Willkommen 192TB in der Ootbi-Familie | Erfahren Sie hier mehr >>
KaufoptionenProduktdemo
Technisch

Disaster Recovery Testing with Veeam and Ootbi by Object First

Disaster Recovery umfasst mehr als nur Backups – es geht darum, sicherzustellen, dass Sie Ihre Daten wiederherstellen können, wenn es am wichtigsten ist. Aber sind Sie sich sicher, dass Ihr System funktioniert, wenn die Katastrophe zuschlägt?

In diesem Blog führen wir Sie durch die kritischen Schritte zum Testen Ihrer Veeam-Backups mit Ootbi, damit Sie beruhigt schlafen können, weil Ihr Wiederherstellungsprozess rocksolide ist.

Was ist Disaster Recovery Testing

Disaster Recovery Testing ist der Prozess, verschiedene Fehlerszenarien zu simulieren, um sicherzustellen, dass Daten, Anwendungen und Infrastruktur nach einer unerwarteten Störung effizient und effektiv wiederhergestellt werden können.

DR-Tests beinhalten die Validierung der Zuverlässigkeit Ihrer Backup-Systeme, Wiederherstellungsverfahren und des gesamten Disaster Recovery-Plans, um Ausfallzeiten zu minimieren und die Geschäftskontinuität zu gewährleisten.

Wie das Sprichwort sagt: "Die Leute kümmern sich nicht um erfolgreiche Daten-Backups; sie kümmern sich um erfolgreiche Wiederherstellungen." In der Stunde der Not Ihrer Organisation gibt es keinen Platz für Unsicherheit, egal ob spät in der Nacht oder früh am Morgen.

Sie benötigen das Vertrauen, dass Ihre Workloads vollständig aus Ihrer Backup-Infrastruktur wiederhergestellt werden können, um Ausfallzeiten zu minimieren und Ihr Unternehmen vor kostspieligen Störungen zu schützen.

Sicherstellung der Resilienz in der Objekt-Backup-Speicherung

Wenn es um Objekt-Backup-Speicherung geht, gibt es keine Ausnahme von der Regel "Testen und der Beste sein". Um eine vollständige Katastrophe zu simulieren, bei der Sie auch Ihren VBR-Server verlieren, benötigen Sie einen Backup-VBR-Server, der bereit und verfügbar ist, um schnelle Wiederherstellungen durchzuführen.

Den VBR-Server zu verlieren, ist während einer Katastrophe kein Showstopper, solange Sie Zero-Trust-Datenresilienz befolgen und Ihren Backup-Speicher vom Veeam-Server trennen.

Wenn Sie jedoch einfach Ihr vorhandenes Repository zum Standby-VBR-Server hinzufügen, wird letzterer versuchen, die vollständige Kontrolle über das Repository zu übernehmen. Dies könnte wiederum Probleme mit dem VBR-Produktionsserver verursachen.

Schritt-für-Schritt-Anleitung für Veeam DR-Tests mit Ootbi

In diesem Leitfaden werden wir den Schritt-für-Schritt-Prozess zum Testen Ihrer Backups mit einer IAM-Read-Only-Policy und einem Standby-VBR-Disaster-Recovery (DR)-Server durchgehen.

Bevor Sie fortfahren, stellen Sie sicher, dass Ihr Objektspeicher IAM/STS unterstützt. Für dieses Setup nutzen wir Ootbi (Out-of-the-Box Immutability) von Object First, das die IAM/STS-Integration vollständig unterstützt.

  • VBR-Produktionsserver: 192.168.0.122
  • DR-Standby-VBR-Server: 192.168.0.34
  • Objektspeicher (Ootbi): 192.168.0.162

Wir werden auch PowerShell und die AWS CLI verwenden, um unseren DR-Benutzer und eine eingeschränkte DR-IAM-Policy einzurichten.

Schritt Eins: AWS CLI einrichten

Wir verwenden das AWS CLI-Tool, um die erforderlichen Einstellungen zu konfigurieren. Um es zu installieren, führen Sie den folgenden Befehl aus:

msiexec.exe /i https://awscli.amazonaws.com/AWSCLIV2.msi

Um Zertifikatwarnungen zu entfernen, müssen wir die Ootbi-Root-CA herunterladen und in den AWS botocore-Ordner für die Zertifikatsüberprüfung legen.

  1. In den Ootbi-Einstellungen navigieren Sie zu Sicherheit und klicken dann auf Verwalten unter dem SSL-Zertifikat-Tab.
  2. Klicken Sie auf CA-Root-Zertifikat exportieren, um das Root-Zertifikat herunterzuladen.
Ootbi-Einstellungsseite unter dem Sicherheitstab, die SSL-Zertifikatsoptionen anzeigt, einschließlich des Exports des CA-Root-Zertifikats für den Cluster Ootbi1.

Kopieren Sie als Nächstes die heruntergeladene ca.cert-Datei nach:

C:\Program Files\Amazon\AWSCLIV2\awscli\botocore\cacert.pem

Stellen Sie sicher, dass Sie ca.cert in cacert.pem umbenennen.

AWS-Profil einrichten

Jetzt erstellen wir ein AWS-Profil mit den Ootbi-Admin-Anmeldeinformationen:

aws configure --profile admin

Geben Sie Ihren Zugriffsschlüssel gefolgt von Ihrem geheimen Schlüssel ein. Die anderen beiden Eingabeaufforderungen können Sie leer lassen.

Wenn Sie Ihren Ootbi-Zugriff oder geheimen Schlüssel vergessen haben, können Sie neue in den Ootbi-Einstellungen erstellen.

S3-Zugriffsschlüsselbildschirm in der Ootbi-Oberfläche, der Optionen zum Erstellen oder Löschen von S3-Zugriffsschlüsseln anzeigt, mit Spalten für Name, Typ, Zugriffsschlüssel-ID und Benutzernamen.

Schritt Zwei: Erstellen Sie einen IAM-Benutzer in Ootbi

Wir beginnen mit der Erstellung eines IAM-Benutzers in Ootbi und wenden die eingeschränkte Richtlinie auf diesen Benutzer an. Nachdem die Richtlinie angewendet wurde, erstellen wir einen Zugriffsschlüssel und einen geheimen Schlüssel für den Benutzer.

Diese Schlüssel werden als Anmeldeinformationen verwendet, wenn das Ootbi-Repository mit dem Standby-DR-Server verbunden wird.

1. Um den Benutzer zu erstellen, verwenden Sie den folgenden Befehl:

aws iam --profile admin --endpoint https://192.168.0.162 --region default create-user --user-name druser

Eingabeaufforderung, die die Erstellung eines neuen IAM-Benutzers mit dem Namen 'druser' unter Verwendung der AWS CLI mit dem Profil admin und dem Endpunkt 192.168.0.162 zeigt. Die Ausgabe zeigt die Benutzerdetails, einschließlich des Benutzernamens, der Benutzer-ID, ARN, a

2. Sie können die erstellten Benutzer mit diesem Befehl überprüfen:

aws iam --profile admin --endpoint https://192.168.0.162 --region default list-users

Eingabeaufforderung, die die Ausgabe eines AWS CLI-Befehls zum Auflisten von IAM-Benutzern auf dem Server 192.168.0.162 anzeigt. Die Liste umfasst die Benutzer 'druser', 'geofflist', 'geoffro', 'objectfirst-system' und 'readonlyuser', zusammen mit

Schritt Drei: Richten Sie eine eingeschränkte IAM-Richtlinie ein

Wir müssen eine eingeschränkte IAM-Richtlinie einrichten, um zu verhindern, dass der Standby-VBR-DR-Server während der Disaster-Recovery-Tests die Kontrolle über das Produktionsrepository übernimmt.

Diese Richtlinie stellt sicher, dass der DR-Server nur Lesezugriff hat und nicht in das Produktionsrepository schreiben kann, um Konflikte mit dem Produktions-Backup-Server zu vermeiden.

Befolgen Sie diese Schritte:

  1. Öffnen Sie Notepad oder Notepad++.
  2. Kopieren Sie den folgenden Code und speichern Sie ihn als dr-policy.json:

{

"Version": "2012-10-17",

"Statement": [

{

"Action": [

"s3:GetBucketLocation",

"s3:GetObject",

"s3:ListAllMyBuckets",

"s3:GetObjectVersion",

"s3:GetObjectVersionAcl",

"s3:GetBucketVersioning",

"s3:GetBucketObjectLockConfiguration",

"s3:GetObjectRetention",

"s3:GetObjectLegalHold",

"s3:List*"

],

"Effect": "Allow",

"Resource": "arn:aws:s3:::*"

}

]

}

Notepad++-Fenster, das den Inhalt einer JSON-Datei mit dem Namen 'dr-policy.json' zeigt. Die Datei definiert eine IAM-Richtlinie, einschließlich Aktionen wie 's3

3. Stellen Sie sicher, dass Sie diese Datei im selben Verzeichnis speichern, in dem Sie Ihre AWS-Befehle in PowerShell ausführen.

PowerShell-Fenster, das den Inhalt des Csource-Verzeichnisses anzeigt. Das Verzeichnis enthält zwei Dateien 'ca.crt' mit einer Größe von 1107 und 'dr-policy.json' mit einer Größe von 525. Der Befehl 'pwd' zeigt das aktuelle Verzeichnis an

Schritt Vier: Fügen Sie die eingeschränkte IAM-Richtlinie zum DR-Benutzer hinzu

Jetzt, da wir die eingeschränkte DR-Richtlinie eingerichtet haben, besteht der nächste Schritt darin, sie unserem DR-Benutzer zuzuordnen.

  1. Führen Sie den folgenden Befehl aus, um die Richtlinie dem DR-Benutzer zuzuordnen:

    aws iam --profile admin --endpoint https://192.168.0.162 --region default put-user-policy --user-name druser --policy-name dr-policy --policy-document file://dr-policy.json

  2. Überprüfen Sie, ob die Richtlinie ordnungsgemäß zugeordnet wurde, indem Sie Folgendes ausführen:

    aws iam --profile admin --endpoint https://192.168.0.162 --region default list-user-policies --user-name druser

Sie sollten eine Ausgabe wie diese sehen:

PowerShell-Fenster, das das Ergebnis des Befehls 'aws iam list-user-policies' für den Benutzer 'druser' anzeigt. Die Ausgabe zeigt eine an den Benutzer angehängte Richtlinie mit dem Namen 'dr-policy'.

Schritt Fünf: Generieren Sie Zugriffs- und Geheimschlüssel

Der letzte Schritt besteht darin, die Anmeldeinformationen zu erstellen, um Veeam mit Ihrem Produktions-Backup-Repository zu verbinden. Diese Anmeldeinformationen gehören dem DR-Benutzer und unterliegen der eingeschränkten IAM-Richtlinie, die wir angewendet haben.

  1. Um die Zugriffs- und Geheimschlüssel zu erstellen, führen Sie den folgenden Befehl aus:

aws iam --profile admin --endpoint https://192.168.0.162 --region default create-access-key --user-name druser

PowerShell-Fenster, das das Ergebnis des Befehls 'aws iam create-access-key' für den Benutzer 'druser' anzeigt. Die Ausgabe zeigt die generierte Zugriffs-ID, den geheimen Zugriffsschlüssel und das Erstellungsdatum für den Zugriffsschlüssel.

Schritt Sechs: Verbinden Sie den Veeam Standby DR-Server mit dem Repository

Jetzt werden Sie auf Ihrem VBR DR-Standby-Server das Repository mit den schreibgeschützten Anmeldeinformationen verbinden, die wir zuvor erstellt haben.

  1. Klicken Sie mit der rechten Maustaste auf Backup-Repositories und wählen Sie dann Objekt-Speicher.

    Veeam Backup & Replication-Oberfläche, die das Fenster 'Backup-Repository hinzufügen' mit Optionen zur Auswahl eines Backup-Repository-Typs anzeigt, einschließlich Direct Attached Storage, Network Attached Storage, Deduplicating Storage Appli

  2. Wählen Sie S3-kompatibel.

    Veeam Backup & Replication-Oberfläche, die das Auswahlfenster 'Objektspeicher' mit Optionen zum Hinzufügen von Veeam Data Cloud Vault, S3-kompatibel, Hyperscalers oder zusätzlichen Anbietern als Objektspeicher für Backup-Repository anzeigt.

  3. Fügen Sie den Dienstpunkt hinzu und geben Sie vor allem die Anmeldeinformationen (Zugriffsschlüssel und geheimer Schlüssel) ein, die in den vorherigen Schritten erstellt wurden. Klicken Sie auf OK und dann auf Weiter, um fortzufahren.

    Veeam Backup & Replication-Oberfläche, die das Auswahlfenster 'S3-kompatibel' mit Optionen zum Hinzufügen von S3-kompatibel Objektspeicher oder S3-kompatibel mit Datenarchivierung für das Backup-Repository anzeigt.
    Veeam Backup & Replication-Oberfläche, die das Einrichtungsfenster 'Neues Objektspeicher-Repository' zeigt, wobei 'Ootbi' als Repository-Name und das Beschreibungsfeld ausgefüllt ist.

  4. Wählen Sie den Repository-Bucket aus, den Sie für die Wiederherstellungen benötigen, und geben Sie den Ordner an.

    Veeam Backup & Replication-Oberfläche, die das Fenster 'Ordner auswählen' anzeigt, um einen Ordner innerhalb des Objektspeicher Buckets 'veeamdr' auszuwählen. Optionen umfassen die Begrenzung des Objektspeicher-Verbrauchs und die Aktivierung der Unveränderlichkeit.

  5. Fahren Sie mit den Schritten fort und ignorieren Sie die Warnung zur Übernahme des Repositorys – dies wird aufgrund der eingeschränkten Richtlinie nicht geschehen. Sobald das Repository hinzugefügt wurde, führen Sie einen Rescan durch.

    Veeam Backup & Replication-Oberfläche, die die Registerkarte Backup-Repositories anzeigt. Das Repository 'ootbi' (S3-integriert) ist hervorgehoben, mit einem geöffneten Kontextmenü, das Optionen wie 'Rescan', 'Proxy-Affinität' und 'Ac
  6. Sie sollten jetzt in der Lage sein, Ihre Backups zu sehen.
Veeam Backup & Replication-Oberfläche, die den Abschnitt 'Objektspeicher (importiert)' anzeigt. Vier Backup-Jobs sind aufgelistet: 'cks01', 'cks-2022-kubeadm-new', 'Proxmox_vms' und 'vbr'. Das Repository für alle Jobs ist 'ootbi', a

Schritt Sieben: Testen Sie den Wiederherstellungsprozess

Jetzt kommt der entscheidende Moment, da Backups nur so gut sind wie Ihre Fähigkeit, sie wiederherzustellen.

  1. Versuchen Sie, die gesamte cks01-VM zurück zu Proxmox wiederherzustellen, indem Sie die folgenden Anweisungen befolgen.

    Veeam Backup & Replication-Oberfläche, die 'Objektspeicher (importiert)' mit mehreren Backup-Jobs anzeigt, einschließlich 'cks01', 'cks02' und 'Proxmox_vms'. Der ausgewählte Job ist 'cks01', erstellt am 1012024 mit zwei Wiederherstellungspunkten.
    Veeam Backup & Replication-Oberfläche, die den Prozess 'Gesamte VM-Wiederherstellung' anzeigt. Die virtuelle Maschine 'cks01' ist zur Wiederherstellung ausgewählt, mit einer Größe von 100 GB und einem Wiederherstellungspunkt, der am 1012024 um 22520 PM gestempelt ist. Die 'Ne
    Veeam Backup & Replication-Oberfläche, die den Assistenten 'Gesamte VM-Wiederherstellung' im Schritt 'Wiederherstellungsmodus' anzeigt. Die Option 'Wiederherstellen an einem neuen Standort oder mit anderen Einstellungen' ist ausgewählt, was eine Anpassung der
    Veeam Backup & Replication-Oberfläche, die den Assistenten 'Gesamte VM-Wiederherstellung' im Schritt 'Host' anzeigt. Die virtuelle Maschine 'cks01' ist zur Wiederherstellung auf den Host mit der IP-Adresse 192.168.0.12 ausgewählt. Die Option 'Rest
    Veeam Backup & Replication-Oberfläche, die den Assistenten 'Gesamte VM-Wiederherstellung' im Schritt 'Speicher' anzeigt. Die virtuelle Maschine 'cks01' mit einer Festplattengröße von 100 GB, die 'nfs'-Speicher verwendet, ist zur Wiederherstellung ausgewählt. Die Schnittstelle

  2. Beim Wiederherstellen auf den Produktionsserver gehen Sie zum Abschnitt Benennung und stellen Sie sicher, dass Sie entweder ein Präfix, Suffix oder beides zum VM-Namen hinzufügen.

    Veeam Backup & Replication-Oberfläche, die den Assistenten 'Gesamte VM-Wiederherstellung' im Schritt 'Name' anzeigt. Die virtuelle Maschine 'cks01' ist zur Wiederherstellung ausgewählt. Ein Popup-Fenster ermöglicht es den Benutzern, den VM-Namen zu ändern, indem sie
    Veeam Backup & Replication-Oberfläche, die den Assistenten 'Gesamte VM-Wiederherstellung' im Schritt 'Name' anzeigt. Die ursprüngliche virtuelle Maschine 'cks01' wurde in der Spalte 'Neuer Name' in 'new-cks01-restored' umbenannt. Die Schnittstelle zeigt

  3. Bevor Sie die wiederhergestellte VM starten, trennen Sie die Netzwerkkarte in den VM-Einstellungen. Dies kann im Tab Netzwerk während des Wiederherstellungsprozesses oder manuell nach der Wiederherstellung erfolgen.

    Veeam Backup & Replication-Oberfläche, die den Assistenten 'Gesamte VM-Wiederherstellung' im Schritt 'Netzwerk' anzeigt. Die ursprüngliche VM 'cks01' ist sowohl in der Spalte 'Quelle' als auch in der Spalte 'Ziel' dem Netzwerk 'vmbr0' zugeordnet, was darauf hinweist, dass
    Veeam Backup & Replication-Oberfläche, die den Assistenten 'Gesamte VM-Wiederherstellung' im Schritt 'Grund' anzeigt. Der Benutzer hat 'DR Test 1062024' im Feld 'Wiederherstellungsgrund' eingegeben, das im Wiederherstellungsprotokoll aufgezeichnet wird.

  4. Stellen Sie sicher, dass die Option VM nach der Wiederherstellung automatisch einzuschalten deaktiviert ist.

    Veeam Backup & Replication-Oberfläche, die den Assistenten 'Gesamte VM-Wiederherstellung' im Schritt 'Zusammenfassung' anzeigt. Die Zusammenfassung enthält Details wie den ursprünglichen VM-Namen 'cks01', den neuen Namen 'new-cks01-restored', den Wiederherstellungspunkt
    Veeam Backup & Replication-Oberfläche, die ein Fenster 'Wiederherstellungssitzung' für die VM 'cks01' anzeigt. Der Wiederherstellungstyp ist 'Wiederherstellung', und der Status ist 'Starten' mit einer Startzeit von '1062024 104855 AM'. Das Protokoll zeigt Nachrichten
  5. Sobald der Job abgeschlossen ist:
  • Starten Sie die VM und überprüfen Sie, ob alles wie erwartet funktioniert.
  • Falls erforderlich, können Sie die Produktions-VM herunterfahren, um Konflikte zu vermeiden, oder wenn das nicht möglich ist, stellen Sie sicher, dass die Netzwerkkarte getrennt bleibt.
Veeam Backup & Replication-Oberfläche, die ein Fenster 'Wiederherstellungssitzung' für die VM 'cks01' anzeigt. Der Wiederherstellungstyp ist 'Wiederherstellung', mit einem Status von 'Erfolg'. Die Startzeit ist '1062024 111253 AM', und die Endzeit ist '106202
Proxmox Virtual Environment-Oberfläche, die die Konsole einer wiederhergestellten virtuellen Maschine (VM) mit dem Namen 'new-cks01-restored' anzeigt. Die Konsole zeigt eine Anmeldemaske für Ubuntu 24.04.1 LTS für 'cks01'. Die VM ist auf der linken Seite aufgeführt.

Schritt Acht: Stellen Sie sicher, dass der Produktions-VBR-Server unbeeinflusst bleibt

Das wichtigste Ergebnis dieses Tests ist, dass der Produktions-VBR-Server unbeeinflusst bleibt. Wenn Sie versuchen, einen Backup-Job auf dem DR-Server einzurichten, schlägt dies mit der Meldung fehl:

"Das Objektspeicher-Repository wird von einem anderen Backup-Server verwaltet."

Es bestätigt, dass der DR-Server nicht die Kontrolle über das Repository übernommen hat, da es mit eingeschränkten Rechten über die IAM-Richtlinie zugegriffen wurde.

Veeam Backup & Replication-Job-Fortschrittsanzeige, die den Status eines fehlgeschlagenen Jobs mit dem Titel 'testFromDR' anzeigt. Der Zusammenfassungsbereich zeigt eine Dauer von 118 Minuten und 1 Fehler. Die Aktionsdetails umfassen eine Nachricht 'Der Objektsto

Stärken Sie Ihre Backup-Strategie mit Disaster Recovery-Tests

Regelmäßige Tests Ihrer Datenschutz Systeme stellen sicher, dass Sie vollständig vorbereitet sind, wenn die Katastrophe zuschlägt. Das Letzte, was Sie wollen, ist, während der Wiederherstellung mit unerwarteten Problemen konfrontiert zu werden, daher müssen Sie mit jedem Schritt des Prozesses vertraut sein.

Durch die Verwendung von eingeschränkten IAM-Richtlinien können Sie Ihre Backups sicher testen und wiederherstellen, ohne das Risiko eines Einflusses auf Ihren Haupt-VBR-Server einzugehen.

Als Bonus bietet dieser Prozess auch wertvolle praktische Erfahrungen mit IAM, die in anderen Aspekten von Veeam Data Protection nützlich sein können. Bleiben Sie dran für weitere Möglichkeiten, IAM-Richtlinien mit Veeam in den kommenden Blogs zu nutzen.

Produktnachrichten

Durch die Anmeldung erklären Sie sich damit einverstanden, dass Ihre persönlichen Daten gemäß den Bedingungen von Object First verwaltet werden Hinweis zum Datenschutz.

Das könnte Sie auch interessieren