Instalación e integración de VHR en VBR V12!

(Veeam Hardened Repository)

Hola, Hoy por fin me he animado a desplegar y probar el fantástico proyecto de Veeam, el VHR «Veeam Hardened Repository»

Se trata de un despliegue «paquetizado» de un Ubuntu Server, el cual ha sido «endurecido» o «reforzado» con las pautas de seguridad DISA STIG.

Existe la opción de instalar el S.O. por tu cuenta, y después correr el script de Hardened, pero me ha parecido más interesante probar este «paquetizado«

Voy a ir poniendo pantallazos y algunos comentarios, el proceso es muy sencillo.
Para las pruebas, lo he desplegado en una maquina virtual, pero este VHR está diseñado para ser desplegado en un servidor físico, no en vm.

Toda la información y descargas las podemos encontrar aquí!

Comenzamos:

Como pre requisito, este deploy buscará en los discos el más pequeño para el S.O. y el más grande para el repositorio, yo en mi caso he desplegado un disco de 20GB y otro de 100Gb y los ha reconocido solo.
Recomendado si hacéis el despliegue en servidor, que tenga controladora RAID, un RAID 1 «Pequeño» para el S.O. y un Raid 5 ò 6 para el repositorio.

Configuración de red, recomendado bond de 2 tarjetas de red, muy fácil de hacer con el asistente.
en mi caso al ser laboratorio, solo he dejado una tarjeta y por DHCP

Si tenemos servidor Proxy para la conexión a internet, importante definirlo, ya que se bajará actualizaciones de seguridad en el proceso de instalación.

OJO! Vamos a destruir todo el contenido de los discos, e instalar el S.O, y el repositorio,
si estais re instalando el S.O por fallo, no hagas esto, o lo perderéis todo.

Arranque inicial, nos «logueamos» con el usuario creado previamente…

Ojo al disclammer, nos indica que tras este setup inicial, y reiniciemos, el S.O. se va a «endurecer» deshabilitando todos los comandos para el usuario, a excepción de reboot y shutdown!!
Haremos nuestros ajustes, y ante de reiniciar, lo añadiremos al servidor de Veeam VBR!!!

En nuestro VBR, vamos al Wizard de añadir repositorio de backup.

Añadimos nuestro servidor VHR recién desplegado

Las credenciales como single use, sino, nos va a fallar, es un hardened repo, todo debe ser lo más seguro posible!

Continuamos con el proceso,
Seleccionamos nuestra unidad donde vamos a almacenar los backups, el Repo!

Aquí definimos la inmutabilidad, en días, lo he dejado por defecto, 7!

Seguimos con la configuración convencional de nuestros repos

Vemos aquí nuestro repo Inmutable listo para ser usado, independiente, en SORB, etc…

OJO, continuamos ahora en el Servidor VHR que desplegamos, para terminar el Hardening!!

Como veis, ya lo hemos añadido a nuestro VBR, por tanto, ahora, a reiniciar, tras lo cual, se ejecutará el script de «endurecido» quedando el usuario solamente con la opción de shutdown y reboot.

Listo! ya nos dice el disclamer que el Hardening se ha efectuado.
Todo listo para usar nuestro repositorio en nuestro servidor seguro.

ara poder hacer troubleshooting, tendremos que reiniciar y lomearnos en el servidor como root desde el modo Standalone desde el arranque del Grub, ya que el root está deshabilitado, y nuestro usuario únicamente tiene permisos de Reboot y Shutdown.

Espero os haya gustado, y os facilite el despliegue de esta fantástica opción,
yo lo tengo en mi laboratorio, y como bien dice la documentación, usarlo a vuestro criterio, y no tiene soporte, no habrás tickets en soporte!

Para monitorear los discos en caso de fallo, etc, deberes configurar la ILO, IPMI, DRAC, etc… que tenga vuestro servidor, ya que el S.O. del VHR no mandará notificaciones.

un saludo.

18 de noviembre de 2023

USB Storage over the Network!

Hi everyone!

I had a case during this week, and I wanted to share my experience / workaround with y’all.

I wanted to export a backup to an external drive, the VBR was a virtual machine, and no access to the Hypervisor to plug the USB and push it to the vm.

Now you may think, mount it somewhere and share it over the network as a shared folder…

I did, and was not working, some windows stuff that we were not allowed to share any unit, and was driving us crazy!

We did some research, and remembered that there was a way to share / mount remote USB Devices over the Network! now, time to give it a shot!

The idea is very straight forward, a Server machine, where the USB Devices is located at, and a client, to mount the remote resource as “local”.

The tool name is VIRTUALHERE

USB SERVER(Local USB Drive)→NETWORK→USB CLIENT“Remotely mounted USB Drive”

You simply download the Server and client, and execute them in the decided machines, couple of easy configs, and you are good to go, let me show you some screenshots.

VirtualHere Server running in the workstation out of the Vsphere environment.

We right click into the device we would like to mount remotely – locally.

Boom! now shows the USB Drive like being plugged locally, its not!

VBR Sees the unit from the system, so now we are good to export the backup to it.

Some networking traffic going on, sending the files to the USB drive.

After the usage, we unmount the unit by right clicking and stop using the device.

Now we can see here at the “Server” that the unit has the files into it! worked perfectly.

Finally, you can see that the USB Drive is unmounted in the VBR server, all the files copied ok.

Hope you liked this little workaround,

now, planning and thinking in future usages for this great tool.

Just wanted to highlight that I used the “Free” Version, which only allows to mount one USB Device at a time, there is a licensed version, but not used for now.
Also wanted to tell you that I have no relationship at all with them, just found it and wanted to share it with all of you.

cheers!

15 de noviembre de 2023

Exportando Backup de Veeam VBR 12 a vmdk

Hola,
Este paso curioso me llegó, dado que un amigo me pidió ayuda con un tema,
un servidor, el cual necesita una copia del mismo para hacer una auditoría, solo de las unidades de disco.

Lo primero que me vino a la cabeza fue, restaurar la vm desde un backup, y ya de ahí coger los vmdks pertinentes y hacer lo que sea.

De ahí, otra idea, si es un servidor virtual, restaurar los ficheros de vm, no el contenido, no?
Este parece ser el paso más sencillo y adecuado, siendo una vm.

Pero luego, dándole vueltas, caí en la cuenta, y si es físico? cómo podríamos hacerlo?
Por qué no mejor coger y pedirle a veeam directamente los vmdks?

Veeam no solo nos «convierte» o «entrega vmdks (vmware), sino también puede ser vhd (Hyper-V o Azure) o vhdx (Hyper-V).

Vamos a verlo con unos sencillos pantallazos, por si a más de uno le puede ser útil:

ya los tenemos,
Saludos.

13 de noviembre de 2023

Detalle / error a la hora de hacer un Move backup a S3(i)

Hola, en un post anterior vimos la funcionalidad Backup Move en VBR 12, una maravilla.

Ahora bien, me he encontrado con un pequeño error, el cual no me permitía mover los backups de un repo a otro, en concreto, de un repo local a un repo S3 en Wasabi (immutable).

Tal y como podemos leer en el error, se trata de nuestra configuración de la tarea, la cual tiene puesto un Synthetic Full los sábados, y no le ha gustado nada.

Lo cambiamos a Active full, realizamos un Full, y ya nos permitirá hacer el cambio de Repo.

Pequeño detalle a tener en cuenta a la hora de querer hacer nuestros movimientos.
Ojo con el espacio disponible, ya que un Active Full ocupa, y según tengamos nuestros recursos disponibles, podemos tener problemas.

Detalle también a tener en cuenta a la hora de crear nuestras tareas en el inicio,
si prevemos que haremos este tipo de movimientos, conviene tenerlo preparado.

saludos.

8 de octubre de 2023

Función «Copy Job» Virtual Machine – Veeam B&R V12

En esta ocasión vamos a ver, en sencillos pasos, como configurar una tera de Copy Job de una maquina virtual de nuestro entorno, a otro datastore, bien de un VBR ó de un servidor ESXi que tengamos registrado en nuestro VBR Server.

No lo confundamos con un Backup Copy Job, que es algo totalmente diferente,
Esta tarea está enfocada en copiar los archivos de la maquina, no los backups o resultados.

No veo muy implementada o nombrada esta funcionalidad, yo la he empleado para hacer copias de maquinas virtuales, directamente al destino donde las quería tener, con un mecanismo de control, «garantizando» que la copia se había realizado correctamente, o para casos que queremos tener dicha copia, de ultima frontera, dado que el destino es un ESXi y se puede «registrar» la vm rápidamente y encenderla.

Como último detalle, decir que es un Copy, por tanto, no mantiene registro de diferentes ejecuciones, sino que tendremos disponibles los archivos de la última copia OK ejecutada.

Vamos a ver los pantallazos y el ejemplo:

Aquí vemos seleccionado el ESXi y el datastore

Finaliza la tarea, veremos los archivos de la vm copiados en destino

Vemos los archivos de la vm copiados, y procedemos a registrar la vm para probarla

boom! registrada y arrancada en destino!

Ahora vemos la otra opción, como destino, un repositorio de Veeam, en este caso, el Local repo de nuestro VBR Server

La tarea es todo igual, solo cambia el destino de la copia a un datastore de un VBR Server

Como habéis visto, una manera muy efectiva de copiar una vm para luego hacer diferentes cosas con ella, registrarla en un ESXi, tener los archivos en un repositorio o servidor, o para mover una maquina virtual de un host a otro, si no tenemos opción de HA, o de Réplicas, o simplemente mantener una copia de nuestra/s máquinas en un repositorio diferente, sin estar en formato vbr, sino directamente como vm de ESXi en este caso.

saludos.

1 de octubre de 2023

Función «Move Backup» Veeam B&R V12

La entrada de hoy va dirigida a una funcionalidad que me encanta de Veeam B&R V12,
Se trata de «Move Backup», el cual nos va a ayudar a mover nuestros backups de un repositorio a otro, de manera automática, modificando la tarea a la cual estaba asignado, sin ningún esfuerzo o problema.

Muy útil cuado debemos mover los backup debido a un cambio de almacenamiento, bien sea por ampliación, mantenimiento o cambio de modelo, sin perder nuestra cadena de backups o configuraciones, o tener ur crear una tarea nueva.

Vamos a ver unos pantallazos e intentaré descubrir el proceso, para que veáis las diferencias y utilidad.

Comprobamos la tarea, ahora apunta el storage al nuevo repo

Backups ahora en repo local en Default Backup Repo, D:\…

La carpeta ya no existe en origen, repo en dxiv storage appliance

Listo, como veis, ya no sale el backup listado en el repo en red, solamente en el nuevo destino y la tarea modificada por veeam, por tanto, sin cambios en cadenas de backup ni configuraciones!.

Ahora, volvemos a haver el move, para volver a tener los backups como al principio:

Ahora volvemos a hacer el Move, vuelta al dxiv repo original

Listo!

Un proceso muy sencillo y útil, como hemos dicho antes, para hacer cambios de infraestructura de almacenamiento, reparaciones o migraciones.

saludos.

14 de septiembre de 202326 de septiembre de 2023

Backup a S3 – Wasabi con Veeam V12 a pantallazos!

Hola, en la entrada anterior, veíamos como hacer un backup con Veeam B&R V12 a un repositorio «normal» / «local».

Backup Simple con Veeam B&R V12

Ahora, seguiremos la misma linea, pero enviando nuestro backup directamente a un repositorio S3, si, sin intermediarios ni SOBR ni nada!

Vamos a ver unos pocos pantallazos para que sea más visual y claro!

La velocidad y estabilidad son fantásticas, prueba realizada con una conexión de fibra de 300mbps

Como veis, el proceso es «casi» igual que con el backup convencional,
aquí tenis la entrada paso a paso como crear un repositorio y bucket en Wasabi S3.

Ya no hay excusas para tener nuestra copia fuera del edificio / oficina, y así obtener la famosa regla del 3-2-1

Más adelante la «complicaremos» con el 1-0 !

saludos.

6 de junio de 2023

Better than Just VPN for the Home Lab

Hi everyone!
I wanted to write today about a tool that happily surprised me and now has made my life easier, related to VPN and connectivity, its called Tailscale

The main slogan says :

Secure remote access to shared resources

Tailscale connects your team’s devices and development environments for easy access to remote resources.

I’ll try to put it on my own words, in my use case, I’ve been using it at the beginning to connect to my Home Lab remotely from my house to my “Jump Station” over RDP, then, I started to use some advanced features:

VPN Access to a single client
VPN to Remote Site, to access other devices not capable to install the Client
Proxy / Traffic router when Im out of the house or in a untrusted network
Web central console for configurations, users creation and management.
Easy to use client for Linux, Windows, Android, OSX, iOS, etc.

The client is very neat, clean and easy to use,
also the documentation is great!
Im gong to post a few screenshots and will make a future entry with an example setup.

The “Free” version comes with great features to start using it, as I said, in my case, at my home lab,

https://tailscale.com/pricing/

One of the positive things for me, is that I dont need to setup a firewall + opening ports for connecting from / to my hose / homelab, the Iphone / Ipad client works “like a champ” and I can access all I need, and secure my traffic navigating from my home when needed.

29 de mayo de 2023

Restaurando una Réplica con Veeam B&R V12

En la entrada anterior, hemos visto cómo crear una réplica en Veeam B&R V12
Ahora, os enseñaré brevemente cómo podemos lanzar esa réplica a producción en caso de necesidad, y también comentaremos diferentes casos de uso.

Vamos!

Nos fijamos en nuestra consola de Veeam B&R V12, que tenemos la tarea de réplica

Vemos en Réplicas, que tenemos una Ready para ser usada / ejecutada

Hacemos click derecho sobre la réplica que queremos, y nos da las siguientes opciones:

Vamos a explicar brevemente las dos funciones que más utilizo
Failover now -> Veeam ejecutará la réplica en el host que tenemos definido, modo de uso normal en caso de perdida, parada, etc de nuestra producción.
Planned failover -> Realiza un apagado seguro del origen, y ejecuta la réplica, sin perdida de datos, sí con parada en el power off y power on.
Se puede emplear para testar nuestras réplicas, o para ejecutar una maquina en otro host, si no se dispone de vMotion o similares.

En nuestro ejemplo, vamos a simular una «caída» de producción, por tanto, Failover now… y seguimos.

Aquí vemos que la vm de réplica Photon_ova_4.0_replica está encendida

Estas últimas opciones, tras tener la máquina corriendo en réplica, son:
Permanent failover: la réplica se quedará como vm siempre
Undo failover, se quitan todos los cambios en la réplica, y se apaga.
Failback to production: los cambios realizados en la vm réplica, se pasan a la vm de producción, y se apaga la réplica, para arrancar la «original!».

Estos casos son, si perdimos el almacenamiento o la maquina origen, será mejor un Permanent Failover, pero si lo que perdimos fue conectividad a nuestra cabina, al volver a tenerla, podemos hacer un Failback to production, que se lleve los cambios, y seguiremos como siempre.

Ejecutamos nuestro Failback to production, para volver las cosas a como estaban, con los cambios producidos en la réplica, pasando todo a producción y seguimos trabajando como antes.

OJO, he seleccionado que encienda el destino tras el volcado de los datos.

aquí vemos la transición, de no comunicar, a volver a estar UP la maquina original

Como paso final, tras el cambio de la replica a producción, debemos hacer un Commit, para que finalice el proceso, se vuelquen todos los datos, y volvamos al status de maquina en prod, y réplica de la misma.

aqui vemos como todo volvió a estar como antes!

Saludos.

12 de mayo de 202312 de octubre de 2023

Kubernetes Data Protection con Kasten

Acompáñanos en esta sesión de la mano de Jose Maria, Señor Systems Engineer en Veeam, en la cual hablaremos principalmente en cómo proteger nuestras cargas de trabajo en Kubernetes con Kasten 10,
Así como una breve introducción a la comunidad, DEMO!