Знайомтеся: нове рішення Veeam Backup for AWS

На початку грудня побачило світ нове рішення Veeam Backup for AWS для резервного копіювання та відновлення хмарних інфраструктур Amazon Elastic Compute Cloud (Amazon EC2).

З його допомогою можна створювати резервні копії інстансів ЄС2 та зберігати їх у хмарному сховищі Amazon Simple Storage Service (Amazon S3), а також створювати ланцюжки снапшотів ЄС2 у нативному форматі.

Для відновлення даних Veeam Backup for AWS пропонує такі опції:

• Відновлення інстансу ЕС2 цілком
• Відновлення томів інстансу
• Відновлення файлів та папок гостьової ОС інстансу

Крім того, оскільки рішення створює резервні копії у форматі Veeam, можна задіяти Veeam Backup & Replication для збереження копій бекапів ЄС2 в on-premises репозиторії, а потім виконувати міграцію даних між хмарною, віртуальною та on-premises інфраструктурами.

І, безсумнівно, користувачів порадує наявність нового рішення безкоштовної версії. Для більш детального знайомства з Veeam Backup for AWS ласкаво просимо під кат.

Основні можливості

Крім вже згаданих можливостей з автоматичного створення снапшотів Amazon EBS та зберігання бекапів у хмарному Amazon S3, у рішенні реалізовані:

• Багатофакторна автентифікація для бекап-адміністраторів
• Захист даних на основі політик
• Підтримка поділу ролей IAM
• Підтримка крос-регіональних конфігурацій
• Вбудований алгоритм попередньої оцінки витрат за роботу сервісів, що допомагає контролювати оплату.

Ну і як згадувалося, є і безкоштовна ліцензія, і BYOL (build your own license), і ліцензія, що базується на споживанні ресурсів — кожен може вибрати відповідну.

Етапи роботи

Якщо коротко, то основні етапи такі:

1. Перевіряємо нашу інфраструктуру на відповідність системним вимогам, описаним тут.
2. Встановлюємо Veeam Backup для AWS, як описано нижче.
3. Вказуємо ролі IAM. Вони потрібні для доступу до ресурсів AWS, задіяних у резервному копіюванні та відновленні:
   • Якщо ви плануєте бекапит інстанси EC2 в межах одного облікового запису AWS, можна використовувати роль Default Backup Restore - Вона створюється під час установки Veeam Backup for AWS. У цій ролі є необхідні права на доступ до всіх інстансів EC2 і бакетів S3 в межах обліку AWS, де розгорнуть Veeam Backup for AWS (початковий обліковий запис AWS).
   • Якщо ж ви плануєте бекапіті або відновлювати дані інстансів EC2 між двома різними обліками AWS або хочете використовувати для кожної операції виділену роль IAM з мінімальним набором прав, то потрібно буде створити необхідні ролі IAM в межах початкового облікового запису AWS і потім додати їх до Veeam Backup for AWS. Про це докладно розповідається в документації.

4. Налаштовуємо інфраструктуру резервного копіювання, а саме:
   • Конфігуруємо S3-репозиторій.

     Примітка: Якщо ви збираєтеся використовувати для захисту даних не резервні копії, а нативним чином створені снапшоти, цей пункт можна пропустити, т.к. S3-репозиторій у цьому сценарії не знадобиться.

   • Задаємо мережні налаштування для допоміжних компонентів worker instances.
     Робітники - Це допоміжні інстанси EC2 під керуванням ОС Linux. Вони запускаються лише на час резервного копіювання (або відновлення) та виконують роль бекап-проксі. У налаштуваннях worker потрібно буде вказати Amazon VPC, підсіть і сек'юріті-групу, до якої підключатимуться ці допоміжні інстанси. Про все це можна почитати тут.

5. Потім створюємо політику, на основі якої створюватимуться резервні копії або снапшоти інстансів ЄС2. Про це коротко розповім нижче.
6. З резервної копії можна виконати відновлення – про це теж трохи нижче.

Розгортання та налаштування

Veeam Backup for AWS доступний на Торговий майданчик AWS.

Розгортання рішення виконується так:

1. Заходимо на AWS Marketplace під обліком AWS, який плануємо використовувати для встановлення рішення.
2. Відкриваємо сторінку Veeam Backup for AWS, вибираємо потрібну редакцію (платну або безкоштовну). Детальніше про редакції написано тут.
   • Veeam Backup for AWS Free Edition
   • Veeam Backup for AWS Paid Edition
   • Veeam Backup for AWS BYOL Edition

3. Праворуч угорі натискаємо Продовжуйте підписатися.

   

4. На сторінці оформлення підписки йдемо у розділ Правила та умови (Умови використання) і там кликаємо Показати деталі, далі за посиланням Ліцензійна угода кінцевого користувача читаємо ліцензійну угоду.
5. Потім натискаємо кнопку Перейдіть до Конфігурації і приступаємо до конфігурації.
6. На сторінці Налаштуйте це програмне забезпечення задаємо налаштування для встановлення:
   • З списку Fulfillment Option (варіанти розгортання) вибираємо варіант для нашого продукту - VB for AWS Deployment.
   • Зі списку версій Версія програмного забезпечення вибираємо нову версію Veeam Backup for AWS.
   • З переліку регіонів область вибираємо регіон AWS, у якому буде розгорнутий інстанс EC2 з Veeam Backup for AWS.

   Примітка: Докладніше про регіони AWS можна прочитати тут.

7. Потім натискаємо кнопку Перейдіть до запуску для початку запуску.

   

8. На сторінці Запустіть це програмне забезпечення виконуємо такі кроки:
   • У розділі Деталі конфігурації перевіряємо, чи всі налаштування правильно вказані.
   • Зі списку дій Виберіть Дія вибираємо Launch CloudFormation.
   • Встановлення Veeam Backup for AWS здійснюється за допомогою стека AWS CloudFormation.

     Примітка: Тут стек - це сукупність хмарних ресурсів, якими можна керувати як окремою одиницею: створювати, видаляти, використовувати для запуску програм. Докладніше можна почитати в документації до AWS.

     натискаємо Запуск і запускаємо майстер створення стека Create stack wizard.

Створення стеку AWS CloudFormationСтворення стека AWS CloudFormation:

1. На кроці Вкажіть шаблон можна залишити параметри шаблону стека за промовчанням.
2. На кроці Вкажіть деталі стека вводимо налаштування для нашого стека.
   • В полі Назва стека вводимо ім'я; можна використовувати літери у верхньому та нижньому регістрі, цифри та тирі.
   • У секції налаштувань Конфігурація екземпляра:
     З списку Instance type for Veeam Backup for AWS server треба вибрати тип інстансу EC2, на якому буде встановлений Veeam Backup for AWS (далі ми називатимемо його сервер Veeam Backup for AWS). Рекомендується вибрати тип t2.середній.
     З списку Key Pair for Veeam Backup for AWS Server потрібно вибрати пару ключів, які будуть використовуватися під час автентифікації на цьому новому сервері. Якщо потрібної пари ключів у списку немає, потрібно створити її, як описано тут.
     Вкажіть, чи потрібно увімкнути автоматичний бекап томів EBS для сервера Veeam Backup for AWS (за промовчанням потрібно, тобто. правда).
     Вкажіть, чи потрібно рестартувати сервер Veeam Backup for AWS у разі збою у роботі ПЗ.
     Вкажіть, чи потрібно рестартувати сервер Veeam Backup for AWS у разі збою в роботі інфраструктури.

3. У секції налаштувань мережі Конфігурація мережі:
   • Вкажіть, чи потрібно створити Elastic IP-адресу для сервера Veeam Backup for AWS. Детальніше див.
   • В полі Наданий Source IP Address for connection to SSH вкажіть інтервал адрес IPv4, з яких буде дозволено доступ до сервера Veeam Backup for AWS через SSH.
   • В полі Наданий Source IP Address for connection to HTTPS вкажіть інтервал адрес IPv4, з яких буде дозволено доступ до веб-інтерфейсу Veeam Backup for AWS.
     Інтервал адрес IPv4 вказується в нотації CIDR (наприклад, 12.23.34.0/24). Щоб дозволити доступ з усіх IPv4-адрес, можна ввести 0.0.0.0/0. (Проте такий варіант не рекомендується, оскільки знижує безпеку інфраструктури.)

4. На основі вказаних IPv4-адрес AWS CloudFormation створює сек'юріті-групу для Veeam Backup for AWS, з відповідними правилами для вхідного трафіку SSH та HTTPS. (За замовчуванням, для вхідного трафіку по SSH використовується порт 22, а за HTTPS - порт 443.) Якщо ви збираєтеся в ході встановлення рішення вказати іншу сек'юріті-групу для Veeam Backup for AWS, то не забудьте вручну додати відповідні правила до цієї групи і перевірити, що для неї дозволено доступ до сервісів AWS (вказані в розділі Requirements посібника користувача).
5. У секції VPC and Subnet потрібно вибрати Amazon Virtual Private Cloud (Amazon VPC) та підмережу, до якої буде підключено сервер Veeam Backup for AWS.
6. На кроці Налаштувати параметри стека вкажіть теги AWS, пермісії для ролі IAM та інші налаштування стека.

   

7. На кроці Розгляд перевірте всі налаштування, виберіть опцію Я визнаю, що AWS CloudFormation може створювати ресурси IAM і натисніть Створити стек.

Після встановлення відкриємо веб-консоль, вказавши в браузері DNS або IP-адресу інстансу ЕС2, де встановлено Veeam Backup for AWS, наприклад:
https://ec2-135-169-170-192.eu-central-1.compute.amazonaws.com

У консолі відображаються ресурси, для яких налаштовано захист даних за допомогою Veeam Backup for AWS:

Необхідні налаштування інфраструктури, ролей тощо. докладно описані в документації.

Політики резервного копіювання

Для захисту інстансів створюємо політики.

Для різних видів об'єктів можна налаштувати різні політики: наприклад, політика, призначена для захисту tier 3-додатків (найменш критичних), або політики для додатків tier 2 та tier 1. У налаштуваннях політики вказуємо:

• Обліковий запис із ролями IAM
• Регіони можна вибрати кілька
• Що планується захищати - це можуть бути всі ресурси (all resources) або вибрані інстанси або (теги)
• Ресурси, які потрібно виключити
• Налаштування снапшота, в тому числі використовувати снапшоти і якою має бути тривалість зберігання
• Налаштування бекапу: шлях до репозиторію, розклад та тривалість зберігання
• Оцінку вартості послуг (про неї нижче)
• Налаштування розкладу та повідомлень

Вбудована оцінка вартості послуг

У рішення Veeam Backup for AWS вбудовано автоматичну оцінку вартості послуг — завдяки їй відразу розраховується, якою буде вартість послуг резервного копіювання відповідно до конкретної політики. До розрахунку входять такі метрики:

• Вартість бекапу
• Вартість снапшоту
• Вартість трафіку – це особливо важливо, якщо репозиторій знаходиться поза регіоном, де функціонують об'єкти інфраструктури (Amazon AWS ставить у рахунок трафік до інших регіонів)
• Вартість транзакцій
• Загальна вартість

Дані можна експортувати до файлу CSV або XML.

Допоміжні компоненти - Workers

Для зменшення витрат на трафік можна налаштувати автоматичне створення допоміжних компонентів робочі — у тому ж AWS-регіоні, де й об'єкти, що захищаються. Workers автоматично запускаються тільки на час передачі даних з/в хмара Amazon S3 або на час відновлення, а після виконання операцій вони вимикаються та видаляються.

Резервне копіювання

Для операцій резервного копіювання Veeam Backup for AWS використовують нативні снапшоти (див. Amazon EBS snapshots). Під час бекапу Veeam Backup for AWS використовує команди AWS CLI для створення снапшотів томів EBS, приточених до інстансу EC2. Потім залежно від вибраного вами сценарію резервного копіювання Veeam Backup for AWS створить з них інстансу EC2 або ланцюжок нативних снапшотів, або резервну копію на рівні образу.

Нативні снапшоти

Veeam Backup for AWS створює нативні снапшоти інстансу EC2 таким чином:

1. Спочатку знімаються снапшоти томів EBS, приточених до цього інстансу.
2. Снапшотам EBS при створенні призначаються AWS-теги. Ключі та значення цих тегів містять зашифровані мета-дані. Veeam Backup for AWS розглядає снапшоти EBS з мета-даними як нативні снапшоти для інстансу EC2.
3. Якщо інстанс EC2 вже був оброблений політикою резервного копіювання, Veeam Backup for AWS перевіряє кількість точок відновлення в ланцюжку снапшотів. Якщо воно перевищує граничне значення, вказане у політиці, то найстаріша точка видаляється. Примітка: Політика зберігання та автоматичного видалення (ретеншн) не застосовується до снапшотів, створених вручну (мова саме про снапшоти, створені окремо). Видалити такі снапшоти можна, як описано тут. (Якщо під «вручну» мати на увазі ручний запуск політики поза розкладом, то для створеного таким чином снапшота ретенш відпрацює.)

Резервні копії на рівні образу

А ось як Veeam Backup for AWS виконує резервне копіювання на рівні образу:

1. Спочатку знімаються снапшоти томів EBS, приточених до цього інстансу.
2. Veeam Backup for AWS використовує снапшоти EBS як вихідні засоби для бекапу. Після завершення резервного копіювання ці снапшоти видаляються.
3. Потім у регіоні AWS, де знаходиться цей інстанс, запускається допоміжний worker, який допомагає обробити дані інстансу EC2.
4. З тимчасових снапшотів створюються томи EBS і приточуються до інстансу worker.
5. Виконується читання даних з томів EBS на інстансі worker, потім відбувається передача даних репозиторій S3, де вони зберігатимуться у форматі Veeam.
6. Під час інкрементальної сесії Veeam Backup for AWS зчитує мета-дані резервних копій з репозиторію S3 та використовує їх для виявлення блоків, що змінилися з попередньої сесії.
7. Коли резервне копіювання завершено, Veeam Backup for AWS видаляє тимчасові постачання EBS і інстанс worker з Amazon EC2.

Відновлення даних

За допомогою Veeam Backup for AWS можна відновлювати дані таким чином:

• У вихідне місце, перезаписуючи вихідний інстанс. Всі дані на цьому інстансі будуть перезаписані тими, що зберігаються в бекапі, а конфігурація інстансу зберігається.
• У нове місце, створюючи новий інстанс. У цьому сценарії — якщо ви вибираєте відновлення в нове розташування або з новими налаштуваннями — потрібно буде вказати параметри конфігурації, які будуть застосовані до інстансу після відновлення:
  • регіон
  • Налаштування шифрування
  • Ім'я та тип інстансу
  • Мережеві налаштування: Virtual Private Cloud (VPC), підмережа, сек'юріті-група

Відновлення томів

Підтримується і відновлення томів інстансу EC2 зі снапшота або резервної копії, у вихідне або в нове розташування. У другому випадку для нового розташування потрібно вказати регіон AWS, Availability Zone та інші параметри.

У процесі відновлення також використовується роботодавець.

Сам процес коротко виглядає так (на прикладі відновлення з бекапу):

1. Veeam Backup for AWS запускає worker у потрібному регіоні AWS, створює необхідну кількість порожніх томів EBS і відточить їх до інстансу worker.
2. Відновлює дані з бекапу на ці томи.
3. Виконує дітач томів EBS та перенесення у потрібне місце розташування (початковий або інший регіон AWS), де ці томи зберігаються як окремі.
4. Видаляє інстанс worker після завершення операцій.
   Примітка: Не забудьте, що після відновлення том не буде автоматично приточений до інстансу ЕС2 (буде просто збережений у вказане розташування як окремий том EBS).

відновлення файлів

Дозволяє відновити окремі файли без необхідності відновлювати весь інстанс повністю.

Коли ви ініціюєте відновлення лише на рівні файлів, отримуєте URL (з урахуванням публічного DNS-імені worker-а), яким можна побачити всю структуру файлів на гостьовий ОС, знаходите у ній необхідні файли і вивантажуєте їх у локальну машину.
Також для забезпечення безпеки можна перевірити сертифікат та його відбиток, щоб бути впевненим у відсутності MiTM.

Інтеграція з Veeam Backup & Replication

Якщо у вашій інфраструктурі розгорнуть Veeam Backup & Replication, то ви можете налаштувати відновлення вхідних до неї машин у хмару Amazon EC2 за допомогою функціональності Direct Restore to AWS, а потім захистити ці хмарні дані з Veeam Backup for AWS.
Також підтримується робота Veeam Backup & Replication з репозиторіями Amazon S3, які створює Veeam Backup for AWS - можна відновлювати резервні копії інстансів Amazon EC2 в інфраструктуру on-premises.

Особливості безкоштовної версії

Безкоштовна версія Veeam Backup for AWS дозволяє бекапіть до 10 інстансів ЕС2; відновлення із резервних копій виконується без обмежень.
Примітка: рекомендовано використовувати t2.середній.

Орієнтовна вартість ресурсів - 9.8 USD/місяць, виходячи з цілодобового використання при наступних налаштуваннях за замовчуванням:

• ЕС2 - 1 інстанс t3.micro
• EBS - 1 том GP2 об'ємом 8 GB
• Конфігурація для репозиторію S3 - 50 GB Standard S3 storage, 13 000 S3 PUT requests, 10 000 S3 GET requests, 50 GB S3 Select usage

Корисні посилання

Рішення Veeam Backup for AWS на Торговий майданчик AWS
Керівництво користувача (Англійською мовою).

Джерело: habr.com