С его помощью можно создавать резервные копии инстансов ЕС2 и сохранять их в облачном хранилище Amazon Simple Storage Service (Amazon S3), также создавать цепочки снапшотов ЕС2 в нативном формате.
Для восстановления данных Veeam Backup for AWS предлагает следующие опции:
- Восстановление инстанса ЕС2 целиком
- Восстановление томов инстанса
- Восстановление файлов и папок гостевой ОС инстанса
Кроме того, поскольку решение создает резервные копии в формате Veeam, можно задействовать Veeam Backup & Replication для сохранения копий бэкапов ЕС2 в on-premises репозитории, а затем выполнять миграцию данных между облачной, виртуальной и on-premises инфраструктурами.
И, несомненно, пользователей порадует наличие у нового решения бесплатной версии. Для более детального знакомства с Veeam Backup for AWS добро пожаловать под кат.
Основные возможности
Помимо уже упомянутых возможностей по автоматическому созданию снапшотов Amazon EBS и хранения бэкапов в облачном Amazon S3, в решении реализованы:
- Многофакторная аутентификация для бэкап-администраторов
- Защита данных на основе политик
- Поддержка разделения ролей IAM
- Поддержка кросс-региональных конфигураций
- Встроенный алгоритм предварительной оценки затрат на работу сервисов, помогающий контролировать оплату.
Ну и как уже упоминалось, есть и бесплатная лицензия, и BYOL (build your own license), и лицензия, базирующаяся на потреблении ресурсов — каждый может выбрать подходящую.
Этапы работы
Если коротко, то основные этапы таковы:
- Проверяем нашу инфраструктуру на соответствие системным требованиям, описанным здесь.
- Устанавливаем Veeam Backup for AWS, как описано ниже.
- Указываем роли IAM. Они нужны для доступа к ресурсам AWS, задействованным в резервном копировании и восстановлении:
- Если вы планируете бэкапить инстансы EC2 в пределах одной учетной записи AWS, можно использовать роль Default Backup Restore — она создается в ходе установки Veeam Backup for AWS. У этой роли есть необходимые права на доступ ко всем инстансам EC2 и бакетам S3 в пределах учетки AWS, где развернут Veeam Backup for AWS (первоначальная учетная запись AWS).
- Если же вы планируете бэкапить или восстанавливать данные инстансов EC2 между двумя различными учетками AWS либо хотите использовать для каждой операции выделенную роль IAM с минимальным набором прав, то нужно будет создать необходимые роли IAM в пределах первоначальной учетной записи AWS и затем добавить их в Veeam Backup for AWS. Про это подробно рассказывается в документации.
- Настраиваем инфраструктуру резервного копирования, а именно:
- Конфигурируем S3-репозиторий.
Примечание: Если вы собираетесь использовать для защиты данных не резервные копии, а нативным образом созданные снапшоты, то этот пункт можно пропустить, т.к. S3-репозиторий в этом сценарии не понадобится.
- Задаем сетевые настройки для вспомогательных компонентов worker instances.
Workers — это вспомогательные инстансы EC2 под управлением ОС Linux. Они запускаются только на время резервного копирования (или восстановления) и выполняют роль бэкап-прокси. В настройках worker нужно будет указать Amazon VPC, подсеть и секьюрити-группу, к которой будут подключаться эти вспомогательные инстансы. Про всё это можно почитать тут.
- Конфигурируем S3-репозиторий.
- Затем создаем политику, на основании которой будут создаваться резервные копии или снапшоты инстансов ЕС2. Об этом вкратце расскажу ниже.
- Из резервной копии можно выполнить восстановление — об этом тоже чуть ниже.
Развертывание и настройка
Veeam Backup for AWS доступен на AWS Marketplace.
Развертывание решения выполняется так:
- Заходим на AWS Marketplace под учетной записью AWS, которую планируем использовать для установки решения.
- Открываем страницу Veeam Backup for AWS, выбираем нужную нам редакцию (платную или бесплатную). Подробнее о редакциях написано тут.
- Veeam Backup for AWS Free Edition
- Veeam Backup for AWS Paid Edition
- Veeam Backup for AWS BYOL Edition
- Справа вверху нажимаем Continue to Subscribe.
- На странице оформления подписки идем в раздел Terms and Conditions (условия использования) и там кликаем Show Details, далее по ссылке End User License Agreement читаем лицензионное соглашение.
- Затем нажимаем кнопку Continue to Configuration и приступаем к конфигурации.
- На странице Configure this software задаем настройки для установки:
- Из списка Fulfillment Option (варианты развертывания) выбираем вариант для нашего продукта — VB for AWS Deployment.
- Из списка версий Software Version выбираем новейшую версию Veeam Backup for AWS.
- Из перечня регионов Region выбираем регион AWS, в котором будет развернут инстанс EC2 с Veeam Backup for AWS.
Примечание: Подробнее о регионах AWS можно почитать тут.
- Затем нажимаем кнопку Continue to Launch для перехода к запуску.
- На странице Launch this software выполняем вот такие шаги:
- В разделе Configuration Details проверяем, все ли настройки верно указаны.
- Из списка действий Choose Action выбираем Launch CloudFormation.
- Установка Veeam Backup for AWS выполняется с помощью стека AWS CloudFormation.
Примечание: Здесь стек — это совокупность облачных ресурсов, которыми можно управлять как отдельной единицей: создавать, удалять, использовать для запуска приложений. Подробнее можно почитать в документации к AWS.
Нажимаем Launch и запускаем мастер создания стека Create stack wizard.
- На шаге Specify template можно оставить настройки шаблона стека по умолчанию.
- На шаге Specify stack details вводим настройки для нашего стека.
- В поле Stack name вводим имя; можно использовать буквы в верхнем и нижнем регистре, цифры и тире.
- В секции настроек Instance Configuration:
Из списка Instance type for Veeam Backup for AWS server надо выбрать тип инстанса EC2, на котором будет установлен Veeam Backup for AWS (далее мы будем называть его сервер Veeam Backup for AWS). Рекомендуется выбрать тип t2.medium.
Из списка Key Pair for Veeam Backup for AWS Server надо выбрать пару ключей, которые будут использоваться при аутентификации на этом новом сервере. Если нужной пары ключей в списке нет, нужно ее создать, как описано здесь.
Укажите, нужно ли включить автоматический бэкап томов EBS для сервера Veeam Backup for AWS (по умолчанию нужно, т.е. true).
Укажите, нужно ли рестартовать сервер Veeam Backup for AWS в случае сбоя в работе ПО.
Укажите, нужно ли рестартовать сервер Veeam Backup for AWS в случае сбоя в работе инфраструктуры.
- В секции настроек сети Network Configuration:
- Укажите, потребуется ли создать Elastic IP-адрес для сервера Veeam Backup for AWS. Подробнее см. тут.
- В поле Allowed Source IP Addresses for connection to SSH укажите интервал адресов IPv4, с которых будет разрешен доступ к серверу Veeam Backup for AWS через SSH.
- В поле Allowed Source IP Addresses for connection to HTTPS укажите интервал адресов IPv4, с которых будет разрешен доступ к веб-интерфейсу Veeam Backup for AWS.
Интервал адресов IPv4 указывается в нотации CIDR (например, 12.23.34.0/24). Чтобы разрешить доступ со всех адресов IPv4, можно ввести 0.0.0.0/0. (Однако такой вариант не рекомендуется, поскольку снижает безопасность инфраструктуры. )
- На основе указанных IPv4-адресов AWS CloudFormation создает секьюрити-группу для Veeam Backup for AWS, с соответствующими правилами для входящего трафика по SSH и HTTPS. (По умолчанию, для входящего трафика по SSH используется порт 22, а по HTTPS — порт 443.) Если вы собираетесь в ходе установки решения указать другую секьюрити-группу для Veeam Backup for AWS, то не забудьте вручную добавить соответствующие правила в эту группу и проверить, что для нее разрешен доступ к сервисам AWS (указаны в разделе Requirements руководства пользователя).
- В секции VPC and Subnet нужно выбрать Amazon Virtual Private Cloud (Amazon VPC) и подсеть, к которой будет подключен сервер Veeam Backup for AWS.
- На шаге Configure stack options укажите тэги AWS, пермисси для роли IAM и другие настройки стека.
- На шаге Review проверьте все настройки, выберите опцию I acknowledge that AWS CloudFormation might create IAM resources и нажмите Create stack.
После установки откроем веб-консоль, указав в браузере DNS или IP-адрес инстанса ЕС2, где установлен Veeam Backup for AWS, например:
https://ec2-135-169-170-192.eu-central-1.compute.amazonaws.com
В консоли отображаются ресурсы, для которых настроена защита данных с помощью Veeam Backup for AWS:
Необходимые настройки инфраструктуры, ролей и т.д. подробно описаны в документации.
Политики резервного копирования
Для защиты инстансов создаем политики.
Для разных видов объектов можно настроить разные политики: например, политика, предназначенная для защиты tier 3-приложений (наименее критичных), или политики для приложений tier 2 и tier 1. В настройках политики указываем:
- Учетную запись с ролями IAM
- Регионы — можно выбрать несколько
- Что планируется защищать — это могут быть все ресурсы (all resources) или выбранные инстансы или (тэги)
- Ресурсы, которые нужно исключить
- Настройки снапшота, в том числе использовать ли снапшоты и какой должна быть длительность хранения
- Настройки бэкапа: путь к репозиторию, расписание и длительность хранения
- Оценку стоимости услуг (о ней ниже)
- Настройки расписания и уведомлений
Встроенная оценка стоимости услуг
В решение Veeam Backup for AWS встроена автоматическая оценка стоимости услуг — благодаря ей сразу рассчитывается, какова будет стоимость услуг резервного копирования согласно конкретной политике. В расчет входят следующие метрики:
- Стоимость бэкапа
- Стоимость снапшота
- Стоимость трафика — это особенно важно, если репозиторий находится вне региона, где функционируют объекты инфраструктуры (Amazon AWS ставит в счет трафик в другие регионы)
- Стоимость транзакций
- Общая стоимость
Данные можно экспортировать в файл CSV или XML.
Вспомогательные компоненты — Workers
Для уменьшения расходов на трафик можно настроить автоматическое создание вспомогательных компонентов — workers — в том же AWS-регионе, где и защищаемые объекты. Workers автоматически запускаются только на время передачи данных из/в облако Amazon S3 либо на время восстановления, а после выполнения операций они выключаются и удаляются.
Резервное копирование
Для операций резервного копирования Veeam Backup for AWS задействует нативные снапшоты (см. Amazon EBS snapshots). В ходе бэкапа Veeam Backup for AWS использует команды AWS CLI для создания снапшотов томов EBS, приаттаченных к инстансу EC2. Затем в зависимости от выбранного вами сценария резервного копирования Veeam Backup for AWS создаст из них для инстанса EC2 либо цепочку нативных снапшотов, либо резервную копию на уровне образа.
Нативные снапшоты
Veeam Backup for AWS создает нативные снапшоты инстанса EC2 следующим образом:
- Сначала снимаются снапшоты томов EBS, приаттаченных к этому инстансу.
- Снапшотам EBS при создании назначаются AWS-тэги. Ключи и значения этих тэгов содержат зашифрованные мета-данные. Veeam Backup for AWS рассматривает снапшоты EBS с мета-данными как нативные снапшоты для инстанса EC2.
- Если инстанс EC2 уже был обработан политикой резервного копирования, то Veeam Backup for AWS проверяет количество точек восстановления в цепочке снапшотов. Если оно превышает предельное значение, указанное в политике, то самая старая точка удаляется. Примечание: Политика хранения и автоматического удаления (ретеншн) не применяется к снапшотам, созданным вручную (речь именно про снапшоты, созданные отдельно). Удалить такие снапшоты можно, как описано здесь. (Если под «вручную» подразумевать ручной запуск политики вне расписания, то для созданного таким образом снапшота ретенш отработает.)
Резервные копии на уровне образа
А вот как Veeam Backup for AWS выполняет резервное копирование на уровне образа:
- Сначала снимаются снапшоты томов EBS, приаттаченных к данному инстансу.
- Veeam Backup for AWS использует снапшоты EBS в качестве исходников для бэкапа. После завершения процесса резервного копирования эти снапшоты удаляются.
- Затем в регионе AWS, где находится данный инстанс, запускается вспомогательный worker, который помогает обработать данные инстанса EC2.
- Из временных снапшотов создаются тома EBS и приаттачиваются к инстансу worker.
- Выполняется чтение данных с томов EBS на инстансе worker, затем происходит передача данных в репозиторий S3, где они будут храниться в формате Veeam.
- В ходе инкрементальной сессии Veeam Backup for AWS считывает мета-данные резервных копий из репозитория S3 и использует их для выявления блоков, изменившихся с предыдущей сессии.
- Когда резервное копирование завершено, Veeam Backup for AWS удаляет временные снапшоты EBS и инстанс worker с Amazon EC2.
Восстановление данных
С помощью Veeam Backup for AWS можно восстанавливать данные следующим образом:
- В исходное местоположение, перезаписывая исходный инстанс. Все данные на этом инстансе будут перезаписаны теми, что хранятся в бэкапе, а конфигурация инстанса сохраняется.
- В новое местоположение, создавая новый инстанс. В этом сценарии — если вы выбираете восстановление в новое местоположение либо с новыми настройками — нужно будет указать параметры конфигурации, которые будут применены к инстансу по завершении восстановления:
- Регион
- Настройки шифрования
- Имя и тип инстанса
- Сетевые настройки: Virtual Private Cloud (VPC), подсеть, секьюрити-группа
Восстановление томов
Поддерживается и восстановление томов инстанса EC2 из снапшота либо из резервной копии, в исходное или в новое местоположение. Во втором случае для нового местоположения нужно указать регион AWS, Availability Zone и другие параметры.
В процессе восстановления также задействуется worker.
Сам процесс вкратце выглядит так (на примере восстановления из бэкапа):
- Veeam Backup for AWS запускает worker в нужном регионе AWS, создает требуемое количество пустых томов EBS и аттачит их к инстансу worker.
- Восстанавливает данные из бэкапа на эти тома.
- Выполняет детач томов EBS и перенос в требуемое местоположение (исходный или другой регион AWS), где эти тома сохраняются как отдельные.
- Удаляет инстанс worker по завершении операций.
Примечание: Не забудьте, что после восстановления том не будет автоматически приаттачен к инстансу ЕС2 (будет просто сохранен в указанное местоположение как отдельный том EBS).
Восстановление файлов
Позволяет восстановить отдельные файлы без необходимости восстанавливать весь инстанс целиком.
Когда вы инициируете восстановление на уровне файлов, то получаете URL (на основе публичного DNS-имени worker-а), по которому можно увидеть всю структуру файлов на гостевой ОС, находите в ней нужные файлы и выгружаете их на локальную машину.
Также для обеспечения безопасности можно проверить сертификат и его отпечаток, чтобы быть уверенным в отсутствии MiTM.
Интеграция с Veeam Backup & Replication
Если в вашей инфраструктуре развернут Veeam Backup & Replication, то вы можете настроить восстановление входящих в нее машин в облако Amazon EC2 с помощью функциональности Direct Restore to AWS, а затем защитить эти облачные данные с Veeam Backup for AWS.
Также поддерживается работа Veeam Backup & Replication с репозиториями Amazon S3, которые создает Veeam Backup for AWS — можно восстанавливать резервные копии инстансов Amazon EC2 в on-premises инфраструктуру.
Особенности бесплатной версии
Бесплатная версия Veeam Backup for AWS позволяет бэкапить до 10 инстансов ЕС2; восстановление из резервных копий выполняется без ограничений.
Примечание: Рекомендовано использовать t2.medium.
Примерная стоимость ресурсов — 9.8 USD/месяц, исходя из круглосуточного использования при следующих настройках по умолчанию:
- ЕС2 — 1 инстанс t3.micro
- EBS — 1 том GP2 объемом 8 GB
- Конфигурация для репозитория S3 — 50 GB Standard S3 storage, 13 000 S3 PUT requests, 10 000 S3 GET requests, 50 GB S3 Select usage
Полезные ссылки
Решение Veeam Backup for AWS на AWS Marketplace
Руководство пользователя (на англ.языке)
ссылка на оригинал статьи https://habr.com/ru/company/veeam/blog/481926/
Добавить комментарий