オンプレのファイルサーバをVPN経由でAzureBackupによりバックアップする構成の注意点
やりたいこと
以下のように、プライベート通信環境でファイルサーバのバックアップをAzure上に保存したい
オンプレのファイルサーバ(windos server) → VPN → Azure Private Endpoint → Azure Backup
はまりかけたこと
・「オンプレファイルサーバ ⇔ Azure Backup」間の通信は、何も考えずに構成すると、インターネット経由となる(クラウドだしね)
・「オンプレファイルサーバ ⇔ Azure Backup」間の通信を、プライベート経由としようとすると、DNSを使って経路を変える必要がある
・Azure Backup用のプライベートエンドポイントのFQDNに対応するAレコードを、オンプレDNSサーバに設定することで、「オンプレファイルサーバ ⇔ Azure Backup」がプライベート経由になると思っていた
・しかしながら、プライベートエンドポイントFQDNは変更する可能性があるとのこと(MSサポート曰く)。そのため、FQDNが変更される度に、オンプレDNSサーバのAレコード設定変更をする必要があるため、運用的に現実的ではない(オンプレDNSサーバでAレコードの設定を変更するまで、バックアップが失敗する可能性がある)
対処策
・FQDNで使われる可能性がある以下のドメイン対する名前解決要求があった場合に、Azure Private Resolverに転送するようにオンプレDNSで設定
privatelink.jpw.backup.windowsazure.com
privatelink.queue.core.windows.net
privatelink.blob.core.windows.net
構成
こんな感じで、Azure Private ResolverとAzure Private DNSゾーン を設定して、FQDNに対する名前解決を、Azure側にゆだねる (Azure Private DNSゾーンとAzure Private Endpointを紐づける設定も必要 → これによりAzure Private Endpointに対するFQDNが追加されても、Azure Privae DNSゾーンにレコードが自動的に追加されるようになる)
費用が高くなる
上記構成だと、「Azure Private ResolverとAzure Private DNSゾーン」の費用が追加で発生するため、利用料が高くなります。
そもそも論になってしまいますが、個人的には、「オンプレファイルサーバ ⇔ Azure Backup」間の通信はインターネット経由でいいのではないかと思います。理由は以下です(セキュリティ観点のみです)
・ファイルサーバーとRecovery Services コンテナー間の通信は暗号化されている(https)
・クレデンシャルにより、RecoveryServiceコンテナへのアクセス元をファイルサーバーのみに制限可能