none
Veem backup kde nainstalovat ? RRS feed

  • Dotaz

  • Chci se zeptat jestli je možné naistalovat Veem přímo na hypervisor HyperV server který běží na Win server 2016 Datacenter. Nebo raději do samostatného VM běžícím na tom hypervisoru ? Jaká jsou pro a proti.
    úterý 5. února 2019 11:23

Odpovědi

  • Jednoznačná odpověď neexistuje :)

    Instalace na fyz.hypervizor je možná a volí se u kolenvrtských firem, které spoří, kde nemají a mají jediný server. V této variantě je nutné si uvědomit, že na hypervizoru běží SQL, nějaké služby navíc, spotřebovává se paměť, která není nijak ohraničená...  pokud je Hypervizor členem domény, je členem domény i Veeam zálohování, což nemusí být z pohledu bezpečnosti žádoucí.

    Instalace ve VM spotřebuje licenci pro OS, o který se musí někdo starat, ale zase nemusí být členem domény... Například v clusteru je to rozhodně jasná volba = pád jednoho hyperv node s veeamem nezničí zálohování

    Instalace na samostatný fyz.stroj je také řešení = stojí peníze za další HW a OS, ale například může být v jiné lokalitě, než vlastní hypervizor...

    A takto by se dalo pokračovat pohledem z různých úhlů.

    Já bych Veaam na hypervizor nedával, pokud je k dispozici dost licencí (mám datacenter) a dost paměti (chybí informace).



    středa 6. února 2019 7:45
  • Pak zmíněné řešení laciného muže: vzhledem k licenci datacentru udělat další VM, NASku standardně přes CIFS. Nezadělávat fyz.hypervizor dalšími službami a SQLkem. Připojení NAS přes jiný protokol (iSCSI například) nepřináší žádné markatní výhody.

    Zkušenosti ukazují, že z bezpečnostního pohledu je lepší NAS a Veeam nedávat do domény. NAS má lokální účet jiný od jakýchkoliv ostatních. Veeam má zapamatované jméno/heslo z domény ve své DB.

    K tomu na NAS (pokud to umí) použít BTRFS a snapshotování - pokud je diskový prostor dosatečný.

    Bohužel jsme zažili i útok u zákazníka, který cílil i na Veeam (byl v doméně). Výsledkem byly i smazané zálohy, vše ostatní zakryptováno. NASka smazána prostředky Veeamu, nikoliv přihlášením do NAS.

    prostě svět se mění :(

    • Označen jako odpověď z.hrncarek středa 6. února 2019 11:26
    středa 6. února 2019 11:03

Všechny reakce

  • Tohle bude spíš dotaz na podporu Veeam. A Veeam není produktem Microsoftu, takže tady asi moc nepomůžeme.
    úterý 5. února 2019 19:30
  • Technicky nevím (a nechce se mi to hledat), ale z logiky věci bych vždy volil samostatný fyzický zálohovací server.

    BB

    středa 6. února 2019 7:10
  • Jednoznačná odpověď neexistuje :)

    Instalace na fyz.hypervizor je možná a volí se u kolenvrtských firem, které spoří, kde nemají a mají jediný server. V této variantě je nutné si uvědomit, že na hypervizoru běží SQL, nějaké služby navíc, spotřebovává se paměť, která není nijak ohraničená...  pokud je Hypervizor členem domény, je členem domény i Veeam zálohování, což nemusí být z pohledu bezpečnosti žádoucí.

    Instalace ve VM spotřebuje licenci pro OS, o který se musí někdo starat, ale zase nemusí být členem domény... Například v clusteru je to rozhodně jasná volba = pád jednoho hyperv node s veeamem nezničí zálohování

    Instalace na samostatný fyz.stroj je také řešení = stojí peníze za další HW a OS, ale například může být v jiné lokalitě, než vlastní hypervizor...

    A takto by se dalo pokračovat pohledem z různých úhlů.

    Já bych Veaam na hypervizor nedával, pokud je k dispozici dost licencí (mám datacenter) a dost paměti (chybí informace).



    středa 6. února 2019 7:45
  • Mi právě instalace na produkční server (ať už na hypervisor nebo do virtuálu) nepřipadá jako finančně optimální řešení. Takový server má většinou rychlé a tedy drahé disky a plýtvat jejich kapacitou na zálohování . . .

    BB

    středa 6. února 2019 7:49
  • jak říkám: pohledů na věc je mnoho, žádný není "jediná pravda".

    Mám-li malou firmu s jedním hypervisorem a několika VM, pak mám jen 2 možnosti: fyz. hypervisor nebo VM na něm.

    je to jako většina moderních rodiných domů: vetšina jich nemá sklep (protože je to drahé) a pak uživatelé odkládají věci do garáže, která měla být původně pro auto,  které se tam nakonec nevejde a tak stojí venku. Ale vysvětlete to stavebníkovi, když začne stavět, že má raději zaplatit něco navíc, že se to vyplatí :)

    V případě IT = kupte si ještě jeden server navíc.... :)


    středa 6. února 2019 7:59
  • JJ, já vím, jsem zoufale nemoderní a snažím se věci dělat pořádně. :o)

    BB

    středa 6. února 2019 8:01
  • Jak jsem uvedl výše mam Win Server 2016 datacenter edici. V HyperV beží zatím 3 VM DC,FS,IIS. Zálohy bych chtěl ukládat na Synology NAS. Takže otázka zní, jestli udělat další VM kde poběží Veem a jak nejlépe do toho zapojit ten NAS.
    středa 6. února 2019 8:59
  • A to je jeden server? Žádný cluster?

    BB

    středa 6. února 2019 9:12
  • Ano jeden fyzický server HP ProLiant DL380 Gen10, 64GB RAM, 5TB HDD.

    • Upravený z.hrncarek středa 6. února 2019 9:19
    středa 6. února 2019 9:13
  • Pak zmíněné řešení laciného muže: vzhledem k licenci datacentru udělat další VM, NASku standardně přes CIFS. Nezadělávat fyz.hypervizor dalšími službami a SQLkem. Připojení NAS přes jiný protokol (iSCSI například) nepřináší žádné markatní výhody.

    Zkušenosti ukazují, že z bezpečnostního pohledu je lepší NAS a Veeam nedávat do domény. NAS má lokální účet jiný od jakýchkoliv ostatních. Veeam má zapamatované jméno/heslo z domény ve své DB.

    K tomu na NAS (pokud to umí) použít BTRFS a snapshotování - pokud je diskový prostor dosatečný.

    Bohužel jsme zažili i útok u zákazníka, který cílil i na Veeam (byl v doméně). Výsledkem byly i smazané zálohy, vše ostatní zakryptováno. NASka smazána prostředky Veeamu, nikoliv přihlášením do NAS.

    prostě svět se mění :(

    • Označen jako odpověď z.hrncarek středa 6. února 2019 11:26
    středa 6. února 2019 11:03
  • Zajímavý příběh. A plyne z něho ponaučení, že každá zálohy musí být minimálně dvoustupňová, přičemž jeden stupeň musí být offline. Například pásky.

    BB

    středa 6. února 2019 11:25
  • Coz v kolenovrtskem prostredi tezko prosadime :)

    Proto alespon vse, co je mozne za petnik. Napriklad zminene snapshoty v NAS, oddeleni od domeny atp. Vse, co stizi cestu utocnikovi, je OK.

    Bohuzel casto otevira cestu misti IT admin, ktery pro standardni praci pouziva ucet s opravnenim domain admin... nebo jsou lokalni uzivatele spravci svych pecek...vypublikovane RDP serveru ven...

    Ale to se dostavame do uplne jine debaty :)

    středa 6. února 2019 12:15