CZ 
30.11.2025 Ondřej VÍTEJTE V MÉM SVĚTĚ

An English translation is available for this article. Pro tento článek je dostupný anglický překlad.
Veeam Hardened Repository Part 2 - Installation on HPE ProLiant DL380 G11

Veeam Hardened Repository část 2 - instalace na HPE ProLiant DL380 G11

| Petr Bouška - Samuraj |
Jedna z podporovaných možností neměnného úložiště (Immutable Storage) ve Veeam Backup & Replication (VBR) je Hardened Repository (VHR). Nějakou dobu nabízí Veeam spravované (Managed) VHR, které se instaluje z Veeam Hardened Repository ISO. Prakticky se podíváme na konfiguraci serveru HPE ProLiant DL380 G11 pro funkci Hardened Repository a instalaci z VHR ISO 2.0. Server je osazený NVMe SSD disky a redundantně připojený do sítě pomocí PortChannel (LACP). Pro instalaci využijeme vzdálenou správu HPE iLO (Integrated Lights-Out).
zobrazeno: 1 520x (942 CZ, 578 EN) | Komentáře [0]

Pozn.: Článek se věnuje Veeam Backup & Replication 12.3.1 a Veeam Hardened Repository ISO 2.0.0.8 for v12. Před velmi krátkou dobou byla zveřejněna Veeam Software Appliance 13 (obsahující VBR 13.0.0) spolu s Veeam Infrastructure Appliance 13, kterou lze použít jako Hardened Repository (lze přidat pouze do VBR 13). Zatím jde o Early Release a není k dispozici upgrade či migrace z verze 12. Hardened Repository instalované z VHR ISO 2.0 by v budoucnu mělo jít povýšit na Veeam Infrastructure Appliance 13.

Výběr úložiště záloh

Dlouho jsem studoval, testoval a porovnával různé možnosti On-Premises řešení pro primární ukládání záloh, které podporuje Immutability v prostředí Veeam Backup & Replication. Souhrnně jsem sepsal v článku Výběr bezpečného úložiště záloh pro Veeam, kde nebyl žádný závěr.

Nakonec jsem se, vzhledem k našim požadavkům a podmínkám, přiklonil k využití Veeam Hardened Repository. Finančně je to patrně nejlevnější možnost, přitom má řadu výhod, které jsem zmínil v článku. Fyzický server jsem zvolil od firmy Hewlett Packard Enterprise (HPE), model HPE ProLiant DL380 G11. Jde o testované řešení v rámci Veeam Ready programu HPE ProLiant DL380 G11 - Hardened Appliance, Immutability.

Server HPE ProLiant DL380 Gen11

Parametry serveru

  • rack server 2U Form Factor
  • procesor Intel Xeon Silver 4509Y, 8 core, 2.6GHz
  • paměť 64 GB DDR5
  • úložiště pro systém HPE NS204i-u Gen11 Boot Controller (2x 480 GB NVMe SSD, RAID 1)
  • úložiště pro data 10x 7,86 TB NVMe High Performance Read Intensive SFF
  • storage controller HPE MR416i-p Gen11
  • síť 2x 10GBase-T - BCM 57416, 10Gb 2-port Base-T OCP3 Adapter
  • síť 2x 25GBase-SR SFP28 - BCM 57414, Broadcom P225p NetXtreme-E Dual-port 10Gb/25Gb Ethernet PCIe Adapter
  • zdroj 2x HPE 1000W Flex Slot Titanium Hot Plug Power Supply
  • správa HPE iLO 6 Advanced
HPE ProLiant DL380 Gen11

Připojení do sítě

Pro správu/instalaci připojíme iLO Management Port do Gigabit Ethernet (1000Base-T) LAN pomocí metalického kabelu s RJ45 konektory.

Pro přenos dat využijeme 25 Gigabit Ethernet (25GBase-SR) s optickými kabely a LC konektory. Na straně switchů i serverů použijeme transceivery (převodníky) SFP28. Mám dobrou zkušenost s levnými OEM SFP28 transceiver 10/ 25Gbps. Server připojíme redundantně ke dvěma switchům Cisco Catalyst 9500 spojených pomocí StackWise Virtual do stacku.

Pro redundantní připojení využijeme agregaci linek pomocí IEEE 802.3ad a protokolu Link Aggregation Control Protocol (LACP). Na switchích se označuje jako Port Channel či EtherChannel, na serverech jako NIC Teaming nebo Bonding (to používá VHR instalátor).

Konfigurace v Cisco IOS či IOS XE:

interface TwentyFiveGigE1/0/1
 description backupStorage
 switchport access vlan 100
 switchport mode access
 channel-group 1 mode active
end
interface TwentyFiveGigE2/0/1
 description backupStorage
 switchport access vlan 100
 switchport mode access
 channel-group 1 mode active
end
interface Port-channel1
 description backupStorage
 switchport access vlan 100
 switchport mode access
end

Potřebujeme si připravit IP adresu v management síti pro iLO a další IP adresu a DNS jméno v síti kde bude s úložištěm komunikovat Veeam Backup & Replication infrastruktura.

Úvodní konfigurace iLO

Jako první se potřebujeme připojit na webové rozhraní iLO. Máme mnoho množností, jak provést úvodní nastavení. iLO Management Port standardně využívá DHCP. I když jej chceme připojit do sítě bez DHCP, tak můžeme nejprve použít síť, kde se DHCP server nachází.

  • připojíme iLO port do sítě
  • připojíme napájení k serveru
  • webovým prohlížečem se připojíme na přidělenou IP adresu
  • přihlásíme se úvodním uživatelským jménem a heslem, které se nachází na štítku na serveru
  • změníme výchozí uživatelské jméno a heslo v menu Administration - User Administration
  • nastavíme statickou IP adresu v menu iLO Dedicated Network Port, spolu s parametry připojení, Hostname, IPv4 či IPv6, SNTP
  • připojíme iLO port do nové sítě (či změníme VLAN)
HPE iLO 6 - iLO Dedicated Network Port - IPv4

Upgrade firmware

Na začátku je vhodné provést upgrade firmware hardwarových komponent. Můžeme stáhnout kompletní Service Pack jako ISO image z Service pack for HPE ProLiant Gen11 (rozcestník HPE SPP support bundle) a z něj nabootovat.

  • webovým prohlížečem se připojíme na iLO
  • spustíme HTML5 Integrated Remote Console (vlevo dole nebo menu Remote Console & Media)
  • nahoře klikneme na ikonu Virtual Media - CD/DVD - Local *.iso file a připojíme stažené Service Pack ISO
HPE iLO 6 - Remote Console - Virtual Media – CD/DVD
  • klikneme na ikonu Menu - Power - Momentary Press, potvrdíme OK
  • server začne bootovat z ISO, kde je výchozí možnost automatický update firmware
  • proběhne upgrade těch komponent, kde je k dispozici nová verze (celý proces je dost dlouhý, více než půl hodiny)
  • restartujeme server
HPE iLO 6 - Service Pack - Smart Update Manager

Vytvoření logického disku - konfigurace RAID

Obecně se jako optimální doporučuje použít RAID 6, který využívá dvojitou paritu (může dojít ke ztrátě 2 disků). Doporučeno je také mít 1 Spare Disk, což jsem nedodržel. Optimální RAID Stripe Size se uvádí 256 kB.

Doporučené parametry nalezneme ve starším dokumentu Selecting Hardware and Setting Up Environment for Veeam Hardened Repository. Přímo pro HPE ProLiant DL380 Gen11 máme doporučené nastavení výrobce pro použití jako Veeam Hardened Repository, dokument Veeam hardened repository installation for HPE ProLiant DL380 Gen11 Server. Odkaz je ve zprávě o testované kompatibilitě Veeam Ready - Hardened Appliance, Immutability.

Konfigurace pomocí UEFI systémových nástrojů

Pozn.: Můžeme provádět přes iLO Remote Access.

  • během startování serveru (POST) stiskneme F9 pro vyvolání UEFI System Utilities
  • System Configuration - HPE MR416i-p Gen11
  • Main Menu - Configuration Management - Create Logical Drive
HPE ProLiant Gen11 - UEFI System Utilities

Parametry logického disku

  • volíme RAID 6
  • Select Drive - vybereme disky, z kterých chceme logický disk vytvořit
  • Logical Drive Name - naše identifikace disku
  • Logical Drive Size - automaticky se nastaví maximální kapacita v TiB
  • Strip size - zvolíme 256 kB
  • Read Policy - zvolíme No Read Ahead
  • Write Policy - zvolíme Write Back, kontrolér má 8 GB trvalé cache
  • Default initialization - zvolíme Full, jinak bude inicializace probíhat pomalu a na pozadí
  • klikneme na Save Configuration, potvrdíme permanentní smazání dat Yes
HPE ProLiant Gen11 - UEFI System Utilities - Create Logical Drive

iLO informace o svazcích

Na informace o úložištích serveru se můžeme podívat v iLO - System Information - Storage.

HPE iLO 6 - System Information - Storage

Bezpečnostní nastavení

Musíme co nejvíce zabezpečit server a iLO. Detekovaná bezpečnostní rizika nalezneme v menu Information - Security Dashboard (informuje také ikona v pravém horním rohu). Doporučená nastavení se nachází v dokumentaci Security guidelines a další ve Veeam hardened repository installation for HPE ProLiant DL380 Gen11 Server.

Jde například o zapnutí Secure Boot (System Utilities - System Configuration - BIOS/Platform Configuration (RBSU) - Server Security - Secure Boot Settings), zákaz bootování z USB (System Utilities - System Configuration - BIOS/Platform Configuration (RBSU) - System Options - USB Options), použití bezpečných hesel a lépe MFA, vypnutí služeb, které nevyužíváme, vypnutí HTTP (bez šifrování) apod.

Obecně je doporučeno iLO vzdálený přístup blokovat. Fyzicky odpojit iLO port, na FW blokovat přístup a povolit pouze odchozí SMTP a SNMP nebo připojit iLO do speciální oddělené sítě. My využijeme iLO pro instalaci Veeam Hardened Repository. Takže po tu dobu potřebujeme mít vzdálený přístup povolený, stejně jako bootování z USB.

Veeam Hardened Repository (VHR)

Ve starším článku jsem popisoval VHR ISO 0.1 Veeam Backup & Replication - Managed Hardened Repository. Nedávno jsem testoval ještě beta verzi nové Veeam Infrastructure Appliance 13 Veeam Backup & Replication Hardened Repository v13 Beta.

Veeam Hardened Repository ISO

Systémové požadavky

  • Veeam Backup & Replication 12.2 nebo novější
  • alespoň 2 disky, každý o velikosti alespoň 100 GB, menší se použije pro systém
  • zapnutý UEFI Secure Boot
  • HTTPS komunikace do internetu na vybrané adresy

Stažení instalačního ISO

Veeam Hardened Repository ISO for v12 stáhneme z Customer Portal nebo trial downloads v části Additional downloads záložka Extensions and Other. Nyní jde o verzi 2.0.0.8 z 29. 1. 2025, soubor VeeamHardenedRepository_2.0.0.8_20250117.iso o velikosti 2,9 GB. Novější verze se patrně neobjeví, protože se bude přecházet na Veeam Infrastructure Appliance 13.

Instalace z VHR ISO

Instalaci provedeme pomocí iLO Remote Console a vzdáleného připojení ISO souboru.

Nabootování instalace

  • webovým prohlížečem se připojíme na iLO
  • spustíme HTML5 Integrated Remote Console
  • nahoře klikneme na ikonu Virtual Media - CD/DVD - Local *.iso file a připojíme stažené VHR ISO
  • klikneme na ikonu Menu - Power - Momentary Press, potvrdíme OK
  • během startování serveru (POST) stiskneme F11 pro vyvolání Boot Menu
  • vybereme iLO Virtual USB 3 : iLO Virtual CD-ROM
  • v GRUB zvolíme Install Hardened Repository (deletes all data)
Veeam Hardened Repository ISO - GRUB
  • spustí se GUI instalační průvodce s možností nastavit klávesnici, čas a síť
Veeam Hardened Repository ISO - GUI setup

Konfigurace sítě (Link Aggregation)

  • klikneme na Network & Host Name
  • zobrazí se dostupná síťová rozhraní (zde 2x BCM57416 a 2x BCM57414)
  • vybereme postupně 25 Gbps rozhraní, která máme připojená do sítě, a povolíme je
Veeam Hardened Repository ISO - Network & Host Name - interface
  • klikneme na ikonu plus pro přidání zařízení a zvolíme Bond
Veeam Hardened Repository ISO - Network & Host Name - Add Bond
  • zadáme název připojení a klikneme na Add pro přidání rozhraní (na záložce Bond)
  • jako typ připojení vybereme Ethernet a zvolíme naše síťové rozhraní (zařízení), uložíme pomocí Save
  • zopakujeme pro druhé síťové rozhraní
Veeam Hardened Repository ISO - Network & Host Name - Add Interface
  • v našem případě zvolíme pro agregaci linek (Bond) mód 802.3ad
Veeam Hardened Repository ISO - Network & Host Name - Bond settings
  • přepneme se na záložku IPv4 Settings a zadáme síťové parametry
  • kliknutím na tlačítko Save vytvoříme nové rozhraní, když jej vybereme, tak bychom měli vidět stav Connected
  • pod seznamem síťových rozhraní můžeme zadat Host Name
  • konfiguraci ukončíme kliknutím na Done

Na Cisco switchi vidíme, že se navázalo spojení a využil LACP protokol.

SWITCH#sho int status | inc backupStorage

Port         Name             Status       Vlan       Duplex   Speed Type
Twe1/0/1     backupStorage    connected     100         full     25G SFP-25GBase-SR
Twe2/0/1     backupStorage    connected     100         full     25G SFP-25GBase-SR
Po1          backupStorage    connected     100       a-full     25G N/A

SWITCH#sho etherchannel summary | inc Po1

Group  Port-channel  Protocol     Ports
------+-------------+-----------+-----------------------------------------------
1      Po1 (SU)        LACP        Twe1/0/1(P)    Twe2/0/1(P)

Konfigurace času

  • klikneme na Time & Date
  • nastavíme časovou zónu
  • pokud není zapnuto, tak můžeme zapnout NTP kliknutím na Network Time a v konfiguraci upravit servery
  • nebo zadáme údaje o datu a čase

Instalace

  • klikneme na Begin Installation a potvrdíme, že dojde ke smazání dat
  • během pár (8) minut proběhne instalace
  • nahoře klikneme na ikonu Virtual Media - CD/DVD - Force Eject Media
  • restartujeme server Reboot Systém
Veeam Hardened Repository ISO - Installation Complete - Reboot

Konfigurace serveru po instalaci

  • nastartuje Rocky Linux
Veeam Hardened Repository - Boot Rocky Linux
  • přihlásíme se výchozím jménem vhradmin a heslem vhradmin
  • musíme zadat nové komplexní heslo, na které je řada omezení (také maximálně 4 znaky stejné třídy za sebou)
Veeam Hardened Repository Configurator - change password (DISA STIG)
  • odsouhlasíme licenční podmínky
  • dostaneme se do Veeam Hardened Repository Configurator, kde máme k dispozici pár voleb
  • můžeme upravit nastavení sítě, Proxy, času, provést update pomocí Update all
Veeam Hardened Repository Configurator - Main Menu

Související články:

Veeam Backup & Replication

Články, které se věnují zálohovacímu řešení společnosti Veeam Software. Jde o platformu pro zálohování (Backup), replikaci (Replication) a obnovu (Restore) dat. Jinak řečeno řešení pro ochranu dat (Data Protection) a obnovu po havárii (Disaster Recovery).

Úložiště záloh

Články zaměřené na různé typy úložišť vhodných pro ukládání záloh. Popisují jejich vlastnosti a použití především v prostředí Veeam Backup & Replication.

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

Zatím zde nejsou žádné komentáře.

Přidat komentář

Vložit tag: strong em link

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách