La solution VEEAM Cloud Connect est relativement simple à mettre en place (pour l’externalisation des backup, plus de configurations sont à prévoir pour la réplication). Il suffit de créer un backup server avec un repository, ajouter une Cloud Gateway et le tour est joué. Cependant, la connexion entre le Tenant et le Service Provider (SP) peut être compliquée notamment du côté réseau. Dans cet article, je vais montrer l’infrastructure qui a été mise en place du côté Service Provider.
Architecture Cloud Connect
Dans notre cas, nous avons seulement fait une externalisation des backups pour les clients avec les éléments suivants :
- 1 VEEAM Client
- 1 Cloud Gateway
- 1 VEEAM Cloud Provider (+ WAN accelerator si besoin)
Le client définit une destination cloud comme repository tandis que le provider alloue un Quota au client pour le stockage de ses backups dans le Cloud. Ensuite, le client fait tout simplement un « Backup To Cloud » (qui est un Backup Copy Job) vers le nouveau repository. Voici le cheminement du backup copy job :
- Du côté client, le Cloud correspond à l’adresse IP de la Cloud Gateway (IP publique Cirrus)
- Les données sont transférées vers la Cloud Gateway
- La Cloud Gateway fait transiter les données aux serveurs VEEAM via des ports spécifiques
- Le Quota du client est mis à jour et les données sont inscrites sur le repository du VEEAM Provider
La configuration du Job n’est pas gérée par le Cloud Provider, celui-ci est exclusivement paramétré par le client. Ainsi, il faut s’assurer que plusieurs clients peuvent copier leurs backups vers le Cloud en même temps.
Configuration Cloud Gateway
La fonction Cloud Gateway fonctionne de la même manière que le service Proxy VEEAM. Il faut installer une nouvelle machine Windows 2012 R2 et VEEAM transfère et installe automatiquement les services nécessaires.
Voici les informations de la VM : CloudGateway01
- Type : VM
- CPU : 4 / RAM : 8 Go
- HDD : C:\ de 40 Go
- Réseau : 1 NIC sur en DMZ / IP Publique
- Windows 2012 R2 Standard 64 bit
Une fois que le serveur est ajouté dans la console VEEAM du Backup server SP, il faut l’ajouter en tant que CloudGateway. Le point important est sur la configuration réseau apportée à la Cloud Gateway, en sélectionner l’option de la capture ci-dessous on part du pricinpe que la VM est exposé sur le net avec son adresse IP publique.
Dans la partie Cloud Connect du serveur VEEAM Backup & Replication du Service Provider, nous avons accès aux éléments qui constituent l’infrastructure :
- Les Cloud Gateway
- Les différents Repository
- Les clients dits Tenant
- Les tâches en cours et l’historique
Ajout d’un Tenant avec Quota
Une fois que tout est en place, nous allons ajouter notre premier client avec 5To de stockage. Pour ce faire, allez dans la rubrique « Tenant » et faites un « Add Tenant ». Ajouter un username ainsi qu’un mot de passe qui devra être communiqué au client, choisissez le type de Cloud Connect (ici seulement Backup Storage) et il est possible de mettre une expiration du contrat et une limite de la bande passante entrante.
Enfin, dans la partie Backup Ressources, il faut désigner le Quota à allouer au client (ici 5 To). Pour rappel, le WAN Accelerator est disponible pour les clients disposant d’une licence Enterprise pour le Cloud Connect (Enterprise plus pour du Backup Copy job sinon). Il n’a pas été mis en place actuellement (bien que facile à configurer).
Le Tenant a donc été créé au niveau du Provider et le client dispose de ses 5 To de backup sur le VEEAM Cloud Connect. On constate d’ailleurs que 23 VM sont déjà sauvegardées pour ce Tenant. Dans la vue Backup Storage, on peut voir tous les Quotas alloués aux clients (ici le client utilise 83% de son Quota).
Gestion des certificats
Pour qu’un client établisse une connexion avec notre infrastructure VEEAM Cloud Connect, il faut qu’il dispose du certificat fourni par le Provider. Dans la section « Manage Certificates », plusieurs choix s’offre à nous. Dans la section Manage Certificats :
Il est possible de générer un nouveau certificat pour notre Cloud Gateway (pour la première utilisation ou même pour recréer un certificat auto-signé). Vous avez aussi le choix d’importer un certificat à partir d’un PFX ou depuis le Cert Store du serveur VEEAM.
Une fois que le certificat est généré, il faut garder le Tumbprint pour l’ajouter ultérieurement dans la configuration du client. La configuration de la partie Provider est maintenant terminée.
Ouvertures réseaux
L’externalisation des backups clients passe par le lien Internet, en passant par la DMZ (où est placée la Cloud Gateway) pour aller dans le LAN du serveur VEEAM SP. Des ouvertures sur les Firewall sont donc essentielles, voici les ouvertures qui ont été faites pour infrastructure :
N.B :Par sécurité, il est possible de diminuer le range présenté dans le tableau. En effet le port choisit n’est pas aléatoire dans le range, il est incrémenter de 1 pour chaque connexion active.
Plus d’infos sur le help center pour les ports utilisé : https://helpcenter.veeam.com/docs/backup/cloud/ports.html?ver=95
Vous avez maintenant toutes les billes pour vous faire une infra Cloud Connect. Je vais faire un autre article sur la configuration du VEEAM côté Tenant et du lancement des jobs.