Konfigurieren des Linux gehärteten Repository-Servers
Dieser Schritt beschreibt das Ansible® Playbook, das das Linux® gehärtete Backup-Repository als Veeam® Managed Server in die Veeam Backup-Infrastruktur einfügt. Das Playbook erfüllt die folgenden Aufgaben:
- Erstellen von Windows®-Firewall-Regeln.
- Fügen Sie das Linux gehärtete Backup-Repository hinzu.
- (Optional) Erstellen Sie ein Scale-Out-Backup-Repository.
Das Playbook kann lokal auf Ihrem Laptop mit einem Editor wie Visual Studio Code geschrieben und in das Verzeichnis \swlib\ansible des Automationsservers übertragen werden oder lokal auf dem Automationsserver mit einem Texteditor
wie vi oder nano bearbeitet werden.
Erstellen des Spielbuchs
Das Spielbuch create_lhbr.yml beginnt mit dem folgenden Code:
- hosts: vbr
vars_files:
- vault
vars:
lhbr_user: veeamlhbr
lhbr_password: "{{ vault_lhbr_password }}"
lhbr_vbr_name: <lhbr_vbr_name>
lhbr_fqdn: <lhbr_fqdn>
immutability_period: <immutability_period>
max_concurrent_jobs: <max_concurrent_jobs>
Ersetzen Sie <lhbr_vbr_name>, <lhbr_fqdn> und <immutability_period> im vorherigen Codeausschnitt durch die Werte, die Sie in den vorherigen Schritten erfasst haben. Der vorherige Code
führt die folgenden Aktionen aus:
- Legt fest, dass das Playbook auf den Hosts ausgeführt wird, die als
vbrin der Inventardatei definiert sind. - Definiert eine Datei, die andere Variablen enthält, genannt
vault. Die im vorangegangenen Schritt erstelltevault-Datei ist verschlüsselt und enthält sensible Variablen, wie z. B. Kennwörter. - Definiert den Kurznamen, der zur Bezeichnung des Linux gehärteten Repository
<lhbr_vbr_name>verwendet wird, und den FQDN des Servers.
Erstellen von Windows-Firewall-Regeln
Das folgende Codeschnipsel fügt Windows®-Firewall-Regeln hinzu, um eingehenden Datenverkehr zum Veeam-Backup-Server zuzulassen.
tasks:
- name: Veeam firewall rule TCP 111 in
community.windows.win_firewall_rule:
name: Veeam port mapper service (TCP-in)
group: Veeam
localport: 111
action: allow
direction: in
protocol: tcp
state: present
enabled: yes
- name: Veeam firewall rule UDP 111 in
community.windows.win_firewall_rule:
name: Veeam port mapper service (UDP-in)
group: Veeam
localport: 111
action: allow
direction: in
protocol: udp
state: present
enabled: yes
- name: Veeam firewall rule TCP 1058 in
community.windows.win_firewall_rule:
name: Veeam Mount acceptor port of vPower NFS service (TCP-in)
group: Veeam
localport: 1058
action: allow
direction: in
protocol: tcp
state: present
enabled: yes
- name: Veeam firewall rule TCP 2049 in
community.windows.win_firewall_rule:
name: Veeam NFS acceptor port of vPower NFS service (TCP-in)
group: Veeam
localport: 2049
action: allow
direction: in
protocol: tcp
state: present
enabled: yes
- name: Veeam firewall rule TCP 2500-3300 in
community.windows.win_firewall_rule:
name: Veeam data transmission channels (TCP-in)
group: Veeam
localport: 2500-3300
action: allow
direction: in
protocol: tcp
state: present
enabled: yes
Im Codeausschnitt werden der Veeam-Port-Mapper-Dienst, der Mount-Acceptor-Port und der NFS-Acceptor-Port vom vPower NFS-Dienst verwendet, der die Sicherungsdateien an VMware ESXi™-Hosts übermittelt. Veeam-Datenübertragungskanäle werden zwischen Veeam-Komponenten verwendet, zu denen auch das Veeam Hardened Backup Repository gehört.
Hinzufügen des Linux gehärteten Backup-Repository
Der folgende Codeausschnitt fügt das Linux gehärtete Repository als einen von Veeam verwalteten Server hinzu und fügt dann den verwalteten Server als Backup-Repository hinzu.
- name: Connect to the local VBR server
win_shell: Connect-VBRServer
- name: Add the server as a Veeam Managed Server
win_shell: Add-VBRLinux -Name '{{ lhbr_fqdn }}' -SSHUser '{{ lhbr_user}}' -SSHPassword '{{ lhbr_password }}' -Description "Linux Hardened Repository - {{ lhbr_vbr_name }}" -SSHElevateToRoot:$true -SSHTempCredentials:$true -Confirm:$false
- name: Add the Veeam Managed Server as a Linux Hardened Backup Repository
win_shell: Add-VBRBackupRepository -Folder /mnt/veeamrepo01 -Type LinuxLocal -ImmutabilityPeriod '{{ immutability_period }}' -EnableBackupImmutability:$true -EnableXFSFastClone:$true -AlignDataBlocks:$true -UsePerVMFile:$true -MaxConcurrentJobs '{{ max_concurrent_jobs }}' -Server '{{ lhbr_fqdn }}' -Description "Linux Hardened Repository" -Name '{{ lhbr_vbr_name }}'
-SSHTempCredentials:$truewird verwendet, damit die SSH-Anmeldeinformationen nicht in den Anmeldeinformationsspeicher von Veeam eingegeben werden.-EnableXFSFastClone:$truedefiniert, dass die Fast Clone-Technologie für das Backup-Repository aktiviert ist.-AlignDataBlocks:$truezeigt an, dass die Sicherungsdatenblöcke dekomprimiert werden müssen, bevor Sie sie im Repository speichern.-UsePerVMFile:$truezeigt an, dass das Backup-Repository Sicherungsdateien pro virtuelle Maschine (VM) erstellen muss.
Erstellen eines Scale-Out-Backup-Repositorys
Der folgende Codeschnipsel fügt das Linux gehärtete Repository als Extant zu einem Scale-Out-Backup-Repository hinzu. Dieser Schritt ist optional. Der Code stammt aus Schutz vor Ransomware mit unveränderlichen Backups: ein Veeam-Leitfaden. Bei der Repository-Konfiguration muss es sich um ein eigenständiges Repository handeln (Scale-Out-Backup-Repository ist technisch nur dann konform, wenn die Richtlinie "Kopie" für die Kapazitätsschicht verwendet wird).
- name: Create a Scale-Out Backup Repository
win_shell: Add-VBRScaleOutBackupRepository -PolicyType DataLocality -Extent '{{ lhbr_vbr_name }}' -Name "Linux Hardened Repository - {{ lhbr_vbr_name }}" -Description "Linux Hardened Repository" -UsePerVMBackupFiles:$true