Infrastructure Veeam Cloud
Dans cet article, je vais vous expliquer toutes les fonctionnalités de Veeam Cloud Connect.
Les composants côté SP (Service Provider) :
- Serveur Veeam Backup,
- Un ou plusieurs Cloud »Gateway »,
- La Gateway Cloud est une passerelle permettant la communication et le transfert de données,
- Un ou plusieurs Cloud »Repository »,
- C’est un espace de stockage dans le Cloud permettant de stocker la sauvegarde. Les clients peuvent utiliser cet espace pour la sauvegarde, la copie des sauvegardes, et restaurer directement les données si nécessaire,
- Un ou plusieurs WAN Accelerator cible (optionnel),
- Ce composant permet d’accélérer/optimiser le transfert des données sur le WAN (job de copie).
Les composants côté Tenant (client) :
- Serveur Veeam Backup,
- Lorsque, le serveur Veeam se connecte au serveur Veeam côté SP, à ce moment là, le Repository Cloud devient visible à partir de sa console,
- WAN Accelerator source (optionnel),
- Agent Veeam (appelé Subtenant),
- Serveurs, postes clients, portables. L’agent passe par le serveur Veeam afin de profiter du Repository Cloud.
Le SP utilise le serveur Veeam pour mettre en place l’infrastructure Veeam Cloud Connect et fournit le Repository Cloud ainsi que la reprise d’activité en cas de sinistre.
Le serveur Veeam SP exécute le service Veeam Cloud Connect, c’est un service Windows donnant droit aux opérations suivantes :
- Fournis l’accès du Tenant au Cloud Repository et les hôtes du Cloud,
- Contrôle le service Transport entre le Tenant et le SP,
- Communication de la base de données Veeam.
Cloud Gateway
Ce composant est une Appliance réseau mise en oeuvre côté SP. Le serveur Veeam Tenant ne communique pas directement avec le Cloud Repository, il passe par la Gateway afin de visualiser le Repository Cloud. Le Cloud Gateway est une passerelle entre le client et le SP. Elle permet d’avoir une communication entre les serveurs et de transférer les données. Ce dernier peut être mis en oeuvre sur une VM ou sur une machine physique sous Windows en fonction des ressources nécessaires.
Comprendre le fonctionnement du Cloud Repository
Chaque client souhaitant stocker ses sauvegardes dans le Cloud doit configurer un job de sauvegarde ou de copie sur leur infrastructure Veeam et en destination le Cloud Repository. Lorsque le job démarre, Veeam Backup effectue les tâches suivantes :
- Côté client, le job de sauvegarde ou de copie démarre. Le serveur Veeam côté client envoie une requête au Cloud Gateway afin d’accéder au Cloud Repository,
- Le Cloud Gateway transmet la requête au serveur Veeam SP,
- Le serveur Veeam SP fournit un certificat TLS qui permet d’avoir une connexion sécurisée avec chaque Tenant.
- Les données VM transitent entre le Tenant et le Cloud à travers le Cloud Gateway.
Protection renforcée après effacement
Dans certaines circonstances, la sauvegarde sur site ainsi qu’une copie dans le Cloud Repository ne sont pas suffisantes afin de se prémunir d’une attaque ou d’un accident au sein de l’infrastructure. Lorsqu’une personne physique accède à la console Veeam, il a la possibilité d’effacer toutes les données se trouvant On-Premise et dans le Cloud.
Veeam propose la fonctionnalité de protéger les données de sauvegardes effacées :
- Job de sauvegarde des VM et job des Agents,
- Job de sauvegarde des serveurs physiques par un agent Veeam que ce soit Windows ou Linux,
- Job de copie des sauvegardes
Le SP peut activer la protection renforcée des données pour chaque Tenant. En activant cette fonctionnalité, il est impératif de déterminer la durée de protection des données après effacement se trouvant dans le Repository Cloud.
Lorsqu’une sauvegarde ou un point de restauration spécifique dans la chaîne de sauvegarde est supprimée du Repository cloud, Veeam ne supprime pas immédiatement les fichiers de sauvegarde, il les déplace vers une corbeille.
Cette corbeille est un répertoire se trouvant dans le Repository Cloud. Il est donc nécessaire de définir en amont suffisament d’espace dans l’infrastructure Cloud.
Les données se trouvant dans la corbeille apparaissent comme supprimées pour le client. Il ne peut ni les visualiser, ni réaliser d’opération. Si le client a besoin de restaurer une donnée, il devra effectuer une demande spécifique au SP.
Fonctionnalité Capacity Tier
Le SP ayant la fonction Veeam »SOBR » (Scale-Out Backup Repository) dans le Repository Cloud peut mettre en place la fonctionnalité »Capacity Tier ». Cela permet de déplacer ou de copier les données du Repository On Premise vers le Repository Cloud afin de les garder avec une rétention longue.
Cette fonctionnalité est utilisée dans les cas suivants :
- Le client manque d’espace sur le Repository On Premise,
- Garder seulement quelques points de sauvegarder On Premise,
- Chercher à stocker les données sur plusieurs sites.
Avec la Capacity Tier, il est possible de :
- Déplacer les sauvegardes inactives,
- Copier les nouvellles sauvegardes, dès qu’un nouveau fichier est créé,
- Télécharger les données,
- Restaurer les données.
Le SOBR utilisant la fonctionnalité Capacity Tier se trouve sur un stockage local et sur un stockage objet S3 (compatible S3, Amazon, Azure, IBM, Google).
Immuabilité des données – Capacity Tier
Veeam fournit une protection accrue des sauvegardes et/ou des copies de sauvegarde, avec un niveau d’isolation de sauvegarde identique à celui fourni par les bandes hors ligne.
Pour rendre les données immuable, Veeam utilise la technologie »Object Lock » fournie par Amazon et certains fournisseurs compatibles S3. Une fois mise en oeuvre, le verrouillage d’objet ( »Object Lock » ») interdit la suppression et la modification des données jusqu’à ce que la date d’expiration de l’immuabilité arrive à terme.
Afin de mettre en oeuvre la fonction d’immuabilité, il est nécessaire d’avoir :
- Un Repository local (On Premise),
- Un Repository stockage objet S3 (local ou chez un Provider),
- Un Scale-Out Repository configuré entre les deux Repository,
- Activer la fonction Capacity Tier, soit pour copier soit pour déplacer les données ou les deux à la fois,
- Activer la fonction d’immuabilité avec une rétention de protection de la donnée.
Archive Tier
Afin de réduire les coûts de stockage des sauvegardes à longue rétention sur disques et/ou sur bandes, il est désormais possible d’utiliser la fonctionnalité de migration des données vers un stockage froid de type »Cloud ». Cette fonctionnalité est entièrement automatisée permettant de réduire les risques manuels de déplacement de la donnée.
Archive Tier est une fonctionnalité de la version 11, au niveau du Scale-Out Repository. Les données venant du Capacity Tier (données chaudes) peuvent migrer vers du Archive Tier (données froides) de type »Amazon Glacier » et/ou »Azure Archive Blob Storage ».
Désormais, Veeam gère de bout en bout le cycle de vie de la donnée grâce aux différentes politiques mise en place de façon intelligente : Performance, Capacité, et Archivage.
La fonction Archive Tier prend en charge l’export des fichiers de sauvegarde, les fichiers Veeam ZIP, et les fichiers de sauvegardes GFS.
Source Veeam
Comprendre le fonctionnement de Archive Tier
En créant ou en modifiant le SOBR, une étape supplémentaire apparaît appelé Archite Tier juste après le Capacity Tier. Il n’est pas possible de mixer les différents fournisseurs de stockage (Amazon S3 Glacier et Azure Archive Blob Storage). C’est à dire AWS vers AWS et Azure vers Azure.
Il y a un Proxy temporaire par chaine de sauvegarde entre le Capacity Tier et l’Archive Tier convertissant les objets. Les données sont toujours transférées depuis le Capacity Tier vers l’Archive Tier.
Lorsque l’on stocke les données en archive, il faut bien prendre en compte une période de stockage minimale, tout en utilisant le GFS Veeam. C’est à dire :
- Amazon Glacier – 90 jours
- Amazon Glacier Deep Archive – 180 jours
- Microsoft Azure Archive – 180 jours
Les options de récupérations de la donnée dépendent du fournisseur, de l’emplacement utilisé, de la rapidité avec laquelle vous en avez besoin et de ce que vous êtes prêt à payer. Différentes possibilités existent sous Veeam :
Source Veeam
Vous devrez sélectionner la période de disponibilité souhaitée des fichiers de sauvegarde récupérés au niveau de la capacité.
Grâce à la fonction d’immuabilité qu’il est maintenant possible de mettre en place par Veeam, vous pouvez dés aujourd’hui activé cette fonctionnalité au Repository S3 Amazon Glacier. A ce jour, seulement le stockage S3 Amazon Glacier est disponible.
Source Veeam
Tenant sauvegarde sur bandes
Côté SP, il est aussi possible de mettre en place une copie sur bandes des données client du Repository Cloud. Cela offre une troisième protection des données »Air Gap ».
Dans certain cas, lorsque les données disques côté Cloud deviendraient indisponible, le Tenant peut demander de restaurer ses données à partir des bandes sur un espace côté Cloud.
L’infrastructure Veeam Tape est mise en place côté SP, ainsi que la gestion des bandes. Toutes les tâches demandées côté client est mise en oeuvre côté SP. Le client n’a pas besoin de se soucier de l’infrastructure bandes mise en oeuvre chez le SP. De plus, le client ne peut ni voir, ni administrer les jobs de copie sur bandes mise en oeuvre côté SP.
Source Veeam