Bienvenue 192To dans la famille Ootbi | En savoir plus ici >>
Comment acheterDemander une démonstration
  • Blog
  • Disaster Recovery Testing with Veeam and Ootbi by Object First
Technique

Disaster Recovery Testing with Veeam and Ootbi by Object First

| 12 min de lecture

La récupération après sinistre concerne plus que de simples sauvegardes : il s'agit de garantir que vous pouvez restaurer vos données lorsque cela compte le plus. Mais êtes-vous sûr que votre système fonctionnera lorsque la catastrophe frappera ? 

Dans ce blog, nous vous guiderons à travers les étapes critiques pour tester vos sauvegardes Veeam avec Ootbi afin que vous puissiez dormir tranquille en sachant que votre processus de récupération est solide comme un roc. 

Qu'est-ce que le test de récupération après sinistre 

Le test de récupération après sinistre est le processus de simulation de différents scénarios d'échec pour garantir que les données, les applications et l'infrastructure peuvent être récupérées de manière efficace et efficiente après une interruption inattendue.  

Le test DR implique de valider la fiabilité de vos systèmes de sauvegarde, de vos procédures de récupération et de votre plan global de récupération après sinistre afin de minimiser les temps d'arrêt et d'assurer la continuité des activités

Comme le dit le proverbe, "Les gens ne se soucient pas des sauvegardes de données réussies ; ils se soucient des récupérations réussies." Il n'y a pas de place pour l'incertitude dans l'heure de besoin de votre organisation, que ce soit tard dans la nuit ou tôt le matin. 

Vous avez besoin de la confiance que vos charges de travail peuvent être entièrement restaurées à partir de votre infrastructure de sauvegarde, minimisant ainsi les temps d'arrêt et protégeant votre entreprise contre des interruptions coûteuses. 

Assurer la résilience dans le stockage de sauvegarde d'objets

En ce qui concerne le stockage de sauvegarde d'objets, il n'y a pas d'exception à la règle "tester et être le meilleur". Pour simuler une catastrophe complète où vous perdez également votre serveur VBR, vous avez besoin d'un serveur VBR de sauvegarde qui est prêt et disponible pour effectuer des restaurations rapides. 

Perdre votre serveur VBR n'est pas un obstacle lors d'une catastrophe tant que vous suivez Résilience des données Zero Trust et segmentez votre stockage de sauvegarde de votre serveur Veeam. 

Cependant, si vous ajoutez simplement votre référentiel existant au serveur VBR de secours, ce dernier tentera de prendre le contrôle total du référentiel. Cela pourrait, à son tour, causer des problèmes avec le serveur de production VBR. 

Instructions étape par étape pour le test DR Veeam avec Ootbi

Dans ce guide, nous allons passer en revue le processus étape par étape pour tester vos sauvegardes en utilisant une politique IAM en lecture seule et un serveur de récupération après sinistre (DR) VBR de secours. 

Avant de continuer, assurez-vous que votre stockage d'objets prend en charge IAM/STS. Pour cette configuration, nous allons tirer parti de Ootbi (Out-of-the-Box Immutability) par Object First, qui prend entièrement en charge l'intégration IAM/STS. 

  • Serveur de production VBR : 192.168.0.122 
  • Serveur VBR DR de secours : 192.168.0.34 
  • Stockage d'objets (Ootbi) : 192.168.0.162 

Nous allons également utiliser PowerShell et le CLI AWS pour configurer notre utilisateur DR et une politique IAM DR restreinte. 

Étape un : Configurer AWS CLI

Nous allons utiliser l'outil CLI AWS pour configurer les paramètres nécessaires. Pour l'installer, exécutez la commande suivante : 

msiexec.exe /i https://awscli.amazonaws.com/AWSCLIV2.msi 

Pour supprimer les avertissements de certificat, nous devrons télécharger le CA racine Ootbi et le placer dans le dossier botocore AWS pour la vérification du certificat. 

  1. Dans les paramètres Ootbi, accédez à Sécurité, puis cliquez sur Gérer sous l'onglet Certificat SSL
  2. Cliquez sur Exporter le certificat CA racine pour télécharger le certificat racine. 
Page des paramètres Ootbi sous l'onglet Sécurité affichant les options de certificat SSL, y compris l'exportation du certificat CA racine pour le cluster Ootbi1.

 

Ensuite, copiez le fichier ca.cert téléchargé dans : 

C:\Program Files\Amazon\AWSCLIV2\awscli\botocore\cacert.pem 

Assurez-vous de renommer ca.cert en cacert.pem. 

Configuration du profil AWS

Maintenant, nous allons créer un profil AWS en utilisant les identifiants administratifs Ootbi

aws configure --profile admin 

Insérez votre clé d'accès, suivie de votre clé secrète. Vous pouvez laisser les deux autres invites vides. 

Si vous avez oublié votre clé d'accès ou clé secrète Ootbi, vous pouvez en créer de nouvelles dans les paramètres Ootbi

Écran des clés d'accès S3 dans l'interface Ootbi montrant les options pour créer ou supprimer des clés d'accès S3, avec des colonnes pour le nom, le type, l'ID de clé d'accès et le nom d'utilisateur.

 

Étape deux : Créer un utilisateur IAM dans Ootbi

Nous allons commencer par créer un utilisateur IAM dans Ootbi et appliquer la politique restreinte à cet utilisateur. Après l'application de la politique, nous créerons une clé d'accès et une clé secrète pour l'utilisateur. 

Ces clés seront utilisées comme identifiants lors de la connexion du référentiel Ootbi au serveur DR de secours. 

1. Pour créer l'utilisateur, utilisez la commande suivante : 

aws iam --profile admin --endpoint https://192.168.0.162 --region default create-user --user-name druser 

Invite de commande montrant la création d'un nouvel utilisateur IAM nommé 'druser' utilisant le CLI AWS avec le profil admin et l'endpoint 192.168.0.162. La sortie affiche les détails de l'utilisateur, y compris le nom d'utilisateur, l'ID utilisateur, l'ARN, un

2. Vous pouvez vérifier les utilisateurs créés avec cette commande : 

aws iam --profile admin --endpoint https://192.168.0.162 --region default list-users 

Invite de commande affichant la sortie d'une commande CLI AWS pour lister les utilisateurs IAM sur le serveur 192.168.0.162. La liste comprend les utilisateurs 'druser', 'geofflist', 'geoffro', 'objectfirst-system' et 'readonlyuser', ainsi que

Étape trois : Configurer une politique IAM restreinte

Nous devons configurer une politique IAM restreinte pour empêcher le serveur DR VBR de secours de prendre possession du référentiel de production lors des tests de récupération après sinistre. 

Cette politique garantit que le serveur DR a un accès en lecture seule et ne peut pas écrire dans le référentiel de production, évitant ainsi tout conflit avec le serveur de sauvegarde de production. 

Suivez ces étapes : 

  1. Ouvrez Notepad ou Notepad++
  2. Copiez le code suivant et enregistrez-le sous dr-policy.json

"Version": "2012-10-17", 

"Statement": [ 

"Action": [ 

"s3:GetBucketLocation", 

"s3:GetObject", 

"s3:ListAllMyBuckets", 

"s3:GetObjectVersion", 

"s3:GetObjectVersionAcl", 

"s3:GetBucketVersioning", 

"s3:GetBucketObjectLockConfiguration", 

"s3:GetObjectRetention", 

"s3:GetObjectLegalHold", 

"s3:List*" 

], 

"Effect": "Allow", 

"Resource": "arn:aws:s3:::*" 

Notepad++ window showing the contents of a JSON file named 'dr-policy.json.' The file defines an IAM policy, including actions like 's3

3. Assurez-vous de sauvegarder ce fichier dans le même répertoire où vous exécutez vos commandes AWS dans PowerShell. 

PowerShell window displaying the contents of the Csource directory. The directory contains two files 'ca.crt' with a size of 1107 and 'dr-policy.json' with a size of 525. The command 'pwd' shows the current directory
 

Étape Quatre : Attacher la Politique IAM Restreinte à l'Utilisateur DR 

Maintenant que nous avons configuré la politique DR restreinte, l'étape suivante consiste à l'attacher à notre utilisateur DR

  1. Exécutez la commande suivante pour attacher la politique à l'utilisateur DR

    aws iam --profile admin --endpoint https://192.168.0.162 --region default put-user-policy --user-name druser --policy-name dr-policy --policy-document file://dr-policy.json 

  2. Vérifiez que la politique a été correctement attachée en exécutant : 

    aws iam --profile admin --endpoint https://192.168.0.162 --region default list-user-policies --user-name druser 

Vous devriez voir une sortie comme ceci : 

PowerShell window showing the result of the 'aws iam list-user-policies' command for the user 'druser'. The output displays one policy attached to the user, named 'dr-policy'.
 

Étape Cinq : Générer des Clés d'Accès et Secrètes 

L'étape finale consiste à créer les identifiants pour connecter Veeam à votre référentiel de sauvegarde de production. Ces identifiants appartiendront à l'utilisateur DR et seront régis par la politique IAM restreinte que nous avons appliquée. 

  1. Pour créer les clés d'accès et secrètes, exécutez la commande suivante : 

aws iam --profile admin --endpoint https://192.168.0.162 --region default create-access-key --user-name druser 

PowerShell window displaying the result of the 'aws iam create-access-key' command for the user 'druser'. The output shows the generated access key ID, secret access key, and the creation date for the access key.

 

Étape Six : Connecter le Serveur DR de Secours Veeam au Référentiel 

Maintenant, sur votre serveur de secours VBR DR, vous allez attacher le référentiel en utilisant les identifiants en lecture seule que nous avons créés précédemment. 

  1. Cliquez avec le bouton droit sur Référentiels de Sauvegarde, puis sélectionnez Stockage d'Objets. 

    Veeam Backup & Replication interface showing the 'Add Backup Repository' window with options to select a backup repository type, including Direct Attached Storage, Network Attached Storage, Deduplicating Storage Appli

  2. Choisissez S3 Compatible. 

    Veeam Backup & Replication interface showing the 'Object Storage' selection window with options to add Veeam Data Cloud Vault, S3 Compatible, Hyperscalers, or Additional Providers as stockage d'objets for backup reposito

  3. Ajoutez le point de service et, surtout, saisissez les identifiants (clé d'accès et clé secrète) qui ont été créés dans les étapes précédentes. Cliquez sur OK, puis sur Suivant pour continuer. 

    Veeam Backup & Replication interface showing the 'S3 Compatible' selection window with options to add S3 Compatible stockage d'objets or S3 Compatible with Data Archiving for backup repository.
    Veeam Backup & Replication interface showing the 'New Object Storage Repository' setup window, with 'Ootbi' entered as the repository name and description field filled in.

  4. Sélectionnez le compartiment de référentiel dont vous avez besoin pour les restaurations et spécifiez le dossier. 

    Veeam Backup & Replication interface displaying the 'Select Folder' window for choosing a folder within the stockage d'objets bucket 'veeamdr.' Options include limiting stockage d'objets consumption and enabling immutabilit

  5. Continuez à travers les étapes, en ignorant l'avertissement concernant la prise de possession du référentiel - cela ne se produira pas en raison de la politique restreinte. Une fois le référentiel ajouté, effectuez un rescan

    Veeam Backup & Replication interface showing the Backup Repositories tab. The repository 'ootbi' (S3-integrated) is highlighted with a right-click menu open, displaying options like 'Rescan,' 'Proxy affinity,' and 'Ac
  6. Vous devriez maintenant être en mesure de voir vos sauvegardes. 
Veeam Backup & Replication interface displaying the 'Object Storage (Imported)' section. Four backup jobs are listed 'cks01,' 'cks-2022-kubeadm-new,' 'Proxmox_vms,' and 'vbr.' The repository for all jobs is 'ootbi,' a
 

Étape Sept : Tester le Processus de Restauration 

Maintenant vient le moment de vérité puisque les sauvegardes ne sont aussi bonnes que votre capacité à les restaurer

  1. Essayez de restaurer l'ensemble de la VM cks01 vers Proxmox en suivant les instructions ci-dessous. 

    Veeam Backup & Replication interface showing 'Object Storage (Imported)' with multiple backup jobs, including 'cks01,' 'cks02,' and 'Proxmox_vms.' The selected job is 'cks01,' created on 1012024 with two restore point
    Veeam Backup & Replication interface showing the 'Entire VM Restore' process. The 'cks01' virtual machine is selected for restoration, with a size of 100 GB and a restore point timestamped 1012024 at 22520 PM. The 'Ne
    Veeam Backup & Replication interface displaying the 'Entire VM Restore' wizard at the 'Restore Mode' step. The option 'Restore to a new location, or with different settings' is selected, allowing customization of the
    Veeam Backup & Replication interface showing the 'Entire VM Restore' wizard at the 'Host' step. The virtual machine 'cks01' is selected for restoration to the host with the IP address 192.168.0.12. The option to 'Rest
    Veeam Backup & Replication interface displaying the 'Entire VM Restore' wizard at the 'Storage' step. The virtual machine 'cks01' with a disk size of 100 GB using 'nfs' storage is selected for restoration. The interfa

  2. Lors de la restauration vers le serveur de production, allez à la section Nommer et assurez-vous d'ajouter soit un préfixe, un suffixe, ou les deux au nom de la VM. 

    Veeam Backup & Replication interface displaying the 'Entire VM Restore' wizard at the 'Name' step. The virtual machine 'cks01' is selected for restoration. A pop-up window allows users to modify the VM name by adding
    Veeam Backup & Replication interface showing the 'Entire VM Restore' wizard at the 'Name' step. The original virtual machine 'cks01' has been renamed to 'new-cks01-restored' in the 'New name' column. The interface all

  3. Avant de démarrer la VM restaurée, déconnectez la carte réseau dans les paramètres de la VM. Cela peut être fait dans l'onglet Réseau pendant le processus de restauration ou manuellement après la restauration. 

    Veeam Backup & Replication interface displaying the 'Entire VM Restore' wizard at the 'Network' step. The original VM 'cks01' is mapped to the network 'vmbr0' under both the 'Source' and 'Target' columns, indicating t
    Veeam Backup & Replication interface displaying the 'Entire VM Restore' wizard at the 'Reason' step. The user has entered 'DR Test 1062024' in the 'Restore reason' field, which will be logged in the restore session hi

  4. Assurez-vous que l'option pour allumer automatiquement la VM après la restauration est désactivée

    Veeam Backup & Replication interface showing the 'Entire VM Restore' wizard at the 'Summary' step. The summary includes details such as the original VM name 'cks01,' the new name 'new-cks01-restored,' the restore poin
    Veeam Backup & Replication interface showing a 'Restore Session' window for the VM 'cks01.' The restore type is 'Restore,' and the status is 'Starting' with a start time of '1062024 104855 AM.' The log displays messag
  5. Une fois le travail terminé :  
  • Démarrez la VM et vérifiez que tout fonctionne comme prévu. 
  • Si nécessaire, vous pouvez éteindre la VM de production pour éviter les conflits, ou si cela n'est pas possible, assurez-vous que la carte réseau reste déconnectée. 
Veeam Backup & Replication interface showing a 'Restore Session' window for the VM 'cks01.' The restore type is 'Restore,' with a status of 'Success.' The start time is '1062024 111253 AM,' and the end time is '106202
Proxmox Virtual Environment interface displaying the console of a restored virtual machine (VM) named 'new-cks01-restored.' The console shows an Ubuntu 24.04.1 LTS login prompt for 'cks01.' The VM is listed on the lef

 

Étape Huit : Assurez-vous que le Serveur VBR de Production Reste Indemne 

Le résultat le plus important de ce test est que le serveur VBR de production reste indemne. Lorsque vous essayez de configurer un travail de sauvegarde sur le serveur DR, cela échouera avec le message : 

"Le stockage d'objets référentiel est géré par un autre serveur de sauvegarde." 

Cela confirme que le serveur DR n'a pas pris possession du référentiel car il a été accédé avec des droits restreints via la politique IAM

Veeam Backup & Replication job progress screen showing the status of a failed job titled 'testFromDR.' The summary section shows a duration of 118 minutes and 1 error. Actions detail includes a message 'The object sto

 

Renforcez Votre Stratégie de Sauvegarde avec des Tests de Récupération après Sinistre 

Des tests réguliers de vos systèmes de protection des données garantissent que vous êtes pleinement préparé lorsque la catastrophe frappe. La dernière chose que vous voulez est de faire face à des problèmes inattendus lors de la récupération, donc vous devez être familier avec chaque étape du processus. 

En utilisant des politiques IAM restreintes, vous pouvez tester vos sauvegardes en toute sécurité et les restaurer sans risquer d'impact sur votre serveur VBR principal. 

En prime, ce processus fournit également une expérience pratique précieuse avec IAM, ce qui peut être utile dans d'autres aspects de la Protection des Données Veeam. Restez à l'écoute pour d'autres façons de tirer parti des politiques IAM avec Veeam dans les prochains blogs. 

Actualités produit

En soumettant ce formulaire, je confirme avoir lu et approuvé la Politique de confidentialité.

A voir aussi