Proteggere le virtual machine in cloud dovrebbe essere un task mandatorio, anche se in molti continuano a pensare che andare in cloud significa togliersi da alcuni obblighi imposti dal mondo on-premises. Quindi, se è vero che dobbiamo fare il backup di Microsoft 365, o Google Suite, dobbiamo fare il backup anche dei server al di fuori della nostra infrastruttura.
IaaS in Breve
IaaS sta per Infrastructure as a Service, dove il fornitore, Microsoft, ci fornisce un ambiente dove poter mettere le nostre VM, senza doverci preoccupare di quello che succede nello stack sottostante, come server, networking, dischi, etc.
Tutto quello che succede nella parte al di sopra di questo stack, ovvero le VM, sono responsabilità nostra e quindi dobbiamo essere noi a costruire un piano di backup per fare in modo che il dato sia sempre salvato e gestito in base alla nostra politica interna. Perchè se è vero che la Microsoft di turno si deve preoccupare di darci la VM sempre disponibile, è un nostro problema se questa si corrompe perchè un update non è andato a buon fine.
Veeam Backup
Soluzioni di backup ne abbiamo diverse in cloud, ma tra le più affidabili troviamo sicuramente Veeam Backup for Microsoft Azure che porta la sua esperienza la protezione degli ambienti di virtualizzazione. Sicuramente si può obiettare sul fatto che Microsoft Azure offre di default una soluzione di backup delle macchine virtuali, ma l’appliance di Veeam offre una UI più chiara, una gestione del costo e soprattutto più flessibilità nella creazione delle copie di backup.
Un altro aspetto da non sottovalutare, è dato dal licensing. Di base, potete usare Veeam Backup for Microsoft Azure per proteggere 10 macchine virtuali in modo gratuito, ma qualora voleste passare ad usare un piano che prevede il supporto ed un numero maggiore di risorse protette, potete usare tranquillamente le Universal License già acquistate per la vostra infrastruttura on-premises.
Configurazione Servizio
Il primo passo da fare è quello di creare la risorsa, disponibile all’interno del Marketplace.
La creazione dell’appliance non è diversa da una classica VM, quindi non andremo a soffermarci più di troppo. Quello che invece può essere utile sapere è di inserire un set di credenziali valide per la creazione dell’utente Administrator che sarà usato per collegarsi da remoto.
Un altro aspetto da considerare è dove posizionare la VM a livello di networking: non è necessario che vada nella rete di produzione, ma può stare benissimo una Virtual Network usata per le risorse Workgroup (es. la stessa dove avete messo la VM di Veeam Backup for Microsoft 365). E’ invece importante non esporre la VM al mondo, quindi assicuratevi che solo gli i vostri IP Pubblici possano collegarsi sulla porta 443 e 22.
Una volta creata la risorsa, dopo qualche minuto, sarà disponibile all’indirizzo IP tramite il vostro browser.
Partendo da zero, sarà necessario configurare un service account capace di collegarsi alla vostra sottoscrizione Azure ed allo Storage Account; questo account può unico o differenziato.
In caso usiate lo stesso account, verrete avvisati con un messaggio.
Una volta creati gli account di servizio per poter interagire con la vostra sottoscrizione Azure, sarà necessario collegarsi ad uno storage account dove andare a salvare i dati.
Mentre lo storage account ed il container devono già esistere, la cartella può essere creata durante il wizard. Un elemento da tenere in considerazione è la classe, dove potete andare a specificare se il tier scelto è Hot, Cold, Archive o Inferred; questa divisione torna utile se decidete di creare job di backup con retention diverse.
Encryption sì o no? Dipende dalla vostra politica aziendale e da chi ha accesso allo storage account oltre a voi (magari un partner).
Configurazione Job
La configurazione dei job di backup è molto semplice ed è divisa tra Virtual Machine, Azure SQL (Paas), Azure Files – in questo caso vedremo la protezione delle VM.
Chiaramente, il primo step è quello di assegnare un nome al job con un’eventuale descrizione di quello che andremo a proteggere. Questa operazione è utile per dare anche visibilità agli altri componenti del reparto ICT.
Il passaggio successivo consiste nello scegliere la sottoscrizione da proteggere, la Region e le macchine virtuali.
Ci sono due approcci da questo punto di vista: includere tutto oppure scegliere cosa proteggere.
Come avviene per Veeam Backup & Replication, è possibile usare l’Application-Aware per creare delle snapshot, senza impattare sui servizi interni della VM. Altra cosa possibile, è l’esecuzione di script pre-backup, magari per quei software che non supportano il VSS Writer; lo scripting è disponibile per Windows e per Linux, a patto che il file sia presente all’interno della macchina virtuale.
Target e Schedulazione
La sezione target può trarre in inganno ma in verità è critica perchè non attivando questa opzione, non è possibile attivare il piano di backup. Di default Veeam crea delle snapshot sulle varie VM ma non crea dei veri e propri file di backup.
La schedulazione vi aiuta ad impostare ogni quanto eseguire le snapshot ed i backup e quante copie tenere salvate. Qui si va a costruire il vostro plan in modo corretto: i backup giornalieri e settimanali, possono stare in uno storage account di tipo Hot, con un numero magari di 24 snapshot ed almeno una retention backup di 7 giorni.
I backup mensili ed annuali, possono invece stare in uno storage account di tipo Cool o Archive per aiutarvi a contenere i costi. Questa differenziazione la si può fare scegliendo il repository target durante la configurazione delle varie retention.
Cost Estimation
Questo è uno dei più grandi plus delle soluzioni Veeam, ovvero sapere quanto ci sta per costare il plan di backup. Questo report non è disponibile solo per Azure, ma è disponibile anche nella soluzione on-premises quando andiamo a fare il restore di una VM in Azure, così come è disponibile per AWS.
Backup Job Status
All’interno dell’area Policies, ovvero da dove siamo partiti, sarà possibile visualizzare i nostri piani di backup e lo stato di protezione.
In caso di errori, sarà possibile fare drill-down sul messaggio per capire cosa non è andato a buon fine.
Restore
Come si recupera un oggetto? Dalla sezione Protected Data, sarà possibile scegliere la risorsa su cui fare l’operazione e la tipologia (es. File Item); avviando la procedura di restore, verrà innescato un processo che farà il mount della snapshot, o del backup, che vi aiuterà a recuperare quello che vi serve.
Nel caso del File-Level Recovery, verrà fatto un mount all’interno di un storage temporaneo che l’amministratore potrà sfogliare e da cui potrà recuperare gli elementi necessari.
Ad oggi non è possibile ripristinare gli elementi direttamente nella macchina virtuale, ma è necessario scaricarli e sovrascriverli a mano (o farne un duplicato). Questo ci porta a dire che, qualora i file da recuperare siano tanti o grossi, è meglio eseguire questa procedura direttamente sul server di destinazione.
Tips
Prima di far partire il vostro primo job di backup, assicuratevi di aver registrato il Provider Microsoft.ServiceBus, in modo da non avere problemi con il VSS Writer. Questo componente si abilita all’interno delle proprietà della sottoscrizione Azure.
Conclusioni
Veeam Backup for Microsoft Azure è sicuramente una delle soluzioni più complete per proteggere i propri workload in cloud, grazie ad un’interfaccia facile da gestire, che permette di creare delle retention capaci di soddisfare i requisiti aziendali. Sicuramente il prodotto è destinato ad integrare altri servizi, ma questo per ora è più che buono.