Instalación e integración de VHR en VBR V12!

(Veeam Hardened Repository)

Hola, Hoy por fin me he animado a desplegar y probar el fantástico proyecto de Veeam, el VHR «Veeam Hardened Repository»

Se trata de un despliegue «paquetizado» de un Ubuntu Server, el cual ha sido «endurecido» o «reforzado» con las pautas de seguridad DISA STIG.

Existe la opción de instalar el S.O. por tu cuenta, y después correr el script de Hardened, pero me ha parecido más interesante probar este «paquetizado«

Voy a ir poniendo pantallazos y algunos comentarios, el proceso es muy sencillo.
Para las pruebas, lo he desplegado en una maquina virtual, pero este VHR está diseñado para ser desplegado en un servidor físico, no en vm.

Toda la información y descargas las podemos encontrar aquí!

Comenzamos:

Como pre requisito, este deploy buscará en los discos el más pequeño para el S.O. y el más grande para el repositorio, yo en mi caso he desplegado un disco de 20GB y otro de 100Gb y los ha reconocido solo.
Recomendado si hacéis el despliegue en servidor, que tenga controladora RAID, un RAID 1 «Pequeño» para el S.O. y un Raid 5 ò 6 para el repositorio.

Booteamos la ISO
Configuración de red, recomendado bond de 2 tarjetas de red, muy fácil de hacer con el asistente.
en mi caso al ser laboratorio, solo he dejado una tarjeta y por DHCP
Si tenemos servidor Proxy para la conexión a internet, importante definirlo, ya que se bajará actualizaciones de seguridad en el proceso de instalación.
OJO! Vamos a destruir todo el contenido de los discos, e instalar el S.O, y el repositorio,
si estais re instalando el S.O por fallo, no hagas esto, o lo perderéis todo.
Definimos usuario
arranca la magia
Sigue la magia con actualizaciones
acabamos, ahora, a reiniciar.
Arranque inicial, nos «logueamos» con el usuario creado previamente…
Ojo al disclammer, nos indica que tras este setup inicial, y reiniciemos, el S.O. se va a «endurecer» deshabilitando todos los comandos para el usuario, a excepción de reboot y shutdown!!
Haremos nuestros ajustes, y ante de reiniciar, lo añadiremos al servidor de Veeam VBR!!!
En nuestro VBR, vamos al Wizard de añadir repositorio de backup.
HARDENED!!!
Añadimos nuestro servidor VHR recién desplegado
Las credenciales como single use, sino, nos va a fallar, es un hardened repo, todo debe ser lo más seguro posible!
Continuamos con el proceso,
Seleccionamos nuestra unidad donde vamos a almacenar los backups, el Repo!
Aquí definimos la inmutabilidad, en días, lo he dejado por defecto, 7!
Seguimos con la configuración convencional de nuestros repos
Listo!

Vemos aquí nuestro repo Inmutable listo para ser usado, independiente, en SORB, etc…

OJO, continuamos ahora en el Servidor VHR que desplegamos, para terminar el Hardening!!

Como veis, ya lo hemos añadido a nuestro VBR, por tanto, ahora, a reiniciar, tras lo cual, se ejecutará el script de «endurecido» quedando el usuario solamente con la opción de shutdown y reboot.
Listo! ya nos dice el disclamer que el Hardening se ha efectuado.
Todo listo para usar nuestro repositorio en nuestro servidor seguro.

ara poder hacer troubleshooting, tendremos que reiniciar y lomearnos en el servidor como root desde el modo Standalone desde el arranque del Grub, ya que el root está deshabilitado, y nuestro usuario únicamente tiene permisos de Reboot y Shutdown.

Espero os haya gustado, y os facilite el despliegue de esta fantástica opción,
yo lo tengo en mi laboratorio, y como bien dice la documentación, usarlo a vuestro criterio, y no tiene soporte, no habrás tickets en soporte!

Para monitorear los discos en caso de fallo, etc, deberes configurar la ILO, IPMI, DRAC, etc… que tenga vuestro servidor, ya que el S.O. del VHR no mandará notificaciones.

un saludo.

USB Storage over the Network!

Hi everyone!

I had a case during this week, and I wanted to share my experience / workaround with y’all.

I wanted to export a backup to an external drive, the VBR was a virtual machine, and no access to the Hypervisor to plug the USB and push it to the vm.

Now you may think, mount it somewhere and share it over the network as a shared folder…

I did, and was not working, some windows stuff that we were not allowed to share any unit, and was driving us crazy!

We did some research, and remembered that there was a way to share / mount remote USB Devices over the Network! now, time to give it a shot!

The idea is very straight forward, a Server machine, where the USB Devices is located at, and a client, to mount the remote resource as “local”.

The tool name is VIRTUALHERE

USB SERVER(Local USB Drive)→NETWORK→USB CLIENT“Remotely mounted USB Drive”

You simply download the Server and client, and execute them in the decided machines, couple of easy configs, and you are good to go, let me show you some screenshots.

VirtualHere Server running in the workstation out of the Vsphere environment.
Client running in the VBR Server
We right click into the device we would like to mount remotely – locally.
Boom! now shows the USB Drive like being plugged locally, its not!
VBR Sees the unit from the system, so now we are good to export the backup to it.
Some networking traffic going on, sending the files to the USB drive.
After the usage, we unmount the unit by right clicking and stop using the device.
Now we can see here at the “Server” that the unit has the files into it! worked perfectly.
Finally, you can see that the USB Drive is unmounted in the VBR server, all the files copied ok.

Hope you liked this little workaround, 

now, planning and thinking in future usages for this great tool.

Just wanted to highlight that I used the “Free” Version, which only allows to mount one USB Device at a time, there is a licensed version, but not used for now.
Also wanted to tell you that I have no relationship at all with them, just found it and wanted to share it with all of you.

cheers!

Exportando Backup de Veeam VBR 12 a vmdk

Hola,
Este paso curioso me llegó, dado que un amigo me pidió ayuda con un tema,
un servidor, el cual necesita una copia del mismo para hacer una auditoría, solo de las unidades de disco.

Lo primero que me vino a la cabeza fue, restaurar la vm desde un backup, y ya de ahí coger los vmdks pertinentes y hacer lo que sea.

De ahí, otra idea, si es un servidor virtual, restaurar los ficheros de vm, no el contenido, no?
Este parece ser el paso más sencillo y adecuado, siendo una vm.

Pero luego, dándole vueltas, caí en la cuenta, y si es físico? cómo podríamos hacerlo?
Por qué no mejor coger y pedirle a veeam directamente los vmdks?

Veeam no solo nos «convierte» o «entrega vmdks (vmware), sino también puede ser vhd (Hyper-V o Azure) o vhdx (Hyper-V).

Vamos a verlo con unos sencillos pantallazos, por si a más de uno le puede ser útil:

ya los tenemos,
Saludos.

Detalle / error a la hora de hacer un Move backup a S3(i)

Hola, en un post anterior vimos la funcionalidad Backup Move en VBR 12, una maravilla.

Ahora bien, me he encontrado con un pequeño error, el cual no me permitía mover los backups de un repo a otro, en concreto, de un repo local a un repo S3 en Wasabi (immutable).

Tal y como podemos leer en el error, se trata de nuestra configuración de la tarea, la cual tiene puesto un Synthetic Full los sábados, y no le ha gustado nada.

Lo cambiamos a Active full, realizamos un Full, y ya nos permitirá hacer el cambio de Repo.

Pequeño detalle a tener en cuenta a la hora de querer hacer nuestros movimientos.
Ojo con el espacio disponible, ya que un Active Full ocupa, y según tengamos nuestros recursos disponibles, podemos tener problemas.

Detalle también a tener en cuenta a la hora de crear nuestras tareas en el inicio,
si prevemos que haremos este tipo de movimientos, conviene tenerlo preparado.

saludos.

TERRAMASTER NAS F4-423

He tenido la suerte de poder tener un NAS de Terramaster para hacer unas pruebas en mi laboratorio.

En esta entrada, os voy a mostrar unas imágenes de cómo llegó, como es por fuera y por dentro y sus características base, por último, unas fotos de cómo lo tengo ahora mismo, y mis impresiones.

El F4-423 de 4 bahías es adecuado para usuarios que necesitan soluciones de almacenamiento de alto rendimiento. Alto rendimiento significa que los usuarios pueden manejar fácilmente flujos de trabajo de alta carga, mientras múltiples soluciones de respaldo de nivel empresarial garantizan la seguridad de los datos y protegen contra el riesgo de pérdida de datos.

Se trata de una solución de almacenamiento de alto rendimiento que proporciona almacenamiento virtual ampliado y base de datos para usuarios de SMB. Utiliza un procesador Intel Celeron N5095 de cuatro núcleos con 2,0 GHz y frecuencia turbo máxima de 2,9 GHz. Está integrado con una tarjeta gráfica GPU y cifrado de hardware AES-NI. Además, está equipado con dos interfaces de Internet de 2,5 GbE y memoria de doble canal DDR4 de 4 GB (ampliable a 32 GB). Además, esta solución de almacenamiento se instala internamente con 2 ranuras M.2 NVMe, que aceleran el almacenamiento en caché de SSD y duplican la eficiencia de almacenamiento de su RAID.

Vamos a ver una foto de la caja, y de como sale:

Empaquetado sencillo y limpio
Protegido con plastico
Sellado
Aqui ya apreciamos sus puertos, dos 2,5GB ethernet, 😍
Sencillamente bonito, limpio, elegante.

Mi primera impresión es muy buena, un producto robusto, limpio y con un acabado sencillo y elegante.

Me ha sorprendido gratamente la conectividad que trae, los USB 3.0, los dos puertos 2.5GB Ethernet y el HDMI, el cual más adelante lo usaremos para ver el sistema y las tripas de este juguete.

Os dejo a continuación una foto inicial del interior, en el cual podremos apreciar en su placa la expansion de discos con 2 M2 NVMEs, y una foto más en detalle de los puertos traseros del mismo.

Con esta capacidad de red, sumado a sus 4 bahías de 3,5 u 2,5, las dos ranuras de expansion M2 NVMe, y su RAM ampliable hasta 2 SODIMM DDR4 de 16GB, lo hacen una unidad muy completa y de fácil crecimiento.

Si te interesa echar un vistazo y adquirir uno, puedes entrar aquí.

Seguiremos haciendo pruebas a esta fantástica unidad, desde su sistema operativo propio TOS, a la instalación de otros sistemas y la integración de la misma en el Home Lab.

un saludo.

Función «Copy Job» Virtual Machine – Veeam B&R V12

En esta ocasión vamos a ver, en sencillos pasos, como configurar una tera de Copy Job de una maquina virtual de nuestro entorno, a otro datastore, bien de un VBR ó de un servidor ESXi que tengamos registrado en nuestro VBR Server.

No lo confundamos con un Backup Copy Job, que es algo totalmente diferente,
Esta tarea está enfocada en copiar los archivos de la maquina, no los backups o resultados.

No veo muy implementada o nombrada esta funcionalidad, yo la he empleado para hacer copias de maquinas virtuales, directamente al destino donde las quería tener, con un mecanismo de control, «garantizando» que la copia se había realizado correctamente, o para casos que queremos tener dicha copia, de ultima frontera, dado que el destino es un ESXi y se puede «registrar» la vm rápidamente y encenderla.

Como último detalle, decir que es un Copy, por tanto, no mantiene registro de diferentes ejecuciones, sino que tendremos disponibles los archivos de la última copia OK ejecutada.

Vamos a ver los pantallazos y el ejemplo:

Aquí vemos seleccionado el ESXi y el datastore
Finaliza la tarea, veremos los archivos de la vm copiados en destino
Datastore Optane 1+2 contenido
Vemos los archivos de la vm copiados, y procedemos a registrar la vm para probarla
boom! registrada y arrancada en destino!

Ahora vemos la otra opción, como destino, un repositorio de Veeam, en este caso, el Local repo de nuestro VBR Server

La tarea es todo igual, solo cambia el destino de la copia a un datastore de un VBR Server
y Aquí tenemos los archivos copiados.

Como habéis visto, una manera muy efectiva de copiar una vm para luego hacer diferentes cosas con ella, registrarla en un ESXi, tener los archivos en un repositorio o servidor, o para mover una maquina virtual de un host a otro, si no tenemos opción de HA, o de Réplicas, o simplemente mantener una copia de nuestra/s máquinas en un repositorio diferente, sin estar en formato vbr, sino directamente como vm de ESXi en este caso.

saludos.

Función «Move Backup» Veeam B&R V12

La entrada de hoy va dirigida a una funcionalidad que me encanta de Veeam B&R V12,
Se trata de «Move Backup», el cual nos va a ayudar a mover nuestros backups de un repositorio a otro, de manera automática, modificando la tarea a la cual estaba asignado, sin ningún esfuerzo o problema.

Muy útil cuado debemos mover los backup debido a un cambio de almacenamiento, bien sea por ampliación, mantenimiento o cambio de modelo, sin perder nuestra cadena de backups o configuraciones, o tener ur crear una tarea nueva.

Vamos a ver unos pantallazos e intentaré descubrir el proceso, para que veáis las diferencias y utilidad.

Comprobamos la tarea, ahora apunta el storage al nuevo repo
Backups ahora en repo local en Default Backup Repo, D:\…
La carpeta ya no existe en origen, repo en dxiv storage appliance

Listo, como veis, ya no sale el backup listado en el repo en red, solamente en el nuevo destino y la tarea modificada por veeam, por tanto, sin cambios en cadenas de backup ni configuraciones!.

Ahora, volvemos a haver el move, para volver a tener los backups como al principio:

Ahora volvemos a hacer el Move, vuelta al dxiv repo original

Listo!

Un proceso muy sencillo y útil, como hemos dicho antes, para hacer cambios de infraestructura de almacenamiento, reparaciones o migraciones.

saludos.

Backup a S3 – Wasabi con Veeam V12 a pantallazos!

Hola, en la entrada anterior, veíamos como hacer un backup con Veeam B&R V12 a un repositorio «normal» / «local».

Backup Simple con Veeam B&R V12

Ahora, seguiremos la misma linea, pero enviando nuestro backup directamente a un repositorio S3, si, sin intermediarios ni SOBR ni nada!

Vamos a ver unos pocos pantallazos para que sea más visual y claro!

La velocidad y estabilidad son fantásticas, prueba realizada con una conexión de fibra de 300mbps

Como veis, el proceso es «casi» igual que con el backup convencional,
aquí tenis la entrada paso a paso como crear un repositorio y bucket en Wasabi S3.

Ya no hay excusas para tener nuestra copia fuera del edificio / oficina, y así obtener la famosa regla del 3-2-1

Más adelante la «complicaremos» con el 1-0 !

saludos.

Home Lab upgrade!

Hi Folks, recently I wanted to «upgrade» my home lab, and I was thinking the best way to have an affordable, low consumption usable home lab for a ESXi Cluster, nothing fancy, just to be able to deploy a couple of little VMS, play with HA, DRS, shared storage and so on.

I started checking out the Intel NUCs, but then I realized that it comes «empty», so it becomes costly at the end.

Then, what about HPE Gen 8-9 Servers, «the wife would kill me»
They are noisy, expensive and consumes tons of electricity!

So, looking over the hardware I have, I looked into my Workstation, a Lenovo P320 which it has 64GB of ram, more than sufficient to run a Nested lab, but I wanted something more realistic, with wires and lights, you know, Im a hardware and wires lover!

I kept the Workstation as base Server, Planning tu run there the base or foundational vms I normally run like: vCenter, DNS, AD, a Storage Appliance and a Veeam Server.

lets keep it «low profile», so, Nowadays normally we do have a laptop or workstation capable enough to run a vmware workstation or a ESXi to place a vcenter instance and a Windows Server machine, pretty basic.

Then, I though, I need a switch, and I had an «old» 1Gbps Router – switch capable of Vlans, so perfect for this task.

Now Im just missing some hosts to add to the picture, and I found these little guys:

Zima Board

Looking at them, they were quite perfect, the top performing setup has a 4C processor, 8GB of RAM, and a local NVME 32GB, so perfect for a ESXi mini server.
Ah! forgot to say: it has a 4x PCI-E and 2 SATA Ports!! Amazing!!

Everything was going soooo good, until the tragedy came,
Realtek Gigabit Ethernet, not supported by vmware vsphere…. nooo!
but wait a second, I told you already they’ve got a PCI-E port?

Exacly, I looked over into my warehouse, and there you go! a 4 Ports Intel NIC card!
Fully compatible and ready to be installed!!

Now, with all setup, lets get into it, installing Vsphere 8, no problem!!

NIC Card, OK, system ready and first boot OK!

Then I did the same operation with the other two Zima mini CPUs I’ve got!
Configured the initial parameters, IPs, Hostnames, DNSs, etc. and ready for next steps!

By the time, I setup a vCenter instance and a Software Appliance for Storage, Simple NFS datastore for home lab experiments, a Quantum DXiv Community Edition.

After a few configurations, added those three ESXi hosts into my vcenter instance, create the cluster, and let it build, and…. Voila!

The cluster was up and ready to be used!

Let me show you a few pics of how it looks now, externally and from the vCenter perspective!

The normal electrical consumption for this little guys is around 6W each, pretty low, a little more with the Ethernet PCI-E card, but nothing overkilling like a full server, and not counting noise and hit!

My overall cost, taking into count that I do own the workstation, switch and I made the Ethernet cables, around 200$ per Zima Server, so around 600$.

if you plan to start low, you can do it with only two Systems, so around 400$ + shipping.

Hope you enjoy it, and don’t hesitate to give them a try and have some fun!
will try to follow this up, and upload some future info, tests and ideas.

cheers!

Better than Just VPN for the Home Lab

Hi everyone!
I wanted to write today about a tool that happily surprised me and now has made my life easier, related to VPN and connectivity, its called Tailscale

The main slogan says :

Secure remote access to shared resources

Tailscale connects your team’s devices and development environments for easy access to remote resources.

I’ll try to put it on my own words, in my use case, I’ve been using it at the beginning to connect to my Home Lab remotely from my house to my “Jump Station” over RDP, then, I started to use some advanced features:

  • VPN Access to a single client
  • VPN to Remote Site, to access other devices not capable to install the Client
  • Proxy / Traffic router when Im out of the house or in a untrusted network
  • Web central console for configurations, users creation and management.
  • Easy to use client for Linux, Windows, Android, OSX, iOS, etc.

The client is very neat, clean and easy to use, 
also the documentation is great!
Im gong to post a few screenshots and will make a future entry with an example setup.

The “Free” version comes with great features to start using it, as I said, in my case, at my home lab,

https://tailscale.com/pricing/

One of the positive things for me, is that I dont need to setup a firewall + opening ports for connecting from / to my hose / homelab, the Iphone / Ipad client works “like a champ” and I can access all I need, and secure my traffic navigating from my home when needed.

Web Main Console
OSX Client
iOS Client