Zero Gravity: Chris Childerhose Talks Tech with the Ootbi VSA | Join us >>
KaufoptionenDemo anfragen
Technisch

Disaster Recovery Testing mit Veeam und Ootbi von Object First

| 12 min zu lesen

Disaster Recovery umfasst mehr als nur Backups – es geht darum, sicherzustellen, dass Sie Ihre Daten wiederherstellen können, wenn es am wichtigsten ist. Aber sind Sie zuversichtlich, dass Ihr System funktioniert, wenn die Katastrophe zuschlägt?

In diesem Blog führen wir Sie durch die kritischen Schritte zum Testen Ihrer Veeam-Backups mit Ootbi, damit Sie beruhigt schlafen können, weil Ihr Wiederherstellungsprozess rocksolide ist.

Was ist Disaster Recovery Testing

Disaster Recovery Testing ist der Prozess, verschiedene Fehlerszenarien zu simulieren, um sicherzustellen, dass Daten, Anwendungen und Infrastruktur effizient und effektiv nach einer unerwarteten Störung wiederhergestellt werden können.

DR-Tests beinhalten die Validierung der Zuverlässigkeit Ihrer Backup-Systeme, Wiederherstellungsverfahren und des gesamten Disaster Recovery-Plans, um Ausfallzeiten zu minimieren und die Geschäftskontinuität sicherzustellen.

Wie das Sprichwort sagt: "Die Leute kümmern sich nicht um erfolgreiche Daten-Backups; sie kümmern sich um erfolgreiche Wiederherstellungen." In der Stunde der Not Ihrer Organisation gibt es keinen Raum für Unsicherheit, egal ob spät in der Nacht oder früh am Morgen.

Sie benötigen das Vertrauen, dass Ihre Arbeitslasten vollständig aus Ihrer Backup-Infrastruktur wiederhergestellt werden können, um Ausfallzeiten zu minimieren und Ihr Unternehmen vor kostspieligen Störungen zu schützen.

Sicherstellung der Resilienz in der Objekt-Backup-Speicherung

Wenn es um Objekt-Backup-Speicherung geht, gibt es keine Ausnahme von der Regel "testen und der Beste sein". Um eine vollständige Katastrophe zu simulieren, bei der Sie auch Ihren VBR-Server verlieren, benötigen Sie einen Backup-VBR-Server, der bereit und verfügbar ist, um schnelle Wiederherstellungen durchzuführen.

Den VBR-Server zu verlieren, ist während einer Katastrophe kein Showstopper, solange Sie Zero-Trust-Datenresilienz befolgen und Ihren Backup-Speicher vom Veeam-Server trennen.

Wenn Sie jedoch einfach Ihr vorhandenes Repository zum Standby-VBR-Server hinzufügen, wird letzterer versuchen, die vollständige Kontrolle über das Repository zu übernehmen. Dies könnte wiederum Probleme mit dem VBR-Produktionsserver verursachen.

Schritt-für-Schritt-Anleitung für Veeam DR-Tests mit Ootbi

In diesem Leitfaden werden wir den Schritt-für-Schritt-Prozess zum Testen Ihrer Backups mit einer IAM-Read-Only-Policy und einem Standby-VBR-Disaster-Recovery (DR)-Server durchgehen.

Bevor Sie fortfahren, stellen Sie sicher, dass Ihr Objektspeicher IAM/STS unterstützt. Für dieses Setup nutzen wir Ootbi (Out-of-the-Box Immutability) von Object First, das die IAM/STS-Integration vollständig unterstützt.

  • VBR-Produktionsserver: 192.168.0.122
  • DR-Standby-VBR-Server: 192.168.0.34
  • Objektspeicher (Ootbi): 192.168.0.162

Wir werden auch PowerShell und die AWS CLI verwenden, um unseren DR-Benutzer und eine eingeschränkte DR-IAM-Policy einzurichten.

Schritt Eins: AWS CLI einrichten

Wir verwenden das AWS CLI-Tool, um die erforderlichen Einstellungen zu konfigurieren. Um es zu installieren, führen Sie den folgenden Befehl aus:

msiexec.exe /i https://awscli.amazonaws.com/AWSCLIV2.msi

Um Zertifikatwarnungen zu entfernen, müssen wir die Ootbi-Root-CA herunterladen und in den AWS botocore-Ordner für die Zertifikatsüberprüfung legen.

  1. In den Ootbi-Einstellungen navigieren Sie zu Sicherheit und klicken dann auf Verwalten unter dem SSL-Zertifikat-Tab.
  2. Klicken Sie auf CA-Root-Zertifikat exportieren, um das Root-Zertifikat herunterzuladen.
Ootbi-Einstellungsseite unter dem Sicherheitstab, die SSL-Zertifikatsoptionen anzeigt, einschließlich des Exports des CA-Root-Zertifikats für den Cluster Ootbi1.

Kopieren Sie als Nächstes die heruntergeladene ca.cert-Datei nach:

C:\Program Files\Amazon\AWSCLIV2\awscli\botocore\cacert.pem

Stellen Sie sicher, dass Sie ca.cert in cacert.pem umbenennen.

AWS-Profil einrichten

Jetzt erstellen wir ein AWS-Profil mit den Ootbi-Admin-Anmeldeinformationen:

aws configure --profile admin

Geben Sie Ihren Zugriffsschlüssel gefolgt von Ihrem geheimen Schlüssel ein. Die anderen beiden Eingabeaufforderungen können Sie leer lassen.

Wenn Sie Ihren Ootbi-Zugriff oder geheimen Schlüssel vergessen haben, können Sie neue in den Ootbi-Einstellungen erstellen.

S3-Zugriffsschlüsselbildschirm in der Ootbi-Oberfläche, der Optionen zum Erstellen oder Löschen von S3-Zugriffsschlüsseln anzeigt, mit Spalten für Name, Typ, Zugriffsschlüssel-ID und Benutzernamen.

Schritt Zwei: Erstellen Sie einen IAM-Benutzer in Ootbi

Wir beginnen mit der Erstellung eines IAM-Benutzers in Ootbi und wenden die eingeschränkte Richtlinie auf diesen Benutzer an. Nachdem die Richtlinie angewendet wurde, erstellen wir einen Zugriffsschlüssel und einen geheimen Schlüssel für den Benutzer.

Diese Schlüssel werden als Anmeldeinformationen verwendet, wenn das Ootbi-Repository mit dem Standby-DR-Server verbunden wird.

1. Um den Benutzer zu erstellen, verwenden Sie den folgenden Befehl:

aws iam --profile admin --endpoint https://192.168.0.162 --region default create-user --user-name druser

Eingabeaufforderung, die die Erstellung eines neuen IAM-Benutzers mit dem Namen 'druser' unter Verwendung der AWS CLI mit dem Profil admin und dem Endpunkt 192.168.0.162 zeigt. Die Ausgabe zeigt die Benutzerdetails, einschließlich des Benutzernamens, der Benutzer-ID, ARN, a

2. Sie können die erstellten Benutzer mit diesem Befehl überprüfen:

aws iam --profile admin --endpoint https://192.168.0.162 --region default list-users

Eingabeaufforderung, die die Ausgabe eines AWS CLI-Befehls zum Auflisten von IAM-Benutzern auf dem Server 192.168.0.162 anzeigt. Die Liste umfasst die Benutzer 'druser', 'geofflist', 'geoffro', 'objectfirst-system' und 'readonlyuser', zusammen mit

Schritt Drei: Richten Sie eine eingeschränkte IAM-Richtlinie ein

Wir müssen eine eingeschränkte IAM-Richtlinie einrichten, um zu verhindern, dass der Standby-VBR-DR-Server während der Disaster-Recovery-Tests die Kontrolle über das Produktionsrepository übernimmt.

Diese Richtlinie stellt sicher, dass der DR-Server nur Lesezugriff hat und nicht in das Produktionsrepository schreiben kann, um Konflikte mit dem Produktions-Backup-Server zu vermeiden.

Befolgen Sie diese Schritte:

  1. Öffnen Sie Notepad oder Notepad++.
  2. Kopieren Sie den folgenden Code und speichern Sie ihn als dr-policy.json:

{

"Version": "2012-10-17",

"Statement": [

{

"Action": [

"s3:GetBucketLocation",

"s3:GetObject",

"s3:ListAllMyBuckets",

"s3:GetObjectVersion",

"s3:GetObjectVersionAcl", 

"s3:GetBucketVersioning", 

"s3:GetBucketObjectLockConfiguration", 

"s3:GetObjectRetention", 

"s3:GetObjectLegalHold", 

"s3:List*" 

], 

"Wirkung": "Erlauben", 

"Ressource": "arn:aws:s3:::*" 

}

Notepad++-Fenster, das den Inhalt einer JSON-Datei namens 'dr-policy.json' zeigt. Die Datei definiert eine IAM-Richtlinie, einschließlich Aktionen wie 's3

3. Stellen Sie sicher, dass Sie diese Datei im selben Verzeichnis speichern, in dem Sie Ihre AWS-Befehle in PowerShell ausführen.

PowerShell-Fenster, das den Inhalt des Csource-Verzeichnisses anzeigt. Das Verzeichnis enthält zwei Dateien 'ca.crt' mit einer Größe von 1107 und 'dr-policy.json' mit einer Größe von 525. Der Befehl 'pwd' zeigt das aktuelle Verzeichnis an.
 

Schritt Vier: Fügen Sie die eingeschränkte IAM-Richtlinie dem DR-Benutzer hinzu 

Jetzt, da wir die eingeschränkte DR-Richtlinie eingerichtet haben, besteht der nächste Schritt darin, sie an unseren DR-Benutzer anzuhängen. 

  1. Führen Sie den folgenden Befehl aus, um die Richtlinie an den DR-Benutzer anzuhängen:

    aws iam --profile admin --endpoint https://192.168.0.162 --region default put-user-policy --user-name druser --policy-name dr-policy --policy-document file://dr-policy.json

  2. Überprüfen Sie, ob die Richtlinie ordnungsgemäß angehängt wurde, indem Sie Folgendes ausführen:

    aws iam --profile admin --endpoint https://192.168.0.162 --region default list-user-policies --user-name druser

Sie sollten eine Ausgabe wie diese sehen: 

PowerShell-Fenster, das das Ergebnis des Befehls 'aws iam list-user-policies' für den Benutzer 'druser' anzeigt. Die Ausgabe zeigt eine an den Benutzer angehängte Richtlinie mit dem Namen 'dr-policy'.
 

Schritt Fünf: Zugriff- und Geheimschlüssel generieren 

Der letzte Schritt besteht darin, die Anmeldeinformationen zu erstellen, um Veeam mit Ihrem Produktions-Backup-Repository zu verbinden. Diese Anmeldeinformationen gehören zum DR-Benutzer und unterliegen der eingeschränkten IAM-Richtlinie, die wir angewendet haben. 

  1. Um die Zugangs- und Geheimschlüssel zu erstellen, führen Sie den folgenden Befehl aus: 

aws iam --profile admin --endpoint https://192.168.0.162 --region default create-access-key --user-name druser 

PowerShell-Fenster, das das Ergebnis des Befehls 'aws iam create-access-key' für den Benutzer 'druser' anzeigt. Die Ausgabe zeigt die generierte Zugriffs-ID, den geheimen Zugriffsschlüssel und das Erstellungsdatum für den Zugriffsschlüssel.

 

Schritt Sechs: Verbinden Sie den Veeam Standby DR-Server mit dem Repository 

Jetzt werden Sie auf Ihrem VBR DR-Standby-Server das Repository mit den zuvor erstellten schreibgeschützten Anmeldeinformationen anhängen.

  1. Klicken Sie mit der rechten Maustaste auf Backup-Repositories und wählen Sie Objekt-Speicher. 

    Veeam Backup & Replication interface showing the 'Add Backup Repository' window with options to select a backup repository type, including Direct Attached Storage, Network Attached Storage, Deduplicating Storage Appli

  2. Wählen Sie S3-kompatibel. 

    Veeam Backup & Replication interface showing the 'Object Storage' selection window with options to add Veeam Data Cloud Vault, S3 Compatible, Hyperscalers, or Additional Providers as Objektspeicher for backup reposito

  3. Fügen Sie den Dienstpunkt hinzu und geben Sie vor allem die Anmeldeinformationen (Zugriffsschlüssel und geheimer Schlüssel) ein, die in den vorherigen Schritten erstellt wurden. Klicken Sie auf OK und dann auf Weiter, um fortzufahren. 

    Veeam Backup & Replication interface showing the 'S3 Compatible' selection window with options to add S3 Compatible Objektspeicher or S3 Compatible with Data Archiving for backup repository.
    Veeam Backup & Replication interface showing the 'New Object Storage Repository' setup window, with 'Ootbi' entered as the repository name and description field filled in.

  4. Wählen Sie den Repository-Bucket aus, den Sie für die Wiederherstellungen benötigen, und geben Sie den Ordner an. 

    Veeam Backup & Replication interface displaying the 'Select Folder' window for choosing a folder within the Objektspeicher bucket 'veeamdr.' Options include limiting Objektspeicher consumption and enabling immutabilit

  5. Fahren Sie mit den Schritten fort und ignorieren Sie die Warnung bezüglich der Übernahme des Repositories – dies wird aufgrund der eingeschränkten Richtlinie nicht geschehen. Sobald das Repository hinzugefügt wurde, führen Sie einen Neuscannen durch. 

    Veeam Backup & Replication interface showing the Backup Repositories tab. The repository 'ootbi' (S3-integrated) is highlighted with a right-click menu open, displaying options like 'Rescan,' 'Proxy affinity,' and 'Ac
  6. Sie sollten jetzt in der Lage sein, Ihre Backups zu sehen. 
Veeam Backup & Replication-Schnittstelle, die den Abschnitt 'Object Storage (Importiert)' anzeigt. Vier Sicherungsjobs sind aufgeführt: 'cks01', 'cks-2022-kubeadm-new', 'Proxmox_vms' und 'vbr'. Das Repository für alle Jobs ist 'ootbi', ein
 

Schritt Sieben: Testen Sie den Wiederherstellungsprozess 

Jetzt kommt der Moment der Wahrheit, da Backups nur so gut sind wie Ihre Fähigkeit, sie wiederherzustellen

  1. Versuchen Sie, die gesamte cks01 VM zurück zu Proxmox wiederherzustellen, indem Sie die folgenden Anweisungen befolgen. 

    Veeam Backup & Replication interface showing 'Object Storage (Imported)' with multiple backup jobs, including 'cks01,' 'cks02,' and 'Proxmox_vms.' The selected job is 'cks01,' created on 1012024 with two restore point
    Veeam Backup & Replication interface showing the 'Entire VM Restore' process. The 'cks01' virtual machine is selected for restoration, with a size of 100 GB and a restore point timestamped 1012024 at 22520 PM. The 'Ne
    Veeam Backup & Replication interface displaying the 'Entire VM Restore' wizard at the 'Restore Mode' step. The option 'Restore to a new location, or with different settings' is selected, allowing customization of the
    Veeam Backup & Replication interface showing the 'Entire VM Restore' wizard at the 'Host' step. The virtual machine 'cks01' is selected for restoration to the host with the IP address 192.168.0.12. The option to 'Rest
    Veeam Backup & Replication interface displaying the 'Entire VM Restore' wizard at the 'Storage' step. The virtual machine 'cks01' with a disk size of 100 GB using 'nfs' storage is selected for restoration. The interfa

  2. Beim Wiederherstellen auf den Produktionsserver gehen Sie zum Naming-Bereich und stellen Sie sicher, dass Sie entweder ein Präfix, Suffix oder beides zum VM-Namen hinzufügen. 

    Veeam Backup & Replication interface displaying the 'Entire VM Restore' wizard at the 'Name' step. The virtual machine 'cks01' is selected for restoration. A pop-up window allows users to modify the VM name by adding
    Veeam Backup & Replication interface showing the 'Entire VM Restore' wizard at the 'Name' step. The original virtual machine 'cks01' has been renamed to 'new-cks01-restored' in the 'New name' column. The interface all

  3. Bevor Sie die wiederhergestellte VM starten, trennen Sie die Netzwerkkarte in den VM-Einstellungen. Dies kann im Netzwerk-Tab während des Wiederherstellungsprozesses oder manuell nach der Wiederherstellung erfolgen. 

    Veeam Backup & Replication interface displaying the 'Entire VM Restore' wizard at the 'Network' step. The original VM 'cks01' is mapped to the network 'vmbr0' under both the 'Source' and 'Target' columns, indicating t
    Veeam Backup & Replication interface displaying the 'Entire VM Restore' wizard at the 'Reason' step. The user has entered 'DR Test 1062024' in the 'Restore reason' field, which will be logged in the restore session hi

  4. Stellen Sie sicher, dass die Option VM nach der Wiederherstellung automatisch einzuschalten deaktiviert ist. 

    Veeam Backup & Replication interface showing the 'Entire VM Restore' wizard at the 'Summary' step. The summary includes details such as the original VM name 'cks01,' the new name 'new-cks01-restored,' the restore poin
    Veeam Backup & Replication interface showing a 'Restore Session' window for the VM 'cks01.' The restore type is 'Restore,' and the status is 'Starting' with a start time of '1062024 104855 AM.' The log displays messag
  5. Sobald der Job abgeschlossen ist:  
  • Starten Sie die VM und überprüfen Sie, ob alles wie erwartet funktioniert. 
  • Falls erforderlich, können Sie die Produktions-VM herunterfahren, um Konflikte zu vermeiden, oder wenn das nicht möglich ist, stellen Sie sicher, dass die Netzwerkkarte getrennt bleibt. 
Veeam Backup & Replication interface showing a 'Restore Session' window for the VM 'cks01.' The restore type is 'Restore,' with a status of 'Success.' The start time is '1062024 111253 AM,' and the end time is '106202
Proxmox Virtual Environment interface displaying the console of a restored virtual machine (VM) named 'new-cks01-restored.' The console shows an Ubuntu 24.04.1 LTS login prompt for 'cks01.' The VM is listed on the lef

 

Schritt Acht: Sicherstellen, dass der Produktions-VBR-Server Unberührt bleibt 

Das wichtigste Ergebnis dieses Tests ist, dass der Produktions-VBR-Server unberührt bleibt. Wenn Sie versuchen, einen Backup-Job auf dem DR-Server einzurichten, schlägt dies mit der Meldung fehl: 

"Das Objektspeicher-Repository wird von einem anderen Backup-Server verwaltet." 

Es bestätigt, dass der DR-Server nicht das Eigentum an dem Repository übernommen hat, da es mit eingeschränkten Rechten über die IAM-Richtlinie zugegriffen wurde. 

Veeam Backup & Replication job progress screen showing the status of a failed job titled 'testFromDR.' The summary section shows a duration of 118 minutes and 1 error. Actions detail includes a message 'The object sto

 

Stärken Sie Ihre Backup-Strategie mit Disaster Recovery-Tests 

Regelmäßige Tests Ihrer Datenschutz-Systeme stellen sicher, dass Sie vollständig vorbereitet sind, wenn die Katastrophe zuschlägt. Das Letzte, was Sie wollen, ist, unerwartete Probleme während der Wiederherstellung zu haben, daher müssen Sie mit jedem Schritt des Prozesses vertraut sein. 

Durch die Verwendung von eingeschränkten IAM-Richtlinien können Sie Ihre Backups sicher testen und wiederherstellen, ohne das Risiko eines Einflusses auf Ihren Haupt-VBR-Server einzugehen. 

Als Bonus bietet dieser Prozess auch wertvolle praktische Erfahrungen mit IAM, die in anderen Aspekten von Veeam Data Protection nützlich sein können. Bleiben Sie dran für weitere Möglichkeiten, IAM-Richtlinien mit Veeam in den kommenden Blogs zu nutzen. 

Produktnachrichten

Durch das Absenden dieses Formulars bestätige ich, dass ich die Hinweis zum Datenschutz gelesen habe und ihr zustimme.

Das könnte Sie auch interessieren