Solution native de Veeam, la cible renforcée garantit une inaltérabilité éprouvée des sauvegardes de Veeam Backup & Replication sur un serveur Linux. En prenant en charge les serveurs Linux génériques, Veeam assure que les clients ont toujours le choix de leur matériel, sans dépendance vis-à-vis d’un fournisseur. Veeam permet également aux clients d’utiliser leur distribution Linux de confiance (Ubuntu, Red Hat, SUSE) au lieu d’être forcés d’utiliser un « Linux Veeam personnalisé ».
Les cibles renforcées permettent de garantir l’inaltérabilité des sauvegardes Veeam tout en respectant la règle du 3-2-1 et en combinant les cibles renforcées à d’autres options inaltérables, comme le verrouillage des objets sur le stockage objet ou les bandes WORM. Cet article de blog explique comment sélectionner et préparer l’environnement pour un serveur physique qui sera utilisé plus tard comme cible renforcée. Les prochains articles aborderont des sujets tels que la préparation et la planification, la sécurisation d’un système Linux et l’intégration à Veeam Backup et Replication
Pour les plus impatients, utilisez des serveurs (à haute densité) avec disques internes. Cette approche offre une évolutivité linéaire, car chaque nouveau nœud de cible renforcée augmente les performances CPU, RAM, RAID, réseau, espace disque et I/O. Un rack rempli de serveurs haute densité offre une capacité native d’environ 8 Po. Avec la réduction des données natives de Veeam et l’économie d’espace XFS (clonage de blocs), cela peut représenter jusqu’à 100 Po de données logiques dans un rack avec une vitesse de sauvegarde de 420 Tio/h.
Si votre environnement est de taille restreinte, pas d’inquiétude. Commencez avec deux unités de rack, 12 disques de données et deux disques pour le système d’exploitation.
Le réseau
La mise en réseau est un facteur essentiel pour garantir que la cible renforcée permet d’atteindre des délais optimaux de reprise d’activité (RPO, quantité maximale de données pouvant être perdues) et des objectifs de temps de restauration (RTO, durée de la restauration). Dans un monde de sauvegardes « incrémentielles perpétuelles », le réseau est parfois oublié en raison des faibles besoins en bande passante de l’approche « incrémentielle perpétuelle ». Nous recommandons de concevoir la solution en prévision d’un scénario de restauration complète. Utilisez votre outil de calcul préféré pour estimer la bande passante en l’adaptant à vos besoins de restauration.
Voici quelques exemples de ce qu’il faut pour copier des données de 10 To sur différentes vitesses réseau :
1 Gbit/s 22 h 45 min
10 Gbit/s 2 h 15 min
20 Gbit/s 1 h 8 min
40 Gbit/s 34 min
100 Gbit/s moins de 14 min
En réalité, 100 Gbit/s constitue le débit le plus rapide que les clients d’aujourd’hui mettent dans un serveur cible. HPE a montré en 2021 avec son serveur Apollo 4510, que de telles vitesses étaient réalisables avec un seul serveur.
Mais il ne s’agit pas seulement de bande passante. C’est aussi une question de redondance. S’il n’y a qu’un seul câble réseau vers l’infrastructure de commutation, cela indique la présence d’un point de défaillance unique. Il est recommandé de disposer d’une connexion réseau redondante pour la cible renforcée. Selon les capacités réseau dont vous disposez, il peut s’agir de liaisons actives/actives avec équilibrage de charges (par exemple, LACP/802.3ad) ou d’un simple scénario actif/passif.
Bien que Linux puisse être facilement configuré avec des balises VLAN, le principe KISS nécessite l’utilisation de ports de commutation sans balise. Autrement dit, les adresses IP sont configurées directement sans aucun VLAN dans Linux. La plus petite configuration redondante à ce jour serait celle de 2 connexions de 10 Gbit/s vers deux commutateurs/une pile de commutateurs (selon notre environnement réseau).
Pour recevoir les mises à jour de sécurité Linux, vous devez avoir accès aux serveurs de mises à jour de sécurité de la distribution Linux.
Pour simplifier, nous autorisons l’accès à Internet HTTP sortant sur le pare-feu pour obtenir des mises à jour de sécurité. Nous n’autorisons les connexions qu’aux serveurs de mise à jour de la distribution Linux choisie, et non à l’ensemble d’Internet. L’alternative serait de mettre en place un miroir de votre distribution Linux préférée pour obtenir des mises à jour et des logiciels à partir de là.
Trouver le bon fournisseur et le bon modèle de serveur
Du côté de Veeam, nous recommandons d’utiliser un serveur avec disques internes en tant que cible renforcée. Les disques internes sont recommandés, car ils éliminent le risque qu’un attaquant puisse accéder au système de stockage et supprimer tout ce qui se trouve côté stockage. Les fournisseurs utilisent parfois des modèles de « serveur de sauvegarde Veeam ». Ces modèles de serveurs sont optimisés pour les exigences de performance de la sauvegarde et il est recommandé de s’en tenir aux recommandations du fournisseur.
Si vous avez une distribution Linux préférée, il est logique de choisir un modèle certifié pour cette distribution Linux. Les configurations pré-testées permettent de gagner beaucoup de temps lorsque vous travaillez avec Linux. Les grandes marques ont généralement des serveurs compatibles avec les principales distributions Linux telles qu’Ubuntu, Red Hat (RHEL) et SUSE (SLES).
Comme je l’ai mentionné auparavant, Cisco propose des « conceptions validées par Cisco » pour Veeam pour leurs séries S3260 et C240. Techniquement, Veeam est compatible avec tous les fournisseurs de serveurs, tant que les conditions essentielles suivantes sont remplies :
Contrôleur RAID avec cache write-back alimenté par batterie (ou technologie similaire)
Les contrôleurs RAID avec analyse prédictive des défaillances sont fortement recommandés
Avec de nombreux disques (50+), utiliser plusieurs contrôleurs RAID est généralement logique, en raison des limitations de vitesse des contrôleurs RAID (souvent plafonnées autour de 2 Go/s)
Disques séparés pour le système d’exploitation et les données
SSD recommandés fortement pour le système d’exploitation
Alimentation redondante
Réseau redondant avec la vitesse de liaison requise (voir ci-dessus)
La vitesse de la CPU est relativement négligeable, car Veeam utilise par défaut la compression LZ4 très rapide. Accepter tout ce que le fournisseur de serveur propose fonctionne très bien. De nombreux cœurs de CPU permettent d’exécuter de multiples tâches en parallèle. 4 Go de RAM par cœur de CPU constitue la meilleure pratique recommandée. Si vous optez pour 2 X 16 cœurs de CPU, alors 128 Go de RAM seraient la combinaison parfaite. Bien que ce type de dimensionnement puisse sembler « simplifié à l’extrême », il fonctionne parfaitement depuis des années dans nos environnements de test et de production.
Configuration de base du serveur
Avant l’installation du système d’exploitation Linux, quelques paramètres doivent être configurés. Comme mentionné précédemment, les systèmes d’exploitation et les données sont sur des disques différents. Sur des ensembles RAID différents, pour être exact.
Pour le système d’exploitation Linux, un RAID 1 dédié est utilisé. 100 Go sont plus que suffisants. Pour les disques de données, la plupart des clients optent pour le RAID 6/60 pour un meilleur rapport prix/valeur comparé au RAID 10. Le RAID 5/50 ou toute autre option à parité unique est à exclure pour des raisons de sécurité. Le RAID 6/60 doit être configuré avec au moins un disque de rechange en « configuration itinérante ». Cela signifie que le disque de rechange peut remplacer n’importe quel disque défectueux pour devenir un disque de production.
Comme le serveur est équipé d’un contrôleur RAID approprié avec cache en écriture différée, les caches de disque internes doivent être désactivés. La taille de bande RAID recommandée est parfois documentée par le fournisseur du serveur. Si aucune information n’est disponible, alors 128 ou 256 Ko sont de bonnes valeurs.
Activez le démarrage sécurisé UEFI pour empêcher le chargement de modules de noyau Linux non signés.
Comment être informé des disques cassés ?
L’un des plus grands défis lors du renforcement d’un système serveur/Linux est de savoir comment recevoir des notifications sur les disques défaillants. Chaque serveur moderne dispose d’une gestion « hors bande » (HPE iLO, Cisco CIMC, Dell iDRAC, Lenovo XCC, etc.). Il affiche l’état du disque et du RAID et peut envoyer des notifications par e-mail en cas de défaillance des disques. Ce type de notification présente l’avantage qu’aucune configuration supplémentaire n’est nécessaire sur Linux par la suite. Si l’interface de gestion permet de configurer l’authentification multifacteur, c’est bien et il faut l’utiliser.
Gardez à l’esprit que l’authentification multifacteur ne protège pas contre les nombreux problèmes de sécurité rencontrés par les systèmes de gestion hors bande dans le passé. Les clients évitent souvent de les utiliser pour des raisons de sécurité. Si un attaquant devient administrateur de la gestion hors bande, il peut supprimer l’ensemble de la cible renforcée sans toucher au système d’exploitation. Un compromis pourrait consister à placer un pare-feu devant le port de gestion et à n’autoriser que les communications sortantes. Cela permettra d’envoyer des notifications par e-mail en cas de panne d’un disque. Mais un attaquant ne peut pas attaquer/se connecter à l’interface de gestion car le pare-feu bloque toutes les connexions entrantes.
Le design pourrait ressembler à l’exemple ci-dessous :
Si vous décidez de déconnecter complètement le port de gestion hors bande, les notifications relatives aux disques en panne peuvent être configurées à l’aide d’un logiciel s’exécutant au-dessus du système d’exploitation Linux. Les fournisseurs de serveurs fournissent souvent des packages permettant de visualiser l’état ou même de configurer le RAID depuis l’intérieur du système d’exploitation (par exemple, http://downloads.linux.hpe.com/ ). Ces outils peuvent généralement envoyer des e-mails directement, ou on peut les configurer au moyen d’un script. La création de scripts et la configuration d’outils spécifiques de fournisseurs sortent du cadre de cet article.
Une autre option est la surveillance physique ou par caméra. Si vous changez de bande tous les jours et si vous pouvez vérifier physiquement les voyants d’état du serveur de cible renforcée, cela peut constituer une solution. J’ai également entendu parler de clients qui ont installé des caméras pointant vers le serveur de cible renforcée. Le client vérifie ensuite régulièrement les LED des disques via la caméra.
Conclusion
Avec Veeam, il est facile de stocker vos sauvegardes Veeam sur un stockage inaltérable/compatible WORM. La sélection du matériel du serveur peut être un défi car il y a tellement de fournisseurs et d’options. On peut limiter les choix et accélérer la décision en suivant ces étapes :
- Calculez l’espace disque dont vous avez besoin sur la cible
- Sélectionnez votre distribution Linux préférée (et prise en charge par Veeam) (Ubuntu et RHEL sont les plus populaires parmi les clients Veeam)
- Consultez la liste de compatibilité matérielle de la distribution Linux pour trouver quelques fournisseurs/modèles de serveurs
- Dialoguez avec le fournisseur du serveur pour trouver la solution adaptée à vos besoins
S’il n’y a pas d’avis de la part du fournisseur de serveur, passez en revue les points suivants :
- Si vous utilisez des disques SSD, les IOPS ne posent aucun problème. Si vous utilisez des disques rotatifs, tenez compte des limites d’I/O et pas seulement de l’espace disque pur. Il n’existe pas de règle stricte quant au calcul de la vitesse qu’un disque peut fournir, car cela dépend du modèle d’accès (séquentiel ou aléatoire). Les calculs prudents sont compris entre 10 et 50 Mo/s par disque dans un RAID 60. Avec les lectures séquentielles, un disque NL-SAS 7k peut fournir 80 Mo/s, voire plus (cela inclut toute la surcharge RAID)
- Carte réseau 2X avec la vitesse de liaison que vous avez calculée ci-dessus
- Pour la CPU et la RAM, des formules existent dans le guide des meilleures pratiques. Dans la plupart des cas, il est possible de gagner du temps en utilisant simplement deux processeurs de 16 à 24 cœurs chacun et 128 Go de RAM. Pour les serveurs haute densité d’environ 60 disques ou plus, la plupart des fournisseurs ajoutent de 192 à 256 Go de RAM.
Privilégiez la simplicité : Utilisez des serveurs avec disques internes. Cette approche offre une évolutivité linéaire, car chaque nouveau nœud de cible renforcée augmente les performances CPU, RAM, RAID, réseau, espace disque et I/O. C’est une conception simple et éprouvée.