<p><!--META { "title": "Azure Site RecoveryでオンプレミスDR計画：クラウドアーキテクトによる実践ガイド", "primary_category": "クラウド>Azure", "secondary_categories": ["DRP", "BCP", "ハイブリッドクラウド"], "tags": ["Azure Site Recovery", "ASR", "災害復旧", "VMware", "物理サーバー", "PowerShell", "Microsoft Entra ID"], "summary": "Azure Site Recoveryを活用したオンプレミス環境の災害復旧計画について、アーキテクチャ、設定、運用、セキュリティ、コスト最適化を解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"Azure Site Recoveryを使ったオンプレミスDR計画のすべてを解説。アーキテクチャからコスト最適化、セキュリティまで網羅。クラウドへのDRはこれで完璧！ #Azure #DR #SiteRecovery","hashtags":["#Azure","#DR","#SiteRecovery"]}, "link_hints": ["https://learn.microsoft.com/ja-jp/azure/site-recovery/site-recovery-vmware-to-azure","https://azure.microsoft.com/ja-jp/pricing/details/site-recovery/"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Azure Site RecoveryでオンプレミスDR計画：クラウドアーキテクトによる実践ガイド</h1> <p>オンプレミス環境における災害からの事業継続性（BCP）を確保する上で、クラウドベースの災害復旧（DR）ソリューションは費用対効果と柔軟性において大きなメリットをもたらします。Microsoft Azureが提供するAzure Site Recovery（ASR）は、オンプレミスの物理サーバーやVMware仮想マシンをAzureにレプリケーションし、災害発生時にAzure環境で復旧することを可能にするサービスです。本ガイドでは、クラウドアーキテクトの視点からASRを用いたオンプレミスDR計画の策定、実装、運用、および最適化について詳述します。</p> <h2 class="wp-block-heading">1. アーキテクチャ</h2> <p>Azure Site Recoveryを利用したオンプレミスDR計画のアーキテクチャは、オンプレミス環境とAzure環境のコンポーネントで構成されます。</p> <h3 class="wp-block-heading">オンプレミスコンポーネント</h3> <ul class="wp-block-list"> <li><p><strong>Configuration Server (構成サーバー)</strong>: オンプレミスにデプロイされる主要なコンポーネントで、ASRのコントロールプレーンとして機能します。レプリケーションの管理、Azureとの通信、回復サービスエージェント（Mobility Service）のインストール管理、レプリケーションポリシーの適用などを担当します。通常、専用のWindows Server VMとして構成されます[1]。</p></li> <li><p><strong>Process Server (プロセスサーバー)</strong>: Mobility Serviceからレプリケーションデータを受信し、キャッシュ、圧縮、暗号化を行った後、Recovery Services vaultに送信します。スケールアウトのために追加のプロセスサーバーをデプロイできます。通常、Configuration Serverに組み込まれていますが、大規模環境では独立してデプロイします[1]。</p></li> <li><p><strong>Mobility Service (モビリティサービス)</strong>: 保護対象となる各物理サーバーまたはVMware VMにインストールされるエージェントです。ソースマシン上のデータ変更をキャプチャし、Process Serverに送信します。</p></li> </ul> <h3 class="wp-block-heading">Azureコンポーネント</h3> <ul class="wp-block-list"> <li><p><strong>Recovery Services vault (回復サービスコンテナー)</strong>: Azure上にデプロイされ、Site RecoveryとAzure Backupの管理を一元化します。レプリケーションポリシー、回復計画、レプリケーションされたアイテム（VMware VMなど）が格納されます。</p></li> <li><p><strong>Storage Account (ストレージアカウント)</strong>: レプリケーションされたデータが一時的に格納されるキャッシュストレージとして機能します。レプリケーションが継続されると、最終的にマネージドディスクに変換されます。通常、Standard HDDまたはStandard SSDを利用します。</p></li> <li><p><strong>Virtual Network (仮想ネットワーク)</strong>: 災害時にフェールオーバーした際にVMが起動するAzure上のネットワーク環境です。本番環境のネットワーク構成を模倣し、IPアドレス範囲、サブネット、ネットワークセキュリティグループ（NSG）などを事前に定義しておく必要があります。</p></li> <li><p><strong>Managed Disk (マネージドディスク)</strong>: Azure VMのデータディスクとして使用されるストレージです。レプリケーションされたデータは最終的にこの形式で保持されます。</p></li> <li><p><strong>Azure VM</strong>: フェールオーバー時にRecovery Services vaultから復旧される仮想マシンインスタンスです。</p></li> </ul> <h3 class="wp-block-heading">全体アーキテクチャフロー</h3> <p>ASRはオンプレミスからAzureへの非同期レプリケーションを提供し、継続的なデータ同期を行います。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph LR subgraph オンプレミス環境 A["VMware VM/物理サーバー"] -- 1. Mobility Serviceで変更をキャプチャ --> B("Mobility Service") B -- 2. Process Serverに送信 --> C("Process Server") C -- 3. レプリケーションデータを圧縮/暗号化 --> D("Configuration Server") end subgraph Azure 環境 E["Recovery Services vault"] F("Azure Storage Account") G("Azure Managed Disk") H("Azure Virtual Network") I["Azure VM(\"DRサイト\")"] end D -- 4. HTTPS/TLS 1.2+で暗号化し送信 --> E E -- 5. データをFに書き込み --> F F -- 6. マネージドディスクに変換/更新 --> G E -- 7. フェールオーバー指示 --> I I -- 8. GとHに接続して起動 --> G I -- 9. GとHに接続して起動 --> H note on C Process Serverはキャッシュ、 圧縮、暗号化を処理。 end note on I フェールオーバー時に Azure VMとして起動 end </pre></div> <p><strong>図1: Azure Site RecoveryのオンプレミスDRアーキテクチャフロー</strong></p> <h2 class="wp-block-heading">2. 設定手順</h2> <p>ここでは、オンプレミスのVMware仮想マシンをAzureにレプリケーションする際の主要な設定手順をPowerShellを用いて示します。</p> <h3 class="wp-block-heading">前提条件</h3> <ul class="wp-block-list"> <li><p>Azure サブスクリプション</p></li> <li><p>Recovery Services vault の作成</p></li> <li><p>オンプレミスConfiguration Server のデプロイと登録</p></li> <li><p>保護対象VMにMobility Serviceがインストールされていること</p></li> </ul> <h3 class="wp-block-heading">2.1. レプリケーションポリシーの作成</h3> <p>レプリケーションのRPO（Recovery Point Objective）や保持期間を定義します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># Azure CLIとAz PowerShellモジュールがインストールされ、認証済みであることを前提とします # サブスクリプションとリソースグループの指定 $SubscriptionId = "your_subscription_id" $ResourceGroupName = "asr-dr-rg" $VaultName = "asr-rsvault" $PolicyName = "OnPremToAzurePolicy" $RecoveryPointRetentionInHours = 24 # 復旧ポイントの保持期間（時間） $ApplicationConsistentFrequencyInHours = 4 # アプリケーション整合性スナップショットの頻度（時間） # サブスクリプションの選択 Select-AzSubscription -SubscriptionId $SubscriptionId # Recovery Services vaultの取得 $vault = Get-AzRecoveryServicesVault -Name $VaultName -ResourceGroupName $ResourceGroupName # レプリケーションポリシーの作成 # この例では、VMware/物理サーバー向けのポリシー作成を想定 # 実際のコマンドは環境タイプ（VMwareToAzureなど）によって微調整が必要です。 # 通常、ポリシーの作成はGUIまたはCreate-AzSiteRecoveryReplicationPolicy For VmwareToAzureコマンドを使用します。 # 以下のPowerShellスニペットは概念的なものです。 try { # 既存のポリシーがあるか確認 $policy = Get-AzRecoveryServicesAsrReplicationPolicy -Name $PolicyName -Vault $vault -ErrorAction SilentlyContinue if (-not $policy) { # VMware/物理サーバー向けのレプリケーションポリシーを作成（GUIでの設定を補完） # New-AzRecoveryServicesAsrPolicy cmdlet は、より具体的なパラメータを要求します。 # 以下は、CLI/Portal操作の代替として、ポリシー名と基本的なRPO設定の例 Write-Host "Creating new replication policy '$PolicyName'..." # 実際には、New-AzRecoveryServicesAsrPolicy For VmwareToAzureParametersなどを利用 # 例: # $PolicyProps = New-Object Microsoft.Azure.Commands.RecoveryServices.SiteRecovery.ASRPolicyProperties # $PolicyProps.RecoveryPointRetentionInHours = $RecoveryPointRetentionInHours # $PolicyProps.ApplicationConsistentFrequencyInHours = $ApplicationConsistentFrequencyInHours # New-AzRecoveryServicesAsrPolicy -Name $PolicyName -ProtectionProfileType "VMwareToAzure" -Vault $vault -Properties $PolicyProps # 簡易的な表現として、ここではGUIで作成されたものとして進めます Write-Host "Please create the replication policy '$PolicyName' via Azure Portal or use full New-AzRecoveryServicesAsrPolicy cmdlet for VMwareToAzure." Write-Host "Assuming policy '$PolicyName' exists for demonstration purposes." $policy = Get-AzRecoveryServicesAsrReplicationPolicy -Name $PolicyName -Vault $vault # 前提: このスクリプト実行前にAzure Portal等でポリシー作成済みとします } else { Write-Host "Replication policy '$PolicyName' already exists." } } catch { Write-Error "Failed to manage replication policy: $($_.Exception.Message)" } # 前提条件: Recovery Services VaultとConfiguration Serverは既にAzureに登録済み # コメント: # 入力: $SubscriptionId, $ResourceGroupName, $VaultName, $PolicyName, $RecoveryPointRetentionInHours, $ApplicationConsistentFrequencyInHours # 出力: $policy オブジェクト（既存または新規作成されたポリシー） # 前提: Az.RecoveryServicesモジュールがインストールされ、Azureにログイン済み。Recovery Services Vaultが存在する。 # 計算量: ネットワークI/OとAzure API呼び出しによる。通常O(1) # メモリ条件: PowerShell実行環境の標準的なメモリ。 </pre> </div> <h3 class="wp-block-heading">2.2. VMのレプリケーションを有効化</h3> <p>オンプレミスのVMware VMや物理サーバーのレプリケーションを有効化します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 保護対象となるオンプレミスVMの識別子（Configuration ServerからのID） # この情報はConfiguration ServerのGUIまたはASRのAPIから取得します $VMName = "YourOnPremVMName" $OnPremVmId = "uuid_of_your_on_premises_vm" # 例: VMware VMのMoRef IDなど # ターゲットリソースグループ、ストレージアカウント、仮想ネットワーク $TargetResourceGroup = "asr-dr-target-rg" $TargetStorageAccount = "asrdrcachestorage" # キャッシュストレージアカウント名 $TargetVirtualNetworkName = "dr-vnet" $TargetSubnetName = "dr-subnet" $TargetDiskType = "Standard_LRS" # ターゲットディスクの種類 # Configuration Serverの情報を取得 (Get-AzRecoveryServicesAsrFabric) $fabric = Get-AzRecoveryServicesAsrFabric -Vault $vault | Where-Object { $_.FabricType -eq "VMware" -or $_.FabricType -eq "VMM" } | Select-Object -First 1 # 環境に応じて調整 if (-not $fabric) { Write-Error "Could not find a suitable ASR Fabric (e.g., VMware/VMM). Ensure Configuration Server is registered." exit } # ターゲットVNetの取得 $targetVnet = Get-AzVirtualNetwork -Name $TargetVirtualNetworkName -ResourceGroupName $TargetResourceGroup if (-not $targetVnet) { Write-Error "Target Virtual Network '$TargetVirtualNetworkName' not found in resource group '$TargetResourceGroup'." exit } # ターゲットサブネットの取得 $targetSubnet = $targetVnet.Subnets | Where-Object { $_.Name -eq $TargetSubnetName } if (-not $targetSubnet) { Write-Error "Target Subnet '$TargetSubnetName' not found in VNet '$TargetVirtualNetworkName'." exit } # レプリケーション対象エンティティの取得 (On-Premise Item) # 通常はNew-AzRecoveryServicesAsrReplicationProtectedItemで直接指定 # または、Discover-AzRecoveryServicesAsrVM cmdletで検出された項目を使用 # このステップは環境とASRのバージョンによって異なります。 # 以下は、概念的なプロセスを示しています。 try { # レプリケーションの有効化コマンド（例: VMware VMの場合） Write-Host "Enabling replication for VM '$VMName'..." $replicationJob = New-AzRecoveryServicesAsrReplicationProtectedItem -ProtectableItem $OnPremVmId ` -Name $VMName ` -Policy $policy ` -Vault $vault ` -Fabric $fabric ` -RecoveryAzureStorageAccountId (Get-AzStorageAccount -Name $TargetStorageAccount -ResourceGroupName $ResourceGroupName).Id ` -RecoveryAzureNetworkId $targetVnet.Id ` -RecoveryAzureSubnetId $targetSubnet.Id ` -TargetDiskType $TargetDiskType ` -OSDiskName "osdisk_for_$VMName" ` -OSDiskStorageAccountType $TargetDiskType # Add other required parameters as per your setup (e.g., TargetManagedDiskType) Write-Host "Replication enabled. Job ID: $($replicationJob.ID)" # ジョブの完了を待機することも可能: Wait-AzRecoveryServicesAsrJob -Job $replicationJob } catch { Write-Error "Failed to enable replication for VM '$VMName': $($_.Exception.Message)" } # コメント: # 入力: $VMName, $OnPremVmId, $TargetResourceGroup, $TargetStorageAccount, $TargetVirtualNetworkName, $TargetSubnetName, $TargetDiskType, $vault, $policy, $fabric # 出力: レプリケーションジョブオブジェクト # 前提: Recovery Services Vault, Configuration Server, ターゲットResourceGroup/StorageAccount/VirtualNetwork/Subnetが事前に作成されている。Mobility ServiceがVMにインストール済み。 # 計算量: ネットワークI/OとAzure API呼び出しによる。レプリケーションの初期同期はデータ量に比例して時間がかかる。 # メモリ条件: PowerShell実行環境の標準的なメモリ。 </pre> </div> <h2 class="wp-block-heading">3. 運用監視</h2> <h3 class="wp-block-heading">3.1. 可観測性 (Observability)</h3> <ul class="wp-block-list"> <li><p><strong>Azure Monitor</strong>: ASRはAzure Monitorと統合されており、Recovery Services vaultのメトリックとログを収集できます。レプリケーションの状態、RPOの健全性、データ転送量、Configuration ServerのCPU/メモリ使用率などを監視します[1]。</p></li> <li><p><strong>Azure Alerts</strong>: レプリケーションの停止、RPO違反、Configuration Serverのハートビート喪失などの重要なイベントに対して、Azure Alertsを設定し、メール、SMS、webhookなどで通知を受け取ることができます。</p></li> <li><p><strong>Recovery Services vaultの組み込み監視</strong>: vaultの「レプリケートされたアイテム」ビューで、各VMのレプリケーション状態、最新の回復ポイント、RPO、データ変更率などをリアルタイムで確認できます。</p></li> </ul> <h3 class="wp-block-heading">3.2. ログ管理</h3> <ul class="wp-block-list"> <li><p><strong>Azure Activity Log</strong>: Recovery Services vaultに対するすべての管理操作（ポリシー変更、フェールオーバー実行など）はActivity Logに記録されます。</p></li> <li><p><strong>Azure Diagnostic Settings</strong>: Recovery Services vaultの診断設定を構成し、ログデータをLog Analyticsワークスペースに送信することで、詳細なクエリやダッシュボード作成が可能になります。</p></li> <li><p><strong>Configuration Serverのログ</strong>: オンプレミスのConfiguration Serverは、レプリケーションプロセスに関する詳細なログを保持しています。問題発生時にはこれらのログも調査対象となります。</p></li> </ul> <h3 class="wp-block-heading">3.3. SLAとDR計画のテスト</h3> <ul class="wp-block-list"> <li><p><strong>SLA</strong>: ASR自体には特定のSLAは提供されていませんが、フェールオーバー先のAzure VMのSLA（例えば、可用性セット内の2つ以上のインスタンスで99.95%）が適用されます。DR計画全体のSLAはRTO（目標復旧時間）とRPO（目標復旧時点）によって定義され、これらはRecovery Services vaultのポリシーと整合させる必要があります。</p></li> <li><p><strong>DR訓練（テストフェールオーバー）</strong>: 定期的なDR訓練は不可欠です。ASRのテストフェールオーバー機能を利用すると、本番環境に影響を与えることなく、分離されたAzure仮想ネットワークにレプリケートされたVMを起動し、アプリケーションの動作確認を行うことができます[6]。</p> <ul> <li><strong>重要</strong>: テストフェールオーバーは、RTOとRPOを実際に測定し、計画の有効性を確認する唯一の方法です。少なくとも年に一度、またはシステムの大きな変更後に実施することが推奨されます。</li> </ul></li> </ul> <h2 class="wp-block-heading">4. セキュリティ</h2> <p>Azure Site Recoveryにおけるセキュリティは、データ保護、ネットワーク分離、認証・認可の3つの側面から考慮されます。</p> <h3 class="wp-block-heading">4.1. データ保護</h3> <ul class="wp-block-list"> <li><p><strong>転送中のデータ暗号化</strong>: オンプレミスからAzureへのレプリケーションデータは、HTTPS/TLS 1.2+ を用いて暗号化されたチャネルで転送されます。</p></li> <li><p><strong>保存時のデータ暗号化</strong>: Azureにレプリケーションされたデータは、Azure Storageの保存時の暗号化（Storage Service Encryption）によって自動的に暗号化されます。これはMicrosoftマネージドキーまたはカスタマーマネージドキー（CMK）を選択できます。</p></li> <li><p><strong>整合性と復旧</strong>: Recovery Services vaultは回復ポイントを保持し、データの整合性を確保します。</p></li> </ul> <h3 class="wp-block-heading">4.2. ネットワークセキュリティと分離</h3> <ul class="wp-block-list"> <li><p><strong>プライベートエンドポイント</strong>: Recovery Services vaultへのトラフィックをAzureのプライベートバックボーンネットワーク経由に限定するために、プライベートエンドポイントを設定できます[5]。これにより、インターネット経由のデータ転送を防ぎ、セキュリティを強化します。オンプレミスからプライベートエンドポイントへの接続には、Azure ExpressRouteやVPN GatewayとプライベートDNSゾーンを組み合わせます。</p></li> <li><p><strong>ネットワークセキュリティグループ (NSG)</strong>: フェールオーバー先のAzure Virtual Networkでは、NSGを適用してインバウンド/アウトバウンドトラフィックを厳密に制御します。必要なポートのみを開放し、最小権限の原則を適用します。</p></li> <li><p><strong>Azure Firewall</strong>: 複数VNetやスポークVNet構成の場合、Azure Firewallを導入してネットワーク間のトラフィックを検査・制御します。</p></li> </ul> <h3 class="wp-block-heading">4.3. アイデンティティと権限境界</h3> <ul class="wp-block-list"> <li><p><strong>Microsoft Entra ID (旧 Azure AD)</strong>: Azureリソースへのアクセス制御はMicrosoft Entra IDによって行われます。</p></li> <li><p><strong>Azure ロールベースのアクセス制御 (RBAC)</strong>:</p> <ul> <li><p><strong>Recovery Services Contributor</strong>: Recovery Services vaultに対する完全な管理権限を持ちますが、Azureリソースの作成権限はありません。ASRの運用管理者に付与します。</p></li> <li><p><strong>Contributor</strong>: Recovery Services vaultを含むAzureリソースに対する広範な権限を持ちます。ASRのデプロイや管理に必要ですが、権限が広すぎるため最小限に留めるべきです。</p></li> <li><p><strong>カスタムロール</strong>: 必要に応じて、特定の操作のみを許可するカスタムロールを定義します。</p></li> </ul></li> <li><p><strong>マネージドID</strong>: Configuration Serverやその他AzureリソースがAzure APIにアクセスする際に、資格情報管理を不要にするマネージドID（Managed Identity）を使用します。これにより、セキュリティ資格情報の漏洩リスクを低減します。</p></li> <li><p><strong>条件付きアクセス (Conditional Access, CA)</strong>: 管理者がAzure Portalにアクセスする際、多要素認証（MFA）を強制したり、特定の場所からのアクセスのみを許可したりするなど、高度なアクセス制御を適用します。</p></li> <li><p><strong>Microsoft Defender for Cloud</strong>: Azureサブスクリプション全体、およびフェールオーバーされたAzure VMのセキュリティ状態を継続的に監視します。ASR環境においても、Configuration Serverやフェールオーバー後のVMに対する脆弱性評価や脅威検出に活用できます。</p></li> </ul> <h2 class="wp-block-heading">5. コスト</h2> <p>Azure Site Recoveryのコストは、主に以下の要素によって決定されます。</p> <ul class="wp-block-list"> <li><p><strong>ASRインスタンス料金</strong>: 保護対象となるVMWare VMや物理サーバーの数に基づいて課金されます。最初の31日間は無料で、それ以降は保護インスタンスあたり月額料金が発生します[2]。2024年6月12日時点では、保護されている各インスタンスに対して1か月あたり$25が課金されます。</p></li> <li><p><strong>ストレージコスト</strong>: レプリケートされたデータが保存されるAzure Storageアカウント（キャッシュストレージおよびマネージドディスク）の料金が発生します。これはデータ量、ディスクの種類（Standard HDD, Standard SSD, Premium SSD）、レプリケーションの種類（LRS, GRS, ZRS）によって異なります。</p></li> <li><p><strong>ネットワークコスト</strong>:</p> <ul> <li><p><strong>データ転送コスト</strong>: オンプレミスからAzureへのデータ転送（インバウンド）は無料ですが、DR訓練やフェールバック時にAzureからオンプレミスへのデータ転送（アウトバウンド）には料金が発生します。</p></li> <li><p><strong>VPN/ExpressRoute</strong>: オンプレミスとAzure間の接続にVPN GatewayやExpressRouteを使用する場合、その料金が発生します。</p></li> </ul></li> <li><p><strong>フェールオーバー後のコンピューティングコスト</strong>: 災害発生時にAzureでVMを起動すると、そのVMのコンピューティング料金が発生します。</p></li> </ul> <h3 class="wp-block-heading">コスト最適化</h3> <ul class="wp-block-list"> <li><p><strong>不要なVMの保護を避ける</strong>: DR計画の範囲を厳密に定義し、本当に必要なVMのみを保護対象とします。</p></li> <li><p><strong>RPOとRTOのバランス</strong>: レプリケーション頻度（RPO）を厳しくすると、データ変更量が増え、ストレージやネットワークコストが増加する可能性があります。ビジネス要件に合った最小限のRPOを設定します。</p></li> <li><p><strong>ストレージタイプの選択</strong>: レプリケーションターゲットのディスクの種類を慎重に選択します。RPO要件が緩い非ミッションクリティカルなVMには、Standard HDDディスクを使用することでコストを削減できます。</p></li> <li><p><strong>Reserved Instances (予約インスタンス)</strong>: フェールオーバー後にAzure VMが恒久的に稼働する可能性がある場合、Azure Reserved VM Instancesを事前に購入することで、コンピューティングコストを大幅に削減できます。</p></li> <li><p><strong>ハイブリッド特典 (Azure Hybrid Benefit)</strong>: Windows ServerやSQL Serverのライセンスをオンプレミスで保持している場合、Azure Hybrid Benefitを適用することで、Azure VMのライセンス費用を削減できます。</p></li> <li><p><strong>DR訓練のスケジューリング</strong>: テストフェールオーバー中に起動するAzure VMの稼働時間を最小限に抑えるように訓練計画を立てます。</p></li> </ul> <h2 class="wp-block-heading">6. 落とし穴と注意点</h2> <ul class="wp-block-list"> <li><p><strong>構成サーバーのサイジング</strong>: Configuration Serverのサイジングが不適切だと、レプリケーションパフォーマンスが低下したり、サービスが停止したりする可能性があります。保護対象VMの数やデータ変更率に応じて適切にスケールアップまたはスケールアウトが必要です[1]。</p></li> <li><p><strong>ネットワーク帯域幅</strong>: オンプレミスからAzureへの十分なネットワーク帯域幅が確保されていないと、RPOが遵守できなかったり、初期レプリケーションに時間がかかったりします。推奨帯域幅を事前に計算し、確保してください。</p></li> <li><p><strong>IPアドレス計画</strong>: フェールオーバー先のAzure Virtual NetworkのIPアドレス計画は、オンプレミス環境と重複しないように、かつアプリケーションが適切に動作するように慎重に行う必要があります。DNS設定も重要です。</p></li> <li><p><strong>アプリケーション整合性</strong>: アプリケーション整合性スナップショットは、OSおよびアプリケーションの整合性を確保するために重要ですが、I/O負荷がかかるため、頻度を適切に設定する必要があります。特に古いOSやディスクI/Oの高いアプリケーションでは注意が必要です。</p></li> <li><p><strong>フェールバックの複雑性</strong>: 災害からの復旧後、オンプレミス環境に戻す「フェールバック」は、Azureからオンプレミスへのデータ転送が必要であり、追加の設定や考慮が必要です。フェールバックの計画もDR計画の一部として含めるべきです。</p></li> <li><p><strong>定期的なDR訓練の怠り</strong>: DR計画は、実際にテストされて初めてその有効性が確認されます。定期的なテストフェールオーバーを怠ると、いざという時に機能しない可能性があります[6]。</p></li> </ul> <h2 class="wp-block-heading">7. まとめ</h2> <p>Azure Site Recoveryは、オンプレミス環境の災害復旧計画をAzureクラウドで実現するための強力なソリューションです。本ガイドでは、アーキテクチャの理解から、PowerShellによる設定手順、継続的な運用監視、堅牢なセキュリティ対策、そしてコスト最適化戦略までを網羅的に解説しました。</p> <p>ASRを効果的に導入するためには、各コンポーネントの役割、レプリケーションプロセスの理解、そして何よりも定期的なDR訓練が不可欠です。本記事で示したガイドラインとベストプラクティスを参考に、貴社の事業継続性を確実にするためのDR計画を策定・実行してください。</p> <hr/> <p><strong>根拠情報:</strong> [1] Microsoft Learn. “Azure Site Recovery for VMware to Azure overview”. 最終更新日: 2024年5月30日. <a href="https://learn.microsoft.com/ja-jp/azure/site-recovery/site-recovery-vmware-to-azure">https://learn.microsoft.com/ja-jp/azure/site-recovery/site-recovery-vmware-to-azure</a> [2] Microsoft Azure. “Azure Site Recovery の料金”. 最終確認日: 2024年6月12日. <a href="https://azure.microsoft.com/ja-jp/pricing/details/site-recovery/">https://azure.microsoft.com/ja-jp/pricing/details/site-recovery/</a> [3] Microsoft Learn. “Azure Site Recovery のセキュリティ”. 最終更新日: 2023年12月26日. <a href="https://learn.microsoft.com/ja-jp/azure/site-recovery/site-recovery-security">https://learn.microsoft.com/ja-jp/azure/site-recovery/site-recovery-security</a> [4] Microsoft Learn. “Azure Site Recovery 用 PowerShell を使用した管理”. 最終更新日: 2023年10月27日. <a href="https://learn.microsoft.com/ja-jp/azure/site-recovery/powershell-help-site-recovery">https://learn.microsoft.com/ja-jp/azure/site-recovery/powershell-help-site-recovery</a> [5] Microsoft Learn. “VMware/物理サーバーのレプリケーションのためにプライベート エンドポイントを設定する”. 最終更新日: 2024年1月2日. <a href="https://learn.microsoft.com/ja-jp/azure/site-recovery/vmware-physical-private-link">https://learn.microsoft.com/ja-jp/azure/site-recovery/vmware-physical-private-link</a> [6] Microsoft Learn. “Azure でのディザスター リカバリー ドリルのテスト フェールオーバー”. 最終更新日: 2024年3月28日. <a href="https://learn.microsoft.com/ja-jp/azure/site-recovery/site-recovery-test-failover-to-azure">https://learn.microsoft.com/ja-jp/azure/site-recovery/site-recovery-test-failover-to-azure</a></p>

graph LR
    subgraph オンプレミス環境
        A["VMware VM/物理サーバー"] -- 1. Mobility Serviceで変更をキャプチャ --> B("Mobility Service")
        B -- 2. Process Serverに送信 --> C("Process Server")
        C -- 3. レプリケーションデータを圧縮/暗号化 --> D("Configuration Server")
    end

    subgraph Azure 環境
        E["Recovery Services vault"]
        F("Azure Storage Account")
        G("Azure Managed Disk")
        H("Azure Virtual Network")
        I["Azure VM(\"DRサイト\")"]
    end

    D -- 4. HTTPS/TLS 1.2+で暗号化し送信 --> E
    E -- 5. データをFに書き込み --> F
    F -- 6. マネージドディスクに変換/更新 --> G

    E -- 7. フェールオーバー指示 --> I
    I -- 8. GとHに接続して起動 --> G
    I -- 9. GとHに接続して起動 --> H

    note on C
        Process Serverはキャッシュ、
        圧縮、暗号化を処理。
    end

    note on I
        フェールオーバー時に
        Azure VMとして起動
    end

# Azure CLIとAz PowerShellモジュールがインストールされ、認証済みであることを前提とします


# サブスクリプションとリソースグループの指定

$SubscriptionId = "your_subscription_id"
$ResourceGroupName = "asr-dr-rg"
$VaultName = "asr-rsvault"
$PolicyName = "OnPremToAzurePolicy"
$RecoveryPointRetentionInHours = 24 # 復旧ポイントの保持期間（時間）
$ApplicationConsistentFrequencyInHours = 4 # アプリケーション整合性スナップショットの頻度（時間）

# サブスクリプションの選択

Select-AzSubscription -SubscriptionId $SubscriptionId

# Recovery Services vaultの取得

$vault = Get-AzRecoveryServicesVault -Name $VaultName -ResourceGroupName $ResourceGroupName

# レプリケーションポリシーの作成


# この例では、VMware/物理サーバー向けのポリシー作成を想定


# 実際のコマンドは環境タイプ（VMwareToAzureなど）によって微調整が必要です。


# 通常、ポリシーの作成はGUIまたはCreate-AzSiteRecoveryReplicationPolicy For VmwareToAzureコマンドを使用します。


# 以下のPowerShellスニペットは概念的なものです。

try {

    # 既存のポリシーがあるか確認

    $policy = Get-AzRecoveryServicesAsrReplicationPolicy -Name $PolicyName -Vault $vault -ErrorAction SilentlyContinue

    if (-not $policy) {

        # VMware/物理サーバー向けのレプリケーションポリシーを作成（GUIでの設定を補完）


        # New-AzRecoveryServicesAsrPolicy cmdlet は、より具体的なパラメータを要求します。


        # 以下は、CLI/Portal操作の代替として、ポリシー名と基本的なRPO設定の例

        Write-Host "Creating new replication policy '$PolicyName'..."

        # 実際には、New-AzRecoveryServicesAsrPolicy For VmwareToAzureParametersなどを利用


        # 例:


        # $PolicyProps = New-Object Microsoft.Azure.Commands.RecoveryServices.SiteRecovery.ASRPolicyProperties


        # $PolicyProps.RecoveryPointRetentionInHours = $RecoveryPointRetentionInHours


        # $PolicyProps.ApplicationConsistentFrequencyInHours = $ApplicationConsistentFrequencyInHours


        # New-AzRecoveryServicesAsrPolicy -Name $PolicyName -ProtectionProfileType "VMwareToAzure" -Vault $vault -Properties $PolicyProps

        # 簡易的な表現として、ここではGUIで作成されたものとして進めます

        Write-Host "Please create the replication policy '$PolicyName' via Azure Portal or use full New-AzRecoveryServicesAsrPolicy cmdlet for VMwareToAzure."
        Write-Host "Assuming policy '$PolicyName' exists for demonstration purposes."
        $policy = Get-AzRecoveryServicesAsrReplicationPolicy -Name $PolicyName -Vault $vault

        # 前提: このスクリプト実行前にAzure Portal等でポリシー作成済みとします

    } else {
        Write-Host "Replication policy '$PolicyName' already exists."
    }
} catch {
    Write-Error "Failed to manage replication policy: $($_.Exception.Message)"
}

# 前提条件: Recovery Services VaultとConfiguration Serverは既にAzureに登録済み

# コメント:


# 入力: $SubscriptionId, $ResourceGroupName, $VaultName, $PolicyName, $RecoveryPointRetentionInHours, $ApplicationConsistentFrequencyInHours


# 出力: $policy オブジェクト（既存または新規作成されたポリシー）


# 前提: Az.RecoveryServicesモジュールがインストールされ、Azureにログイン済み。Recovery Services Vaultが存在する。


# 計算量: ネットワークI/OとAzure API呼び出しによる。通常O(1)


# メモリ条件: PowerShell実行環境の標準的なメモリ。

# 保護対象となるオンプレミスVMの識別子（Configuration ServerからのID）


# この情報はConfiguration ServerのGUIまたはASRのAPIから取得します

$VMName = "YourOnPremVMName"
$OnPremVmId = "uuid_of_your_on_premises_vm" # 例: VMware VMのMoRef IDなど

# ターゲットリソースグループ、ストレージアカウント、仮想ネットワーク

$TargetResourceGroup = "asr-dr-target-rg"
$TargetStorageAccount = "asrdrcachestorage" # キャッシュストレージアカウント名
$TargetVirtualNetworkName = "dr-vnet"
$TargetSubnetName = "dr-subnet"
$TargetDiskType = "Standard_LRS" # ターゲットディスクの種類

# Configuration Serverの情報を取得 (Get-AzRecoveryServicesAsrFabric)

$fabric = Get-AzRecoveryServicesAsrFabric -Vault $vault | Where-Object { $_.FabricType -eq "VMware" -or $_.FabricType -eq "VMM" } | Select-Object -First 1 # 環境に応じて調整

if (-not $fabric) {
    Write-Error "Could not find a suitable ASR Fabric (e.g., VMware/VMM). Ensure Configuration Server is registered."
    exit
}

# ターゲットVNetの取得

$targetVnet = Get-AzVirtualNetwork -Name $TargetVirtualNetworkName -ResourceGroupName $TargetResourceGroup

if (-not $targetVnet) {
    Write-Error "Target Virtual Network '$TargetVirtualNetworkName' not found in resource group '$TargetResourceGroup'."
    exit
}

# ターゲットサブネットの取得

$targetSubnet = $targetVnet.Subnets | Where-Object { $_.Name -eq $TargetSubnetName }

if (-not $targetSubnet) {
    Write-Error "Target Subnet '$TargetSubnetName' not found in VNet '$TargetVirtualNetworkName'."
    exit
}

# レプリケーション対象エンティティの取得 (On-Premise Item)


# 通常はNew-AzRecoveryServicesAsrReplicationProtectedItemで直接指定


# または、Discover-AzRecoveryServicesAsrVM cmdletで検出された項目を使用


# このステップは環境とASRのバージョンによって異なります。


# 以下は、概念的なプロセスを示しています。

try {

    # レプリケーションの有効化コマンド（例: VMware VMの場合）

    Write-Host "Enabling replication for VM '$VMName'..."
    $replicationJob = New-AzRecoveryServicesAsrReplicationProtectedItem -ProtectableItem $OnPremVmId `
        -Name $VMName `
        -Policy $policy `
        -Vault $vault `
        -Fabric $fabric `
        -RecoveryAzureStorageAccountId (Get-AzStorageAccount -Name $TargetStorageAccount -ResourceGroupName $ResourceGroupName).Id `
        -RecoveryAzureNetworkId $targetVnet.Id `
        -RecoveryAzureSubnetId $targetSubnet.Id `
        -TargetDiskType $TargetDiskType `
        -OSDiskName "osdisk_for_$VMName" `
        -OSDiskStorageAccountType $TargetDiskType # Add other required parameters as per your setup (e.g., TargetManagedDiskType)

    Write-Host "Replication enabled. Job ID: $($replicationJob.ID)"

    # ジョブの完了を待機することも可能: Wait-AzRecoveryServicesAsrJob -Job $replicationJob

} catch {
    Write-Error "Failed to enable replication for VM '$VMName': $($_.Exception.Message)"
}

# コメント:


# 入力: $VMName, $OnPremVmId, $TargetResourceGroup, $TargetStorageAccount, $TargetVirtualNetworkName, $TargetSubnetName, $TargetDiskType, $vault, $policy, $fabric


# 出力: レプリケーションジョブオブジェクト


# 前提: Recovery Services Vault, Configuration Server, ターゲットResourceGroup/StorageAccount/VirtualNetwork/Subnetが事前に作成されている。Mobility ServiceがVMにインストール済み。


# 計算量: ネットワークI/OとAzure API呼び出しによる。レプリケーションの初期同期はデータ量に比例して時間がかかる。


# メモリ条件: PowerShell実行環境の標準的なメモリ。