Zero Gravity: Chris Childerhose habla de tecnología con el Ootbi VSA | Únete a nosotros >>
Cómo comprarSolicitar una demo
  • Empresas
  • Blog
  • Disaster Recovery Testing with Veeam and Ootbi by Object First
Técnico

Disaster Recovery Testing with Veeam and Ootbi by Object First

| 12 min to read

La recuperación ante desastres trata de más que solo tener copias de seguridad; se trata de garantizar que pueda restaurar sus datos cuando más importa. Pero, ¿está seguro de que su sistema funcionará cuando ocurra un desastre? 

En este blog, lo guiaremos a través de los pasos críticos para probar sus copias de seguridad de Veeam con Ootbi para que pueda dormir tranquilo sabiendo que su proceso de recuperación es sólido como una roca. 

¿Qué es la Prueba de Recuperación ante Desastres? 

La prueba de recuperación ante desastres es el proceso de simular diferentes escenarios de falla para garantizar que los datos, las aplicaciones y la infraestructura puedan recuperarse de manera eficiente y efectiva después de una interrupción inesperada.  

La prueba de DR implica validar la confiabilidad de sus sistemas de respaldo, procedimientos de recuperación y el plan general de recuperación ante desastres para minimizar el tiempo de inactividad y garantizar la continuidad del negocio

Como dice el refrán, "A la gente no le importan las copias de seguridad de datos exitosas; les importa las recuperaciones exitosas." No hay lugar para la incertidumbre en la hora de necesidad de su organización, ya sea tarde en la noche o temprano en la mañana. 

Necesita confianza en que sus cargas de trabajo pueden ser completamente restauradas desde su infraestructura de respaldo, minimizando el tiempo de inactividad y protegiendo su negocio de interrupciones costosas. 

Garantizando la Resiliencia en el Almacenamiento de Copias de Seguridad de Objetos 

Cuando se trata de almacenamiento de copias de seguridad de objetos, no hay excepción a la regla de "prueba y sé el mejor". Para simular un desastre completo donde también pierda su servidor VBR, necesita un servidor VBR de respaldo que esté listo y disponible para realizar restauraciones rápidas. 

Perder su servidor VBR no es un obstáculo durante un desastre siempre que siga Zero Trust Data Resilience (ZTDR) y segmente su almacenamiento de respaldo de su servidor Veeam. 

Sin embargo, si simplemente agrega su repositorio existente al servidor VBR de respaldo, este último intentará tomar la propiedad completa del repositorio. Esto, a su vez, podría causar problemas con el servidor de producción VBR. 

Instrucciones Paso a Paso para la Prueba de DR de Veeam con Ootbi 

En esta guía, recorreremos el proceso paso a paso de probar sus copias de seguridad utilizando una política de IAM de solo lectura y un servidor de recuperación ante desastres (DR) VBR en espera. 

Antes de continuar, asegúrese de que su almacenamiento de objetos soporte IAM/STS. Para esta configuración, aprovecharemos Ootbi (Inmutabilidad Fuera de la Caja) de Object First, que admite completamente la integración IAM/STS. 

  • Servidor de Producción VBR: 192.168.0.122 
  • Servidor VBR DR en Espera: 192.168.0.34 
  • Almacenamiento de Objetos (Ootbi): 192.168.0.162 

También utilizaremos PowerShell y el AWS CLI para configurar nuestro usuario de DR y una política IAM de DR restringida. 

Paso Uno: Configurar AWS CLI 

Usaremos la herramienta AWS CLI para configurar los ajustes necesarios. Para instalarla, ejecute el siguiente comando: 

msiexec.exe /i https://awscli.amazonaws.com/AWSCLIV2.msi 

Para eliminar cualquier advertencia de certificado, necesitaremos descargar el CA raíz de Ootbi y colocarlo en la carpeta botocore de AWS para la verificación del certificado. 

  1. En la configuración de Ootbi, navegue a Seguridad, luego haga clic en Administrar bajo la pestaña Certificado SSL
  2. Haga clic en Exportar Certificado CA Raíz para descargar el certificado raíz. 
Página de configuración de Ootbi bajo la pestaña de Seguridad que muestra opciones de certificado SSL, incluyendo la exportación del certificado CA raíz para el clúster Ootbi1.

 

A continuación, copie el archivo ca.cert descargado a: 

C:\Program Files\Amazon\AWSCLIV2\awscli\botocore\cacert.pem 

Asegúrese de renombrar ca.cert a cacert.pem. 

Configuración del Perfil de AWS 

Ahora, crearemos un perfil de AWS utilizando las credenciales de administrador de Ootbi

aws configure --profile admin 

Inserte su clave de acceso, seguida de su clave secreta. Puede dejar los otros dos mensajes en blanco. 

Si ha olvidado su clave de acceso o clave secreta de Ootbi, puede crear nuevas en la configuración de Ootbi

Pantalla de Claves de Acceso S3 en la interfaz de Ootbi que muestra opciones para crear o eliminar claves de acceso S3, con columnas para nombre, tipo, ID de clave de acceso y nombre de usuario.

 

Paso Dos: Crear un Usuario IAM en Ootbi 

Comenzaremos creando un usuario IAM en Ootbi y aplicando la política restringida a este usuario. Después de aplicar la política, crearemos una clave de acceso y una clave secreta para el usuario. 

Estas claves se utilizarán como credenciales al conectar el repositorio de Ootbi al servidor DR en espera. 

1. Para crear el usuario, use el siguiente comando: 

aws iam --profile admin --endpoint https://192.168.0.162 --region default create-user --user-name druser 

Símbolo del sistema que muestra la creación de un nuevo usuario IAM llamado 'druser' utilizando el AWS CLI con el perfil admin y el endpoint 192.168.0.162. La salida muestra los detalles del usuario, incluyendo el nombre de usuario, ID de usuario, ARN, a

2. Puede verificar los usuarios creados con este comando: 

aws iam --profile admin --endpoint https://192.168.0.162 --region default list-users 

Símbolo del sistema que muestra la salida de un comando AWS CLI para listar usuarios IAM en el servidor 192.168.0.162. La lista incluye usuarios 'druser,' 'geofflist,' 'geoffro,' 'objectfirst-system,' y 'readonlyuser,' junto con

Paso Tres: Configurar una Política IAM Restringida 

Necesitamos configurar una política IAM restringida para evitar que el servidor DR VBR en espera tome posesión del repositorio de producción durante las pruebas de recuperación ante desastres. 

Esta política asegura que el servidor DR tenga acceso de solo lectura y no pueda escribir en el repositorio de producción, evitando cualquier conflicto con el servidor de respaldo de producción. 

Siga estos pasos: 

  1. Abra Notepad o Notepad++
  2. Copie el siguiente código y guárdelo como dr-policy.json

"Version": "2012-10-17", 

"Statement": [ 

"Action": [ 

"s3:GetBucketLocation", 

"s3:GetObject", 

"s3:ListAllMyBuckets", 

"s3:GetObjectVersion", 

"s3:GetObjectVersionAcl", 

"s3:GetBucketVersioning", 

"s3:GetBucketObjectLockConfiguration", 

"s3:GetObjectRetention", 

"s3:GetObjectLegalHold", 

"s3:List*" 

], 

"Effect": "Allow", 

"Resource": "arn:aws:s3:::*" 

Ventana de Notepad++ mostrando el contenido de un archivo JSON llamado 'dr-policy.json.' El archivo define una política de IAM, incluyendo acciones como 's3

3. Asegúrate de guardar este archivo en el mismo directorio donde estás ejecutando tus comandos de AWS en PowerShell. 

Ventana de PowerShell mostrando el contenido del directorio Csource. El directorio contiene dos archivos 'ca.crt' con un tamaño de 1107 y 'dr-policy.json' con un tamaño de 525. El comando 'pwd' muestra el directorio actual
 

Paso Cuatro: Adjuntar la Política IAM Restringida al Usuario DR 

Ahora que hemos configurado la política DR restringida, el siguiente paso es adjuntarla a nuestro usuario DR

  1. Ejecuta el siguiente comando para adjuntar la política al usuario DR

    aws iam --profile admin --endpoint https://192.168.0.162 --region default put-user-policy --user-name druser --policy-name dr-policy --policy-document file://dr-policy.json 

  2. Verifica que la política se haya adjuntado correctamente ejecutando: 

    aws iam --profile admin --endpoint https://192.168.0.162 --region default list-user-policies --user-name druser 

Deberías ver una salida como esta: 

Ventana de PowerShell mostrando el resultado del comando 'aws iam list-user-policies' para el usuario 'druser'. La salida muestra una política adjunta al usuario, llamada 'dr-policy'.
 

Paso Cinco: Generar Claves de Acceso y Secretas 

El paso final es crear las credenciales para conectar Veeam a tu repositorio de respaldo de producción. Estas credenciales pertenecerán al usuario DR y estarán gobernadas por la política IAM restringida que hemos aplicado. 

  1. Para crear las claves de acceso y secretas, ejecuta el siguiente comando: 

aws iam --profile admin --endpoint https://192.168.0.162 --region default create-access-key --user-name druser 

Ventana de PowerShell mostrando el resultado del comando 'aws iam create-access-key' para el usuario 'druser'. La salida muestra el ID de clave de acceso generada, la clave de acceso secreta y la fecha de creación de la clave de acceso.

 

Paso Seis: Conectar el Servidor Veeam Standby DR al Repositorio 

Ahora, en tu servidor de respaldo VBR DR, adjuntarás el repositorio utilizando las credenciales de solo lectura que creamos anteriormente. 

  1. Haz clic derecho en Repositorios de Respaldo, luego selecciona Almacenamiento de Objetos. 

    Interfaz de Veeam Backup & Replication mostrando la ventana 'Agregar Repositorio de Respaldo' con opciones para seleccionar un tipo de repositorio de respaldo, incluyendo Almacenamiento Directamente Conectado, Almacenamiento Conectado a la Red, Aplicación de Almacenamiento Dedupli

  2. Elige S3 Compatible. 

    Interfaz de Veeam Backup & Replication mostrando la ventana de selección 'Almacenamiento de Objetos' con opciones para agregar Veeam Data Cloud Vault, S3 Compatible, Hiperescaladores, o Proveedores Adicionales como almacenamiento de objetos para el repositorio de respaldo.

  3. Agrega el punto de servicio y, lo más importante, ingresa las credenciales (clave de acceso y clave secreta) que se crearon en los pasos anteriores. Haz clic en Aceptar, luego en Siguiente para continuar. 

    Interfaz de Veeam Backup & Replication mostrando la ventana de selección 'S3 Compatible' con opciones para agregar S3 Compatible almacenamiento de objetos o S3 Compatible con Archivado de Datos para el repositorio de respaldo.
    Interfaz de Veeam Backup & Replication mostrando la ventana de configuración 'Nuevo Repositorio de Almacenamiento de Objetos', con 'Ootbi' ingresado como el nombre del repositorio y el campo de descripción completado.

  4. Selecciona el bucket del repositorio que necesitas para las restauraciones y especifica la carpeta. 

    Interfaz de Veeam Backup & Replication mostrando la ventana 'Seleccionar Carpeta' para elegir una carpeta dentro del bucket almacenamiento de objetos 'veeamdr.' Las opciones incluyen limitar el consumo de almacenamiento de objetos y habilitar la inmutabilidad.

  5. Continúa a través de los pasos, ignorando la advertencia sobre tomar posesión del repositorio; no sucederá debido a la política restringida. Una vez que el repositorio esté agregado, realiza un rescan

    Interfaz de Veeam Backup & Replication mostrando la pestaña de Repositorios de Respaldo. El repositorio 'ootbi' (integrado con S3) está resaltado con un menú de clic derecho abierto, mostrando opciones como 'Rescanear', 'Afinidad de Proxy' y 'Ac
  6. Ahora deberías poder ver tus respaldos. 
Interfaz de Veeam Backup & Replication mostrando la sección 'Almacenamiento de Objetos (Importado)'. Cuatro trabajos de respaldo están listados 'cks01,' 'cks-2022-kubeadm-new,' 'Proxmox_vms,' y 'vbr.' El repositorio para todos los trabajos es 'ootbi,' un
 

Paso Siete: Probar el Proceso de Restauración 

Ahora llega el momento de la verdad, ya que los respaldos son tan buenos como tu capacidad para restaurarlos

  1. Intenta restaurar la VM cks01 completa de vuelta a Proxmox siguiendo las instrucciones a continuación. 

    Interfaz de Veeam Backup & Replication mostrando 'Almacenamiento de Objetos (Importado)' con múltiples trabajos de respaldo, incluyendo 'cks01,' 'cks02,' y 'Proxmox_vms.' El trabajo seleccionado es 'cks01,' creado el 1012024 con dos puntos de restauración.
    Interfaz de Veeam Backup & Replication mostrando el proceso de 'Restauración Completa de VM'. La máquina virtual 'cks01' está seleccionada para restauración, con un tamaño de 100 GB y un punto de restauración con fecha 1012024 a las 22520 PM. La 'Ne
    Interfaz de Veeam Backup & Replication mostrando el asistente de 'Restauración Completa de VM' en el paso 'Modo de Restauración'. La opción 'Restaurar a una nueva ubicación, o con diferentes configuraciones' está seleccionada, permitiendo la personalización de la
    Interfaz de Veeam Backup & Replication mostrando el asistente de 'Restauración Completa de VM' en el paso 'Host'. La máquina virtual 'cks01' está seleccionada para restauración al host con la dirección IP 192.168.0.12. La opción para 'Rest
    Interfaz de Veeam Backup & Replication mostrando el asistente de 'Restauración Completa de VM' en el paso 'Almacenamiento'. La máquina virtual 'cks01' con un tamaño de disco de 100 GB utilizando almacenamiento 'nfs' está seleccionada para restauración. La interfaz

  2. Al restaurar de vuelta al servidor de producción, ve a la sección Nombrado y asegúrate de agregar ya sea un prefijo, sufijo, o ambos al nombre de la VM. 

    Interfaz de Veeam Backup & Replication mostrando el asistente de 'Restauración Completa de VM' en el paso 'Nombre'. La máquina virtual 'cks01' está seleccionada para restauración. Una ventana emergente permite a los usuarios modificar el nombre de la VM agregando
    Interfaz de Veeam Backup & Replication mostrando el asistente de 'Restauración Completa de VM' en el paso 'Nombre'. La máquina virtual original 'cks01' ha sido renombrada a 'new-cks01-restored' en la columna 'Nuevo nombre'. La interfaz todo

  3. Antes de iniciar la VM restaurada, desconecta la tarjeta de red en la configuración de la VM. Esto se puede hacer en la pestaña Red durante el proceso de restauración o manualmente después de la restauración. 

    Interfaz de Veeam Backup & Replication mostrando el asistente de 'Restauración Completa de VM' en el paso 'Red'. La VM original 'cks01' está mapeada a la red 'vmbr0' bajo ambas columnas 'Fuente' y 'Destino', indicando t
    Interfaz de Veeam Backup & Replication mostrando el asistente de 'Restauración Completa de VM' en el paso 'Razón'. El usuario ha ingresado 'DR Test 1062024' en el campo 'Razón de restauración', que será registrado en el historial de la sesión de restauración.

  4. Asegúrate de que la opción para encender automáticamente la VM después de la restauración esté desactivada

    Interfaz de Veeam Backup & Replication mostrando el asistente de 'Restauración Completa de VM' en el paso 'Resumen'. El resumen incluye detalles como el nombre original de la VM 'cks01,' el nuevo nombre 'new-cks01-restored,' el punto de restauración
    Interfaz de Veeam Backup & Replication mostrando una ventana de 'Sesión de Restauración' para la VM 'cks01.' El tipo de restauración es 'Restaurar,' y el estado es 'Iniciando' con una hora de inicio de '1062024 104855 AM.' El registro muestra mensajes
  5. Una vez que el trabajo esté completado:  
  • Inicia la VM y verifica que todo esté funcionando como se espera. 
  • Si es necesario, puedes apagar la VM de producción para evitar conflictos, o si eso no es posible, asegúrate de que la tarjeta de red permanezca desconectada. 
Interfaz de Veeam Backup & Replication mostrando una ventana de 'Sesión de Restauración' para la VM 'cks01.' El tipo de restauración es 'Restaurar,' con un estado de 'Éxito.' La hora de inicio es '1062024 111253 AM,' y la hora de finalización es '106202
Interfaz de Proxmox Virtual Environment mostrando la consola de una máquina virtual restaurada (VM) llamada 'new-cks01-restored.' La consola muestra un aviso de inicio de sesión de Ubuntu 24.04.1 LTS para 'cks01.' La VM está listada a la izquierda

 

Paso Ocho: Asegurarse de que el Servidor VBR de Producción Permanezca Sin Afectar 

El resultado más importante de esta prueba es que el servidor VBR de producción permanezca sin afectar. Cuando intentes configurar un trabajo de respaldo en el servidor DR, fallará con el mensaje: 

"El almacenamiento de objetos repositorio es administrado por un servidor de respaldo diferente." 

Esto confirma que el servidor DR no ha tomado posesión del repositorio porque se accedió con derechos restringidos a través de la política IAM

Pantalla de progreso del trabajo de Veeam Backup & Replication mostrando el estado de un trabajo fallido titulado 'testFromDR.' La sección de resumen muestra una duración de 118 minutos y 1 error. Los detalles de acciones incluyen un mensaje 'El objeto sto

 

Fortalece tu Estrategia de Respaldo con Pruebas de Recuperación ante Desastres 

Las pruebas regulares de tus sistemas de protección de datos aseguran que estés completamente preparado cuando ocurra un desastre. Lo último que deseas es enfrentar problemas inesperados durante la recuperación, por lo que debes estar familiarizado con cada paso del proceso. 

Al utilizar políticas IAM restringidas, puedes probar tus respaldos de manera segura y restaurarlos sin arriesgar ningún impacto en tu servidor VBR principal. 

Como un bono, este proceso también proporciona valiosa experiencia práctica con IAM, que puede ser útil en otros aspectos de Veeam Data Protection. Mantente atento a más formas de aprovechar las políticas IAM con Veeam en los próximos blogs. 

Noticias del producto

Al enviar este formulario, confirmo que he leído y acepto la Política de Privacidad.

También te puede interesar