Posted on Updated on

Veeam Backup Repositorys im Vergleich.

By admin

Veeam Data Platform unterstützt zwei Arten an Immutable Backup Repositorys. Das auf XFS aufbauende Linux Hardened Repository und S3 bzw. S3-kompatiblen Objektspeicher.

Object First hat hierzu ein sehr gutes White Paper verfasst. Es kann unter https://objectfirst.com/de angefordert werden. Der Objektspeicher Ootbi (Out-of-the-Box Immutability) ist eine sehr gelungene Lösung, passt aber bei meinen Kunden leider nicht in das Budget für Backupspeicher.

Gehärtete Veeam-Repositorys.

Das gehärtete Repository ist eine Storage-Option für Veeam, die viel Sicherheit, mit etwas Aufwand verbunden, bringt. Mit ein wenig Linux Administrationskenntnissen kann hier ein kostengünstiges Backup Repository aufgebaut werden. Es ist mit Abstand sicherer als direkt angebundener Speicher oder Netzwerkspeicher.

Die Einrichtung und Aktualisierung zur Erhaltung der Sicherheit erfordern aus meiner Sicht nur geringe Linux Kenntnisse und ist auch für Windows Administratoren machbar. Eine gewisse Bereitschaft für eine regelmäßige Aktualisierung des zugrundeliegenden Linux Betriebssystem sollte allerdings vorhanden sein.

Für die Zusammenarbeit mit Veeam wird ein eigener Benutzer eingerichtet. Dieser benötigt bei der Erstinstallation und später bei Updates sudo Rechte, die ihm im normalen Betrieb entzogen werden. Auch das kann sich ein Administrator aneignen und stellt aus meiner Sicht kein unüberwindliches Hindernis dar.

Veeam schreibt die Vollbackupdatei und die Inkrementellen Backupdateien über eine gesicherte API in das Hardened Repository. Hierzu werden zusätzlich zum SSH Port noch die Ports TCP 6160, TCP 6162 und für die Übertragung TCP 2500-3300 benötigt.

Dort wird das Dateisystem Attribut [i] gesetzt und die Backups so vor Veränderung geschützt. Über den Befehl lsattr kann man sich das anzeigen lassen.

Der Schutz hängt an den jeweiligen Backupdateien und verhindert das Löschen aus Veeam heraus.

Wenn ein Angreifer aber Zugriff auf das Linux System als root erlangt, dann kann er dieses Attribut löschen und danach auch die Dateien. Wenn das passiert, dann ist zuvor schon an dem Sicherheitskonzept etwas falsch gelaufen. Der SSH Zugang ist in der Umgebung ausschließlich aus dem Backupnetzwerk erreichbar und durch ein komplexes Passwort oder ein Zertifikat gesichert. Aus dem Arbeitsnetzwerk der Benutzer oder gar von extern ist ein Zugriff auf das Linux System durch eine Firewall zu verhindern.

Objektspeicher.

Die Veeam Data Platform kann seit V12 den S3-Objektspeicher auch als primäres Backup-Ziel nutzen. Hierbei wird die Sicherheit des S3-Objektspeichers für die Immutability genutzt. Diese muss bei der Einrichtung der S3 Buckets konfiguriert werden.

Die Kommunikation erfolgt ausschließlich über https. Je nach Objektspeicher kommt hier ein unterschiedlicher Port zur Anwendung. Das vereinfacht die Nutzung aus administrativer Sicht, da auch kein zusätzlicher Transport-Dienst installiert oder später aktualisiert werden muss.

Um die weiteren Unterschiede herauszuarbeiten habe ich hier MINIO als Objektspeicher gewählt. Die Oberfläche von MINIO ist sehr gut und zeigt alle Informationen an.

Wenn man MINIO wie das Linux Hardened Repository als primäres Backupziel auswählt, staunt man nicht schlecht beim Blick auf den Objektspeicher. Aus einer einzigen Vollbackupdatei eines kleinen Windows Domänencontrollers (ca. 11GB) wurden knapp 20.000 Objekte.

Zum einen gibt es keine sichtbare Backupdatei. Die Information hat nur noch Veeam Data Platform. Zum anderen hängt in Form der Metadaten die Immutablity an jedem einzelnen dieser Objekte. Das ist wichtig, wenn andere, folgende Backups auf denselben Objekten aufbauen. Dann verändert Veeam Data Platform die Informationen zu Immuatbility in den Metadaten – und das in der Regel bei sehr vielen Objekten. Wenn diese Metadaten dann zusammen mit den Objekten auf Festplatten liegen, kann das zu einer Herausforderung werden.

Man kann die Anzahl der Objekte reduzieren, indem man die Blockgröße des Veeam Backups von 1MB auf 4 MB verändert. Damit reduziert sich die Anzahl der Objekte auf ein Viertel.

Ich habe Kunden, die haben virtuelle Maschinen mit 30TB Daten. Hier liegt die Objektzahl im 3-stelligen Millionenbereich. Hier nutzen wir CEPH basierten Objektspeicher mit den Objekten auf Festplatten und den Metadaten auf SSDs.

Die Zusammenfassung entnehme ich dem Objectfirst Whitepaper.

Posted on Updated on

Warum eine moderne Backup-Strategie so wichtig ist.

By admin

Bei der Sicherung der Daten auf Unternehmensebene ist es ratsam, sich über ein vernünftiges Backupkonzept Gedanken zu machen.

In der heutigen digitalen Welt, in der Daten als eines der wertvollsten Güter gelten, ist es entscheidend, eine verlässliche Strategie zur Datensicherung und -wiederherstellung zu verfolgen. Ein durchdachtes Backup-Management bietet eine Reihe an Vorteilen: Neben der Datensicherheit kommen im Business-Umfeld weitere Dinge wie die Business Continuity, die Compliance-Einhaltung oder die Skalierbarkeit hinzu. Gerade auch dann, wenn es um immer größere Datenmengen geht, ist viel Erfahrung und Kenntnisse erforderlich.

Cyberangriffen gelassen entgegensehen.

Während Unternehmen zunehmend auf digitale Technologien setzen, um ihre Geschäftsprozesse zu optimieren, sind sie gleichzeitig auch einem wachsenden Risiko durch Cyberangriffe und Datenmanipulationen ausgesetzt. Ransomware-Angriffe, Datenkorruption und andere Sicherheitsvorfälle stellen ernsthafte Bedrohungen für die Unversehrtheit von Daten dar und machen eine robuste Backup-Strategie unerlässlich.

In einer Zeit, in der Datenintegrität und -sicherheit von höchster Bedeutung sind, bieten Immutable Backups einen bedeutenden Fortschritt, der dazu beitragen kann, die Sicherheit und Verfügbarkeit kritischer Unternehmensdaten zu gewährleisten.

Funktionsweise von Immutable Backups

Immutable Backups bieten einen robusten Schutzmechanismus gegen Datenverlust und -manipulation, indem sie sicherstellen, dass einmal gesicherte Daten nicht mehr verändert oder gelöscht werden können. Dies wird typischerweise durch Technologien erreicht, die Daten nach der Sicherung in einem Zustand „write-once“ (nur schreiben) festhalten.

Write Once, Read Many (WORM): Diese Technologie sorgt dafür, dass einmal geschriebene Daten nicht mehr geändert oder gelöscht werden können. Sie ist die Grundlage für viele Immutable Backup-Lösungen und verhindert, dass auch Systemadministratoren oder bösartige Akteure auf die Daten zugreifen und sie manipulieren. Es gibt verschiedene Technologien und Methoden, um unveränderliche Backups zu implementieren. Einige der gebräuchlichsten sind:

  • Cloud-basierte Immutability-Funktionen: Viele Cloud-Anbieter bieten spezielle Funktionen zur Sicherstellung der Unveränderlichkeit, wie z.B. „Object Lock“ bei Amazon S3 oder ähnliche Mechanismen bei anderen Anbietern. Diese Funktionen ermöglichen es, Daten für eine bestimmte Zeitspanne oder auf unbestimmte Zeit unveränderlich zu speichern.
  • Software-gestützte Lösungen: Backup-Software kann mit spezifischen Optionen ausgestattet werden, um die Unveränderlichkeit der Backups zu gewährleisten. Diese Software kann Mechanismen wie das Einrichten von Sicherungskopien in einem schreibgeschützten Zustand oder das Anwenden von Verschlüsselungstechnologien umfassen.
  • Hardware-basierte Lösungen: Einige physische Speicherlösungen, wie z.B. spezialisierte Backup-Appliances, bieten eingebaute Funktionen zur Sicherstellung der Datenunveränderlichkeit durch spezielle Speicherprotokolle und -architekturen.

Veeam Data Platform

Anhand einer Beispielumgebung basierend auf einem Hyper-V Hypervisor und der Backuplösung Veeam Data Platform zeige ich die grundsätzliche Vorgehensweise auf. Die Veeam Data Platform läuft zuerst einmal auf einem Windows Betriebssystem. Hier ist für mich ganz wichtig, dass dieses System niemals Mitglied der Windows Domäne meiner zu sichernden Umgebung ist. Es gibt hierfür keinerlei Notwendigkeit und unterhöhlt nur die Sicherheit. Der Benutzer, der später zur Sicherung eingesetzt wird, ist später beim Backup zu definieren und hat nichts mit dem Benutzer zu tun, unter dem die Veeam Data Platform arbeitet. Auch alle Hinweise zu Sicherungen auf einem weiteren lokalen ReFS Datenträger sind der Sicherheit nicht zuträglich.

Backup Repositories

Veeam nutzt Backup Repositories für die Veeam Backup-Dateien, Metadaten und Indexe. Veeam unterstützt eine Vielzahl von Speichertypen. Viele sind der Historie von Veeam geschuldet und sind für heutige Backupaufgaben ungeeignet (lokale Windows Verzeichnisse, SMB Laufwerke, NFS Laufwerke). Ich nutze heute lokal ausschließlich gehärtete Linux Repositories mit XFS Dateisystem oder Objektspeicher. Für die Sicherung außer Haus können Bandlaufwerke, cloudbasierte oder eigene Objektspeicher an einem anderen Standort eingesetzt werden. Den Unterschied zwischen XFS Speichern und Objektspeichern behandle ich in einem weiteren Artikel.

Demonstrationsumgebung

Die Demonstrationsumgebung besteht aus zwei durch eine Firewall getrennten Netzsegmenten. Wer noch mehr Sicherheit haben will, kann den Backup zusätzlich in ein eigenes Netzwerk verschieben. Hier empfehle ich dann, je nach Datenmenge, eine Firewall mit 10Gbs Ethernet Schnittstellen.

Für die Remotesicherung wird ein eigener S3-kompatibler Objektspeicher auf Basis von CEPH eingesetzt.

Posted on

VMware Alternativen

By admin

Die neue Produkt- und Preisgestaltung bei VMware seit der Übernahme durch Broadcom zwingt vor allem die Anwender vom VMware vSphere Essentials und VMware vSphere Essentials Plus zum Nachdenken über Alternativen. Zahlreiche Veröffentlichungen im Internet und in den Fachzeitschriften befassen sich derzeit mit dem Thema „Weg von VMware – aber wohin?“. Es werden die Alternativen von Microsoft Hyper-V bis zu Open Source Lösungen auf Basis von KVM behandelt. Die Artikel fokusieren auf technischen Fakten und berücksichtigen nicht die eigentliche Ausgangslage.

Da ich zahlreiche Gespräche hierzu mit meinen Kunden führe, möchte ich die hierbei aufgekommenen Argumente und Kriterien an Hand von konkreten Beispielen darstellen. Die erste Konfiguration ist bei unseren Kunden relativ typisch und mit nur geringe Abweichungenso im Einsatz. Das zweite Beispiel behandelt eine VDI-Umgebungen.

Für das besser Verständnis soll hier auch die gesamte Entwicklung hin zur jetzigen Lösung aufgezeigt werden. Wir sind vor vielen Jahren mit zwei physikalischen Server auf Basis von Windows NT 4.0 gestartet – ein Domänencontroller und Fileserver und einem Microsoft Exchange Server.

Eine Aktualisierung des physikalischen Exchange Servers schlug fehl und zwang damals zu einer Neuinstallation und Rücksicherung des Servers. Dies kostete viel Zeit und Nerven. Ursache war ein Fehler in der Firmware des RAID Controllers. Auch Bluescreens der Windows Server waren zu der Zeit nichts außergewöhnliches.

Daher war man für die aufkommende Virtualisierung und die damit verbundene Abstraktion von der Hardware aufgeschlossen. Da aber VMware ESXi zu diesem Zeitpunkt sehr teuer war, setzten wir beim nächsten Hardwaretausch auf XenServer zusammen mit einem iSCSI Storage. Der Backup wurde damals mit Symantec Backup Exec gemacht und die einzelnen VMs wie physikalische Server mittel Agenten gesichert. Das Sichern und Wiederherstellen ganzer virtueller Maschinen war da noch nicht gegeben. Lösungen hierfür waren nur für VMware ESXi verfügbar.

Mit der Einführung von VMware vSphere Essentials Plus stellte sich dann die Frage nach einem Wechsel. Microsoft Hyper-V war zu dieser Zeit noch keine Alternative. Die Übernahme von XenServer durch Citrix und deren Produkt- und Lizenzpolitik führten dann zum Wechsel auf VMware. Zu diesem Zeitpunkt waren nur vier virtuelle Server zu migrieren und der Wechsel der Exchange Version stand ohnehin an. Daher wurden neue VMs in der VMware-Umgebung erstellt und die Daten migriert.

Im Backup etablierte sich zu dieser Zeit Veeam Backup & Replication. Es löste rasch Symantec Backup Exec ab. Die Unterstützung von Volume Shadow Copy Services und die Erstellung von anwendungskonsistenten Backups einer laufenden virtuellen Maschine und später auch die Einzelelementwiederherstellung aus einem VM-Backup waren enorme Fortschritte. Zwischenzeitlich laufen in diesen Umgebungen zwischen 10 und 30 virtuelle Maschinen (überwiegend auf Basis von Windows Server).

Diese Umgebung läuft heute auf Basis von Windows Server 2019 und Exchange Server 2019. Es sind zwei oder drei physikalische Server als VMware ESXi Host zusammen mit VMware vCenter Server im Einsatz. Einige Kunden nutzen zusätzlich Storagesysteme, die im Zusammenspiel mit Veeam Backup & Replication für anwendungskonsistente Snapshots sorgen.

Als Backup Repositories kommen lokal XFS basierte, immutible Speichersysteme zum Einsatz. Remote wird ein auf CEPH oder Minio basierendes S3 kompatibles System zur Langzeitarchivierung genutzt.

Die Umgebung ist über viele Jahre gewachsen. Die eingesetzten Produkte sind vertraut und zuverlässig. Ich denke, genau das weiß man auch bei Broadcom. Ein Wechsel ist mit erheblichen Aufwand verbunden.

Die Betrachtung der Alternativen erfolgt jetzt vor dem Hintergrund dieser Ausgangslage.

Ich möchte hier mit Proxmox (stellvertretend für alle KVM basierten Lösungen) beginnen. KVM ist für sich betrachtet durchaus eine Alternative als Hypervisor. Allerdings zeigt das Beispiel, dass der Hypervisor nur ein Teil der Lösung ist. Im Bereich Backup existieren hier keine echten Alternativen zu Veeam. Auch die von Veeam selbst angebotene (und für Proxmox in Aussicht gestellte) Backuplösung für RedHat Virtualisierung macht hier keine Ausnahme. Es können keine anwendungskonsistenen Backups virtueller Maschinen erstellt werden. Hier muss wieder zu Agenten in den einzelnen virtuellen Maschinen gegriffen werden. Konkret heißt das, man benötigt mehr Zeit für den Backup und doppelt soviel Backupspeicherplatz, da man für das Recovery die virtuellen Maschinen und für Exchange oder SQL Server die Datenbanken nochmals sichern muss. Die doppelte Datenmenge wirkt sich auch auf das Übertragungsvolumen über die WAN Strecken zu den S3 Archiven aus.

Die einzige ernsthafte Alternative stellt hier eine Microsoft Hyper-V Umgebung dar. Die notwendigen Lizenzen für den Hypervisor sind über die Windows Server Lizenzen der virtuellen Maschinen vorhanden, oftmals wegen der Nutzung von Livemigration sogar die Windows Server Datacenter Edition. Als Ersatz für VMware vCenter kann hier das kostenlose Windows Admin Center genutzt werden. Interessant ist in diesem Zusammenhang, dass Veeam Backup & Replication die Wiederherstellung von virtuellen VMware-Maschinen auf Microsoft Hyper-V unterstützt.

Abstriche muss man dennoch in Kauf nehmen. Hyper-V Cluster basieren auf dem Microsoft Cluster Dienst und der benötigt derzeit Active Directory. Hier sollte aber allein aus Sicherheitsgründen schon eine zusätzliche Infrastrukturdomäne eingeplant werden. Hyper-V kennt auch kein Clusterdateisystem. Das muss die Planung im Storagebereich berücksichtigen, will man nicht Schreibvorgänge virtueller Maschinen über einen anderen Host ausführen. Wer Lizenzen für Microsoft Server Datacenter Edition besitzt, kann auch über eine hyperconvergente Lösung mit Storage Spaces Direct nachdenken. Es soll aber nicht verschwiegen werden, dass es keine Gewähr dafür gibt, dass Microsoft die Preise für Hyper-V so lässt, wie sie aktuell sind.

Wir haben aber auch Kunden, die Citrix Virtual Apps and Desktop einsetzen. Hierbei werden die virtuellen Maschinen vom Desktop Delivery Controller erstellt und verwaltet. Hierzu ist eine enge Intergration in die Verwaltungsoberfläche des Hypervisors notwendig. Aktuell wird hier nur VMware vCenter Server, Microsoft System Center Virtual Machine Manager oder XenServer unterstützt. Ob sich eine Investition in Microsoft System Center Virtual Machine Manager lohnt, wage ich zu bezweifeln. Hier bleibt nur der Wechsel auf XenServer. Für diesen bekommen Citrix Anwender kostenlose Lizenzen mit Support.

Jetzt kann jeder für sich den Taschenrechner hervorholen (oder gerne auch Excel nutzen) und die Mehrkosten für VMware den Kosten für einen Wechsel gegenüberstellen.