Использование Veeam Cloud Connect. Храним клиентские бэкапы и реплики18.10.2016 15:48

11d7d73a7c9a424e89166d6e0dc971a0.jpg

Бэкапы нужно иметь. Желательно, в нескольких местах.

Я думаю, что каждый администратор Veeam Backup & Replication замечал в консоли управления кнопку «Add Service Provider». На Хабре есть несколько хороших статей, которые демонстрируют, как использовать эту кнопку по назначению и как начать складывать бэкапы Veeam не только у себя, но и в облако, предоставленное сервис-провайдером.

В этой статье я бы хотел попытаться заглянуть по ту сторону и показать, что нужно сделать самому сервис-провайдеру, чтобы начать принимать резервные копии клиентов.

Veeam предоставляет, на мой взгляд, очень удобную возможность хранения резервных копий и реплик off-site, на стороне сервис-провайдера, который предоставляет для этих целей свои дисковые и вычислительные мощности. Наибольшим удобством для клиента является то, что все подключения к сервис провайдеру выполняются из привычной администратору консоли BR и легким движением мыши он получает целевой репозиторий для бэкапов, находящийся где-то далеко.
Администратор при этом использует привычные ему задачи Backup Job и Backup Copy Job, зная при этом, что если он потеряет основной бэкап, всегда можно будет восстановиться из копий, находящихся на стороне сервис-провайдера.

Как я уже написал выше, на этом сайте есть статьи, которые описывают, как же клиент может получить удаленный репозиторий. Я постараюсь описать, как создать данный репозиторий и предоставить его клиенту. В данной статье я опускаю репликацию и возможность восстановления виртуальных машин на оборудовании сервис провайдера.

Начну, пожалуй, со схемы, которая объясняет принцип работы Cloud Connect:

540cd175dbc54847966176f133d9bd76.png

Левая часть — это наши клиенты. Пользователи Veeam BR, которые отправляю свои бэкапы на сторону сервис-провайдера.

Правая часть — сервис провайдер. Его инфраструктура состоит из следующих компонент:

  • Veeam Backup Server — сервер, управляющий облаком, клиентами, дисковыми и вычислительными ресурсами;
  • Veeam Backup Repository — привычный и знакомый сервер с подключенными к нему хранилищами. В данном случае здесь располагаются бэкапы клиентов;
  • Veeam Cloud Gateway — Точка входа клиента. Именно через этот шлюз происходит загрузка бэкапов от клиента в репозиторий сервис-провайдера. Таких гейтвеев может быть несколько;
  • Опционально WAN-оптимизатор с двух сторон.

Взаимодействие между клиентом и сервис провайдером производится по зашифрованному каналу через один единственный порт.

Теперь, когда видно, как это выглядит со стороны, посмотрим на сторону сервис провайдера. В своей тестовой среде я использую три сервера для облачного хранилища и одного клиента:

  • Veeam Backup Server;
  • Veeam Backup Repository;
  • Veeam Cloud Gateway;

Для чистоты испытания, все компоненты Cloud Connect находятся в отдельной от клиентов сети. Сервер Cloud Gateway имеет второй интерфейс, который смотрит в сеть, доступную клиентам (в идеале это WAN, но не в моем случае).

Стоит заметить, что серверу Cloud Gateway не обязательно иметь второй интерфейс, который доступен извне. Он прекрасно уживается в DMZ за NATом (Так и должно быть всегда, imho), пробросить снаружи требуется всего один порт.

Список портов, которые может использовать Veeam.

Теперь углубимся в настройку всего этого дела:
В первую очередь необходимо проинсталлировать классический сервер Veeam Backup & Replication с одним исключением. На данном сервере должна использоваться другая лицензия, лицензия Cloud Connect Provider. Подробнее про лицензии для сервис-провайдеров.

После инсталляции сервера BR и добавления лицензии сервис-провайдера, сразу можно заметить отличие. Ко всему прочему мы получаем новую закладку «CLOUD CONNECT»:

83659dc1295e496d8ef520ba171d5831.JPG

Предварительно, я подключил к серверу Veeam две виртуальные машины, с одной из которых я подключил репозиторий, а вторая будет использована для Cloud Gateway. В итоге, структура Veeam выглядит следующим образом:
674568ee0f08451bb2fdf6e860feddab.JPG

Репозитории:
359fef25f35e485cb5be96c0b95b2668.JPG

Теперь займемся настройкой нашего облачного хранилища. В первую очередь необходимо добавить сертификат, который будет использоваться для канала общения с клиентом. Можно сгенерировать свой сертификат, использовать уже импортированный, либо использовать файл сертификата. Делается это пунктом «Manage Certificates» из вкладки «CLOUD CONNECT». Я буду использовать первый пункт и создам самоподписанный сертификат:
199fc1c8146e4243914a008ae2b1babc.JPG

5c650558cc3b4bd69f8641e8f088de85.JPG

Далее Veeam предложит ознакомиться с сертификатом. На этом его создание\импорт закончено.

Следующим шагом необходимо добавить Cloud Gateway, через который клиенты будут получать доступ к ресурсам для размещения своих резервных копий. Необходимо использовать пункт меню «Add Cloud Gateway»:

В первую очередь необходимо выбрать сервер, на который будет выступать в роли Cloud Gateway и на который будут установлены необходимые пакеты, а так же указать порт, через который сервер будет принимать подключения от клиентов (На этот порт необходимо настроить NAT, если используется):

e58b66392228467fa275460bf2237b02.JPG

Следующим шагом необходимо указать тип подключения нашего Gateway к сети. Используется прямое подключение, либо мы находимся за NAT?… В моем случае я использую прямое подключение через Ethernet 2:
6638d8fbb69542169fcc8c375ee7efc4.jpg

Если Gateway находится за NAT, необходимо указать адрес NAT устройства.

Далее Veeam сверяет настройки и сообщает о том, что будет проинсталлирован сервис Cloud Gateway на целевую машину, указанную в начале. Дождавшись окончания установки, убеждаемся, что у нас появился новый шлюз доступа:

bd6c17a82c3d469f945a12b26d74e2f7.JPG

Данная возможность не имела бы смысла, не будь у нас клиентов. Следующим шагом необходимо создать учетную запись клиента и выделить ему пул ресурсов. Учетная запись передается клиенту и с ней он осуществляет подключение к сервис-провайдеру.

Добавление клиентов происходит на пункте «Tenants» → «Add Tenant»:

При добавлении нового клиента указывается его учетная запись и, соответственно, пароль для доступа. Далее указываются ресурсы, которые предоставляются пользователю. Они могут быть как дисковые, так и вычислительные. Поскольку я использую в данном примере только резервное копирование, я указываю только дисковые ресурсы (Backup Storage). Так же можно указать срок действия контракта, по истечению которого пользователь не сможет подключаться:

41e365464a364c05919d5058b5819053.JPG

Далее мы можем ограничить максимальную пропускную способность клиента:
c542d59a9f5f4279994eb2e75880edcc.JPG

На последнем этапе мы добавляем репозитории, которые будут видны у пользователя, а так же указываем квоту, доступную пользователю в данных репозиториях. В примере я добавлю пользователю репозиторий на 20GB:
baaf218f95314176af4c6edfddab4ff9.JPG

78309ab4e1254c29a3df1bc621a1c99b.JPG

Здесь же можно подключить WAN-аккселератор, если он необходим клиенту. В случае, если клиенту необходимо добавить два репозитория, расположить их можно будет только на разных репозиториях, подключенных к нашему серверу Veeam BR.

Сверив суммарные настройки, нажимаем «ок». Теперь на закладке «Tenants» мы видим нашего клиента:

9c1e8a5f64d94b33855ee3a5d2863c3d.JPG

А на закладке Backup Storage можно наблюдать, как клиенты использую предоставленное им дисковое пространство:

5e8e930aa03d407ab7632d76795fccd0.JPG

На этом все, настройка Veeam со стороны сервс-провайдера закончена. Проверим, получится ли клиенту использовать наши ресурсы.

На втором сервере BR я выбираю «Add Service Provider» и указываю адрес Ethernet 2 моего Cloud Gateway, который был настроен выше (В случае NAT, необходимо указывать адрес устройства, выполняющего проброс портов). А еще лучше завести DNS запись для данного адреса:

21ce3dfa4daa4571b327ffaf529b02cf.jpg

Далее, в случае успешного подключения, необходимо сверить предоставленный сертификат, а так же указать данные для подключения, которые мы предоставляем клиенту:
b34ce4bcbb24477f9e3da1f7f1a647fb.jpg

Если все «ок», клиент будет видеть список предоставленных ему ресурсов. Как можно заметить, мы видим выделенные ранее 20GB:
ed552413c5ae4b17b199823c37bb25da.JPG

Теперь клиент будет видеть адрес нашего Cloud Gateway в списке «Service Providers», а репозиторий с именем «repo1_20g» будет виден в списке репозиториев.

Данный репозиторий можно использовать и для обычной задачи резервного копирования и для задач типа Backup Copy, для соблюдения политик 3–2–1, например. Я создам и запущу обычную задачу, проверим, что будет видеть в данном случае сервис провайдер.

Как только клиент запускает задачу, в качестве цели у которой указан репозиторий сервис-провайдера, через консоль управления провайдер может увидеть состояние запущенной клиентом задачи, а так же объем переданных в данный момент данных:

d57e72d2afab42a7bcd1cc61cabf802b.JPG

При этом провайдер не видит виртуальные машины, которые резервируются, и другую ценную для клиента информацию. Для большей уверенности в том, что к бэкапам никто не притронется, в свойствах задачи резервного копирования имеется возможность включить шифрование. Делается это в пункте «Advanced → Storage»:
0c413ae4959c451580306210180f11ac.JPG

57a3e95b6c3b49caba8d1b34987c1d0a.JPG

Две задачи. Одна защищена паролем, другая — нет.

Со стороны пользователя есть одно ограничение. Максимальное количество потоков, которые могут быть запущены на один репозиторий — 1. Т.е., даже если в прокси включено 10 потоков, резервироваться виртуальные машины будут в порядке очереди, а не по 10 сразу. Больше об ограничениях здесь.Чтобы иметь возможность запускать несколько потоков, необходимо несколько репозиториев, предоставленных провайдером, а так же несколько задач резервного копирования.
В остальном же, процесс резервного копирования\восстановления при использовании облака аналогичен процессу восстановления из обычного репозитория, за исключением возможности использовать Instant Recovery.

Вот вроде и все, что я планировал написать про резервное копирование в облако Veeam. Хотелось бы еще раз добавить, что как по мне, это удобный вариант для соблюдения правила 3–2–1. Ознакомившись с данной статьей, быть может кто-то захочет стать провайдером, а кто-то начнет доверять провайдерам хранение своих резервных копий.

Комментарии (1)

  • 18 октября 2016 в 15:46

    0

    >>WAN-оптимизатор
    Так акселераторы ещё никто не обзывал. Милота 80 го уровня =)

© Habrahabr.ru