As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Faça backup e arquive dados no Amazon S3 com o Veeam Backup & Replication
Criado por Jeanna James, Anthony Fiore (AWS) e William Quigley
Ambiente: produção | Tecnologias: Armazenamento e backup | Serviços da AWS: Amazon EC2; Amazon S3; Amazon S3 Glacier |
Resumo
Esse padrão detalha o processo de envio de backups criados pelo Veeam Backup & Replication para classes de armazenamento de objetos compatíveis do Amazon Simple Storage Service (Amazon S3) usando o recurso de repositório de backup escalável da Veeam.
A Veeam suporta várias classes de armazenamento Amazon S3 para melhor atender às suas necessidades específicas. Você pode escolher o tipo de armazenamento com base nos requisitos de acesso aos dados, resiliência e custo de seus dados de backup ou arquivamento. Por exemplo, você pode armazenar dados que não planeja usar por 30 dias ou mais no acesso infrequente (IA) do Amazon S3 por um custo menor. Se você planeja arquivar dados por 90 dias ou mais, você pode usar o Amazon Simple Storage Service Glacier (Amazon S3 Glacier) Flexible Retrieval ou o S3 Glacier Deep Archive com o nível de arquivamento da Veeam. Você também pode usar o Bloqueio de Objetos S3 para tornar os backups imutáveis no Amazon S3.
Esse padrão não abrange como configurar o Veeam Backup & Replication com um gateway de fitas no AWS Storage Gateway. Para obter informações sobre esse tópico, consulte Veeam Backup & Replication usando o AWS VTL Gateway – Guia de implantação
Aviso: esse cenário exige que os usuários do IAM tenham acesso programático e credenciais de longo prazo, o que representa um risco de segurança. Para ajudar a reduzir esse risco, recomendamos que você forneça a esses usuários somente as permissões necessárias para realizar a tarefa e que você os remova quando não forem mais necessários. As chaves de acesso podem ser atualizadas, se necessário. Para obter mais informações, consulte Atualização de chaves de acesso no Guia de usuário do IAM. |
Pré-requisitos e limitações
Pré-requisitos
Veeam Backup & Replication, incluindo o Veeam Availability Suite ou o Veeam Backup Essentials, instalado (você pode se inscrever para um teste gratuito
) Licença do Veeam Backup & Replication com funcionalidade Enterprise ou Enterprise Plus, que inclui a Licença Universal da Veeam (VUL - Veeam Universal License)
Um usuário ativo do AWS Identity and Access Management (IAM) com acesso a um bucket do Amazon S3
Um usuário do IAM ativo com acesso à Amazon Elastic Compute Cloud (Amazon EC2) e Amazon Virtual Private Cloud (Amazon VPC) (se estiver usando o nível de arquivamento)
Conectividade de rede on-premises aos serviços da AWS com largura de banda disponível para backup e restauração de tráfego por meio de uma conexão pública à Internet ou de uma interface virtual pública (VIF) do AWS Direct Connect
As seguintes portas de rede e endpoints foram abertos para garantir a comunicação adequada com os repositórios de armazenamento de objetos:
Armazenamento do Amazon S3 – TCP – porta 443: usada para se comunicar com o armazenamento do Amazon S3.
Armazenamento Amazon S3 — endpoints na nuvem — *.amazonaws.com para regiões da AWS e regiões da GovCloud AWS (EUA), ou *.amazonaws.com.rproxy.goskope.com.cn para regiões da China: usado para se comunicar com o armazenamento do Amazon S3. Para obter uma lista completa dos endpoints de conexão, consulte Endpoints do Amazon S3 na documentação da AWS.
Armazenamento Amazon S3 – TCP HTTP – porta 80: usada para verificar o status do certificado. Considere que endpoints de verificação de certificados – URLs de lista de revogação de certificados (CRL - certificate revocation list) e servidores de protocolo de status de certificado on-line (OCSP - Online Certificate Status Protocol) – estão sujeitos a alterações. A lista real de endereços pode ser encontrada no próprio certificado.
Armazenamento Amazon S3 – endpoints de verificação de certificados – *.amazontrust.com: usado para verificar o status do certificado. Considere que os endpoints de verificação de certificados (URLs de CRL e servidores OCSP) estão sujeitos a alterações. A lista real de endereços pode ser encontrada no próprio certificado.
Limitações
A Veeam não suporta políticas de ciclo de vida do S3 em nenhum bucket do S3 usado como repositório de armazenamento de objetos da Veeam. Isso inclui políticas com transições de classe de armazenamento do Amazon S3 e regras de expiração do ciclo de vida do S3. A Veeam deve ser a única entidade que gerencia esses objetos. A ativação das políticas de ciclo de vida do S3 pode ter resultados inesperados, incluindo perda de dados.
Versões do produto
Veeam Backup & Replication v9.5, atualização 4 ou superior (somente backup ou nível de capacidade)
Veeam Backup & Replication v10 ou superior (nível de backup ou capacidade e Bloqueio de Objetos S3)
Veeam Backup & Replication v11 ou superior (nível de backup ou capacidade, nível de arquivamento ou arquivamento e Bloqueio de Objetos S3)
Veeam Backup & Replication v12 ou superior (nível de desempenho, nível de backup ou capacidade, nível de arquivamento ou arquivamento e Bloqueio de Objetos S3)
S3 Standard
S3 Standard – IA
S3 One Zone-IA
S3 Glacier Flexible Retrieval (somente v11 e versões posteriores)
S3 Glacier Deep Archive (somente v11 e versões posteriores)
S3 Glacier Instant Retrieval (somente v12 e versões posteriores)
Arquitetura
Pilha de tecnologia de origem
Instalação on-premises do Veeam Backup & Replication com conectividade de um servidor de backup da Veeam ou de um servidor gateway da Veeam com o Amazon S3
Pilha de tecnologias de destino
Amazon S3
Amazon VPC e Amazon EC2 (se estiver usando o nível de arquivamento)
Arquitetura de destino: SOBR
O diagrama a seguir mostra a arquitetura do repositório de backup escalável (SOBR - scale-out backup repository).
O software Veeam Backup and Replication protege os dados contra erros lógicos, como falhas do sistema, erros de aplicativos ou exclusões acidentais. Neste diagrama, os backups são executados primeiro on-premises e uma cópia secundária é enviada diretamente para o Amazon S3. Um backup representa uma point-in-time cópia dos dados.
O fluxo de trabalho consiste em três componentes principais que são necessários para hierarquizar ou copiar backups para o Amazon S3 e um componente opcional:
Veeam Backup & Replication (1) – O servidor de backup responsável por coordenar, controlar e gerenciar a infraestrutura de backup, configurações, tarefas, tarefas de recuperação e outros processos.
Servidor gateway Veeam (não mostrado no diagrama) – Um servidor gateway on-premises opcional que é necessário se o servidor de backup da Veeam não tiver conectividade de saída com o Amazon S3.
Repositório de backup de aumento de escala horizontalmente (2) – Sistema de repositório com suporte de escalabilidade horizontal para armazenamento de dados em várias camadas. O repositório de backup de aumento de escala horizontalmente consiste em um ou mais repositórios de backup que fornecem acesso rápido aos dados e podem ser expandidos com os repositórios de armazenamento de objetos do Amazon S3 para armazenamento de longo prazo (nível de capacidade) e arquivamento (nível de arquivamento). A Veeam usa o repositório de backup de aumento de escala horizontalmente para hierarquizar dados automaticamente entre armazenamento local (nível de desempenho) e armazenamento de objetos Amazon S3 (níveis de capacidade e arquivamento).
O Amazon S3 (3) é um serviço de armazenamento de objetos que oferece escalabilidade, disponibilidade de dados, segurança e desempenho.
Arquitetura de destino: DTO
O diagrama a seguir mostra a arquitetura direct-to-object (DTO).
Neste diagrama, os dados de backup vão diretamente para o Amazon S3 sem serem armazenados primeiro on-premises. Cópias secundárias podem ser armazenadas no S3 Glacier.
Automação e escala
Você pode automatizar a criação de recursos do IAM e buckets do S3 usando os CloudFormation modelos da AWS fornecidos no repositório. VeeamHub GitHub
Ferramentas
Ferramentas e serviços da AWS
O Veeam Backup & Replication
é uma solução da Veeam para proteger, fazer backup, replicar e restaurar seus workloads físicas e virtuais. CloudFormationA AWS ajuda você a modelar e configurar seus recursos da AWS, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida. Você pode usar um modelo para descrever seus recursos e as dependências deles, além de inicializá-los e configurá-los juntos como uma pilha, em vez de gerenciar recursos individualmente. Você pode gerenciar e provisionar pilhas em várias contas e regiões da AWS.
O Amazon Elastic Compute Cloud (Amazon EC2) oferece capacidade computacional escalável na Nuvem AWS. Você pode usar o Amazon EC2 para iniciar quantos servidores virtuais forem necessários, podendo também aumentar ou diminuir o número de servidores.
AWS Identity and Access Management (IAM) é um serviço web que ajuda você a controlar, com segurança, o acesso a serviços da AWS. Com o IAM, você pode gerenciar de maneira centralizada usuários, credenciais de segurança, como chaves de acesso e permissões que controlam quais recursos e aplicativos da AWS os usuários e aplicativos podem acessar.
O Amazon Simple Storage Service (Amazon S3) é um serviço de armazenamento de objeto. Você pode utilizar o Amazon S3 para armazenar e recuperar qualquer volume de dados, a qualquer momento, de qualquer lugar na web.
O Amazon S3 Glacier (S3 Glacier) é um serviço seguro e durável para arquivamento de dados de baixo custo e backup de longo prazo.
A Amazon Virtual Private Cloud (Amazon VPC) permite provisionar uma seção logicamente isolada da Nuvem AWS, em que é possível executar recursos da AWS em uma rede virtual que você mesmo define. Essa rede virtual se assemelha a uma rede tradicional que você operaria no seu datacenter, com os benefícios de usar a infraestrutura dimensionável da AWS.
Código
Use os CloudFormation modelos fornecidos no VeeamHub GitHub repositório
Práticas recomendadas
De acordo com as melhores práticas do IAM, é altamente recomendável que você alterne regularmente as credenciais de usuário do IAM de longo prazo, como o usuário do IAM que você usa para gravar backups do Veeam Backup & Replication no Amazon S3. Para obter mais informações, consulte Práticas recomendadas de segurança na documentação do IAM.
Épicos
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Criar um usuário do IAM. | Siga as instruções na documentação do IAM para criar um usuário do IAM. Esse usuário não deve ter acesso ao console da AWS e você precisará criar uma chave de acesso para esse usuário. A Veeam usa essa entidade para se autenticar na AWS para ler e gravar em seus buckets S3. Você deve conceder o privilégio mínimo (ou seja, conceder somente as permissões necessárias para realizar uma tarefa) para que o usuário não tenha mais autoridade do que precisa. Por exemplo, políticas do IAM para anexar ao seu usuário do IAM Veeam, consulte a seção Informações adicionais. Observação Como alternativa, você pode usar os CloudFormation modelos fornecidos no VeeamHub GitHub repositório | Administrador da AWS |
Criar um bucket do S3. |
Para obter mais informações, consulte Criar um bucket na documentação do Amazon S3. | Administrador da AWS |
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Inicie o assistente para Novo repositório de objetos. | Antes de configurar o armazenamento de objetos e os repositórios de backup de aumento da escala horizontalmente na Veeam, você deve adicionar os repositórios de armazenamento Amazon S3 e Amazon S3 Glacier que você deseja usar para os níveis de capacidade e arquivamento. No próximo épico, você conectará esses repositórios de armazenamento ao seu repositório de backup de aumento da escala horizontalmente.
| Administrador da AWS, proprietário do aplicativo |
Adicionar armazenamento do Amazon S3 para o nível de capacidade. |
| Administrador da AWS, proprietário do aplicativo |
Adicione armazenamento S3 Glacier para o nível de arquivamento. | Se você quiser criar uma camada de arquivamento, use as permissões do IAM detalhadas na seção Informações adicionais.
| Administrador da AWS, proprietário do aplicativo |
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Inicie o assistente do Novo repositório de backup de aumento da escala horizontalmente. |
| Proprietário do aplicativo, administrador de sistemas da AWS |
Adicione um repositório de backup de aumento da escala horizontalmente e configure a capacidade e os níveis de arquivamento. |
| Proprietário do aplicativo, administrador de sistemas da AWS |
Recursos relacionados
Criar um usuário do IAM na sua conta da AWS (documentação do IAM)
Criar um bucket (documentação do Amazon S3)
Bloquear o acesso público ao armazenamento do Amazon S3 (documentação do Amazon S3)
Usando o Bloqueio de Objetos S3 (documentação do Amazon S3)
Como criar uma política do IAM segura para conexão com o armazenamento de objetos do S3
(documentação da Veeam)
Mais informações
As seções a seguir fornecem exemplos de políticas do IAM que você pode usar ao criar um usuário do IAM na seção Épicos desse padrão.
Política do IAM para nível de capacidade
Observação Altere o nome dos buckets S3 no exemplo de política de <yourbucketname>
para o nome do bucket S3 que você deseja usar para backups de nível de capacidade da Veeam.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:GetObjectVersion", "s3:ListBucketVersions", "s3:ListBucket", "s3:PutObjectLegalHold", "s3:GetBucketVersioning", "s3:GetObjectLegalHold", "s3:GetBucketObjectLockConfiguration", "s3:PutObject*", "s3:GetObject*", "s3:GetEncryptionConfiguration", "s3:PutObjectRetention", "s3:PutBucketObjectLockConfiguration", "s3:DeleteObject*", "s3:DeleteObjectVersion", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::/*", "arn:aws:s3:::" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket" ], "Resource": "*" } ] }
Política do IAM para o nível de arquivamento
Observação Altere o nome dos buckets S3 no exemplo de política de <yourbucketname>
para o nome do bucket S3 que você deseja usar para backups da camada de arquivamento da Veeam.
Para usar sua VPC, sub-rede e grupos de segurança existentes:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:DeleteObject", "s3:PutObject", "s3:GetObject", "s3:RestoreObject", "s3:ListBucket", "s3:AbortMultipartUpload", "s3:GetBucketVersioning", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketObjectLockConfiguration", "s3:PutObjectRetention", "s3:GetObjectVersion", "s3:PutObjectLegalHold", "s3:GetObjectRetention", "s3:DeleteObjectVersion", "s3:ListBucketVersions", "ec2:DescribeInstances", "ec2:CreateKeyPair", "ec2:DescribeKeyPairs", "ec2:RunInstances", "ec2:DeleteKeyPair", "ec2:DescribeVpcAttribute", "ec2:CreateTags", "ec2:DescribeSubnets", "ec2:TerminateInstances", "ec2:DescribeSecurityGroups", "ec2:DescribeImages", "ec2:DescribeVpcs" ], "Resource": "*" } ] }
Para criar novos VPC, sub-rede e grupos de segurança:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:DeleteObject", "s3:PutObject", "s3:GetObject", "s3:RestoreObject", "s3:ListBucket", "s3:AbortMultipartUpload", "s3:GetBucketVersioning", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketObjectLockConfiguration", "s3:PutObjectRetention", "s3:GetObjectVersion", "s3:PutObjectLegalHold", "s3:GetObjectRetention", "s3:DeleteObjectVersion", "s3:ListBucketVersions", "ec2:DescribeInstances", "ec2:CreateKeyPair", "ec2:DescribeKeyPairs", "ec2:RunInstances", "ec2:DeleteKeyPair", "ec2:DescribeVpcAttribute", "ec2:CreateTags", "ec2:DescribeSubnets", "ec2:TerminateInstances", "ec2:DescribeSecurityGroups", "ec2:DescribeImages", "ec2:DescribeVpcs", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones", "ec2:CreateRoute", "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:ModifyVpcAttribute", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:DescribeRouteTables", "ec2:DescribeInstanceTypes" ], "Resource": "*" } ] }