Знаёмцеся: новае рашэнне Veeam Backup for AWS

У пачатку снежня выйшла ў свет новае рашэнне Veeam Backup for AWS для рэзервовага капіявання і аднаўленні хмарных інфраструктур Amazon Elastic Compute Cloud (Amazon EC2).

З яго дапамогай можна ствараць рэзервовыя копіі інстансаў ЕС2 і захоўваць іх у хмарным сховішчы Amazon Simple Storage Service (Amazon S3), таксама ствараць ланцужкі снапшотаў ЕС2 у натыўным фармаце.

Для аднаўлення дадзеных Veeam Backup for AWS прапануе наступныя опцыі:

• Аднаўленне інстанса ЕС2 цалкам
• Аднаўленне тамоў інстансу
• Аднаўленне файлаў і тэчак гасцёўні АС інстанса

Акрамя таго, паколькі рашэнне стварае рэзервовыя копіі ў фармаце Veeam, можна задзейнічаць Veeam Backup & Replication для захавання копій бэкапаў ЕС2 у on-premises рэпазітары, а затым выконваць міграцыю дадзеных паміж хмарнай, віртуальнай і on-premises інфраструктурамі.

І, несумненна, карыстальнікаў парадуе наяўнасць у новага рашэння бясплатнай версіі. Для больш дэталёвага знаёмства з Veeam Backup for AWS сардэчна запрашаем пад кат.

асноўныя магчымасці

Акрамя ўжо згаданых магчымасцяў па аўтаматычнаму стварэнню снапшотаў Amazon EBS і захоўванні бэкапаў у хмарным Amazon S3, у рашэнні рэалізаваны:

• Шматфактарная аўтэнтыфікацыя для бэкап-адміністратараў
• Абарона дадзеных на аснове палітык
• Падтрымка падзелу роляў IAM
• Падтрымка крос-рэгіянальных канфігурацый
• Убудаваны алгарытм папярэдняй адзнакі выдаткаў на працу сэрвісаў, які дапамагае кантраляваць аплату.

Ну і як ужо згадвалася, ёсць і бясплатная ліцэнзія, і BYOL (build your own license), і ліцэнзія, якая базуецца на спажыванні рэсурсаў - кожны можа выбраць прыдатную.

этапы працы

Калі коратка, то асноўныя этапы такія:

1. Правяраем нашу інфраструктуру на адпаведнасць сістэмным патрабаванням, апісаным тут.
2. Усталёўваны Veeam Backup for AWS, як апісана ніжэй.
3. Паказваем ролі IAM. Яны патрэбныя для доступу да рэсурсаў AWS, задзейнічаных у рэзервовым капіяванні і аднаўленні:
   • Калі вы плануеце бэкапіць інстансы EC2 у межах аднаго ўліковага запісу AWS, можна выкарыстоўваць ролю Default Backup Restore – яна ствараецца падчас усталёўкі Veeam Backup for AWS. У гэтай ролі ёсць неабходныя правы на доступ да ўсіх інстанс EC2 і бакетам S3 у межах уліку AWS, дзе разгорнуты Veeam Backup for AWS (першапачатковы ўліковы запіс AWS).
   • Калі ж вы плануеце бэкапіць ці аднаўляць дадзеныя інстансаў EC2 паміж двума рознымі ўлікамі AWS альбо жадаеце выкарыстаць для кожнай аперацыі выдзеленую ролю IAM з мінімальным наборам мае рацыю, то трэба будзе стварыць неабходныя ролі IAM у межах першапачатковага ўліковага запісу AWS і затым дадаць іх у Veeam Backup for AWS. Пра гэта падрабязна распавядаецца ў дакументацыі.

4. Наладжваем інфраструктуру рэзервовага капіявання, а менавіта:
   • Канфігуруем S3-рэпазітар.

     Заўвага: Калі вы збіраецеся выкарыстоўваць для абароны дадзеных не рэзервовыя копіі, а натыўнай выявай створаныя снапшоты, то гэты пункт можна прапусціць, т.к. S3-рэпазітар у гэтым сцэнары не спатрэбіцца.

   • Задаем сеткавыя наладкі для дапаможных кампанентаў worker instances.
     Рабочыя - гэта дапаможныя інстансы EC2 пад кіраваннем АС Linux. Яны запускаюцца толькі на час рэзервовага капіявання (ці аднаўленні) і выконваюць ролю бэкап-проксі. У наладах worker трэба будзе паказаць Amazon VPC, падсетку і сек'юрыці-групу, да якой будуць падлучацца гэтыя дапаможныя інстансы. Пра ўсё гэта можна пачытаць тут.

5. Затым ствараем палітыку, на падставе якой будуць стварацца рэзервовыя копіі або снапшоты інстансаў ЕС2. Пра гэта коратка раскажу ніжэй.
6. З рэзервовай копіі можна выканаць аднаўленне - пра гэта таксама крыху ніжэй.

Разгортванне і настройка

Veeam Backup for AWS даступны на AWS Marketplace.

Разгортванне рашэння выконваецца так:

1. Заходзім на AWS Marketplace пад уліковым запісам AWS, якую плануем выкарыстоўваць для ўсталёўкі рашэння.
2. Адкрываем старонку Veeam Backup for AWS, выбіраемы патрэбную нам рэдакцыю (платную ці бясплатную). Падрабязней аб рэдакцыях напісана тут.
   • Veeam Backup for AWS Free Edition
   • Veeam Backup for AWS Paid Edition
   • Veeam Backup for AWS BYOL Edition

3. Справа ўверсе націскаем Працягвайце падпісвацца.

   

4. На старонцы афармлення падпіскі ідзем у раздзел Умовы i Варункi (умовы выкарыстання) і тамака клікаем Падрабязнасці, далей па спасылцы Ліцэнзійная дамова канчатковага карыстальніка чытаем ліцэнзійную дамову.
5. Затым націскаем кнопку Перайдзіце да канфігурацыі і прыступаем да канфігурацыі.
6. На старонцы Configure this software задаём наладкі для ўстаноўкі:
   • Са спісу Fulfillment Option (варыянты разгортвання) выбіраемы варыянт для нашага прадукта VB for AWS Deployment.
   • Са спісу версій Версія праграмнага забеспячэння выбіраемы найноўшую версію Veeam Backup for AWS.
   • З пераліку рэгіёнаў Рэгіён выбіраемы рэгіён AWS, у якім будзе разгорнуты інстанс EC2 з Veeam Backup for AWS.

   Заўвага: Больш падрабязна аб рэгіёнах AWS можна пачытаць тут.

7. Затым націскаем кнопку Працягнуць да запуску для пераходу да запуску.

   

8. На старонцы Launch this software выконваем вось такія крокі:
   • У раздзеле Падрабязнасці канфігурацыі правяраем, ці ўсе налады дакладна пазначаны.
   • Са спісу дзеянняў Выберыце Дзеянне выбіраем Launch CloudFormation.
   • Устаноўка Veeam Backup for AWS выконваецца з дапамогай стэка AWS CloudFormation.

     Заўвага: Тут стэк - гэта сукупнасць хмарных рэсурсаў, якімі можна кіраваць як асобнай адзінкай: ствараць, выдаляць, выкарыстоўваць для запуску прыкладанняў. Больш падрабязна можна пачытаць у дакументацыі да AWS.

     Націскаем Запуск і запускаем майстар стварэння стэка Create stack wizard.

Стварэнне стэка AWS CloudFormationСтварэнне стэка AWS CloudFormation:

1. На кроку Specify template можна пакінуць налады шаблону стэка па змаўчанні.
2. На кроку Specify stack details уводзім налады для нашага стэка.
   • У полі Stack name уводзім імя; можна выкарыстоўваць літары ў верхнім і ніжнім рэгістры, лічбы і працяжнік.
   • У секцыі настроек Канфігурацыя асобніка:
     Са спісу Instance type for Veeam Backup for AWS server трэба абраць тып інстанса EC2, на якім будзе ўсталяваны Veeam Backup for AWS (далей мы будзем зваць яго сервер Veeam Backup for AWS). Рэкамендуецца абраць тып t2.сярэдні.
     Са спісу Key Pair for Veeam Backup for AWS Server трэба абраць пару ключоў, якія будуць выкарыстоўвацца пры аўтэнтыфікацыі на гэтым новым сэрвэры. Калі патрэбнай пары ключоў у спісе няма, трэба яе стварыць, як апісана тут.
     Пакажыце, ці трэба ўключыць аўтаматычны бэкап тамоў EBS для сервера Veeam Backup for AWS (па змаўчанні трэба, г.зн. праўда).
     Укажыце, ці трэба рэстартаваць сервер Veeam Backup for AWS у выпадку збою ў працы ПЗ.
     Укажыце, ці трэба рэстартаваць сервер Veeam Backup for AWS у выпадку збою ў працы інфраструктуры.

3. У секцыі настроек сеткі канфігурацыя сеткі:
   • Укажыце, ці спатрэбіцца стварыць Elastic IP-адрас для сервера Veeam Backup for AWS. Больш падрабязна гл. тут.
   • У полі Адправлены Source IP Address for connection to SSH укажыце інтэрвал адрасоў IPv4, з якіх будзе дазволены доступ да сервера Veeam Backup for AWS праз SSH.
   • У полі Адправлены Source IP Address for connection to HTTPS укажыце інтэрвал адрасоў IPv4, з якіх будзе дазволены доступ да вэб-інтэрфейсу Veeam Backup for AWS.
     Інтэрвал адрасоў IPv4 паказваецца ў натацыі CIDR (напрыклад, 12.23.34.0/24). Каб дазволіць доступ з усіх адрасоў IPv4, можна ўвесці 0.0.0.0/0. (Аднак такі варыянт не рэкамендуецца, паколькі зніжае бяспеку інфраструктуры.)

4. На аснове ўказаных IPv4-адрасоў AWS CloudFormation стварае сек'юрыці-групу для Veeam Backup for AWS, з адпаведнымі правіламі для ўваходнага трафіку па SSH і HTTPS. (Па змаўчанні, для ўваходнага трафіку па SSH выкарыстоўваецца порт 22, а па HTTPS - порт 443.) Калі вы збіраецеся падчас усталёўкі рашэння паказаць іншую сек'юрыці-групу для Veeam Backup for AWS, то не забудзьцеся ўручную дадаць адпаведныя правілы ў гэтую групу і праверыць, што для яе дазволены доступ да сэрвісаў AWS (пазначаны ў падзеле Requirements кіраўніцтва карыстача).
5. У секцыі VPC and Subnet трэба абраць Amazon Virtual Private Cloud (Amazon VPC) і падсетку, да якой будзе падлучаны сервер Veeam Backup for AWS.
6. На кроку Configure stack options укажыце тэгі AWS, пермісі для ролі IAM і іншыя налады стэка.

   

7. На кроку агляд праверце ўсе наладкі, абярыце опцыю I acknowledge that AWS CloudFormation вяліка create IAM resources і націсніце Стварыць стос.

Пасля ўстаноўкі адкрыем вэб-кансоль, паказаўшы ў браўзэры DNS або IP-адрас інстанса ЕС2, дзе ўсталяваны Veeam Backup for AWS, напрыклад:
https://ec2-135-169-170-192.eu-central-1.compute.amazonaws.com

У кансолі адлюстроўваюцца рэсурсы, для якіх настроена абарона дадзеных з дапамогай Veeam Backup for AWS:

Неабходныя наладкі інфраструктуры, роляў і г.д. падрабязна апісаны ў дакументацыі.

Палітыкі рэзервовага капіявання

Для абароны інстансаў ствараем палітыкі.

Для розных відаў аб'ектаў можна наладзіць розныя палітыкі: напрыклад, палітыка, прызначаная для абароны tier 3-прыкладанняў (найменш крытычных), або палітыкі для прыкладанняў tier 2 і tier 1. У наладах палітыкі паказваем:

• Уліковы запіс з ролямі IAM
• Рэгіёны - можна выбраць некалькі
• Што плануецца абараняць – гэта могуць быць усе рэсурсы (all resources) ці абраныя інстансы ці (тэгі)
• Рэсурсы, якія трэба выключыць
• Налады снапшота, у тым ліку выкарыстоўваць ці снапшоты і які павінна быць працягласць захоўвання
• Налады бэкапу: шлях да рэпазітара, расклад і працягласць захоўвання
• Ацэнку кошту паслуг (пра яе ніжэй)
• Налады раскладу і апавяшчэнняў

Убудаваная ацэнка кошту паслуг

У рашэнне Veeam Backup for AWS ўбудаваная аўтаматычная ацэнка кошту паслуг – дзякуючы ёй адразу разлічваецца, якая будзе кошт паслуг рэзервовага капіявання паводле канкрэтнай палітыцы. У разлік уваходзяць наступныя метрыкі:

• Кошт бэкапу
• Кошт снапшота
• Кошт трафіку - гэта асабліва важна, калі рэпазітар знаходзіцца па-за рэгіёнам, дзе функцыянуюць аб'екты інфраструктуры (Amazon AWS ставіць у рахунак трафік у іншыя рэгіёны)
• Кошт транзакцый
• агульны кошт

Дадзеныя можна экспартаваць у файл CSV ці XML.

Дапаможныя кампаненты - Workers

Для памяншэння выдаткаў на трафік можна наладзіць аўтаматычнае стварэнне дапаможных кампанентаў. рабочыя – у тым жа AWS-рэгіёне, дзе і якія абараняюцца аб'екты. Workers аўтаматычна запускаюцца толькі на час перадачы дадзеных з/у воблака Amazon S3 або на час аднаўлення, а пасля выканання аперацый яны выключаюцца і выдаляюцца.

рэзервовае капіраванне

Для аперацый рэзервовага капіявання Veeam Backup for AWS задзейнічае натыўныя снапшоты (гл. Amazon EBS snapshots). Падчас бэкапу Veeam Backup for AWS выкарыстоўвае каманды AWS CLI для стварэння снапшотаў тамоў EBS, прыкручаных да інстансу EC2. Затым у залежнасці ад абранага вамі сцэнара рэзервовага капіявання Veeam Backup for AWS створыць з іх для інстанса EC2 альбо ланцужок натыўных снапшотаў, альбо рэзервовую копію на ўзроўні выявы.

Натыўныя снапшоты

Veeam Backup for AWS стварае натыўныя снапшоты інстанса EC2 наступным чынам:

1. Спачатку здымаюцца снапшоты тамоў EBS, прыкручаных да гэтага інстансу.
2. Снапшотам EBS пры стварэнні прызначаюцца AWS-тэгі. Ключы і значэнні гэтых тэгаў утрымоўваюць зашыфраваныя мета-дадзеныя. Veeam Backup for AWS разглядае снапшоты EBS з мета-дадзенымі як натыўныя снапшоты для інстанса EC2.
3. Калі інстанс EC2 ужо быў апрацаваны палітыкай рэзервовага капіявання, то Veeam Backup for AWS правярае колькасць кропак аднаўлення ў ланцужку снапшотаў. Калі яно перавышае лімітавае значэнне, паказанае ў палітыцы, то самы стары пункт выдаляецца. Заўвага: Палітыка захоўвання і аўтаматычнага выдалення (рэтэншн) не ўжываецца да снапшотаў, створаных уручную (гаворка менавіта пра снапшоты, створаныя асобна). Выдаліць такія снапшоты можна, як апісана тут. (Калі пад "уручную" разумець ручны запуск палітыкі па-за раскладам, то для створанага такім чынам снапшота рэтэнш адпрацуе.)

Рэзервовыя копіі на ўзроўні выявы

А вось як Veeam Backup for AWS выконвае рэзервовае капіраванне на ўзроўні выявы:

1. Спачатку здымаюцца снапшоты тамоў EBS, прыкручаных да дадзенага інстансу.
2. Veeam Backup for AWS выкарыстоўвае снапшоты EBS у якасці зыходнікаў для бэкапу. Пасля завяршэння працэсу рэзервовага капіявання гэтыя снапшоты выдаляюцца.
3. Затым у рэгіёне AWS, дзе знаходзіцца дадзены інстанс, запускаецца дапаможны worker, які дапамагае апрацаваць дадзеныя інстанса EC2.
4. З часовых снапшотаў ствараюцца тамы EBS і прызвычайваюцца да інстансу worker.
5. Выконваецца чытанне дадзеных з тамоў EBS на інстансе worker, затым адбываецца перадача дадзеных у рэпазітар S3, дзе яны будуць захоўвацца ў фармаце Veeam.
6. Падчас інкрыментальнай сесіі Veeam Backup for AWS счытвае мета-дадзеныя рэзервовых копій з рэпазітара S3 і выкарыстоўвае іх для выяўлення блокаў, якія змяніліся з папярэдняй сесіі.
7. Калі рэзервовае капіраванне завершана, Veeam Backup for AWS выдаляе часовыя снапшоты EBS і інстанс worker з Amazon EC2.

аднаўленне дадзеных

З дапамогай Veeam Backup for AWS можна аднаўляць дадзеныя наступным чынам:

• У зыходнае месцазнаходжанне, перазапісваючы зыходны інстанс. Усе дадзеныя на гэтым інстансе будуць перазапісаны тымі, што захоўваюцца ў бэкапе, а канфігурацыя інстанса захоўваецца.
• У новае месцазнаходжанне, ствараючы новы інстанс. У гэтым сцэнары - калі вы выбіраеце аднаўленне ў новае месцазнаходжанне або з новымі наладамі - трэба будзе пазначыць параметры канфігурацыі, якія будуць ужытыя да інстанса па завяршэнні аднаўлення:
  • Рэгіён
  • Налады шыфравання
  • Імя і тып інстансу
  • Сеткавыя наладкі: Virtual Private Cloud (VPC), падсетка, сек'юрыці-група

Аднаўленне тамоў

Падтрымліваецца і аднаўленне тамоў інстанса EC2 з снапшота альбо з рэзервовай копіі, у зыходнае ці ў новае месцазнаходжанне. У другім выпадку для новага месцазнаходжання трэба ўказаць рэгіён AWS, Availability Zone і іншыя параметры.

Падчас аднаўленняў таксама задзейнічаецца worker.

Сам працэс сцісла выглядае так (на прыкладзе ўзнаўлення з бэкапу):

1. Veeam Backup for AWS запускае worker у патрэбным рэгіёне AWS, стварае патрабаваную колькасць пустых тамоў EBS і атачыць іх да інстансу worker.
2. Аднаўляе дадзеныя з бэкапу на гэтыя тамы.
3. Выконвае дэталь тамоў EBS і перанос у патрабаванае месцазнаходжанне (зыходны ці іншы рэгіён AWS), дзе гэтыя тамы захоўваюцца як асобныя.
4. Выдаляе інстанс worker па завяршэнні аперацый.
   Заўвага: Не забудзьцеся, што пасля аднаўлення том не будзе аўтаматычна приаттачен да інстанса ЕС2 (будзе проста захаваны ў паказанае месцазнаходжанне як асобны том EBS).

аднаўленне файлаў

Дазваляе аднавіць асобныя файлы без неабходнасці аднаўляць усю інстанс цалкам.

Калі вы ініцыюеце ўзнаўленне на ўзроўні файлаў, то атрымліваеце URL (на аснове публічнага DNS-імя worker-а), па якім можна ўбачыць усю структуру файлаў на гасцёўні АС, знаходзіце ў ёй патрэбныя файлы і выгружаеце іх на лакальную машыну.
Таксама для забеспячэння бяспекі можна праверыць сертыфікат і яго адбітак, каб быць упэўненым у адсутнасці MiTM.

Інтэграцыя з Veeam Backup & Replication

Калі ў вашай інфраструктуры разгорнуты Veeam Backup & Replication, тыя вы можаце наладзіць аднаўленне ўваходзяць у яе машын у воблака Amazon EC2 з дапамогай функцыянальнасці Direct Restore to AWS, а затым абараніць гэтыя хмарныя дадзеныя з Veeam Backup for AWS.
Таксама падтрымліваецца праца Veeam Backup & Replication з рэпазітарамі Amazon S3, якія стварае Veeam Backup for AWS – можна аднаўляць рэзервовыя копіі інстансаў Amazon EC2 у on-premises інфраструктуру.

Асаблівасці бясплатнай версіі

Бясплатная версія Veeam Backup for AWS дазваляе бэкапіць да 10 інстансаў ЕС2; аднаўленне з рэзервовых копій выконваецца без абмежаванняў.
Заўвага: рэкамендавана выкарыстоўваць t2.сярэдні.

Прыкладны кошт рэсурсаў - 9.8 USD/месяц, зыходзячы з кругласутачнага выкарыстання пры наступных наладах па змаўчанні:

• ЕС2 - 1 інстанс t3.micro
• EBS – 1 том GP2 аб'ёмам 8 GB
• Канфігурацыя для рэпазітара S3 - 50 GB Standard S3 storage, 13 000 S3 PUT requests, 10 000 S3 GET requests, 50 GB S3 Select usage

Карысныя спасылкі

Рашэнне Veeam Backup for AWS на AWS Marketplace
Кіраўніцтва карыстальніка (на англ. мове).

Крыніца: habr.com