www.SAMURAJ-cz.com 

25.04.2024 Marek Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Veeam Backup & Replication - automatické testování obnovy

Neděle, 20.11.2022 15:47 | Samuraj - Petr Bouška |
Osmý díl mého seznamování se zálohovacím řešením Veeam se věnuje automatickému testování obnovy zálohovaných VM. Tedy ověření, že je VM v záloze funkční. Celá technologie se jmenuje SureBackup. Nejprve musíme vytvořit virtuální laboratoř (Virtual Lab) na VMware nebo Hyper-V, kde budou v izolovaném prostředí testy probíhat. Většinou využijeme aplikační skupiny (Application Group) pro určení služeb (VM), na kterých naše testované VM závisí, nebo rovnou pro ověření VM. Vlastní úloha, která provádí ověření, se jmenuje SureBackup Job.

Pozn.: Popis v článku vychází z Veeam Backup & Replication 11a, licencováno pomocí Veeam Universal License (VUL), tedy obdoba Enterprise Plus.

Recovery Verification - ověření obnovení

Dokumentace SureBackup pro VMware, SureBackup pro Hyper-V

Podíváme se na technologii SureBackup, která umožňuje testovat zálohovaná VM. Pro VMware je k dispozici také SureReplica.

SureBackup využívá komponenty

  • Virtual Lab
  • Application Group
  • SureBackup Job

Konfigurace se nachází ve Veeam Backup & Replication Console v Backup Infrastructure - SureBackup.

Veeam Backup & Replication - Backup Infrastructure - SureBackup

Stručný princip ověření obnovení

  • nastartuje VM ze zálohy pomocí Instant Recovery (přímo ze zálohovacího úložiště) v isolovaném prostředí
  • VM běží ve virtuálním labu se speciální interní sítí, aby nedošlo ke konfliktům s produkcí
  • provede definované testy, aby ověřil jeho funkčnost
  • po skončení zruší publikování VM (vypne) a vytvoří se report

SureBackup má různá omezení. Důležité je, že ověřovat můžeme pouze VM zálohy (ne zálohy agentem) a pouze na labu stejné platformy (VMware nebo Hyper-V). V rámci jedné ověřovací úlohy nemůžeme kombinovat VM různých platforem.

Virtual Lab - virtuální laboratoř

  • isolované virtuální prostředí (Sandbox), kde můžeme nastartovat ověřovaná VM
  • běží na infrastruktuře VMware nebo Hyper-V
  • jde o určité objekty a prostředky na zvoleném ESXi nebo Hyper-V serveru (hostiteli)
  • sám o sobě nespotřebovává zdroje, při startu VM konzumuje odpovídající prostředky na ESXi/Hyper-V hostiteli, kde je Virtual Lab nasazen
  • VM startují přímo z Backup Repository pomocí Instant Recovery (na VMware využívá vPower NFS Service)
  • VM běží ve stavu pouze pro čtení, změny se zapisují do redo logu ve virtuálním labu, po skončení jsou smazány
  • síťově je oddělen od produkčního prostředí, na VMware se vytvoří Virtual Switch a Port Group, na Hyper-V jde o Private Network
  • síťová konfigurace VM je stejná jako v produkci (VM mají stejné IP adresy a síťová rozhraní), ale sítě jsou odděleny
  • komunikace je možná pouze pomocí volitelné Proxy Appliance, která je připojena do obou sítí, za využití směrování a NATu

Virtual Lab můžeme využít nejen pro SureBackup, tedy testy obnovy VM, ale také pro Universal Application Item Recovery (U-AIR), obnova aplikačních položek přímo ze zálohovaného VM, On-Demand Sandbox (třeba pro interní testování, školení a řešení problémů) nebo postupné obnovení.

Veeam Backup & Replication - SureBackup schéma Virtual Lab

Proxy Appliance

  • nasazujeme volitelně, pokud chceme umožnit síťovou komunikaci do testovaného VM (a testování po síti)
  • umožňuje bezpečnou komunikaci mezi produkčním prostředím a isolovanou sítí virtuálního labu
  • jde o pomocné VM založené na Linuxu, které Veeam nasadí na ESXi/Hyper-V hostitele, kde je vytvořen Virtual Lab
  • musí mít přiřazenu IP adresu z produkční sítě (má do ní virtuální síťový adaptér), mělo by jít o stejnou síť (VLAN), kde se nachází Backup Server (kvůli směrování komunikace)
  • v rámci izolovaných sítí ve Virtual Lab využívá síťové adaptéry (vNIC), pro každou izolovanou síť jeden (aby do nich mohl komunikovat)

Pozn.: Důležitý je termín síť (network). Standardně je produkční síť (Production Network) tvořena řadou podsítí či VLAN, které jsou mezi sebou routované. Veeam ale termínem síť patrně označuje jeden subnet, jednu VLAN. Používá termín Production network pro originální síť, kde je VM, a Isolated network pro stejnou/mapovanou síť v labu.

IP Masquerading - Network Address Translation (NAT)

  • Proxy Appliance využívá, pro komunikaci do izolovaných sítí (na testovaná VM), překlad adres (NAT)
  • VM v labu mají svoji originální IP adresu z rozsahu provozní sítě, ale jsou připojeny do izolované Lab sítě
  • Proxy je připojena do produkční sítě (VLAN) a má přiřazenu IP adresu
  • má také nastaven speciální rozsah, který se v produkci nepoužívá, například pro produkční síť 10.0.0.0/24 použije 10.255.0.0/24
  • Proxy je také připojena do izolované Lab sítě a zde má přiřazenu IP adresu, standardně adresu původní síťové brány, například 10.0.0.1
  • Proxy překládá (NATuje) komunikaci pro cílové adresy 10.255.0.0/24 na adresy 10.0.0.0/24 do Lab sítě, například 10.255.0.10 přeloží na 10.0.0.10
  • když chceme komunikovat na testované VM, tak použijeme jeho IP adresu a v našem případě změníme druhý oktet, musíme ale zajistit, aby tato komunikace (cílový subnet je v naší síti neznámý) došla na Proxy Appliance, která zajistí další směrování, to můžeme udělat pomocí lokální směrovací tabulky na počítačích ve stejném subnetu (síti) jako je Proxy
  • na Backup Serveru se směrovací tabulka nastavuje automaticky při startu virtuálního labu
  • můžeme také využít Static IP Mapping, pokud vytvoříme Advanced Single-host Virtual Lab, pak můžeme v produkční síti (ve stejném subnetu jako je Proxy) vyhradit další IP adresu (na kterou mohou klienti v síti standardně komunikovat), která bude napevno mapována na určitou adresu do Lab sítě na Proxy Appliance (k ní se IP adresa přiřadí)

Záznam v Route Table na Backup serveru může vypadat následně. 

Network Destination  Netmask       Gateway     Interface    Metric
10.255.0.0           255.255.255.0 10.0.0.100  10.0.0.200   21

Pozn.: Veeam nijak nekontroluje, zda je Proxy a Backup server ve stejné síti. Takže nás nechá vytvořit konfiguraci, která nebude fungovat (Backup server nebude schopen do lab sítě komunikovat).

Konfigurace Virtual Lab sítí (Networking Mode)

Při vytváření virtuální laboratoře volíme síťování (Networking). Pokud vystačíme se základním, tak se vše nastaví automaticky. Pokud potřebujeme rozšířené, tak nastavujeme řadu dalších parametrů a některé věci musíme upravit.

  • Basic Single-host Virtual Lab
    • můžeme využít, pokud je vše připojeno do stejné sítě (VLAN), tedy ověřovaná VM, Backup Server i Proxy Appliance
    • vytvoří se jedna virtuální isolovaná síť mapovaná na produkci, vytváří se podle parametrů sítě, kde je Backup Server
    • na ESXi se vytvoří Resource Pool, VM folder, Standard vSwitch, na Hyper-V se vytvoří Private virtual switch, vytvořené switche využijí pouze VM startovaná v labu
    • Veeam automaticky nakonfiguruje všechna nastavení, včetně Proxy Appliance
  • Advanced Single-host Virtual Lab
    • pokud chceme ověřovat VM z více sítí, VM má závislost na VM z jiné sítě nebo je ověřované VM v jiné síti než Backup Server
    • vytvoří se více mapovaných virtuálních sítí, odpovídající produkčním sítím, do kterých jsou ověřovaná VM připojena
    • na ESXi se vytvoří Resource Pool, VM folder, Standard vSwitch, na Hyper-V se vytvoří Private virtual switch, vytvořené switche využijí pouze VM startovaná v labu
    • Veeam nakonfiguruje základní nastavení sítí ve virtuálním labu, musíme zkontrolovat a ručně doladit
  • Advanced Multi-host Virtual Lab - speciální případ, může se využít pro VM zálohy nebo VM repliky na různých ESXi hostitelech (pouze pro VMware)
Veeam Backup & Replication - Virtual Lab - Networking

Vytvoření Virtual Lab

  • Backup Infrastructure - SureBackup - Virtual Labs

Virtual Lab můžeme vytvořit na VMware nebo Hyper-V, případně se můžeme připojit k existujícímu labu.

  • Name - jméno virtuálního labu (třeba VMwareLab, Sandbox-01), případně doplníme popis
  • Host - pro VMware vybíráme ESXi server, kde bude lab vytvořen, pro každý lab se vytvoří složka (to není možné pro samostatný ESXi) a Resource Pool (to je možné pouze pro samostatný ESXi nebo cluster se zapnutým DRS, což vyžaduje licenci minimálně vSphere Enterprise)
  • Destination - pro Hyper-V vybíráme obdobně hostitele, kde bude lab vytvořen, pro každý lab se vytvoří vyhrazená složka, do které se zkopírují soubory Proxy Appliance, také slouží jako Mount Point pro startovaná VM
  • Datastore - pro VMware můžeme vybrat úložiště pro redo logy (kam se zapisují změny v běžícím VM, po skončení úlohy se mažou), defaultně se ukládá na vPower NFS server
  • Proxy - pokud chceme povolit komunikaci do izolovaného labu, tak musíme nastavit Proxy Appliance, má určité defaultní parametry, které můžeme změnit, důležité je vybrat produkční síť (VLAN stejnou, kde je Backup Server) a v ní nastavit IP adresu, standardně nemají VM z labu přístup do internetu, můžeme nastavit využití http(s) Proxy (musíme pak nastavit proxy uvnitř VM)
Veeam Backup & Replication - Virtual Lab - Proxy
  • Networking - vybíráme režim sítě Basic Single-host, Advanced Single-host (nastavujeme další kroky) a Advanced Multi-host (pouze pro VMware)

Pokud zvolíme režim Advanced Single-host, tak se dále konfiguruje

  • Isolated Networks - nastavujeme mapování produkčních sítí (vybíráme z virtualizace) na vytvořené isolované sítě v labu (zadáme název nebo vybereme existující, přidáme VLAN ID), můžeme vytvořit max. 9 sítí
Veeam Backup & Replication - Virtual Lab - Isolated Networks
  • Network Settings - pro každou vytvořenou izolovanou síť musíme zadat síťové parametry, vytváří se vNIC na Proxy Appliance, zadáváme IP adresu v této síti (bránu) a masku, což odpovídá produkční VLAN, nastaví se Masquerade síť, kterou můžeme změnit, tedy NATované adresy, můžeme povolit DHCP server, globálně můžeme povolit komunikaci (směrování) mezi zadanými isolovanými sítěmi, Proxy bude fungovat jakou router, aby ověřovaná VM mohla spolu komunikovat
Veeam Backup & Replication - Virtual Lab - Network Settings
  • Static Mapping - můžeme vytvořit mapování určité produkční IP adresy (ze stejné sítě, kde je Proxy) na IP adresu v isolované síti
Veeam Backup & Replication - Virtual Lab - Static Mapping

Application Group - aplikační skupina

Testované VM často potřebuje určité služby pro svůj běh. Například DNS, doménový řadič, databázi apod. Můžeme vytvořit Application Group, kde určíme jedno nebo více VM, na kterých testované VM závisí. Nastavujeme pořadí startu a roli každého VM. Testované VM startuje, až když běží všechna VM z aplikační skupiny.

Podle Veeam popisu jsou standardně testovaná VM určená v Linked Jobs. Ale VM zadaná v aplikační skupině se také ověřují. Můžeme určit testy, které se mají provést pro jejich ověření, stejně jako pro VM v Linked Jobs. VM ve skupině běží po celou dobu běhu SureBackup úlohy. Můžeme nastavit, aby běžela i poté.

Bohužel, všechna VM musí být stejné platformy, tedy VMware nebo Hyper-V. Jak VM v aplikační skupině, tak ta v Linked Jobs.

Vytvoření Application Group

  • Backup Infrastructure - SureBackup - Application Groups

Vytvořené aplikační skupiny je jednoduché. Určujeme, zda vytváříme VMware nebo Hyper-V skupinu. Přidáváme VM, které skupinu tvoří. Pro Hyper-V vybíráme VM z existujících Hyper-V záloh. Pro VMware můžeme vybírat VM z existujících VMware záloh, replik nebo Storage Snapshot. VM jsou v seznamu v pořadí, jak budou startovat.

Pro každé VM ve skupině můžeme nastavit možnosti a testy ověření obnovy (Recovery Verification Options and Tests). To samé můžeme nastavit pro VM v Linked Jobs v SureBackup Job.

Veeam Backup & Replication - Application Group

Verification Options - možnosti ověření

Pro každé VM ve skupině můžeme nastavit jeho roli (Role) nebo ručně parametry.

Role

Předdefinované role jsou DNS server, DC, Global Catalog, Mail Server, SQL Server, Web Server, Veeam Backup for Microsoft Office 365. Volba role automaticky nastaví možnosti spuštění a testovací skripty. Tyto hodnoty můžeme upravit nebo nemusíme volit roli a nastavíme ručně.

Role jsou popsány pomocí XML souborů ve složce %ProgramFiles%\Veeam\Backup and Replication\Backup\SbRoles. Můžeme vytvořit vlastní role.

SureBackup Job provádí různé ověřovací testy - Backup Recovery Verification Tests, které závisí na roli nebo ručním nastavení. Jde o Heartbeat, ping a aplikační testy.

Veeam Backup & Replication - Verification Options - Role

Startup Options

  • Memory - kolik procent paměti originálního VM má mít přiděleno
  • Maximum allowed boot time - do kdy musí VM nabootovat, jinak ověření selže
  • Application initialization timeout - jak dlouho se čeká na start aplikací ve VM
  • VM heartbeat is present - provede heartbeat test pomocí VMware Tools / Hyper-V Integration Services
  • VM responds to ping on any network interface - testuje pomocí ping, musí být dostupná síťová komunikace (a neblokováno na FW ve VM)
Veeam Backup & Replication - Verification Options - Startup Options

Test Script

Můžeme použít předdefinované testovací skripty nebo zadat parametry k vlastním.

Credentials

Standardně se ověřovací skripty spouští pod účtem, pod kterým běží Veeam Backup Service. Pokud potřebujeme, tak můžeme vybrat jiný.

SureBackup Job

SureBackup Job je úloha pro ověření obnovy. Spojuje nastavení a politiky ověřování, jako Application Group, Virtual Lab a VM backup. Můžeme spouštět ručně nebo automaticky. Vytvořené úlohy SureBackup se nachází standardně mezi ostatními úlohami v Home - Jobs.

Průběh úlohy

  • nastartuje Virtual Lab
  • nastartuje VM z Application Group v daném pořadí a ověří je, ty zůstanou běžet po celou dobu testu nebo můžeme nastavit, aby běžela i po skončení testu (pokud bychom chtěli dělat manuální operace)
  • nastartuje ověřovaná VM (z Linked Job) a dle nastavení je ověří (po jednom nebo určitý počet současně)
  • po skončení se VM vypnou a odpublikují, Virtual Lab se zastaví

Detailní popis kroků SureBackup Job Processing.

Vytvoření SureBackup Job

Při vytváření SureBackup Job rovnou volíme platformu VMware nebo Hyper-V.

  • Name - jméno úlohy (třeba SureBackup-Exchange), případně doplníme popis
  • Virtual Lab - vybereme virtuální laboratoř, která se použije pro testy, zobrazí se informace o hostiteli a úložišti
  • Application Group - volitelně vybereme aplikační skupinu, máme zde volbu Keep the application group running after the job completes
  • Linked Jobs - volitelně vybereme jeden nebo více Backup Job jehož VM chceme ověřovat, zadáváme, kolik VM se může zpracovávat současně, stejně jako u Application Group můžeme nastavit možnosti ověření, buď společně pro celý Backup Job nebo pro jednotlivá VM (tlačítko Advanced)
  • Settings - další nastavení nám umožní provést kontrolu integrity virtuálního disku (CRC), pokud máme instalovaný a nastavený antivir, tak pro VM s Windows můžeme provést kontrolu malware, informaci o výsledku testu můžeme poslat jako SNMP trap nebo email (důležité je, pokud v General Options u E-mail Settings nemáme povolené Notify on Success, tak nám zpráva o úspěšném testu nepřijde)
Veeam Backup & Replication - SureBackup Job - Settings
  • Schedule - můžeme naplánovat pravidelné spouštění úlohy (druhá možnost je spouštět ručně) určité dny v týdnu nebo měsíci nebo zřetězit s jinou úlohou a spustí se po jejím dokončení

Praktické použití

Podle Veeam popisu standardně využijeme Application Group, kam zařadíme podpůrná VM, a Linked Job, kde jsou vlastní testovaná VM. Ale testování, dle zadaných parametrů, se provádí všech VM. Takže pro ověření funkčnosti zálohovaného VM je jedno, zda je v Application Group nebo Linked Jobs. V SureBackup Job musí být nastaveno alespoň jedno.

Nevýhoda Linked Jobs je, že zde nemůžeme vybrat určité VM z Backup Job, ale zadáváme celou úlohu a ověřují se všechna VM v ní. Obecná nevýhoda je, když máme heterogenní prostředí s VMware i Hyper-V, že je nemůžeme kombinovat v jednom labu. Takže pokud máme infrastrukturní služby (na kterých ověřované VM závisí) na jiné platformě než ověřované VM, tak nemůžeme komplexní test provést.

Prakticky tedy můžeme dát ověřované VM do Application Group a nevyužít žádný Linked Job. To je nutné i pro situace, kdy chceme Virtual Lab využít jako Sandbox pro určité ruční testy. Musíme využít nastavení Keep the application group running after the job completes v kroku Application Group, aby nám zůstala VM běžet. SureBackup Job nastartuje prostředí a provede testy, pak zůstane běžet. Když přestaneme VM z aplikační skupiny potřebovat, tak úlohu ručně ukončíme - Stop Session.

Detailní logy o průběhu testovací úlohy nalezneme na Veeam Serveru ve složce %PROGRAMDATA%\Veeam\Backup\.

Veeam Backup & Replication - SureBackup Job - Statistics
zobrazeno: 1989krát | Komentáře [0]

Autor:

Související články:

Zálohování - Backup

Články věnující zálohování (Backup), replikaci (Replication) a obnově (Restore) dat. Tedy ochraně dat (Data Protection) pomocí záložních kopií a obnově po havárii (Disaster Recovery).

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

Zatím tento záznam nikdo nekomentoval.

Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách