vmware-schutz mit emc networker 8.2

White Paper
DATENSICHERHEIT FÜR VMWARE MIT
EMC NETWORKER 8.5
Lösungsüberblick
Zusammenfassung
In diesem White Paper wird die Integration zwischen EMC®
NetWorker® und VMware vCenter® beschrieben. Es enthält
außerdem Informationen zur NetWorker-Architektur und zu
den Vorteilen, die sich durch den Einsatz von NetWorker für
die Datensicherheit in VMware-Umgebungen ergeben.
April 2015
Copyright © 2015 EMC Deutschland GmbH. Alle Rechte
vorbehalten.
EMC ist der Ansicht, dass die Informationen in dieser
Veröffentlichung zum Zeitpunkt der Veröffentlichung korrekt
sind. Diese Informationen können jederzeit ohne vorherige
Ankündigung geändert werden.
Die Informationen in dieser Veröffentlichung werden ohne
Gewähr zur Verfügung gestellt. Die EMC Corporation macht
keine Zusicherungen und übernimmt keine Haftung jedweder
Art im Hinblick auf die in diesem Dokument enthaltenen
Informationen und schließt insbesondere jedwede implizite
Haftung für die Handelsüblichkeit und die Eignung für einen
bestimmten Zweck aus.
Für die Nutzung, das Kopieren und die Verteilung der in
dieser Veröffentlichung beschriebenen EMC Software ist eine
entsprechende Softwarelizenz erforderlich.
Eine aktuelle Liste der Produkte von EMC finden Sie unter
EMC Corporation Trademarks auf germany.emc.com.
Art.-Nr. H11954.3
DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5
2
Index
Zusammenfassung .................................................................................................. 4
Einführung und Zielgruppe ...................................................................................... 5
Lösungsüberblick .................................................................................................... 5
Die VBA im Überblick ............................................................................................... 7
Allgemeine Architektur ................................................................................................... 7
Rollenbasierte Administration ........................................................................................ 8
Zusammenfassung ................................................................................................ 11
DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5
3
Zusammenfassung
Mehr als 500.000 Kunden nutzen VMware® als Virtualisierungsplattform. Virtuelle
Maschinen sind einfach zu erstellen, portabel und können automatisch von ESX-Host
zu ESX-Host verschoben werden. Durch die Virtualisierung können Unternehmen
neue Anwendungen innerhalb von Stunden anstatt Tagen bereitstellen. Gleichzeitig
ermöglicht sie IT-Abteilungen, einen Serviceprovideransatz bei der Datensicherheit
zu verfolgen und ihren Kunden so einen besseren Service zu bieten. Dieser Ansatz
fördert nicht nur IT- und Geschäftsinitiativen, sondern bietet der IT auch neue
Möglichkeiten in puncto Datensicherheit und Technologie. Ein Aspekt dieses
Wandels in der IT besteht darin, dass Virtualisierungsteams spezifische
Datensicherheitstools für virtuelle Maschinen einsetzen, während das Unternehmen
die zentrale und transparente Kontrolle über die Unternehmens-Policies und die
Aufbewahrung behält.
Mit dem Trend zur Virtualisierung verändert sich auch die Art und Weise, in der
Unternehmen ihre Datensicherheitsinfrastruktur gestalten. Herkömmliche
Backuplösungen verursachen Ressourcenkonflikte in der virtuellen Infrastruktur,
z. B. in Bezug auf Netzwerk, Speicher, Festplatte usw., und lassen sich nicht
skalieren. Diese Ressourcenkonflikte führen zu langen und unzumutbaren
Backup- und Recovery-Zeiten. Business-SLAs und Disaster-Recovery-Ziele können
nicht mehr erfüllt werden und das Arbeitspensum von Backupadministratoren
steigt, da sie möglicherweise zusätzliche Backupclientressourcen und -pläne
managen müssen.
Um die Vielzahl der Probleme zu lösen, die sich durch den Einsatz herkömmlicher
Backupverfahren in virtualisierten Infrastrukturen ergeben, hat VMware
vSphere® 5.1 auf den Markt gebracht – eine Lösung, die VMware-Administratoren
umfangreiche Funktionen für Backup und Recovery über VADP bereitstellt.
EMC® NetWorker® wird Schritt für Schritt in die VMware-Managementtools
integriert, vor allem in die VMware vSphere Web-Benutzeroberfläche. Diese
Integration macht das Management von Backups und Recoveries für alle
Mitarbeiter, die für die Verwaltung der Virtualisierungsinfrastruktur zuständig sind,
effektiver und zugänglicher. Die NetWorker vCenter-Integration wurde erstmals in
NetWorker 8.1 mit der Einführung der NetWorker VMware Backup Appliance (VBA)
implementiert. Die VBA erweitert den Funktionsumfang des standardmäßigen
VMware VADP-Angebots und stellt branchenführende Funktionen für die
Datensicherheit von VMware bereit. So kann NetWorker beispielsweise durch den
Einsatz der Changed Block Tracking-Funktion von VADP die Größe von
Clientbackups und -Recoveries reduzieren, bevor diese über das Netzwerk
übertragen werden. Auf diese Weise werden die Infrastrukturressourcenprobleme
vermieden, die bei herkömmlichen Backuplösungen gang und gäbe sind.
NetWorker räumt sämtliche Bedenken in Bezug auf Performance aus, die mit eher
herkömmlichen Backupmethoden verbunden sind, da ein 3-mal schnelleres
Backup und eine 30-mal schnellere Image-basierte Recovery geboten werden.
Ab NetWorker 8.2 hat EMC die VBA-Funktionen und die Flexibilität für die Recovery
von VMs noch weiter verbessert.
DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5
4
An erster Stelle steht hierbei die Integration in EMC Data Domain-Systeme, dank
der die Möglichkeit einer Recovery mit sofortigem Zugriff direkt in Data Domain
gegeben ist. Diese Verbesserung ermöglicht die nahezu sofortige Recovery einer
laufenden virtuellen Maschine mit den wichtigsten Geschäftsanwendungen
innerhalb einer VM-Infrastruktur. An zweiter Stelle steht die Möglichkeit, einzelne
virtuelle Laufwerke einer geschützten VM wiederherzustellen, anstatt die
vollständige VM wiederherzustellen.
In den folgenden Abschnitten werden die NetWorker VBA und deren robuste
Funktionen im Detail beschrieben.
Einführung und Zielgruppe
Dieses White Paper gibt einen technischen Überblick über die
Datensicherheitsfunktionen von NetWorker für VMware. Es enthält eine umfassende
Beschreibung der NetWorker VMware-Backup-Appliance. Das Dokument ist für
VMware- und Backupadministratoren bestimmt, die mehr über die Architektur und
die Funktionen der NetWorker-Lösung erfahren möchten. Es enthält keine Details zu
den Funktionen der VADP-Legacy-Lösung von NetWorker.
Lösungsüberblick
NetWorker sorgt für branchenführende Datensicherheit in VMware-Umgebungen
durch die Integration in VMware vCenter.
Die NetWorker-Integration geschieht mittels Bereitstellung einer OVA 1 in vCenter.
Die OVA-Datei enthält die NetWorker VBA-Software (VMware-Backup-Appliance).
Die NetWorker-Lösung für VMware ermöglicht es VMware-Administratoren,
Tausende von virtuellen Maschinen über die vSphere Web Client-Schnittstelle zu
schützen. Sie bietet so Vorteile für Rechenzentren, die zu einem Selfservicemodell
für die Datensicherheit übergehen möchten.
Die Lösung ermöglicht das Definieren von Policies, die den jeweiligen
geschäftlichen Anforderungen gerecht werden. So haben viele Kunden
beispielsweise spezielle Recovery Time Objectives (RTO) und Recovery Point
Objectives (RPO) für ihre Geschäftsanwendungen. Möglicherweise schreibt auch
das Unternehmen Anforderungen für spezielle Backupziele, AufbewahrungsPolicies und Replikationsmedien vor. NetWorker unterstützt eine breite Palette von
Festplatten- und Bandzielen, einschließlich des EMC Data Domain®-Systems für
Backups und Replikationen.
Eine OVA (Open Virtual Appliance oder Application) ist eine Distribution in einer einzigen Datei, die im TAR-Format
gespeichert wird.
1
DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5
5
Cloning-Vorgänge auf alle unterstützten Backupziele wie Data Domain-Systeme,
Festplatte oder Band sind mithilfe des NetWorker Management Center (NMC)
konfigurierbar und stellen einen Teil der Policy dar, die automatisch an vCenter
ausgelagert wird. Durch die Clone Controlled Replication (CCR), d. h. die
Replikation zwischen Data Domain-Systemen, ergeben sich zusätzliche Vorteile,
da nur die deduplizierten Daten repliziert werden. Der Cloning-Prozess wird
automatisch gestartet, sobald ein Saveset-Backup abgeschlossen wurde.
Durch die sich daraus ergebende Datenverfügbarkeit wird die Einhaltung von
Unternehmens-Policies für die Disaster Recovery ermöglicht. Für den VMwareAdministrator ist dabei klar ersichtlich, dass die Daten repliziert werden. Der
VMware-Administrator kann eine Wiederherstellung vom primären Gerät sowie
vom Gerät, das die replizierten Daten enthält, durchführen.
Skalierbarkeit ist ein weiterer Vorteil der NetWorker-Lösung. Der Lastenausgleich
erfolgt über universelle Proxyserver, die automatisch auf Grundlage von
Verfügbarkeit ausgewählt werden. So kann NetWorker beispielsweise Jobs per
Lastenausgleich auf verschiedenen virtuellen Proxyservern verteilt laden, damit
die einzelnen Proxys nicht überfordert werden. Jobs können auch an verfügbare
Proxys geschickt werden, um wichtige Workloads zu verarbeiten. Die in
NetWorker 8.5 verbesserte Integration in vSphere wird für das Management
von VMDK-Snapshots ohne Benutzereingriff verwendet, einschließlich der
intelligenten Erstellung von VM-Snapshots und der Bereinigung.
Durch die Integration von NetWorker in vCenter ergeben sich zahlreiche Vorteile:
•
Schneller und effizienter Schutz von Daten für alle virtuellen Maschinen,
selbst für ausgeschaltete oder zwischen ESX-Hosts migrierte virtuelle
Maschinen
•
Deutliche Reduzierung des von Backupdaten belegten Festplattenspeichers
durch patentierte Technologie zur Deduplizierung mit variabler Länge bei
allen Backups
•
Kontinuierliche, komplette inkrementelle Backups – Jedes VBA-Backup ist
ein komplettes Backup. Eine Wiederherstellung vom letzten kompletten
Backup sowie von den nachfolgenden inkrementellen Backups zum
Erreichen des gewünschten Recovery-Punkts ist nicht erforderlich. Nach
einem ersten kompletten Backup werden nur die inkrementellen Backups
an die VBA gesendet. Die VBA verfolgt alle inkrementellen Backups
nach und sendet die richtigen Daten während der Wiederherstellung an
den Server zurück. Im Prinzip gestaltet sich der Prozess, bei dem die
inkrementellen Daten wiederhergestellt werden, vollständig transparent
und ahmt die Wiederherstellung eines kompletten Backups nach. Diese
Funktion wird durch die Verwendung von Changed Block Tracking-APIs in
NetWorker weiter verbessert, die in VADP enthalten sind.
•
Ermöglicht einfache Backups und Recoveries ohne die Installation von
Drittanbieter-Agents auf den einzelnen virtuellen Maschinen
•
Flexibel genug, um einzelne VMDK-Backups und -Wiederherstellungen für
eine VM durchzuführen, wenn Sie nur ein einziges virtuelles Laufwerk
schützen müssen
•
Direkter Zugriff auf Backup- und Recovery-Konfigurationen im vSphere
Web Client
DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5
6
•
Disaster-Recovery-Bereitschaft, einschließlich Replikation
•
Recovery mit sofortigem Zugriff – durch die Integration in Data Domain
kann die Ausführung einer virtuellen Maschine von einem Backup-Image
über die vSphere Web-Benutzeroberfläche orchestriert werden.
•
Zentrales Policy-Management
•
Recovery auf Dateiebene für Unix und Linux mit dem EMC Data ProtectionWiederherstellungsclient
•
Backup und Recovery auf Image-Ebene im vSphere Web Client
Die VBA im Überblick
Die VBA ist eine Software-Appliance, die Skalierbarkeit, erweiterte Administration,
vCenter-Integration und Deduplizierung mit EMC Data Domain Boost® bietet. Das
primäre Backupziel für die VBA ist ein Data Domain-System.
Dank der rollenbasierten Administration können Unternehmen einen zusätzlichen
Nutzen aus NetWorker ziehen. Hiervon profitieren auch die VMware-, Anwendungsund NetWorker-Administratoren, die die Kontrolle über ihre Umgebungen
übernehmen können, ohne sich mit neuen Administrationsschnittstellen vertraut
machen zu müssen. Dieses Konzept bietet Vorteile für Kunden, die herkömmliche
Methoden für das Management von Rechenzentren verwenden, sowie Kunden, die
im Begriff sind, den Wechsel zu einem IT-Serviceprovidermodell zu vollziehen.
Allgemeine Architektur
Die VBA wird in der vorhandenen VMware-Infrastruktur bereitgestellt und umfasst
Data Domain Boost, einen Backupproxy und eine Backup-Engine.
•
Backup-Engine
o Ermöglicht die Kommunikation mit den Proxys, vCenter und
NetWorker. Die Backup-Engine übernimmt darüber hinaus das
Changed Block Tracking.
•
Data Domain Boost 2
o Ein Data Domain-System ist das primäre Backupziel für die VBA.
Die clientseitige Deduplizierung erfolgt für alle Backups
automatisch durch die Integration in Data Domain Boost.
•
Backupproxy
o Die Bereitstellung von mehreren Proxys, die einen internen
Bestandteil der VBA bilden, sorgt für Skalierbarkeit und
Performance.
•
2
Die NetWorker-Lösung wird mit 8 internen Proxys konfiguriert und erlaubt
das Backup von bis zu 8 VMs gleichzeitig.
Data Domain Boost muss zusammen mit NetWorker und auf dem Data Domain-System lizenziert werden.
DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5
7
•
Um mehr als 8 VMs gleichzeitig zu sichern, muss eine externe
Proxy-VM bereitgestellt werden, die ebenfalls 8 interne Threads zur
Backupverarbeitung umfasst. Es können maximal 5 externe Proxys
hinzugefügt werden.
•
Ein NetWorker-Server kann mehrere VBAs managen, um Backups für
Hunderte und Tausende von VMs pro Backupzeitfenster zu erstellen.
Ein verfügbarer Proxyserver mit Zugriff auf den Datenspeicher der VM, für die das
Backup erstellt wird, nutzt den Hot-Add-Modus. Die Hot-Add-Funktion von VMware
ermöglicht das Hinzufügen einer Festplatte zu einer VM, ohne dass ein Neustart
der VM erforderlich ist. Dadurch ergibt sich ein zusätzlicher Nutzen, da allen
Proxys jederzeit die richtigen Ressourcen für Backup- und
Wiederherstellungsprozesse zur Verfügung stehen.
Abbildung 1: NetWorker VBA-Architektur
Weitere Informationen zur VMware-Integration in NetWorker finden Sie im VMwareIntegrationshandbuch für NetWorker 8.5.
Rollenbasierte Administration
Die NetWorker-Lösung stellt Tools für jeden der für die Datensicherheit der VMwareServer und -Anwendungen verantwortlichen Administratoren zur Verfügung. Bei den
administrativen Funktionen handelt es sich um Funktionen, mit denen Backup-,
System- und VMware-Administratoren zwar zusammenarbeiten, aber dennoch
unabhängig voneinander agieren können, um gemeinsame Datensicherheitsziele zu
verwirklichen – ohne dabei neue Tools oder Prozesse erlernen zu müssen.
DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5
8
VMware-Administrator:
Der VMware-Administrator nutzt das EMC Backup- und Recovery-Plug-in des
vSphere Web Client, um die VMware-Umgebung zu schützen. Das Plug-in ist nach
Abschluss der VBA-Installation und -Registrierung sichtbar.
Die Integration ermöglicht es VMware-Administratoren, Backups und
Wiederherstellungen (einschließlich Wiederherstellungen für den sofortigen
Zugriff) direkt über den vSphere Web Client und mithilfe derselben Schnittstelle
zu initiieren, die sie von allen anderen administrativen Aufgaben kennen und
verwenden. Bei den Policies, die der VMware-Administrator auswählen kann,
handelt es sich um die in der NMC definierten Policies. Für den VMwareAdministrator ist jedoch ersichtlich, dass NetWorker die Policies managt.
Diese Vorgehensweise sorgt dafür, dass die Backups unter Einhaltung der
Unternehmens-Policies durchgeführt werden. Policies, die der VMwareAdministrator über vSphere zuweist, sind dynamisch, sodass alle einem Ordner
zugewiesenen VMs automatisch durch die auf Ordnerebene implementierte
Policy geschützt werden. So werden alle neuen, dem Ordner hinzugefügten VMs
automatisch und ohne Eingriff des Benutzers erkannt und geschützt.
Mit dem vSphere Web Client kann der VMware-Administrator darüber hinaus
Selfservice-Recoveries auf Image-Ebene durchführen, ohne dass der
Backupadministrator hinzugezogen werden muss oder dass Kenntnisse der
NetWorker-Software erforderlich sind. Dies beinhaltet die Möglichkeit, einzelne
Wiederherstellungen auf VMDK-Ebene durchzuführen, die die Flexibilität der
Backupmanagementfunktionen des VM-Administrators weiter erhöhen.
NetWorker-Administrator:
Die NMC ist die Schnittstelle für den NetWorker-Administrator. Die NMC dient
dazu, alle NetWorker-Server, VBAs, Backupziele, Policies und Clients zu managen
und zu überwachen.
Alle bei vCenter registrierten VBAs werden automatisch im NMCAdministrationsfenster angezeigt. Eine VMware-Standardschutz-Policy wird
erstellt und der VBA automatisch zugewiesen. Es wird empfohlen, dass der
Backupadministrator nach der Konfiguration der VBAs eine kundenspezifische
Standardbackup-Policy erstellt und festlegt, dass alle neu erstellten VMs
automatisch dieser Policy hinzugefügt werden.
Bei Verwendung einer vom Anwender erstellten Standardbackup-Policy braucht
der NetWorker-Administrator keine Clientressource für jede VM zu erstellen. Dies
reduziert den Arbeitsaufwand für den NetWorker-Administrator im Laufe der Zeit
und sorgt dafür, dass alle VMs unmittelbar nach der Bereitstellung geschützt sind.
Darüber hinaus muss der NetWorker-Administrator nicht über umfassende
Kenntnisse der VMware-Umgebung(en) verfügen.
Änderungen, die in der NMC vorgenommen werden und für die VBA relevant sind,
werden an vCenter weitergeleitet und dem VMware-Administrator über die EMC
Backup- und Recovery-Schnittstelle auf transparente Weise zur Verfügung gestellt.
DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5
9
Abbildung 2: Zuordnungsansicht für VMware-Umgebungen in der NMC
Die in NetWorker 8.2 eingeführte NMC umfasst jetzt eine Zuordnungsansicht für
VMware-Umgebungen (VMware Environment Mapping), mit der der NetWorkerAdministrator die folgenden Aufgaben direkt in der NMC darstellen und
durchführen kann:
•
Erkennung und Visualisierung über NetWorker Management Console
•
Anzeige der Containerhierarchie und -eigenschaften
•
Anzeige/Bearbeitung der Verknüpfungen zwischen Objekten und Policies
•
Anzeige von geschützten/ungeschützten/übermäßig geschützten VMs
Dank dieser übersichtlichen visuellen Darstellung der gesamten vCenter-Umgebung
kann der NetWorker-Administrator täglich anfallende Managementaufgaben
problemlos durchführen und potenzielle Probleme ermitteln und beheben.
Systemadministrator/Anwender:
Systemadministratoren und Anwender haben die Möglichkeit, Windows- und LinuxDateien über die HTML 5-basierte Benutzeroberfläche des Wiederherstellungsclients
für EMC Data Protection wiederherzustellen. Durch diese SelfserviceWiederherstellungen ergeben sich Vorteile für die Backup- und VMwareAdministratoren, die sich nicht mehr mit Anfragen zur Wiederherstellung auf
Dateiebene befassen müssen.
Mit dem EMC Data Protection-Wiederherstellungsclient können Ordner und/oder
Dateien auf der ursprünglichen virtuellen Maschine sowie auf einer anderen
virtuellen Maschine wiederhergestellt werden. Dazu gehört auch die Recovery
auf Dateiebene in Windows und Linux. Für den Zugriff auf den Client muss
der Anwender lediglich die URL für die VBA eingeben und anschließend die
Wiederherstellung auf Dateiebene auswählen. Der Anwender kann nur auf die
Dateien/Ordner zugreifen, wenn er über die entsprechenden Berechtigungen
verfügt.
DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5
10
Zusammenfassung
EMC NetWorker wartet mit verbesserten Backup- und Recovery-Funktionen für
VMware-Umgebungen auf und ist zudem in vCenter integrierbar. VMware- und
Backupadministratoren können so ihre jeweiligen Anwendungen auf einfache
Weise managen und müssen keine neuen Tools erlernen.
NetWorker bietet zusätzlichen Mehrwert und senkt die Gesamtkosten. Dies
geschieht durch einen automatischen Lastenausgleich bei Backup- und
Wiederherstellungsjobs – d. h. Jobs werden je nach Verfügbarkeit an freie Proxys
weitergeleitet – sowie durch die integrierte clientseitige Deduplizierung.
Die NetWorker VMware-Backup-Appliance ist eine Software-Appliance, die
VMware-Kunden viele Vorteile bietet.
•
3-mal schnellere Backups und 30-mal schnellere Image-basierte Recovery
•
Changed Block Tracking für Backup und Wiederherstellung
•
Nutzung der vorhandenen LAN/WAN-IP-Bandbreite und virtuellen
Infrastruktur
•
Zentrales Policy-Management
•
Integrierte Datendeduplizierung
•
Nutzung vorhandener Managementschnittstellen
•
Integration in vCenter
•
Zentrales Monitoring und Reporting
•
Funktionen für den sofortigen Zugriff durch EMC Data Domain-Integration
•
Granularität eines einzelnen virtuellen Laufwerks für Backup und Recovery
•
Flexible Selfservice-Datei-Recovery auf Image-Ebene und für Anwender
•
Kontinuierlich inkrementelles Backup
•
Disaster Recovery und Replikation
•
Gemeinsame Managementschnittstellen
DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5
11