A principios de diciembre, se lanzó una nueva solución. Copia de seguridad de Veeam para AWS para respaldo y recuperación de infraestructuras en la nube de Amazon Elastic Compute Cloud (Amazon EC2).
Con su ayuda, puede crear copias de seguridad de instancias EC2 y guardarlas en el almacenamiento en la nube de Amazon Simple Storage Service (Amazon S3), así como crear cadenas de instantáneas EC2 en formato nativo.
Para la recuperación de datos, Veeam Backup para AWS ofrece las siguientes opciones:
- Recuperar una instancia EC2 completa
- Recuperar volúmenes de instancias
- Restaurar archivos y carpetas del sistema operativo invitado de una instancia
Además, dado que la solución crea copias de seguridad en formato Veeam, puede utilizar Veeam Backup & Replication para almacenar copias de las copias de seguridad EC2 en un repositorio local y luego migrar datos entre infraestructuras en la nube, virtuales y locales.
Y, por supuesto, los usuarios estarán encantados de que la nueva solución tenga una versión gratuita. Para conocer más detalladamente Veeam Backup para AWS, bienvenido al cat.
Características principales
Además de las capacidades ya mencionadas para crear automáticamente instantáneas de Amazon EBS y almacenar copias de seguridad en la nube de Amazon S3, la solución implementa:
- Autenticación multifactor para administradores de copias de seguridad
- Protección de datos basada en políticas
- Soporte de separación de roles de IAM
- Soporte de configuración interregional
- Algoritmo incorporado para la evaluación preliminar de los costos de los servicios, lo que ayuda a controlar los pagos.
Bueno, como ya se mencionó, existe una licencia gratuita, BYOL (construya su propia licencia) y una licencia basada en el consumo de recursos: todos pueden elegir la correcta.
Etapas de trabajo
En resumen, las principales etapas son las siguientes:
- Comprobamos que nuestra infraestructura cumple con los requisitos del sistema descritos. .
- Instale Veeam Backup para AWS como se describe a continuación.
- Especifique roles de IAM. Son necesarios para acceder a los recursos de AWS utilizados para la copia de seguridad y la recuperación:
- Si planea realizar una copia de seguridad de instancias EC2 dentro de la misma cuenta de AWS, puede utilizar el rol Restauración de copia de seguridad predeterminada — se crea durante la instalación de Veeam Backup para AWS. Este rol tiene los derechos necesarios para acceder a todas las instancias EC2 y depósitos S3 dentro de la cuenta de AWS donde se implementa Veeam Backup para AWS (la cuenta de AWS original).
- Si planea realizar una copia de seguridad o restaurar datos de instancias EC2 entre dos cuentas de AWS diferentes, o desea utilizar una función de IAM dedicada con un conjunto mínimo de derechos para cada operación, deberá crear las funciones de IAM necesarias dentro de la cuenta de AWS original. y luego agréguelos a Veeam Backup para AWS. Esto se analiza detalladamente en .
- Configuramos la infraestructura de respaldo, a saber:
- Configurando el repositorio S3.
Nota: Si va a utilizar instantáneas creadas de forma nativa en lugar de copias de seguridad para proteger sus datos, puede omitir este punto, porque En este escenario no se necesita un repositorio S3.
- Configuración de la configuración de red para componentes auxiliares instancias de trabajadores.
en domicilio - Estas son instancias EC2 auxiliares que ejecutan el sistema operativo Linux. Se inician solo mientras dura la copia de seguridad (o recuperación) y actúan como un proxy de copia de seguridad. En la configuración del trabajador, deberá especificar la VPC de Amazon, la subred y el grupo de seguridad al que se conectarán estas instancias auxiliares. Puedes leer sobre todo esto. .
- Configurando el repositorio S3.
- Luego creamos una política en base a la cual se crearán copias de seguridad o instantáneas de instancias EC2. Hablaré de esto brevemente a continuación.
- Puede restaurar desde una copia de seguridad; más sobre esto a continuación.
Implementación y configuración
Veeam Backup para AWS está disponible en .
La solución se implementa así:
- Nos dirigimos a AWS Marketplace bajo la cuenta de AWS que planeamos utilizar para instalar la solución.
- Abra la página de Veeam Backup para AWS, seleccione la edición que necesitamos (de pago o gratuita). Leer más sobre las ediciones .
- Veeam Backup para AWS Edición gratuita
- Veeam Backup para la edición de pago de AWS
- Veeam Backup para AWS Edición BYOL
- Haga clic en la parte superior derecha Continuar para suscribirse.
- En la página de suscripción, vaya a la sección Términos y Condiciones (términos de uso) y haga clic allí Mostrar detalles, Sigue el link Licencia de Usuario Final lea el acuerdo de licencia.
- Luego presionamos el botón Continuar a Configuración y proceder a la configuración.
- Página Configurar este programa establezca la configuración de instalación:
- De la lista Opción de cumplimiento (opciones de implementación) seleccione la opción para nuestro producto - VB para implementación de AWS.
- De la lista de versiones. Versión del software seleccione la última versión de Veeam Backup para AWS.
- De la lista de regiones Región seleccione la región de AWS en la que se implementará la instancia EC2 con Veeam Backup para AWS.
Nota: Puede leer más sobre las regiones de AWS .
- Luego presionamos el botón Continuar al lanzamiento para proceder al lanzamiento.
- Página Iniciar este software sigue estos pasos:
- En la sección Detalles de configuración compruebe que todas las configuraciones sean correctas.
- De la lista de acciones Elige Acción elegir Inicie CloudFormation.
- Veeam Backup para AWS se instala utilizando la pila de AWS CloudFormation.
Nota: Aquí, una pila es una colección de recursos de la nube que se pueden administrar como una unidad separada: creada, eliminada y utilizada para ejecutar aplicaciones. Puede leer más en la documentación de AWS.
Haga clic aquí Más información e inicie el asistente de creación de pila Asistente para crear pila.
Creación de una pila de AWS CloudFormationCreación de una pila de AWS CloudFormation:
- En movimiento Especificar plantilla Puede dejar la configuración predeterminada de la plantilla de pila.
- En movimiento Especificar detalles de la pila Ingresamos la configuración de nuestra pila.
- En el campo Nombre de pila ingrese el nombre; Puede utilizar letras mayúsculas y minúsculas, números y guiones.
- En la sección de configuración Configuración de instancia:
De la lista Tipo de instancia para Veeam Backup para el servidor AWS debe seleccionar el tipo de instancia EC2 en la que se instalará Veeam Backup para AWS (en adelante lo llamaremos Veeam Backup para servidor AWS). Se recomienda seleccionar un tipo t2.medio.
De la lista Par de claves para Veeam Backup para servidor AWS debe seleccionar un par de claves que se utilizarán para la autenticación en este nuevo servidor. Si el par de claves requerido no está en la lista, debe crearlo como se describe .
Especifique si desea habilitar la copia de seguridad automática de los volúmenes de EBS para el servidor Veeam Backup para AWS (de forma predeterminada, es decir. verdadero).
Especifique si es necesario reiniciar el servidor Veeam Backup para AWS en caso de una falla del software.
Especifique si es necesario reiniciar el servidor Veeam Backup para AWS en caso de una falla de la infraestructura.
- En la sección de configuración de red Configuración de la red:
- Especifique si desea crear una dirección IP elástica para el servidor Veeam Backup para AWS. Consulte aquí para obtener más detalles.
- En el campo Direcciones IP de origen permitidas para la conexión a SSH especifique el rango de direcciones IPv4 desde las cuales se permitirá el acceso al servidor Veeam Backup para AWS a través de SSH.
- En el campo Direcciones IP de origen permitidas para la conexión a HTTPS especifique el rango de direcciones IPv4 desde las cuales se permitirá el acceso a la interfaz web de Veeam Backup para AWS.
El intervalo de direcciones IPv4 se especifica en notación CIDR (por ejemplo, 12.23.34.0/24). Para permitir el acceso desde todas las direcciones IPv4, puede ingresar 0.0.0.0/0. (Sin embargo, esta opción no se recomienda porque reduce la seguridad de la infraestructura).
- Según las direcciones IPv4 especificadas, AWS CloudFormation crea un grupo de seguridad para Veeam Backup para AWS, con reglas adecuadas para el tráfico entrante a través de SSH y HTTPS. (De forma predeterminada, el puerto 22 se utiliza para el tráfico entrante a través de SSH y el puerto 443 para HTTPS). Si va a especificar un grupo de seguridad diferente para Veeam Backup para AWS durante la instalación de la solución, no olvide agregarlo manualmente. las reglas apropiadas para este grupo y verifique que se le permita el acceso a los servicios de AWS (enumerados en la sección Requisitos de la guía del usuario).
- En la sección VPC y subred debe seleccionar Amazon Virtual Private Cloud (Amazon VPC) y la subred a la que se conectará el servidor Veeam Backup para AWS.
- En movimiento Configurar opciones de pila especifique etiquetas de AWS, permisos de roles de IAM y otras configuraciones de pila.
- En movimiento Revisar verifique todas las configuraciones, seleccione la opción Reconozco que AWS CloudFormation podría crear recursos de IAM y pulse Crear pila.
Después de la instalación, abra la consola web apuntando en el navegador a la dirección DNS o IP de la instancia EC2 donde está instalado Veeam Backup para AWS, por ejemplo:
https://ec2-135-169-170-192.eu-central-1.compute.amazonaws.com
La consola muestra recursos configurados para proteger datos utilizando Veeam Backup para AWS:
Configuraciones de infraestructura necesarias, roles, etc. se describen detalladamente en .
Políticas de respaldo
Para proteger las instancias, creamos políticas.
Puede configurar diferentes políticas para diferentes tipos de objetos: por ejemplo, una política diseñada para proteger aplicaciones de nivel 3 (las menos críticas) o políticas para aplicaciones de nivel 2 y 1. En la configuración de la política, especifique:
- Una cuenta con roles de IAM
- Regiones: puede seleccionar varias
- Lo que se planea proteger: pueden ser todos los recursos o instancias seleccionadas o (etiquetas)
- Recursos para excluir
- Configuración de instantáneas, incluida la posibilidad de utilizar instantáneas y la duración del almacenamiento
- Configuración de la copia de seguridad: ruta al repositorio, programación y duración del almacenamiento
- Estimación del costo de los servicios (más sobre esto a continuación)
- Configuración de programación y notificaciones
Evaluación de costos de servicio incorporada
Veeam Backup para AWS tiene una estimación de costos automática incorporada para calcular inmediatamente el costo de los servicios de respaldo en función de una política específica. El cálculo incluye las siguientes métricas:
- Costo de respaldo
- Costo de la instantánea
- Costos de tráfico: esto es especialmente importante si el repositorio está ubicado fuera de la región donde operan los objetos de infraestructura (Amazon AWS cobra el tráfico a otras regiones)
- Costos de transacción
- Обща стоимость
Los datos se pueden exportar a un archivo CSV o XML.
Componentes Auxiliares - Trabajadores
Para reducir los costos de tráfico, puede configurar la creación automática de componentes auxiliares. los trabajadores. - en la misma región de AWS que los objetos protegidos. Los trabajadores se inician automáticamente solo durante la transferencia de datos desde/hacia la nube de Amazon S3 o durante la recuperación, y después de completar las operaciones se apagan y eliminan.
Резервное копирование
Para las operaciones de respaldo, Veeam Backup para AWS utiliza instantáneas nativas (consulte. ). Durante la copia de seguridad, Veeam Backup para AWS utiliza comandos de AWS CLI para crear instantáneas de volúmenes de EBS adjuntos a una instancia EC2. Luego, dependiendo del escenario de respaldo que elija, Veeam Backup para AWS creará una cadena de instantáneas nativas o una copia de seguridad a nivel de imagen a partir de ellas para la instancia EC2.
Instantáneas nativas
Veeam Backup para AWS crea instantáneas nativas de una instancia EC2 de la siguiente manera:
- Primero, se toman instantáneas de los volúmenes de EBS adjuntos a esta instancia.
- A las instantáneas de EBS se les asignan etiquetas de AWS cuando se crean. Las claves y valores de estas etiquetas contienen metadatos cifrados. Veeam Backup para AWS trata las instantáneas de EBS con metadatos como instantáneas nativas para una instancia EC2.
- Si la instancia EC2 ya ha estado sujeta a una política de respaldo, Veeam Backup para AWS verifica la cantidad de puntos de recuperación en la cadena de instantáneas. Si excede el límite de la política, se elimina el punto más antiguo. Nota: La política de almacenamiento y eliminación automática (retención) no se aplica a las instantáneas creadas manualmente (estamos hablando de instantáneas creadas por separado). Puede eliminar dichas instantáneas como se describe . (Si por "manualmente" nos referimos a iniciar manualmente la política fuera del cronograma, entonces el retoque funcionará para la instantánea creada de esta manera).
Copias de seguridad a nivel de imagen
Así es como Veeam Backup para AWS realiza copias de seguridad a nivel de imagen:
- Primero, se toman instantáneas de los volúmenes de EBS adjuntos a esta instancia.
- Veeam Backup para AWS utiliza instantáneas de EBS como fuentes de respaldo. Una vez que se completa el proceso de copia de seguridad, estas instantáneas se eliminan.
- Luego se lanza un trabajador auxiliar en la región de AWS donde se encuentra la instancia para ayudar a procesar los datos de la instancia EC2.
- Los volúmenes de EBS se crean a partir de instantáneas temporales y se adjuntan a la instancia del trabajador.
- Los datos se leen de los volúmenes de EBS en la instancia de trabajo y luego se transfieren al repositorio de S3, donde se almacenarán en formato Veeam.
- Durante una sesión incremental, Veeam Backup para AWS lee los metadatos de la copia de seguridad del repositorio S3 y los utiliza para identificar los bloques que han cambiado desde la sesión anterior.
- Cuando se completa la copia de seguridad, Veeam Backup para AWS elimina las instantáneas temporales de EBS y la instancia de trabajo de Amazon EC2.
Recuperación de datos
Con Veeam Backup para AWS, puede restaurar datos de las siguientes maneras:
- A la ubicación original, sobrescribiendo la instancia original. Todos los datos de esta instancia serán sobrescritos por los almacenados en la copia de seguridad y se conservará la configuración de la instancia.
- A una nueva ubicación, creando una nueva instancia. En este escenario, si elige restaurar en una nueva ubicación o con nuevas configuraciones, deberá especificar los ajustes de configuración que se aplicarán a la instancia cuando se complete la restauración:
- Región
- Configuración de cifrado
- Nombre y tipo de instancia
- Configuración de red: Nube privada virtual (VPC), subred, grupo de seguridad
Recuperación de volumen
También se admite la restauración de volúmenes de instancias EC2 desde una instantánea o desde una copia de seguridad, al original o a una nueva ubicación. En el segundo caso, para la nueva ubicación debe especificar la región de AWS, la zona de disponibilidad y otros parámetros.
El proceso de recuperación también involucra a los trabajadores.
El proceso en sí se ve brevemente así (usando el ejemplo de restauración desde una copia de seguridad):
- Veeam Backup para AWS lanza trabajadores en la región de AWS deseada, crea la cantidad requerida de volúmenes EBS vacíos y los adjunta a la instancia del trabajador.
- Restaura datos de la copia de seguridad en estos volúmenes.
- Separa los volúmenes de EBS y los migra a la ubicación deseada (origen u otra región de AWS), donde los volúmenes se almacenan como volúmenes separados.
- Elimina la instancia del trabajador cuando se completan las operaciones.
Nota: No olvide que después de la recuperación el volumen no se adjuntará automáticamente a la instancia EC2 (simplemente se guardará en la ubicación especificada como un volumen EBS separado).
Recuperación de archivos
Le permite restaurar archivos individuales sin tener que restaurar la instancia completa.
Cuando inicia la recuperación a nivel de archivo, recibe una URL (basada en el nombre DNS público del trabajador) donde puede ver toda la estructura de archivos en el sistema operativo invitado, encontrar los archivos necesarios y cargarlos en la máquina local.
Además, para garantizar la seguridad, puede verificar el certificado y su huella digital para asegurarse de que no haya MiTM.
Integración con Veeam Backup & Replication
Si tiene Veeam Backup & Replication implementado en su infraestructura, puede configurar la recuperación de sus máquinas en la nube de Amazon EC2 utilizando la funcionalidad Direct Restore to AWS y luego proteger estos datos en la nube con Veeam Backup para AWS.
Veeam Backup & Replication también admite trabajar con repositorios de Amazon S3 que crea Veeam Backup para AWS: puede restaurar copias de seguridad de instancias de Amazon EC2 en la infraestructura local.
Características de la versión gratuita.
La versión gratuita de Veeam Backup para AWS le permite realizar copias de seguridad de hasta 10 instancias EC2; La restauración a partir de copias de seguridad se realiza sin restricciones.
Nota: Uso recomendado t2.medio.
El costo aproximado de los recursos es de 9.8 USD/mes, basado en el uso XNUMX horas al día, XNUMX días a la semana con la siguiente configuración predeterminada:
- EC2 - 1 instancia t3.micro
- EBS - 1 volumen GP2 de 8 GB
- Configuración para el repositorio de S3: 50 GB de almacenamiento S3 estándar, 13 000 solicitudes PUT de S3, 10 000 solicitudes GET de S3, 50 GB de uso de S3 Select
Enlaces de interés
Solución Veeam Backup para AWS en
(en Inglés).
Fuente: habr.com