2 を指定
    • export ASAMBA_MOUNT_OPTS=vers=2.0

2.設定後サーバーを再起動し、バックアップを実行します。

※SMB v3.xでのアクセス不可事象について、今回は深く追っておりませんので全ての環境で同じ事象が発生するとは限りません。共有フォルダパスのミス・認証設定(sec)の明示的指定有無・パスワードミスなどが原因として挙げられます。

7. 保護計画の作成(Acronis)

1.登録した仮想マシンの保護計画を作成する

デバイスすべてのデバイス先ほど登録した仮想マシンの右側にある歯車のマーク→保護新しい保護計画

f:id:TechnicalAccountEngineer:20200909164408p:plain
図9. 歯車のマークを押下する

2.新しい保護計画を次の設定にします

項目 設定内容
バックアップの対象 マシン全体
バックアップ先 //XXX.XXX.XXX.XXX/バックアップ先の共有フォルダ/
スケジュール 月曜日から金曜日 16:15に行う
保持する期間 月単位: 6 月 週単位: 4 週 日単位: 7 日
暗号化 OFF
アプリケーションバックアップ 無効
バックアップオプション 変更

※ただし、バックアップ先サーバーのプライベートIPアドレスをXXX.XXX.XXX.XXXでマスクしてあります。

3.さらに、バックアップ先項目の右側にある鍵のマークを押下します

f:id:TechnicalAccountEngineer:20200910111315p:plain
図10. 鍵のマークを押下する

4.バックアップサーバーのログイン情報を入力→OKを押下します。

f:id:TechnicalAccountEngineer:20200909164541p:plain
図11. バックアップサーバーのログイン情報を入力する

5. 適用を押下します。

  • 以上でAcronisによるバックアップの設定が完了しました。

バックアップ検証

1. バックアップの取得検証

1.この後の復旧検証のため、バックアップ元サーバーのホームディレクトリにtestファイルを作成しておきます

f:id:TechnicalAccountEngineer:20200910111858p:plain
図12. 復旧検証ようにtestファイルを作成する

2.先ほど行った設定でバックアップを実行します - 今すぐバックアップ新しい保護計画

f:id:TechnicalAccountEngineer:20200909164709p:plain
図13. バックアップ計画の実行
- 無事にバックアップが完了すると、共有フォルダにバックアップデータが作成されます

f:id:TechnicalAccountEngineer:20200910111933p:plain
図14. バックアップデータが作成される
f:id:TechnicalAccountEngineer:20200909164853p:plain
図15. バックアップサーバー側でも同じデータが確認できる

以上で、東日本リージョンから西日本リージョンへのバックアップが取得できることを確認できました

2. データの復旧検証(Acronis)

取得したバックアップからWebAPサーバーを復旧させることができるかどうか検証します

1.先ほど作成したtestファイルを削除します

f:id:TechnicalAccountEngineer:20200910112312p:plain
図16. testファイルを削除した

2.AcronisのWeb管理コンソールにアクセスします

3.登録した仮想マシン復元

f:id:TechnicalAccountEngineer:20200901174204p:plain
図17. 復元を押下

4. 復元ファイル/フォルダ

f:id:TechnicalAccountEngineer:20200909165302p:plain
図18. 「ファイル/フォルダ」を選択

5. sda3roottest復元

f:id:TechnicalAccountEngineer:20200909165516p:plain
図19. 復元を押下

6. パス元のロケーション復元を開始

7.既存のファイルが古い場合は上書きするマシンの自動的な再起動の項目のチェックを外します→実行

8. 無事に復元が完了すると以下の画面が表示されます

f:id:TechnicalAccountEngineer:20200909165750p:plain
図20. 復元完了画面

9.また、仮想マシン側にもデータが復元できたことが確認できます

f:id:TechnicalAccountEngineer:20200910112804p:plain
図21. バックアップデータが復元された

以上により、Acronisからファイル単位でデータを復元できることが検証できました

まとめ

今回はプライベートブリッジを経由し東日本リージョンにあるサーバーのバックアップを西日本リージョンにあるサーバーに取得する手順をご紹介しました。
バックアップをインターネット経由で取得する場合、データの漏洩やネットワーク帯域不足となるリスクがあります。しかしプライベートブリッジを用いれば、そのデータはインターネットを経由することはなくなるので、セキュアに且つ高速で安定したネットワーク環境を構築することができます。
なお、プライベートブリッジのネットワーク帯域は基本的にはベストエフォートでの提供となりますが、帯域確保オプションを利用することで、より安定したネットワーク帯域でのデータのやり取りも可能になります。

東西リージョンにまたがってバックアップを取得したい際には、このようにプライベートブリッジを経由した構成もご検討いただければ幸いです。