AWS Backup Gateway でオンプレミス VMware VM を保護 - ハイブリッドバックアップ戦略

vSphere 環境にゲートウェイをデプロイし、オンプレミスの VMware VM を AWS Backup のバックアッププランで一元管理する。クロスリージョンコピーによる DR 対策も紹介します。

Backup Gateway の概要

Backup Gateway はオンプレミスの VMware 仮想マシンを AWS Backup で保護するゲートウェイサービスです。AWS Backup が EC2RDSEFS などの AWS リソースのバックアップを一元管理するのに対し、Backup Gateway はオンプレミスの VMware VM をその管理対象に追加します。vSphere 6.7.x 以降の環境に対応し、ESXi ホスト上で稼働する仮想マシン単位でバックアップを取得します。ゲートウェイは HTTPS (ポート 443) 経由で AWS と通信するため、既存のファイアウォール環境でも導入しやすい設計です。バックアップデータは転送時および保存時に暗号化され、オンプレミスの VM イメージがセキュアな経路で AWS に保管されます。

デプロイとバックアップ

Backup Gateway アプライアンスは OVA テンプレートとして vSphere にデプロイし、AWS アカウントにアクティベーションします。アプライアンス VM の推奨リソースは vCPU 4 コア以上、RAM 8 GB 以上、ローカルディスク 80 GB 以上です。デプロイ後に AWS マネジメントコンソールでアクティベーションキーを入力し、ゲートウェイを登録します。vCenter Server のハイパーバイザーを登録すると、管理下の VM が AWS Backup コンソールに表示されます。バックアッププランで VM のスケジュール (毎日 2:00 AM)、保持期間 (30 日)、クロスリージョンコピーを定義します。初回バックアップはフルイメージを転送し、2 回目以降は CBT (Changed Block Tracking) を活用した増分バックアップで差分ブロックのみを転送するため、ネットワーク帯域と時間を大幅に削減できます。リストアは VM 全体を vSphere に復元するか、個別のファイルを取得できます。

バックアップポリシーと復元

Backup Gateway で取得した VM バックアップは AWS Backup のバックアッププランで管理します。日次バックアップを 30 日間保持し、月次バックアップを 1 年間保持するライフサイクルポリシーを設定できます。コールドストレージへの移行ルールを追加すれば、長期保持分のストレージコストをさらに削減可能です。復元時は AWS Backup コンソールからリカバリポイントを選択し、オンプレミスの VMware 環境に VM を復元します。復元先は元のホストに限らず、同じ vCenter で管理されている別の ESXi ホストも指定できます。クロスリージョンコピーで DR 用のバックアップを別リージョンに保持し、リージョン障害時の復旧に備えます。バックアップの暗号化は AWS 管理キーまたはカスタマー管理キーで設定します。 Backup Gateway のデータ管理を理解するうえで関連書籍 (Amazon)が参考になります。

具体的なユースケース

Backup Gateway は以下のシナリオで特に効果を発揮します。第一に、オンプレミスの vSphere 環境と AWS 上のワークロードを単一のバックアップコンソールで管理したい場合です。Backup Gateway を導入すれば、既存のテープバックアップやサードパーティ製品を段階的に廃止しながら AWS Backup へ移行できます。第二に、リージョン障害を想定した DR 環境の構築です。オンプレミスの本番 VM を日次で AWS に転送しておけば、オフィス拠点の災害時にも AWS 上でワークロードを復旧でき、RTO (目標復旧時間) を数時間単位に短縮できます。第三に、コンプライアンス要件によるデータ保持義務への対応です。AWS Backup Vault Lock を組み合わせると、保持期間中のバックアップ削除を禁止する WORM (Write Once Read Many) ポリシーを適用でき、規制要件を満たすデータアーカイブを実現します。

他のバックアップ方式との比較

オンプレミス VMware VM のバックアップ手法として、Backup Gateway 以外にも選択肢があります。Veeam や Commvault などのサードパーティ製品は多機能ですが、ライセンスコストが高く、管理用サーバーを個別に維持する負担が発生します。一方、Backup Gateway は AWS Backup の一部として動作し、AWS アカウント内で追加のバックアップインフラを構築する必要がありません。AWS Storage Gateway (ボリュームゲートウェイ) をバックアップ用途に流用する方法もありますが、こちらは VM 単位ではなくブロックストレージ (iSCSI) 単位で動作するため、VM 全体のスナップショット管理やリカバリポイント選択の操作性では Backup Gateway に劣ります。まとめると、VM 粒度のバックアップと AWS Backup の一元管理を両立したい場合に Backup Gateway が適しており、ブロックストレージレベルのレプリケーションや既存の多機能バックアップ製品が必須な環境では別の手法が適切です。

Backup Gateway の料金

Backup Gateway のバックアップストレージは 1 GB あたり月額約 0.05 ドルです。復元は 1 GB あたり約 0.02 ドルです。ゲートウェイ VM 自体はオンプレミスのリソースで動作し、AWS 側の追加料金は発生しません。コールドストレージへ移行したバックアップはストレージ単価がさらに低くなりますが、復元時のウォームアップに追加料金と時間がかかる点に注意が必要です。バックアップの保持期間とライフサイクルポリシーを適切に設定し、不要なバックアップの長期保持を避けることでストレージコストを管理します。増分バックアップで変更ブロックのみを転送し、ストレージ使用量とネットワーク転送量を最小化します。なお、クロスリージョンコピーを有効にした場合は転送先リージョンでのストレージ費用とデータ転送料 (リージョン間) が追加で発生します。

まとめ

Backup Gateway はオンプレミスの VMware 仮想マシンを AWS Backup で一元管理するサービスです。vSphere 環境にゲートウェイをデプロイし、バックアッププランで日次・月次のスケジュールとライフサイクルを定義します。CBT を活用した増分バックアップでネットワーク負荷を抑えつつ、クロスリージョンコピーで DR 用バックアップを確保します。Vault Lock との組み合わせでコンプライアンス要件にも対応でき、クラウドとオンプレミスのデータ保護を統合的に管理できます。