IT Veeam B&R Virtualization

Veeam Sure Backup Konfigurieren

Mittels Sure Backup ist es möglich, gesicherte virtuelle Systeme in einer abgeschotteten Umgebung zu starten und mittels automatismen zu prüfen. Sure Backup greift auf die Virtual Lab und Instant Recovery funktionalität von Veeam zurück. Darum muss vorgängig ein Virtual Lab und mindestens eine Application Group konfiguriert werden.

Application Group
Fasst die VMs zusammen die miteinander im Virtual Lab (VLAB) gestartet werden. Möchte man z.B. ein Exchange System im VLAB starten, so muss auch ein DC in die Application Group konfiguriert werden. Dies da der Exchange ohne DC nicht lauffähig ist.

Virtual Lab
Stellt die vom poduktiven Netzwerk abgeschottete Umgebung bereit. Dabei wird auf der vSphere Infrastruktur ein vSwitch erstellt dem kein physikalischer Netzwerkadapter zugewiesen ist. Damit vom produkten Netz in das VLAB verbunden werden kann wird eine Proxy Appliance konfiguriert. Über diese VM kann via Masquerade IP auf die Systeme im VLAB zugegriffen werden.

 

Szenario
Die produktiven VMs laufen auf einer vSphere Umgebung an Standort A.
An Standort B ist ein ESXi Host (ESX301) vorhanden. Dieser wird als “Backup Host” eingesetzt auf welchem sich die VM SRV305 befindet. Auf dieser läuft Veeam B&R. Diese VM dient ebenfalls as Backup Repository. Virtual Lab / Sure Backup wird auf diesem ESXi Host eingerichtet.

Nachfolgend ein Big Picture der später beschriebenen Konfiguration:

Veeam Sure Backup - Big Picture

 

Konfiguration Virtual LAB (VLAB)
Die Konfiguration für das genannte Szenrio (Big Picture weiter oben) sieht wie folgt aus:

  1.  Neues Virtual Lab erstellen und entsprechend benennen. Da es mehrere VLANs im Netzwerk gibt, empfiehlt es sich hier dies entsprechend zu benennen.
    Veeam Sure Backup - VLAB Name
  2. Host definieren auf welchem das VLAB registiert werden soll. Ebenfalls wird hier ein Folder / Resource Pool definiert der dann von Veeam erstellt wird.
    Veeam Sure Backup - VLAB Name Veeam Sure Backup - VLAB Host
  3. Datastore definieren auf welchem die Redo Logs abgelegt werden. In dies werden die Änderungen der aus dem Backup gestarteten VMs geschrieben. Die Backups sind read only und werden nicht geändert. Es soll genügend freier Speicher zur Verfügung stehen. Ebenfalls empfiehlt es sich hier ein einigermasen Performantes Disksubsystem einzusetzen.
    Veeam Sure Backup - VLAB Datastore
  4. Proxy wird benötigt, wenn von der produktiven Umgebung und/oder dem Veeam Backup Server ins VLAB zugriff benötigt wird. Ist für Sure Backup erforderlich. Ansonsten können keine Tests auf den VMs im VLAB ausgeführt werden. (z.B. Ping, SMTP test etc)

    Definieren des Proxy Appliance Namen. Diese Appliance erhält in diesem Beispiel zwei NICs. Eine davon wir ins produktive Netzwerk connected. Diese Konfiguration wird hier vorgenommen. Ich definiere hier eine IP im gleichen Range wie der Veeam Backup Server.

  5. Networking muss je nach Szenario anders definiert werden. Da das VLAB hier auf einem Host läuft, wird nachfolgende Konfigration gewählt
    Veeam Sure Backup - VLAB Networking
  6. Isoltead Network, hier wird das Isolierte Netzwerk fürs VLAB angegeben und mit welchem produktiven Netzwerk dies korresponidert. Sind mehrer produktive VLAN vorhanden, so muss hier das VLAN definiert werden, in welchem die gesicherten VMs im produktiven Betrieb connected sind.
    Veeam Sure Backup - VLAB Isolated Network
  7. Network Settings: Hier wird die zweite NIC der Proxy Appliance konfiguriert. Diese NIC wird dann ins VLAB (Isolated Network) verbunden. Die IP muss der GW IP der produktiven VMs entsprechen.
    Das Masquerade Network wird hier ebenfalls definiert. Kann als eine art Transfer Netzwerk angeschaut werden. Via diesem Netzwerk kann der Veeam Backup Server auf die VMs im VLAB zugreifen. Mehr dazu später.
    Veeam Sure Backup - VLAB Network Settings
  8. Static Mapping benötige ich zurzeit nicht, der Wizard kann nun bis zum schluss durchgeklickt werden.

 

vSphere Ansicht der VLAB Konfig
Durch die oben erstellte Konfiguration wird auf der vSphere Umgebung nun ein vSwitch für das Isolated Network erstellt. Ebenfalls wird die Proxy Appliance erstellt. Dies sieht wie folgt aus:

  1. Proxy Appliance
    Veeam Sure Backup - vSphere 1. Proxy
  2. Network Config
    Hier ist der zusätzlich erstellte vSwitch für das isolierte Netzwerk (VLAB) ersichtlich (blau). Hier ist auch gut erkennbar das diese Netz keinem physikalischen Netzwerkadapter auf dem ESX Host zugewiesen ist. Die Proxy Appliance VM ist ins produktive Netz (gleiches vLAN wieder Backup Host) und ins VLAB netz connected
    Veeam Sure Backup - vSphere 2. Networking

 

Ablauf Sure Backup
Hinweis: Auf die Konfigruation des Sure Backup Jobs sowie die Application Group gehe ich hier nicht weiter ein. Dies ist meines erachtens selbsterklärend.

Wird der Sure Backup Job gestartet, so wird zuerst die Proxy VM (rot) gestartet. Danach werden die VMs (schwarz), welche in der Application Group des Sure Backup Jobs definiert wurden, via Instant Recovery ins VLAB (Isolated Network) gestartet. Dies sieht dann wie folgt aus:

Veeam Sure Backup - Job Start 1

Damit der Veeam Backup Server auf die VMs im VLAB via Netzwerk zugreifen kann, wird nun eine Route auf dem Backup Server eingetragen. Dabei wird das Netzwerk eingetragen, welches unter “Maserquerade Network”  (X.X.200.X) definiert wurde. Als Gatway für dieses Netz wird die IP (X.X.26.190) der Proxy Appliance angegeben, welche sich im produktiven Netz befindet. Dies kann via “route print” verifziert werden:

Veeam Sure Backup - Job Start 2

Ist der Surebackup job beendet, so wird die route wieder entfernt.

Die Proxy Appliance setzt nur für jede VM im VLAB eine entsprechende Masquerade IP.
Beispiel:

Hostname: SERVER100
Prod IP: 192.168.16.100
VLAB IP: 192.168.200.100

Will der Veeam Backup Server nun auf die VM “SERVER100” im VLAB zugreifen, so geschieht dies über die VLAB IP 192.168.200.100. Die Proxy Appliance setzt diese IP dann intern via NAT wieder auf 192.168.16.100 um und kann somit die Anfragen direkt an die VM weiterleiten.