本記事は「VCFバックアップ＆リストア実践シリーズ」の第2回です。今回は「SDDC Manager のリストア」です。

SDDC Manager は VCF 環境の司令塔のような立ち位置です。故障するとLifecycle 管理やドメイン操作が停止し、VCF 全体の管理操作が機能しなくなります。

本記事では、第1回の記事で取得したバックアップファイルを用いてSDDC Managerをリストアする手順を紹介していきます。

想定障害シナリオ

本記事では、以下の障害が発生した状況を想定してリストアを行います。

障害原因：

• SDDC Manager がホストストレージ障害により OS ファイルが破損し、起動に失敗する

影響範囲：

• SDDC Managerの管理UIへのアクセス不可
• Lifecycle 管理ワークフローの停止
• vCenter／NSX 操作は継続可能だがドメイン拡張やアップグレードは不能

復旧目標：

• 最新のバックアップファイルからから SDDC Manager を復元

リストアの流れ

上記の障害が発生した場合、バックアップファイルから復元する流れは、大きく次の4ステップで構成されます。

1. 前提チェック：外部 SFTPからバックアップファイルを取得しておく
2. 新規Mデプロイ：同バージョンの SDDC Manager OVA を Management Domain のvSphere にデプロイ
3. リストア：リストアを開始
4. サービス起動確認：SoSツールで健全性チェック

全体像

障害で停止した SDDC Manager を復旧するため、SFTP に保存しておいたバックアップを、新たにデプロイした SDDC Manager へリストアします。

事前準備と要件

リストアを実施する前に以下を確認しておきます。

• バックアップファイル
  • 形式： vcf-backup-YYYYMMDD-HHMMSS.tar.gz
  • SFTPサーバーにスケジュール設定した直近のバックアップファイルが格納されていることを確認します。
• 暗号化パスワード
  • バックアップ取得時に設定したパスフレーズを控えておく（リストア時に必須）。
• 同バージョン OVA
  • Broadcom Support Portal から、障害が発生しているSDDC Managerと同じバージョンのOVAをダウンロード。
  • 本検証では 5.2.1.0 を使用。
• DNS / NTP
  • 復旧ネットワークで名前解決と時刻同期が正常に行えることを事前に確認する。
• ネットワーク設定
  • 新規デプロイする SDDC Manager に、障害が発生した SDDC Manager と同じ IP アドレス／FQDN を割り当てる。
  • 旧 SDDC Manager VM は電源を切り、IP アドレスの重複を防ぐ。

上記の内容が確認できていることを前提として、以降から手順の紹介をしていきます。

SDDC Managerをデプロイ

リストアを実施するために新規でSDDC Managerをデプロイします。

vSphere Clientから、障害が発生した既存のSDDC Managerが停止状態であることを確認します。また、新規デプロイするSDDC Managerの仮想マシン名を、既存のSDDC Managerのものと同じにするため、あらかじめ既存の仮想マシン名を変更しておきます。

検証環境では既存の名前が「sddc-manager」のため、「sddc-manager-old」にします。

OVAを使用してデプロイするため、Management Domainの対象クラスタを右クリックし、[OVFテンプレートのデプロイ...]をクリックします。

「ローカルファイル」を選択し、[ファイルのアップロード]をクリックします。
事前に用意している既存のSDDC Managerと同一のバージョンのOVAファイルをアップロードします。今回はバージョン5.2.1.0を使用しています。

[次へ]をクリックします。

「仮想マシン名」と「フォルダ」を指定し[次へ]をクリックします。
※今回、仮想マシン名は既存と同じにしています。

コンピューティングリソースを選択し、[次へ]をクリックします。今回の検証環境ではクラスタを選択します。

[次へ]をクリックします。

使用許諾契約書の同意の旨のチェックを入れ、[次へ]をクリックします。

ストレージの選択をします。Management DomainのvSANデータストアを選択し、[次へ]をクリックします。

ネットワークを選択します。既存のSDDC Mananegerと同一のネットワークを選択します。

既存のSDDC Managerと同一の情報を入力して、[次へ]をクリックします。

設定情報の問題がないことを確認し、[完了]をクリックします。

デプロイが完了したら起動します。

SDDC Manager リストア

新たにデプロイした SDDC Manager へ、SFTP サーバー上のバックアップ ファイルを転送し、リストアを実行します。リストアにおける作業は、SFTP サーバー（rootユーザー）で行います。

リストアに使う最新のバックアップ ファイルを確認し、SFTP サーバーから SCP で新規デプロイした SDDC Manager へ転送します。
今回はSDDC Managerに /tmpディレクトリを作成し転送します。

• 対象バックアップファイル：vcf-backup-sddc-manager-vcf-lab-2025-xx-xx-xx-xx-xx.tar.gz
• 転送先：172.24.1.10(SDDC Manager):/tmp/ ※VCFユーザーで接続

以下を実行します。

scp /home/vcf-backup/sddc-mgr/sddc-manager-backup/vcf-backup-sddc-manager-vcf-lab-2025-xx-xx-xx-xx-xx.tar.gz vcf@172.24.1.10:/tmp/ 

※SSH ホスト キーが変更されたことにより以下のエラーで転送できなかった場合は、「$HOME/.ssh/known_hosts」ファイルに既存のSDDC Managerの公開鍵エントリがあるため削除します。
「ssh-keygen -R 172.24.1.10」にて公開鍵エントリを削除します。
再度、SCPコマンドを実行し、「yes」とvcfユーザーのパスワードを入力すると転送が完了します。

実行結果
※以降オレンジ色の文字が実行コマンドとご認識ください。

# scp /home/vcf-backup/sddc-mgr/sddc-manager-backup/vcf-backup-sddc-manager-vcf-lab-2025-05-21-05-1-57.tar.gz vcf@172.24.1.10:/tmp/ 
The authenticity of host '172.24.1.10 (172.24.1.10)' can't be established.
ECDSA key fingerprint is SHA256:PXsfB0lf7puc0nO1LtfAzgAMhWMRCPek3Oc0PWJ/9A.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '172.24.1.10' (ECDSA) to the list of known hosts.
Connection closed
scp: Connection closed
# vi $HOME/.ssh/known_hosts
# ssh-keygen -R 172.24.1.10
Host 172.24.1.10 found: line 2
/home/root/.ssh/known_hosts updated.
Original contents retained as /root/.ssh/known_hosts.old
# scp /home/vcf-backup/sddc-mgr/sddc-manager-backup/vcf-backup-sddc-manager-vcf-lab-2025-05-21-05-1-57.tar.gz vcf@172.24.1.10:/tmp/
The authenticity of host '172.24.1.10 (172.24.1.10)' can't be established.
ECDSA key fingerprint is SHA256:PXsfB0lf7puc0nO1LtfAzgAMhWMRCPek3Oc0PWJ/9A.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '172.24.1.10' (ECDSA) to the list of known hosts.
Welcome to VMware Cloud Foundation Manager Virtual Appliance
vcf@172.24.1.10's password:
vcf-backup-sddc-manager-vcf-lab-2025-05-21-05-1-57.tar.gz        100%   10MB  98.3MB/s   00:00

そのまま、SFTP サーバーから SDDC Manager の REST API でリストアを実行します。

SDDC Manager へ API でリストア命令を投げる前に、アクセストークンを発行しておく必要があります。
下記のコマンドを実行すると、環境変数 TOKEN に API トークンが格納されます。

TOKEN=curl https://<sddc_manager_fqdn>/v1/tokens -k -X POST -H "Content-Type: application/json" -d'{"username": "admin@local","password": "<admin@local_password>"}' | awk -F "\"" '{ print $4}'

今回の検証環境では以下になります。

# TOKEN=$(curl https://172.24.1.10/v1/tokens -k -X POST -H "Content-Type: application/json" \
-d '{"username": "admin@local", "password": "VMware1!VMware1!"}' \
| awk -F '"' '{print $4}')
--結果--
100  2157    0  2099  100    58  24043    686 --:--:-- --:--:-- --:--:--  26678

以下のコマンドでトークンを確認できます。

# echo $TOKEN
eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiJhZGI1Y2YyZi04ZmUzLTQ3NWEtYTFkNS0wNTlkZDA4MWMtMGI1LCJpYXQiOjE3MDc4MDczMTQsInN...
...（トークンの長い文字列が続く）...

次に、リストア用パラメータをまとめた JSON ファイルを用意します。今回の検証では、以下のように記述しました。

ファイル名：vcf-base-sddc-restore.json

{
    "elements": [
        {
            "resourceType": "SDDC_MANAGER"
        }
    ],
    "backupFile": "/tmp/vcf-backup-sddc-manager-vcf-lab-2025-05-21-07-50-08.tar.gz",
    "encryption": {
        "passphrase": "VMware1!VMware1!"
    }
}

JSONファイルを編集、確認します。

# vi vcf-base-sddc-restore.json
//ファイルを編集
# cat vcf-base-sddc-restore.json
{
  "elements": [
    {
      "resourceType": "SDDC_MANAGER"
    }
  ],
  "backupFile": "/tmp/vcf-backup-sddc-manager-vcf-lab-2025-05-21-05-18-57.tar.gz",
  "encryption": {
    "passphrase": "VMware1!VMware1!"
  }
}

リストア プロセスを実行します。

先ほど取得した $TOKEN を Authorization ヘッダーに指定。

リストア パラメータを記述した JSON ファイル（vcf-base-sddc-restore.json）を指定。

次の curl コマンドを実行してリストアタスクを作成します。
※jq -r . で JSON レスポンスを読みやすく整形表示できます。
レスポンスの id がリストアタスク ID となるので、進捗確認に利用できます。

curl https://172.24.1.10/v1/restores/tasks -k -s -X POST -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" -d @./vcf-base-sddc-restore.json | jq -r .

以下のコマンドで進捗を確認します。

curl https://<sddc_manager_fqdn>/v1/restores/tasks/<restore_task_id> -k -X GET -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" | jq -r .

表示されるタスクの全てが「SUCCESSFUL」になれば完了です。

SDDC Managerの健全性確認

SDDC Manager のリストアが完了したら、sos ツールでヘルスチェックを実行し、復元状態が正常かどうかを確認します。

SSHでSDDC Managerにログインします。（vcfユーザー）
ログイン後、SoS ツールを使⽤して健全性チェックを実⾏します。

「sudo /opt/vmware/sddc-support/sos --health-check」
※実行するとパスワード入力を求められます。

SDDC Manager が健全な状態の場合、すべてのテストが「GREEN」で表⽰されます。

SDDC Manager ダッシュボード（管理UI）にブラウザからアクセスできることが確認できたら完了です。

Tips：検証ナレッジ（重要）

今回の検証では上記手順でリストアを完了しましたが、復旧から 24時間後を目処に SDDC Manager の管理 UI へ接続できなくなる事象が発生しました。

これは、復旧プロセスで再デプロイした SDDC Manager と既存ホスト／アプライアンス間の SSH ホストキー不整合 が原因で、内部通信が遮断されることに起因すると考えられます。

そのため、以下のBroadcom KBを参考にして対処を行いました。

VMware Cloud Foundation SDDC Manager Recovery Scripts：
https://knowledge.broadcom.com/external/article?legacyId=79004

上記のKBからVCF バージョンに対応した recovery_tools_python_x_x_x.zip をダウンロードします。
※今回の検証では「recovery_tools_python_3_10_11.zip.」が対象です。

KBに記載の手順を参考に、SDDC Manager にダウンロードしたファイルを SCP で転送します。

SDDC Manager に SSH で vcf ユーザーでログイン後、su - で root へ昇格させます。

/tmp/scripts などに展開し、以下を実行して SSH ホストキーを更新します。

「python refreshsshkeys.pyc」

実行後、SDDC Manager の管理UIに正常にアクセス可能となることを確認します。

対処後は、正常な状態が継続していることを確認済みです。

以上、今回は SDDC Manager のリストアを紹介しました。次の記事では、vCenter のリストア手順を紹介していきます。