Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esegui il backup e l'archiviazione dei dati su Amazon S3 con Veeam Backup & Replication
Creato da Jeanna James, Anthony Fiore (AWS) (AWS) e William Quigley
Ambiente: produzione | Tecnologie: archiviazione e backup | Servizi AWS: Amazon EC2; Amazon S3; Amazon S3 Glacier |
Riepilogo
Questo modello descrive in dettaglio il processo di invio dei backup creati da Veeam Backup & Replication alle classi di storage di oggetti Amazon Simple Storage Service (Amazon S3) supportate utilizzando la funzionalità di repository di backup scale-out di Veeam.
Veeam supporta più classi di storage Amazon S3 per soddisfare al meglio le tue esigenze specifiche. Puoi scegliere il tipo di storage in base all'accesso ai dati, alla resilienza e ai requisiti di costo dei tuoi dati di backup o archiviazione. Ad esempio, puoi archiviare dati che non prevedi di utilizzare per 30 giorni o più in Amazon S3 Infrequent Access (IA) a un costo inferiore. Se hai intenzione di archiviare i dati per 90 giorni o più, puoi utilizzare Amazon Simple Storage Service Glacier (Amazon S3 Glacier) Flexible Retrieval o S3 Glacier Deep Archive con il livello di archiviazione di Veeam. Puoi anche usare S3 Object Lock per rendere i backup immutabili all'interno di Amazon S3.
Questo modello non illustra come configurare Veeam Backup & Replication con un gateway a nastro in AWS Storage Gateway. Per informazioni su questo argomento, consulta Veeam Backup & Replication using AWS VTL Gateway - Deployment Guide sul sito Web Veeam
Avvertenza: questo scenario richiede agli utenti IAM un accesso programmatico e credenziali a lungo termine, che presentano un rischio per la sicurezza. Per contribuire a mitigare questo rischio, ti consigliamo di fornire a questi utenti solo le autorizzazioni necessarie per eseguire l'attività e di rimuoverli quando non sono più necessari. Le chiavi di accesso possono essere aggiornate se necessario. Per ulteriori informazioni, consulta Aggiornamento delle chiavi di accesso nella Guida per l'utente IAM. |
Prerequisiti e limitazioni
Prerequisiti
Licenza Veeam Backup & Replication con funzionalità Enterprise o Enterprise Plus, che include la Veeam Universal License (VUL)
Un utente AWS Identity and Access Management (IAM) attivo con accesso a un bucket Amazon S3
Un utente IAM attivo con accesso ad Amazon Elastic Compute Cloud (Amazon EC2) e Amazon Virtual Private Cloud (Amazon VPC) (se si utilizza il livello di archiviazione)
Connettività di rete dall'ambiente locale ai servizi AWS con larghezza di banda disponibile per il backup e il ripristino del traffico tramite una connessione Internet pubblica o un'interfaccia virtuale pubblica (VIF) AWS Direct Connect
Sono state aperte le seguenti porte ed endpoint di rete per garantire una comunicazione corretta con i repository di storage di oggetti:
Storage Amazon S3 — TCP — porta 443: utilizzata per comunicare con lo storage Amazon S3.
Storage Amazon S3 — endpoint cloud — *.amazonaws.com per le regioni AWS e le regioni AWS (Stati Uniti), o*.amazonaws.com.rproxy.goskope.com.cn per le regioni cinesi: utilizzato per comunicare con lo storage Amazon S3. GovCloud Per un elenco completo degli endpoint di connessione, consulta gli endpoint Amazon S3 nella documentazione AWS.
Storage Amazon S3 — TCP HTTP — porta 80: utilizzata per verificare lo stato del certificato. Tieni presente che gli endpoint di verifica dei certificati, gli URL della lista di revoca dei certificati (CRL) e i server OCSP (Online Certificate Status Protocol), sono soggetti a modifiche. L'elenco effettivo degli indirizzi si trova nel certificato stesso.
Storage Amazon S3 — endpoint di verifica del certificato — *.amazontrust.com: utilizzato per verificare lo stato del certificato. Tieni presente che gli endpoint di verifica dei certificati (URL CRL e server OCSP) sono soggetti a modifiche. L'elenco effettivo degli indirizzi si trova nel certificato stesso.
Limitazioni
Veeam non supporta le policy S3 Lifecycle su nessun bucket S3 utilizzato come repository di storage di oggetti Veeam. Queste includono policy con transizioni di classi di storage Amazon S3 e regole di scadenza del ciclo di vita di Amazon S3. Veeam deve essere l'unica entità che gestisce questi oggetti. L'attivazione delle policy del ciclo di vita di S3 potrebbe avere risultati imprevisti, inclusa la perdita di dati.
Versioni del prodotto
Veeam Backup & Replication v9.5 Update 4 o successivo (solo backup o livello di capacità)
Veeam Backup & Replication v10 o successivo (backup o livello di capacità e S3 Object Lock)
Veeam Backup & Replication v11 o successivo (livello di backup o capacità, livello di archiviazione o archiviazione e S3 Object Lock)
Veeam Backup & Replication v12 o successivo (livello di prestazioni, livello di backup o capacità, livello di archiviazione o livello di archiviazione e S3 Object Lock)
S3 Standard
S3 Standard-IA
S3 One Zone-IA
S3 Glacier Flexible Retrieval (solo v11 e versioni successive)
S3 Glacier Deep Archive (solo v11 e successive)
S3 Glacier Instant Retrieval (solo v12 e successive)
Architettura
Stack tecnologico di origine
Installazione locale di Veeam Backup & Replication con connettività da un server di backup Veeam o da un server gateway Veeam ad Amazon S3
Stack tecnologico Target
Amazon S3
Amazon VPC e Amazon EC2 (se si utilizza il livello di archiviazione)
Architettura di destinazione: SOBR
Il diagramma seguente mostra l'architettura Scale-out Backup Repository (SOBR).
Il software Veeam Backup and Replication protegge i dati da errori logici come guasti del sistema, errori delle applicazioni o cancellazioni accidentali. In questo diagramma, i backup vengono eseguiti prima in locale e una copia secondaria viene inviata direttamente ad Amazon S3. Un backup rappresenta una point-in-time copia dei dati.
Il flusso di lavoro è composto da tre componenti principali necessari per la suddivisione in più livelli o la copia dei backup su Amazon S3 e un componente opzionale:
Veeam Backup & Replication (1) — Il server di backup responsabile del coordinamento, del controllo e della gestione dell'infrastruttura di backup, delle impostazioni, dei job, delle attività di ripristino e di altri processi.
Server gateway Veeam (non mostrato nel diagramma): un server gateway locale opzionale necessario se il server di backup Veeam non dispone di connettività in uscita ad Amazon S3.
Repository di backup scalabile (2): sistema di repository con supporto per la scalabilità orizzontale per lo storage dei dati a più livelli. L'archivio di backup con scalabilità orizzontale è costituito da uno o più repository di backup che forniscono un accesso rapido ai dati e può essere ampliato con i repository di storage di oggetti Amazon S3 per lo storage a lungo termine (livello di capacità) e l'archiviazione (livello di archiviazione). Veeam utilizza il repository di backup scalabile per suddividere automaticamente i dati tra lo storage di oggetti locale (livello di prestazioni) e lo storage di oggetti Amazon S3 (livelli di capacità e archiviazione).
Amazon S3 (3): servizio di storage di oggetti AWS che offre scalabilità, disponibilità dei dati, sicurezza e prestazioni.
Architettura di destinazione: DTO
Il diagramma seguente mostra l'architettura direct-to-object (DTO).
In questo diagramma, i dati di backup vengono trasferiti direttamente ad Amazon S3 senza essere prima archiviati in locale. Le copie secondarie possono essere archiviate in S3 Glacier.
Automazione e scalabilità
Puoi automatizzare la creazione di risorse IAM e bucket S3 utilizzando i CloudFormation modelli AWS forniti nel repository. VeeamHub GitHub
Strumenti
Strumenti e servizi AWS
Veeam Backup & Replication
è una soluzione di Veeam per la protezione, il backup, la replica e il ripristino dei carichi di lavoro virtuali e fisici. AWS ti CloudFormation aiuta a modellare e configurare le tue risorse AWS, effettuarne il provisioning in modo rapido e coerente e gestirle per tutto il loro ciclo di vita. Puoi utilizzare un modello per descrivere le tue risorse e le loro dipendenze e lanciarle e configurarle insieme come uno stack, invece di gestire le risorse singolarmente. Puoi gestire e fornire stack su più account AWS e regioni AWS.
Amazon Elastic Compute Cloud (Amazon EC2) Elastic Compute Cloud (Amazon EC2) fornisce capacità di calcolo scalabile nel cloud AWS. Puoi usare Amazon EC2 per lanciare tutti o pochi server virtuali di cui hai bisogno e puoi scalare orizzontalmente o orizzontalmente.
AWS Identity and Access Management (IAM) è un servizio Web per controllare in modo sicuro l'accesso ai servizi AWS. Con IAM, puoi gestire centralmente gli utenti, le credenziali di sicurezza come le chiavi di accesso e le autorizzazioni che controllano a quali risorse AWS possono accedere utenti e applicazioni.
Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) è un servizio di storage di oggetti. È possibile utilizzare Amazon S3 per memorizzare e recuperare qualsiasi volume di dati, in qualunque momento e da qualunque luogo tramite il Web.
Amazon S3 Glacier (S3 Glacier) è un servizio sicuro e durevole per l'archiviazione dei dati a basso costo e il backup a lungo termine.
Amazon Virtual Private Cloud (Amazon VPC) fornisce una sezione logicamente isolata del cloud AWS in cui puoi avviare le risorse AWS in una rete virtuale che hai definito. Questa rete virtuale è simile a una comune rete da gestire all'interno del proprio data center, ma con i vantaggi dell'infrastruttura scalabile di AWS.
Codice
Utilizza i CloudFormation modelli forniti nel VeeamHub GitHub repository
Best practice
In conformità con le best practice IAM, ti consigliamo vivamente di ruotare regolarmente le credenziali utente IAM a lungo termine, come l'utente IAM che utilizzi per scrivere i backup di Veeam Backup & Replication su Amazon S3. Per ulteriori informazioni, consulta Best practice di sicurezza nella documentazione di IAM.
Epiche
Attività | Descrizione | Competenze richieste |
---|---|---|
Crea un utente IAM. | Segui le istruzioni nella documentazione IAM per creare un utente IAM. Questo utente non dovrebbe avere accesso alla console AWS e dovrai creare una chiave di accesso per questo utente. Veeam utilizza questa entità per autenticarsi con AWS per leggere e scrivere nei bucket S3. È necessario concedere il privilegio minimo (ovvero concedere solo le autorizzazioni necessarie per eseguire un'attività) in modo che l'utente non abbia più autorità di quella necessaria. Ad esempio, le policy IAM da collegare al tuo utente Veeam IAM, consulta la sezione Informazioni aggiuntive. Nota In alternativa, puoi utilizzare i CloudFormation modelli forniti nel VeeamHub GitHub repository | Amministratore AWS |
Crea un bucket S3. |
Per ulteriori informazioni, consulta Creazione di un bucket nella documentazione di Amazon S3. | Amministratore AWS |
Attività | Descrizione | Competenze richieste |
---|---|---|
Avvia la procedura guidata New Object Repository. | Prima di configurare lo storage di oggetti e gli archivi di backup con scalabilità orizzontale in Veeam, è necessario aggiungere i repository di storage Amazon S3 e Amazon S3 Glacier che si desidera utilizzare per i livelli di capacità e archiviazione. Nella prossima epopea, collegherai questi repository di storage al tuo repository di backup scalabile.
| Amministratore AWS, proprietario dell'app |
Aggiungi lo storage Amazon S3 per il livello di capacità. |
| Amministratore AWS, proprietario dell'app |
Aggiungi lo storage S3 Glacier per il livello di archiviazione. |
| Amministratore AWS, proprietario dell'app |
Attività | Descrizione | Competenze richieste |
---|---|---|
Avvia la procedura guidata New Scale-Out Backup Repository. |
| Proprietario dell'app, amministratore di sistema AWS |
Aggiungi un repository di backup con scalabilità orizzontale e configura i livelli di capacità e archiviazione. |
| Proprietario dell'app, amministratore di sistema AWS |
Risorse correlate
Creazione di un utente IAM nel tuo account AWS (documentazione IAM)
Creazione di un bucket (documentazione Amazon S3)
Blocco dell'accesso pubblico allo storage Amazon S3 (documentazione Amazon S3)
Utilizzo di S3 Object Lock (documentazione Amazon S3)
Come creare una policy IAM sicura per la connessione a S3 Object Storage
(documentazione Veeam)
Informazioni aggiuntive
Le seguenti sezioni forniscono esempi di policy IAM che è possibile utilizzare quando si crea un utente IAM nella sezione Epics di questo modello.
Policy IAM per il livello di capacità
Nota Cambia il nome dei bucket S3 nella policy di esempio dal <yourbucketname>
nome del bucket S3 che desideri utilizzare per i backup a livello di capacità di Veeam.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:GetObjectVersion", "s3:ListBucketVersions", "s3:ListBucket", "s3:PutObjectLegalHold", "s3:GetBucketVersioning", "s3:GetObjectLegalHold", "s3:GetBucketObjectLockConfiguration", "s3:PutObject*", "s3:GetObject*", "s3:GetEncryptionConfiguration", "s3:PutObjectRetention", "s3:PutBucketObjectLockConfiguration", "s3:DeleteObject*", "s3:DeleteObjectVersion", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::/*", "arn:aws:s3:::" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket" ], "Resource": "*" } ] }
Policy IAM per il livello di archiviazione
Nota Cambia il nome dei bucket S3 nella policy di esempio dal <yourbucketname>
nome del bucket S3 che desideri utilizzare per i backup a livello di archiviazione Veeam.
Per utilizzare il VPC, la sottorete e i gruppi di sicurezza esistenti:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:DeleteObject", "s3:PutObject", "s3:GetObject", "s3:RestoreObject", "s3:ListBucket", "s3:AbortMultipartUpload", "s3:GetBucketVersioning", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketObjectLockConfiguration", "s3:PutObjectRetention", "s3:GetObjectVersion", "s3:PutObjectLegalHold", "s3:GetObjectRetention", "s3:DeleteObjectVersion", "s3:ListBucketVersions", "ec2:DescribeInstances", "ec2:CreateKeyPair", "ec2:DescribeKeyPairs", "ec2:RunInstances", "ec2:DeleteKeyPair", "ec2:DescribeVpcAttribute", "ec2:CreateTags", "ec2:DescribeSubnets", "ec2:TerminateInstances", "ec2:DescribeSecurityGroups", "ec2:DescribeImages", "ec2:DescribeVpcs" ], "Resource": "*" } ] }
Per creare nuovi VPC, sottorete e gruppi di sicurezza:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:DeleteObject", "s3:PutObject", "s3:GetObject", "s3:RestoreObject", "s3:ListBucket", "s3:AbortMultipartUpload", "s3:GetBucketVersioning", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketObjectLockConfiguration", "s3:PutObjectRetention", "s3:GetObjectVersion", "s3:PutObjectLegalHold", "s3:GetObjectRetention", "s3:DeleteObjectVersion", "s3:ListBucketVersions", "ec2:DescribeInstances", "ec2:CreateKeyPair", "ec2:DescribeKeyPairs", "ec2:RunInstances", "ec2:DeleteKeyPair", "ec2:DescribeVpcAttribute", "ec2:CreateTags", "ec2:DescribeSubnets", "ec2:TerminateInstances", "ec2:DescribeSecurityGroups", "ec2:DescribeImages", "ec2:DescribeVpcs", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones", "ec2:CreateRoute", "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:ModifyVpcAttribute", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:DescribeRouteTables", "ec2:DescribeInstanceTypes" ], "Resource": "*" } ] }