Cuando nos adentramos como clientes en el tópico de proteger nuestra infraestructura, por lo general nos interesa entender todas las opciones disponibles hoy en el mercado para disponer de la mejor en términos de costo-beneficio. En este artículo trataremos de desentrañar la usual confusión entre las opciones que posee un cliente con respecto a la nube privada, en términos de respaldo o recuperación ante desastres como servicio.
Norma 3-2-1-1-0
Como ingeniero de preventa, un día típico representa tener diversas charlas con distintos partners, clientes y prospectos sobre cómo lograr el mejor escenario en términos de recuperabilidad que sus recursos, en conjunto con Veeam, les puedan brindar. Por lo general, la charla involucra formas de alcanzar —de la manera más adecuada— la regla de oro de la protección de datos: la norma 3-2-1-1-0 (o la norma 3-2-1 ampliada). Esto involucra indagar sobre las necesidades del negocio en términos de RPO y RTO generales y de sus aplicaciones críticas, además de la necesidad de conservación de datos a mediano y largo plazo.
Es muy frecuente que en la charla los clientes se den cuenta que no conocen realmente las necesidades del negocio, por lo que también tratamos de explicar cuáles son las amplias posibilidades existentes con Veeam en la actualidad. Dentro de estas opciones encontramos los recursos que la empresa considera emplear para alcanzar el RPO y el RTO generales, ya que son los elementos que van guiando las diferentes aristas de una posible solución.
Opciones flexibles
Sabemos que con Veeam podemos tener diferentes opciones de retención a corto plazo, entre ellas algunas más robustas en términos de velocidad como repositorios DAS o cajas de disco conectadas por fibra, y otras en términos de precio por GB, como una NAS o un dispositivo de deduplicación. Ahora, hablando de protección contra desastres, siempre es recomendable una solución fuera de sitio. Esto es simplemente para minimizar las posibilidades de pérdida de datos por distintas causas, ya sean naturales o no, debidas a algún problema que pueda surgir en el sitio primario.
Adentrándonos en esta conversación entonces con los clientes, comenzamos a explorar diferentes situaciones posibles, y cómo saldríamos a flote cumpliendo con las necesidades de la empresa teniendo en cuenta los recursos con los que se cuenta. Algunas de las situaciones que surgen es que haya ciertos clientes que tengan una o varias sucursales y hasta sitios dedicados a la recuperación ante desastres.
Al momento de conversar, algunas veces nos damos cuenta de que algunos clientes prefieren soluciones fuera de sitio más conservadoras como cinta o, en algunos casos, otras como discos rotativos. También hay situaciones donde suelen centralizar las distintas sucursales en el sitio principal o DR, en algunos casos utilizando dispositivos de deduplicación, NAS, en otros simples servidores con almacenamiento o discos USB.
Estrategia de nube
A pesar de esto, hay muchos casos en Latinoamérica que ya están considerando o que están de lleno metidos en una estrategia de nube. Cuando hablamos de nube debemos mencionar distintos casos: desde nubes privadas hasta públicas, pero lo que más prevalece siempre es la posibilidad de transferir responsabilidades y minimizar costos, así como tener una estrategia más modular y dinámica, donde uno contrata servicios con la intención de minimizar los costos de activos físicos (CAPEX) transfiriéndolos a costos operativos (OPEX).
Hablando particularmente de cómo lograr este modelo fuera del sitio, surgen varias opciones; una muy usual hoy en día es extender nuestros repositorios escalables hacia la nube mediante el uso de Capacity Tier, utilizando almacenamiento orientado a objetos como Blob de Microsoft o S3 de Amazon (poseemos compatibilidad con un rango muy amplio de S3 compatibles). Otra opción, que es la que nos compete en este post, es la de contratar Backup como servicio (BaaS) o Replicación/Recuperación ante desastres como servicio (DRaaS).
Qué es el Backup como servicio (BaaS)
El servicio de backup en línea, también conocido como backup en la nube o Backup como servicio (BaaS), es un método de almacenamiento de datos fuera del sitio en el que los archivos, carpetas, datos de aplicación o todo el contenido de las cargas de trabajo, son respaldados regularmente por un proveedor de servicios en un dispositivo remoto, hacia un repositorio de datos seguro basado en la nube a través de una conexión de red.
Esta opción nos permite el envío de respaldos a un sitio alterno sin el gasto de tener que invertir en un centro de datos, hardware, implementación o licencias de software, entre otros. En Veeam, esto lo ofrecen los VCSP o Veeam Certified Service Providers mediante la implementación de un servicio llamado Cloud Connect, el cual realiza una conexión segura encriptada por SSL mediante el componente de Cloud Gateway, con la sencillez de utilización de un solo puerto de comunicación entre el SP y el cliente.
Hago hincapié aquí en el aspecto de la sencillez, ya que para el cliente comenzar a ver estos repositorios en la nube literalmente le lleva un par de minutos, y otro par para configurar sus trabajos de Backup Copy y enviarlos hacia estos. Aunque no es siempre posible o recomendado, también en algunos casos se puede realizar envío directo de respaldos. Hay algunos casos de uso interesantes para este tipo de envíos directos, como son el respaldo de estaciones de trabajo, sobre todo hoy en día en el contexto de trabajo remoto incrementándose en las empresas como opción estable.
El envío de respaldos a un sitio alterno mediante la opción de Backup Copy puntualmente puede servir para configurar múltiples copias de respaldo, una a corto plazo, pudiendo copiar toda o parte de la cadena de respaldo en el sitio principal, pero también para el envío de respaldos a mediano y largo plazo, pudiendo utilizar retenciones de tipo GFS (grandfather, father, son), que permiten la mayor retención a largo plazo con una densidad de respaldos escalonada en puntos de restauración semanales, mensuales, trimestrales y anuales que minimizan el consumo de almacenamiento. A nivel visual, tanto los repositorios en la nube como los respaldos realmente se comportan en forma muy similar en la consola, de modo tal que las opciones de restauración son múltiples y diversas.
Es importante también nombrar que los proveedores de servicio ofrecen una capacidad llamada “Insider Protection” que les permite protegerse de una eliminación, accidental o no, de cualquiera de sus respaldos por un tiempo, funcionando como si fuera una especie de papelera de reciclaje. Esto es sumamente interesante, sobre todo para protegerse del ataque malicioso de un hacker, un usuario malintencionado o un ataque de ransomware.
Por último, y no menos importante, es interesante nombrar la posibilidad de algunos partners de respaldar Microsoft Office 365 como servicio, con lo que son capaces de respaldar y recuperar granularmente sus casillas de correo de Exchange, archivos de Onedrive, sitios de Sharepoint y grupos de Teams alojados en esta nube.
Qué es la Recuperación ante desastres como servicio (DRaaS)
La Recuperación ante desastres como servicio es un modelo de servicio de cómputo en la nube que permite a una organización realizar una copia de seguridad de sus datos e infraestructura de TI en un entorno de cómputo en la nube de terceros y proporcionar toda la orquestación de DR, para recuperar el acceso y funcionalidad a la infraestructura de TI después de un desastre.
Más allá de la estrategia de respaldos de logs de transacciones que típicamente se realizan en el orden de minutos u horas, por lo general cuando hablamos de respaldo, hablamos de RPO altos que, en la mayoría de los casos, se realizan cada 12 o 24 horas. Dentro de las opciones de Veeam Backup and Replication para obtener RTO más agresivos tenemos la ejecución y exploración de instantáneas de almacenamiento, y el caso de la replicación. Este último nos permite enviar puntos de recuperación a otro host de virtualización, clonando completamente las VM y sincronizando los cambios incrementalmente cada pocos minutos u horas. Esta opción permite la recuperación de objetos como archivos e ítems de aplicación, además de realizar failover parcial o total de las cargas de trabajo a un sitio alterno.
Como desventaja principal tenemos el aspecto del almacenamiento: cuando clonamos un servidor, este no se encuentra comprimido ni deduplicado como un respaldo, es una copia tal cual. Sí tenemos la posibilidad de replicar hacia aprovisionamiento delgado, con lo cual en algunos casos no debemos tener exactamente todo el espacio utilizado en el sitio principal, pero sí hace falta bastante espacio. Además, es necesario contar con recursos suficientes para correr las cargas de trabajo en términos de CPU y memoria, y ni hablar del factor más obvio, que es todo el soporte y mantenimiento del sitio alterno necesario en el día a día, además del caso donde el sitio sólo se utilice para DR en forma pasiva, con los gastos incurridos sin la posibilidad de aprovechar el hardware en su totalidad de manera cotidiana.
Por ello nuestros proveedores de servicio VCSP brindan este servicio de DRaaS de forma segura, permitiendo todas estas ventajas sin tener que poseer físicamente este sitio, ni administrarlo. Ellos proveerán uno o varios hosts VMware o HyperV, y brindarán cierta cantidad de CPU, memoria y disco, para realizar sus réplicas en forma rápida y segura con el fin de extender su centro de datos sin la necesidad de VPN alguna, y en pocos minutos estar preparado para mover las cargas de trabajo en caso de desastre y continuar trabajando en la infraestructura del proveedor de servicios, con la posibilidad de volver a las instalaciones cuando se haya restaurado el servicio en el sitio principal.
¿Cuáles son las principales diferencias entre DRaaS y BaaS?
Aunque en ambas soluciones se utiliza Cloud Conect para crear una conexión encriptada y segura por el puerto TCP/UDP 6180, a nivel arquitectura las diferencias son las siguientes (TE Tenant, SP Service Provider):
BaaS por lo general requiere estos componentes:
- TE (opcional) Veeam Backup Server
- TE (opcional) Veeam Agent
- SP Cloud Gateway
- SP Veeam Cloud Connect Server
- SP/TE Repository Server
- SP/TE (opcional) WAN Accelerator
DRaaS requiere:
- TE Veeam Backup Server
- SP Cloud Gateway
- SP Veeam Cloud Connect Server
- SP/TE Repository Server
- SP/TE (opcional) WAN Accelerator
- SP/TE NEA (Network Extension Appliance)
- SP/TE VMware / HyperV Hosts.
A nivel funcionalidad y requerimientos, como hemos visto, entonces las mayores diferencias entre ambas son:
- Qué es lo que se está enviando: copia de backup en BaaS vs. réplica en DraaS.
- Los RPO que usualmente se asocian con DRaaS son más agresivos, pueden llegar a ser del orden de minutos, mientras por lo general en recuperación de un backup se puede perder cierta información no cubierta por los puntos de recuperación, y realizar un failover desde un backup puede tener RTO más altos.
- En la réplica se realiza una instantánea en producción, en el Backup Copy usualmente no, por lo que el impacto en performance en la réplica es mayor; es por ello que, en máquinas altamente transaccionales o delicadas, se recomienda utilizar Backup from Storage Snapshot para minimizarlo.
- En la réplica no se comprimen ni se deduplican los datos, por lo que requiere mucho más espacio que el envío de un backup.
- La réplica requiere considerablemente más recursos en el lado del SP, incluyendo CPU, memoria y disco, por lo que el costo va a aumentar.
- En la réplica usualmente se envía menos data cada vez, aunque más seguido; es por ello que, mientras mejor ancho de banda se tenga, más seguido se pueden enviar los cambios.
- En la réplica aumenta la complejidad porque hay que manejar aspectos de red en forma más pormenorizada, dependiendo de las necesidades de recuperación parcial o total del cliente. En Veeam se utiliza un NEA (Network Extension Appliance) para realizar las tareas de extensión del centro de datos por failover.
Por lo tanto, la opción de DRaaS tiene más sentido cuando hay algún imperativo de requerimientos de recuperación muy agresivos en cuando a continuidad del negocio, cuando los cambios en las VM se dan en un ritmo muy rápido y es esencial tener la última versión de la data, y/o cuando el el tiempo de inactividad extendido puede potencialmente dañar la reputación del cliente. En otros casos, cuando no se requiere esto y hay mayor tolerancia al tiempo de inactividad o la pérdida de datos, o cambios en las máquinas menos frecuentes, además de cuando se quiere enviar datos para guardado a mediano o largo plazo, entonces la solución recomendada es BaaS.
Conclusiones
En resumen, podemos decir que una estrategia moderna de Recuperación ante desastres, en muchos casos, implica la posibilidad de mover nuestras cargas de trabajo fuera de sitio, minimizando los costos operativos y maximizando las capacidades de cumplimiento de tiempos de recuperación necesarias de nuestra compañía. En este sentido, Veeam provee soluciones de copia de backup y réplica, además de proveedores que permiten tener esta opción en forma segura, fácil y rápida como servicio, evitando la complejidad y costo de mantener un sitio alterno. Si está interesado en estas opciones, no dude en consultar nuestros proveedores VCSP disponibles en su región, además de conversar con ellos con respecto a la mejor forma de obtener la solución más adecuada a sus necesidades de negocio.