En este articulo responderemos esta pregunta, pero también veremos por qué usaremos Veeam Backup para Google Cloud Platform (GCP) como la herramienta de backup para proteger nuestras máquinas virtuales corriendo en un proyecto de GCP.
Para responder la primera pregunta debemos entender el concepto de “Modelo de Responsabilidad Compartida”, un concepto al que se adhieren otros proveedores de nube pública como Azure y AWS.
¿Pero qué es el Modelo de Responsabilidad compartida?
En pocas palabras, el proveedor de nube se hace responsable de la infraestructura, pero es responsabilidad del usuario cómo se configuran los servicios de nube, cómo se usan, cuidar de la salud de sus datos y, por supuesto, respaldarlos.
En palabras de Google, “El modelo de responsabilidad compartida de GCP determina sobre cuáles componentes de la arquitectura de la nube es responsable Google Cloud Platform (GCP) como proveedor de seguridad de la nube (CSP) y cuáles componentes son responsabilidad del cliente de GCP proteger.”
Esta imagen de Google nos muestra el Modelo de Responsabilidad Compartida de GCP.
¿Cómo Veeam puede ayudar a proteger los datos en Google Cloud?
GCP proporciona métodos nativos para realizar backup de las instancias Google Compute Engine (GCE). Veeam puede crear instantáneas de sus datos y crear un cronograma para realizar instantáneas periódicas, y dichas instantáneas pueden ser enviadas a Google Cloud Storage; hasta ahí todo normal. Estos métodos son útiles trabajando en escalas pequeñas o con fines de prueba.
Ahora imagínense este trabajo manual aplicado a grandes ambientes productivos. Nos arriesgamos a la posible pérdida de datos por no guardar correctamente las instantáneas o incluso problemas de seguridad al no tener aisladas las copias de mi ambiente productivo. Las instantáneas por sí solas no son una solución óptima cuando se necesita una retención más prolongada y tampoco están aisladas automáticamente del entorno de producción.
Veeam Backup para Google Cloud Platform automatiza las instantáneas nativas de Google y nos permite proteger las Virtual Machines en proyectos y regiones con RPO y RTO muy bajos. Al almacenar backups de las instantáneas en Google Object Storage, mejora la protección de los datos garantizando costos más bajos para la retención a largo plazo.
Características de Veeam Backup para Google Cloud Platform
- Backup nativo en la nube. Con su protección basada en políticas nos da facilidad de uso y escalabilidad. La Interfaz de Usuario es simple, basada en la web y se instala rápidamente desde el Marketplace de GCP.
- Nos ayuda a mantener bajo control el costo de los backups. Hace una estimación de su precio y los envía a Google Object Storage, reduciendo drásticamente los costos en comparación con el mantenimiento de las instantáneas en el área de snapshots, y permite usar Google Object Storage Archive class para disminuir aún más los costos si necesitamos retención a largo plazo.
- Incrementa la seguridad, ya que soporta multiproyectos y backup y recuperación entre proyectos. Eso permitiría, por ejemplo, desplegar Veeam Backup for Google Cloud Platform en un proyecto llamado “Servicios de Backup” y respaldar otro proyecto llamado “Producción”. Los backups del proyecto “Servicio de Backup” estarán guardados en Google Object Storage, donde tengo desplegado Veeam, y estarán aislados del proyecto “Producción”. De esta manera, si sufro un ataque en “Producción”, mis backups estarán a salvo. Tambien se puede habilitar la Autenticación multifactor para las cuentas de los administradores de backup.
Esta imagen muestra la arquitectura de la solución, donde podemos notar el concepto de multiproyecto, lo que mejora la seguridad.
Veeam Backup for Google Cloud está disponible exclusivamente a través del Google Cloud Marketplace en las ediciones GRATUITA y BYOL, implementándola desde ahí mismo. Esta consola Veeam Backup for Google Cloud es autónoma y no requiere tener Veeam Backup and Replication para funcionar, se licencia por instancia GCE protegida y es gratuita hasta por 10 instancias.
Pero también podemos agregar a la consola de Veeam for Google Cloud como un servidor administrado por la consola de Veeam Backup and Replication, ganando las siguientes funcionalidades al integrar ambas consolas:
- Administración centralizada desde la consola de Veeam Backup and Replication
- Crear Backup Copy Jobs y generar una copia en las instalaciones locales de mis backups de GCE
- Restauración instantánea de mis VM de GCE en mi ambiente en las instalaciones locales
- Cloud mobility, para poder restaurar mis VM GCE hacia AWS y Azure
Esta imagen muestra la arquitectura de la solución Veeam Backup for Google Cloud integrada a Veaam Backup and Replication.
Para aquellos de disfrutamos de la serie de libros “… for Dummies” de Wiley, aquí les dejo un enlace para descargar el libro gratuito Google Cloud Backup for Dummies.
Y finalmente nuestra landing page en español de Veeam Backup for Google Cloud.
Adentrándose en Veeam Backup for Google Cloud Platform
Primero debemos instalar Veeam Backup for Google en GCP, que no es más que una máquina virtual Linux de tipo n1-standard-2 con 2 vCPUs y 7.5 GB RAM. Una vez iniciado nuestro appliance, el proceso de instalación nos proveerá un link para acceder a la interfaz web del appliance; en dicha etapa simplemente pondremos el Google Instance ID del appliance y luego configuramos el password inicial de la cuenta que indiquemos como administradora.
Es importante entender que la cuenta administradora solo administra el appliance de Veeam. Para acceder a los proyectos de GCP hay que configurar lo que se llama Service Account, donde indicaremos una cuenta IAM definida previamente en GCP que debe contar con los permisos necesarios.
Configurando la consola de Veeam Backup for Google Cloud
Una vez dentro de la consola procedemos a configurar las distintas opciones, para ello seleccionaremos la opción Configuration:
En PermissionsàProjects agregamos los proyectos para descubrir las VM corriendo en GCP.
En Permissions à Backup Accounts definimos a los usuarios de la propia consola de Veeam Backup for Google Cloud; estos son los usuarios para entrar a la consola y no son las cuentas para conectarse a los proyectos de GCP.
En Permissions à SMTP Account podemos configurar distintas cuentas que se conectarán a nuestro servidor de correo SMTP para que la consola de Veeam nos envíe emails con los resultados de las tareas o alertas.
En Backup Repositories agrego los Google Cloud storage buckets que tengo dentro del servicio Cloud Storage. Incluso puedo usar la storage class Archive para disminuir aún más los costos de retención a largo plazo.
En Worker Configurations configuro los workers. Los Nodos workers son VM linux que ayudan a reducir los costos de tráfico asociados con el backup de Google Cloud; los workers se implementan en la región donde se encuentren las cargas de trabajo.
Los workers se despliegan de una manera verdaderamente dinámica; solo se despliegan cuando es necesario transferir datos (backup o recuperación) o cuando se realizan restauraciones completas o a nivel de archivo. Una vez que se completan las tareas, los workers son cerrados y eliminados. Esto ayuda a reducir los costos asociados con las transacciones de backup y restauración. Los workers también son responsables de descargar los datos del backup en Google Object Storage. Son un equivalente a los proxies tradicionales de Veeam Backup and Replication.
En General à Retention puedo configurar la retención de las snapshots de máquinas virtuales que ya no son protegidas por alguna política de backup. Podría no querer eliminar esas snapshots (opción Never) aún a pesar de que la máquina ya no exista o no la proteja más.
En General à Certificate puedo reemplazar el certificado autogenerado en la instalación de la consola por otro certificado que desee usar.
En General à Email configuro los datos del SMTP server, así como las notificaciones de envío y su frecuencia.
En General à Time Zone configuro la zona horaria de la consola de Veeam Backup for Google Cloud .
En License à License Info veo el estado de la licencia, el tipo de licencia y la cantidad de instancias usadas. Con las opciones Install License y Remove License puedo agregar o remover la licencia de Veeam.
En License à License Usage veo el consumo detallado de cada instancia y puedo revocar la licencia a una instancia. Por padrón Veeam Backup for Google Cloud libera una licencia después de 31 días de no proteger una instancia. Por ejemplo, si decomiso varias instancias que no voy a proteger más, puedo liberar las licencias sin esperar los 31 días.
En Support Information à Support Info tengo acceso a los manuales y foros y puedo abrir un caso de soporte.
En Support Information à Updates puedo ver si hay actualizaciones disponibles tanto para la consola como para el Linux de la consola.
En Support Information à Download Logs puedo descargar los logs de la consola para enviarlos a soporte de Veeam.
¿Qué tipos de recuperaciones ofrece Veeam Backup for Google Cloud ?
Veeam Backup for Google Cloud proporciona varios tipos de recuperación; para proceder a restaurar información iremos a la sección Protected Data, donde al seleccionar la instancia deseada accederemos a las distintas operaciones de recuperación disponibles.
– Restore à Instance Restore à Restore Mode à Restore to original location, with original settings nos permite recuperar una instancia a la ubicación original (manteniendo las configuraciones originales). Esta opción mantiene toda la configuración de la VM y no cambia ninguna de las configuraciones, pero “pisa” la VM original con la VM restaurada. Esto da como resultado la sobrescritura de la VM existente y su reemplazo por una versión anterior. Todos los datos existentes en la VM serán reemplazados.
– Restore à Instance Restore à Restore Mode à Restore to new location, or with different settings nos permite restaurar una instancia a una nueva ubicación (o modificar las configuraciones originales). En esta opción deberemos indicar Region & Zone, Encryption options, VM settings, Network settings, VPC Network, Subnet y Static IP Address.
– Restore à Disk Restore nos permite restaurar un disco (aplica el mismo concepto de ubicación original o nueva ubicación del Instance Restore).
– File-Level Recovery permite recuperaciones a nivel de archivos o carpetas. Esto hace posible restaurar un archivo individual sin tener que restaurar toda la máquina virtual en una región, lo que permite ahorrar tiempo y costos en las restauraciones.
La restauración a nivel de archivo se presenta por medio de un servicio web. A través de Veeam Backup para GCP, cuando solicita una recuperación a nivel de archivo, se le proporciona una URL única. Simplemente navegue a la URL que le presentó la estructura del sistema operativo invitado. Encuentre los datos que desea y recupérelos descargándolos directamente a la computadora local.
Pero veamos entonces cómo se crea una política de backup en Veeam Backup for Google Cloud
Para crear una política de backup iremos a la opción Policies. Podemos crear, editar, borrar e iniciar una política.
Al seleccionar una política veremos las instancias que dicha política protege y un log de sesiones de la misma.
Crear una politica es muy fácil e intuitivo con Veeam Backup for Google Cloud . En la sección Policies elegimos la opción Add:
En Policy Info le damos un nombre a la política y una descripción.
En Sources elegimos el Project (recuerde que en la etapa de Configuración en PermissionsàProjects podemos agregar múltiples proyectos y ver las instancias de dichos proyectos), elegimos la Región de las instancias a proteger y luego en la opción Choose resources to protect podemos elegir las instancias por nombre o por etiqueta, e incluso usando la opción Browse veremos las instancias corriendo en el proyecto elegido en la región elegida.
Es interesante notar que una vez elegidas las instancias a proteger tendremos un cálculo estimado del costo mensual que generará dicha política de backup.
En Targets indicamos si queremos que esta política tome las snapshots generadas y las copie a la unidad de backup y de archivado que utilizaremos. Cuando Veeam Backup for Google Cloud hace un backup de una instancia, se genera primero una snapshot que se guardará en el área de snapshots (ver al principio de este blog la imagen de la arquitectura) y, si habilitamos la opción Enable backups, entonces Veeam Backup for Google Cloud copiará esas snapshots a un repositorio (agregado en la etapa de Configuration à Backup Repositories) y luego las moverá a un repositorio de archiving.
En Schedule configuramos las frecuencias diarias, semanales, mensuales y anuales de esta política. Para cada frecuencia podemos definir los horarios de toma de snapshots y backups, así como la retencion de las snapshots y los backups. Para las frecuencias mensuales y anuales se habilita la opción Send backups to archive.
En Labels podemos copiar las etiquetas que ya tengan los discos asignadas en la consola de GCP y además agregar hasta 5 etiquetas adicionales a las snapshots creadas por esta política.
En Cost Estimation se muestra cuánto costará este backup con base en datos preasumidos. Puede ver este KB de Veeam para más detalles https://www.veeam.com/kb4063
En Retries and Notifications configuramos cuántas veces Veeam Backup for Google Cloud intentará ejecutar la política y agregar los destinatarios de las notificaciones.
En Summary tenemos un resumen de todo lo configurado y, si elegimos la opción Finish, la política quedará grabada y lista para ser ejecutada.
Resumen
Hemos visto que Veeam Backup for Google Cloud es muy fácil de desplegar, configurar y usar. Recordemos que si bien es una consola absolutamente autónoma, podemos conectarla a una consola de Veeam Backup and Replication como un Managed Server para extender sus capacidades y habilitar lo que llamamos Cloud Mobility.
