不变的备份网络架构

在不可变备份解决方案架构中，沙箱的使用是可选的。 在这些解决方案架构中，沙箱被定义为一个隔离的网络环境，在这个环境中，备份副本可以被访问或用于启动虚拟机（VM）。 这些虚拟机与生产环境隔离，因此，具有相同 IP 地址的虚拟机造成的重复 IP 地址不会发生冲突，恢复后的虚拟机也不会与生产虚拟机发生交互。

虽然 Veeam® DataLabs 启用了沙箱概念，但尚未在 VMware NSX-T™ 环境中启用，因为它无法将 NSX-T 网段映射到隔离网段。 因此，这些解决方案架构通过使用 Veeam 和 NSX-T 技术实现了沙箱：

• Veeam vPower NFS 服务 - 允许直接从备份文件启动虚拟机。
• Veeam 数据集成 API - 可在文件系统中加载备份文件。
• NSX-T 叠加网段 - 使虚拟机能够连接到从物理网络抽象出来的虚拟网络。
• NSX-T T1- 提供路由和网关防火墙功能。
• NSX-T 分布式防火墙 - 分布式防火墙使虚拟机的东西向流量具备防火墙功能。

上图显示了一个沙箱示例，该沙箱托管在 VMware Cloud Foundation for Classic - Automated 实例的合并群集上。 客户订购了以下资源。

• 一个 VCF for Classic - Automated 实例
• Veeam 服务
• 运行 Ubuntu 20.04 LTS 的裸机服务器

IaaS调配时，客户：

• 删除调配过程中创建的样本段。
• 保留 T0 和 T1 的工作负载。
• 不更改服务 T0。
• 创建三个网段，分别为 NW1、NW2、NW3，并将它们连接到工作负载 T1。
• 在三个网络上提供和配置工作负载虚拟机。

要启用不可变存储备份，客户需要完成以下任务。

• 遵循裸机服务器上的先决条件任务，使服务器准备好作为 Linux®加固存储库。
• 使用由Linux®加固存储库启用的 Veeam 备份服务器。
• 为虚拟机创建备份任务。

客户在备份中完成与网络相关的任务，包括以下示例。

• 扫描备份文件，查找恶意软件。
• 从隔离网络上的备份中恢复虚拟机。

客户创建以下项目：

• 新建名为 Cyber-Tools-T1 的 T1 并将其链接到工作负载 T0 上。Cyber-T1 被配置为公布连接的网段。 它可实现与 cybertoolset 虚拟机之间的流量路由。
• 包括恶意软件扫描仪在内的网络工具集。
• 新建一个名为 Isolated-NW-T1 的 T1 并将其链接到工作负载 T0 上。Isolated-NW-T1 被配置为仅公布所有 NAT IP 地址。 此操作将停止公布连接的网段，只公布网段的 NAT IP 地址。
• 以下是分布式防火墙组。
  • 名称 Cyber-Tools-Segments，类别 Segments，成员 Cybertools
  • 名称 Cyber-Isolated-Segments，标准 Segment Tag Equals Isolated-Segments，范围 Cyber
• 名为 Cyber-Isolated 的分布式防火墙策略包含以下规则，以满足其隔离要求：

如果需要沙箱，客户可使用自己喜欢的脚本工具自动完成：

• 使用 T1 上该网络默认网关的 IP 地址，创建连接到 Isolated-NW-T1 的逻辑网段。 在下图中，您可以看到两个 Isolated-NW2 和 Isolated-NW3 网段，它们的子网分别与 NW2 和 NW3 相匹配。 这些片段是通过标签和作用域创建的，例如作用域 Cyber 和标签 Isolated-Segments。 这些标记和范围用于上表所列的分布式防火墙组和规则。
• 创建目标 NAT 规则，将源地址来自 cybertools 网段的 IP 数据包的目标子网映射到翻译子网。 例如，Src=172.16.67.2->Dst=172.16.68.2 => Src=172.16.67.2->Dst=172.16.253.2。

下图显示了所需的交通流量：

• 绿色表示允许通行。
• 红色表示禁止通行。

目标网络地址转换 (DNAT) 规则配置为

分布式防火墙组配置的定义如下：

名为 Cyber-Isolated 的策略中的分布式防火墙策略配置定义如下：