インターフェイス エンドポイントを使用した Amazon S3 へのバックアップ

オンプレミス環境からクラウドへのバックアップは、多くのケースではインターネット経由ではなくプライベートにアクセスする環境を構築されることが多いのではと思います。オンプレミス環境をセキュアにバックアップする方法として、インターフェイス エンドポイントを利用した Veeam バックアップについて確認した内容を紹介します。

東京エレクトロンデバイスのエンジニア Testuyas です。
これまでの投稿で、Veeam Backup & Replication v12 ( VBR )を用いて、オンプレミス環境からクラウドストレージへパブリック インターフェイス経由でバックアップする方法について記載してきました。

Amazon S3 のような AWS サービスはインターネット経由でのアクセスが標準ですが、VPC エンドポイントを使用し AWS PrivateLink を介して、プライベート サブネットから通信することが可能です。AWS PrivateLink は、オンプレミス ネットワークから仮想プライベートクラウド ( VPC ) を経由して Amazon S3 への接続を、外部へトラフィックを非公開にしてプライベートに行うことを可能にします。

Amazon S3 では、ゲートウェイ エンドポイントとインターフェイス エンドポイント( AWS PrivateLink を使用) の2種類の VPC  エンドポイントを使用でき、ゲートウェイ エンドポイントは追加料金なしで使用できますが、オンプレミス ネットワークからのアクセスには対応していません。追加料金が必要ですが、インターフェイス エンドポイントを使用して環境を構築します。

Amazon S3 へのインターフェイスエンドポイント経由 バックアップ環境構築

オンプレミスの環境を VBR12 を使って Amazon S3 へバックアップするケースを想定し、以下の順で環境を構築していきます。

①Amazon Web Service で S3 バケット作成
②インターフェイス エンドポイントを作成
③VBR での環境設定
④Amazon S3 バケットポリシーを設定
⑤Amazon S3 バケットを VBR のオブジェクト ストレージ リポジトリとして追加

 

①Amazon Web Service で S3 バケット作成

AWS マネージメントコンソールにサインインして、Amazon S3 でバケットを作成します。バケット名は「tedcn-test-backup-001」としています。なお、バケット名は一意にする必要があります。

②インターフェイス エンドポイントを作成

AWS マネージメントコンソールの VPC ダッシュボードで「エンドポイント」を選択したあと、「エンドポイントを作成」をクリックし、インターフェイス エンドポイントを作成していきます。

まず『エンドポイントの設定』では、サービスカテゴリ で「AWS のサービス」が選択されていることを確認します。「名前タグ」はオプションですが、作成した後の一覧表示の際に判りやすいので、今回は入力しておきます。

『サービス』では、検索ボックスに 利用するAWS サービスの “ s3 ” と入力してフィルターをかけ、表示されたサービスから、サービス名が「 s3 」、タイプが「 Interface 」と表示されているものを選択します。

『 VPC 』では、S3 へアクセスする VPC を選択します。※ VPC は事前に作成が必要です。

『サブネット』では、S3 にアクセスするサブネットを選択します。選択したサブネットにはエンドポイントのネットワーク インターフェイス（ Elastic Network Interface：ENI ）が作成され、デフォルトでは、サブネットの IP アドレス範囲から一つの IP アドレスが割り当てられます。※サブネットは事前の作成が必要です。

『セキュリティグループ』では、VPC エンドポイントのネットワーク インターフェイス（ ENI ）に関連付けるセキュリティグループを選択します。

『ポリシー』については、今回デフォルトの「フルアクセス」のままにしておきます。

以上の設定を入力し「エンドポイントを作成」を実行します。作成が完了すると、エンドポイントの一覧に作成したエンドポイントが表示されます。

作成したエンドポイントの詳細を表示して、手順 ④ で必要となるエンドポイント DNS 名を確認しておきます。
サブネットのタブでは、ENI に IPv4 のアドレスが割り当てられていることも確認できます。

オンプレミス側の VBR で、エンドポイントの DNS 名が名前解決されることを確認します。

③VBR での環境設定

VBR 側で必要な設定を実施します。 これにより VBR を AWS PrivateLink 経由でオブジェクトストレージリポジトリに接続させることができます。　こちらは、以下のメーカーサイトを参考に実施します。

How to Connect to an Object Storage Repository via AWS PrivateLink / Direct Connect
https://www.veeam.com/kb4226?ad=in-text-link

まず、VBR 管理サーバーで下記のレジストリ値を作成し、AmazonS3Regions.xml ファイルが自動更新されるのを無効にします。このファイルには、リージョンとそれぞれのエンドポイントのリストが含まれていて、リージョンのエンドポイントを変更すると、VBR でそのリージョンが選択されているときに、VBR が特定のエンドポイントに強制的に接続するようになります。

キーの場所： HKLM\SOFTWARE\Veeam\Veeam Backup and Replication\
値の名前    ：  CloudRegionsDisableUpdate
値の種類    ：  DWORD (32 ビット) 値
値のデータ：  1

次に、VBR 管理サーバー上の AmazonS3Regions.xml ファイルを編集します。

ファイルパス：C:\Program Files\Veeam\Backup and  Replication\Backup\AmazonS3Regions.xml

ファイルを開いて、Amazon S3 を利用する AWS のリージョン (ここでは” Tokyo ”) が記載されている箇所を見つけます。

例
<Region Id=”ap-northeast-1″ Name=”Asia Pacific (Tokyo)” Type=”Global”>

その周辺に <Endpoint Type=”s3″> と記載されている行があれば、既存の DNS 値を手順②で作成したエンドポイント DNS 名に書き換えます。その際 “*(アスタリスク)”は「bucket」に置き替えます。

例
(変更前)
<Endpoint Type=”S3″>s3.dualstack.ap-northeast-1.amazonaws.com</Endpoint>
<Endpoint Type=”S3″>s3-ap-northeast-1.amazonaws.com</Endpoint>

(変更後)
<Endpoint Type=”S3″>bucket.vpce-0ca70592869acb47c-wkdelae2.s3.ap-northeast-1.vpce.amazonaws.com</Endpoint>

変更したリージョンのセクションに、他にも <Endpoint Type=”S3″> の記載がある場合は、書き換えた行だけを残してすべて削除し、ファイルを保存します。

VBR 内のすべてのタスクを停止し、「Veeam Backup サービス」を再起動して変更を適用します。再起動後は、VBR で Tokyo  リージョンを選択すると、指定されたエンドポイントに接続するようになります。 

④ Amazon S3 バケットポリシーを設定

AWS マネージメントコンソールで、インターフェイス エンドポイントを経由したアクセスのみ許可されるように、S3 バケット「tedcn-test-backup-001」にバケットポリシーを設定します。

◆「tedcn-test-backup-001」バケットポリシー設定

⑤Amazon S3 バケットを VBR のオブジェクト ストレージ リポジトリとして追加

VBR 管理サーバーのコンソール画面で、手順 ① で作成した S3 バケットをオブジェクト ストレージ リポジトリとして追加することができれば、バックアップジョブでオブジェクト ストレージ リポジトリへバックアップが出来る環境が構築できています。

ちなみに、AWS マネージメントコンソール側では、S3 バケット「tedcn-test-backup-001」に Veeam フォルダが作成されていることが確認できます。　

また、AWS マネージメントコンソールからファイルをアップロードしようとした場合には、設定したバケットポリシーにより失敗することも確認できました。

以上が、インターフェイス エンドポイントを利用したバックアップ環境構築について確認した内容紹介です。

まとめ

 今回触れていない VPC やサブネット、セキュリティ ゲートウェイなど事前に別途作成しておくものはありますが、インターフェイス エンドポイントを作成することは非常に簡単におこなえました。VBR でバックアップ環境を構築する際の参考になれば幸いです。

また、東京エレクトロンデバイスでは、今回のブログの内容以外にも様々なクラウドサービスや、ソリューションを展開しています。　是非、当社の「クラウドインテグレーションサービス」のページもご覧ください。