Veeam B&R – Utilizando o Veeam Hardened Repository ISO

by Wesley Martins Silva
Veeam, Veeam Backup & Replication, , , , ,

 

Olá pessoal,

Na última semana a Veeam lançou uma ISO customizada com o Rocky Linux para utilização em Repositórios Imutáveis. Essa ISO segue as recomendações do Security Technical Implementation Guides (STIGs) e Defense Information Systems Agency (DISA) além de facilitar as configurações do repositório imutável. Utilizando essa ISO a Veeam também garante suporte ao Rocky Linux desde que o hardware utilizado faça parte da lista de hardwares compatíveis da Red Hat.

Nesse post vou demonstrar como fazer a instalação e configuração do repositório imutável no Veeam Backup & Replication utilizando essa ISO customizada.

 

 

Pré-Requisitos e Limitações

 

Alguns pré-requitos devem ser seguidos:

  • O Veeam Backup & Replication deve estar utilizando a versão 12.2 ou posterior;
  • O servidor utilizado precisa ser físico e fazer parte da lista de hardware compatíveis da Red Hat. A lista pode ser consultada nesse LINK.
  • UEFI secure boot precisa estar habilitado;
  • Qualquer outro software não pode ser instalado;
  • O servidor precisa ter pelo menos dois volumes:
    • Um volume para o sistema operacional de pelo menos 100GB;
    • Um volume adicional onde o repositório será criado de pelo menos 100GB;
  • Além das portas padrões de repositório Linux que precisam ser abertas (verifique nesse LINK) também é necessário que o servidor tenha acesso ao endereço repository.veeam.com na porta 443 para verificar patches de segurança e do sistema operacional.

 

Esse é o primeiro release da ISO e ainda possui algumas limitações:

  • Os updates são aplicados automaticamente às 8h AM todos os dias baseado no fuso horário configurado. Entretanto, o servidor não é reiniciado automaticamente e não é exibido nenhuma mensagem caso um reboot seja necessário. Para garantir que os patches foram aplicados corretamente faça o reboot do servidor regularmente;
  • A ISO não possui um mode de reparou. Se o volume do sistema operacional for perdido será necessário instalar outra versão do Linux para montar o volume onde se encontra os dados para ter acesso ao repositório novamente;
  • Apenas controladoras RAID físicas são suportadas;
  • Apenas volumes internos ou direct attach via controladora RAID físicas são suportadas;
  • iSCSI ou Fiber Channel LUNs apresentadas para o servidor não são suportadas;
  • Conexões sem fio não são suportadas.

 

Lembrando que algumas limitações e pré-requisitos listados acima são para garantir que o hardware/software seja suportado pela Veeam.

 

Instalação

 

Em meu lab eu usarei uma VM para instalar o repositório imutável, mas lembrem-se que VMs não são suportadas para o uso da ISo customizada.
Primeiro faremos o download da ISO via portal da Veeam. A ISO foi adicionada na seção de Additional Downloads:

 

A instalação não difere muito da instalação padrão do Rocky Linux, mas algumas opções foram customizadas.
Ao iniciar o sistema pela ISO a tela padrão de instalação de instalação do Rocky Linux será apresentada:

 

Em Keyboard Layout irei adicionar o padrão ABNT apenas para facilitar a digitação:

 

Escolha o fuso horário da região em Time & Date:

 

Em Installation Destination não é possível fazer alterações pois os discos serão formatados seguindo as práticas recomendadas:

 

Em Network & Hostname podemos configurar o IP do repositório. No meu exemplo usarei apenas uma interface, mas é possível usar múltiplas interfaces se necessário.

 

Ao voltar para a tela inicial de network a interface estará habilitada e funcional.

 

Com esses passos prontos podemos clicar em “Begin Installation” e aguardar a instalação que pode demorar alguns minutos para ser concluída.

 

Configuração do Repositório Imutável

 

Após finalizar a instalação e o servidor ser reiniciado a tela abaixo será apresentada.

 

O usuário padrão para configuração é vhradmin. A senha também é vhradmin.
Será solicitado para trocar a senha. A senha deve possuir o seguinte padrão:

  • Mínimo de 15 caracteres;
  • Pelo menos 1 caracter maiúsculo;
  • Pelo menos 1 caracter numérico.
  • Pelo menos 1 caracter especial;
  • Não pode ter mais de 3 caracteres da mesma classe em sequência. Ou seja, não ter 3 caracteres minúsculos ou numéricos em sequência;
  • A senha só pode ser trocada após 24h.

 

Após a troca da senha, aceite os termos da licença.

 

No menu principal é possível configurar algumas opções, como Network, Proxy, SSH, reboot entre outras.

 

Para prosseguir com a criação do repositório imutável no Veeam Backup & Replication iremos iniciar o serviço do SSH. Isso é necessário apenas durante essa etapa, depois devemos parar o serviço para manter a segurança do ambiente.
Ao habilitar o SSH será criado uma senha temporária para o usuário veeamsvc. Esse usuário e senha que deve ser utilizado para configurar o repositório.

 

Após adicionarmos o repositório e pararmos o serviço de SSH essa senha não irá mais funcionar. Se for necessário habilitar o SSH novamente uma nova senha será gerada automaticamente.

 

Adicionando Repositório Imutável no VBR

 

Na console do VBR iremos adicionar um novo repositório e escolher a opção “Linux (Hardened Repository):

 

Escolha um nome e uma descrição:

 

Em server vamos adicionar um novo servidor:

 

Preencha com o FQDN ou IP do servidor:

 

Em SSH Connection, clique em Add para adicionar a credencial que foi gerada anteriormente.

 

Aceite a chave SSH:

 

Será informado os componentes que serão instalados:

 

Aguarde a instalação dos componentes:

 

No final um resumo das configurações será mostrado:

 

Agora em Repository, clique em Browse para escolher o caminho onde os backups serão criados.
Por padrão uma pasta com o nome “veeam-repository01” dentro de /mnt terá sido criado para o volume adicional existente no servidor.

 

Escolha quantos dias de backups imutáveis você deseja para o repositório. O mínimo possível é 7.

 

Em Mount Server podemos manter o padrão:

 

Em Review verificaremos se ainda falta algum componente para ser instalado:

 

Ao final teremos um resumo das configurações selecionadas:

 

Com o repositório criado já podemos desabilitar o SSH:

 

 

Criando job de backup

 

Com o repositório criado irei criar um job de backup simples e utilizar esse novo repositório.
Configurei para manter 14 dias de restore points:

 

O backup foi criado corretamente:

 

Caso tentemos remover o restore point uma mensagem de erro será exibida falando que está imutável:

 

Com isso finalizamos a criação do repositório utilizando a nova ISO para Hardened Repository.
Uma nova seção sobre a ISO foi adicionada ao User Guide do Veeam Backup & Replication. É possível acessá-la direta por esse LINK.

Compartilhe!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *