Sauvegarder ses VMs avec Veeam et Wasabi S3
Sauvegarder avec Veeam vers Wasabi S3
Veeam Backup and Replication permet de sauvegarder des VMs sur différents types de support. Cela peut être un NAS, un serveur Windows, une bande LTO et même un stockage cloud comme Wasabi S3. Wasabi S3 est un stockage de type objet qui utilise la technologie S3 d’AWS. Le principe est le même que lui d’Amazon Web Services, mais Wasabi propose des tarifs très compétitifs.
Dans cet article Sauvegarder ses VMs avec Veeam et Wasabi S3, nous allons découvrir ensemble la sauvegarde vers un bucket Wasabi. Le bucket est l’emplacement de stockage des données. Nous allons donc créer un bucket et permettre à Veeam d’y sauvegarder nos machines virtuelles.
Pour cela, nous commencerons par créer notre bucket sur la console Wasabi, puis nous configurerons une politique d’accès spécifique afin que Veeam puisse y accéder. Et enfin, nous ajouterons ce stockage sur notre Veeam Backup & Replication, puis nous l’utiliserons dans un job de sauvegarde de machines virtuelles.
- Création d’un Bucket Wasabi S3
- Création d’une clé d’accès
- Création d’une Policy Wasabi
- Ajout du Bucket en Backup Repository sous Veeam
Afin de pouvoir réaliser les actions, vous aurez besoin des éléments suivants :
- Un accès à votre console Wasabi
- Un serveur Veeam Backup & Replication fonctionnel avec la configuration d’une sources de sauvegardes (vCenter, ESXi ou Hyper-v par exemple)
- Votre serveur Veeam doit pouvoir accéder à internet, et plus particulièrement en https (TCP 443) vers les serveurs de Wasabi
La rapidité de votre sauvegarde dépendra alors du débit que vous avez pour la copie des données sur le cloud Wasabihttps://docs.wasabi.com/docs/what-are-the-service-urls-for-wasabi-s-different-storage-regions.
1. Création d’un Bucket Wasabi S3
Un bucket Wasabi S3 est un conteneur de stockage dans le cloud qui permet de stocker et gérer des objets (fichiers, sauvegardes, données), en utilisant le protocole S3 compatible avec AWS.
Dans le cas de nos sauvegardes avec Veeam, ce sera notre Backup Repository, ou destination de sauvegarde.
Nous devons donc commencer par créer ce bucket depuis la console d’administration de Wasabi sur https://console.wasabisys.com/
Dans le menu de gauche, cliquer sur Buckets puis sur le bouton Create Bucket.
Le wizard est lancé… commencez par saisir le nom de votre bucket (1) puis sélectionner la région de stockage de votre bucket (2).
La région de stockage d’un bucket définit l’emplacement géographique où les données sont hébergées, influençant ainsi la latence, la conformité réglementaire et la résilience des sauvegardes. Il est essentiel de bien choisir cette région, notamment pour respecter le RGPD, qui peut imposer des restrictions sur le stockage des données en dehors de certaines zones.
Dans mon cas, ce sera le choix de paris eu-west-2 pour des données stockées en France.
Cliquez ensuite sur Next.
L’Object Lock d’un bucket Wasabi S3 est une fonctionnalité qui empêche la suppression ou la modification des objets pendant une période définie, garantissant ainsi leur immuabilité pour renforcer la protection des données contre les suppressions accidentelles ou malveillantes. Option parfaite pour la protection contre les ransomwares.
En activant cette option, Wasabi vous permet 2 types de configuration concernant la rétention des données immuables :
- Configuration de la rétention des données immuable via la console Wasabi
- Configuration de la rétention des données depuis la console Veeam Backup
Dans mon cas, j’opte pour le choix de gérer l’immutabilité depuis Veeam Backup. Cela me donne plus de facilité de gestion en ayant tout depuis la console Veeam Backup & Replication.
Soyez prudent si vous activez le logging du bucket : cela ne se limite pas à vous donner accès aux logs, mais génère des entrées supplémentaires pour chaque action ou écriture sur le bucket. Cela peut entraîner une consommation illimitée d’espace de stockage et, par conséquent, une augmentation des coûts..
Je le laisse désactivé. Cliquez ensuite sur Next.
Cliquez sur Next.
Cliquez ensuite sur Next.
Vérifiez l’ensemble des paramètres et cliquez sur Create Bucket.
2. Création d’une clé d’accès
L’accès au bucket Wasabi est géré par une politique d’accès, similaire à celles des buckets S3 d’AWS. Elles permettant de contrôler précisément les permissions des utilisateurs pour sécuriser les données et limiter les accès non autorisés.
Ces politiques définissent quels utilisateurs peuvent accéder au bucket. L’authentification ne repose pas sur les identifiants du compte principal, mais sur une clé d’accès spécifique attribuée à chaque utilisateur.
Nous commençons donc par créer notre clé sur notre utilisateur. Pour cela, rendez vous dans la liste des utilisateurs en cliquant à gauche sur Users :
Sélectionnez ensuite l’utilisateur pour lequel vous souhaitez créer une clé d’accès
Et cliquez sur la partie User Access Keys.
Vous avez accès à l’ensemble des clé disponible.
Cliquez sur Create Access Key pour créer la votre.
Aucune information ne vous ai demandé lors de la création.
Attention : vous ne pourrez avoir accès à la clé d’accès et sa secret key uniquement lors de la création. Si vous ne copiez pas, ou ne téléchargez pas le .CSV à ce moment la, il ne reste plus qu’a créer une nouvelle clé.
Votre clé nouvellement créé est maintenant disponible dans la liste sous le statu Active.
Seul la suppression est alors possible. En cas de perte de clé secret, il vous faudra créer une nouvelle clé.
Conservez la, elle sera utilisé sous Veeam Backup pour la configuration de l’accès au bucket.
3. Création d’une Policy Wasabi
Passons maintenant à la création de notre politique d’accès.
Dans le menu de gauche, rendez-vous sur Policies puis le bouton Create Policy pour ouvrir la page de création de policy d’accès
Commencez par donner un nom à votre politique d’accès. Ici elle sera nommé bucket-veeambackupdemo-policy.
Pour la création de votre politique d’accès, la syntaxe est exactement identique à celle d’AWS. La doc officiel de Wasabi vous fournit de bonne ressource pour la comprendre, mais Veeam vous fournit 2 politiques toutes prêtes pour vos buckets avec et sans immutabilité (https://www.veeam.com/kb3151).
J’ai repris le code du bucket avec immutabilité et modifié les éléments en bleu qui doivent etre remplacé par le nom de votre bucket:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketVersioning", "s3:GetBucketObjectLockConfiguration", "s3:ListBucketVersions", "s3:GetObjectVersion", "s3:GetObjectRetention", "s3:GetObjectLegalHold", "s3:PutObjectRetention", "s3:PutObjectLegalHold", "s3:DeleteObjectVersion" ], "Resource": [ "arn:aws:s3:::yourbucketname/*", "arn:aws:s3:::yourbucketname" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket" ], "Resource": "*" } ] }
Coller votre texte dans la partie bleu dédié à cela.
Si votre code est conforme, un message Policy is valide vous le confirmera.
Vous n’avez plus qu’a cliquez sur Create Policy pour finaliser l’opération.
Important : la policy est créé mais elle n’est pas associé à votre utilisateur, et donc à l’access key que vous allez utiliser.
Pour cela, rendez-vous dans la configuration de votre utilisateur et cliquez en bas sur Policies :
Dans la liste de recherche, entrez le nom de votre policy.
Ici c’est bucket-veeambackupdemo-policy.
Le fait de le sélectionner durant la recherche va automatiquement ajouter votre user en tant que membre.
Dans la même fenêtre, en dessous de la liste des policy, celle-ci sera indiquée comme ajouté dans un encadré gris :
4. Ajout du Bucket en Backup Repository sous Veeam
Nous avons maintenant tout ce qu’il faut coté Wasabi pour passer à la configuration du Backup Repository depuis notre serveur Veeam.
Rendez vous dans la vue Backup Infrastructure puis Backup Repositories et cliquez sur Add Repository.
Le wizard de création d’ouvre.
Cliquez sur Object storage.
Cliquez sur S3 Compatible.
Cliquez sur S3 Compatible.
Renseignez maintenant un nom et une description puis cliquez sur Next >.
A l’étape suivante, vous allez devoir indiquer les informations de la région du stockage de votre bucket. Les informations sont disponibles sur le site de Wasabi ou depuis la console.
Ci-dessous les informations de notre bucket créé sur la zone Paris :
Vous aurez besoin de copier l’URL de la colonne du milieu s3.eu-west-2.wasabisys.com pour l’indiquer comme Service point :
Et indiquez eu-west-2 dans la région.
Il faut ensuite indiquer les identifiant d’accès, c’est à dire l’access keys et la secret key en cliquant sur Add…
Ajouter les informations dans la fenêtre qui s’ouvre et cliquez sur OK.
Vous pouvez passer à l’étape suivante en cliquant sur Next >.
Veeam va alors vérifier la configuration. Si vous ne passer pas à l’étape suivante, cela peut etre lié à un problème de flux pour l’accès aux urls de Wasabi.
Nous allons maintenant devoir sélectionner le bucket en cliquant sur Browse…
Attention : si vous avez ce message d’erreur, vous avez peut être oublié l’étape d’association de votre policy avec votre user. Retourner au chapitre 3 de l’article pour réaliser l’opération.
La liste des buckets disponible s’affiche, sélectionnez le votre (ici veeambackupdemo) et cliquez sur OK.
Cliquez ensuite sur Browse… de Folder pour sélectionner le répertoire au sein du bucket.
Cliquez sur New Folder pour créer un répetoire dans votre bucket. Entrez ensuite son nom.
Le nouveau se nomme demo2.
Sélectionnez votre repertoire et OK.
A cette étape, nous allons pouvoir configurer la rétention de l’immutabilité. Ce paramètre sera poussée vers le bucket pour toutes les données qui y sont stockés.
Définissez votre paramètre et cliquez sur Next >.
Cliquez sur Next >.
Cliquez sur Apply.
Cliquez sur Next >.
Vérifiez les paramètres et cliquez sur Finish pour finaliser la création de votre Backup Repository.
Félicitation, votre avez correctement ajouté un Backup Repository pointant sur un stockage cloud Wasabi S3.
Vous pouvez maintenant sélectionner ce stockage comme destination de sauvegardes dans votre Backup Job.
Commentaires récents