Vmware Backups Best Practices v3

10
meilleures pratiques de
sauvegarde VMware
Date : 24 février 2023
Veeam Backup & Replication v12
VMware vSphere 8.0
Hannes Kasparick,
Analyste en chef, équipe de
gestion des produits Veeam
10 meilleures pratiques de sauvegarde VMware
Table des matières

Synthèse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Un: Utiliser les versions actuelles de Veeam Backup & Replication et vSphere . . . . . . . . . . . . . . . 4
Deux : Choisir son mode de sauvegarde avec soin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Trois : Prévoir le mode de restauration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Quatre : Intégrer la protection des données en continu

de Veeam dans la conception de votre reprise après incident . . . . . . . . . . . . . . . . . . . . . . . . . 11
Cinq : Installer VMware Tools (les outils VMware) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Six : Intégrer les snapshots de baie de stockage dans la conception de votre sauvegarde . . . . . . . .14
Sept : Anticiper la sauvegarde VMware vSAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
Huit : Prendre en compte la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18
Neuf : Utiliser Veeam ONE et Recovery Orchestrator pour optimiser

les sauvegardes et les restaurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
Dix : Effectuer les sauvegardes prenant en charge les applications via l’API VIX . . . . . . . . . . . . . .21
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
À propos de l’auteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
© 2023 Veeam Software. Informations confidentielles. Tous droits réservés. Toutes les marques déposées sont la propriété de leurs détenteurs respectifs. 2
Synthèse
La virtualisation des serveurs a été largement adoptée dans le monde entier et constitue le socle
du cloud computing. VMware vSphere demeure l’hyperviseur le plus plébiscité, et de nombreux
clients Veeam® en ont fait leur plateforme de virtualisation favorite. Ce livre blanc décrit les
meilleures pratiques de sauvegarde et de disponibilité pour VMware vSphere avec Veeam Backup
& Replication™ v12. Ce guide réunit des conseils et recommandations de membres expérimentés
de la communauté Veeam pour vous aider à optimiser votre stratégie de sauvegarde VMware
et à garantir la protection de vos données. Il est consacré à la protection des données pour
VMware vSphere (aucun autre hyperviseur ou serveur physique, cloud ou SaaS n’est abordé ici).
Introduction
Le maintien des niveaux de service, des performances, de la disponibilité, de la sauvegarde et de la
restauration des machines virtuelles (VM) dans vSphere est fondamental pour éviter et minimiser les
incidents. Parmi les meilleures pratiques de sauvegarde, la plus importante est la règle du 3-2-1.
Cette règle implique de conserver au moins trois copies de vos données sauvegardées
sur au moins deux types de supports indépendants. On ne saurait trop insister sur cette
indépendance qui doit être totale du point de vue technologique. Enfin, une dernière copie
doit être entièrement isolée et hors de portée des logiciels malveillants, des ransomwares, des
catastrophes naturelles et des personnes non autorisées.
Veeam offre de nombreuses options de stockage des sauvegardes entièrement isolées : les
bandes classiques (WORM), la cible renforcée Veeam (stockage inaltérable des sauvegardes sur
un serveur Linux), les sauvegardes inaltérables avec la prise en charge du verrouillage d’objets
pour le stockage objet AWS S3 et le stockage Blob Azure de Microsoft, et l’inaltérabilité pour les
stockages HPE StoreOnce Catalyst.
Ce document décrit plusieurs meilleures pratiques avec Veeam Backup & Replication et
VMware vSphere visant à limiter les pertes de données et assurer une restauration rapide. Ces
meilleures pratiques concernent uniquement Veeam et VMware !
Il s’agit notamment de :
• mettre en place une stratégie de sauvegarde et de restauration adaptée aux besoins de l’activité ;
• dimensionner correctement les équipements ;
• s’assurer que le service de cliché instantané de volume (VSS) fonctionne au sein des
machines Windows ;
• disposer d’un espace de sauvegarde suffisant.
Ces meilleures pratiques s’appliquent dans tous les cas, qu’il s’agisse de sauvegarder VMware,
Hyper-V, Nutanix AHV, Red Hat Virtualization, un serveur physique ou dans le cloud.
Avant de planifier ou mettre en œuvre une solution, il est primordial d’en déterminer les
exigences. Idéalement, celles-ci sont définies par l’entreprise qui indique à l’équipe IT les délais
optimaux de reprise d’activité (RPO) et les objectifs de temps de restauration (RTO) attendus.
Par exemple, la sauvegarde est-elle suffisante ou faut-il également prévoir une reprise après
incident (DR) ? Un RTO restreint implique-t-il de configurer en plus la réplication ou la protection
des données en continu de Veeam, ou encore des snapshots de baie de stockage ? Par le passé, la
reprise après incident était principalement prévue pour les catastrophes naturelles. Cela a changé
avec l’augmentation des ransomwares ces dernières années. Représentant aujourd’hui le scénario
de restauration complète le plus probable, les ransomwares sont une vraie catastrophe, rendant
l’orchestration de la reprise plus importante que jamais.
En définissant des RPO et des RTO, il est possible de dimensionner précisément le matériel
nécessaire, notamment le nombre de cœurs de CPU, la quantité de mémoire et la bande
passante requise sur les réseaux (WAN, LAN et SAN). Enfin, vous devez disposer d’un stockage
pour la source et la sauvegarde suffisamment rapide pour fournir la vitesse souhaitée.
L’étape suivante concerne la sauvegarde elle-même. Veeam traite les images prenant en charge
les applications en s’appuyant sur Microsoft VSS pour réaliser des sauvegardes des machines
virtuelles (VM) Windows cohérentes au niveau des applications. Ce mécanisme n’utilise pas la
mise au repos de VMware Tools.
Pour assurer un traitement fiable des images prenant en charge les applications, il est
indispensable que les Writers VSS présents sur les VM fonctionnent correctement.
Un: Utiliser les versions actuelles de

Veeam Backup & Replication et vSphere
Ensemble, les dernières versions de Veeam Backup & Replication et VMware vSphere améliorent
les performances et la sécurité.
Dans Veeam Backup & Replication v11, Veeam a posé les bases d’une amélioration massive
des performances. Avec la lecture asynchrone généralisée et l’écriture sans mise en mémoire
tampon des sauvegardes vers le système de stockage, Veeam a commencé à dépasser des liens
de 100 Gbit/s sur un seul serveur x86 standard à quatre racks. La capture d’écran suivante
montre une tâche de sauvegarde portant sur 38 VM vSphere qui s’exécutent à 12 Go/s vers un
seul serveur cible 56 NL-SAS.
100 Gbit/s dépassés sur un seul serveur cible
Veeam Backup & Replication v12 intègre de nombreuses améliorations en arrière-plan qui
permettent une évolutivité plus efficace du logiciel. Parmi les changements les plus significatifs,
l'amélioration des chaînes de sauvegarde par machine permet aux clients de créer des tâches
à bien plus grande échelle que les versions antérieures (ainsi que bien d’autres fonctionnalités,
telles que la facilité de déplacement des sauvegardes entre les cibles). Jusqu'à la V11, Veeam
recommandait de ne pas dépasser 300 VM par tâche de sauvegarde, mais des clients avaient
réussi à sauvegarder 500 à 700 VM. Avec la V12, Veeam a testé des tâches de sauvegarde
comprenant jusqu’à 5 000 VM. Cela devrait suffire pour la plupart des scénarios.
L’amélioration de la sécurité constitue toujours une priorité pour VMware et Veeam. La V12
intègre les principales fonctionnalités de sécurité suivantes :
• l’authentification multifacteur (MFA) ;
• la prise en charge des comptes de service gérés de groupe (gMSA) pour le traitement prenant
en charge les applications ;
• la prise en charge des environnements exclusivement Kerberos ;
• les mises à jour de la cible renforcée sans SSH ni nécessité d’identification.
En utilisant la dernière version des produits, vous avez l’assurance de mettre en œuvre les
améliorations apportées à la sécurité.
Meilleure pratique : restez au fait des améliorations apportées aux dernières versions de
Veeam Backup & Replication et VMware vSphere.
Deux : Choisir son mode de

sauvegarde avec soin
Veeam Backup & Replication offre trois modes de transport différents pour sauvegarder
les VM sur vSphere. À partir de la V12, Veeam prend également en charge tous les modes de
sauvegarde des proxys Linux. Si vous préférez Linux, ce sera donc votre première décision. Tous
les modes de sauvegarde ayant leurs propres avantages et inconvénients, il n’existe pas de
règle générale pour déterminer lequel est le mieux adapté. Vous choisirez donc l’un de ces trois
modes en fonction de votre environnement et de ses exigences :
• le mode réseau (NBD) ;
• l’accès direct au stockage, notamment la sauvegarde à partir des snapshots de baie de stockage ;
• l’appliance virtuelle (ajout à chaud).
Les propriétés de chaque proxy permettent de configurer ces options dans la section du
mode de transport.
Options de mode de transport
Le mode réseau ou mode NBD est le plus simple pour exécuter des sauvegardes vSphere. Le
serveur proxy Veeam utilise le port de gestion ESXi de chaque hôte ESXi pour transférer les
données de sauvegarde. L’installation est donc simplifiée à l’extrême : elle ne nécessite pas
de configuration supplémentaire du stockage ou des VM. En outre, elle évolue directement
avec le nombre d’hôtes ESXi en cours d’utilisation. Autre atout : une surcharge très faible. Ce
mode représente un gain de temps par rapport au mode d’ajout à chaud, notamment pour les
sauvegardes incrémentielles, car il ne nécessite aucune opération de montage supplémentaire.
Il ne crée pas non plus de snapshots de baie de stockage supplémentaires comme la sauvegarde
à partir de snapshots de baie de stockage avec systèmes de stockage intégrés. Étant donné que
la coordination des VM et des snapshots de baie de stockage prend du temps, le mode réseau
peut se révéler une option encore plus rapide pour les sauvegardes incrémentielles dans les
environnements comprenant de nombreuses VM avec un faible taux de modification des données.
Le port de gestion ESXi peut constituer un goulet d’étranglement, surtout s’il s’agit d’une
interface d’1 Gbit. Toutefois, le problème ne se pose généralement pas avec des cartes
d’interface réseau de 10 Gbits ou plus.
Le trafic de sauvegarde en mode d’accès direct au stockage est acheminé directement depuis
le système de stockage vers le proxy de sauvegarde Veeam. Il ne nécessite pas le passage par
l’hyperviseur ESXi et le protocole, en général Fibre Channel ou iSCSI, dépend de l’environnement
de stockage. Le mode d’accès direct au stockage présente également un avantage par rapport au
mode d’ajout à chaud : il ne comprend pas de longue opération d’ajout à chaud.
Le mode NBD et le mode d’accès direct au stockage (à l’exception de la sauvegarde à partir de

snapshots de baie de stockage) utilisent tous deux les API de stockage vSphere – Protection
des données (anciennement API vStorage pour la protection des données ou VADP). Cette API
constitue l’infrastructure basée sur les snapshots de VMware, qui permet la sauvegarde et la
restauration des VM. Comme Veeam Backup & Replication peut influencer la performance des
sauvegardes, il est possible de contourner l’API dans les trois scénarios suivants :
• la sauvegarde à partir de snapshots de baie de stockage ;
• le mode Direct NFS (système de gestion de fichiers en réseau), tel que le mode d’accès direct
au stockage ;
• l’appliance virtuelle ou l’ajout à chaud.
Avec la possibilité de contourner l’API de protection des données, Veeam peut améliorer de manière
significative les performances de sauvegarde. C’est l’une des raisons pour lesquelles l’ajout à chaud
s’est généralisé. Il existe toutefois bien d’autres avantages à utiliser ce mode. De fait, le proxy de
sauvegarde Veeam s’exécute comme une VM supplémentaire pour les sauvegardes. Il monte les
snapshots des VM à sauvegarder et achemine le trafic sur le réseau normal des VM.
Ce mode n’utilise pas non plus l’interface de gestion ESXi, faisant de l’ajout à chaud une
excellente alternative. C’est notamment le cas avec les réseaux d’1 Gbit où il est impossible
d’utiliser la sauvegarde en mode d’accès direct au stockage.
« La flexibilité et le vaste choix des modes de transport font de Veeam une solution
idéale pour tous les types d’environnement VMware vSphere. Le mode réseau pour
les PME, l’ajout à chaud pour l’infrastructure hyperconvergée et les usages courants,
ainsi que l’accès direct et l’intégration du stockage, entraînent des taux de modification
considérables et minimisent l’impact sur l’environnement de production. »
— Markus Kraus,
Veeam Vanguard et VMware vExpert
Le mode d’ajout à chaud n’est généralement pas recommandé avec les datastores NFS.
Avec NFS, il est recommandé d’utiliser l’accès direct au stockage qui se traduit par le mode
d’accès Direct NFS. Celui-ci n’est pas proposé sous forme d’option dans l’interface graphique.
Il s’agit simplement d’une déclinaison de l’accès direct au stockage. Cette recommandation
est justifiée par le fait que l’ajout à chaud produit souvent un gel des VM si le proxy Veeam
ne s’exécute pas sur le même hôte ESXi que la VM. Vous trouverez plus d’informations sur les
environnements avec datastores NFS dans la base de connaissances Veeam KB 1681. Si vous
prévoyez néanmoins d’utiliser le mode d’ajout à chaud sur les datastores NFS, appliquez la règle
et le paramètre suivants :
• Prévoyez un proxy d’ajout à chaud par hôte proxy
• Paramétrez l’option EnableSameHostHotAddMode = 1 dans HKEY_LOCAL_MACHINE\

SOFTWARE\Veeam\Veeam Backup and Replication
Remarque : la sauvegarde en mode d’accès Direct NFS ne fonctionne qu’avec les VM sans
snapshot. VMware recommande de supprimer les snapshots dès que possible. En présence d’un
snapshot de VM, Veeam basculera vers d’autres modes de sauvegarde.
Les possibilités de sauvegarde étant nombreuses, le tableau ci-dessous permet d’évaluer les
résultats de chaque mode pour déterminer lequel convient le mieux à votre situation.
Meilleure pratique : testez pour savoir quel mode de sauvegarde convient à votre
environnement. La sauvegarde vSphere offre de nombreuses options qu’il vaut mieux tester
dans votre environnement.
Trois : Prévoir le mode de restauration

Une fois votre mode de sauvegarde optimal identifié, il est important de vous intéresser aussi au
mode de restauration. Le test de restauration doit respecter les RTO. Veeam offre une multitude
de scénarios de restauration de VM en local ou chez les fournisseurs de cloud, de machines
physiques, de fichiers et d’objets applicatifs. Depuis de nombreuses années, il est possible de
restaurer instantanément n’importe quelle sauvegarde en mode image vers VMware vSphere
(y compris des serveurs physiques).
Tout d’abord, il est essentiel de savoir que les restaurations de fichiers et d’objets sont
différentes de celles de VM et de disques. Veeam restaure les fichiers et les objets (e-mails
Microsoft Exchange ou objets Microsoft Active Directory, par exemple) sur le réseau.
Cela implique une connexion RPC (Windows) ou SSH (Linux), ainsi que des ports pour les
déplaceurs de données afin de transférer les données dans la VM. Pourquoi cela ? Parce
que Veeam fonctionne par défaut sans agent pour les sauvegardes de VM. Si vous souhaitez
limiter les obligations liées aux ports pour sauvegarder et restaurer Windows, vous pouvez
utiliser l’agent invité persistant Veeam.
La sauvegarde de VM étant basée sur les snapshots et la sauvegarde au niveau des blocs, la
restauration de VM entières ou de disques virtuels est également basée sur les blocs. Selon le
mode de restauration, il existe une différence entre le provisionnement statique ou dynamique
de la VM. Les modes de restauration sont les mêmes que ceux de sauvegarde (c’est-à-dire accès
direct au stockage, appliance virtuelle et réseau), auxquels s’ajoute la fonctionnalité Instant VM
Recovery associée à Storage VMotion ou à Quick Migration.
Les modes ajout à chaud et NBD peuvent tous deux restaurer des VM à provisionnement statique
ou dynamique. Comme précisé précédemment, le mode appliance virtuelle ou ajout à chaud offre
d’excellentes performances de sauvegarde. C’est également le cas des restaurations de VM entières
ou de disques en mode ajout à chaud. Dans de nombreux scénarios, il est logique de disposer d’au
moins un proxy d’ajout à chaud pour les restaurations de VM ou de disques.
Le mode réseau est généralement le plus lent pour la restauration.
L’accès direct au stockage fonctionne très bien, mais il ne peut restaurer que les disques
provisionnés statiquement. Avec cette option, ceux provisionnés dynamiquement sont convertis
en disques statiques à la volée. Comme le mode d’accès direct au stockage utilise l’API de
stockage VMware vSphere pour les restaurations, ce n’est généralement pas l’option la plus
rapide. Il existe une exception : la restauration en mode Direct NFS lorsque Veeam Backup
& Replication contourne l'API de stockage de VMware.
Remarque : avec l’accès direct au stockage, on peut essayer de désactiver WRITE_SAME sur le ou
les hôtes ESXi. Le résultat étant difficile à prévoir, nous ne fournissons aucune recommandation
générale. Pour obtenir de plus amples informations, consultez l’article dédié dans la base de
connaissances : https://kb.vmware.com/s/article/2146566.
Pour restaurer une VM ou un disque virtuel, vous ne devez pas nécessairement transférer
l’intégralité des données. Si les informations de suivi des blocs modifiés sur le stockage de
production sont correctes, il est possible de s’appuyer dessus pour la restauration. Choisir cette
option permet d'accélérer la restauration, sachant que le retour arrière rapide doit être activé
manuellement pendant la restauration.
Retour arrière rapide basé sur les informations de suivi des blocs modifiés
La restauration instantanée de VM est une autre manière d’effectuer une restauration de VM entière
(à l’instar de la restauration instantanée de disque de VM par rapport à la restauration de disque
entier). Elle permet de démarrer instantanément une VM directement depuis la cible de sauvegarde.
Celle-ci agit comme un datastore NFS monté sur un hôte ESXi. Il existe deux options de transfert des
données de VM depuis le datastore NFS cible vers le datastore de production :
• Veeam Quick Migration ;
• vSphere Storage vMotion.
Remarque : n’oubliez pas que Storage vMotion ayant une faible priorité dans vSphere, elle
prendra plus de temps.
Autre élément indépendant de vSphere ou Veeam : si vous utilisez un stockage en miroir

synchrone, la restauration sera plus rapide en désactivant le miroir synchrone sur les volumes
de restauration. Quelle que soit la vitesse de stockage, la vitesse de la lumière est limitée.
La seconde baie de stockage doit accuser réception des données et cela prend du temps. Les
performances de restauration peuvent doubler (ou plus si la distance entre les baies est élevée).
En fonction de votre fournisseur de stockage, il peut être judicieux d’interrompre le miroir pour
la restauration et de le resynchroniser par la suite.
Les possibilités de restauration de VM entières étant nombreuses, vous pouvez utiliser le

tableau ci-dessous pour évaluer les résultats de chaque mode afin de déterminer lequel
convient mieux dans votre situation.
Meilleure pratique : Planifiez et testez les options de restauration en fonction des modes de
stockage et de transport. Si vous n’utilisez pas de datastores NFS, prévoyez d’installer au minimum
un proxy d’ajout à chaud comme solution de rechange. Si vous utilisez un stockage en miroir
synchrone, pensez à interrompre le miroir pour accélérer temporairement la restauration.
Quatre : Intégrer la protection des

données en continu de Veeam dans la
conception de votre reprise après incident
Veeam Backup & Replication permet de répliquer les VM VMware à intervalles de quelques secondes,
sans snapshot vSphere. Appelée protection des données en continu ou CDP (Continuous Data
Protection), cette caractéristique améliore les RPO et RTO pour la reprise après incident. S’appuyant
sur les API vSphere de filtrage des I/O (VAIO), la CDP offre une utilisation très semblable à celle de la
réplication Veeam classique (basée sur les snapshots). Vous pouvez l’utiliser au sein de votre propre
datacenter ou vers un partenaire VCSP (Veeam Cloud & Service Provider).
Aperçu de la reprise après incident en mode service avec la CDP de Veeam
Quelques éléments doivent être pris en considération pour planifier la CDP. Comme d’habitude,
vous devez allouer des ressources matérielles au transfert des données et au stockage de celles
modifiées. Tandis que les sauvegardes classiques s’exécutent toutes les 8, 12 ou 24 heures, et
n’utilisent la bande passante du réseau que quelques fois par jour, la CDP doit transférer un flux
constant de données. La bande passante peut être évaluée en supervisant le trafic des écritures de
stockage. Veeam appliquera une compression et filtrera les blocs inutiles (pour ne transférer que
la dernière version d’un bloc modifié plusieurs fois pendant la fenêtre RPO). Grâce à cela, la bande
passante nécessaire sera légèrement inférieure par rapport aux indications sur le stockage.
Concernant la destination du datastore vSphere, il vous faut suffisamment d’espace libre et de

capacité d’I/O pour les points de restauration. Plus le RPO est court et la rétention est longue,
plus il vous faut d’espace disque. Nous recommandons un RPO de 10 secondes au minimum. Il
est possible de descendre à 2 secondes, mais cela exige un espace disque plus important et crée
un plus grand nombre d’I/O sur le datastore de destination, avec des écritures qui ne peuvent
pasêtre limitées sur celui-ci. En présence de VM de production sur le système de stockage de
destination, nous recommandons d’utiliser un datastore dédié aux VM réplicas.
Le trafic réseau nécessaire à la CDP peut être considérable selon la charge des I/O et le RPO.
Une MTU de 9000 octets accroît les performances d’environ 25 % sur les réseaux 10 Gbit/s.
Nous recommandons également un adaptateur VMkernel dédié, avec une ou plusieurs liaisons
montantes physiques dédiées. Cela garantit l’absence d’interférence entre le trafic CDP et d’autres
types de trafic (comme celui de gestion). Vous ne devez activer aucun service sur ces adaptateurs
VMkernel (voir capture d’écran ci-dessous). Il est possible d’utiliser des commutateurs virtuels
distribués existants, sans devoir en configurer un spécifiquement dédié au trafic CDP.
Aucun service n’est activé pour le port VMkernel qui supporte le trafic CDP
Les principes de conception des proxys sont similaires pour la sauvegarde :
• peu de grands proxys (physiques) ;
• beaucoup de petits proxys (virtuels).
La redondance demanderait de disposer d’au moins deux proxys pour la source et la destination. En
présence de proxys virtuels, le meilleur moyen d’optimiser le trafic réseau consiste à utiliser un proxy
par hôte ESXi. Il est aussi recommandé d’utiliser des proxys dédiés pour la source et la destination.
Concernant le cache proxy, nous recommandons des SSD rapides pour gérer une mixité de workloads.
La mise en œuvre de la CDP se traduit par d'importantes exigences d'infrastructure qui

s’appliquent uniquement en cas d’utilisation de la réplication CDP. Plus précisément le serveur
de sauvegarde, les proxys CDP, le serveur vCenter et les hôtes ESXi doivent pouvoir résoudre
mutuellement leurs noms DNS. Pour plus d’informations, veuillez consulter le Guide de
l’utilisateur Veeam Backup & Replication pour VMware vSphere.
Meilleure pratique : À défaut de réplication au niveau du stockage, utilisez la protection des

données en continu (CDP) de Veeam pour la reprise après incident.
Cinq : Installer VMware Tools

(les outils VMware)
Dans de nombreuses situations, Veeam Backup & Replication s’appuie sur la présence d’outils
VMware exécutés sur les VM. Sans eux, Veeam Backup & Replication ne trouve pas les adresses IP,
ni la version du système d’exploitation, par exemple. Cela aboutit à un échec du traitement des
images prenant en charge les applications.
En cause : l’impossibilité pour Veeam Backup & Replication de détecter les adresses IP indispensables
pour se connecter aux VM sur le réseau. De même, l’API VIX ou vSphere qui sert de mécanisme de
rechange pour interagir avec les SE invités ne fonctionnera pas en l’absence d’outils VMware (se
reporter à la meilleure pratique nº 10 pour en savoir plus sur VIX). La capture d’écran ci-dessous
montre l’échec d’un test d’identification sur le SE invité en l’absence d’outils VMware.
Échec d’un test de traitement prenant en charge les applications
Les tests SureBackup® constituent un deuxième exemple : en l’absence d’outils VMware, les
tests heartbeat et ping échoueront. La première règle s’applique pour les outils VMware : mieux
vaut donc veiller à ce qu’ils soient à jour.
Meilleure pratique : Installez les outils VMware et veillez à ce qu’ils soient toujours à jour.
Six : Intégrer les snapshots de baie de

stockage dans la conception de votre
sauvegarde
Les snapshots de baie de stockage ne remplacent pas la sauvegarde, mais ils minimisent les
pertes de données dans de nombreuses situations. Veeam Backup & Replication s’intègre avec
différents fournisseurs de stockage, conjointement avec VMware vSphere. L’intégration du
stockage augmente les possibilités de protection des données. Vous trouverez ici la liste des
systèmes de stockage permettant cette intégration.
La première option consiste pour Veeam Backup & Replication à ouvrir les snapshots de baie de
stockage et les fichiers de restauration directement depuis les snapshots de baie de stockage. Cela
vous permet de planifier des snapshots de baie de stockage toutes les 15 minutes sans devoir créer
des snapshots de VM. Certes, un snapshot toutes les 15 minutes ne constitue pas réellement une
sauvegarde, puisque cela ne respecte pas la règle du 3-2-1, mais cela réduit les RPO.
Remarque : vous avez le choix entre les snapshots cohérents en cas d’incident ou au niveau des
applications. Seuls les seconds créent un snapshot VMware avant celui de la baie de stockage.
Ci-dessous, Veeam Explorer™ for Storage Snapshots suit un concept similaire à toutes les autres
plateformes Veeam Explorer. Les snapshots de baie de stockage apparaissent sur la gauche où sont
affichés les LUN (numéros d’unité logique) ou les volumes et les snapshots de l’un d’entre eux. Sur
la droite sont affichées les VM de chaque snapshot de baie de stockage. À partir de là, vous pouvez
restaurer des VM avec Instant VM Recovery® ou des fichiers de restauration et des objets applicatifs.
Imaginez maintenant que des snapshots des LUN ou des volumes stratégiques soient réalisés
toutes les 15 minutes et supprimés au bout de quatre heures. Cela signifierait qu’il est possible
de restaurer les données sauvegardées 15 minutes auparavant, plutôt que de restaurer les
données de sauvegardes bien plus anciennes.
« Avec Veeam, j’utilise l’intégration du stockage en associant les orchestrations de snapshots

de baie de stockage avec mes tâches de sauvegarde, dans lesquelles j’utilise les snapshots
de baie de stockage. En activant ces deux fonctionnalités dans Veeam, je dispose d’un
panneau de contrôle unique pour gérer mes snapshots de baie de stockage et faire coïncider
leur rétention avec la planification des sauvegardes. Cela s’est révélé crucial dernièrement
puisque j’ai pu restaurer nos données les plus stratégiques qui avaient été supprimées, grâce
à une restauration complète avec une perte minimale de données. »
—Shane Williford,
Architecte systèmes,
District scolaire North Kansas City.
Restauration au niveau objet à partir d’un snapshot de baie de stockage
Le deuxième avantage de l’intégration du stockage réside dans la possibilité de sauvegarder à partir

des snapshots de baie de stockage. Cela permet de sauvegarder des VM hautement transactionnelles,
comme les serveurs de base de données, sans risquer un gel des VM pendant la consolidation des
snapshots. Bien que la situation se soit nettement améliorée avec les versions actuelles de vSphere,
cela justifie toujours le recours aux snapshots de baie de stockage.
Enfin, la sauvegarde à partir de snapshots de baie de stockage permet à Veeam d’utiliser ses
mécanismes propriétaires d’extraction des données pour surclasser les sauvegardes vSphere
vStorage classiques, basées sur des API. Cet avantage est particulièrement sensible pour les
sauvegardes entières et toute sauvegarde en cas de taux de modifications élevé.
Meilleure pratique : utiliser l’intégration du stockage si votre baie de stockage prend en charge
les snapshots pour Veeam Backup & Replication.
Sept : Anticiper la sauvegarde

VMware vSAN
Tandis que l’adoption de VMware vSAN se poursuit, des points sont à prendre en considération au
moment de déterminer comment sauvegarder au mieux les workloads résidant sur VMware HCI.
VMware vSAN n’utilise pas les protocoles de stockage traditionnels : ni l’accès direct au stockage, ni la
sauvegarde à partir de snapshots de baie de stockage ne sont disponibles.
Les modes de sauvegarde pris en charge sont les modes appliance virtuelle/ajout à chaud
et réseau. Il est recommandé de tester le mode qui correspond le mieux à vos besoins. Avec
le mode NBD, aucune surcharge relative à l’ajout à chaud n’est à déplorer, ce qui se traduit
généralement par des sauvegardes incrémentielles plus rapides.
Le mode ajout à chaud offre quant à lui certaines optimisations. Aussi, Veeam Backup & Replication
sauvegarde les VM en fonction de la proximité de leurs données. Cela signifie que les sauvegardes
s’effectuent à travers un proxy sur l’hôte où résident les données les plus spécifiques des VM.
Pour que ce mode fonctionne au mieux, il faut disposer d’un proxy d’ajout à chaud par hôte ESXi.
Les règles d’affinité des hôtes pour les VM proxy empêchent VMware DRS (Distributed Resource
Scheduler) de déplacer ces VM vers d’autres hôtes ESXi.
Ces optimisations peuvent se traduire par des sauvegardes plus rapides, car il y a moins de trafic
réseau et de latence. En effet, avec une VM et un proxy sur des hôtes différents, le trafic est
plus important sur le réseau, ce qui augmente la latence et réduit la vitesse.
Le déploiement d’un proxy de sauvegarde par hôte ESXi peut entraîner une surcharge de gestion
et d’utilisation des ressources (CPU, disque, RAM) en raison du nombre important de VM proxy.
Avec une bande passante suffisante, la surcharge liée à l’utilisation d’un proxy par hôte ESXi
n’est généralement pas rentable. Dans la plupart des situations, il vaut mieux avoir seulement
quelques proxys d’ajout à chaud par cluster vSAN.
vSAN permet par défaut jusqu’à 32 snapshots de VM en parallèle
Veeam crée par défaut quatre snapshots maximum par datastore. Des centaines de VM
sur un seul datastore VMware vSAN auraient un impact négatif sur les performances. C’est
pourquoi Veeam Backup & Replication crée 32 snapshots maximum en parallèle sur les
datastores vSAN. Si cela ne suffit pas, la valeur peut être remplacée par la valeur de registre
VSANMaxSnapshotsNum (DWORD) sous la clé « HKLM\SOFTWARE\Veeam\Veeam Backup and
Replication » sur le serveur de sauvegarde.
Key Location: HKLM\SOFTWARE\Veeam\Veeam Backup and Replication
Value Name: VSANMaxSnapshotsNum
Value Type: DWORD (32-Bit) Value
Value Default Data: 32
Veeam Backup & Replication est certifié VMware Ready pour vSAN dans la catégorie protection
des données et services de fichiers. Le guide de compatibilité VMware (VCG) offre davantage
d’informations, notamment la prise en charge de vSAN dans VMware Cloud sur AWS.
« Nous sauvegardons notre infrastructure vSAN à l’aide d’un proxy virtuel dédié par
hôte ESXi. C’est pourquoi le nombre de proxys est élevé, mais ils sont assez petits (4 vCPU).
En plus, notre configuration de cluster vSAN est étendue, avec de grandes distances
séparant les datacenters. Avec un proxy par hôte ESXi, nous avons l’assurance que Veeam
attribue toujours le plus proche à chaque VM à sauvegarder. Cela évite le trafic inutile sur
les interconnexions de datacenters. »
— Manuel Aigner,
Porsche Informatik
Meilleure pratique : Testez les modes de sauvegarde pour déterminer lequel est le plus rapide
dans votre environnement. Bien que généralement excessif, disposer d’un proxy d’ajout à chaud
par hôte ESXi réduit le trafic du réseau vSAN. Le mode ajout à chaud offre un débit supérieur et
le mode NBD limite la surcharge.
Huit : Prendre en compte la sécurité

Veeam Backup & Replication se connecte à VMware vCenter pour gérer la sauvegarde et
la restauration des VM. Du point de vue de la sécurité, nous recommandons d’utiliser le
principe du moindre privilège. VMware vCenter offre des autorisations granulaires pour
permettre les sauvegardes.
Le guide de référence consacré aux autorisations requises détaille celles à configurer selon
le mode de sauvegarde. En effet, les différents modes de sauvegarde nécessitent des
autorisations distinctes. Il sera ainsi pertinent de disposer de l’autorisation de suppression
de disque en mode appliance virtuelle. La figure ci-dessous présente un rôle dédié dont les
autorisations limitées sont adaptées à la sauvegarde.
Rôles vSphere dédiés pour Veeam Backup & Replication
Ces considérations de sécurité peuvent déterminer le choix du mode de sauvegarde. De plus, il

est possible de limiter des serveurs de sauvegarde particuliers (si vous en possédez plusieurs)
à des emplacements ou objets spécifiques dans vCenter.
Comme les attaques dirigées vers les serveurs de sauvegarde se généralisent, il faudrait
renforcer l’environnement de sauvegarde lui-même en suivant le guide des meilleures
pratiques de Veeam Backup & Replication. La cible renforcée Veeam ou toute autre option de
stockage inaltérable , est aussi à considérer.
Meilleure pratique : Travaillez dans les limites du principe du moindre privilège.
Neuf : Utiliser Veeam ONE et

Recovery Orchestrator pour optimiser
les sauvegardes et les restaurations
La Veeam Data Platform édition Premium (nouveauté 2023) intègre un outil de planification
puissant pour les déploiements Veeam Backup & Replication, appelé Veeam ONE™, et un outil
d’orchestration de la reprise appelé Veeam Recovery Orchestrator. Veeam Recovery Orchestrator
(anciennement Veeam Disaster Recovery Orchestrator) permet d’orchestrer tout type de
scénarios de restauration de VM.
Tableau de bord de Veeam Recovery Orchestrator
Auparavant, Veeam Recovery Orchestrator couvrait principalement des scénarios de catastrophes

naturelles (incendies, inondations, tremblements de terre). Pour la plupart des clients néanmoins,
l’opération de restauration des données à grande échelle la plus courante a lieu après une attaque
par ransomware, et non après une catastrophe naturelle. Veeam Recovery Orchestrator offre de
nombreuses possibilités pour orchestrer les restaurations dans les environnements VMware :
• basculement orchestré pour la réplication Veeam basée sur les snapshots ;
• basculement orchestré pour la réplication CDP sans snapshot ;
• restauration orchestrée depuis une cible vers vSphere, y compris des analyses de ransomwares
pendant la restauration ;
• restauration orchestrée (physique et de VM) vers Azure ;
• basculement orchestré depuis des systèmes de stockage.
Veeam ONE offre la supervision et le reporting des produits de sauvegarde Veeam et de

l’environnement connecté. Par exemple, il peut s’agir d’une latence de stockage élevée ou de
snapshots de VM anciennes, de taille importante, nombreuses ou orphelines. Néanmoins, il existe
également des fonctionnalités utiles spécifiques de la sauvegarde vSphere.
Veeam ONE : rapport d’évaluation de la configuration des VM pour VMware
Le rapport d’évaluation de la configuration des VM révèle les éventuels problèmes de

sauvegarde. Il s’agit typiquement des problèmes suivants :
• outils VMware non installés,
• matériel version 4 ou antérieure (cela ne devrait pas se produire en 2023),
• disques impossibles à sauvegarder (disques indépendants par exemple),
• datastores disposant de moins de 10 % d’espace libre,
• mappages de périphériques bruts dans les VM.
Résoudre ces problèmes avant l’exécution des sauvegardes permet d'en éviter d’autres
par la suite.
Meilleure pratique : Utiliser Veeam Recovery Orchestrator et Veeam ONE pour se préparer au
scénario du pire et optimiser sa stratégie de sauvegarde.
Dix : Effectuer les sauvegardes prenant en

charge les applications via l’API VIX
La meilleure pratique nº 5 recommande de toujours disposer de la dernière version des outils
VMware. Grâce à ces outils, les administrateurs Veeam peuvent effectuer des sauvegardes prenant en
charge les applications pour les VM Windows, sans passer par une connexion réseau directe.
Le moyen de prédilection pour effectuer ce type de sauvegarde consiste à connecter le proxy de

l’application à la VM via RPC (Remote Procedure Call) ou un agent invité persistant. C’est aussi le plus
rapide. Si la communication réseau vers la VM est empêchée par la segmentation du réseau ou par
des pare-feux, Veeam peut interagir avec le SE client au moyen de l’API VIX ou vSphere (à partir de la
version 6.5 de vSphere). La figure ci-dessous illustre la connexion via VIX (encadré vert).
Test des informations d’identification sur le SE client via l’API VIX
L’interaction avec les SE clients via l’API VIX ou vSphere ne fonctionne pas telle quelle. L’article
Veeam KB 1788 donne davantage de détails, mais les deux exigences clés sont les suivantes :
• le compte utilisateur utilisé par Veeam Backup & Replication doit être un membre du groupe
local des administrateurs ;
• si le nom du compte n’est pas « administrator », le contrôle de compte d’utilisateur Windows

doit être désactivé.
Si la connexion RPC ne fonctionne pas, le mode de rechange est l’interaction avec les SE clients
via l’API VIX ou vSphere. Dans un environnement où la plupart des VM ne peuvent pas être
atteintes via RPC, les sauvegardes prendront plus de temps, car Veeam Backup & Replication
commence toujours par tenter une connexion RPC. Dans ce cas, il est possible de modifier
l’ordre pour commencer par l’API VIX en utilisant la clé de registre suivante sur le serveur de
sauvegarde ou le proxy d’interaction avec le SE invité :
HKEY _ LOCAL _ MACHINE\SOFTWARE\Wow6432Node\Veeam\Veeam Backup and

Replication\ DWORD: InverseVssProtocolOrder
Value = 1
La valeur pour désactiver cet ordre est 0 (comportement par défaut).
Il est important de noter que l’utilisation de l’API VIX ou vSphere pour interagir avec les SE
invités limite les opérations de restauration. Il est ainsi possible de restaurer des fichiers,
mais pas des objets applicatifs comme ceux de Microsoft Active Directory ou d’Exchange, par
exemple. Il faut une connexion réseau pour cela. Il est à noter également que les restaurations
de fichiers sont bien plus lentes lorsqu’elles sont effectuées sur le réseau.
Concernant la vitesse, le service VeeamLogShipper qui achemine les journaux SQL peut
également utiliser l’API VIX comme mécanisme de rechange, s’il n’arrive pas à atteindre la
cible à travers le réseau. Si cela peut s’avérer trop lent dans la plupart des environnements,
il est néanmoins recommandé d’acheminer les journaux SQL via le réseau.
Meilleure pratique : Prenez les limites en considération pour interagir avec les SE invités via
l’API VIX ou vSphere.
Conclusion
La Veeam Data Platform assure la résilience des données et la confiance nécessaires pour
vous aider à maintenir votre activité. La conception d’une infrastructure et la mise en œuvre
d’outils offrant des sauvegardes sécurisées et fiables, une supervision et une analyse avancées,
ainsi qu’une restauration efficace et orchestrée, sont essentielles lorsqu’il s’agit de maintenir
l’entreprise en activité.
VMware vSphere est aujourd’hui la plateforme de virtualisation standard de facto dans les
entreprises du monde entier. Si la Veeam Data Platform est hautement optimisée, il est
encore important de vérifier régulièrement votre environnement afin d’obtenir les meilleures
performances possibles. Suivre les meilleures pratiques détaillées dans ce guide vous permettra
d’obtenir des résultats optimaux en matière de protection des données.
Essayez gratuitement Veeam dès aujourd’hui !
À propos de l’auteur
Hannes Kasparick fait partie de l’équipe de gestion des produits
Veeam. Dans son précédent poste d’ingénieur systèmes
région CEMEA, il mettait son expérience au service des clients et
partenaires pour les aider à concevoir des solutions efficaces de
sauvegarde et de DR avec les produits Veeam.
Il gérait des environnements Linux et Windows, ainsi que des services

d’infrastructure comme le stockage, le réseau, les pare-feux et
VMware. Il a acquis plus de 15 ans d’expérience dans le secteur de l’IT.

Vmware Backups Best Practices v3

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Vmware Backups Best Practices v3

Transféré par

Droits d'auteur :

Formats disponibles

10

Table des matières

Deux : Choisir son mode de sauvegarde avec soin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Trois : Prévoir le mode de restauration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Quatre : Intégrer la protection des données en continu

Cinq : Installer VMware Tools (les outils VMware) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Sept : Anticiper la sauvegarde VMware vSAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

Huit : Prendre en compte la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

Neuf : Utiliser Veeam ONE et Recovery Orchestrator pour optimiser

• dimensionner correctement les équipements ;

• disposer d’un espace de sauvegarde suffisant.

Un: Utiliser les versions actuelles de

100 Gbit/s dépassés sur un seul serveur cible

• l’authentification multifacteur (MFA) ;

• la prise en charge des environnements exclusivement Kerberos ;

• les mises à jour de la cible renforcée sans SSH ni nécessité d’identification.

Deux : Choisir son mode de

• le mode réseau (NBD) ;

• l’appliance virtuelle (ajout à chaud).

Options de mode de transport

Le mode NBD et le mode d’accès direct au stockage (à l’exception de la sauvegarde à partir de

• la sauvegarde à partir de snapshots de baie de stockage ;

• l’appliance virtuelle ou l’ajout à chaud.

• Prévoyez un proxy d’ajout à chaud par hôte proxy

• Paramétrez l’option EnableSameHostHotAddMode = 1 dans HKEY_LOCAL_MACHINE\

Trois : Prévoir le mode de restauration

Le mode réseau est généralement le plus lent pour la restauration.

• Veeam Quick Migration ;

• vSphere Storage vMotion.

Autre élément indépendant de vSphere ou Veeam : si vous utilisez un stockage en miroir

Les possibilités de restauration de VM entières étant nombreuses, vous pouvez utiliser le

Quatre : Intégrer la protection des

Aperçu de la reprise après incident en mode service avec la CDP de Veeam

Concernant la destination du datastore vSphere, il vous faut suffisamment d’espace libre et de

Les principes de conception des proxys sont similaires pour la sauvegarde :

• peu de grands proxys (physiques) ;

• beaucoup de petits proxys (virtuels).

La mise en œuvre de la CDP se traduit par d'importantes exigences d'infrastructure qui

Meilleure pratique : À défaut de réplication au niveau du stockage, utilisez la protection des

Cinq : Installer VMware Tools

Échec d’un test de traitement prenant en charge les applications

Six : Intégrer les snapshots de baie de

« Avec Veeam, j’utilise l’intégration du stockage en associant les orchestrations de snapshots

Restauration au niveau objet à partir d’un snapshot de baie de stockage

Le deuxième avantage de l’intégration du stockage réside dans la possibilité de sauvegarder à partir

Sept : Anticiper la sauvegarde

vSAN permet par défaut jusqu’à 32 snapshots de VM en parallèle

Key Location: HKLM\SOFTWARE\Veeam\Veeam Backup and Replication

Value Name: VSANMaxSnapshotsNum

Value Type: DWORD (32-Bit) Value

Value Default Data: 32

Huit : Prendre en compte la sécurité

Rôles vSphere dédiés pour Veeam Backup & Replication

Ces considérations de sécurité peuvent déterminer le choix du mode de sauvegarde. De plus, il

Meilleure pratique : Travaillez dans les limites du principe du moindre privilège.

Neuf : Utiliser Veeam ONE et

Tableau de bord de Veeam Recovery Orchestrator

Auparavant, Veeam Recovery Orchestrator couvrait principalement des scénarios de catastrophes

• basculement orchestré pour la réplication Veeam basée sur les snapshots ;

• basculement orchestré pour la réplication CDP sans snapshot ;

• restauration orchestrée (physique et de VM) vers Azure ;

• basculement orchestré depuis des systèmes de stockage.

Veeam ONE offre la supervision et le reporting des produits de sauvegarde Veeam et de