IBM Cloud Docs
Datensicherung in VMware Solutions

Datensicherung in VMware Solutions

Sie sollten wissen, welche Daten gespeichert und verschlüsselt werden und wie Sie gespeicherte Daten löschen können, um sicherzustellen, dass Sie Ihre persönlichen Daten sicher verwalten können, wenn Sie IBM Cloud® for VMware Solutions nutzen

Datenspeicherung und Verschlüsselung in VMware Solutions

Wenn ein Benutzer VMware Solutions integriert und Instanzen bestellt, speichern und verwalten wir Benutzerdaten zur Konfiguration und Metadaten zum Benutzer und zu den bestellten Instanzen.Zu diesen Benutzerdaten gehört Folgendes.

  • Für die beiden Instanzen VMware Cloud Foundation for Classic – Automated und VMware Shared umfassen die Benutzerdaten die folgenden Elemente:
    • IBMid (E-Mail)
    • Informationen zur Instanzkonfiguration
    • Instanzzugriffsinformationen wie Anmeldeinformationen für VMware Cloud Director, VMware vCenter Server® und VMware NSX® Manager.
  • Für VCF for Classic – Automated enthalten die Benutzerdaten zusätzlich die IBM Cloud klassischen Infrastruktur-Anmeldedaten (Benutzername und API-Schlüssel).

Diese Konfigurations- und Metadaten werden von IBM gespeichert und verwaltet.Die Daten werden als ruhende Daten sowie bei der Übertragung verschlüsselt. Zusätzlich werden sensible Daten wie API-Schlüssel und Zugangsinformationen mit kundenspezifischen Verschlüsselungscodes verschlüsselt.

Für VCF for Classic – Automated können Sie Ihre eigenen Daten auf IBM Cloud Bare Metal Server und IBM Cloud File Storage for Classic und IBM Cloud Block Storage for Classic die von Ihrer VMware Instanz verwaltet werden. Alle diese Daten werden von Ihnen verwaltet und nicht von IBM, und Sie können diese Daten mit verschiedenen Lösungen verschlüsseln.

Diese Lösungen umfassen die folgenden Optionen:

  • KMIP™ für VMware Service zusammen mit IBM Cloud Key Protect oder IBM Cloud Hyper Protect Crypto Services, um vSAN™ oder VMware vSphere®-Verschlüsselung für Ihre Workloads zu ermöglichen
  • Andere selbstverwaltete Verschlüsselungstechnologien, die mit VMware kompatibel sind

Für VMware Shared befinden sich Ihre Workload-Daten in einem von IBM verwalteten Cloud-Infrastrukturkonto. Sie erhalten die standardmäßige vSphere-Verschlüsselungsoption für Ihre VMs, die von IBM verwaltete Schlüssel verwendet, die von IBM Cloud KMIP für VMware und Hyper Protect Crypto Services gesichert werden. Sie können optional eigene Verschlüsselungslösungen für Ihre VMware-Workloads implementieren.

IBM-Richtlinie zur Datensicherung mit Veeam

Sie können den Veeam-Dienst auf verschiedene Weise konfigurieren. Einige Optionen beinhalten Self-Service, aber in allen Fällen IBM behält standardmäßig Wiederherstellungspunkte und -ketten bei. Betrachten Sie die folgenden IBM Richtlinien für die Datensicherung mit Veeam.

Erstellung von Sicherungsaufträgen

Wenn Sie einen Sicherungsauftrag erstellen, fügen Sie dem Auftrag VMs oder vApps zur Datensicherung hinzu und legen den Zeitplan für den Sicherungsauftrag fest. Die IBM-Richtlinie besagt, dass Ihre VMs oder vApps niemals aus Ihren Backup-Jobs entfernt oder Backups ohne Ihre Zustimmung gelöscht werden.

Entfernen von Sicherungskopien

Um Backups zu entfernen, können Sie VMs oder vApps aus dem Backup-Job entfernen oder VMs oder vApps löschen, die zuvor gesichert wurden. In jedem Fall sind Sie für das Löschen der alten Wiederherstellungspunkte verantwortlich. Bevor Sie VMs oder vApps entfernen oder die Wiederherstellungspunkte löschen, sollten Sie die folgenden Informationen beachten.

Format der Sicherungskette

Für Veeam 12 und höher verwendet die IBM eine Sicherung pro Maschine mit separaten Metadaten-Dateien für das Format der Sicherungskette. Weitere Informationen finden Sie unter Sicherungskettenformate.

Richtlinie zur Aufbewahrung von Sicherungsaufträgen

Die Sicherungsaufbewahrungsrichtlinie legt fest, wie viele Wiederherstellungspunkte auf der Festplatte aufbewahrt werden sollen. Nachdem die zulässige Anzahl von Wiederherstellungspunkten überschritten wurde, wendet Veeam die Aufbewahrungsrichtlinie an, um den frühesten Wiederherstellungspunkt aus der Sicherungskette zu entfernen. Abhängig von Ihren geschäftlichen Anforderungen liegt es in Ihrer Verantwortung, die Aufbewahrungsrichtlinie festzulegen, wenn Sie den Sicherungsauftrag erstellen. Weitere Informationen finden Sie unter Richtlinie zur kurzfristigen Aufbewahrung.

Sie können die Aufbewahrungsrichtlinie später aktualisieren. Die neuen Einstellungen werden jedoch nur auf die neuen Daten angewendet und können nicht auf frühere Daten angewendet werden, für die die vorherige Einstellung der Aufbewahrungsrichtlinie beibehalten wurde.

Entfernen von Wiederherstellungspunkten

Veeam behält mindestens eine vollständige Backup-Kette und entfernt alte Wiederherstellungspunkte erst, wenn ein zweites vollständiges Backup (synthetisch oder aktiv) erstellt wird und eine neue Backup-Kette beginnt. Weitere Informationen finden Sie unter Löschen von Wiederherstellungspunkten.

Aufbewahrungspolitik für gelöschte Objekte

Veeam bietet die Einstellung Löschdaten entfernen nach für jeden Backup-Job an, um Wiederherstellungspunkte für gelöschte Objekte nach einer bestimmten Anzahl von Tagen zu löschen. Die IBM-Richtlinie aktiviert diese Einstellung nicht standardmäßig, kann sie aber aktivieren, wenn ein Supportfall eröffnet wird. Um die Einstellung zu aktivieren, müssen Sie die folgenden Informationen im Support-Fall angeben.

  • Die Namen der Sicherungsaufträge, für die Sie die Einstellung aktivieren möchten.
  • Der Wert in Tagen, der für die Einstellung Löschdaten entfernen nach festgelegt werden soll.

Wenn diese Option aktiviert ist, werden die Wiederherstellungspunkte für jede VM oder vApp, die nicht mehr vom Backup-Job verarbeitet wird, nach der eingestellten Anzahl von Tagen dauerhaft gelöscht.

Weitere Informationen finden Sie unter Aufbewahrungsrichtlinie für gelöschte Objekte.

Die Aufbewahrungsrichtlinie wird nur angewendet, wenn der Job keine Backups mehr für die gesamte vApp erstellt. Daher führt das Entfernen von VMs innerhalb von vApps nicht zu einer automatischen Löschung dieser Wiederherstellungspunkte. Es liegt in Ihrer Verantwortung, die Wiederherstellungspunkte zu löschen.

Verschieben von Objekten zwischen Sicherungsaufträgen

Sie können VMs oder vApps zwischen Sicherungsaufträgen verschieben. Jede VM oder vApp, die Sie in einen neuen Sicherungsauftrag verschieben, führt zu einer neuen Sicherungskette und Wiederherstellungspunkten unter dem neuen Sicherungsauftrag. Das Entfernen der Originalsicherung und der Wiederherstellungspunkte fällt in diesem Fall in dieselbe Kategorie wie das Entfernen von Sicherungen. Sie sind dafür verantwortlich, die ursprünglichen Wiederherstellungspunkte zu löschen.

Sensible Daten in VMware Solutions schützen

IBM Cloud Zugang unterstützen

IBM Cloud Support hat Zugriff auf Ihre VMware-Virtualisierungsumgebung.

Für VCF for Classic – Automated behält IBM diesen Zugang bei, um automatisierte Day-2-Vorgänge wie die Kapazitätserweiterung zu ermöglichen und Unterstützung bei der Problemlösung zu leisten. Weitere Informationen finden Sie unter Richtlinie für den Zugriff auf Client-Instanzen und Zustimmung zum Zugriff auf Client-Umgebungen.

Für VCF for Classic – Automated können Sie Maßnahmen ergreifen, um den IBM Cloud Zugriff auf Ihre Instanz zu beschränken. Diese Schritte können die folgenden Aktionen umfassen:

  • Sie müssen ein funktionsfähiges IBM Cloud-Konto erstellen, um Eigner des API-Schlüssels zu sein, den Sie VMware Solutions für die Bereitstellung zur Verfügung stellen. Stellen Sie sicher, dass Sie die Mailbox dieses Kontos auf Benachrichtigungen überprüfen.
  • Sie können diesen API-Schlüssel erneut generieren, um den Zugriff auf Automatisierung und Support für Ihren API-Schlüssel zu widerrufen. Wenn Sie den IBM Cloud-Zugang wiederherstellen müssen, um beispielsweise einen neuen Host bereitzustellen, müssen Sie den API-Schlüssel auf der Seite Einstellungen der VMware Solutions-Konsole erneut eingeben.
  • IBM Cloud behält eine Gruppe mit Benutzer-IDs in Ihrer Instanz bei. Sie können diese Benutzer-IDs inaktivieren oder widerrufen. Wenn Sie den IBM Cloud-Zugriff wiederherstellen müssen, um beispielsweise einen neuen Host bereitzustellen, müssen Sie diese Konten wieder aktivieren. Wenn Sie das Kennwort für diese Konten geändert haben, müssen Sie ein Support-Ticket öffnen, um IBM Cloud das aktualisierte Kennwort zur Verfügung zu stellen.

Für VMware Shared verwaltet IBM Cloud die Virtualisierungsumgebung und dieser Zugriff kann nicht widerrufen werden.

Informationen zu den vom Kunden verwalteten Schlüsseln

  • Bei VCF for Classic – Automated wird die Umschlagverschlüsselung verwendet, um vom Kunden verwaltete Schlüssel anzubieten.
  • Für VMware Shared wird die Umschlagverschlüsselung verwendet, allerdings mit IBM-verwalteten Schlüsseln und nicht mit vom Kunden verwalteten.

Die Umschlagverschlüsselung innerhalb von VMware Solutions verwendet den KMIP für VMware Dienst, um die Schlüsselverwaltung für vSphere oder vSAN Verschlüsselung bereitzustellen.

In beiden Fällen verwenden die Angebote beim Key-Wrapping bzw. beim Aufheben des Key-Wrappings IBM Cloud Key Protect oder IBM Cloud Hyper Protect Crypto Services. Key Protect bietet BYOK-Funktionalität (BYOK - Bring Your Own Key) durch die Verwendung von FIPS 140–2 Level 3 zertifizierte Hardware Security Module (HSMs). Hyper Protect Crypto Services bietet KYOK-Funktionalität (KYOK - Keep Your Own Key) unter Verwendung von FIPS 140–2 Level 4 zertifizierten HSMs.

Vom Kunden verwaltete Schlüssel für VMware Solutions aktivieren

Sie können die Schlüsselverwaltung IBM Cloud mit der Verschlüsselung vSphere oder vSAN verwenden. Weitere Informationen finden Sie in der KMIP for VMware Implementierungsrichtlinie.

Vom Kunden verwaltete Schlüssel für VMware Solutions verwenden

Weitere Informationen zu Überlegungen zum Schlüsselmanagement, zum Schlüsselwiderruf und zur Schlüsselrotation bei VMware finden Sie unter:

Daten in VMware Solutions löschen

VMware Solutions-Instanzen löschen

  • Wenn Sie eine VCF for Classic – Automated-Instanz löschen, werden alle zugehörigen Kunden-Workload-Daten gelöscht. Die zugrundeliegenden IaaS-Ressourcen werden ebenfalls am Ende des entsprechenden Abrechnungszyklus gelöscht.
  • Wenn Sie eine VMware Shared-Instanz löschen, werden alle zugehörigen Kundendaten sofort gelöscht.

Zusammen mit der Instanzlöschung werden auch die Konfiguration und die Metadaten der Instanz als „inaktiv“ markiert. Sie können das vollständige Löschen der Metadaten über ein "secure wipe"-Ticket anfordern.

Gelöschte Daten für VMware Solutions wiederherstellen

Sie sind dafür verantwortlich, die Sicherung und Wiederherstellung aller Daten, die Sie an VMware Solutions übertragen, bereitzustellen. IBM Cloud sichert Ihre Workloaddaten nicht und kann sie nach dem Löschen nicht wiederherstellen.