Поддерживаемые функции VMware
Сервер резервного копирования MABS предоставляет следующие возможности резервного копирования виртуальных машин VMware:
- Резервное копирование без агента: MABS не требует установки агента на сервере ESXi или vCenter для резервного копирования виртуальной машины. Достаточно указать IP-адрес или полное доменное имя сервера VMware и учетные данные для его аутентификации в MABS.
- Интеграция резервного копирования с облаком: сервер MABS может копировать рабочие нагрузки на диск и в облако. Рабочий процесс сервера MABS для резервного копирования и восстановления позволяет настроить долгосрочное хранение данных и стороннее резервное копирование.
- Обнаружение и защита виртуальных машин, управляемых vCenter: сервер MABS обнаруживает и защищает виртуальные машины, развернутые на сервере VMware (сервере vCenter или ESXi). При увеличении размера развертывания используйте vCenter для управления средой VMware. Сервер MABS также обнаруживает виртуальные машины, управляемые vCenter, что позволяет защищать крупные развертывания.
- Автоматическая защита на уровне папок. vCenter позволяет организовать виртуальные машины в папки виртуальных машин. MABS обнаруживает эти папки и позволяет настроить защиту виртуальных машин на уровне папок, включая и все вложенные папки. С настроенной защитой папок MABS защищает не только виртуальные машины, находящиеся в папке, но и добавленные в нее позже. MABS ежедневно проверяет наличие новых виртуальных машин и автоматически распространяет на них защиту. При упорядочивании виртуальных машин по рекурсивным папкам MABS автоматически обнаруживает и начинает защищать новые виртуальные машины, развернутые в этих папках.
- MABS защищает виртуальные машины, сохраненные на локальном диске, в сетевой файловой системе (NFS) или системе хранения данных кластера.
- MABS защищает виртуальные машины, перенесенные для балансировки нагрузки. MABS автоматически отслеживает все виртуальные машины, перенесенные для балансировки нагрузки, и поддерживает их защиту.
- MABS может восстановить файлы и (или) папки виртуальной машины Windows без полного восстановления всей виртуальной машины, что позволяет быстрее получить нужные файлы.
Управление
VMware vSphere 6.0 Enterprise Plus | Microsoft Hyper-V 2012 R2 Datacenter | |
Централизованное управление | Да (vCenter Server + усовершенствованный веб-клиент vSphere, vCenter Server Appliance, SSO | Да (System Center 2012 R2 VMM) (SCVMM) |
Интеграция с Active Directory | Да (хосты vCenter и ESXi), усовершенствованный SSO | Да (SCVNN) |
Управление через браузер | Да (улучшенный веб-клиент vSphere с усовершенствованным SSO и плагин для BDE (Big Data Extension) | Не ограничено через портал самообслуживания (Self Service Portal, SSP) |
Обновление гипервизора | Да (через VMware Update Manager, CLI и AutоDeploy) | Да (Cluster Aware Update, Fabric Update, Management Server) |
Межплатформенное управление | Бесплатный Add-on Multi-Hypervisor Manager | SCVMM может управлять виртуальными средами VMware и Citrix |
Обновление ВМ | Да (Update Manager и vCenter Configuration Manager (vCM) | Да (контрольные точки), включает «живой» экспорт |
Поддержка Maintenаnce Mode | Да (автоматическая миграция ВМ средствами vMotion на другой хост в кластере DRS | Да |
Средство управления питанием | Да, с распределением питания | Да, с оптимизацией питания |
API для интеграции с системами резервного копирования | Да (vStorage API Data Protection) | Да (VSS API) |
Шаблоны ВМ | Да, с многосайтовой библиотекой контента | Да, включая шаблоны Gen2 |
Профили хостов | Да (профили хостов, усовершенствованные для автоматического развертывания) | Да (профили физических компьютеров) |
P2V,V2V | Да (VMware Converter) | Нет (более не поддерживается, но можно использовать прежние версии VMM) |
Живая миграция ВМ | Да (vMotion через vSwitch, vCenter Server и без общих ресурсов хранения, удаленная vMotion при RTT до 100 мс) | Да (неограниченная одновременная, без общих ресурсов — Shared Nothing; новы опции — сжатие и SMB3) |
Миграция хранилища (Storage Migration) | Да (Live Storage vMotion, включая реплицированные ВМ), опциональное задание места хранилища для каждого диска ВМ | Да («живая» и Shared Nothing) |
Профили хранения | Да (управление хранением по политикам) | Да (классификация хранения) |
Защита VM LOCKSTEP | Да (Fault Tolerance), поддерживается 4 vCPU без ограничений на типы дисков | Нет |
2. Экспорт виртуальной машины VMware
Экспорт-импорт машин VMware обеспечивается поддержкой в программе VMware Workstation универсального формата хранения виртуальных машин Open Virtual Appliance. Это формат OVA или OVF. С этим форматом нативно работает и VirtualBox, что делает возможным перенос виртуальных машин ещё и между этими двумя гипервизорами. Open Virtual Appliance – это архив, включающий информацию о конфигурации виртуальной машины и хранящий в сжатом виде непосредственно содержимое виртуального жёсткого диска.
Чтобы экспорт машины VMware был возможен, необходимо отключить от её виртуального привода прикреплённые ISO-образы.
Сам процесс экспорта чрезвычайно прост: в меню «Файл» кликаем «Экспорт в OVF».
И указываем путь сохранения архива машины.
1. Открытие виртуальных машин в VMware Workstation
Если работа с виртуальными машинами будет производиться и далее в среде VMware Workstation, нет в принципе нужды экспортировать машины. После переустановки хост-системы Windows нужно установить гипервизор и в меню «Файл» выбрать «Сканирование виртуальных машин».
Далее указываем каталог расположения машин, тот, что был до переустановки хостовой Windows.
И добавляем все обнаруженные машины в библиотеку VMware Workstation. Если нужны не все, то, соответственно, снимаем галочки с ненужных.
Далее открываем программную библиотеку и можем работать с добавленными в интерфейс машинами.
По этому же принципу можем поступить и при переходе на другой компьютер. Мы физически переносим каталог хранения виртуальных машин VMware на диск другого компьютера. И в установленной на том другом компьютере программе VMware Workstation добавляем перенесённые виртуальные машины. При добавлении новых готовых машин программа во время их первого запуска обычно выдаёт запрос: мол, обнаружено, что это перенесённая или скопированная машина. Но программе необходимо точно указать, машина перенесена или скопирована. Это нужно для настройки сети и других функций. И вот в ответ на такой запрос нажимаем кнопку «I Moved It», т.е. указываем, что машина перенесённая.
Перенос непосредственно каталога виртуальных машин на другой компьютер – как видим, способ чрезвычайно простой, но он хорош для случаев, когда мы не стеснены средствами переноса данных. К примеру, у нас есть нужного объёма USB-HDD, либо же мы можем перенести каталог с виртуальными машинами в онлайне с использованием торрент-технологии. Но если у нас нет USB-HDD, а каталог с машинами нужно какое-то время где-то передержать, прежде чем он может быть помещён на целевой компьютер, машины лучше экспортировать. Экспортировать с целью сжатия данных. К примеру, в нашем случае папка одной виртуальной машины с фиксированным виртуальным диском весит 50 Гб.
А вес файлов экспортированной машины будет составлять даже менее 5 Гб.
Создание безопасного подключения к серверу vCenter
По умолчанию Azure Backup Server взаимодействует с серверами VMware по протоколу HTTPS. Чтобы настроить соединение HTTPS, скачайте сертификат Центра сертификации (ЦС) VMware и импортируйте его в Azure Backup Server.
Перед началом
Чтобы не использовать протокол HTTPS, .
Обычно к серверу vCenter или ESXi можно подключиться из браузера на компьютере Azure Backup Server через веб-клиент vSphere
При выполнении этой операции в первый раз соединение будет не защищенным, и отобразится следующее.
Важно понимать, как Azure Backup Server обрабатывает резервные копии.
Первым шагом будет создание Azure Backup Server резервной копии данных в локальном хранилище дисков. Azure Backup Server использует пул хранилища, набор дисков и томов, на которых Azure Backup Server хранит точки восстановления диска для защищенных данных
Пул хранения может быть хранилищем, подключенным напрямую (DAS), оптоволоконным каналом сети SAN или устройством или сетью хранения данных iSCSI. Важно убедиться, что хранилище имеет достаточный объем для создания локальной резервной копии данных виртуальной машины VMware.
Затем Azure Backup Server создает резервные копии в Azure из локального хранилища дисков.
Чтобы выяснить, какой объем хранилища необходим, см. . Информация предназначена для DPM, но ее также можно использовать для сервера Azure Backup Server.
Настройка сертификата
Настройте безопасный канал следующим образом.
-
В браузере на сервере Azure Backup Server введите URL-адрес веб-клиента vSphere. Если страница входа не отображается, проверьте параметры подключения и прокси-сервера из браузера.
-
На странице входа веб-клиента vSphere выберите команду Скачать сертификаты доверенного корневого ЦС.
-
Загружается файл с именем download. В зависимости от браузера появится сообщение с предложением открыть или сохранить файл.
-
Сохраните файл на компьютере Azure Backup Server с расширением ZIP.
-
Правой кнопкой мыши щелкните download.zip > Extract All (Извлечь все). Содержимое сжатого ZIP-файла будет извлечено в папку certs, которая вмещает следующие элементы.
- Файл корневого сертификата с расширением, которое начинается с нумерованной последовательности, например, .0 и .1.
- Файл списка отзыва сертификатов имеет расширение, которое начинается с такой последовательности, как .r0 или .r1. Файл списка отзыва сертификатов связан с сертификатом.
-
В папке certs щелкните правой кнопкой мыши файл корневого сертификата и выберите Переименовать.
-
Измените расширение файла корневого сертификата на CRT и подтвердите. Значок файла изменится на значок корневого сертификата.
-
Щелкните правой кнопкой мыши этот корневой сертификат и во всплывающем меню выберите Установить сертификат.
-
В Мастере импорта сертификатов выберите Локальный компьютер в качестве места назначения сертификата, а затем щелкните Далее. Если отобразится запрос разрешения на внесение изменений на компьютер, разрешите внести изменения.
-
На странице Хранилище сертификатов выберите команду Поместить все сертификаты в следующее хранилище, а затем щелкните Обзор, чтобы выбрать хранилище сертификатов.
-
В окне Выбор хранилища сертификатов в качестве папки назначения сертификатов выберите Доверенные корневые центры сертификации и нажмите кнопку ОК.
-
В окне Завершение работы мастера импорта сертификатов проверьте папку и нажмите кнопку Готово.
-
После подтверждения импорта сертификата войдите на vCenter Server, чтобы подтвердить, что подключение защищено.
Отключение проверки сертификата HTTPS
Если в организации существуют границы безопасности или использование протокола HTTPS между серверами VMware и компьютером Azure Backup Server не требуется, отключите HTTPS следующим образом:
-
Скопируйте этот текст и вставьте его в простой текстовый файл.
-
На компьютере Azure Backup Server сохраните файл с именем DisableSecureAuthentication.reg.
-
Дважды щелкните этот файл, чтобы активировать параметр реестра.
Форматы виртуальных накопителей
-
RAW. Самый понятный и простой формат. Это файл с данными жесткого диска «байт в байт» без сжатия или оптимизации. Это очень удобный формат, поскольку его легко смонтировать стандартной командой mount в любой linux-системе. Более того это самый быстрый «тип» накопителя, так как гипервизору не нужно его никак обрабатывать.
Серьезным недостатком этого формата является то, что сколько Вы выделили места для виртуальной машины, ровно столько места на жестком диске и будет занимать файл в формате RAW (вне зависимости от реально занятого места внутри виртуальной машины). -
QEMU image format (qcow2). Пожалуй, самый универсальный формат для выполнения любых задач. Его преимущество в том, что файл с данными будет содержать только реально занятое место внутри виртуальной машины. Например, если было выделено 40 Гб места, а реально было занято только 2 Гб, то все остальное место будет доступно для других VM. Это очень актуально в условиях экономии дискового пространства.
Небольшим минусом работы с этим форматом является следующее: чтобы примонтировать такой образ в любой другой системе, потребуется вначале загрузить особый драйвер nbd, а также использовать утилиту qemu-nbd, которая позволит операционной системе обращаться к файлу как к обычному блочному устройству. После этого образ станет доступен для монтирования, разбиения на разделы, осуществления проверки файловой системы и прочих операций.
Следует помнить, что все операции ввода-вывода при использовании этого формата программно обрабатываются, что влечет за собой замедление при активной работе с дисковой подсистемой. Если стоит задача развернуть на сервере базу данных, то лучше выбрать формат RAW. -
VMware image format (vmdk). Этот формат является «родным» для гипервизора VMware vSphere и был включен в Proxmox для совместимости. Он позволяет выполнить миграцию виртуальной машины VMware в инфраструктуру Proxmox.
Использование vmdk на постоянной основе не рекомендуется, данный формат самый медленный в Proxmox, поэтому он годится лишь для выполнения миграции, не более. Вероятно в обозримом будущем этот недостаток будет устранен.
Резервное копирование – это просто
- Поддержка Hyper-V в Windows Server 2008 R2 и старше.
- Поддержка VMware vSphere 5,6 и старше.
- Резервирование Exchange Server на уровне элементов.
- Технология инкрементного резервного копирования ReverseDelta.
- Репликация резервных копий на другую площадку.
- Сжатие данных, уменьшающее объем резервных копий примерно на 25%.
- Шифрование резервных копий.
- Мгновенное восстановление на уровне файлов.
- Восстановление в «песочницу» Sandbox Restore для проверки целостности резервной копии и самой возможности восстановить ее.
- Поддержка Microsoft Exchange и SQL.
- Полная поддержка Microsoft Cluster Shared Volumes.
- Возможность восстановления ВМ на разных системах.
- Индивидуальные, задаваемые для отдельных ВМ, политики резервирования и хранения.
ценаAltaro VM Backup
Добавление задания в планировщик задач Windows
Запускаем от имена администратора «Планировщик заданий Windows».
Правой кнопкой мышки кликаем на папке «Библиотека планировщика заданий» и выбираем «Создать простую задачу». Даем нашей задаче имя: «VeeamZIP-test» и задаем свойства новой задачи.
Рис. 12
Опишем характер задачи при необходимости
Рис. 13
Установим график для новой задачи
Рис. 14
Зададим действия, которые надо выполнить для задачи.
Рис. 15
Обратите внимание на данный шаг, а именно на то, как распределены команда и ее аргументы по форме:
— в моем случае планировщик согласился выполнять мой сценарий только при таком методе заполнения полей (Отдельно 2 строки: «Программа…» и «Добавить аргументы…»). Рис
16
Рис. 16
Рис. 17
Рис. 18
Рис. 19
После настройки задания, выполним его принудительно вне графика, для отладки.
Надо заметить, что механизм VeeamZIP начинает работу не моментально, а через некоторый промежуток времени, необходимый для служебных процедур подготовки выполнения работы по копированию. Имейте это ввиду при ожидании, во время выполнения проверок работы резервного копирования.
Рис. 20
Должно отработать также, как в предыдущем примере, за одним отличием — процесс будет запущен в фоне, без запуска каких-либо окон на экране.
По этой причине, отслеживать его удачный запуск можно несколькими путями, среди которых:
— диспетчер задач (загрузка ЦП и сетевого интерфейса);
— создание в хранилище нового файла-архива образа ВМ;
— в целях отладки — записи событий в журнале нашего задания.
Ниже показан характерный пик активности на интерфейсе lan-pci во время загрузки образов ВМ с ESXi на сервер Veeam B&R:
Рис. 21
Записанные архивы образов ВМ в каталоге назначения (хранилище резервных копий).
Рис. 22
Осталось убедиться, что резервное копирование работает как в ручном режиме так и по назначенному графику.
Хотелось бы несколько слов сказать касательно типов лицензий.
Для функционирования вышеописанного метода резервного копирования необходимо соблюдения следующих условий по используемому ПО:
ОС бэкап-сервера — Windows 7 x64 sp1/ Server 2008R2 / 2012 или новее;
Veeam Backup & Replication (Free, не ниже v8 +обязательная установка последних обновлений, но не ниже upd v.3);
VMware ESXi 6 (вполне возможно будет работать с v5.5) Essential Kit или выше (более расширенная лицензия). Бесплатная (ESXi Freeware) версия блокирует возможность создавать бэкапы ВМ.
По состоянию на первую половину 2016 года, стоимость лицензий при вышеприведенной схеме будет в пределах 45 т. руб. (ESXi Essential Kit x 3 servers) + 10 т. руб. на Windows 7 (8).
По поводу ESXi можно отдельно заметить, что лицензия Essential Kit позволит получить доступ к функционированию механизма резервного копирования цельных копий виртуальных машин. В случае наличия финансовой возможности расширить лицензию, скажем до Enterprise, для использования откроется режим частичного копирования (инкрементная схема и еще ряд других полезных и интересных опций).
Этот режим конечно еще более оптимален, если не смотреть на итоговую смету. Более того, если есть средства на полные корпоративные пакеты VMware ESXi, то тут уже видимо можно вести речь про закупку полной коммерческой версии для Veeam Backup & Replication, что уже откроет дорогу к использованию всех опций данного ПО, включая планировщик. Нетрудно заметить, что такой вариант заставляет задуматься о целесообразности использовать описанную в статье технику работы с бэкапами и очевидно, приведен для общего ориентирования по теме.
В случае, если лишних финансов на расширенные лицензии у вас не наблюдается, то полагаю использование описанной в статье связки выглядит более чем оптимально и бюджетно.
На этом пожалуй завершу первую часть статьи посвященной резервному копированию виртуальных машин с гипервизора VMware ESXi 6 в хранилище сервера Veeam Backup & Replication v8. Во второй части будет рассмотрена настройка бэкап-сервера для работы с виртуальными машинами на базе Hyper-V.
Удачи.
Хранение данных и сети
VMware vSphere 6.0 Enterprise Plus | Microsoft Hyper-V 2012 R2 Datacenter | |
Поддерживаемые системы хранения | DAS,NFS, FC, iSCSI, FCoE (аппаратная и программная), vFRC, SDDC | SMB3, virtual FC, SAS, SATD, iSCSI, FC, FCoE, shared vhdx |
Файловая система (общая) | Virtual Machine File System (VMFS v5) | Cluster Shared Volume (CSV) |
Поддержка загрузки с SAN | Да (FC, iSCSI, FCoE и программный FCoE) | Да (iSCIS, бездисковая, FC) |
Загрузка с USB | Да | нет |
Virtual SAN | VSAN 6.0 с поддержкой флэш-массивов (AFA) | Усовершенствованная (Storage Spaces), многоуровневое хранение |
QoS для систем хранения | Да (Storage IO Control), включая NFS | Да |
Поддержка NPIV | Да (с RDM) | Да (virtual FC) |
Thin Provisioning | Да (включая SE Spare Disk) | Да (Dynamic Disk) |
SAN Multipathing | Да (усовершенствованные APD и PDL), PDL Auto Remove | Да (DSM и SMB Multichannel) |
Кэширование | Да (vSphare Flash Read Cache) | Да (CSV Cache) |
API для интеграции с системами хранения | Да (VASA, VAAI и VAMP) | Да (SMI-S/SMP, ODX, Trim) |
NIC Teaming | Да (до 32 NIC) | Да |
Поддержка Private VLAN | Да | Да |
Поддержка Jumbo Frames | Да | Да |
QoS для сети | Да (Network IO Control, DSCP) | Да |
Поддержка IPv6 | Да | Да |
Мониторинг трафика | Да (Port Mirroring) | Да (Port Mirroring) |
Добавление vCenter Server
Добавление vCenter Server в Azure Backup Server
-
На консоли Azure Backup Server выберите пункт Управление > Рабочие серверы > Добавить.
-
На странице Мастер добавления рабочего сервера > Выбор типа рабочего сервера выберите пункт Серверы VMware и нажмите Далее.
-
На шаге Выбрать компьютеры в строке Server Name/IP Address Имя или IP-адрес сервера (Имя или IP-адрес сервера) укажите полное доменное имя или IP-адрес сервера VMware. Если один и тот же сервер vCenter управляет всеми серверами ESXi, то укажите имя vCenter. В противном случае добавьте узел ESXi.
-
В поле SSL-порт введите порт, который использовался для взаимодействия с сервером VMware. 443 – порт по умолчанию, но если ваш сервер VMware прослушивает другой порт, его можно изменить.
-
В поле указания учетных данных выберите созданные учетные данные.
-
Нажмите кнопку Добавить, чтобы добавить сервер VMware в список серверов. Затем нажмите кнопку Далее.
-
На странице Сводка нажмите кнопку Добавить, чтобы добавить сервер VMware на сервер Azure Backup Server. Новый сервер добавляется сразу, на сервере VMware агент не нужен.
-
Проверьте параметры на странице Готово.
Если у вас есть несколько узлов ESXi, которыми сервер vCenter не управляет, или несколько экземпляров vCenter Server, для добавления серверов необходимо снова запустить мастер.
Особенности и правила копирования
При бэкапах виртуальных машин VMware стоит придерживаться следующих рекомендаций:
- Настроить регулярные бэкапы системы. Чаще всего используется недельный интервал. Для критически важных данных стоит настроить ежедневную репликацию.
- Не использовать реплики ВМ при установке гостевой операционной системы.
- Не ограничивать ресурсы во время архивации данных. Это позволит сократить время бэкапа и избежать длительного «простоя» в работе.
- Применять стандартные API-интерфейсы, которые позволят упростить процедуру.
- Не использовать снапшоты в качестве резервных копий.
- Применять Off-host backups для понижения нагрузки на сервер.
- При копировании нескольких виртуальных машин объединять их по одинаковым критериям для упрощения процесса.
- Выполнять регулярное копирование настроек серверов.
- Производить разрозненное копирование vCenter Server и самих виртуальных машин.
При подборе системы копирования файлов стоит учитывать несколько параметров
Важно помнить про автоматизацию процессов и наличие проверки данных для виртуальной машины VMware. Также необходимо определить степень защиты готового архива и скорость восстановления файлов
При бэкапах требуется использовать предоставляемые API-интерфейсы, которые позволят взаимодействовать с уже применяемыми в организации способами управления средой виртуализации.
Надеемся, что вы разобрались в особенностях копирования данных VMware. При необходимости специалисты нашего дата-центра Xelent готовы помочь в настройках бэкапа и подобрать оптимальные инструменты для его проведения
Популярные услуги
Виртуальная инфраструктура IaaS на VMware
IaaS на VMware – решение, которое позволяет отказаться от использования физического оборудования и значительно сократить расходы компании.
Виртуальный Дата-центр, VDC с управлением через vCloudDirector
Простая, удобная и надежная интеграция облачной инфраструктуры в IT-инфраструктуру компании с глубокими индивидуальными настройками.
Миграция инфраструктуры в облако Xelent на VMware
Миграция в облако на VMware – технология, позволяющая адаптировать инфраструктуру к высоким нагрузкам. Понятное управление и администрирование позволяет уменьшать или наоборот увеличивать количество ресурсов, которые вам необходимы в тот или иной момент.
Создание учетной записи VMware
-
На панели Навигатор сервера vCenter Server щелкните Пользователи и группы. Создайте учетную запись на соответствующем узле ESXi в том случае, если вы не используете vCenter Server.
Появится панель Пользователи и группы vCenter.
-
На панели Пользователи и группы vCenter выберите вкладку Пользователи и щелкните значок добавления пользователей (символ «+»).
-
В диалоговом окне Новый пользователь добавьте сведения о пользователе, а затем щелкните ОК. В этой процедуре имя пользователя — BackupAdmin.
-
Чтобы связать учетную запись пользователя с ролью, на панели Навигатор выберите пункт Глобальные разрешения. На панели Глобальные разрешения выберите вкладку Управление и щелкните значок добавления (символ «+»).
-
В окне Корень глобального разрешения – добавление разрешения нажмите кнопку Добавить, чтобы выбрать пользователя или группу.
-
В окне Select Users/Groups Выбрать пользователей или группы (Выбрать пользователей или группы) выберите BackupAdmin > Добавить. В разделе Users (Пользователи) для учетной записи пользователя используется формат домен\имя пользователя. Если вы хотите использовать другой домен, выберите его из списка доменов. Нажмите кнопку ОК, чтобы добавить выбранных пользователей в диалоговое окно Добавление разрешения.
-
В разделе Назначенная роль в раскрывающемся списке выберите BackupAdminRole > ОК.
На вкладке Manage (Управление) на панели Global Permissions (Глобальные разрешения) в списке появятся новая учетная запись пользователя и связанная роль.
Как это работает
У VMware есть видео, которое демонстрирует работы механизма vSphere Virtual Machine Encryption.
В механизме VM Encryption используется два ключа симметричного шифрования:
1. Data Encryption Key (дал. DEK). Этот ключ генерирует ESXi хост. Таким ключом зашифрованы файлы конфигурации и файлы виртуальных дисков виртуальной машины. Для файлов конфигурации VM DEK хранится в *.vmx в зашифрованном виде, для файлов виртуальных дисков — в *.vmdk файле в зашифрованном виде.
2. Key Encryption Key (дал. KEK). Этот ключ генерирует KMS. Таким ключом зашифрован DEK. Этот ключ хранится в базе данных KMS и в оперативной памяти ESXi хоста, на котором зарегистрирована VM.
Давайте рассмотрим процессы, который происходят при работе VM Encryption.
Этапы инициализации шифрования:
-
vCenter запрашивает KEK у KMS. KMS генерирует KEK, сохраняет его в своей базе данных, и передает его vCenter. vCenter передаёт KEK всем ESXi в vSphere High Avalibility кластере. ESXi хранят KEK в оперативной памяти и никогда не записывают его на диск.
-
ESXi, получив KEK, генерирует DEK, зашифровывает DEK с помощью KEK и записывает зашифрованный DEK в конфигурационный файл VM.
-
ESXi выполняет процесс шифрования файлов VM с помощью DEK.
Этапы включения зашифрованной VM:
-
ESXi получает команду на запуск зашифрованной VM, проверяет в своей ОЗУ наличие KEK для расшифровки VM. Если KEK нет в ОЗУ ESXi, KEK запрашивается у vCenter, а vCenter запрашивает KEK у KMS.
-
KMS передаёт KEK vCenter, а vCenter передаёт KEK ESXi хосту.
-
ESXi хост запускает VM.
Этапы миграции vMotion зашифрованной VM:
При миграции vMotion KMS сервер не используется. Encrypted vMotion можно использовать и без VM Encryption.
-
ESXi получает команду на миграцию VM на другой ESXi хост. Если миграция выполняется в другой ESXi кластер, то на этом шаге vCenter запросит KEK у KMS и передаст его на ESXi назначения.
-
ESXi источника запрашивает «одноразовый ключ» у vCenter. vCenter генерирует ключ и передаёт его хостам источника и назначения миграции.
-
ESXi источника зашифровывает «одноразовым ключом» ОЗУ виртуальной машины и расшифрованный DEK и передаёт их на хост назначения с помощью vMotion
-
ESXi назначения расшифровывает «одноразовым ключом» полученные данные и VM продолжает работу на ESXi назначения.
Процесс инсталляции
- Хостом Hyper-V или отказоустойчивым кластером.
- Хостом ESXi (если недоступен vCenter Server)
- vCenter Server
Места хранения резервных копийКонсоль мониторинга показывает информацию по заданиям резервного копирования, резервированию на сторонней площадке и хранилищу резервных копий.
- Скачиваем и устанавливаем Altaro VM Backup на компьютере с Windows одной из нижеперечисленных версий. Это может быть и хост Hyper-V, тогда шаг 2 пропускаем.
- Добавляем хосты (из нижеперечисленных) к консоли Altaro.
- Выбираем место для хранения резервной копии. Это может быть внешний накопитель USB или eSATA, сетевой диск или устройство SAN/NAS.
- Опционально для удаленного управления Altaro подключаемся через RDP к серверу, где установлен продукт, либо инсталлируем Altaro Remote Management Tools.
- Опционально устанавливаем на машине вне локальной сети Altaro Offsite Server и отправляем туда резервные копии по WAN/VPN/интернет. Это на случай аварийного восстановления при крупных неприятностях.
Добавление нового правила хранения резервной копии.