Veeam Hardened Repository část 2 - instalace na HPE ProLiant DL380 G11

Pozn.: Článek se věnuje Veeam Backup & Replication 12.3.1 a Veeam Hardened Repository ISO 2.0.0.8 for v12. Před velmi krátkou dobou byla zveřejněna Veeam Software Appliance 13 (obsahující VBR 13.0.0) spolu s Veeam Infrastructure Appliance 13, kterou lze použít jako Hardened Repository (lze přidat pouze do VBR 13). Zatím jde o Early Release a není k dispozici upgrade či migrace z verze 12. Hardened Repository instalované z VHR ISO 2.0 by v budoucnu mělo jít povýšit na Veeam Infrastructure Appliance 13.

Výběr úložiště záloh

Dlouho jsem studoval, testoval a porovnával různé možnosti On-Premises řešení pro primární ukládání záloh, které podporuje Immutability v prostředí Veeam Backup & Replication. Souhrnně jsem sepsal v článku Výběr bezpečného úložiště záloh pro Veeam, kde nebyl žádný závěr.

Nakonec jsem se, vzhledem k našim požadavkům a podmínkám, přiklonil k využití Veeam Hardened Repository. Finančně je to patrně nejlevnější možnost, přitom má řadu výhod, které jsem zmínil v článku. Fyzický server jsem zvolil od firmy Hewlett Packard Enterprise (HPE), model HPE ProLiant DL380 G11. Jde o testované řešení v rámci Veeam Ready programu HPE ProLiant DL380 G11 - Hardened Appliance, Immutability.

Server HPE ProLiant DL380 Gen11

• HPE ProLiant DL380 Gen11 QuickSpecs
• HPE ProLiant DL380 Gen11 Server User Guide
• HPE ProLiant DL380 Gen11

Parametry serveru

• rack server 2U Form Factor
• procesor Intel Xeon Silver 4509Y, 8 core, 2.6GHz
• paměť 64 GB DDR5
• úložiště pro systém HPE NS204i-u Gen11 Boot Controller (2x 480 GB NVMe SSD, RAID 1)
• úložiště pro data 10x 7,86 TB NVMe High Performance Read Intensive SFF
• storage controller HPE MR416i-p Gen11
• síť 2x 10GBase-T - BCM 57416, 10Gb 2-port Base-T OCP3 Adapter
• síť 2x 25GBase-SR SFP28 - BCM 57414, Broadcom P225p NetXtreme-E Dual-port 10Gb/25Gb Ethernet PCIe Adapter
• zdroj 2x HPE 1000W Flex Slot Titanium Hot Plug Power Supply
• správa HPE iLO 6 Advanced

Připojení do sítě

Pro správu/instalaci připojíme iLO Management Port do Gigabit Ethernet (1000Base-T) LAN pomocí metalického kabelu s RJ45 konektory.

Pro přenos dat využijeme 25 Gigabit Ethernet (25GBase-SR) s optickými kabely a LC konektory. Na straně switchů i serverů použijeme transceivery (převodníky) SFP28. Mám dobrou zkušenost s levnými OEM SFP28 transceiver 10/ 25Gbps. Server připojíme redundantně ke dvěma switchům Cisco Catalyst 9500 spojených pomocí StackWise Virtual do stacku.

Pro redundantní připojení využijeme agregaci linek pomocí IEEE 802.3ad a protokolu Link Aggregation Control Protocol (LACP). Na switchích se označuje jako Port Channel či EtherChannel, na serverech jako NIC Teaming nebo Bonding (to používá VHR instalátor).

Konfigurace v Cisco IOS či IOS XE:

interface TwentyFiveGigE1/0/1
 description backupStorage
 switchport access vlan 100
 switchport mode access
 channel-group 1 mode active
end
interface TwentyFiveGigE2/0/1
 description backupStorage
 switchport access vlan 100
 switchport mode access
 channel-group 1 mode active
end
interface Port-channel1
 description backupStorage
 switchport access vlan 100
 switchport mode access
end

Potřebujeme si připravit IP adresu v management síti pro iLO a další IP adresu a DNS jméno v síti kde bude s úložištěm komunikovat Veeam Backup & Replication infrastruktura.

Úvodní konfigurace iLO

• HPE iLO 6 User Guide - Setting up iLO

Jako první se potřebujeme připojit na webové rozhraní iLO. Máme mnoho množností, jak provést úvodní nastavení. iLO Management Port standardně využívá DHCP. I když jej chceme připojit do sítě bez DHCP, tak můžeme nejprve použít síť, kde se DHCP server nachází.

• připojíme iLO port do sítě
• připojíme napájení k serveru
• webovým prohlížečem se připojíme na přidělenou IP adresu
• přihlásíme se úvodním uživatelským jménem a heslem, které se nachází na štítku na serveru
• změníme výchozí uživatelské jméno a heslo v menu Administration - User Administration
• nastavíme statickou IP adresu v menu iLO Dedicated Network Port, spolu s parametry připojení, Hostname, IPv4 či IPv6, SNTP
• připojíme iLO port do nové sítě (či změníme VLAN)

Upgrade firmware

Na začátku je vhodné provést upgrade firmware hardwarových komponent. Můžeme stáhnout kompletní Service Pack jako ISO image z Service pack for HPE ProLiant Gen11 (rozcestník HPE SPP support bundle) a z něj nabootovat.

• webovým prohlížečem se připojíme na iLO
• spustíme HTML5 Integrated Remote Console (vlevo dole nebo menu Remote Console & Media)
• nahoře klikneme na ikonu Virtual Media - CD/DVD - Local *.iso file a připojíme stažené Service Pack ISO

• klikneme na ikonu Menu - Power - Momentary Press, potvrdíme OK
• server začne bootovat z ISO, kde je výchozí možnost automatický update firmware
• proběhne upgrade těch komponent, kde je k dispozici nová verze (celý proces je dost dlouhý, více než půl hodiny)
• restartujeme server

Vytvoření logického disku - konfigurace RAID

• HPE MR Gen11 Controller User Guide - Configuration in UEFI System Utilities
• Creating a logical drive

Obecně se jako optimální doporučuje použít RAID 6, který využívá dvojitou paritu (může dojít ke ztrátě 2 disků). Doporučeno je také mít 1 Spare Disk, což jsem nedodržel. Optimální RAID Stripe Size se uvádí 256 kB.

Doporučené parametry nalezneme ve starším dokumentu Selecting Hardware and Setting Up Environment for Veeam Hardened Repository. Přímo pro HPE ProLiant DL380 Gen11 máme doporučené nastavení výrobce pro použití jako Veeam Hardened Repository, dokument Veeam hardened repository installation for HPE ProLiant DL380 Gen11 Server. Odkaz je ve zprávě o testované kompatibilitě Veeam Ready - Hardened Appliance, Immutability.

Konfigurace pomocí UEFI systémových nástrojů

Pozn.: Můžeme provádět přes iLO Remote Access.

• během startování serveru (POST) stiskneme F9 pro vyvolání UEFI System Utilities
• System Configuration - HPE MR416i-p Gen11
• Main Menu - Configuration Management - Create Logical Drive

Parametry logického disku

• volíme RAID 6
• Select Drive - vybereme disky, z kterých chceme logický disk vytvořit
• Logical Drive Name - naše identifikace disku
• Logical Drive Size - automaticky se nastaví maximální kapacita v TiB
• Strip size - zvolíme 256 kB
• Read Policy - zvolíme No Read Ahead
• Write Policy - zvolíme Write Back, kontrolér má 8 GB trvalé cache
• Default initialization - zvolíme Full, jinak bude inicializace probíhat pomalu a na pozadí
• klikneme na Save Configuration, potvrdíme permanentní smazání dat Yes

iLO informace o svazcích

Na informace o úložištích serveru se můžeme podívat v iLO - System Information - Storage.

Bezpečnostní nastavení

Musíme co nejvíce zabezpečit server a iLO. Detekovaná bezpečnostní rizika nalezneme v menu Information - Security Dashboard (informuje také ikona v pravém horním rohu). Doporučená nastavení se nachází v dokumentaci Security guidelines a další ve Veeam hardened repository installation for HPE ProLiant DL380 Gen11 Server.

Jde například o zapnutí Secure Boot (System Utilities - System Configuration - BIOS/Platform Configuration (RBSU) - Server Security - Secure Boot Settings), zákaz bootování z USB (System Utilities - System Configuration - BIOS/Platform Configuration (RBSU) - System Options - USB Options), použití bezpečných hesel a lépe MFA, vypnutí služeb, které nevyužíváme, vypnutí HTTP (bez šifrování) apod.

Obecně je doporučeno iLO vzdálený přístup blokovat. Fyzicky odpojit iLO port, na FW blokovat přístup a povolit pouze odchozí SMTP a SNMP nebo připojit iLO do speciální oddělené sítě. My využijeme iLO pro instalaci Veeam Hardened Repository. Takže po tu dobu potřebujeme mít vzdálený přístup povolený, stejně jako bootování z USB.

Veeam Hardened Repository (VHR)

• Hardened Repository

Ve starším článku jsem popisoval VHR ISO 0.1 Veeam Backup & Replication - Managed Hardened Repository. Nedávno jsem testoval ještě beta verzi nové Veeam Infrastructure Appliance 13 Veeam Backup & Replication Hardened Repository v13 Beta.

Veeam Hardened Repository ISO

• [RELEASE] Managed Hardened Repository ISO by Veeam
• Preparing Hardened Repository Using Veeam ISO

Systémové požadavky

• Veeam Backup & Replication 12.2 nebo novější
• alespoň 2 disky, každý o velikosti alespoň 100 GB, menší se použije pro systém
• zapnutý UEFI Secure Boot
• HTTPS komunikace do internetu na vybrané adresy

Stažení instalačního ISO

Veeam Hardened Repository ISO for v12 stáhneme z Customer Portal nebo trial downloads v části Additional downloads záložka Extensions and Other. Nyní jde o verzi 2.0.0.8 z 29. 1. 2025, soubor VeeamHardenedRepository_2.0.0.8_20250117.iso o velikosti 2,9 GB. Novější verze se patrně neobjeví, protože se bude přecházet na Veeam Infrastructure Appliance 13.

Instalace z VHR ISO

Instalaci provedeme pomocí iLO Remote Console a vzdáleného připojení ISO souboru.

Nabootování instalace

• webovým prohlížečem se připojíme na iLO
• spustíme HTML5 Integrated Remote Console
• nahoře klikneme na ikonu Virtual Media - CD/DVD - Local *.iso file a připojíme stažené VHR ISO
• klikneme na ikonu Menu - Power - Momentary Press, potvrdíme OK
• během startování serveru (POST) stiskneme F11 pro vyvolání Boot Menu
• vybereme iLO Virtual USB 3 : iLO Virtual CD-ROM
• v GRUB zvolíme Install Hardened Repository (deletes all data)

• spustí se GUI instalační průvodce s možností nastavit klávesnici, čas a síť

Konfigurace sítě (Link Aggregation)

• klikneme na Network & Host Name
• zobrazí se dostupná síťová rozhraní (zde 2x BCM57416 a 2x BCM57414)
• vybereme postupně 25 Gbps rozhraní, která máme připojená do sítě, a povolíme je

• klikneme na ikonu plus pro přidání zařízení a zvolíme Bond

• zadáme název připojení a klikneme na Add pro přidání rozhraní (na záložce Bond)
• jako typ připojení vybereme Ethernet a zvolíme naše síťové rozhraní (zařízení), uložíme pomocí Save
• zopakujeme pro druhé síťové rozhraní

• v našem případě zvolíme pro agregaci linek (Bond) mód 802.3ad

• přepneme se na záložku IPv4 Settings a zadáme síťové parametry
• kliknutím na tlačítko Save vytvoříme nové rozhraní, když jej vybereme, tak bychom měli vidět stav Connected
• pod seznamem síťových rozhraní můžeme zadat Host Name
• konfiguraci ukončíme kliknutím na Done

Na Cisco switchi vidíme, že se navázalo spojení a využil LACP protokol.

SWITCH#sho int status | inc backupStorage

Port         Name             Status       Vlan       Duplex   Speed Type
Twe1/0/1     backupStorage    connected     100         full     25G SFP-25GBase-SR
Twe2/0/1     backupStorage    connected     100         full     25G SFP-25GBase-SR
Po1          backupStorage    connected     100       a-full     25G N/A

SWITCH#sho etherchannel summary | inc Po1

Group  Port-channel  Protocol     Ports
------+-------------+-----------+-----------------------------------------------
1      Po1 (SU)        LACP        Twe1/0/1(P)    Twe2/0/1(P)

Konfigurace času

• klikneme na Time & Date
• nastavíme časovou zónu
• pokud není zapnuto, tak můžeme zapnout NTP kliknutím na Network Time a v konfiguraci upravit servery
• nebo zadáme údaje o datu a čase

Instalace

• klikneme na Begin Installation a potvrdíme, že dojde ke smazání dat
• během pár (8) minut proběhne instalace
• nahoře klikneme na ikonu Virtual Media - CD/DVD - Force Eject Media
• restartujeme server Reboot Systém

Konfigurace serveru po instalaci

• nastartuje Rocky Linux

• přihlásíme se výchozím jménem vhradmin a heslem vhradmin
• musíme zadat nové komplexní heslo, na které je řada omezení (také maximálně 4 znaky stejné třídy za sebou)

• odsouhlasíme licenční podmínky
• dostaneme se do Veeam Hardened Repository Configurator, kde máme k dispozici pár voleb
• můžeme upravit nastavení sítě, Proxy, času, provést update pomocí Update all