Pozn.: Popis v článku vychází z Veeam ONE 12.1.
Úvod do Veeam ONE
Společnost Veeam je nejvíce známá svým produktem Veeam Backup & Replication. Ale již velmi dlouhou dobu (Build Numbers and Versions of Veeam ONE) má také nástroj Veeam ONE pro dohled virtuálního prostředí a prostředí ochrany dat (zálohování) pomocí Veeam Backup & Replication.
Pozn.: K dispozici je také Veeam ONE Community Edition, která je poskytována zdarma. Obsahuje 10 instancí (zálohovaných objektů) a omezenou funkcionalitu pro dohled virtuálního prostředí s neomezeným počtem VM (License Types and Packages). Tento nástroj zdarma poskytuje mnoho užitečných funkcí.
Dokumentace
Co je Veeam ONE
Veeam ONE je řešení pro monitorování virtuálních prostředí a prostředí ochrany dat. Umožňuje monitoring, analýzu, reporting a kapacitní plánování. Neustále shromažďuje, analyzuje a vizuálně reprezentuje informace o objektech v naší infrastruktuře.
Současná verze obsahuje více než 340 přednastavených alarmů a 150 předpřipravených reportů.
- Alarmy můžeme upravovat a nastavovat notifikace. Obsahují rady (Knowledge Base) pro vyřešení problému. Můžeme nastavovat nápravné akce, které automaticky provedou určitou operaci.
- Reporty poskytují informace z mnoha oblastí zálohování a VMware a Hyper-V infrastruktury. Obsahují také kapacitní plánování, účtování a fakturaci (Chargeback and Billing), sledování dodržování shody (Compliance), sledování a audit změn (Change Tracking and Auditing).
Business View nám umožňuje kategorizovat objekty (workloads) do skupin podle různých parametrů. Veeam ONE obsahuje kalendář úloh na zálohovacím serveru, který přehledně ukáže, kdy zálohy probíhají a jak na sebe navazují.
V posledních verzích Veeam ONE také detekuje anomálie, které by mohly znamenat napadení ransomwarem. Obsahuje nový dashboard Veeam Threat Center (ve webovém klientovi).

Integrace a podpora pro
Veeam ONE umožňuje monitorování a reporting pro
- Veeam Backup & Replication (od verze 10a)
- Veeam Backup for Microsoft 365 (od verze 7)
- VMware vSphere (vCenter Server 6.x až 8.0, ESXi 6.x až 8.0, VMware Cloud on AWS)
- Microsoft Hyper-V (SCVMM Server 2012 SP1 až 2022, Hyper-V host 2012 až 2022, Failover cluster)
- VMware Cloud Director (verze 10.1 až 10.5)
To obsahuje také podporu pro
- Veeam Backup for Public Clouds (Microsoft Azure, Amazon Web Services a Google Cloud)
- Veeam Backup for Nutanix AHV, Veeam Backup for Red Hat Virtualization, Veeam Backup for Oracle Linux KVM
- Veeam Agent (Windows, Linux, Mac, IBM AIX, Oracle Solaris)
- NAS Backup (Fileshare)
Licencování
- Veeam Data Platform Packaging
- Veeam Data Platform Feature Comparison
- Licensing Veeam ONE
- Veeam Universal License (VUL)
- Veeam Licensing Policy
Standardně nyní Veeam prodává balíky nazvané Veeam Data Platform, které obsahují určité funkce dané obsaženými produkty.
- Foundation - Veeam Backup & Replication
- Advanced - Veeam Backup & Replication, Veeam ONE
- Premium - Veeam Backup & Replication, Veeam ONE, Veeam Recovery Orchestrator
Pro ně se využívá přenosná licence Veeam Universal License (VUL) (primárně) na principu předplatného. Licencujeme každou instanci (instance) nebo pracovní zátěž (workload).
Jedna VUL licence může pokrýt:
- 1 virtual machine (VM)?
- 1 cloud instance/VM?
- 1 fyzický server
- 1 databázi nebo aplikaci
- 3 pracovní stanice (koncová zařízení)
- 500 GB nestrukturovaných dat (NAS/File share)
Pozn.: Licence založené na CPU Socket se přestaly prodávat v roce 2023. Dokumentace License Types and Packages popisuje i Per socket licence, které již patrně není možno pořídit. Další možnost je pronájem v rámci VCSP.
V případě Veeam ONE je instance přiřazena každému spravovanému objektu. Zálohovaná VM na monitorovaném Veeam Backup & Replication serveru a stejná VM monitorovaná v rámci virtuální infrastruktury spotřebovávají jednu instanci.
Pozn.: Myslím, že je docela běžná situace, kdy zálohujeme (chráníme) pouze část infrastruktury. Ale monitorovat bychom chtěli celou virtuální infrastrukturu. Pokud pořídíme VUL licence Veeam Data Platform Advanced pro zálohovaná VM a další objekty, tak nám nepokryjí všechna VM pro monitoring. Abychom byli v souladu s licencí, tak musíme omezit rozsah sledování ve Veeam ONE. Z dokumentace jsem nepochopil, že by bylo možno dokoupit licence pouze pro Veeam ONE, ale zatím jsem více nepátral.
Architektura a komponenty
Pozn.: Celá architektura a instalace je podrobně popsána v oficiální dokumentaci. Popis v tomto článku obsahuje shrnutí podstatných bodů a praktické zkušenosti.
Ovládání pomocí klientů
Pro práci s Veeam ONE se využívají dva klienti se společným nastavením:
- Veeam ONE Client - primární nástroj (aplikace) pro monitorování virtuálního prostředí a ochrany dat (zálohování), umožňuje spravovat nastavení Veeam ONE, zobrazit komponenty virtuální a zálohovací infrastruktury (výkon, efektivita), pracovat s alarmy a monitorovacími daty, instaluje se spolu se serverem, můžeme instalovat samostatně na pracovní stanici
- Veeam ONE Web Client - webová konzole, která poskytuje sadu dashboardů a reportů, ty umožňují ověřit problémy s konfigurací, optimalizaci zdrojů, sledování změn, plánování kapacity, apod.

Komponenty Veeam ONE
- Veeam ONE Server - základní část, která sbírá data a ukládá je do DB
- Veeam ONE Web Services - umožňuje webový přístup a vytváří reporty
- Veeam ONE Client - umožňuje přístup k Veeam ONE Server, lokálně nebo vzdáleně
- Veeam ONE Database - databáze na Microsoft SQL Server, lokálně nebo vzdáleně
- Veeam ONE Agent - umožňuje komunikaci s Veeam Backup & Replication serverem, doporučuje se instalovat klienta na Veeam Backup & Replication server
Nasazení a instalace
Nasazení (Deployment)
Pro nasazení Veeam ONE v malém nebo středním měřítku nainstalujeme všechny komponenty na jeden virtuální nebo fyzický server s Windows OS. Označuje se jako All-in-One Deployment. I v tomto případě můžeme využít vzdálený Microsoft SQL Server a Veeam ONE Client instalovat na počítače správců.
Požadavky a předpoklady
Oficiální dokumentace uvádí systémové požadavky (System Requirements) a podporované platformy (Supported Virtualization Platforms). Server pro All-in-One Deployment vyžaduje minimálně 4 CPU jádra a 8 GB RAM. Je podporován 64bitový OS Windows 10/11, Windows Server 2012 až 2022.
Veeam ONE vyžaduje různé Microsoft komponenty (jako Microsoft .NET Framework nebo Microsoft XML 6.0 Parser and SDK), ale ty se automaticky nainstalují během instalace.
Stejně jako v případě Veeam Backup & Replication, abychom mohli připojit SCVMM (System Center Virtual Machine Manager) server do Veeam ONE, tak musíme nainstalovat Virtual Machine Manager Console. Verze musí přesně odpovídat té na SCVMM serveru.
Porty a komunikace
Detailní přehled je uveden v dokumentaci Ports. Základ je připojení k Veeam ONE Server, kdy se vyžívá:
- Veeam ONE Client - TCP port 139, 445, UDP port 137
- Veeam ONE Web Client (webový prohlížeč) - defaultně TCP port 1239, HTTPS komunikace na Veeam ONE Web Services, třeba
https://veeamone.firma.local:1239/
Oprávnění a účty
Aby mohl Veeam ONE korektně fungovat a přistupovat k virtualizačním a Veeam Backup & Replication serverům, tak potřebuje dostatečná oprávnění. Podrobný popis je v dokumentaci Permissions.
Při instalaci musíme zadat doménový účet, pod kterým poběží služby na serveru, tedy servisní účet. Vhodné je vytvořit speciální účet pro Veeam ONE, stačí skupina Domain Users. Na Veeam ONE serveru musí mít oprávnění lokálního administrátora.
Během instalace Veeam ONE se na serveru vytvoří lokální skupiny Veeam ONE Administrators, Veeam ONE Power Users a Veeam ONE Read-Only Users. Mezi administrátory je automaticky zařazen uživatel, pod kterým probíhá instalace a servisní účet pro služby. Každý uživatel, který má mít možnost přistupovat k Veeam ONE funkcím (pomocí Veeam ONE Client nebo Web Client), musí být zařazen do některé skupiny. Navíc musí mít oprávnění Allow log on locally
, které mají defaultně lokální správci.
Podobně jako ve Veeam Backup & Replication se ve Veeam ONE nachází Credentials Manager v hlavním menu. Zde můžeme vytvářet a spravovat přihlašovací údaje (Credentials - pověření) pro připojení ke komponentám ve virtuální a zálohovací infrastruktuře.
Zamýšlím se nad tím, že zálohovací infrastrukturu se snažíme co nejvíce zabezpečit. Provádíme Hardening Veeam Backup & Replication serveru. Aby nám útočník nemohl ukrást zálohy, které většinou obsahují vybraná nejdůležitější data společnosti. Nebo je zašifrovat ransomwarem. Na doporučení zabezpečení Veeam ONE jsem zatím nenarazil. Přitom jsou zde přístupy a uložené účty do zálohovací infrastruktury.
Serverový certifikát
Během instalace se může vygenerovat self-signed certifikát. Pokud chceme použít vlastní TLS certifikát, třeba z interní CA, tak jej musíme dopředu vystavit do lokálního certifikačního úložiště počítače. Při instalaci jej pouze vybereme.
Instalační soubory
Můžeme stáhnout z My Veeam - Products, kde se nachází instalační soubory podle naší licence. Může jít o Veeam Data Platform Advanced, kdy se aktuálně stáhne soubor VeeamDataPlatformAdvanced_v12.1_20240228.zip
. Ten v sobě obsahuje ISO pro Veeam Backup & Replication VeeamBackup&Replication_12.1.1.56_20240220.iso
a pro Veeam ONE VeeamONE_12.1.0.3208_20231130.iso
o velikosti 2,5 GB.
Hodit se může také Release History for Veeam ONE 12.1.
Veeam ONE Database
Součástí instalace Veeam ONE je Microsoft SQL Server 2017 Express Edition. Můžeme využít tuto databázi zdarma, ale v praxi patrně narazíme na limit velikosti 10 GB. Pro odhad velikosti databáze pro určité prostředí můžeme použít kalkulátor Veeam ONE Database Estimator.
Pro produkční použití je doporučeno využít Standard nebo vyšší edici na samostatném serveru. Je podporován Microsoft SQL Server od verze 2012 po 2022.
Instalace vše v jednom se samostatným SQL serverem
- připojíme instalační ISO
- spustíme
setup.exe
- zvolíme Install a Install Veeam ONE

- odsouhlasíme licenční podmínky
- v nastavení licence můžeme načíst licenční soubor nebo se přihlásit Veeam účtem, můžeme zvolit Update license automatically

- zadáme připravený servisní účet
- provede se kontrola konfigurace systému, pokud některé komponenty chybí, tak se automaticky povolí
- zobrazí se konfigurace, s kterou se provede instalace tlačítkem Install
- pokud chceme použít vlastní SQL server nebo třeba nastavit certifikát, tak klikneme na Customize Settings
- necháme nainstalovat všechny komponenty

- pokud chceme využít existující SQL Server, tak zvolíme Use existing instance of SQL Server
- vyhledáme nebo zadáme jméno serveru (defaultní instanci neuvádíme)
- můžeme upravit jméno databáze, která se vytvoří při instalaci
- specifikujeme přihlašovací údaje, které se použijí pro přístup k SQL, nejjednodušší je použít servisní účet, pod kterým běží služba, ale musíme mu nastavit potřebná oprávnění (Connection to Microsoft SQL Server)
- pro instalaci jsou potřeba vyšší práva, která můžeme později odebrat nebo předem vytvořit DB skriptem, pokud nemá účet dostatečná práva, tak se zobrazuje chyba
Failed to connect to SQL Server

- můžeme ponechat výchozí cesty umístění dat
- pokud chceme monitorovat Veeam zálohování i virtuální infrastrukturu, tak použijeme Veeam backup data and virtual infrastructure performance monitoring

- můžeme ponechat výchozí porty pro jednotlivé komponenty, pokud jsme si připravili vlastní certifikát, tak jej vybereme

- opět se zobrazí shrnutí konfigurace, tlačítkem Install zahájíme instalaci
- instalace projde 4 kroky (instalace jednotlivých komponent) a za pár minut by se mělo zobrazit Successfully installed

- když klikneme na Finish, tak se zobrazí dialog, zda chceme odhlásit, protože je potřeba nové přihlášení, aby se projevilo zařazení našeho účtu do nové skupiny, která dává oprávnění přihlášení k Veeam ONE

Pozn.: Pokud při instalaci narazíme na problémy, tak se hodí log z instalace. Například C:\ProgramData\Veeam\Setup\Temp\VeeamONE_06_05_2024_10_37_06.log
Základní konfigurace a přidání serverů
Nastavení upozornění
Když spustíme poprvé Veeam ONE Client, tak se zobrazí průvodce Notification Settings. Kdykoliv jej můžeme otevřít znovu z hlavního menu volba Notifications nebo Settings - Server Settings. Můžeme nastavit emailové notifikace, SNMP, Syslog, ServiceNow.
Pozn.: Když si hned na počátku nastavíme emailové notifikace, tak nám po připojení infrastruktury začne pravděpodobně chodit spousta zpráv. Je potřeba nejprve upravit nastavení a prahové hodnoty.
Připojení Veeam Backup & Replication infrastruktury
Máme možnost připojit buď samostatný Veeam Backup & Replication server nebo Veeam Backup Enterprise Manager pro dohled všech jím spravovaných serverů.
- v hlavním menu zvolíme Add Server - Veeam Backup & Replication
- (pokud nemáme žádný server připojený, tak se v pohledu Veeam Backup & Replication nachází tlačítko Add Backup Server)
- zadáme adresu serveru, jeho roli, doporučeně necháme na Veeam Backup & Replication server nainstalovat agenta, můžeme aktivovat integraci Veeam ONE dashboard do Veeam Backup & Replication Console 12.1 (přidá se pohled Analytics)

- musíme vybrat / přidat přihlašovací údaje (Credentials) pro připojení k serveru

- dokončíme průvodce tlačítkem Finish, připojí se server a začne synchronizace konfigurace a výkonových dat zálohovacího serveru a infrastrukturních komponent, importují se všechna historická data uložená na serveru, proces typicky trvá desítky minut
Účet pro připojení
Důležité jsou přihlašovací údaje, které během připojení serveru zadáváme pouze jedny. Ty se použijí pro připojení k zálohovacímu serveru a všem spravovaným serverům v backup infrastruktuře (jako proxy, repository, atd).
Práva, které tento účet vyžaduje, jsou uvedena v Connection to Veeam Backup & Replication Servers. Musí mít roli Veeam Backup Administrator, v některých případech práva lokálního administrátora serveru, práva a síťový přístup na WMI (Configuring Permissions to Remotely Access WMI). Účet nesmí mít zapnuté MFA pro připojení k Veeam Backup & Replication.
Podle doporučení nám na Veeam Backup & Replication server běží Firewall, který může blokovat WMI. Na Windows Firewall musíme povolit Remote Event Log Management (návod třeba v Preconfigure a Machine to Collect Remote Windows Events).
Jiný účet pro vybrané komponenty
V praxi patrně často nastává situace, že na různých komponentách využíváme různé účty. K těmto komponentám selže připojení a Veeam ONE zobrazuje chybu. Na těchto komponentách musíme nastavit správný účet.
- klikneme pravým tlačítkem na komponentu a zvolíme Connection Settings
- zvolíme Use custom credentials a vybereme / přidáme přihlašovací údaje (Credentials)

Připojení VMware vSphere infrastruktury
Můžeme připojit vCenter Server nebo samostatný ESXi server.
- v hlavním menu zvolíme Add Server - VMware vSphere
- (pokud nemáme žádný server připojený, tak se v pohledu Virtual Infrastructure nachází tlačítko Add Server)

- zadáme adresu serveru a jeho roli
- musíme vybrat / přidat přihlašovací údaje (Credentials) pro připojení k serveru, případně změníme port
- Veeam ONE si ukládá thumbprint TLS certifkátu, pokud není certifikát důvěryhodný, tak jej musíme potvrdit
- dokončíme průvodce tlačítkem Finish, připojí se server a začnou se shromažďovat data
Účet, který použijeme pro připojení k vCenter a ESXi serverům, musí mít dostatečná oprávnění. Výčet je uveden v Connection to Virtualization Servers.
Guest OS Credentials
Veeam ONE využívá Guest OS Credentials pro shromažďování dat z hostujících Windows OS (VM) a jejich ovládání. Můžeme zadat výchozí přihlašovací údaje v hlavním menu - Settings - Server Settings - Guest OS Credentials. Nebo určit účet na prvcích VMware infrastruktury (klikneme pravým tlačítkem, volba Guest OS Credentials). Pokud údaje nezadáme, tak se použijí ty pro připojení na VMware.
Připojení Microsoft Hyper-V infrastruktury
Můžeme připojit SCVMM Server, Failover cluster nebo samostatný Hyper-V server. Pokud chceme připojit SCVMM server, tak na Veeam ONE serveru musí být nainstalována SCVMM Admin Console (jinak se při připojení zobrazí chyba, že konzole chybí).
- v hlavním menu zvolíme Add Server - Microsoft Hyper-V
- (pokud nemáme žádný server připojený, tak se v pohledu Virtual Infrastructure nachází tlačítko Add Server)
- zadáme adresu serveru a jeho roli

- musíme vybrat / přidat přihlašovací údaje (Credentials) pro připojení k serveru, případně změníme port
- dokončíme průvodce tlačítkem Finish, připojí se server a začnou se shromažďovat data
Účet, který použijeme pro připojení k Hyper-V serverům, musí mít dostatečná oprávnění. Výčet je uveden v Connection to Virtualization Servers.
Stejně jako pro VMware se využívají Guest OS Credentials. Při přidání prvního serveru se automaticky otevře nastavení Server Settings.
Výběr objektů ke sledování a reportování
Když připojíme virtualizační server, tak standardně začne Veeam ONE shromažďovat data o všech VM a VM kontejnerech (hostitelé, clustery, datová úložiště, atd). Každé takové VM nám spotřebuje 1 licenci (instanci). Pokud nemáme licenci pro všechna VM v infrastruktuře, tak musíme nastavit pravidla pro zahrnutí nebo vyloučení VM z rozsahu sběru dat (data collection scope). To samé využijeme, pokud chceme monitorovat pouze vybraná VM.
Veeam ONE obsahuje výchozí pravidlo (Default rule) pro zahrnutí všech VM a VM kontejnerů na připojených serverech (VM monitoring inclusion rule). To můžeme (musíme) deaktivovat.
Pozn.: Veeam ONE má patrně omezení, že dovolí přidat do monitoringu dvakrát více VM, než pokrývá licence (v tuto chvíli ale překračujeme licenci). Pokud máme v infrastruktuře více VM, tak vytvoří Automatic exclusion rule, kterou nemůžeme vypnout a obsahuje vyjmenovaný seznam VM, která jsou vyjmuta.
Konfigurace se provádí
- v hlavním menu zvolíme Settings - Server Settings
- přepneme se na Monitored VMs
- zde můžeme spravovat existující a vytvářet nové Inclusion rules (pravidla zahrnutí) a Exclusion rules (pravidla vyloučení)

Vytvoření pravidla
- klikneme na Create New
- zadáme jméno a případně popis
- definujeme rozsah infrastruktury, na kterou se má pravidlo aplikovat (Apply Rule to), vybíráme kontejnery (včetně podřízených objektů) buď z Infrastructure View, Business View nebo VMware Cloud Director View

- volíme kritérium výběru VM (VM Selection)
- By infrastructure location - zahrne všechna VM z hierarchie definované předchozím krokem
- By object name - umožní definovat podmínky (Conditions) na jméno VM pro přidání do pravidla (můžeme využít zástupné znaky
*
a?
)
Monitorování pouze zálohovaných VM
Pokud máme licence koupené z důvodu zálohování, a nepokrývají všechna VM, tak můžeme nastavit pravidlo, aby se sledovala pouze zálohovaná VM. Využijeme k tomu Business View, kde se pod Virtual Machines a platformou nachází kontejner (kategorie) Last Backup Date. Může zde být skupina No backup a pak další, které obsahují zálohovaná VM podle data poslední zálohy.
Můžeme tedy vytvořit VM monitoring inclusion rule, kde do
- Apply Rule to přidáme z Business View cestu Virtual Machines - vSphere/Hyper-V - Last Backup Date - Within the last 24 hours
- VM Selection zvolíme By infrastructure location
Pozn.: Kategorie v Business View můžeme vytvářet a upravovat. Můžeme si zobrazit pravidlo / výraz, které je použito pro seskupení. Klikneme pravým tlačítkem na kategorii a zvolíme Edit Category.

Škoda, že nelze použít PostgeSQL namísto MS SQL, tak jako tomu je u VBR :-(