Z Object First mi zapůjčili Storage Appliance Ootbi, s využitelnou kapacitou 64 TB, abych si prakticky vyzkoušel jejich řešení pro bezpečné ukládání záloh. Za zápůjčku demo boxu mnohokrát děkuji. Tento (a nějaký další) článek stručně shrnuje moje krátké zkušenosti.
Object First Ootbi
Co je to Ootbi?
Object First Ootbi je On-Premises hardwarové zařízení (appliance) určené výhradně jako úložiště záloh pro Veeam. Poskytuje S3 kompatibilní objektové úložiště s nativní podporou Immutability (neměnnosti) a architekturou Zero Trust. Jelikož podporuje standardní S3 API, tak jej teoreticky můžeme využít i pro jiné účely nebo se na něj připojit pomocí různých S3 nástrojů. Ale oficiálně je určené pro použití s Veeamem.
Společnost Object First byla založena stejnými dvěma lidmi (Ratmir Timashev a Andrei Baronov), kteří založili (a později prodali) společnost Veeam Software. Na začátku roku 2026 oznámila společnost Veeam akvizici firmy Object First.
Úložiště Object First si zakládá na jednoduchosti. Nejsou potřeba znalosti diskových polí, Linuxu či zabezpečení. Nasazení se dá provést během pár minut. Pro konfiguraci potřebujeme 3 IP adresy, 2 jména a heslo pro administrátorský účet.
Zajímavou funkcí navíc je Object First Honeypot. Vestavěná funkce kybernetické ochrany dostupná na všech Appliance, která funguje jako návnada (Decoy). Napodobuje Veeam Backup & Replication server a láká útočníky, kteří provádí skenování sítě či pokusy o přihlášení. Neobvyklé chování spustí upozornění.
Dostupné varianty a konfigurace
Ootbi je standardně Rackmount Appliance velikosti 2U (nově se nabízí také Ootbi Mini v desktopovém formátu). Aktuálně jsou k dispozici modely o využitelné kapacitě 18, 36, 72, 144, 216 nebo 432 TB v jednom uzlu. Až čtyři uzly mohou být sdruženy do clusteru. Více clusterů můžeme spojit pomocí Veeam Scale-Out Backup Repository (SOBR).
Pozn.: Důležité je, že se udává využitelná kapacita, a ne hrubá kapacita disků.
Některé hlavní vlastnosti
- používají se SAS disky s RAID 6 nebo RAID 60
- 1 (nebo 2) Hot Spare Disk
- NVMe disky pro OS a cache
- redundantní zdroje napájení
- pracuje se standardní velikostí bloku 1 MB
- integrace s Veeam je pomocí S3 API, včetně S3 Object Lock a S3 Versioning
- podporuje Smart Object Storage API (SOSAPI)
Využití ve Veeam Backup & Replication
Object First Ootbi je ověřeno a testováno společností Veeam. Získalo status Veeam Ready v kategorii Primary Target a Capacity Target s vlastnostmi Object Storage, Immutability, IAM & STS, Smart Object Storage API.
Od Veeam Backup & Replication 12 můžeme použít objektové úložiště pro přímé ukládání záloh. Ve verzi 11 jsme mohli využít v rámci Scale-Out Backup Repository jako Capacity Tier nebo Archive Tier. Nyní tedy můžeme používat pro primární i sekundární kopie dat.
Dokumentace
Řadu obecných informací o objektových úložištích, fungování a využití Immutability (hlavně ve VBR 12) a příklady použití některých úložišť obsahují starší články.
- Co je objektové úložiště (Object Storage)?
- Veeam Backup & Replication - Immutable Repository a bezpečné zálohy
- Veeam Backup & Replication - Object Storage Repository a Immutability
- Jak Veeam pracuje s objektovým úložištěm a využitím Immutability
- Výběr bezpečného úložiště záloh pro Veeam
Nasazení (zprovoznění) Object First Ootbi
Testoval jsem rackové zařízení velikosti 2U postavené na SuperMicro serveru. Když zařízení vybalíme, tak jej můžeme rovnou namontovat do racku, protože správu zvládneme pohodlně pomocí IPMI (Intelligent Platform Management Interface) vzdálené konzole. Alternativně můžeme připojit klávesnici a monitor a provádět lokálně, to je ale značně nepohodlné.
Pozn.: IMPI je standardizované rozhraní pro nezávislou správu a monitoring serveru (autonomní počítačový subsystém oddělený od CPU, OS či firmwaru serveru). Obdoba proprietárního HPE iLO či Dell DRAC.
Připojit potřebujeme (optimálně) napájení ke dvěma různým zdrojům, 1 Gbps management síť (IPMI) a 2x 10 Gbps Ethernet LAN buď pomocí RJ45 nebo SFP+ portů.
Pozn.: Object First si zakládá na jednoduchosti, ale možná až příliš. Na webu se mi povedlo nalézt pouze instalační příručku, která je velmi stručná. Až když jsem měl vše nainstalované, tak se ve webovém rozhraní nachází odkaz na podrobnější dokumentaci (nápovědu), který uvádím výše.
Webové připojení na IMPI Remote Console
Výchozí nastavení IPMI by mělo být, že IP adresu získává z DHCP, uživatel je ADMIN (opravdu velkými písmeny) a heslo nalezneme na štítku, který se vysouvá z levé přední strany zařízení.
Pomocí webového prohlížeče se připojíme na IP adresu IPMI https://<IPMI-IP-or-name> (případně si vytvoříme DNS záznam) a přihlásíme jménem a heslem. Na dashboardu je možno otevřít Remote Console, která se spustí v novém okně.
Rozhraní pro správu
- Text User Interface (TUI) - textové rozhraní, přístupné přes fyzickou konzoli serveru, vzdálenou virtuální konzoli či SSH
- Web UI (Web Management Console) - webové rozhraní, běží na portu
8443
Nastavení nového clusteru
Na první obrazovce zvolíme, že chceme konfigurovat nový cluster. Dále pak procházíme průvodce.
I don't have an Ootbi cluster. Configure a new cluster for the appliance
Pozn.: Pokud by se zobrazilo přímo menu Available options, tak zvolíme první položku Setup New Cluster.
Configure network interface
Nejprve nastavujeme síťová rozhraní. Musíme zvolit, zda využijeme metalické RJ45 porty nebo SFP+ moduly (nesmíme kombinovat různé typy rozhraní). Připojíme je do stejné sítě (obě rozhraní musí patřit do stejného subnetu). Nepoužívá se Link Aggregation (PortChannel).
Důležité je znát Linuxové označení portů, abychom je při konfiguraci správně identifkovali. Konfigurovat (zapnout) musíme pouze použitá rozhraní.
eno1,eno2– 10GBase-T, RJ45 interface integrovaný na desceens2f0,ens2f1– 10G SFP+ karta
Zadáváme IP adresu, masku, síťovou bránu a jeden nebo dva DNS servery.
Configure hostname
Zadáme jméno uzlu (konfigurované appliance). Při pokračování (Next) dojde k aplikaci síťové konfigurace.
Time synchronization settings
Buď necháme předvyplněný server 1.pool.ntp.org nebo zadáme vlastní NTP server.
Pozn.: Defaultně je zatrženo Use NTS protocol (NTS - Network Time Security), ale tuto volbu jsem musel zrušit, jinak synchronizace času selhala a nedalo se pokračovat. Důležité je, že když nedojde k synchronizaci času, tak nelze pokračovat v konfiguraci. Takže musí být funkční síťová komunikace, kterou jsme v předchozím kroku nastavovali.
Checking for updates
V dalším kroku se kontrolují aktualizace. Pokud nefunguje komunikace, tak máme možnost nastavit Proxy. Je možno přeskočit a pokračovat dále.
Pozn.: Ani později mi komunikace na aktualizace nefungovala. Musel jsem na Firewallu nastavit výjimku ze SSL inspekce pro adresu repo.objectfirst.com.
Configure cluster name and the IP address
Zadáme jméno vytvářeného clusteru a clusterovou IP adresu, která slouží pro přístup na Cluster Web Console (na portu 8443) pro správu a dohled a S3 endpoint (port 443) pro data. IP adresa musí být ze stejného subnetu jako adresy rozhraní (ty můžeme také použít pro přístup na správu clusteru).
Pozn.: Zde jsem narazil na malou chybu. Na začátku jsem nastavil všechna 4 rozhraní (protože mi nebylo jasné, která jsou která). I když jsem následně 2 zakázal, tak adresa musela zůstat v konfiguraci a nyní jsem ji nemohl použít jako clusterovou IP adresu.
Set the administrator password
Výchozí účet pro správu serveru i clusteru (přes Web UI i TUI) se jmenuje objectfirst. Musíme zadat jeho heslo, které musí mít alespoň 15 znaků, být komplexní a nesmí jít o heslo ze slovníku nevhodných hesel (to se mi při testu povedlo trefit).
Cluster configuration completed
Dojde k vytvoření clusteru a zobrazí se základní informace.
Telemetry service
Poslední krok je volba, zda chceme zasílat telemetrii na Object First Support, což umožní reportovat kritické události.
Text User Interface menu
Následně se zobrazí možnosti konfigurace přes textové rozhraní.
Zatím zde nejsou žádné komentáře.