CZ 
17.01.2025 Drahoslav VÍTEJTE V MÉM SVĚTĚ

An English translation is available for this article. Pro tento článek je dostupný anglický překlad.
Veeam Backup & Replication - Object Storage Repository and Immutability

Veeam Backup & Replication - Object Storage Repository a Immutability

| Petr Bouška - Samuraj |
Tento článek se zabývá použitím objektového uložiště (Object Storage) jako primárního úložiště záloh (Backup Repository). Využít jej můžeme také pro uložení sekundární kopie záloh (Backup Copy). Cílem je použití vlastnosti neměnnosti (Immutability) objektových úložišť pro zabezpečení zálohovaných dat před Ransomware apod. Prakticky si popíšeme dvě varianty. První, kdy je objektové úložiště S3 kompatibilní (v našem případě NetApp ONTAP). A druhou s Microsoft Azure Blob Storage (Storage account).
zobrazeno: 343x (291 CZ, 52 EN) | Komentáře [0]

Pozn.: Popis v článku vychází z Veeam Backup & Replication 12.3, licencováno pomocí Veeam Universal License (VUL), tedy obdoba Enterprise Plus.

Neměnné zálohy a objektová úložiště

Princip Immutability, a možnosti, jak ji dosáhnout ve Veeam Backup & Replication, popisuje podrobně článek Veeam Backup & Replication - Immutable Repository a bezpečné zálohy. Jde o zajištění, že data (zálohy) nemohou být změněna ani smazána zadanou dobu (Immutability Period) po jejich vytvoření. Jde o princip Write Once Read Many (WORM), kdy můžeme data jedinkrát zapsat a neomezeně číst.

Největší skupinou úložišť, která Immutability podporují, jsou (určitá) objektová úložiště. A jejich hlavní kategorie S3 kompatibilní úložiště s funkcí S3 Object Lock. Obecný popis a fungování objektových úložišť obsahuje článek Co je objektové úložiště (Object Storage)?

S3 Compatible Object Storage Repository

Příprava S3 Object Storage na ONTAP

Jako S3 kompatibilní objektové úložiště můžeme použít NetApp ONTAP. Konfiguraci jsme popsali v minulém článku NetApp ONTAP S3 Object Storage.

  • nakonfigurujeme SVM s S3 protokolem
  • vytvoříme S3 kbelík (Bucket), do kterého se budou ukládat zálohy, protože chceme využít Immutability, tak musíme zapnout object locking
  • pro přístup potřebujeme uživatele s nastavenými právy, tedy jeho přístupový a tajný klíč (access and secret key)

Dokumentace

Vytvoření Backup Repository S3 Compatible

  • Veeam Backup & Replication Console
  • Backup Infrastructure - Backup Repositories - Add Repository
  • zvolíme Object Storage - S3 Compatible - S3 Compatible
Veeam Backup & Replication - Add S3 Compatible Object Repository
  • Name - unikátní název a popis úložiště
  • Account
    • Service Point - zadáme FQDN (ideálně kvůli certifikátu) nebo IP adresu objektového úložiště (použije se https, můžeme také zadat port)
    • Region - pro OnPrem úložiště patrně není důležité, us-east-1 funguje
    • Credentials - vybereme nebo přidáme přístupové údaje k objektovému úložišti (Access key a Secret key)
    • Connection mode - volíme způsob přenosu dat do objektového úložiště, buď přímý nebo skrze bránu
Veeam Backup & Replication - Add Object Storage Repository - Account
  • Bucket
    • Bucket - vybereme předem připravený kbelík pro ukládání záloh
    • Folder - vybereme existující složku nebo vytvoříme novou
    • Limit object storage consumption to - můžeme určit měkký limit využití úložiště, pokud je limit překročen, tak se běžící úloha dokončí, ale nová se nespustí
    • Make recent backups immutable - můžeme nastavit immutability period, tedy dobu, po kterou není možné uložená data měnit nebo mazat, GUI dovoluje zadat 1 až 90 dní, delší období můžeme nastavit pomocí PowerShellu
Veeam Backup & Replication - Add Object Storage Repository - Bucket
  • při přechodu do dalšího kroku můžeme dostat nějaké varování nebo chybu (třeba chybějící licenci na NetApp a tedy nemožnost použít funkci S3 Object Lock)
Veeam Backup & Replication - Add Object Storage Repository - errors
  • Mount Server - vybereme mount server a jeho parametry pro obnovu souborů a aplikačních položek
  • Review - klikneme na Apply a proběhne instalace a konfigurace všech požadovaných komponent

Azure Blob Storage Repository

Azure Blob Storage je cloudové řešení společnosti Microsoft poskytující objektové úložiště. Využívá tři typy prostředků Storage account, Container a Blob.

Omezení a podpora

Azure Blob Storage podporuje Immutability, kterou můžeme aktivovat buď na úrovni Storage account, Container nebo Version. Pro využití s Veeam Backup & Replication máme řadu omezení, která musíme dodržet, aby neměnnost korektně fungovala a Veeam ji mohl řídit (nepoužívá se řízení Azure politikami).

  • musíme aktivovat verzování pro Storage account
  • Immutability musí být nastavena na úrovni kontejneru (ne pro Storage account)
  • není podporována Default immutability policy(nesmí být povolena)
  • není podporováno Soft delete for blobs (nesmí být povoleno)
  • nesmíme konfigurovat Lifecycle management policies pro data kontejneru
  • nesmíme povolit neměnnost pro již existující kontejner (musíme vytvořit nový)

Vytvoření Azure Blob Storage

Vytvoření Storage account

  • Microsoft Azure portal
  • v rámci naši Azure subscription a určité Resource group vytvoříme (Create) Storage account
  • na několika kartách vyplňujeme parametry pro vytvářený Storage account (zde jsou uvedeny jen hlavní položky)
  • Basics
    • Storage account name - jméno, které musí být globálně unikátní v rámci Azure (Storage account already taken)
    • Performance - výkon Standard pro běžný general-purpose v2 storage account
    • Redundancy - podle potřeby, nejlevnější je Locally-redundant storage (LRS)
Azure portal - Create Storage account - Basics
  • Advanced
    • Security - Allow enabling anonymous access on individual containers - zakážeme
    • Security - Enable storage account key access - povolíme, pokud chceme umožnit autorizaci pomocí přístupového klíče
    • Blob storage - Access tier - podle potřeby a nákladů volíme Hot, Cool nebo Cold
  • Networking
    • Network connectivity - Network access - zvolíme Enable public access from all networks
  • Data protection
    • Recovery - Enable soft delete for blobs - zakážeme, musí být vypnuté
    • Tracking - Enable versioning for blobs - povolíme, je podmínka pro využití neměnnosti
    • Access control - Enable version-level immutability support - zakážeme, Veeam doporučuje využít neměnnost na úrovni kontejneru
Azure portal - Create Storage account - Data protection

Vytvoření Container

  • otevřeme vytvořený Storage account
  • Data storage - Containers - New container
  • Name - jméno kontejneru (malá písmena, číslice a pomlčka)
  • klikneme na Advanced
  • Enable version-level immutability support - povolíme pro využití neměnnosti
Azure portal - New container

Získání Access key

Přistupovat k úložišti můžeme pomocí přístupového klíče (Access key) nebo Entra ID účtu.

  • otevřeme vytvořený Storage account
  • Security + networking - Access key
  • pro Veeam potřebujeme Storage account name a jeden z klíčů

Vytvoření Backup Repository Azure Blob Storage

Adding Azure Blob Storage

  • Veeam Backup & Replication Console
  • Backup Infrastructure - Backup Repositories - Add Repository
  • zvolíme Object Storage - Hyperscalers - Microsoft Azure Storage - Azure Blob Storage
  • Name - unikátní název a popis úložiště
  • Account
    • Credentials - vybereme nebo přidáme přístupové údaje ke Storage account (můžeme použít Access key, zde nazvaný Shared key)
    • Region - standardně Azure Global (Standard)
    • Connection mode - volíme způsob přenosu dat, buď přímý nebo skrze bránu
Veeam Backup & Replication - Add Object Storage Repository - Account
  • Container
    • Container - vybereme předem připravený kontejner pro ukládání záloh
    • Folder - vybereme existující složku nebo vytvoříme novou
    • Limit object storage consumption to - můžeme určit měkký limit využití úložiště, pokud je limit překročen, tak se běžící úloha dokončí, ale nová se nespustí
    • Make recent backups immutable - můžeme nastavit immutability period, dobu, po kterou není možné uložená data měnit nebo mazat, GUI dovoluje zadat 1 až 90 dní, delší období můžeme nastavit pomocí PowerShellu
    • Use cool blob storage tier (may result in higher cost) - pro určité situace můžeme využít tuto volbu, ale musíme zvážit náklady vs. využití
Veeam Backup & Replication - Add Object Storage Repository - Container
  • Mount Server - vybereme mount server a jeho parametry pro obnovu souborů a aplikačních položek, tlačítkem Configure můžeme nastavit Helper Appliance, která se dočasně nasadí v Azure pro health check a uplatnění retence
Veeam Backup & Replication - Add Object Storage Repository - Mount Ser
  • Review - klikneme na Apply a proběhne instalace a konfigurace všech požadovaných komponent

Backup Job

Backup Repositories

Přehled vytvořených úložišť.

Veeam Backup & Replication - Backup Repositories

Vytvoření Backup Job

Zálohovací úlohu vytvoříme standardním způsobem, například podle Veeam Backup & Replication - Backup Job. Jako Storage - Backup repository vybereme naše Azure Blob Storage Repository nebo S3 Compatible Repository. Neměnnost záloh bude minimálně taková, jako Immutability period zadaná na úložišti (Backup Repository).

Veeam Backup & Replication - New Backup Job - Storage

Backups - Object Storage

Po provedení zálohovací úlohy uvidíme vytvořené zálohy ve složce Object Storage.

Veeam Backup & Replication - Backups - Object Storage

Pokus o smazání souborů zálohy

Když zkusíme smazat zálohu ve Veeam Backup & Replication, tak ke smazání nedojde a dostaneme informaci, že do určitého data je nastavena Immutability. Pro test jsem nastavil Immutability period pouze 1 den, přesto se ukazuje, že soubor je neměnný 11 dní. Vysvětlení je v Block Generation.

Veeam Backup & Replication - Immutability - delete from backup

Objektové úložiště

Ukládání záloh

Objektové úložiště nepracuje se soubory, ale s objekty. Veeam rozdělí soubory záloh na bloky určité velikosti a ty nahrává jako objekty. Neměnnost se nastavuje na každý objekt. Ve výchozím nastavení se pracuje s velikostí bloku 1 MB, každý blok se následně komprimuje.  Výsledkem je spousta souborů o velikosti do 1 MB.

Během přírůstkové zálohy se nahrávají pouze nová nebo změněná data jako nové objekty. U existujících dat se pouze aktualizuje datum neměnnosti. Aby se ušetřily I/O operace, tak Veeam přidává několik dní k datu vypršení platnosti neměnnosti. Označuje se Block Generation.

S3 Browser - Veeam backup files - objects

Přístup k objektům na S3 kompatibilním objektovém úložišti

Jako nástroj pro správu S3 úložiště můžeme využít například AWS CLI, S3 Browser GUI nebo Rclone. Na mnoha místech je doporučován S3 Browser, který je šikovný a pohodlný. Na webu se uvádí, že je k dispozici freeware verze, ale po instalaci je uvedeno, že je pouze pro nekomerční použití. Navíc má různá omezení, například nedovoluje mazání více objektů najednou.

S3 Browser umožňuje mazat i verze objektů na záložce Versions. A dovolí také smazat celý kbelík, i když obsahuje objekty nebo jejich verze.

S3 Browser

Přístup k objektům na Azure Blob Storage

Přímo v Microsoft Azure portal se pod Storage account nachází Storage browser (nebo můžeme přímo otevřít určitý kontejner), který umožňuje práci s objekty. Více možností nabízí aplikace Azure Storage Explorer.

Níže je vidět neúspěšný pokus o smazání dat zálohy.

Azure portal - Storage account - Storage browser

Související články:

Veeam Backup & Replication

Články, které se věnují zálohovacímu řešení společnosti Veeam Software. Jde o platformu pro zálohování (Backup), replikaci (Replication) a obnovu (Restore) dat. Jinak řečeno řešení pro ochranu dat (Data Protection) a obnovu po havárii (Disaster Recovery).

Zálohování - Backup

Články věnující zálohování (Backup), replikaci (Replication) a obnově (Restore) dat. Tedy ochraně dat (Data Protection) pomocí záložních kopií a obnově po havárii (Disaster Recovery).

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

Zatím zde nejsou žádné komentáře.

Přidat komentář

Vložit tag: strong em link

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách