Veeam v13 不変バックアップ

2026年6月20日
 makorin
16

Veeam の不変バックアップ(イミュータブルバックアップ)は、ランサムウェアや悪意ある削除・改ざんからデータを守る機能です。指定した期間のバックアップデータは「読み取り専用」として保存され、攻撃者がシステム管理者の権限を奪ったとしても、一切の変更・削除・暗号化ができません。

今回は Veeam Data Platform / Veeam Backup & Replication(VBR)における不変バックアップの設定を行う上で、ここだけは間違えないでというポイントを共有します。

変化点と留意点

  1. バックアップデータの保存ロジックが変わる
    不変バックアップを行うと、バックアップデータは通常の「永久増分」ではなく、「前方増分」となります。通常よく使われる永久増分は、毎日増分(.vib)を作りますが、保持期間を過ぎると一番古い増分データをフルバックアップ(.vbk)の中にマージ(合成)します。しかし、不変ロックがかかった古いファイルは書き換え(マージ)ができないため、不変バックアップではこの方式が使えません。
    一方、前方増分は、スケジュールに従って定期的に新しいフルバックアップ(.vbk)を完全に別ファイルとして作成し、古いファイルには一切手を加えない(マージしない)運用になります。そのため、ファイルの書き換えが発生せず、不変ロック(消せない保護)と両立することができます。
  2. Fast Clone とセットで使用すること
    Fast Clone が有効な場合、バックアップリポジトリ(バックアップデータを格納するサーバーやストレージ)のボリューム上では、バックアップデータをコピーするのではなく、ボリューム上の既存データブロックを参照します。そのため、⾼速に合成フルバックアップの作成ができます。また、データブロックの参照のみなので、ファイルの全体をコピーして合成するのに⽐べて、ファイルシステム全体の使⽤量を減らすことができるメリットがあります。
    ただし、この機能を使用するためには、ボリュームのファイルシステムが XFS であることが条件となります。

本記事の構成

評価検証は Veeam Backup & Replication 13.0.1.2067 で行いました。最終的にクラウド上のバックアップデータからオンプレミスの仮想化基盤にリストアの検証を実施する予定のため、一次バックアップをオンプレミスの不変リポジトリである Ubuntu 22.04.5(以降 Ubuntu)へ保存し、二次バックアップを AWS S3 バケット上に保存する構成としました。

不変バックアップ用の Linux の準備

バックアップデータを保存する Ubuntu のデータ保存先のファイルシステムを XFS にしてください。以下例では、/mnt/backup を xfs としています。

$ df -Th
Filesystem                        Type   Size  Used Avail Use% Mounted on
tmpfs                             tmpfs  392M  1.1M  391M   1% /run
/dev/mapper/ubuntu--vg-ubuntu--lv ext4    19G  7.5G   11G  43% /
tmpfs                             tmpfs  2.0G     0  2.0G   0% /dev/shm
tmpfs                             tmpfs  5.0M     0  5.0M   0% /run/lock
/dev/sda2                         ext4   2.0G  133M  1.7G   8% /boot
/dev/sdb1                         xfs     60G  8.0G   53G  14% /mnt/backup
tmpfs                             tmpfs  392M  4.0K  392M   1% /run/user/1000

以下、参考ですが、Ubuntu にディスクを追加し、xfs フォーマットをして/ mnt/backup にマウントするまでの一連の流れを掲載します。

# 追加されたディスクの確認
lsblk

# ディスクのパーティション作成
# ※対話画面では順に n -> p -> 1 -> Enter -> Enter -> w と入力
sudo fdisk /dev/sdb

# XFS形式でフォーマット (Fast Cloneに必須)
sudo mkfs.xfs /dev/sdb1

# マウントポイントの作成と手動マウント
sudo mkdir -p /mnt/backup
sudo mount /dev/sdb1 /mnt/backup

# 再起動後の自動マウント設定 (永続化)
# ※事前に `sudo blkid /dev/sdb1` でUUIDをコピーしておく
sudo nano /etc/fstab
# 最下行に以下を追記して保存
# UUID=xxxx-xxxx-xxxx  /mnt/backup  xfs  defaults  0  0

# マウント設定のテスト
sudo umount /mnt/backup
sudo mount -a

また、ここでは触れませんが、不変リポジトリの Linux(今回は Ubuntu)で重要なのは、外部からの侵入防止も重要であり、不要サービスの停止、Firewall 設定、root のログイン禁止、SSH の鍵管理、sudo最小化などの要塞化が必須です。

不変リポジトリ登録・設定時の注意箇所

まず、不変バックアップを実現するために重要なのは、不変リポジトリ(Hardened Repository)が正しく登録・設定されていることです。

Managed Servers に Ubuntu を初回登録する際、Veeam サーバーがハッキングされてもバックアップデータがある Ubuntu の root パスワード(SSH鍵)を盗まれないようにするため、構築時のみの使い捨ての Single-use credentials を使用します。必ず一般ユーザー(本環境では makorin)で登録します。
以下図は既にアカウント登録後の例ですが、初回の Ubuntu 登録時では、”SSH credentials” ⇒ “Add” をクリック、”Single-use credentials for hardened repository…” からアカウントを登録してください。

Backup Repositories に Managed Servers で登録した Ubuntu を、バックアップリポジトリとして登録する際、Linux (Hardened Repository) を選択してください。うっかり上段の Linux を選択しないように。

Linux (Hardened Repository) の詳細設定で特別な設定箇所はありませんが、登録ウィザード最後の Summary で、「Days of immutability: enabled 7 days: immutability mode: ByRepositorySettings」の出力があることを確認してください。

リポジトリの登録が完了した時に以下の状態となっていなければなりません。

不変バックアップの実行と確認

おさらいです。今までの流れをまとめます。

  1. Managed Servers に xfs ファイルシステムを含む Ubuntu を登録
  2. Backup Repositories に 1. の Ubuntu を不変レポジトリとして登録
  3. Jobs を作成

ここまで問題なくきたら、いよいよ初回のフルバックアップを実行します。ジョブを右クリックして “Active full” を実行し、完了まで待ちます。

完了後、正常に不変バックアップが取得できていることを確認します。
“Backups” ⇒ “Disk” ⇒ “ジョブネーム” で、”>” をクリックしてバックアップデータを表示します。さらにバックアップデータを右クリックし、”Properties” を選択します。

以下図では、初回のフルバックアップデータ(.vbk)が、Immutable Until(不変期限)が 2026/06/27 となっています。リテンションポリシーに従った7日間のロックとなっています。

さらに、Ubuntu 上のバックアップデータの属性も確認します。

$ sudo lsattr /mnt/backup/*/*
----i----------------- /mnt/backup/WP Backup/WP Backup_2026-06-20T112629.vbk
---------------------- /mnt/backup/WP Backup/WP Backup.vbm

フルバックアップデータに不変ロック(i属性)が付与されていることを確認します。これでこのファイルを後から書き換えることは root アカウントでもできません。なお、以下のようにi属性がない場合、バックアップデータとしては正常ですが、不変ロックがかかっていないため、どこかの設定がおかしいということになります。

$ sudo lsattr /mnt/backup/*/*
---------------------- /mnt/backup/WP Backup/WP Backup_2026-06-20T011140.vbk
---------------------- /mnt/backup/WP Backup/WP Backup.vbm

以上となります。

次回は、二次バックアップのObject Lock(オブジェクトロック)と、オンプレミスへのリストアの評価をしたいと思います。

商品画像
makorin
  • makorin

  • AI を使用して情報を得ることが普通の時代になりました。その AI もウェブ上に公開されている情報を元にして動作しています。その情報の一つになればいいなという、極々ささやかな思いで気ままに更新しています。

    ICT関連

    コメントする

    メールアドレスが公開されることはありません。 が付いている欄は必須項目です

    このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください