Backupkonzept - NAS Speicher
Hallo zusammen,
ich bin gerade dabei ein neues Backupkonzept für ein kleines mittelständisches Unternehmen auszuarbeiten.
In der Vergangenheit haben die ehem. Geschäftführer kaum in die IT des Unternehmens investiert und wohl immer nur das aller nötigste umgesetzt. Der Investitionsstau zeigt sich nun - so auch in der Backupinfrastruktur. Weiter möchte ich hier aber auch nicht drauf eingehen. Der neue Geschäftsführer ist zum Glück gewillt, mehr zu investieren.
Kurzer Abriss zur Hardware:
2x Lenovo ThinkSystem SR630 mit jeweils lokalen SSDs. Auf den Servern läuft ein ESXi 6.7.0.
Verwaltet werden die ESXi`s von einem VCenter 6.7. Es sind VMware vSphere 6 Essentials Plus Lizenzen im Einsatz - also kein gültiges VMWare Abonnement... oder mittlerweile Broadcom...
Speichernutzung der beiden Server liegt bei ca. 6 TB mit aktuell 15 VMs (Windows & Linux Systeme).
Beide Server sind jeweils mit einem 1 GBE Uplink ins Netzwerk eingebunden. Mehr geben die Switche nicht her. (HP 2920-48G) Am Server ist eine Intel X722 LOM onboard (4-Ports) verbaut. Ich kann mir leider nicht erschließen, ob die Netzwerkkarte 10-GBit kann.
Weiterhin gibt es noch ein NAS QNAP TVS-882 , wo noch separat Daten abliegen. Nettospeicher 18 TB. Datenmenge ca. 4 TB.
Einzige mir bekannte Sicherung ist über eine veraltete abgekündigte Backupsoftware auf einem Tapelaufwerk (Quantum 3580 H5S). Diese läuft noch als VM auf einem uralt Server. Der Server soll abgestellt werden. Die Sicherung laufen auf LTO-5 Tapes im Generationenprinzip. Backups laufen aber häufig leider auch auf Fehlern, wobei man auch ergänzen muss, dass der Support und die Entwicklung des Produkts seit Jahren ausgelaufen ist! Daher steht klar fest, das muss raus!
Damit die Firma schonmal etwas mehr Sicherheit hat, hatte ich schon eine VM mit Veeam Backup & Replication auf einem der beiden ESXi-Hosts installiert und BackupJobs auf dem Qnap eingerichtet. Windows Server 2022 Standard Lizenzen hatten wir zuvor schon eingekauft. Da ich aktuell nur die freie Version im Einsatz ist, werden auch nur die zehn "wichtigsten" Server gesichert. Auf dem NAS war / ist noch genügen Speicherplatz für die Backups.
Meine Idee ist es nun Veeam Dataplatform Essentials Universal 4 x 5 Instanzen zu lizenzieren und ein performantes Rack-NAS (ausschließlich für die Backups) dazukaufen. Beispiel: Synology RS1221RP+ oder QNAP NAS TS-873AEU-RP-4G. Mit 8 x 4 TB 7200 rpm-HDDs im Raid 5 Verbund. Der TVS-882 würde dann in ein anderes Firmengebäude platziert. Hier sollen CopyJobs laufen. Im Anschluss probiere ich das Tapelaufwerk an den Thinksystem anzubinden und der Veeam Maschine zuzuordnen. Dazu müsste ich den HBA aus dem alten Server ausbauen und im SR630 wieder einbauen. Wenn das funktioniert, würde ich neue LTO-5 Bänder kaufen. Dann hätten wir das 3-2-1 Prinzip auf jeden Fall eingehalten.
Wie ist eure Meinung dazu bzw. wie würdet ihr das Thema angehen? Gerne auch Hardwarevorschläge für mich!
Denke ich zu groß oder zu klein?
Der Thread ist gerne zum Diskutieren und für den Erfahrungsaustausch.
Ich freue mich. Danke und Gruß Seppo
ich bin gerade dabei ein neues Backupkonzept für ein kleines mittelständisches Unternehmen auszuarbeiten.
In der Vergangenheit haben die ehem. Geschäftführer kaum in die IT des Unternehmens investiert und wohl immer nur das aller nötigste umgesetzt. Der Investitionsstau zeigt sich nun - so auch in der Backupinfrastruktur. Weiter möchte ich hier aber auch nicht drauf eingehen. Der neue Geschäftsführer ist zum Glück gewillt, mehr zu investieren.
Kurzer Abriss zur Hardware:
2x Lenovo ThinkSystem SR630 mit jeweils lokalen SSDs. Auf den Servern läuft ein ESXi 6.7.0.
Verwaltet werden die ESXi`s von einem VCenter 6.7. Es sind VMware vSphere 6 Essentials Plus Lizenzen im Einsatz - also kein gültiges VMWare Abonnement... oder mittlerweile Broadcom...
Speichernutzung der beiden Server liegt bei ca. 6 TB mit aktuell 15 VMs (Windows & Linux Systeme).
Beide Server sind jeweils mit einem 1 GBE Uplink ins Netzwerk eingebunden. Mehr geben die Switche nicht her. (HP 2920-48G) Am Server ist eine Intel X722 LOM onboard (4-Ports) verbaut. Ich kann mir leider nicht erschließen, ob die Netzwerkkarte 10-GBit kann.
Weiterhin gibt es noch ein NAS QNAP TVS-882 , wo noch separat Daten abliegen. Nettospeicher 18 TB. Datenmenge ca. 4 TB.
Einzige mir bekannte Sicherung ist über eine veraltete abgekündigte Backupsoftware auf einem Tapelaufwerk (Quantum 3580 H5S). Diese läuft noch als VM auf einem uralt Server. Der Server soll abgestellt werden. Die Sicherung laufen auf LTO-5 Tapes im Generationenprinzip. Backups laufen aber häufig leider auch auf Fehlern, wobei man auch ergänzen muss, dass der Support und die Entwicklung des Produkts seit Jahren ausgelaufen ist! Daher steht klar fest, das muss raus!
Damit die Firma schonmal etwas mehr Sicherheit hat, hatte ich schon eine VM mit Veeam Backup & Replication auf einem der beiden ESXi-Hosts installiert und BackupJobs auf dem Qnap eingerichtet. Windows Server 2022 Standard Lizenzen hatten wir zuvor schon eingekauft. Da ich aktuell nur die freie Version im Einsatz ist, werden auch nur die zehn "wichtigsten" Server gesichert. Auf dem NAS war / ist noch genügen Speicherplatz für die Backups.
Meine Idee ist es nun Veeam Dataplatform Essentials Universal 4 x 5 Instanzen zu lizenzieren und ein performantes Rack-NAS (ausschließlich für die Backups) dazukaufen. Beispiel: Synology RS1221RP+ oder QNAP NAS TS-873AEU-RP-4G. Mit 8 x 4 TB 7200 rpm-HDDs im Raid 5 Verbund. Der TVS-882 würde dann in ein anderes Firmengebäude platziert. Hier sollen CopyJobs laufen. Im Anschluss probiere ich das Tapelaufwerk an den Thinksystem anzubinden und der Veeam Maschine zuzuordnen. Dazu müsste ich den HBA aus dem alten Server ausbauen und im SR630 wieder einbauen. Wenn das funktioniert, würde ich neue LTO-5 Bänder kaufen. Dann hätten wir das 3-2-1 Prinzip auf jeden Fall eingehalten.
Wie ist eure Meinung dazu bzw. wie würdet ihr das Thema angehen? Gerne auch Hardwarevorschläge für mich!
Denke ich zu groß oder zu klein?
Der Thread ist gerne zum Diskutieren und für den Erfahrungsaustausch.
Ich freue mich. Danke und Gruß Seppo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 53971089360
Url: https://administrator.de/contentid/53971089360
Ausgedruckt am: 25.11.2024 um 00:11 Uhr
15 Kommentare
Neuester Kommentar
Zitat von @seppo1:
Im Anschluss probiere ich das Tapelaufwerk an den Thinksystem anzubinden und der Veeam Maschine zuzuordnen. Dazu müsste ich den HBA aus dem alten Server ausbauen und im SR630 wieder einbauen. Wenn das funktioniert, würde ich neue LTO-5 Bänder kaufen. Dann hätten wir das 3-2-1 Prinzip auf jeden Fall eingehalten.
Da würde ich keine Zeit mehr rein investieren. 1,5 TB reichen sicherlich nicht aus.
Moin,
Schau mal im Gehäuse auf der Karte nach, dann abgleichen mit lenovopress.lenovo.com/lp0654-intel-x722-integrated-controller. Dann solltest Du wissen, was die können.
Falls es 4x Rj45x1Gb ist, kommt Link Aggregation in Betracht, siehe auch [content:484993].
Wie oben schon geschrieben, wenn Synology, dann ActiveBackup für Dich testen. Läuft gut, kostenfrei. Deduplizierung onbord.
Wenn Rackstation für Dich passt, auch im Budget, dann natürlich ok, aber als reines Backupmedium taugen natürlich auch die günstigeren Geräte aus der Plus-Serie. 32 TB: hängt von dem Wachstum der Datenmengen und der Veränderungsrate ab, musst Du beurteilen, ob so viel erforderlich.
Unklar ist mir die Menge des täglichen Backups. Wenn da Speed erforderlich ist, würde ich mir die Netzwerkschnittstellen anschauen und ggf. 10 Gb zwischen Server und Backupgerät einplanen.
Gruß
DivideByZero
Zitat von @seppo1:
Beide Server sind jeweils mit einem 1 GBE Uplink ins Netzwerk eingebunden. Mehr geben die Switche nicht her. (HP 2920-48G) Am Server ist eine Intel X722 LOM onboard (4-Ports) verbaut. Ich kann mir leider nicht erschließen, ob die Netzwerkkarte 10-GBit kann.
Schau mal im Gehäuse auf der Karte nach, dann abgleichen mit lenovopress.lenovo.com/lp0654-intel-x722-integrated-controller. Dann solltest Du wissen, was die können.
Falls es 4x Rj45x1Gb ist, kommt Link Aggregation in Betracht, siehe auch [content:484993].
Meine Idee ist es nun Veeam Dataplatform Essentials Universal 4 x 5 Instanzen zu lizenzieren und ein performantes Rack-NAS (ausschließlich für die Backups) dazukaufen. Beispiel: Synology RS1221RP+ oder QNAP NAS TS-873AEU-RP-4G. Mit 8 x 4 TB 7200 rpm-HDDs im Raid 5 Verbund.
Wie oben schon geschrieben, wenn Synology, dann ActiveBackup für Dich testen. Läuft gut, kostenfrei. Deduplizierung onbord.
Wenn Rackstation für Dich passt, auch im Budget, dann natürlich ok, aber als reines Backupmedium taugen natürlich auch die günstigeren Geräte aus der Plus-Serie. 32 TB: hängt von dem Wachstum der Datenmengen und der Veränderungsrate ab, musst Du beurteilen, ob so viel erforderlich.
Unklar ist mir die Menge des täglichen Backups. Wenn da Speed erforderlich ist, würde ich mir die Netzwerkschnittstellen anschauen und ggf. 10 Gb zwischen Server und Backupgerät einplanen.
Gruß
DivideByZero
Hallo,
ich würde bei dem Veeam Konzept bleiben.
Als target würde ich eine Qnap verwenden mit QuOjects. Hier hast du dann die Möglichkeit S3 zu sprechen und das ganze immutable zu machen. Die Qnap in ein extra Netz bzw. die Firewall der Qnap sorgfältig konfigurieren. Die alte Qnap als Backup Copy Target in einen anderen Abschnitt.
Gruß
ich würde bei dem Veeam Konzept bleiben.
Als target würde ich eine Qnap verwenden mit QuOjects. Hier hast du dann die Möglichkeit S3 zu sprechen und das ganze immutable zu machen. Die Qnap in ein extra Netz bzw. die Firewall der Qnap sorgfältig konfigurieren. Die alte Qnap als Backup Copy Target in einen anderen Abschnitt.
Gruß
Moin @seppo1,
wenn der Kunde Veeam bezahlen kann und auch möchte, dann ist das schon eine gute Lösung.
Was die Tagessicherungen betrifft, so kommst du an einem anständigen NAS, meiner Erfahrung nach heute nicht wirklich vorbei, zumindest nicht effektiver.
Wenn du ein performantes Rack-NAS haben möchtest, dann schau dir mal auch die Geräte von Infortrend an, z.B. das folgende (GSe Pro 208) ...
https://www.infortrend.com/de/products/families/gsepro/pro200
..., die ist performancetechnisch Top und kann zudem man die onboard 2 x 1G (RJ45) & 2x 10G (SFP+), jederzeit noch mit bis zu 4 weiteren 10G (SFP+/RJ45) Ports bestückt werden.
Und ja, die 10G bekommt die locker hin. Wir haben selbst sowohl eine GSe Pro 205 als auch eine GSe Pro 208 und von der letzteren, habe ich mit SSD-Bestückung schon über 4000 MB/s über 4x10G abgekratzt und auch draufgekratz. 🤪
Bei einer HDD Bestückung kommst du an die 4000 MB/s natürlich nicht ran, aber so um bis zu 2000 MB/s, bringt die GSe Pro 208 dann immer noch. 😁
Gruss Alex
Wie ist eure Meinung dazu bzw. wie würdet ihr das Thema angehen? Gerne auch Hardwarevorschläge für mich!
wenn der Kunde Veeam bezahlen kann und auch möchte, dann ist das schon eine gute Lösung.
Was die Tagessicherungen betrifft, so kommst du an einem anständigen NAS, meiner Erfahrung nach heute nicht wirklich vorbei, zumindest nicht effektiver.
Wenn du ein performantes Rack-NAS haben möchtest, dann schau dir mal auch die Geräte von Infortrend an, z.B. das folgende (GSe Pro 208) ...
https://www.infortrend.com/de/products/families/gsepro/pro200
..., die ist performancetechnisch Top und kann zudem man die onboard 2 x 1G (RJ45) & 2x 10G (SFP+), jederzeit noch mit bis zu 4 weiteren 10G (SFP+/RJ45) Ports bestückt werden.
Und ja, die 10G bekommt die locker hin. Wir haben selbst sowohl eine GSe Pro 205 als auch eine GSe Pro 208 und von der letzteren, habe ich mit SSD-Bestückung schon über 4000 MB/s über 4x10G abgekratzt und auch draufgekratz. 🤪
Bei einer HDD Bestückung kommst du an die 4000 MB/s natürlich nicht ran, aber so um bis zu 2000 MB/s, bringt die GSe Pro 208 dann immer noch. 😁
Gruss Alex
Moin @seppo1,
na ja, mit in summe 6x10G kannst du das Ding ja auch direkt an 6 Server anschliessen, auf der anderen Seite, 10G Switche kosten mittlerweile auch nicht mehr die Welt.
Bei den Server wird es schon etwas happig, den die meisten davon, vor allem wenn Windows darauf läuft, musst du ordentlich nachkonfigurieren, damit du die 10G überhaupt erreichen kannst und auch halbwegs effektiv nutzen kannst. Von schnelleren NIC's will ich erst gar nicht anfangen. 😔
Als ich den Test damals gemacht habe, hing das Ding direkt mit 4x10G an meiner Workstation. 🤪
Ich habe diesbezüglich auch mal einen Artikel bei Spiceworks geschrieben ... ah ja habs gefunden ...
https://community.spiceworks.com/topic/2265556-mystical-loadbalancing-by ...
... weil ich mir am Anfang das Loadbalancing nicht erklären konnte. 🙃
RAID5, das ist vor allem für Backups bei einer geringen HDD Anzahl (<10), vollkommen ausreichend.
Bei grösseren Backupunits, die mit mehr wie 10 HDD's bestückt werden, nehmen wir ansonsten RAID6.
Das ist der Distributor unseres Vertrauens wenn es um Infortrend geht.
https://shop.prostor.de/de/
Die Kisten kosten auch nicht wirklich mehr, wie vergleichbare von QNAP oder Syno, sind aber deutlich leistungsfähiger. 😉
Eines der bösesten Dinge die wir bisher mit einer Infortrend Unit (DS 4000) gebaut haben, war ein Demosystem für eine Messe, welches mit nur zwei HV-Node's, mal kurz um die !! 32.000 MB/s !! geschaufelt hat und das bereits vor mehr als 5 Jahren, für noch nicht mal 40K! 🤪
Gruss Alex
4000 MB/s sind natürlich wahnsinnige Werte! Die 10G bekomme ich zum jetzigen Zeitpunkt leider nicht angebunden. Dazu müsste ich erst die Switche und eventuell auch die Server nachrüsten.
na ja, mit in summe 6x10G kannst du das Ding ja auch direkt an 6 Server anschliessen, auf der anderen Seite, 10G Switche kosten mittlerweile auch nicht mehr die Welt.
Bei den Server wird es schon etwas happig, den die meisten davon, vor allem wenn Windows darauf läuft, musst du ordentlich nachkonfigurieren, damit du die 10G überhaupt erreichen kannst und auch halbwegs effektiv nutzen kannst. Von schnelleren NIC's will ich erst gar nicht anfangen. 😔
Hast du das NAS direkt an die Server angebunden?
Als ich den Test damals gemacht habe, hing das Ding direkt mit 4x10G an meiner Workstation. 🤪
Ich habe diesbezüglich auch mal einen Artikel bei Spiceworks geschrieben ... ah ja habs gefunden ...
https://community.spiceworks.com/topic/2265556-mystical-loadbalancing-by ...
... weil ich mir am Anfang das Loadbalancing nicht erklären konnte. 🙃
Welches RAID-Level?
RAID5, das ist vor allem für Backups bei einer geringen HDD Anzahl (<10), vollkommen ausreichend.
Bei grösseren Backupunits, die mit mehr wie 10 HDD's bestückt werden, nehmen wir ansonsten RAID6.
Preise gibt es wahrscheinlich nur auf Anfrage...?
Das ist der Distributor unseres Vertrauens wenn es um Infortrend geht.
https://shop.prostor.de/de/
Die Kisten kosten auch nicht wirklich mehr, wie vergleichbare von QNAP oder Syno, sind aber deutlich leistungsfähiger. 😉
Eines der bösesten Dinge die wir bisher mit einer Infortrend Unit (DS 4000) gebaut haben, war ein Demosystem für eine Messe, welches mit nur zwei HV-Node's, mal kurz um die !! 32.000 MB/s !! geschaufelt hat und das bereits vor mehr als 5 Jahren, für noch nicht mal 40K! 🤪
Gruss Alex
Moin.
Bei der Wahl des RAID-Subsystems bitte auch den Rebuild bzw. dessen Dauer bedenken. Bei nem RAID5 aus z.B. 3x16TB-Platten kann das schon mal Tage dauern. Und in diesem Zeitraum werden dann keine Backups laufen können, weil eben während des Rebuilds die Performance einfach unterirdisch ist.
In den letzten Jahren bin ich (fast) vollständig und überall von Parity- auf Non-Parity-RAIDs umgestiegen. Bei den aktuellen Plattenpreisen ist das (teils sogar mit SSDs) auch kein finanziell ruinöses Unterfangen mehr.
*Just my 5 Cent*
Cheers,
jsysde
Bei der Wahl des RAID-Subsystems bitte auch den Rebuild bzw. dessen Dauer bedenken. Bei nem RAID5 aus z.B. 3x16TB-Platten kann das schon mal Tage dauern. Und in diesem Zeitraum werden dann keine Backups laufen können, weil eben während des Rebuilds die Performance einfach unterirdisch ist.
In den letzten Jahren bin ich (fast) vollständig und überall von Parity- auf Non-Parity-RAIDs umgestiegen. Bei den aktuellen Plattenpreisen ist das (teils sogar mit SSDs) auch kein finanziell ruinöses Unterfangen mehr.
*Just my 5 Cent*
Cheers,
jsysde
@jsysde
das kann ich so nicht bestätigen, zumindest nicht pauschal.
Bei einem unserer Kunden ist als ob sie es gerochen hätte, vor einigen Stunden eine HDD in seiner Infortrend Backupunit gestorben und nun läuft der Rebuild auf die Hot-Spare.
Und parallel zu dem Rebuild, laufen aktuell auch die Backups ...
... mit einer Pocessing rate von ~650 MB/s und dabei steht die Rebuild-Priority der Unit noch nicht mal auf low.
Unter dem Strich laufen die Backups während des Rebuilds nun mit etwa 30% geringerer Performance, was aus meiner Sicht absolut vertretbar und weit weg von unterirdisch ist. 😉
Ein Non-Parity-RAID (1/10) schützt aber bei einem Diskausfall nicht automatisch vor einem Rebuild, den die Daten auf den ausgefallenen Laufwerk müssen auf dem Ersatzlaufwerk ja trotzdem irgendwie wiederhergestellt werden.
Der einzige Unterschied dabei ist, dass der Rebuild Prozess bei einem Non-Parity-RAID meistens etwas schneller läuft, weil die Daten nur von einem Datenträger auf den anderen kopiert und nicht von mehreren zusammengekratzt und über den Parity-Bit noch "wiederhergestellt" werden müssen.
Zudem verschlingt ein RAID 10 bei gleicher Netto-Kapazität mehr Einbauschächte als ein RAID5 oder RAID6, sprich,
man benötigt eventuell eine viel grössere und somit teurere Unit oder zusätzliche JBOD's um dieselbe Kapazität bereitzustellen. Zudem frisst ein Non-Parity-RAID auch mehr Energie, weil du die doppelte Anzahl an Datenträger betreiben musst u.s.w..
Gruss Alex
Bei der Wahl des RAID-Subsystems bitte auch den Rebuild bzw. dessen Dauer bedenken. Bei nem RAID5 aus z.B. 3x16TB-Platten kann das schon mal Tage dauern. Und in diesem Zeitraum werden dann keine Backups laufen können, weil eben während des Rebuilds die Performance einfach unterirdisch ist.
das kann ich so nicht bestätigen, zumindest nicht pauschal.
Bei einem unserer Kunden ist als ob sie es gerochen hätte, vor einigen Stunden eine HDD in seiner Infortrend Backupunit gestorben und nun läuft der Rebuild auf die Hot-Spare.
Und parallel zu dem Rebuild, laufen aktuell auch die Backups ...
... mit einer Pocessing rate von ~650 MB/s und dabei steht die Rebuild-Priority der Unit noch nicht mal auf low.
Unter dem Strich laufen die Backups während des Rebuilds nun mit etwa 30% geringerer Performance, was aus meiner Sicht absolut vertretbar und weit weg von unterirdisch ist. 😉
In den letzten Jahren bin ich (fast) vollständig und überall von Parity- auf Non-Parity-RAIDs umgestiegen. Bei den aktuellen Plattenpreisen ist das (teils sogar mit SSDs) auch kein finanziell ruinöses Unterfangen mehr.
Ein Non-Parity-RAID (1/10) schützt aber bei einem Diskausfall nicht automatisch vor einem Rebuild, den die Daten auf den ausgefallenen Laufwerk müssen auf dem Ersatzlaufwerk ja trotzdem irgendwie wiederhergestellt werden.
Der einzige Unterschied dabei ist, dass der Rebuild Prozess bei einem Non-Parity-RAID meistens etwas schneller läuft, weil die Daten nur von einem Datenträger auf den anderen kopiert und nicht von mehreren zusammengekratzt und über den Parity-Bit noch "wiederhergestellt" werden müssen.
Zudem verschlingt ein RAID 10 bei gleicher Netto-Kapazität mehr Einbauschächte als ein RAID5 oder RAID6, sprich,
man benötigt eventuell eine viel grössere und somit teurere Unit oder zusätzliche JBOD's um dieselbe Kapazität bereitzustellen. Zudem frisst ein Non-Parity-RAID auch mehr Energie, weil du die doppelte Anzahl an Datenträger betreiben musst u.s.w..
Gruss Alex
Morgen,
Ich möchte noch etwas zur Absicherung der Veeam VM sagen.
vSphere / vCenter 6.7 bekommen keine Sicherheitsupdates mehr, das ist ein potentielles Risiko für diese VM.
Sollte Authentifizierung am vCenter über das AD erlaubt sein gibt es auch einen direkten „Angeiffsweg“ für einen Hacker, er kann sich mit genug Zeit eigentlich immer von einem Client PC zu Admin Berechtigungen in der Domäne hoch arbeiten.
Um eine solche VM so sicher wie möglich zu halten, empfehle ich:
- vCenter vom AD trennen, falls verbunden, lokale Zugangsdaten verwenden
- Bitlocker Verschlüsselung innerhalb der Veeam VM aktivieren. Dadurch kann man eine Manipulation der Windows / Veeam Dateien über den Host ausschließen.
- vSphere / vCenter falls möglich mindestens auf 7.0 aktualisieren, dort gibt es noch updates
- Veeam Hardening Guide folgen, VM darf nicht in der Domäne sein, RDP aus, Firewall an, etc
- Falls das die Infrastruktur her gibt sollte das hier besprochene NAS und die VM in einem eigenen VLAN, hinter einer internen Firewall sein.
LG
Max
Ich möchte noch etwas zur Absicherung der Veeam VM sagen.
vSphere / vCenter 6.7 bekommen keine Sicherheitsupdates mehr, das ist ein potentielles Risiko für diese VM.
Sollte Authentifizierung am vCenter über das AD erlaubt sein gibt es auch einen direkten „Angeiffsweg“ für einen Hacker, er kann sich mit genug Zeit eigentlich immer von einem Client PC zu Admin Berechtigungen in der Domäne hoch arbeiten.
Um eine solche VM so sicher wie möglich zu halten, empfehle ich:
- vCenter vom AD trennen, falls verbunden, lokale Zugangsdaten verwenden
- Bitlocker Verschlüsselung innerhalb der Veeam VM aktivieren. Dadurch kann man eine Manipulation der Windows / Veeam Dateien über den Host ausschließen.
- vSphere / vCenter falls möglich mindestens auf 7.0 aktualisieren, dort gibt es noch updates
- Veeam Hardening Guide folgen, VM darf nicht in der Domäne sein, RDP aus, Firewall an, etc
- Falls das die Infrastruktur her gibt sollte das hier besprochene NAS und die VM in einem eigenen VLAN, hinter einer internen Firewall sein.
LG
Max
Moin @Maxilo311,
😲 ... 👍👍👍 ...😍 ... also zumindest betreffend dem was du geschrieben hast.
Die meisten deiner Aussagen gelten übrigens auch für eine Hyper-V Umgebung. 😉
Noch eine kleine Ergänzung.
Man sollte das/die Management-Netz(e) und auch das Backup Netz, niemals mit der Prod-Umgebung direkt koppeln und am Besten für das Management dedizierte Hosts und oder Jump-Hosts benutzen, die wiederum von der Prod-Umgebung, ebenfalls vollständig isoliert sind.
Unabhängig der Netztrennung, würde ich bei der Authentifizierung, auch immer ein Schott zwischen PROD und MGMT und auch zwischen MGMT und BACKUP mit einbauen, sprich überall andere Zugangsdaten verwenden.
Gruss Alex
Um eine solche VM so sicher wie möglich zu halten, empfehle ich:
- vCenter vom AD trennen, falls verbunden, lokale Zugangsdaten verwenden
- Bitlocker Verschlüsselung innerhalb der Veeam VM aktivieren. Dadurch kann man eine Manipulation der Windows / Veeam Dateien über den Host ausschließen.
- vSphere / vCenter falls möglich mindestens auf 7.0 aktualisieren, dort gibt es noch updates
- Veeam Hardening Guide folgen, VM darf nicht in der Domäne sein, RDP aus, Firewall an, etc
- Falls das die Infrastruktur her gibt sollte das hier besprochene NAS und die VM in einem eigenen VLAN, hinter einer internen Firewall sein.
- vCenter vom AD trennen, falls verbunden, lokale Zugangsdaten verwenden
- Bitlocker Verschlüsselung innerhalb der Veeam VM aktivieren. Dadurch kann man eine Manipulation der Windows / Veeam Dateien über den Host ausschließen.
- vSphere / vCenter falls möglich mindestens auf 7.0 aktualisieren, dort gibt es noch updates
- Veeam Hardening Guide folgen, VM darf nicht in der Domäne sein, RDP aus, Firewall an, etc
- Falls das die Infrastruktur her gibt sollte das hier besprochene NAS und die VM in einem eigenen VLAN, hinter einer internen Firewall sein.
😲 ... 👍👍👍 ...😍 ... also zumindest betreffend dem was du geschrieben hast.
Die meisten deiner Aussagen gelten übrigens auch für eine Hyper-V Umgebung. 😉
Noch eine kleine Ergänzung.
Man sollte das/die Management-Netz(e) und auch das Backup Netz, niemals mit der Prod-Umgebung direkt koppeln und am Besten für das Management dedizierte Hosts und oder Jump-Hosts benutzen, die wiederum von der Prod-Umgebung, ebenfalls vollständig isoliert sind.
Unabhängig der Netztrennung, würde ich bei der Authentifizierung, auch immer ein Schott zwischen PROD und MGMT und auch zwischen MGMT und BACKUP mit einbauen, sprich überall andere Zugangsdaten verwenden.
Gruss Alex