Raffaele Valensise

Backup di Azure SQL con Veeam – Parte I

Visualizzazioni: 527

Perché Proteggere i Dati nel Cloud

Le aziende utilizzano Microsoft Azure per gestire applicazioni e dati, grazie alla sua flessibilità e scalabilità. Tuttavia, il cloud non è immune da minacce come errori umani, attacchi ransomware o guasti tecnici.

La protezione dei dati nel cloud è una responsabilità condivisa tra il provider di servizi cloud e il cliente: mentre Microsoft Azure garantisce la disponibilità e la sicurezza dell’infrastruttura, la protezione dei dati e il loro backup rimangono una responsabilità dell’azienda (https://learn.microsoft.com/it-it/azure/security/fundamentals/shared-responsibility).

In questo contesto, l’adozione di soluzioni di backup e disaster recovery diventa cruciale per garantire la continuità operativa e la conformità normativa.

Veeam Backup for Azure 7.0

Veeam Backup for Azure è una soluzione pensata per proteggere i dati su Azure in modo semplice ed efficiente e, grazie alla sua integrazione con Veeam Backup & Replication, consente di centralizzare la gestione delle operazioni di protezione dei dati sia in ambienti on-prem che nel cloud, migliorando la visibilità e la governance dell’infrastruttura IT.

I lettori più affezionati ricorderanno un articolo del 5 giugno 2020 (https://www.ictpower.it/cloud/veeam-backup-for-microsoft-azure.htm) in cui ho presentato la prima versione di Veeam Backup for Azure: da allora sono state introdotte numerose novità e sono sostanzialmente cambiate la modalità di installazione e prima configurazione.

Le attuali funzionalità di Veeam Backup for Azure includono:

  • Backup di macchine virtuali, database (Azure SQL e CosmoDB), Azure File Share, configurazioni delle Virtual Network
  • Processi di protezione e archiviazione basati su policy
  • Crittografia dei dati e protezione da ransomware
  • Ripristini granulari
  • Reportistica e monitoraggio

In questa serie di articoli ci focalizzeremo sulla protezione di Azure SQL, il servizio di database relazionale in modalità gestita (PaaS) offerto da Microsoft Azure e basato sul motore di database di SQL Server, dando per scontata una certa familiarità sia con la piattaforma Microsoft Azure che con le soluzioni Veeam.

Per un approfondimento su Azure SQL, vi rimando a questo dettagliato articolo di Nicola Ferrini: https://www.ictpower.it/cloud/progettare-una-soluzione-di-database-sql-in-microsoft-azure.htm

Prima di esaminare le modalità di protezione di Azure SQL, diamo un’occhiata all’architettura della soluzione e alle sue principali caratteristiche funzionali.

Architettura di Veeam Backup for Azure 7.0

Veeam Backup for Azure 7.0 si basa su un’architettura modulare che comprende diverse componenti e si basa su una stretta integrazione con Veeam Backup & Replication:

  • Backup Server: una macchina fisica o virtuale Windows su cui è installato Veeam Backup & Replication; di fatto, il componente principale dell’infrastruttura di backup
  • Microsoft Azure Plug-In: componente che estende le funzionalità di Veeam Backup & Replication e consente di aggiungere e gestire una “Backup Appliance” all’infrastruttura di backup (vedi sotto)
  • Backup Appliance: una macchina virtuale Linux su Azure che gestisce i processi di backup e ripristino
  • Worker Instances: VM temporanee utilizzate per processare i dati e trasferirli nei repository di backup
  • Backup Repositories: spazi di archiviazione Blob Storage dove vengono conservati i backup

Funzionamento del Backup

Il processo di backup si basa su policy configurabili che definiscono, fra gli altri parametri:

  • Quali risorse proteggere
  • Frequenza e orari di esecuzione
  • Tipo di backup
  • Retention policy

Durante ogni sessione, Veeam crea snapshot delle risorse e trasferisce i dati nei repository, garantendo una copia sicura e recuperabile delle informazioni.

Ripristino dei Dati

Veeam Backup for Azure offre diversi scenari di ripristino:

  • Ripristino completo di VM, singoli dischi virtuali, file e cartelle specifiche
  • Ripristino di database Azure SQL e di account Cosmo DB
  • Ripristino di file gestiti da Azure File Share
  • Ripristino di VM su altre piattaforme cloud (AWS, Google Cloud) e su hypervisor on-prem (VMware vSphere, Hyper-V, Nutanix AHV)
  • Ripristino di intere configurazioni di virtual network.

Vediamo ora come installare e configurare Veeam Backup for Azure versione 7.0.

Installazione di Veeam Backup for Azure

Questi i passaggi principali:

  1. Installare il Backup Server come descritto nella Veeam Backup & Replication User Guide (https://helpcenter.veeam.com/docs/backup/vsphere/install_vbr.html?ver=120). In alternativa, è possibile utilizzare un server Veeam già esistente.
  2. Installare il Microsoft Azure Plug-in sul Backup Server, qualora non presente
  3. Effettuare il deployment della Backup Appliance su Microsoft Azure.

Nel proseguo, daremo per già presente un server con installata la versione più recente di Veeam Backup & Replication (al momento della pubblicazione di questo articolo, è disponibile la versione 12.3.0.310. In questa pagina https://www.veeam.com/products/downloads/latest-version.html è disponibile il link per effettuare il download.

Installare il Microsoft Azure Plug-in

Per poter aggiungere la Backup Appliance all’infrastruttura di backup, è necessario che sia presente il Microsoft Azure Plug-in sul server di backup Veeam.

Per verificarne la presenza, è sufficiente avviare la console di Veeam Backup & Replication, accedere alla vista Backup Infrastructure nel pannello di sinistra, fare clic con il tasto destro su Managed Servers e selezionare Add Server.

Nel wizard Add Server dovrebbe essere disponibile la sezione Veeam cloud-native backup appliance su cui fare clic.

Nella pagina successiva del wizard, l’opzione Veeam Backup for Microsoft Azure conferma la presenza del relativo Plug-in.

Qualora, invece, tale opzione non fosse disponibile seguire le seguenti istruzioni:

  • Arrestare tutte le policy in esecuzione, disabilitare tutti i job e chiudere la console di Veeam Backup & Replication
  • In un browser web, accedere alla pagina https://www.veeam.com/backup-replication-vcp-download.html
  • Nella sezione Additional Downloads passare a Cloud Plug-ins e fare clic sull’icona Download per scaricare il Microsoft Azure Plug-in for Veeam Backup & Replication

  • Una volta completato il download, aprire il file MicrosoftAzurePlugin_12.7.1.18.zip ed eseguire il file di installazione MicrosoftAzurePlugin_12.7.1.18.exe
  • Completare il wizard Microsoft Azure Plug-in for Veeam Backup & Replication.

Deployment della Backup Appliance

Quando si effettua il deployment di Veeam Backup for Microsoft Azure, Veeam Backup & Replication esegue i seguenti passaggi:

  • Distribuisce una VM Azure da un’immagine Ubuntu 22.04 LTS
  • Crea uno storage account temporaneo in Azure (ma è anche possibile utilizzare un storage account personalizzato) e vi carica i pacchetti di installazione di Veeam Backup for Microsoft Azure e le relative dipendenze
  • Installa i componenti software necessari sulla suddetta VM Azure
  • Crea un account di servizio predefinito sulla Backup Appliance che verrà utilizzato per eseguire operazioni di backup e ripristino dei dati (sarà eventualmente possibile aggiungere altri account di servizio in seguito)
  • Rimuove lo storage account temporaneo da Azure.

Vediamo insieme i passaggi.

Nella console di Veeam Backup & Replication, accedere alla vista Backup Infrastructure nel pannello di sinistra, fare clic con il tasto destro su Managed Servers e selezionare Add Server.

Nel wizard Add Server, fare clic su Veeam cloud-native backup appliance.

Nella pagina successiva del wizard, fare clic su Veeam Backup for Microsoft Azure.

Nella pagina Deployment Mode, selezionare Deploy a new appliance.

Nella pagina Account, occorre selezionare un Microsoft Azure Compute account le cui autorizzazioni verranno usate per distribuire la nuova Backup Appliance.

Nota: Prima di procedere verificare che l’account possegga i requisiti necessari consultando la documentazione disponibile al link https://helpcenter.veeam.com/docs/backup/vsphere/restore_azure_account_byb.html?ver=120

Se non si è ancora inserito un set di credenziali con privilegi adeguati nella sottoscrizione Azure, fare clic su Add.

Nella pagina Name della procedura guidata, specificare un nome con il quale il set di credenziali verrà visualizzato nel Cloud Credential Manager di Veeam, poi fare clic su Next.

Nella pagina Deployment Type, verificare che sia selezionata l’opzione Microsoft Azure e fare clic su Next.

Nella pagina Account Type, è possibile scegliere se si desidera utilizzare un’applicazione Entra ID esistente o crearne una contestualmente. Nel nostro caso, verificare che sia selezionata l’opzione Create a new account e fare clic su Next.

Quando si sceglie di creare un nuovo account, Veeam Backup & Replication registra una nuova applicazione Entra ID per autenticarsi in Azure.

Nella pagina Subscription fare clic su Copy to clipboard per copiare il codice di verifica e poi clic sul collegamento https://microsoft.com/devicelogin

Nella pagina di autenticazione del dispositivo incollare il codice precedentemente copiato e fare clic su Next.

Specificare un account utente che verrà utilizzato per creare l’applicazione (nel formato username@domain). L’account deve essere in possesso di permessi sufficienti, come descritto in questa pagina della documentazione: https://helpcenter.veeam.com/docs/backup/vsphere/required_permissions.html?ver=120#azure_compute

Completato il processo di autenticazione, fare clic su Continue.

Sarà poi possibile chiudere la finestra del browser e tornare alla console di Veeam Backup & Replication.

Veeam Backup & Replication recupererà le informazioni sulle sottoscrizioni a cui l’utente ha accesso e creerà l’applicazione Microsoft Entra nel tenant.

Completata l’operazione, fare clic su Finish.

Nella pagina Account, Selezionare le credenziali dell’account dal menu a discesa Microsoft Azure compute account e poi fare clic su Next.

Nella pagina Subscription, Selezionare Subscription, Data Center e Resource group in cui si desidera creare la Backup Appliance e fare clic su Next.

Nota: È possibile creare un nuovo Resource Group o specificarne uno esistente. Per creare un nuovo Resource Group, selezionare l’opzione create new dall’elenco a discesa Resource group.

Nella pagina Virtual Machine, specificare un nome (ed opzionalmente una descrizione) per la VM Azure che verrà creata.

È possibile fare clic su Advanced per specificare una dimensione personalizzata della VM referenziando uno dei template Azure VM disponibili. Poi fare clic su OK.

Nella pagina Virtual Machine, fare clic su Next per accedere alla pagina Connection type, nella quale è possibile decidere se assegnare un indirizzo IP pubblico dinamico o statico, oppure privato alla VM Azure che opererà come Backup Appliance.

Se si sceglie l’opzione Private IP address, è necessario consentire la comunicazione tra il server Veeam Backup & Replication e la Backup Appliance. Se l’appliance e il server Veeam Backup & Replication risiedono in reti virtuali diverse, una possibile soluzione è stabilire una connessione VPN da sito a sito tra la rete virtuale dell’appliance e la rete locale.

Poi fare clic su Next.

Nella pagina Networking occorre specificare:

  • La virtual network a cui verrà collegata l’appliance
  • La relativa subnet
  • Il Network Security Group che sarà associato all’appliance
  • L’indirizzo IP pubblico (o il range di indirizzi IP pubblici) da cui la Backup Appliance verrà contattata, ovvero l’indirizzo (o gli indirizzi) con cui il Veeam Backup & Replication server si presenta su Internet

Poi fare clic su Next.

Per maggiori dettagli, rimando alla pagina https://helpcenter.veeam.com/docs/vbazure/guide/deploying_network_resources.html?ver=70 della documentazione Veeam.

Nella pagina Guest OS, specificare l’utente le cui credenziali verranno utilizzate da Veeam Backup & Replication per creare l’account Admin sulla Backup Appliance:

  • Fare clic su Add nella sezione Create the following administrator credentials e specificare il nome utente, la password e, opzionalmente, la descrizione nella finestra Credentials
  • fare clic su Add nella sezione Use the following key pair e specificare il nome della coppia di chiavi e il percorso della cartella nella finestra New Key Pair

Maggior informazioni sono disponibili nella documentazione Veeam: https://helpcenter.veeam.com/docs/vbazure/guide/deploying_guest_os_credentials.html?ver=70

Poi, fare clic su Apply.

Nella pagina Apply sarà possibile seguire il progresso delle operazioni.

Al termine, fare clic su Next.

Nella pagina Summary, selezionare la check-box Open the Azure Blob backup repository creation wizard when I click Finish e poi fare clic su Finish.

Aggiungere un Container Blob Storage come repository

Le operazioni a seguire prevedono la disponibilità di almeno un container Blob Storage, eventualmente immutabile, già configurato nella sottoscrizione Azure.

Per il nostro scenario, quindi, consideriamo di avere disponibile uno Storage Account chiamato rvaledemoazure ed al suo interno un container Blob chiamato azurebackurepo01.

Per una descrizione dei passaggi necessari è possibile fare riferimento a questo mio articolo: https://www.ictpower.it/guide/backup-immutabili-con-veeam-e-azure-blob-storage-parte-i.htm

Dopo aver fatto clic su Finish, viene avviato un nuovo e indipendente wizard chiamato Add External Repository dedicato alla configurazione del primo repository che sarà utilizzato dalla Backup Appliance.

Nella pagina Backup Appliance, selezionare la VM Azure creata precedentemente, dare un nome al repository ed eventualmente specificare una descrizione. Poi fare clic su Next.

Nella pagina Account fare clic su Add.

Nella box Credentials specificare il nome dello Storage Account e la relativa Shared Key per accedere allo spazio Blob Storage, poi fare clic su OK.

Tornati nella pagina Account, fare clic su Next.

Nella pagina Container, selezionare dall’elenco a discesa omonimo il nome del container Blob che si desidera utilizzare come spazio di archiviazione per i backup e fare clic su Next.

Come si può notare, nell’immagine precedente l’opzione Make backups immutable for the entire duration of their retention policy (Rendere i backup immutabili per l’intera durata del periodo di retention)
è selezionata automaticamente, poiché, al momento della creazione, avevo configurato il container con l’opzione Enable version-level immutability support.

Per approfondimenti: https://learn.microsoft.com/en-us/azure/storage/blobs/immutable-policy-configure-version-scope?tabs=azure-portal.

Nella pagina Encryption, ai fini di questa guida, fare clic su Apply. Se si desidera approfondire le opzioni relative alla crittografia dei backup, rimando alla documentazione Veeam: https://helpcenter.veeam.com/docs/vbazure/guide/repository_console_encryption.html?ver=70.

Nella pagina Apply, attendere il completamento del processo e fare clic su Next.

Nella pagina Summary, fare clic su Finish.

Verifica dell’installazione della Backup Appliance

Tornati alla console di Veeam Backup & Replication, nella sezione Managed Servers, fare clic su Microsoft Azure per verificare la presenza della Backup Appliance.

Fare clic con il tasto destro sulla Backup Appliance e selezionare Open console.

Verrà automaticamente avviato il web browser di default e sarà possibile verificare l’accesso alla Backup Appliance.

Fare clic su Repositories per verificare la presenza del container Blob precedentemente configurato.

Conclusioni

In questo primo articolo abbiamo visto come installare il Plug-In per Veeam Backup for Azure 7.0 e predisporre una Backup Appliance su Azure connessa ad un Container Blob da utilizzare come repository.

Nel prossimo articolo Backup di Azure SQL con Veeam – Parte II vedremo come creare una policy di protezione per Azure SQL.