- 前言
面對資料可靠性和合規性要求的不斷增長,隻備份一份資料已經不能滿足使用者對于資料可靠性的需求。傳統備份廠商的異地備份方案是将使用者生産環境裡的資料備份至不同機櫃或者異地機房來保護資料,規避單機房存在的機櫃或機房斷電斷網等問題。公共雲的出現改變了整個備份的架構和方案。依托公共雲存儲的高可靠性和高可用性,使用者可以選擇将資料直接備份至公共雲或者将第二級備份放在公共雲上。
使用者在面對公共雲和傳統備份架構時,該如何選擇呢?是繼續保留已有的備份架構和方案,還是使用傳統的備份廠商的軟體上雲,還是直接使用雲廠商的備份歸檔方案上雲,或者是傳統備份軟體與雲廠商的産品結合的方案?本文結合Veeam備份軟體的使用,一方面來闡述傳統備份軟體是如何與阿裡雲雲存儲網關産品結合,将使用者資料備份上雲的,另一方面也試着給出一些想法和建議,用于指導使用者結合自身的情況做選擇。
- 基于雲存儲網關兩種部署方式的Veeam備份歸檔上雲方案
以下是基于雲存儲網關的Veeam備份歸檔上雲方案架構圖。取決于使用者機房的實際情況,如果線下備份資料量不大,且線下已經部署了虛拟化平台,如VMware,Hyper-V,KVM虛拟化伺服器,可以通過雲存儲網關鏡像部署一個雲存儲網關執行個體。如果備份資料量比較大,結合雲上服務的彈性,可以直接開通公共雲雲存儲網關的服務來實作。
基于公共雲上雲存儲網關的Veeam備份上雲架構圖
基于線下部署雲存儲網關的Veeam備份上雲架構圖
無論哪種模式,備份流程分三部分:Veeam将備份資料備份至本地存儲空間;再将曆史備份資料分層存儲到雲存儲網關,也可以将本地備份庫的資料複制一份到雲存儲網關上;存儲網關再将資料同步至阿裡雲OSS中。在雲上,使用者可以設定生命周期(life cycle)政策,來将曆史歸檔資料分層到歸檔OSS中。當資料需要恢複時,近期資料直接從Veeam本地備份庫恢複。如果需要恢複的資料存在雲上OSS上,則通過雲存儲網關的反向同步将歸檔資料傳回給Veeam伺服器用于資料恢複。當然,如果本地備份庫暫時無法通路,使用者也可以直接從雲端直接拉回資料來做恢複。對于備份軟體的恢複流程而言,使用者是可以選擇從本地備份庫還是在雲端備份庫來恢複資料的。
後文,會較長的描述各部分的部署配置,并完成備份資料上雲和模拟資料恢複的過程。
- 雲存儲網關的線下部署
首先,使用者需要登陸阿裡雲控制台,開通雲存儲網關服務(
https://sgwnew.console.aliyun.com)。需要使用者注意一點:使用者業務所在的區域需要跟阿裡雲的服務區盡可能的靠近。比如,在本文中,我們選擇的可用區為‘華東1(杭州)’。
在建立完網關叢集後,使用者就可以在網關叢集内點選‘建立’去建立雲存儲網關了。
建立雲存儲網關頁面
在給網關命名之後,因為我們需要部署檔案網關在本地資料中心,是以選擇‘本地資料中心’-‘雲存儲網關’-‘檔案網關’,再點選下一步。
建立雲存儲網關步驟一:選擇類型
之後,使用者就可以看見針對不同虛拟化平台的線下網關鏡像。使用者可以根據自己的虛拟化平台類型,來選擇合适的鏡像來下載下傳并部署。在建立VMware虛機前,需要注意版本資訊。雲存儲網關線下資料中心版,僅支援在6.0及以上版本的vSphere上部署。另外一點需要特别注意的是,部署網關虛機需要在網頁版的vCenter vSphere Web Client上進行操作。
建立雲存儲網關步驟二:下載下傳鏡像
具體如何在vSphere Web Client部署雲存儲網關,這裡不再贅述。詳細請參見線上文檔:
https://help.aliyun.com/knowledge_detail/54123.html。在部署完成雲存儲網關的虛機之後,通過‘root/Alibaba#sgw#1030’賬号和密碼登入,就可以進入網關的控制台。
網關控制台
選擇語言之後,進入網絡配置界面。
網關網絡配置
輸入靜态IP位址,子網路遮罩和網關。
配置靜态IP位址
配置完網關的IP位址之後,配置網關的DNS資訊。
配置DNS
在配置IP位址和DNS之後,需要進行網絡連通性測試,以确認雲存儲網關和阿裡雲之間的網絡連通性是滿足需求的。
網路連通性測試
在連通性測試通過後,會傳回如下的測試結果。
網絡連通性測試通過
下一步,就是配置存儲網關系統的時間。
配置系統時間
選擇NTP server
使用阿裡雲的NTP服務區:“ntp.aliyun.com”。
配置aliyun NTP server
檢視網關系統資訊
在配置完網關虛拟機的IP位址,DNS和NTP伺服器之後,需要回到阿裡雲控制台。點選“下一步”,控制台會彈出資訊,讓使用者确認網關的IP等資訊的配置都完成了。
确認IP設定
進行網關的激活。在這個激活的頁面,使用者需要提供之前配置的網關IP,并設定網關的使用者名和密碼,用于之後的網關配置和維護。如頁面顯示的那樣,目前浏覽器必須能連接配接到輸入的網關IP,網關IP可以是資料中心的内網IP,該IP位址可以無需公網通路。激活流程将會安全的把網關和阿裡雲賬号進行綁定。
網關激活
點選“完成”之後,會彈出手機驗證的菜單。輸入完手機驗證碼之後,控制台建立網關的工作即完成激活。網關在控制台的狀态為“已激活”。這裡需要注意一點:激活線下網關需要該使用者開通以下2個權限“AliyunHCSSGWFullAccess”和“AliyunOSSFullAccess”。
網關建立成功,待激活
激活成功之後,使用者就可以通過
https://位址>這個URL去通路存儲網關的線下控制台了。 雲存儲網關主界面
進入了網關的主界面,剩餘的配置隻需簡單的3步:緩存設定,雲資源設定和NFS/CIFS目錄設定。與公共雲上的雲存儲網關緩存配置不一樣的是線下雲存儲網關的緩存盤不是來自于ECS的雲盤,而是需要使用者從ESXi伺服器上劃分虛拟磁盤。如下圖中,給存儲網關的虛機添加了一塊512GB的虛拟磁盤。
vCenter中給虛機添加虛拟磁盤
之後,使用者即可傳回存儲網關的控制台,在“緩存設定”中,點選“建立”就能看到上一步建立的512GB的虛拟磁盤了。如果沒有顯示任何磁盤,可以點選“取消”,點選“建立”右邊的“重新整理”按鈕。選擇該磁盤,點選“确認”完成緩存的設定。
添加緩存盤
接下來便是綁定雲資源,即将公共雲OSS bucket與線下雲存儲網關綁定。因為線下機房已經有專線,是以我們選擇的是“華東1(杭州)内網”。之後,選擇預先建立好的bucket “veeam-csg-test”。最後,選擇“使用SSL”來保證備份資料從存儲網關到公共雲OSS的傳輸過程中都是加密的。
雲資源設定
進行最後一步建立NFS/SMB目錄,因為Veeam支援NFS目錄和SMB目錄作為備份庫,我們這裡選擇NFS目錄作為備份庫。需要注意的是在設定雲存儲網關的模式時需要選擇緩存模式;忽略删除選是,因為是備份場景,不希望通過NFS目錄的删除去觸發雲端備份檔案的删除;NFSv4優化選是,通過v4挂載來提升NFS性能。其他的保持預設即可。
NFS目錄配置
建立完成後,即可看到目錄的挂載點,在圖中是‘172.16.0.57:/veeamcsgtest’。需要記錄該位址,因為在後面的Veeam備份庫的用戶端會用到該挂載點位址。
目錄挂載點
- Veeam配置及資料備份
接下來,我們到Veeam這邊的配置。本次內建方案驗證,選擇的是Veeam Backup and Replication Enterprise 10。安裝和配置的過程這裡省略,可以參考Veeam的手冊。
Veeam版本
在Backup Infrastructure裡,可以看到已經有了一個預設的備份庫(Default Backup Repository)。可以點選Add Repository來添加網關目錄。
Veeam Backup Infrastructure
選擇Network attached storage來添加網關的NFS目錄作為備份庫。
Add Backup Repository
選擇NFS share,即由雲存儲網關提供。
Network Attached Storage
輸入新的備份庫的名稱。
新備份庫名稱
輸入之前複制的NFS挂載點路徑。Veeam會去連接配接和挂載該目錄。
新備份庫共享目錄
連接配接完成後,就可以看到雲存儲網關對應的目錄了。可以看到因為設定為緩存模式,容量顯示為256TB。256TB隻是網關呈現給主機端的一個容量參數,實際上,依托于後端公共雲OSS存儲,是可以通過雲存儲網關寫入無限的資料。在下面的流量控制(Load Control)裡,可以看到預設Veeam是設定了最大并發任務為4個,還可以對讀寫速度做限流。這裡我們保持預設配置。
在進階選項(Advanced)中,我們保持預設,不選擇任何選項。
新備份庫位址及配置
在挂載伺服器(Mount Server)頁面,保持預設配置即可,即該Veeam Server作為NFS目錄的挂載伺服器。
新備份庫挂載伺服器
應用以上備份庫的設定。
應用新備份庫配置
完成配置後,即可在備份庫清單中看到新添加的CSG Repo備份庫。
備份庫清單
完成了備份庫的添加,接下來,我們将配置一台Windows伺服器和一台Linux伺服器作為被Veeam備份保護的伺服器。它們分别有一塊1T的資料盤和500G的資料盤需要做檔案備份。
到Inventory頁面,選擇檔案共享(File Shares)之後,選擇添加一個檔案共享(Add File Share)。在Veeam裡,NFS目錄,SMB目錄,或者是Windows還是Linux伺服器,都被歸類為檔案共享。
Veeam Inventory
在New File Server頁面,增加一個台新的Windows伺服器。在輸入使用者名密碼以供Veeam去連接配接該Windows伺服器之後,即完成了添加任務。
增加被保護的Windows伺服器
點選下一步,以完成添加被保護伺服器的任務。
應用添加伺服器的配置
在新的檔案共享界面就可以看到剛才被添加的Windows伺服器了。點選下一步。
新增檔案共享
到處理頁面,預設的緩存備份庫是Veeam伺服器本地的備份庫。然後再備份IO流控配置,保持預設即可。
檔案共享備份處理
添加完成之後,就可以在Veeam-File Servers清單裡看到新添加的Windows伺服器。以相同的方式,添加Linux伺服器即可。
檔案伺服器清單
到Veeam界面的檔案裡,就能看到剛才添加的2台伺服器的本地路徑。Windows伺服器的D盤Archive目錄和Linux伺服器的archive目錄就是這次需要通過Veeam做備份保護的。
檔案清單
接下來,回到首頁,給檔案共享建立備份任務。
給檔案共享建立備份任務
給新的備份任務命名。
備份任務命名
将之前加入的Windows和Linux伺服器需要備份的目錄添加到備份清單中。
添加備份目錄
在備份存儲的頁面,選擇預設的本地備份庫為該備份任務的備份庫。關于各個字段的解釋,可以參見Veeam官方文檔的解釋。為了測試友善,我們将設定在本地備份庫保留所有檔案最新的副本的天數設定為2天;将更長時間的直至3年的版本存儲在存儲網關上,即通過存儲網關上傳到公共雲OSS上。
備份存儲配置
Veeam關于備份存儲的解釋
在進階選項中,有關于通路權限(ACL),壓縮,備份檔案一緻性健康檢查,郵件通知及備份前置和後置腳本的支援。如果有需要可以做針對性的配置,可以按照需求來做配置。這裡我對檔案校驗和郵件通知做了設定,以便保證備份資料一緻性和及時收到備份任務運作情況的通知。
備份存儲的進階選項
在Secondary Target不做配置,到備份任務排程頁面,定義了周期性的備份任務:每天晚上10點備份;備份失敗會重試3次,每次重試會間隔10分鐘。下面的備份視窗(Backup Window)的意思是可以配置一個備份視窗,當備份任務在視窗時間内沒有完成,該任務就會被自動中止,以免影響源端存儲在生産期間的正常性能。
備份任務周期排程
勾選‘Run the job when I click Finish’,在完成任務配置後,觸發第一次備份任務。
-
基于雲存儲網關的Veeam備份歸檔上雲方案 - 完成備份任務配置
取決于第一次備份的資料量大小,任務會處在運作狀态。如果備份資料不多,很快就會在過去24小時的備份成功任務清單裡看到剛才觸發的這次備份。
備份成功任務清單
到Veeam備份伺服器D盤的Backup目錄下,可以看到2台伺服器各自目錄的備份的内容。
備份庫内容
在第二天晚上10點,備份再次啟動并執行成功。可以看到,備份掃描到了474個新增目錄和56022個新增檔案,總大小為22.8GB。整個備份花費了3分13秒,備份速度為142MB/s。
備份詳情
在經過幾天的備份,同時做了一些源端檔案的删除修改之後,可以看到在Windows伺服器和Linux伺服器上的目錄情況:
- Windows伺服器從4月5日開始備份,每天增加1個新的目錄,直到4月11日;同時,5日和6日的目錄被删除,個别目錄内的檔案也有被修改或者删除;
- Linux伺服器從4月4日開始備份,每天增加1個新的目錄,直到4月10日;同時,5日的目錄被删除,個别目錄内同樣有檔案被修改或者删除;
-
基于雲存儲網關的Veeam備份歸檔上雲方案 - Windows伺服器備份目錄
-
基于雲存儲網關的Veeam備份歸檔上雲方案 - Linux伺服器備份目錄
再來看下,4月11日晚10點備份任務執行的情況。
備份任務執行詳情
當該任務被執行完,可以看到雲存儲網關備份庫裡已經被使用了1.3GB的空間。這也就意味着有超過2天的檔案變動被備份到了雲端儲存。這樣便實作了,曆史備份資料上雲的過程。
備份庫狀态
如文章開頭提到的那樣,備份軟體支援二級存儲的功能,将備份複制一份到二級存儲中。在Veeam的檔案備份任務中,可以将雲存儲網關備份庫配置為第二級備份目的。将備份在本地的資料複制另外一份到雲存儲網關。這樣就可以形成本地加雲端的兩級全量備份體系。
二級備份存儲
在每次備份完成後,會有另外一個備份複制的任務,将備份庫内的資料再複制一份到雲存儲網關上。通過備份複制任務詳情,可以看到資料複制到雲存儲網關的性能基本穩定在139MB/s左右。
備份服務複制任務詳情
備份複制完成後,可以看到CSG的使用容量增長很快。
備份庫詳情
在對象存儲的bucket裡,也看到複制拷貝的被保護的資料。
OSS bucket檔案管理清單
**- Veeam資料恢複
**
在資料恢複時,Veeam提供了三個選項:恢複整個檔案共享将最新版本的所有檔案恢複到指定路徑;復原所有檔案到之前的某個時間點;針對檔案和目錄的細粒度檔案恢複。
Veeam檔案恢複
我們選擇第二個選項恢複復原所有檔案到某個時間點來模拟病毒感染的場景。可以看到Veeam可以從本地備份庫和雲端的複制備份庫來恢複資料。
復原檔案到某個時間點
我們選擇從雲端複制的備份庫來恢複所有資料到4月11日晚11點23分的狀态。以Windows伺服器為例,可以看到恢複的目錄和時間點情況。在此之前,我删除了Windows伺服器D盤内的個别目錄和檔案。
恢複時間點
在恢複過程中,Veeam會在比對完檔案後,計算出需要恢複的檔案和目錄清單,再進行恢複。
恢複過程
恢複完成後,可以知道整個恢複的資料量和耗時,恢複的性能在40MB/s左右。對比之前寫入到存儲網關的性能可以看的出來,備份寫入的性能可以到139MB/s。差别主要在于,備份寫入隻要完成對于網關的寫入即可,網關上傳到雲端的時間沒有計算在内。而恢複的過程,部分資料從雲端備份庫先恢複到雲存儲網關的緩存,再恢複到被保護的Windows伺服器上。是以,多了從對象存儲到雲存儲網關的部分。另外,Veeam在備份寫入的時候可以設定并發數目,在恢複讀取的時候,并發數沒有自定義的選項,這也可能是一個原因。但主要還是前面提到的從雲端讀取到本地是需要時間的。
恢複完成
-
總結
通過上面的備份及恢複流程可以看出,Veeam可以将雲存儲網關建立為備份庫,靈活地配置成本地備份庫的延展備份庫,也可以配置成本地備份庫的第二級的複制備份庫,進而将最近幾天的版本存儲在本地,将更長時間的曆史資料備份在雲端,或者直接複制本地備份到雲端形成兩份備份資料。這樣的備份政策能充分利用本地備份庫的性能和雲端備份庫的彈性和無限空間,增加了資料保護的力度,卻降低了備份的整體TCO。
再回到文章開始時提到的問題,Veeam已經支援将公共雲存儲建立為雲端備份庫(暫不支援阿裡雲),可以直接将資料備份到雲端,為什麼還要通過雲儲存網關作為橋梁來将備份資料寫上雲呢?這有兩方面原因:
- 備份軟體一般是需要購買或更新到新版才能支援備份上雲的功能,或者部分軟體需要額外的付費許可,更新版本或者購買單獨許可的費用遠比雲存儲網關的費用高。
-
不少備份軟體還不支援阿裡雲的公共雲存儲或者支援不完善,而雲存儲網關是雲原生的服務,可以與阿裡雲各産品保持最好的相容性和對接性能。例如,雲存儲網關可以第一時間支援阿裡雲對象存儲的歸檔存儲功能。
除了相容性,不同于備份軟體的agent模式或者類似的網關模式,雲原生最大的特點是對于資源的彈性伸縮和編排。通過雲存儲網關的控制台使用者可以很友善的建立多個共享目錄,或者多個存儲網關執行個體,來彈性擴容,支援更多的備份庫接入。
這樣對使用者來說,與公共雲結合的新備份模式可以選擇兼顧傳統備份廠商和雲服務商的優勢,讓專業備份軟體做專業的備份,将上雲的工作交給雲原生的服務來完成。