vmware-schutz mit emc networker 8.2
Transcription
vmware-schutz mit emc networker 8.2
White Paper DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5 Lösungsüberblick Zusammenfassung In diesem White Paper wird die Integration zwischen EMC® NetWorker® und VMware vCenter® beschrieben. Es enthält außerdem Informationen zur NetWorker-Architektur und zu den Vorteilen, die sich durch den Einsatz von NetWorker für die Datensicherheit in VMware-Umgebungen ergeben. April 2015 Copyright © 2015 EMC Deutschland GmbH. Alle Rechte vorbehalten. EMC ist der Ansicht, dass die Informationen in dieser Veröffentlichung zum Zeitpunkt der Veröffentlichung korrekt sind. Diese Informationen können jederzeit ohne vorherige Ankündigung geändert werden. Die Informationen in dieser Veröffentlichung werden ohne Gewähr zur Verfügung gestellt. Die EMC Corporation macht keine Zusicherungen und übernimmt keine Haftung jedweder Art im Hinblick auf die in diesem Dokument enthaltenen Informationen und schließt insbesondere jedwede implizite Haftung für die Handelsüblichkeit und die Eignung für einen bestimmten Zweck aus. Für die Nutzung, das Kopieren und die Verteilung der in dieser Veröffentlichung beschriebenen EMC Software ist eine entsprechende Softwarelizenz erforderlich. Eine aktuelle Liste der Produkte von EMC finden Sie unter EMC Corporation Trademarks auf germany.emc.com. Art.-Nr. H11954.3 DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5 2 Index Zusammenfassung .................................................................................................. 4 Einführung und Zielgruppe ...................................................................................... 5 Lösungsüberblick .................................................................................................... 5 Die VBA im Überblick ............................................................................................... 7 Allgemeine Architektur ................................................................................................... 7 Rollenbasierte Administration ........................................................................................ 8 Zusammenfassung ................................................................................................ 11 DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5 3 Zusammenfassung Mehr als 500.000 Kunden nutzen VMware® als Virtualisierungsplattform. Virtuelle Maschinen sind einfach zu erstellen, portabel und können automatisch von ESX-Host zu ESX-Host verschoben werden. Durch die Virtualisierung können Unternehmen neue Anwendungen innerhalb von Stunden anstatt Tagen bereitstellen. Gleichzeitig ermöglicht sie IT-Abteilungen, einen Serviceprovideransatz bei der Datensicherheit zu verfolgen und ihren Kunden so einen besseren Service zu bieten. Dieser Ansatz fördert nicht nur IT- und Geschäftsinitiativen, sondern bietet der IT auch neue Möglichkeiten in puncto Datensicherheit und Technologie. Ein Aspekt dieses Wandels in der IT besteht darin, dass Virtualisierungsteams spezifische Datensicherheitstools für virtuelle Maschinen einsetzen, während das Unternehmen die zentrale und transparente Kontrolle über die Unternehmens-Policies und die Aufbewahrung behält. Mit dem Trend zur Virtualisierung verändert sich auch die Art und Weise, in der Unternehmen ihre Datensicherheitsinfrastruktur gestalten. Herkömmliche Backuplösungen verursachen Ressourcenkonflikte in der virtuellen Infrastruktur, z. B. in Bezug auf Netzwerk, Speicher, Festplatte usw., und lassen sich nicht skalieren. Diese Ressourcenkonflikte führen zu langen und unzumutbaren Backup- und Recovery-Zeiten. Business-SLAs und Disaster-Recovery-Ziele können nicht mehr erfüllt werden und das Arbeitspensum von Backupadministratoren steigt, da sie möglicherweise zusätzliche Backupclientressourcen und -pläne managen müssen. Um die Vielzahl der Probleme zu lösen, die sich durch den Einsatz herkömmlicher Backupverfahren in virtualisierten Infrastrukturen ergeben, hat VMware vSphere® 5.1 auf den Markt gebracht – eine Lösung, die VMware-Administratoren umfangreiche Funktionen für Backup und Recovery über VADP bereitstellt. EMC® NetWorker® wird Schritt für Schritt in die VMware-Managementtools integriert, vor allem in die VMware vSphere Web-Benutzeroberfläche. Diese Integration macht das Management von Backups und Recoveries für alle Mitarbeiter, die für die Verwaltung der Virtualisierungsinfrastruktur zuständig sind, effektiver und zugänglicher. Die NetWorker vCenter-Integration wurde erstmals in NetWorker 8.1 mit der Einführung der NetWorker VMware Backup Appliance (VBA) implementiert. Die VBA erweitert den Funktionsumfang des standardmäßigen VMware VADP-Angebots und stellt branchenführende Funktionen für die Datensicherheit von VMware bereit. So kann NetWorker beispielsweise durch den Einsatz der Changed Block Tracking-Funktion von VADP die Größe von Clientbackups und -Recoveries reduzieren, bevor diese über das Netzwerk übertragen werden. Auf diese Weise werden die Infrastrukturressourcenprobleme vermieden, die bei herkömmlichen Backuplösungen gang und gäbe sind. NetWorker räumt sämtliche Bedenken in Bezug auf Performance aus, die mit eher herkömmlichen Backupmethoden verbunden sind, da ein 3-mal schnelleres Backup und eine 30-mal schnellere Image-basierte Recovery geboten werden. Ab NetWorker 8.2 hat EMC die VBA-Funktionen und die Flexibilität für die Recovery von VMs noch weiter verbessert. DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5 4 An erster Stelle steht hierbei die Integration in EMC Data Domain-Systeme, dank der die Möglichkeit einer Recovery mit sofortigem Zugriff direkt in Data Domain gegeben ist. Diese Verbesserung ermöglicht die nahezu sofortige Recovery einer laufenden virtuellen Maschine mit den wichtigsten Geschäftsanwendungen innerhalb einer VM-Infrastruktur. An zweiter Stelle steht die Möglichkeit, einzelne virtuelle Laufwerke einer geschützten VM wiederherzustellen, anstatt die vollständige VM wiederherzustellen. In den folgenden Abschnitten werden die NetWorker VBA und deren robuste Funktionen im Detail beschrieben. Einführung und Zielgruppe Dieses White Paper gibt einen technischen Überblick über die Datensicherheitsfunktionen von NetWorker für VMware. Es enthält eine umfassende Beschreibung der NetWorker VMware-Backup-Appliance. Das Dokument ist für VMware- und Backupadministratoren bestimmt, die mehr über die Architektur und die Funktionen der NetWorker-Lösung erfahren möchten. Es enthält keine Details zu den Funktionen der VADP-Legacy-Lösung von NetWorker. Lösungsüberblick NetWorker sorgt für branchenführende Datensicherheit in VMware-Umgebungen durch die Integration in VMware vCenter. Die NetWorker-Integration geschieht mittels Bereitstellung einer OVA 1 in vCenter. Die OVA-Datei enthält die NetWorker VBA-Software (VMware-Backup-Appliance). Die NetWorker-Lösung für VMware ermöglicht es VMware-Administratoren, Tausende von virtuellen Maschinen über die vSphere Web Client-Schnittstelle zu schützen. Sie bietet so Vorteile für Rechenzentren, die zu einem Selfservicemodell für die Datensicherheit übergehen möchten. Die Lösung ermöglicht das Definieren von Policies, die den jeweiligen geschäftlichen Anforderungen gerecht werden. So haben viele Kunden beispielsweise spezielle Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) für ihre Geschäftsanwendungen. Möglicherweise schreibt auch das Unternehmen Anforderungen für spezielle Backupziele, AufbewahrungsPolicies und Replikationsmedien vor. NetWorker unterstützt eine breite Palette von Festplatten- und Bandzielen, einschließlich des EMC Data Domain®-Systems für Backups und Replikationen. Eine OVA (Open Virtual Appliance oder Application) ist eine Distribution in einer einzigen Datei, die im TAR-Format gespeichert wird. 1 DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5 5 Cloning-Vorgänge auf alle unterstützten Backupziele wie Data Domain-Systeme, Festplatte oder Band sind mithilfe des NetWorker Management Center (NMC) konfigurierbar und stellen einen Teil der Policy dar, die automatisch an vCenter ausgelagert wird. Durch die Clone Controlled Replication (CCR), d. h. die Replikation zwischen Data Domain-Systemen, ergeben sich zusätzliche Vorteile, da nur die deduplizierten Daten repliziert werden. Der Cloning-Prozess wird automatisch gestartet, sobald ein Saveset-Backup abgeschlossen wurde. Durch die sich daraus ergebende Datenverfügbarkeit wird die Einhaltung von Unternehmens-Policies für die Disaster Recovery ermöglicht. Für den VMwareAdministrator ist dabei klar ersichtlich, dass die Daten repliziert werden. Der VMware-Administrator kann eine Wiederherstellung vom primären Gerät sowie vom Gerät, das die replizierten Daten enthält, durchführen. Skalierbarkeit ist ein weiterer Vorteil der NetWorker-Lösung. Der Lastenausgleich erfolgt über universelle Proxyserver, die automatisch auf Grundlage von Verfügbarkeit ausgewählt werden. So kann NetWorker beispielsweise Jobs per Lastenausgleich auf verschiedenen virtuellen Proxyservern verteilt laden, damit die einzelnen Proxys nicht überfordert werden. Jobs können auch an verfügbare Proxys geschickt werden, um wichtige Workloads zu verarbeiten. Die in NetWorker 8.5 verbesserte Integration in vSphere wird für das Management von VMDK-Snapshots ohne Benutzereingriff verwendet, einschließlich der intelligenten Erstellung von VM-Snapshots und der Bereinigung. Durch die Integration von NetWorker in vCenter ergeben sich zahlreiche Vorteile: • Schneller und effizienter Schutz von Daten für alle virtuellen Maschinen, selbst für ausgeschaltete oder zwischen ESX-Hosts migrierte virtuelle Maschinen • Deutliche Reduzierung des von Backupdaten belegten Festplattenspeichers durch patentierte Technologie zur Deduplizierung mit variabler Länge bei allen Backups • Kontinuierliche, komplette inkrementelle Backups – Jedes VBA-Backup ist ein komplettes Backup. Eine Wiederherstellung vom letzten kompletten Backup sowie von den nachfolgenden inkrementellen Backups zum Erreichen des gewünschten Recovery-Punkts ist nicht erforderlich. Nach einem ersten kompletten Backup werden nur die inkrementellen Backups an die VBA gesendet. Die VBA verfolgt alle inkrementellen Backups nach und sendet die richtigen Daten während der Wiederherstellung an den Server zurück. Im Prinzip gestaltet sich der Prozess, bei dem die inkrementellen Daten wiederhergestellt werden, vollständig transparent und ahmt die Wiederherstellung eines kompletten Backups nach. Diese Funktion wird durch die Verwendung von Changed Block Tracking-APIs in NetWorker weiter verbessert, die in VADP enthalten sind. • Ermöglicht einfache Backups und Recoveries ohne die Installation von Drittanbieter-Agents auf den einzelnen virtuellen Maschinen • Flexibel genug, um einzelne VMDK-Backups und -Wiederherstellungen für eine VM durchzuführen, wenn Sie nur ein einziges virtuelles Laufwerk schützen müssen • Direkter Zugriff auf Backup- und Recovery-Konfigurationen im vSphere Web Client DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5 6 • Disaster-Recovery-Bereitschaft, einschließlich Replikation • Recovery mit sofortigem Zugriff – durch die Integration in Data Domain kann die Ausführung einer virtuellen Maschine von einem Backup-Image über die vSphere Web-Benutzeroberfläche orchestriert werden. • Zentrales Policy-Management • Recovery auf Dateiebene für Unix und Linux mit dem EMC Data ProtectionWiederherstellungsclient • Backup und Recovery auf Image-Ebene im vSphere Web Client Die VBA im Überblick Die VBA ist eine Software-Appliance, die Skalierbarkeit, erweiterte Administration, vCenter-Integration und Deduplizierung mit EMC Data Domain Boost® bietet. Das primäre Backupziel für die VBA ist ein Data Domain-System. Dank der rollenbasierten Administration können Unternehmen einen zusätzlichen Nutzen aus NetWorker ziehen. Hiervon profitieren auch die VMware-, Anwendungsund NetWorker-Administratoren, die die Kontrolle über ihre Umgebungen übernehmen können, ohne sich mit neuen Administrationsschnittstellen vertraut machen zu müssen. Dieses Konzept bietet Vorteile für Kunden, die herkömmliche Methoden für das Management von Rechenzentren verwenden, sowie Kunden, die im Begriff sind, den Wechsel zu einem IT-Serviceprovidermodell zu vollziehen. Allgemeine Architektur Die VBA wird in der vorhandenen VMware-Infrastruktur bereitgestellt und umfasst Data Domain Boost, einen Backupproxy und eine Backup-Engine. • Backup-Engine o Ermöglicht die Kommunikation mit den Proxys, vCenter und NetWorker. Die Backup-Engine übernimmt darüber hinaus das Changed Block Tracking. • Data Domain Boost 2 o Ein Data Domain-System ist das primäre Backupziel für die VBA. Die clientseitige Deduplizierung erfolgt für alle Backups automatisch durch die Integration in Data Domain Boost. • Backupproxy o Die Bereitstellung von mehreren Proxys, die einen internen Bestandteil der VBA bilden, sorgt für Skalierbarkeit und Performance. • 2 Die NetWorker-Lösung wird mit 8 internen Proxys konfiguriert und erlaubt das Backup von bis zu 8 VMs gleichzeitig. Data Domain Boost muss zusammen mit NetWorker und auf dem Data Domain-System lizenziert werden. DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5 7 • Um mehr als 8 VMs gleichzeitig zu sichern, muss eine externe Proxy-VM bereitgestellt werden, die ebenfalls 8 interne Threads zur Backupverarbeitung umfasst. Es können maximal 5 externe Proxys hinzugefügt werden. • Ein NetWorker-Server kann mehrere VBAs managen, um Backups für Hunderte und Tausende von VMs pro Backupzeitfenster zu erstellen. Ein verfügbarer Proxyserver mit Zugriff auf den Datenspeicher der VM, für die das Backup erstellt wird, nutzt den Hot-Add-Modus. Die Hot-Add-Funktion von VMware ermöglicht das Hinzufügen einer Festplatte zu einer VM, ohne dass ein Neustart der VM erforderlich ist. Dadurch ergibt sich ein zusätzlicher Nutzen, da allen Proxys jederzeit die richtigen Ressourcen für Backup- und Wiederherstellungsprozesse zur Verfügung stehen. Abbildung 1: NetWorker VBA-Architektur Weitere Informationen zur VMware-Integration in NetWorker finden Sie im VMwareIntegrationshandbuch für NetWorker 8.5. Rollenbasierte Administration Die NetWorker-Lösung stellt Tools für jeden der für die Datensicherheit der VMwareServer und -Anwendungen verantwortlichen Administratoren zur Verfügung. Bei den administrativen Funktionen handelt es sich um Funktionen, mit denen Backup-, System- und VMware-Administratoren zwar zusammenarbeiten, aber dennoch unabhängig voneinander agieren können, um gemeinsame Datensicherheitsziele zu verwirklichen – ohne dabei neue Tools oder Prozesse erlernen zu müssen. DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5 8 VMware-Administrator: Der VMware-Administrator nutzt das EMC Backup- und Recovery-Plug-in des vSphere Web Client, um die VMware-Umgebung zu schützen. Das Plug-in ist nach Abschluss der VBA-Installation und -Registrierung sichtbar. Die Integration ermöglicht es VMware-Administratoren, Backups und Wiederherstellungen (einschließlich Wiederherstellungen für den sofortigen Zugriff) direkt über den vSphere Web Client und mithilfe derselben Schnittstelle zu initiieren, die sie von allen anderen administrativen Aufgaben kennen und verwenden. Bei den Policies, die der VMware-Administrator auswählen kann, handelt es sich um die in der NMC definierten Policies. Für den VMwareAdministrator ist jedoch ersichtlich, dass NetWorker die Policies managt. Diese Vorgehensweise sorgt dafür, dass die Backups unter Einhaltung der Unternehmens-Policies durchgeführt werden. Policies, die der VMwareAdministrator über vSphere zuweist, sind dynamisch, sodass alle einem Ordner zugewiesenen VMs automatisch durch die auf Ordnerebene implementierte Policy geschützt werden. So werden alle neuen, dem Ordner hinzugefügten VMs automatisch und ohne Eingriff des Benutzers erkannt und geschützt. Mit dem vSphere Web Client kann der VMware-Administrator darüber hinaus Selfservice-Recoveries auf Image-Ebene durchführen, ohne dass der Backupadministrator hinzugezogen werden muss oder dass Kenntnisse der NetWorker-Software erforderlich sind. Dies beinhaltet die Möglichkeit, einzelne Wiederherstellungen auf VMDK-Ebene durchzuführen, die die Flexibilität der Backupmanagementfunktionen des VM-Administrators weiter erhöhen. NetWorker-Administrator: Die NMC ist die Schnittstelle für den NetWorker-Administrator. Die NMC dient dazu, alle NetWorker-Server, VBAs, Backupziele, Policies und Clients zu managen und zu überwachen. Alle bei vCenter registrierten VBAs werden automatisch im NMCAdministrationsfenster angezeigt. Eine VMware-Standardschutz-Policy wird erstellt und der VBA automatisch zugewiesen. Es wird empfohlen, dass der Backupadministrator nach der Konfiguration der VBAs eine kundenspezifische Standardbackup-Policy erstellt und festlegt, dass alle neu erstellten VMs automatisch dieser Policy hinzugefügt werden. Bei Verwendung einer vom Anwender erstellten Standardbackup-Policy braucht der NetWorker-Administrator keine Clientressource für jede VM zu erstellen. Dies reduziert den Arbeitsaufwand für den NetWorker-Administrator im Laufe der Zeit und sorgt dafür, dass alle VMs unmittelbar nach der Bereitstellung geschützt sind. Darüber hinaus muss der NetWorker-Administrator nicht über umfassende Kenntnisse der VMware-Umgebung(en) verfügen. Änderungen, die in der NMC vorgenommen werden und für die VBA relevant sind, werden an vCenter weitergeleitet und dem VMware-Administrator über die EMC Backup- und Recovery-Schnittstelle auf transparente Weise zur Verfügung gestellt. DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5 9 Abbildung 2: Zuordnungsansicht für VMware-Umgebungen in der NMC Die in NetWorker 8.2 eingeführte NMC umfasst jetzt eine Zuordnungsansicht für VMware-Umgebungen (VMware Environment Mapping), mit der der NetWorkerAdministrator die folgenden Aufgaben direkt in der NMC darstellen und durchführen kann: • Erkennung und Visualisierung über NetWorker Management Console • Anzeige der Containerhierarchie und -eigenschaften • Anzeige/Bearbeitung der Verknüpfungen zwischen Objekten und Policies • Anzeige von geschützten/ungeschützten/übermäßig geschützten VMs Dank dieser übersichtlichen visuellen Darstellung der gesamten vCenter-Umgebung kann der NetWorker-Administrator täglich anfallende Managementaufgaben problemlos durchführen und potenzielle Probleme ermitteln und beheben. Systemadministrator/Anwender: Systemadministratoren und Anwender haben die Möglichkeit, Windows- und LinuxDateien über die HTML 5-basierte Benutzeroberfläche des Wiederherstellungsclients für EMC Data Protection wiederherzustellen. Durch diese SelfserviceWiederherstellungen ergeben sich Vorteile für die Backup- und VMwareAdministratoren, die sich nicht mehr mit Anfragen zur Wiederherstellung auf Dateiebene befassen müssen. Mit dem EMC Data Protection-Wiederherstellungsclient können Ordner und/oder Dateien auf der ursprünglichen virtuellen Maschine sowie auf einer anderen virtuellen Maschine wiederhergestellt werden. Dazu gehört auch die Recovery auf Dateiebene in Windows und Linux. Für den Zugriff auf den Client muss der Anwender lediglich die URL für die VBA eingeben und anschließend die Wiederherstellung auf Dateiebene auswählen. Der Anwender kann nur auf die Dateien/Ordner zugreifen, wenn er über die entsprechenden Berechtigungen verfügt. DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5 10 Zusammenfassung EMC NetWorker wartet mit verbesserten Backup- und Recovery-Funktionen für VMware-Umgebungen auf und ist zudem in vCenter integrierbar. VMware- und Backupadministratoren können so ihre jeweiligen Anwendungen auf einfache Weise managen und müssen keine neuen Tools erlernen. NetWorker bietet zusätzlichen Mehrwert und senkt die Gesamtkosten. Dies geschieht durch einen automatischen Lastenausgleich bei Backup- und Wiederherstellungsjobs – d. h. Jobs werden je nach Verfügbarkeit an freie Proxys weitergeleitet – sowie durch die integrierte clientseitige Deduplizierung. Die NetWorker VMware-Backup-Appliance ist eine Software-Appliance, die VMware-Kunden viele Vorteile bietet. • 3-mal schnellere Backups und 30-mal schnellere Image-basierte Recovery • Changed Block Tracking für Backup und Wiederherstellung • Nutzung der vorhandenen LAN/WAN-IP-Bandbreite und virtuellen Infrastruktur • Zentrales Policy-Management • Integrierte Datendeduplizierung • Nutzung vorhandener Managementschnittstellen • Integration in vCenter • Zentrales Monitoring und Reporting • Funktionen für den sofortigen Zugriff durch EMC Data Domain-Integration • Granularität eines einzelnen virtuellen Laufwerks für Backup und Recovery • Flexible Selfservice-Datei-Recovery auf Image-Ebene und für Anwender • Kontinuierlich inkrementelles Backup • Disaster Recovery und Replikation • Gemeinsame Managementschnittstellen DATENSICHERHEIT FÜR VMWARE MIT EMC NETWORKER 8.5 11