Azure App ServiceをはじめとしたAzureのPaaSサービスの一部は、パブリックアクセスを無効にしてプライベートエンドポイントを設定する事が出来ます。
これにより、パブリックインターネットを経由せずに、プライベートネットワークでクライアントが安全にアクセスできるようにする事が可能です。
しかし、Azure App Serviceでパブリックアクセスを無効にしている場合、カスタムバックアップの設定には注意すべきポイントがあり、考慮が漏れている場合はバックアップの取得が失敗する可能性があります。
本記事では、パブリックアクセスを無効にしてプライベート環境としているAzure App Seviceにて、バックアップを行う際の注意点をご紹介します。
Azure App Serviceのカスタムバックアップ
Azure App Serviceには、自動バックアップとカスタムバックアップの2種類があります。
自動バックアップはAzure App Serviceが構築された際に自動で定期的に実行されます。ストレージアカウントは不要ですが、バックアップのスケジュールをこちらで指定することは不可能であり、仮想ネットワーク経由でのバックアップはできません。
カスタムバックアップではストレージアカウントを事前に用意しておく必要がありますが、スケジュールを自身で設定することが可能であり、仮想ネットワーク経由でのバックアップが可能となります。
利用したい条件や用途によって、自動バックアップのまま運用するか、カスタムバックアップを設定するか、選択する必要があります。
環境設定のご紹介
今回ご紹介する環境では、Azure App Serviceと、カスタムバックアップの設定を行う際に必要となるストレージアカウントを構築したうえで、どちらもパブリックアクセスを無効にしてプライベートエンドポイント設定を行っています。
また、Azure App Serviceでは仮想ネットワーク統合を設定しています。
仮想ネットワーク統合
仮想ネットワーク統合とはどのような機能なのかをご紹介します。
Azure App Serviceでは基本的にパブリックIPアドレスがデフォルトで設定されており、仮想ネットワークは使用せずパブリックIPアドレス経由で通信を行うようになっています。
仮想ネットワーク統合を設定することで、Azure App Serviceからの通信(送信)を仮想ネットワークを介して通信ができるようになります。
そのため、今回ご紹介する環境同様にプライベートエンドポインを設定しているストレージアカウントを使用してカスタムバックアップを設定する場合は、Azure App Serviceからストレージアカウントへ通信が発生するため仮想ネットワーク統合を設定する必要があります。
※Azure App Serviceへの通信(受信)を仮想ネットワークを介して通信ができるようにするには、仮想ネットワークではなくプライベートエンドポイントを設定する必要があります。Azure App Serviceにプライベートエンドポイントを設定する手順については、別記事にて公開しておりますのでそちらをご覧ください。
【Azure App Service】Azure App Serviceにプライベート接続を行う - JBS Tech Blog
カスタムバックアップを設定する際の注意点
ここからは、プライベート環境にあるAzure App Serviceでカスタムバックアップを設定する際の注意点をご紹介します。
カスタムバックアップの構成には[仮想ネットワーク統合でのバックアップ/復元]という設定項目があります。
デフォルトでは無効ですが、ストレージアカウントにてパブリックアクセスを無効にしている環境では、こちらの設定を有効にする必要があります。
理由としては、Azure App Serviceのカスタムバックアップは通常パブリックインターネットを経由してストレージアカウントへバックアップを行うためです。
該当設定を有効化していない場合はストレージアカウント側でアクセスが拒否され、以下の通りアクセス拒否のエラーが発生してバックアップが失敗します。
該当設定を有効化することで、仮想ネットワーク経由でのバックアップが可能となります。有効化した後に実行したカスタムバックアップは問題なく取得できるようになります。
おわりに
今回はプライベート環境でAzure App Serviceのカスタムバックアップを利用する際の注意点をご紹介いたしました。
同様のエラーでお困りの方がいらっしゃいましたら、少しでもご参考になれば幸いです。
