Une fois n’est pas coutume, je me réfère aux saintes écritures

Et moi, je te dis que tu es Pierre, et que sur cette pierre je bâtirai mon Église, et que les portes du séjour des morts ne prévaudront point contre elle.

Matthieu, 16:13:18

De ce verset, je bâti donc le mien

Et moi, je te dis que tu es SS_034, et que sur cette application je bâtirai mes KPIs, et que les défaillances des jobs de protection ne prévaudront point contre elle.

Le rédacteur de ce billet

Ne voyez pas dans cette reformulation une quelconque provocation de ma part ou quelques pensées négatives quant à mon sarcasme et ironie qui m’habite. J’ai une éducation des plus classiques dans l’ordre mariste. Passons.

Enfin, vous comprendrez mieux je pense l’allusion à la rédaction des articles précédents sur les différents produits VEEAM puisque mon application s’appuie sur ces derniers. Cela à représenter un travail personnel titanesque en dehors de mon activité professionnelle…

Mais c’est quoi ton application SS_034 ou Green Ray ? Et ça sert à quoi ? Quel rapport avec les produits VEEAM ?

Avant de répondre à l’ensemble des questions, la problématique à laquelle j’ai été confronté prends son origine courant mars 2023, dans mon environnement professionnel.

Comment s’assurer de l’état des mécanismes de protection des systèmes d’informations quotidien fournit par les produits VEEAM et établir à partir de ces données des indicateurs de performance afin de s’assurer du bon respect des engagements contractuels interne ou externe.

C’est marrant car je dirai que cette problématique conviendrait pour un mémoire de fin de cycle de 5 année. 🙂

/!\ Spoiler, j’ai non seulement trouvé une solution à cette problématique mais ce dernier a pris une tournure inattendue au cours de ces deux dernières années.

Hé banane, nous nous en doutons sinon tu n’aurais pas pondu un article… Mouai, bà je suis certains qu’il existe déjà des applications ou fonctionnalités internes ou externes à VEEAM qui permet de faire ça ? Tu as réinventé la roue… Encore un article p*te à clic…

C’est vrai que l’argumentaire se tiens, toutefois pouvez vous me sortir les statistiques par jobs ou par organisations sur un mois précis ? Sur 13 mois glissant ? Déduire une tendance ? Allez y je vous regarde 🙂

Donc pour répondre aux 3 questions précédemment énoncées :

• En tant que MSP¹ dans le milieu professionnel, l’usage des produits VCC², VSPC³ pour administrer et gérer les différents serveurs de sauvegarde VBR⁴ ou VB MO365⁵, il est logique que je me concentre sur les solutions de l’éditeur VEEAM. De plus VEEAM s’inscrit depuis la 5 années consécutives comme le leader de la sauvegarde sur le marché.
• L’application développée par mes soins vient collecter, traiter et présenter les données quotidiennes des jobs de sauvegardes tout en garantissant la flexibilité de la solution et la plus grande sécurité possible
• Le nom du projet est SS_034_TOOLS_Backup-Reporting (toujours ma nomenclature personnelle SystemScript numéro 34). Mes proches m’ont fait remarquer à maintes reprises que le nom est difficilement commercialisable. C’est pourquoi Green Ray est plus adapté. En raison d’un relevé quotidien des outils VEEAM d’un vert caractéristique, je me suis dit que cela revenait à guetter le dernier rayon vert du soir 🙂

Tu dis difficilement commercialisable ? Je reviendrai plus tard sur ce point.

Avant-Propos

Il est important de comprendre que ce billet ne rentrera pas dans le détail technique et ce pour des raisons évidentes de savoir faire et de protection intellectuelle. Le code source est disponible sur GitHub mais ne sera pas en libre accès. Ah ouai et pourquoi donc ?

Comme j’ai pu le mentionner dans un article précédent je suis satisfait de ce que j’ai réussi à livrer et à créer. J’ai passé un bon nombre d’heure de recherche et de développement à concevoir la solution ainsi que la lecture des différentes documentations. Contrairement à d’autres projets je suis satisfait de la qualité du code produit et de l’architecture de ce dernier.

Ce qui m’amène au point, dois je commercialiser ce dernier ou le laisser à la disposition de tous ? Mon cœur peine à se décider… Je souhaite valoriser mon travail de recherche…

Bref, si votre curiosité est toujours suscitée je pense que le reste de l’article devrait être satisfaite. Dans le cas contraire, je vous laisse exécuter la combinaison Ctrl+F4.

Prérequis

• SE : Windows Server 2k19 et version ultérieures ou Windows 11
• Apps : VSPC version 7 ou plus
• Autres :
  • PowerShell version 5 et ultérieures
  • PowerBI (optionnel)
  • ODBC drivers (SQLite3)

Guide

• Partie 1 : Théorie
  • Définir l’expression du besoin et aborder le cahier des charges attendu. Ce qui implique l’architecture de l’application, du code. Les solutions retenues ainsi que les notions de sécurité
• Partie 2 : Pratique
  • Guide de déploiement de la solution et paramétrage de cette dernière.
  • Oups, un mot de passe ? On échange avant ? #bisous
• Partie 3 : Démonstration
  • Faire une présentation de la solution dans les deux modes qui ont été développés.

Conclusion

Bien, difficile de conclure un projet sur lequel je reste assez nébuleux (mais pas opaque, je tiens à la nuance). Certes il y a la théorie et je garde le guide d’installation dans sa culotte de chasteté, mais la démonstration fait le taf non ? 🙂

Je vois dans cette solution un bon moyen d’assister les RSSIs⁶, DSIs⁷ qu’ils soient internalisés ou non. Cela permet de montrer du concret au DG⁸, DAF⁹ ou PDG¹⁰ quant au travail de longue haleine réalisé par les équipes (oui, on ne va pas se mentir pour le commun des utilisateurs nous sommes désagréables et nous passons nos journées à boire des cafés en nous tirant sur le noeud… Sans oublier les cabinets de recrutement qui trouve normal de nous proposer un salaire confortable de 30-35k€ annuel). Plus sérieusement, cela permet à la direction d’accorder un crédit et de la confiance à ses collaborateurs et d’avoir ainsi une bonne vision de la sécurité de son entreprise.

J’ai malheureusement trop vu de société externalisée ou équipe interne faire preuve de laxisme ou pire maquiller les rapports de sauvegarde et ce à l’insu de leur client ou employeur/repsonbale… Mais bon, c’est triste d’écrire ces mots. La fin justifie les moyens… C’est qu’il faut la décrocher cette prime annuelle…

Je ne peux donc qu’encourager encore une fois les DAF, DSI, DG ou PDG de réclamer les indicateurs des jobs de protection journalier, hebdomadaire, mensuel et annuel. Même si vous ne comprenez pas grand chose, cela reste des chiffres et il est important de savoir pourquoi certaines fois cela n’a pas fonctionné et comment les équipes ont traité le dysfonctionnement. Et il faut faire preuve à certain moment de fermeté et dans d’autres cas être indulgent. Il n’est pas aisé de garder une main de fer dans un gant de velours.

De plus, ces métriques jouent un rôle important auprès de votre assurance en cas de sinistre informatique. En plus je suis quasiment certains qu’une police d’assurance cybersécurité a été souscrit. Le risque zéro n’existant pas, si vous arrivez à prouver que votre sauvegarde tiens la route et fait l’objet d’un point de suivi régulier cela devrait faciliter l’indemnisation du sinistre.

Si nous revenons plus à même du projet Green Ray, la flexibilité de l’application permettant d’interfacer n’importe quelle solution de reporting (puisque que basé sur une BDD¹¹) répond au niveau et compétence de chaque RSI ou DSI. La possibilité d’activer ou non le mode debug facilite la correction d’erreur comme le contrôle dans un fichier de log.

Bien que pour l’instant l’application ne prend en compte que les jobs de protection de type Backup, BackupCopy et Replication ainsi que les jobs de protection pour Microsoft O365, l’application a été pensée pour s’adapter assez rapidement que ce soit aux différents niveaux, de l’acquisition des données à leurs restitutions en passant par leurs traitements. Si ce n’est pas évolutif à quoi bon ? Egalement le fait qu’elle puisse traiter plusieurs organisations permets de répondre à un besoin de fournisseur de service et de faciliter la tâche d’un Responsable des Services Hébergés par exemple <3 (A la limite du narcissisme non ? C’est inquiétant).

Le seul regret que j’ai pour l’instant en ce mois de Mars 2025 reste que le code est écrit en Powershell et non en C#, C/C++ ou VB .NET (PS c’est en .NET non ? 🙂 ). Je pourrais me lancer dans un programme en C/C++ mais pour le coup je suis rouillé. Il serait pas mal d’incorporer le rendu directement dans VEEAM (VEEAM One ou dans la VSPC) mais le produit ne doit pas être ouvert pour réaliser ce type d’opération (et heureusement).

La version béta 2.0 (en dehors de la factorisation du mode service pour éviter la redondance de code) est stable. Je sais qu’il reste des optimisations possibles et de potentiel modules à développer, mais ça l’avenir nous le dira si oui ou non je vais investir de nouveau du temps 🙂 En toutes circonstances je suis bien loin de la version 1.0 à manipuler des CSVs dans un fichier XLSX avec des formules à rallonges !

Le mot de la fin

Mes PKIs ils sont super ! Quand on les refreshent ils sortent. On peut acquisitionner à Quimper ou à Chalon-Sur-Saone. Ils ont l’option… sécurisantes. Qui résonnent dans mon bureau-eau-eau…

Erwan GUILLEMARD refondu de Arne VINZON

Sources

• VEEAM : Leader Gartner

1. MSP : Managed Services Providers ↩︎
2. VCC : VEEAM Cloud Connect ↩︎
3. VSPC : VEEAM Service Provider Console ↩︎
4. VBR : VEEAM Backup et Replication ↩︎
5. VB MO365 : VEEAM Backup for Microsoft 365 ↩︎
6. RSSI : Responsable Sécurité des Systèmes d’Informations ↩︎
7. DSI : Directeur des Systèmes d’Informations ↩︎
8. DG : Directeur Général ↩︎
9. DAF : Directeur Administratif et Financier ↩︎
10. PDG : Président Directeur Général ↩︎
11. BDD : Base De Données ↩︎

Mais en dehors de l’aspect technique et du maintien opérationnel nous pouvons ajouter l’aspect financier « déclaratif mensuel des licences » en supplément. Bonjour la boite d’anxiolytique.

Cela passe encore quand c’est une petite structure, mais quand en plus nous devenons fournisseur de la solution (provider chez nos amis d’outre-manche) cela peut vite devenir un calvaire de facturer mensuellement les bonnes quantités et d’éviter une sur ou sous facturation. Egalement et je l’ai déjà vu, se faire régulariser de manière pro-active pour une « mauvaise déclaration » n’a rien d’une partie de plaisir.

Ayant dans mon quotidien professionnel la lourde tâche de garantir la disponibilité de l’infrastructure et produit lié à la sauvegarde à travers les produits VEEAMs en tant qu’usager et fournisseurs de service, je suis contraint de réaliser chaque fin du mois un rapport lié à la consommation de TOUS les produits de chacune de nos organisations.

Afin de ne pas voir une vague de suicide collectif, VEEAM a su entendre les cris du SysAdmin en détresse et a su proposer un outil pour lui faciliter la tâche ! Mais qu’est ce que nous sommes gâtés dit donc !

Plus sérieusement, VEEAM avec son nouveau système de licence universelle (VUL¹) a su rendre les choses simples et s’adapter à l’évolution des SIs² et s’adapter par sa flexibilité d’évolution des ressources présentes sur ces derniers aussi bien sur les infrastructures Cloud (Privées, Publics) ou les infrastructures OnPremise (je reviendrais plus en détail sur ce point plus bas).

Au delà de la flexibilité technique automatiquement cela ouvre la porte à une flexibilité et efficience budgétaire.

On tient quelque chose là ? Tu as mis chers amis le doigt sur un sujet sensible. Tu as mis le doigt sur la VUL… (En raison de la blague d’un trop haut niveau de qualité sur l’échelle du beauf, 10 minutes de suspension…)

Ainsi, en simplifiant le système de licensing et l’application de ce dernier, VEEAM offre avec l’un de ces produits la possibilité de :

• Unifier l’ensemble des solutions sous une seule application (une grande partie)
• Permettre la gestion par les clients d’un fournisseur « l’administration » de leur environnement VEEAM
• Avoir une vue orienté business et maitriser les éléments financiers
• Garantir l’état de santé de leurs environnements

Et voilà que la solution VSPC³ fait son entrée. Un tonnerre d’applaudissement pour la VEEAM Service Provider Console ! (Les 10 minutes de suspension sont toutes relatives…)

VEEAM le leader de la sauvegarde développa une solution centrale pour suivre et d’administrer chaque solution. Dans cette solution ils déversèrent leurs simplicités et leurs volontés de faciliter la vie des SysAdmins. Une application, la VSPC pour les administrer tous… #CRAQUAGE?

Prérequis

• SE : Windows Server 2k19 et versions ultérieures
• Apps : VEEAM B&R 12.x, VEEAMOne 12.x, VSPC 8.0
• Autres :
  • VEEAM B&R 12.x
  • VEEAM One 12.x
  • License VEEAM Entreprise

Avant-Propos

Il est important dans la continuité des bonnes résolutions de cette année 2025 d’essayer de réaliser des billets moins conséquents.

C’est pourquoi, je partirai du principe où les environnements VEEAM B&R et VEEAM One sont déjà déployés. Je pars également du principe dans le bon respect du silotage réseau et de la mise en place du tiering que nos 3 environnements ne sont pas sur le même réseau.

Nous verrons donc dans les parties ci-dessous comment déployer l’application VSPC sur une architecture 2 tiers. L’objectif étant (Attention spoiler) d’implémenter dans un second billet l’architecture (light) VCC⁴ [sous réserve d’obtenir une licence NFR⁵, mais je pense que cela ne sera pas possible. Sauf peut-être en demandant poliment et gentiment].

Je n’aborderai donc pas ce point ni celui de MS O365⁶ (pour des raisons de ressources). C’est pourquoi les schémas seront épurés au possible. Croyez moi, cela va nous simplifier la vie.

Comme pour les autres articles et encore une fois quitte à me répéter. Il s’agit là de mon implémentation, établie sur le guide officiel. Comme d’accoutumé, rien ne vous oblige à suivre MON mode opératoire.

Guide

Vous êtes plusieurs à m’avoir fait la douce remarque que mes articles vous amenaient à des états de crapulences du fait de leur longueur passablement excessive. J’ai pris la bonne résolution de faire plus court et de jouer les citrates de bétaïne pour nos cellules grises. Malheureusement, je n’y arrive pas…

Alors m’est venu l’idée de changer de format et de vous présenter des « sous-parties ». A voir si ce format est plus adapté. 🙂

• Partie 1 : Théorie
  • Aborder les bonnes pratiques, l’architecture et topologie la plus adéquate pour la VSPC. Les performances systèmes requis, le mode de licensing ainsi que les permissions
• Partie 2 : Pratique
  • Installation de l’infrastructure 2/3, configuration de l’application en tant que VSPC uniquement et Intégration de deux produits VEEAM.
• Partie 3 : Visite Guidée
  • Présentation des différents menus, onglets et fonctionnalités proposé par la console VSPC

Conclusion

Le produit VEEAM Service Provider Console est un produit puissant qui permet de centraliser en un seul point l’ensemble des produits VEEAM d’une ou plusieurs organisations. Pensé pour les fournisseurs de services managés, cette solution sait transformer des données techniques en données analytiques et financières tout en garantissant une flexibilité des services clients, allant même si nous le souhaitons s’inscrire non plus dans une offre B2B⁷ mais dans une logique commerciale B2B2B⁸ (et non 2Be3…).

Son objectif ? Je dirai plutôt ces objectifs au pluriel.

Faciliter l’administration et le MCO⁹ des environnements VEEAM des différentes organisations liées à la VSPC. Démontrer l’efficience de la solution sur la flexibilité d’ajustement des licences à la hausse comme à la baisse sur les différents produits en temps réel. Les outils internes présent permettent de définir une stratégie commerciale simple et efficace sur les différents produits VEEAM, que nous MSP¹⁰ avons dans notre catalogue de service.

<3 La VSPC, le rêve de tous SysAdmin gestionnaire d’hébergement <3

Toutefois, l’outil n’est pas parfait…

Quoi, t’es choqué déçu ?! T’es qu’un sa**p ! Je m’explique, ne dressez pas mon procès sans savoir ce que je vais écrire 🙂

Oui l’outil n’est pas parfait à mon gout. Il est difficile de dissocier la partie VSPC des services VCC bien que logique car ce dernier est prévu pour une usage fournisseur. Admettons que cela ne soit pas un problème, cela nécessite je pense une équipe dédiée à la sauvegarde et autres modes de protection.

Une équipe pour gérer VEEAM ? Oui une équipe pour traiter TOUS les produits VEEAM depuis l’hébergement Providers et Managed. L’offre doit être construit dans ce sens afin de fournir un service clé en main à vos clients (du moins si je monte ma boite demain, je tournerai une offre dans ce sens et je ne vous dis pas tout ! ) :

• Gestion des sauvegardes, réplications avec rapports hebdomadaire, mensuels, annuels
• MCO des produits VEEAMs
• Ajustements des licences
• TCO, plan d’investissement et d’amortissement
• Revendeur en tant que marque blanche

De mon expérience personnelle (si maigre soit elle), l’exploitation VEEAM n’est pas bien réalisée par les équipes externes ou internes. La mise à jour d’un certains nombres de VEEAM prend un temps important. Imaginons maintenant la mise à jour des infrastructure :

• VSPC
• VEEAMOne
• VEEAM Backup et Réplication
• VB Microsoft O365
• VCC
• etc

Et attention, à l’ordre d’application…

Maintenir l’architecture VEEAM peut vite devenir complexe. De plus, la validation des prérequis et l’élaboration de la matrice d’interopérabilité entre les solutions tierces demande également une bonne analyse.

Bref, une équipe dédiée à VEEAM est impératif #MYPOINTOFVIEW.

La grosse faiblesse de la VSPC à mon sens reste le détail de l’analytique et du nombre de data exploitable. Difficile de faire une analyse sur 13 mois glissante ou sur une période donnée par organisation ou par job… Donc l’établissement de rapports hebdomadaire, mensuels ou annuels sont compromis ? Non car comme je l’ai dit, l’API¹¹ fournit par la VSPC, noyaux convergeant des solutions VEEAM qui y sont liées va nous offrir par sa flexibilité et puissance la bouffée d’oxygène dont nous avons besoin pour arriver à nos fins 🙂

[Non je n’ai toujours pas d’action VEEAM, mais peut-être un petit peu amoureux… :-°]

Bref, si cet article est présent et si j’ai voulu présenter cette solution il faut se douter que j’ai une idée derrière la tête. Prochainement, je vous lâche un teaser comme dise la GEN Z (pas certain qu’ils disent ce genre de chose. Un banger peut-être ?).

Le mot de la fin

Si Voltaire considère le travail comme la plus grande consolation pour les malheurs inséparables de la condition humaine, c’est qu’il ne connaissait pas la VSPC et qu’il aurait dû faire craquer le compte CPF de Candide pour la VMCE !

Erwan GUILLEMARD

Sources

• VSPC : Guide
• VSPC : Guide Ports
• VSPC : Guide Permissions
• VSPC : VEEAMOne
• VSPC : VEEAM B&R
• VSPC : Guide API

1. VUL : VEEAM Universal License ↩︎
2. SIs : Système d’Information ↩︎
3. VSPC : VEEAM Service Provider Console ↩︎
4. VCC : VEEAM Cloud Connect ↩︎
5. NFR : Not For Resale ↩︎
6. MS O365 : Microsoft Office 365 ↩︎
7. B2B : Business To Business ↩︎
8. B2B2B : Business To Business To Business ↩︎
9. MCO : Maintient en Condition Opérationnel ↩︎
10. MSP : Managed Service Provider (Fournisseur de Services Administrés) ↩︎
11. API : Application Programming Interface ↩︎

Pourquoi commencer ce billet en étant si désagréable ? Parce que le sujet de la supervision, surveillance ou « monitoring » représente un enjeu capital pour l’activité des entreprises et il existe un large panel de solution payante ou gratuite sur le marché. Toutes ces solutions ne couvrent pas les mêmes périmètres de surveillance. Il est donc facile de multiplier les applications et de ne plus savoir où donner de la tête.

Personnellement, j’aime dissocier la surveillance d’un SI avec 3 types de solutions :

• Firewall et Liens
• Réseau Local
• Equipements Infrastructures Physiques et Virtuels

Dans certains cas, une 4 et dernière brique peut être amenée à être utilisée pour superviser des services applicatifs. Néanmoins, je ne suis pas un grand fan de ce niveau de surveillance (mais c’est mon opinion personnel) et il faut bien justifier le poste d’un Responsable Informatique dans sa société non ? (Je suis réducteur, mais un RSI ça sert à bien d’autre chose et ça ne fait pas que de boire des cafés toute la sainte journée avec Martine de l’accueil. Coucou Martine 🙂 ).

Je souhaite donc aborder le point de surveillance « Equipements Infrastructures Physiques et Virtuels » à travers une solution payante.

Soyons claire sur un point car je vois venir les détracteurs de la communauté GNU/UNIX et autres DAFs (bien trop proche de leurs budgets).

« Ouai mais il y a des solutions gratuites sous licence GNU qui font très bien l’affaire. En plus tu n’arrêtes pas de nous em*****r avec tes RHELs. VENDU ! »

Mon avocat à la barre, commis d’office me représente et assure ma défense.

« Mon client, tiens à préciser qu’il présentera une solution de supervision libre dans un autre billet car il est important de couvrir un périmètre similaire et plus flexible. Mon client s’engage dans cette démarche pour réduire sa peine si toutefois il est jugé coupable. Dans un second temps, il est important de se rapporter à la maxime « Le pas cher coute trop cher ». Une solution libre et gratuite c’est bien. Mais le jour où le MCO ne se passe pas comme prévu il est facile de passer un nombre d’heure conséquent. Les solutions payantes offrent un service de support et de correctif en cas de vulnérabilité critique. » CHEH ! Et en plus je vais tenter de vous convaincre que nous pouvons gagner ou économiser du MONEY MONEY.

J’ai donc décidé, d’après le titre de ce billet de continuer avec les solutions VEEAM, VEEAMOne.

Pourquoi le choix de VEEAMOne ? La solution est cross plateforme et permet d’avoir une bonne visibilité sur le socle de virtualisation, les ressources virtualisées ainsi que l’ensemble des éléments et environnement propres à la sauvegarde (VBO365, VDP). La cerise sur le gâteau reste la partie Business View, Reporting et Capacity Planning. Mais promis, je reviendrai plus en détail sur ces points bonus.

Je me garde également pour plus tard un autre article pour lequel j’ai besoin de VEEAMOne 🙂

Prérequis

• SE : Windows Server 2k19 et version ultérieures
• Apps : VEEAM B&R 12.x, VEEAMOne 12.x, VMWare/Hyperv
• Autres :
  • VEEAM B&R 12.x
  • License VEEAM Entreprise

Avant-Propos

Dans une logique de garantir un niveau de sécurité optimal, j’ai dans un premier temps longtemps pensé que l’ensemble des environnements de surveillance (supervision/monitoring) devaient être dans le même subnet que les éléments d’administrations ou de management. Maintenant, mon approche est différente. Je préfère dédier un subnet pour l’ensemble des solutions.

Mais pourquoi ? Je juge ces éléments sensibles. Ils donnent une bonne, trop bonne visibilité sur l’ensemble du SI. Admettons que la bulle de monitoring soit compromise, il nous suffira de restreindre totalement les flux réseaux ou à en limiter les flux depuis des ressources isolés. De plus, et cela se vérifie avec le temps certaines solutions de monitoring apportent des fonctionnalités d’actions sur les ressources sous surveillance ou de remédiations automatiques. (Mon dernier HP Tour Customer & Partner nous indique bien la tendance de l’IA et sa capacitée [monstrueuse ?] de traitement). Bref, ce n’est pas un outil à mettre dans toutes les mains, c’est un coup à être satellisé…

Théorie

Architecture & Best Pratices

Encore une fois, chacun voit midi à sa porte. Il est donc compliqué de définir une MO¹ empirique. Cela dépendra des technologies et solutions utilisées que ce soit en socle de virtualisation (VMWare, HyperV etc) et produits VEEAM (VBO MS365, VBR², VCC³ etc).

Mais commençons par le début. Qu’est-ce que contient VEEAM One et qu’a-t-il dans le ventre ?

VEEAM One se décompose de deux grandes parties. Une partie client et une partie serveur.

Clients

Comme on s’en doute, cela permet d’accéder aux données des environnements virtualisés ainsi que les données relatives à la sauvegarde, réplication et autres. Toutefois, nous distinguerons deux types de client.

Client Lourd : Son objectif est de permettre à travers la console d’accéder à l’ensemble des données de manière efficiente et d’avoir une vue globale sur notre infrastructure et d’interagir avec ce dernier selon les alertes remontées par les différentes sondes. Il sera nécessaire de déployer/installer le client sur le poste concerné et d’ouvrir les ports.

Client Web : A l’inverse, la console web est moins orientée « opérationnelle » au sens technique, mais plus au sens qualitatif avec l’élaboration de rapport, de tableau de bord et de définir l’évolution du SI (capacity planning, optimisation des ressources, optimisation des couts etc). Si les flux sont ouverts, il suffira d’accéder à ce dernier à travers un navigateur web à travers l’url https://monserver.contoso.lab:1239

Ce qui nous donne le schéma des flux suivants.

Donc si nous résumons, les choses. Le client lourd sera satisfaire les équipes opérationnelles et la partie client web les responsables / directeurs de services. Les jambes et la tête en sommes. 🙂

Dans son fonctionnement et c’est là l’une des forces de la solution. Le client lourd fonctionne sur la base d’une API. Ce qui implique que nous pouvons réaliser TOUTES les actions qui sont présents dans la console 😀 (Vous me voyez venir avec mes grosses charentaises ? )

Serveur

La partie serveur est bien plus complexe. De facto, les deux clients présentés précédemment sont présents sur le serveur

• VEEAM One Client
• VEEAM One Web Client

Ce qui est logique puisqu’il faut bien administrer la solution…

Toutefois, nous rencontrons également les rôles suivants :

• VEEAM One Server
• VEEAM One Database
• VEEAM One Agent
• VEEAM One WebServices

Dans le détail de chaque rôle, la partie Server va servir à la collecte des informations, des données et stocker ces dernières dans la Database afin de pouvoir par la suite les restituer sur l’action de l’utilisateur à travers les clients (web ou lourd). Il est possible de mutualiser la base de données VEEAMOne (MSSQL) avec d’autres produits. Toutefois je préfère ne pas mettre tous mes œufs dans le même panier et tenter de mutualiser mes BDDs, cela reviendrait à essayer d’additionner un veau avec des cigarettes…

La partie WebServices permettra comme nous pouvons nous en douter de garantir l’accès depuis un navigateur web au WebClient ainsi qu’à l’API.

C’est quoi la partie Agent ? Ne me dit pas qu’il faut se palucher le déploiement d’un agent sur les ressources que nous souhaitons surveiller ? Si c’est le cas, j’arrête ma lecture après ta réponse !

La partie Agent n’est pas à déployer sur toutes les ressources et heureusement. VEEAM One a été pensé pour être flexible ! La communication avec les applications de virtualisation se font soit par le biais de protocoles « classiques » ou par les APIs constructeurs.

L’Agent est nécessaire uniquement lors du monitoring, de remonter d’informations (logs) et d’effectuer des commandes de remédiations si nécessaire entre les serveurs VBRs et le serveur VEEAM One. Le guide, recommande son installation, toutefois il n’est obligatoire de déployer l’agent (personnellement, pourquoi ne pas le faire ?).

La partie Agent comporte deux modes. Un mode client (paramètre par défaut) ainsi qu’un mode serveur. La différence entre les deux se trouve dans l’exécution des commandes de remédiation qui ne sont présentes que dans le mode client. La partie serveur quant à elle va gérer les mises à jour des signatures et analyser les journaux VBR.

Et si nous réalisions une petite Map des différents flux ? 🙂 Naturellement, je ne compte pas réinventer la roue, mais juste mettre en avant ce que je vais implémenter plus tard. Pour le reste, il suffira de consulter le lien constructeur.

Comme pour le serveur VEEAM dans un billet précédent, une restriction des flux sortant vers l’extérieur est appliquée sur le serveur VEEAMOne. Ainsi, seul les URLs et NDDs habilités à communiquer avec VEEAM et MS sont autorisés.

Soit pour VEEAM One :

• Serveurs de mise à jour :
  • dev.veeam.com
• Serveurs de licences :
  • one.butler.veeam.com
  • download2.veeam.com

Okay, maintenant que nous voyons un peu plus clair dans nos différents flux, posons-nous la traditionnelle question du « le principe de moindre privilège ».

Access & Less Privileged

Cette partie (peu importe la solution à mettre en place) est un véritable casse-tête. La simplicité voudrait que nous attribuions les permissions root ou system pour avoir la paix.

« Regarde, ça fonctionne ! » J’aime à répondre à ça soit par le traditionnel « Peinture sur merde égal propreté » ou « Je travaillais comme ça quand mon patron m’a viré« .

Soyons sérieux deux secondes… VEEAM nous mache encore une fois le travail et nous allons voir en détail comment configurer les différents comptes avec les moindres privilèges. Cependant, je pense utile de nous remémorer que dans certains cas, il est obligatoire d’attribuer des permissions d’administrateur du domaine ou à privilège (sudo) et malheureusement nous ne pouvons pas faire autrement.

Dans ce cas de figure, il est difficile de faire autrement. Néanmoins, nous pouvons et je dirai même c’est notre devoir de mettre tous les artifices en place pour restreindre le périmètre d’exposition de ce type de compte.

Nous distinguons dans notre cas 3 accès à configurer. L’accès à l’application, l’accès à notre socle de virtualisation et notre infrastructure de sauvegarde.

1 – VEEAM BR : Infrastructure de sauvegarde

Dans le respect des bonnes pratiques, notre serveur VEEAM n’est pas joint au domaine. Nous avons besoin pour interconnecter VEEAMOne à notre serveur VEEAM d’un compte administrateur local.

Pourquoi ? Parce que VEEAMOne doit avoir les droits nécessaires pour déployer son agent. Comme présenté précédemment, il nous faut contraindre ce compte.

Typiquement, nous pouvons considérer ce compte comme une compte de service. Il nous faudra alors interdire les connections locales et distantes à ce compte directement sur le serveur VEEAM.

Attention, étant un compte local il sera nécessaire d’effectuer au minima une rotation du mot de passe une fois par an.

2 – VMWare : Infrastructure de virtualisation

Là, c’est plutôt simple, il suffit d’utiliser directement le compte root de notre VCSA⁴.

NO WWWWAAAAYYYYY !

RTFM⁵ mon gars ! VEEAM explique ce qu’il faut faire (ici). Je ne vais donc pas m’attarder là-dessus.

Là, il y a deux écoles. Je n’ai pas encore fait un article sur le sujet VCSA et personnellement je ne sais pas si j’ai envie d’en faire un car les interfaces changes tout le temps au gré des montées de version VMWare. Bref, il reste à définir si nous souhaitons utiliser des comptes locaux ou un compte du domaine pour interconnecter VEEAMOne à notre environnement VMWare.

Les raisons sont toujours les mêmes. Sécurité, Sécurité et Sécurité.

3 – VEEAMOne : Application

L’application se base également sur le principe de moindre privilège ainsi que sur le principe de RBAC⁶ (un truc vraiment cool pour les SysAdmins).

Nous retrouvons donc les schémas 3-Tiers classiques, utilisateurs lecture seul, utilisateur avec pouvoir et les utilisateurs administrators.

Sur notre serveur VEEAMOne, nous retrouverons ainsi les groupes locaux qu’il siéra à notre guise de peupler en respectant les bonnes pratiques et recommandation avec les ressources de notre domaine.

Pour enfoncer le clou, les rôles énumérés précédemment permettent les actions ci-dessous. A nous de mettre les bonnes ressources techniques en face du bon profil.

Rôles	Permissions
VO Read-Only	Accès à la surveillance des données en lecture seule Accès à la génération de rapport
VO Powered	Accès à la surveillance des données Accès à la génération de rapport
VO Administrator	Accès à l’ensemble de la plateforme Accès à l’administration des données Accès à la génération de rapports Modification de la configuration VEEAMOne

Licensing

Pratiques

Nous considérons que le serveur Windows a été durci au préalable et que nous possédons un serveur à jour.

Nous avons également téléchargé en amont les sources (iso) de Veeam One.

Nous ne traiterons ici que de l’installation d’un server VEEAMOne « AllinOne » (car j’ai un petit lab). Mais il est possible d’envisager un déploiement 3-Tiers (VEEAMOne Server, MSSQL Server et VEEAMOne UI). Je propose quelques choses de standard (car il faut sur un petit LAB se satisfaire du nécessaire et être heureux) sur la base de VEEAM BR, ESXi⁷ et VCSA.

Installation

Nous partons donc du principe que notre serveur Windows est déjà configuré et joint à un domaine (oui oui, j’ai bien écrit joint à un domaine). Que nous avons une appliance vCenter (joint ou non au domaine) ainsi qu’un serveur VEEAM BR (non joint au domaine et préalablement durci et conforme aux recommandations VEEAM.

Les prérequis en termes de ressources doivent être les suivantes (pour une Single Server):

• OS : WIN10, WIN11, WS 2012 à WS 2022
• CPU : 4 cores (minimum)
• RAM : 8 Go (Minimum) / 16 Go (Recommandé)
• Disk : 50 Go pour la SGBD MSSQL et VEEAMOne DB
• Network : 1 Gbps minimum

Top à la vachette, démarrons l’installation !

1 – You are a wizard Veeam ONE !

2 – Server or client ?

3 – Licenses & EULA

4 – License bite ! (Ou restez en Community Edition)

5 – VEEAM One Service Account (si si ombre !)

6 – System Check… Hold on 2 minutes

7 – Install or not 😀 (Customize)

8.0 – Customize, Choose VEEAM Components

8.1 – Customize, Database

8.2 – Customize, DataLocations

8.3 – Customize, Mode

8.4 – Customize, Ports

8.5 – Customize, Resume & Install (sure ?)

9 – Install ongoing, please offer me a coffee <3

10 – CONGRATULATION

A prononcer façon Smash Brosh 🙂

Configuration

Lors du premier lancement du client VEEAMOne, nous allons être invité à configurer l’application. Il faut comprendre par configuration le paramétrage général du serveur. Pour ce qui relève de la configuration des autres vues ou fonctionnalités, cela relèvera d’une partie dédiée dans cet article ou d’un article à part entière (je n’ai pas encore décidé).

De la sorte et je pense qu’il est utile de le souligner une nouvelle fois, un système de supervision et de monitoring sans être notifier reviens à commander un steack frites alors que l’on aime pas les frites et que l’on est végétarien. Hé ben c’est con ! Configurons alors les notifications.

1 – SMTP un incontournable !

Nous commençons à avoir l’habitude avec les solutions VEEAM de configurer les notifications. C’est exactement la même chose que pour VEEAM BR, à l’exception que l’IHM⁸ est d’une couleur différente.

M’autorisez vous à passer cette partie ? Naturellement car je fais ce que je veux 🙂 Le seul point, bien penser à ouvrir les flux outbounds concernant le protocole utilisé. Sinon ba ça marche pas et ça ne court pas non plus… (Il est comique le garçon…)

2 – A qui le postier doit il délivrer le courrier ?

Dans ce cas, nous pouvons ajouter plusieurs adresses mails en destinataire des notifications selon l’état des notifications (Toutes, les erreurs et avertissements, les resolved etc).

Toutefois, cela pose un problème car si nous souhaitons notifier qu’une équipe particulière sur certaines ressources, cela va être difficile de se coltiner toutes les notifications de l’infrastructure et donc d’être pollué…

Il faut voir ce paramétrage ci à destination de l’équipe Cloud, Services Hébergés et autres fiches de poste. Concernant les notifications plus ciblées à destination d’équipe spécialisée, je reviendrai dessus dans la partie Business View.

3 – Politiques de notification

Pour cette étape, je suis un peu un SysAdmin sans personnalité car je vais laisser les paramétrages par défaut.

Il est possible de définir et de modifier un template. Dans mon cas d’usage, je trouve (et encore une fois il va nous dire que c’est son avis personnel…) que ça fait le taf.

4 – SNMP

Encore un classique de la supervision. Qui dit supervision dit log et donc SNMP⁹. Cela permet d’avoir une bonne visibilité de son réseau, des équipements et de l’état de santé de ces derniers.

Je ne l’utilise pas.

HAAAANNNN, NANI !!!!

J’ai une excuse. Dans un contexte professionnel, je préfère utiliser les solutions propriétaires. L’inconvénient, c’est que cela à un coup. Néanmoins, je pense qu’il serait temps de regarder d’un peu plus prêt cette fonctionnalité de collecte.

5 – ITSM : ServiceNow

Et si nous cherchions un peu d’efficience pour notre infrastructure, les équipes opérationnelles ? L’un des rêves d’un SysAdmin (surtout le mien) reste d’intégrer les alertes dans la solution ITSM¹⁰ afin de pouvoir traiter de manière pro-active les alertes systèmes.

VEEAMOne propose de s’interconnecter à la solution ITSM ServiceNow. M***e pas de bol je n’utilise pas cette solution. Donc je passe mon tour…

« Tristesse, ton petit cœur doit saigner et tu dois roter du sang en boule sur ton paillasson ? »

Hé non ! Si VEEAMOne ne propose pas de passerelle avec la solution ITSM que j’utilise (ITOP pour ne pas la nommer), les deux solutions possèdent une API¹¹. Vous voyez où je veux en venir. 🙂

Je prépare cette introduction depuis longtemps et j’espère vous présenter mon connecteur dans le prochain article. Je ne suis pas vache, je vous lâche un petit teasing <3

6 – Le puit de Log

Le puit de log… Fonctionnalité que je n’utilise pas non plus. Mais sur laquelle je devrais me pencher.

Garantir un historique des alarmes déclenchées et centraliser ces dernières seraient vraiment sympa. Toutefois, je rencontre une problématique. Je n’ai pas ce jour mis là main sur une solution libre qui soit facile d’administrer et de maintenir. Libre ne veut pas dire gratuit que nous nous entendons bien.

Par exemple, j’ai utilisé la solution GrayLog. Nous sommes vite limités par la licence communautaire sur le notre de flux journalier échangé. Il suffirait de prendre la CB est hop le tour est joué.

1-0 pour la solution

J’ai voulu mettre à jour la plateforme et j’ai tout cassé. Il suffirait de passer en SaaS chez l’éditeur comme ça plus de problème de MCO.

2-0 pour la solution

Pour le coup, je demande la VAR. Je ne suis pas fan de l’hébergement en SaaS dans ce cas précis. L’arbitre accorde donc 1-1, balle au centre…

Conclusion, il faut que je torture encore quelques cellules grises dans mes travaux nocturnes pour étudier ce point.

7 – Récap

Le petit récapitulatif, comme nous avons l’habitude de l’avoir chez VEEAM. Je trouve cela d’une simplicité et d’une efficacité remarquable. Chose que nous n’avons pas toujours sur d’autres solutions.

Tu vas vraiment nous faire croire que t’as pas d’action chez VEEAM ?

La configuration terminée, nous pouvons admirer notre console vierge et vide de toutes données. Il faut l’avouer, il y a là un côté tristoune. Je rassure, pas pour bien longtemps.

Virtual Infrastructure

La vue Virtual Infrastructure va nous permettre de suivre l’intégralité de l’état de santé ainsi que les évènements de notre SIs depuis le socle de virtualisation jusqu’aux SEs des machines virtuelles.

Comme souligné précédemment, l’objectif est d’être proactif face à un dysfonctionnement d’infrastructure ou d’anomalie sur un serveur virtuelle en production.

VEEAMOne prend en charge les produits suivants, VMWare, VMWare Cloud Director, Microsoft Hyper-V.

Un exemple ci-dessous d’ajout d’une appliance VCSA.

VMWare

1 – Add Server

Sous Virtual Infrastructure, faire un clic droit et ajouter un nouveau serveur.

2 – VMWare Connection

VEEAMOne nous demande si nous souhaitons ajouter une appliance ou un hote directement. Renseignons le nom DNS de notre appliance.

3 – Credentials

J’ai fait le choix (pour l’instant) de ne pas binder mon appliance VCSA à mon AD. C’est pourquoi j’ai créé un compte local svc.veeamon@vsphere.local sur mon appliance avec les permissions nécessaires.

Naturellement, il ne faut pas oublier d’ouvrir les ports interlan dans le cas de segmentation des réseaux.

4 – Summary

Le traditionnel rappel et voilà notre appliance VEEAMOne connecté à notre VSCA.

Veeam Backup & Replication

La vue Veeam Backup & Replication comme son nom l’indique va traiter de la sauvegarde et de l’ensemble des jobs de protection. Si la vue d’infrastructure vient à donner une bonne visibilité de notre infrastructure virtuelle, nous aurons avec cette vue ci une visibilité sur l’ensemble de notre infrastructure VEEAM.

Depuis l’état du serveur de sauvegarde, des jobs en passant par la charge des proxies VEEAM ainsi que l’utilisation des repos de sauvegarde ainsi que le détail des chaines (full et incréments).

Lors de la présentation de la solution dans la partie « Théorique » le déploiement d’un agent de supervision permettra de réaliser en plus de la remontée d’informations la possibilité de réaliser des actions de remédiations.

1 – Add Server

M’sieur, un petit clic droit sur Add Server 🙂

2 – VEEAM BR Connection

Nous renseignons comme précédemment pour l’ajout d’une ressource d’infrastructure le nom DNS de notre serveur VBR. Il est également possible d’intégrer un serveur VB Entreprise Manager.

Je n’utilise pas ce dernier et pourtant c’est le manque de temps en ce moment qui vient ralentir ma boulimie intellectuelle et m’empêche d’avancer.

Je coche volontairement l’installation de l’agent VEEAMOne pour avoir les actions de remédiation et d’avoir le relevé de journaux d’événements ainsi que son analyse.

La seconde coche permet de joindre notre serveur VBR à notre serveur VEEAMOne et donc avoir directement dans la console VBR les informations et performance de notre infrastructure de sauvegarde. (Franchement, il ne faut pas hésiter C’est du read only pas de risque 🙂 )

3 – Credentials

Renseignons le compte local de notre serveur VBR qui va permettre le relevé d’installation. J’ai déjà expliqué les actions préconisées pour garantir un niveau de sécurité acceptable.

Toutefois, rappelons-nous qu’il est nécessaire d’avoir les droits d’administrations pour que VEEAMOne puisse installer l’agent VEEAMOne. Sans quoi vous aurez le joli message ci-dessous <3

4 – Summary

Le récap, le récap, le récap !

Une fois ajoutée, nous obtenons une interface vide. Pas de panique, c’est normal. Ce n’est pas un bug.

En regardant l’image précédente, nous remarquons en bas à droite que l’infrastructure est en cours d’import. Ah ouf ! Il en sera de même avec l’installation de l’agent et la remontée de log. Il faut faire preuve de patience et non pas cliquer 50 fois sur le bouton d’impression au risque de griller notre imprimante. Les données remonteront d’elles-mêmes comme présenté dans le début de cette partie.

Dans la même logique, si nous avons coché l’accès aux tableaux de bords dans la console VBR, il sera nécessaire d’attendre l’intégration des datas.

Dans notre console VBR, dans l’onglet Analytics nous retrouverons les informations sur la planification, durée des jobs. La sollicitation de telle ou telles ressources, l’espace de stockage de nos repos ainsi qu’une vue globale MENSUELLE de nos jobs de sauvegarde (et dire qu’avant cette fonctionnalité je me suis fait iéch à faire des extracts et tableau xlsx…. Je les utilise toujours pour mes indicateurs hein 😉 ).

Sinon, il est tout à fait possible d’avoir les mêmes informations dans la WebConsole VEEAMOne. Si vous savez, le truc qui commence par https et se termine par 1239 du type https://monseveur_VEEAMOne.contoso.com:1239.

Business View

Cette partie est intéressante pour celui qui sait la manier. Personnellement j’ai mis un certain temps à comprendre son mécanisme et l’intérêt que cet onglet peut apporter.

Dans cette « Vue Affaire », il va nous être possible de faire presque quasiment tout ce que nous souhaitons en termes de filtre et d’identification sur les ressources VMs, Hosts, Datastores et Clusters.

Cette vue va donc nous permettre de répondre à des problématiques financières et techniques.

• Financière : Afin d’avoir un rapport précis des ressources consommées par un service (SaaS) ou d’infrastructure (IaaS). D’assurer l’efficacité et l’efficience de notre infrastructure afin de définir si nous sommes en over-capaciting ou under-capaciting. Investir, pas investir ? Prospecter, pas prospecter ? (Mon PDG répondrait sans hésiter OUI ! et il a bien raison)
• Technique : Pour garantir un état de santé par service, la présence de snasphot, la possibilité de notifier que certaines ressources aux bonnes équipes… J’en passe car la liste pourrait être longue.

Sincèrement, je vois la partie Business View comme le pivot et point le plus important pour maitriser son budget ainsi que son SI.

Bon hormis le fait que je laisse l’impression que mon exploitation n’est pas faite à la maison. Objection lecteur ! Mon MCO est fait. Il se trouve que l’erreur disque sur mon second AD est lié à la sauvegarde Windows et que je n’ai pas acquittée cette dernière (Oui j’ai bien écrit Acquitté et non Résoudre).

Mais bon entre nous, un système de monitoring sans erreurs et avertissements ça serait d’un ennui non ?

Par défaut nous avons la vue ci-contre. Il sera alors possible pour nous de définir des nouvelles catégories pour chacune des familles présentée plus tôt. Nous allons réaliser les catégorisations selon 3 critères. *** Single Parameter *** Muliple Conditions *** Grouping expression

Je pense que pour bien comprendre la puissance de ces trois méthodes de catégorisation, il faut que nous nous attardions dessus.

1 – Single Parameter

Comme présenter rapidement plus haut, nous allons catégoriser une ressource sur un groupe d’objet qui se base sur une propriété du type concerné (VMs, Hosts, Datastores ou Clusters).

L’étape qui suit vous demandera si vous souhaitez créer un tag sur l’environnement vSphere ou non. Personnellement je n’utilise pas les tags sur ce genre de catégorisation.

Je reviendrai plus bas sur la notion de tag au sens VMWare du terme car il y a des subtilités à assimiler.

Le cas d’usage pour cette catégorisation (à mon sens) et de filtrer, identifier rapidement des ressources sur des actions, états simples. Je dirais donc parfait pour l’administration et le MCO.

2 – Multiple Parameter

La catégorisation mutli-paramètres va nous offrir plus de possibilité quant à la possibilité de trier et de sélectionner les ressources que nous souhaitons obtenir.

Comme nous pouvons le constater ci-dessous, la liste des critères de ciblage est plutôt conséquente. Passant des paramètres systèmes aux éléments d’infrastructures en réalisant une halte par la sauvegarde. Nous retrouvons également les classiques opérateurs de comparaisons (Equals, Not Equals, Contains, Starts/Ends with…) par rapports à une valeurs.

Comme vu ci-dessus, j’ai choisi ici d’identifier l’ensemble des VMs contenu dans les VM Folder qui contiennent les noms IaaS et SaaS. Il faudra comprendre VM Folder au sens VMWare du terme lors de la création d’un dossier dans la vue VMs & Templates de notre VCSA naturellement.

Contrairement au cas de catégorisation précédent, je vais choisir de créer les tags vSphere. Ainsi, les ressources (VMs) qui se trouvent sous le répertoire parents IaaS se verront identifiés comme un type IaaS. Il en sera de même pour le type SaaS.

C’est là que le sujet commence à devenir intéressant. Car comme évoqué plus tôt, nous commençons à travailler la donnée de notre infrastructure en donnée financière.

Quels est la part de notre infrastructure consommée et allouée à nos services BaaS, SaaS, IaaS, ect… Quels est la part de notre SI allouée à son fonctionnement et la production ?

Je vois dans déjà dans le fond de la salle les yeux pétillants des DAFs, DCs et autres dirigeant d’entreprises. Oui, nous SysAdmins nous savons vous faire faire des économies et apporter un vrai valeur ajoutée <3. (Je développerai ce point dans la conclusion).

3 – Grouping Expression

Je crois que c’est la méthode de catégorisation que je préfère car elle permet de faire presque tout ce que l’on souhaite. Cette vue est orientée « développeur » (le style old school VisualBasic).

Ci-dessous, un exemple avec la catégorie VMs with Snapshots qui va selon la date des snapshots nous offrir une vue et métriques sur les snasphots présent si c’est la durée de vie de ces derniers est inférieurs à 1 jour, 7 jours, 30 jours. Dans cet usage, cela permet au SysAdmin d’avoir une granularité sur une tâche bien distincte et dans certaines situations maintenir le curseur sur ce qui est acceptable ou non.

Au-delà de cette possibilité, il est également possible de gérer (créer, pas supprimer hein) les tags vSphere de manière dynamique selon l’évolution de l’infrastructure de notre arborescence VMs & Templates. Ainsi, admettons que nous créons une nouvelle bulle SaaS ou IaaS sous cette même infrastructure, l’ensemble des ressources qui se trouvent sous ce dernier sera identifié comme IaaS ou SaaS et du nom du répertoire. Pratique donc par la suite de sortir des indicateurs de ressources et de faire une facturation à la carte (refacturation interne ou facturation à un client final).

Pour bien comprendre l’intérêt des tags vSphere générés par VEEAMOne, pourquoi ne pas se lancer un petit RVTools des familles ? 🙂

C’est un coup des Indiens Lucky Luke, il y a des flèches partout !

Au delà de mon humour douteux (ainsi que mon admiration pour Terence Hill quand j’étais jeune garçon), nous avons là un outil puissant. La création des tags par catégorisation au délà du client et de la solution VEEAMOne est exploitable dans VMWare. Donc, il va nous être possible avec de l’huile de coude et un peu de rigueur d’établir des métriques et rapports sur l’évolution d’une bulle, d’un service. Et pourquoi pas établir un outil de capacity planning ? Tout devient possible.

J’avais pour projet de créer une petite application sur un moteur SQLite ou MariaDB un outil de suivi des ressources sur 13 mois glissants. Malheureusement, pour moi il faut faire du web…

Oui, on sait, c’est une étape traumatisante de ta vie. Tu ne voudrais pas débuter une thérapie et arrêter de nous briser les noix avec ça ?

Oui, promis je vais y penser. Mais au délà du traumatisme, il faut du temps et difficile de me cloner (et je ne suis pas certain que cela soit une bonne chose). Toutefois et dans le cadre professionnel, j’ai développé un fichier excel qui fait le taf mais comme tous fichiers excel, ce dernier ne connait que son maitre. C’est pour ça qu’une petite application web serait sympa. Et je crois qu’il est important de souligner que les fichiers excel pour faire tout et rien. C’est has been maintenant car il faut faire du PowerBI… Je pense que je ferai un article là-dessus quand j’aurai redéveloppé une solution plus simple (en gros sans code en VB et des formules de 5 km de long).

J’ai déjà bien abordé le sujet des tags. Il y a néanmoins une chose importante à savoir sur l’utilisation de ces derniers. L’application des tags vSphere (création) peut prendre un temps certain c’est pourquoi il faut être patient (selon la documentation cela peut prendre jusqu’à 3 heures et plus selon la taille de l’infrastructure). De plus il sera nécessaire de se rendre dans la console WEB pour réaliser une collection des données.

Par défaut cette dernière est définit quotidiennement à 03:00 AM.

J’ai personnellement modifié cette dernière pour qu’elle se lance toutes les 3heures. Attention à vos performances. Il est également possible de lancer une collecte de données manuellement.

VEEAM Report

La partie Report se passe sur le client Web (https://monVEEAMOne.contoso.lan:1239). Une fois connecté, c’est dans la partie Dashboard et Reports que nous allons avoir les outils les plus pertinents.

Dashboard

Dans le tableau principal, nous allons retrouver les catégories par défaut. Il sera toutefois possible d’ajouter des « tuiles » avec des vues personnalisées. Je trouve que les tuiles présentes suffisent largement à mon activité. Je pense qu’il est important de présenter chacune d’entre elles. Pourquoi ? Parce qu’il est facile de ne pas comprendre les informations présentées et de passer à côté de métriques et d’éléments qui faciliterons la prise de décision technique et financière. 🙂

1 – Veeam Backup & Réplication

Sans grande surprise, nous retrouvons ce que nous avions déjà vu précédemment dans VEEAM BR dans la rubrique Analytics. Normal puisque VEEAMBR vient chercher les métriques dans VEEAMOne qui vient lui aussi les chercher dans VEEAMBR.

La boucle est bouclée.

Blague à part et j’adore le phénomène démo. J’ai la majorité de mes jobs qui ne passent pas. Cela se retranscrit dans mes charts. A moi de résoudre le problème.

Merci qui ? Merci Jacquie et … Non un peu de sérieux ! Merci VEEAM One <3

2 – HeatMap

Comme pour la partie précédente, nous retrouvons également cette partie dans la console VEEAM BR.

Si la première partie de l’accordéon concernait les jobs et l’état des jobs, là nous sommes plus sur les performances et usages des différentes ressources de l’infrastructures VEEAM. La notion de dégradée sera utilisée de vert à rouge selon l’usage et la sollicitation des différents composant VEEAM.

3 – vSphere Trends

J’avoue que cette vue n’est pas bien parlante dans mon cas car je ne possède pas de Cluster VMware.

Toutefois, cette vue va permettre d’afficher les tendances de notre cluster concernant l’utilisation des différentes ressources. Parfait pour identifier les pics et évolution du SI sur une période.

4 – vSphere Alarms

L’une de mes vues favorites. Pourquoi ? Car elle indique et offre une visibilité totale de l’état de vie de notre SI. L’évolution du nombre d’avertissements ou d’erreurs critiques.

Au déla des métriques quantitatives, ces métriques sont identifiées par catégories. Ce qui facilite grandement et facilement les actions prédictives vis à vis d’une panne d’infrastructure logique ou physique.

5 – vSphere Hosts & Clusters

Nous retrouvons comme dans la tuile numéro 3 – vSphere Trends le même constat aussi triste soit-il dans mon cas. Pas de cluster, pas de métrique…

Ce qui n’est que partiellement vrai. Puisque nous constatons dans cette vue la tendance de consommation à la hausse ou à la baisse des ressources d’un hôte VMWare ou d’un cluster. Cela peut donc se traduire par, à la hausse ou en sous-évaluation de l’infrastructure et un besoin de renforcer cette dernière. A la baisse, une infrastructure surévaluation de l’infrastructure vis à vis de son usage quotidien.

Dans la logique, je dirai que nous devons tendre vers une constante en acceptant un léger taux de variation et non à une fonction croissante, décroissante.

6 – vSphere Datastores

Un incontournable ! Pour les nostalgiques des ayatollahs de l’exploitation à travers les RVTools. Nous retrouvons l’évolution des datastores à la hausse comme à la baisse sur l’espace disponible. La visibilité des vmdks quant à l’espace consommé et l’espace disponible. La latence des différents datastores (impeccable pour la prédiction d’un disque qui va lâcher), les IOPS pour chaque datastore.

Que dire de plus. C’est merveilleux, c’est extra !

7- vSphere VMs

J’ai l’impression de me répéter… Après les datastores et la partie hosts & clusters, maintenant c’est au tour des virtuals machines.

Cette fenêtre permet d’identifier assez rapidement si une VMs nécessite l’ajout de ressources supplémentaires ou une surallocation. Elle permet également dans un certain contexte d’orienter un potentiel dysfonctionnement de type hardware, ou software (mauvaise configuration d’une application métier par exemple comme ça au hasard).

8 – vSphere Infrastructure

De nouveau un petit coup de pouce sur les ressources disponibles et sur les ressources consommées.

Parfait pour éviter l’overprovisionning, le balloning 🙂

9 – vSphere Capacity Planning

La vue crainte par les SysAdmins, DSI et DAF.

Cela correspond à partir des tendances d’usage en une projection de la durée de vie de l’infrastructure et donc de son renouvellement ou de sa consolidation en ajoutant des ressources supplémentaires.

En gros :

Exprimer le besoin, Présenter le devis, Faire valider l’investissement, Obtenir le chèque signé, Mettre en production les ressources. Simple non ? :p

Pour le reste, il suffit d’un peu d’imagination et d’établir les métriques que l’on souhaite obtenir et pourquoi pas générer les rapports et se les faire envoyer dans notre boite mail ?

Le conseil que je donnerai, c’est de se perdre dans le choix des possibles qu’offre VEEAMOne et de garder en tête « Est ce que cela m’apporte une valeur ajoutée business et technique ?« . Si c’est le cas alors vous êtes, nous sommes sur la bonne voie 🙂

Report

La fonctionnalité du Report et de générer des rapports. Merci Capt’aine Obvious…

Oooooh ba si on ne peut plus rigoler… Pour faire simple nous allons être dans la capacité de générer des rapports précis sur des thématiques précises :

• Charge de l’infrastructure
• Facturation VEEAM Backup
• Supervision VEEAM Backup
• Optimisation vSphere
• Capacity Planning
• …

Il suffit de regarde l’interface.

Prenons deux exemples. L’un orienté pour le business et l’autre pour la technique.

1 – Business – Facturation VEEAM Backup

Admettons que nous souhaitons vérifier ce que nous devrions facturer à un client des bulles T0 et T1 mensuellement. Et que le cout de la sauvegarde est de 24,79€ du TB.

Nous configurons les paramètres en sélectionnant nos différents tags T0 et T1 ainsi que les jobs concernés. Nous précisons la période sur le mois en cours. Puis nous cliquons sur Preview en haut à gauche.

Et tadam ! Voilà notre rapport (sur deux pages).

Page 1	Page 2

Franchement, que demander de plus ? Nous avons même inclus le cout de notre repository (multipliant le cout par 4). Et nous voilà avec le cout pour le mois en cours. A oui nous sommes le 01 Octobre…. J’ai peut-être eu la main lourde sur le prix unitaire au TB 🙂

Bref, pas mal pour mettre en évidence le ROI¹² <3

2 – Technique – Surdimensionnement des VMs

Nous allons vérifier par le biais d’un rapport que nos ressources allouées sur notre infrastructure ne sont pas sous/surprovisonnées. Dans le cas contraire, il faudra engager ou non des actions.

On valide une nouvelle fois sur Preview, puis on tourne trois fois sur sa chaise de bureau.

Page 1	Page 2	Page 3

Alors c’est super nous pouvons faire des économies en réduisant considérablement les ressources !

Tout doux bijoux !

Ce ne sont que des recommandations, il ne faut pas prendre tout pour argent comptant. L’évaluation est une moyenne et viens prendre en compte les piques de suractivités. Mais ce n’est pas pour autant qu’il ne faut pas réfléchir. Dans le cas de mon lab, les ressources se (je ne sais pas si je peux me permettre cette expression… Allez… Vous ferez mon procès ultérieurement) touchent ! Mais si nous ciblons une heure bien précise (genre sauvegarde par exemple) les recommandations ne seront pas les mêmes. Il est également important de bien faire attention au paramètre de génération du rapport.

Le rapport sera différent si nous considérons le compteur de vRAM en « Active » et « Consumed ».

Pourquoi avoir pris ces deux exemples ? Tout simplement pour montrer la dimension économique et technique de la supervision. Dans un monde de brut où nous licencions au vCPU, il est important de maitriser l’allocation des ressources. Il est également important de ne pas mettre en péril son organisation quant à la sauvegarde vis à vis de son activité tout comme mettre celle-ci en péril parce que cette dernière représente un cout certain.

Dans un contexte particulier de Service Provider (Fournisseur de Service), il est également important d’avoir un curseur le plus juste possible entre la facturation client et le service délivré sans offrir des ressources sans le vouloir et vendre à perte.

Les rapports, c’est la vie.

Conclusion

La supervision et l’ensemble des outils qui sont mis à disposition par VEEAMOne permettent d’unifier et de rendre la Technique au service de l’administration et de la stratégie financière. Une telle synergie ne doit pas être négligée et doit être mis en place.

De par mon expérience de responsable informatique auprès des clients que j’ai accompagnés, l’informatique et la gestion du SI sont toujours trop onéreux. Menant souvent à l’accumulation à terme d’une dette technique conséquente qui devra être acquitter plus tard. L’erreur qui est faite à ce moment par le responsable informatique est de ne pas avoir présenté les choses sous le bon angle.

Mais alors qu’est ce que le bon angle pour éviter la traditionnelle tragédie racinienne ou choix cornélien ?

Je pense que pour répondre à cette question, il faut que le Responsable Informatique prenne de la hauteur pour présenter le SI sans aborder de terme technique pour commencer et présenter des métriques ainsi que des projections sur l’évolution du SI.

Je fais un aparté, sans déco**é une fois, j’ai un DG qui a explosé en réunion à la suite de la prononciation du mot switch xD. La personne qui avait énuméré le mot a dû donner une définition. Chose qu’il a fait en parlant de commutateur… Le DG a explosé de nouveau. Mon collègue à côté fini par intervenir (avant un nouvelle intervention de la personne en interne) en expliquant « c’est une multiprise réseaux ». Le DG a compris sans problème. 🙂 Aparté terminé.

De rapprocher ce dernier sur l’activité de l’organisation et de définir les axes d’évolutions possibles. Un plus serait de soutenir un budget prévisionnel ainsi qu’un plan d’amortissement. Présenter de cette façon en tenant compte du besoin et de l’activité de l’organisation va faciliter les décisions et permettre à la direction d’avoir une vision claire de son informatique. Mais pour en arriver là, il est nécessaire de savoir ce que nous souhaitons surveiller et interpréter. N’oublions pas que si les diseuses de bonnes aventures lisent dans les boules de cristal, les membres de la direction lisent dans les fichiers excels et les SysAdmins dans les logs. <3

Je pense qu’il est donc primordiale d’utiliser VEEAMOne (non je n’ai toujours pas d’action chez VEEAM) pour répondre aux besoins du quotidien d’un SysAdmin ainsi que pour la stratégie d’une organisation. Il faut cependant de la rigueur et ne pas se disperser dans les catégorisations et l’élaboration des rapports. L’objectif étant de maitriser son SI, se prémunir des pannes et de garantir une stratégie d’investissement financier.

VEEAM ? One ! Raviolis ? Je relance avec une requête CIM. Je contre avec un arbre ! Dommage, il y avait un DAF en diagonal. Aïe Aïe Aïe, votre SI va chercher son solde de tout compte. Mais vous gagnez un pins de Marlène SCHIAPPA. Alors heureux ?

Erwan GUILLEMARD

Sources

• VEEAM One : Guide
• VEEAM One : Guide – Ports
• VEEAM One : Supported Virtualization Platforms
• VEEAM One : Supported VEEAM BR
• VEEAM One : Supported System
• VEEAM One : Sizing
• ITOP
• RVTOOLS

1. MO : Mode Opératoire ↩︎
2. VBR : VEEAM Backup et Réplication ↩︎
3. VCC : VEEAM CloudConnect ↩︎
4. VCSA : VCenter Server Appliance ↩︎
5. RTFM : Read The Fucking Manual (please 🙂 ) ↩︎
6. RBAC : Role Based Access Control ↩︎
7. ESXi : Elastic Sky X Integrated ↩︎
8. IHM : Interface Homme Machine ↩︎
9. SNMP : Simple Network Management Protocol ↩︎
10. ITSM : Information Technology Service Management  ↩︎
11. API : Application Programming Interface ↩︎
12. ROI : Return On Investisment ↩︎

À L.LU , mon étoile, le plus parfait des sciences.

Si hardened est un bien vilain mot, immuable ne vaut pas mieux. Et à chaque fois que j’ai évoqué ces termes à quelqu’un j’ai dû donner une définition.

Qui demeure inchangé, ne subit pas ou ne paraît pas subir de modification pendant un temps relativement long

Dictionnaire Larousse

Le titre de ce billet ainsi que les multiples appels du pied du précédent article technique sur VEEAM, ne laisse pas de doute quant au fil conducteur de ce feuillet technique.

Nous aborderons ici la sauvegarde dit immuable ou inaltérable pour répondre à l’un des bonnes pratiques et recommandations de la sauvegarde.

Prérequis

• SE : Ubuntu Server 20.04 LTS
• Apps : VEEAM B&R 12.1
• Autres :
  • Environnement GNU LINUX Durci
  • VEEAM B&R 12.1

Avant Propos

Le pourquoi du comment de la sauvegarde Immuable ou Hardened vient d’un constat. Avec l’évolution depuis 2015 des virus de nature cryptographique, les attaquants ne s’amusent plus à effacer toutes traces d’un SI (car c’est moins drôle de nous jours ce coup de HOCUS, POCUS) mais de chiffrer ce dernier de virer les sauvegardes et de tenir une situation de prise d’otage (sans permettre un syndrome de Stockholm) et de chantage à divulguer les données d’entreprise sur le Dark & Deep Web. Toutefois, les rançons demandées dans la grande majorité des cas sont indexées sur le CA des sociétés piègés ou de la nature critique des données extorquées…

Alors il y a bien des techniques, mécanismes pour assurer une sauvegarde hors ligne. L’une des plus vieilles à ma connaissance reste la sauvegarde sur bande (Tape). Même si cette dernière comme le langage COBOL était amené à mourir car dépassé par notre évolution technologique. Force est de constatée, que cette technologie reste l’un des mécanismes fiables pour assurer une sauvegarde hors ligne. Il y a bien la sauvegarde sur média externe (pour ne pas dire HDD) qui fonctionne très bien. Mais ce genre de solution, voyez vous, ça rentre parfaitement dans le cadre d’une PME ou d’un SI local (pour ne pas dire OnPremise) qui n’a pas un SI avec des fluctuations de stockage à la hausse. Pour résumer, comment assurer la sauvegarde déconnecté dans un datacenter ou une infrastructure qui peut être amené à grossir rapidement ?

Je vois (c’est mon point de vu. Si vous n’êtes pas d’accord, je suis prêt à échanger sur le sujet) les avantages et inconvénients suivants :

« Ouai mais qu’est ce que tu fais du Stockage Objet, des buckets toussa toussa ? C’est bien inaltérable non ? »

Oui et non. Je n’ai pas encore eu le loisir de jouer avec les stockages objets S3 ou d’autres technologies qui se base sur ce standard. Avant toutes choses, il est je pense important de se poser la question de la nature des données que nous souhaitons sauvegarder. Il y a des avantages et des inconvénients au type de sauvegarde en blocks et objets. Certains types de données sont plus favorables à l’un ou l’autre des technologies de sauvegarde. Bref, spoiler c’est un billet en réflexion et sur lequel je me dois de me motiver (à coup de grand coup de pied au c*l car je suis à l’ouest du néant en ce moment).

Bref, si nous rattrapons notre fil d’ariane, je vois dans une cloud privé un facilité à choisir la sauvegarde hardened sur un serveur dédié. Si le SI augmente et que nous devons ajouter des ressources des nœuds supplémentaires, j’ajoute un nouveau repo. Si mon SI diminue, je recycle mon serveur de repository pour un autre usage. Seul hic, cela demande de bonnes compétences en GNU/LINUX (mais cela est il vraiment un frein ? Les compétences ça s’acquiert non 🙂 ).

Pour ce billet, je vais tricher un peu. N’ayant pas de repo physique sur mon lab (et que mon lab tiens à mon poste perso), nous partirons d’un serveur virtuel qui « jouera » le rôle de notre repo physique.

Ce dernier sera sur un SE¹, Ubuntu Server 20.04 LTS² durci préalablement selon le guide de recommandation de l’ANSSI³. Un disque pour la sauvegarde est dédié, monté et formaté en XFS⁴.

Euh Question M’sieur GUIGUI ! Toi qui nous rabache du RHEL matin, midi et soir. Pourquoi d’un coup tu pars sur un Ubuntu ? Ca t’a pris comme un envie de ch**r de changer de distrib ?

A cette question, je répondrai tendrement qu’il s’agit simplement et tout bonnement des prérequis de l’éditeur VEEAM. Sinon, la question n’aurait pas eu lieu :rhel: (pour ceux qui ont connu le :noel: ).

Fin de l’avant propos, place à la lecture du menu avant de mettre un coup de fourchette.

Théorie

Attaquons donc ce menu qui nous fait tant de l’oeil. La première question que nous nous devons de poser est « Qu’est ce que l’immuabilité ? » et la seconde question, « Comment fonctionne t’elle ? »

Introduction à l’ i-mmuabilité

L’immuabilité au sens UNIX du texte existe depuis le 16 Janvier 1996. Cette commande est présente dans le paquet E2fsprogs de la release 1.02. (Si je me fourvoie, merci de me le dire car j’ai du mal à trouver l’histoire de cette dernière…).

Cette commande permet de définir des attributs complémentaires sur les systèmes de fichiers dont notamment l’immuabilité des fichiers.

Pour manipuler ces attributs, nous pouvons utiliser l’ensemble des commandes suivantes :

• chattr
• lsattr
• getattr
• setxattr

Observons ci dessous l’ensemble des commandes suivantes :

$ sudo chattr +i test.txt
$ sudo lsattr test.txt
$ sudo rm -Rf test.txt
$ sudo chattr -i test.txt
$ sudo lsattr test.txt
$ sudo rm -Rf test.txt

J’ai appliqué l’attribut d’immutabilité sur le fichier test.txt et surprise, même en élevant mes droits, je ne suis pas autorisé à supprimer le document. Cela ne sera possible qu’en retirant l’attribut. Nous tenons le début de notre mécanisme.

Ouvrez le GUILLEMARD « 

Je pense après une courte nuit de réflexion que je dédierai un article sur les attributs étendus car il y a énormément de matière sur le sujet. De plus, j’ai ouvert the PANDORAS BOX (toi aussi tu te souviens des jours anciens des LANs sur AoM ? Petit canaillou de cheater va) et je me dois de boire jusqu’à la lie ce module et l’éventail des fonctionnalités qu’il propose.

«  Fermez le GUILLEMARD

Mais alors comment cette fonctionnalité va t-elle être pilotée par notre serveur VEEAM ?

V-immutability-M

Là deux possibilités. Either you speak and read english and you can directly jump to the Veeam hardened guide. Ou alors on peut regarder ensemble ma compréhension du sujet.

Après tout, je n’ai eu que 5/20 au BAC en LV1 Anglais, ça promet d’être sympa 🙂 (Si si et j’ai même pas été au rattrapage ! Et il est content…)

Bref, nous verrons plus bas lors du déploiement que lorsque nous ajoutons notre Serveur Ubuntu en tant que Single Use Credential nous allons déployer les rôles :

• Transport : (veeamtransport) pour le service datamover (port tcp/6162)
• Installer : (veeamdeploymentsvc) pour déployer l’ensemble des composants et permettre de maintenir à jour les différents composants (ports tcp/2500

Toutefois, c’est lorsque nous déclarerons notre repository en tant que Hardened repository que cela va devenir intéressant. Car c’est à ce moment que nous allons définir les paramètres de gestion de l’immuabilité sur une période minimum de 7 jours (promis je reviendrai un jour sur la magie du nombre 7). Bref une fois configuré, voilà les services les plus importants.

• VEEAM Data Mover : Ces ce dernier qui va communiquer avec notre serveur VEEAM et récupérer les paramètres de temps quant aux datas qui doivent être inaltérables. Une fois les informations en sa possession, il réalise une passe décisive au service ci dessous VEEAM Immutability Service (veeamimmureposvc), comme la passe décisive de Djorkaeff à Thuram à la 47eme minutes du match France-Croatie en 1998 (Souviens toi du 12 Juillet 1998 !).
• VEEAM Immutability Service : Va aller mettre une patate à Jean-Pierre… Promis j’arrête, Bah Pourquoi ?… Tu vas la fermer ta grande gu***e !! Ce service va vérifier sur les chaque fichiers de backup toutes les 20 minutes les attributs immuables jusqu’à ce que le date de fin soit atteinte. Ce service est un sous service de VEEAM Data Mover.

A partir de la version 12.1.0.2131, le mécanisme change avec un control, détection sur un potentiel décalage de temps.

Lorsque le VEEAM Immutability Service démarre, un fichier timeLog va être créé sous /etc/veeam/immureposvc/. Ce fichier sera mis à jour toutes les 10 minutes.

Oui mais que se passerai t-il si la valeur du moveTime ou accelerationTime dépasse 24 heures ?

Par sécurité, les données relatifs aux opérations de rétentions seront bloqués. Un message d’avertissement remontera dans la session du job de sauvegarde. Ce qui est rassurant. Oui mais voilà, comment j’unlock la situation ? Ba en suivant le KB mon gars…

Architecture

Dans les recommandations et l’un des prérequis de l’implémentation d’un repository hardened est d’avoir un équipement dédié sans surcouche de virtualisation. Nous parlons donc de serveur et non pas d’hyperviseur.

En dehors des bonnes pratiques de configuration d’un serveur, je ne m’intéresserai qu’à la partie réseau. La configuration de la partie ILO/IDRAC/IPMI ne sera pas abordée. Pourquoi ? car je n’en ai pas envie et surtout je n’ai pas les moyens de le mettre en œuvre sur mon lab. Peut être un jour dans un autre article.

Au vu de la criticité de ce que nous souhaitons mettre en place, il nous faut dissocier la partie management de la partie sauvegarde.

Avec des équipements d’infrastructures adéquates et selon la volumétrie de datas à sauvegarder, l’agrégation d’interfaces est nécessaire. Au minima SFP+⁵, au maximum FC⁶. Assurer les performances réseaux sont un fait, toutefois si le stockage ne suit pas et génère un goulot d’étranglement (bolteneck), cela ne sert pas à grand chose.

Réseau

Bien entendu, si notre Firewall gère les liaisons supérieurs à 1 Gbits/s, il y a un intérêt de faire un VLAN dédié à l’immuabilité dissocié de la sauvegarde. Dans le cas contraire et assurer de bonne performance, il conviendra de rester dans le même subnet et de passer par commutation.

Encore une fois, si nous avons de la micro segmentation, cela facilitera grandement les choses sur un même subnet. Dans le cas contraire, il sera nécessaire de définir les règles côté repo selon les interfaces, sources et destinations avec les ports et protocoles autorisées à transiter.

Lors de la configuration du repository et donc sans restriction les flux réseaux sont les suivants :

Une fois les ressources push du serveur VEEAM vers le serveur hardened (tcp:22), le service VEEAM Installer se charge d’installer et de déployer les composants (tcp:6160). Une fois les dépendances installées, la sauvegarde se déroulera à travers le service VEEAM Data Mover (tcp:6162) ainsi que le service Mount Server (tcp:2500-3000).

Soit au final nous n’avons besoin que des flux suivants :

Ok, ça c’est pour VEEAM, mais niveau serveur physique, il n’y a pas des choses à faire ?

Bien vu l’aveugle. Il sera nécessaire d’autoriser les protocoles :

Users & Permissions

Dans l’idée, il convient d’utiliser un compte utilisateur pour la sauvegarde veeam. Ce dernier aura la charge de quelques services. Ce compte ne doit en aucun cas être membre du groupe SUDO. Il l’est uniquement lors du déploiement et lors du MCO logiciel. Ensuite les droits doivent lui être retirés.

Il en va de même que l’accès au répertoire qui va contenir les sauvegardes doivent avoir des droits restreints à notre seul et unique utilisateur VEEAM que ce soit en tant qu’utilisateur et groupe.

Les droits devant être défini sur 700.

Mouai, c’est enfoncer une porte ouverte non ? Ouai ba j’ai vu des SysAdmins faire des choses à la limite de faire voir des choses terribles à un petit garçon.

Il en va de soi, mais le sticky bit on oublie. Perso, je ne comprends qu’elle serait l’utilité du sticky bit. Mais bon, si VEEAM le précise, c’est bien que certains SysAdmins ont essayés.

Chaînes, maillons, et immutabilité

Pour assurer l’immuabilité des données de nos chaines, le mécanisme qui sera utilisé sera le même que pour la Foreward Incremental avec automatiquement une active full ou une syntetic full.

Pourquoi ? Une petit schéma s’impose.

Partons du principe que nous définissions le nombre de point d’immuabilité à 7 jours. Avec une synthétique full hebdomadaire tous les dimanches.

Sauf que voilà, il y a un problème. Le premier point immuable est une full et le dernier point avant la dernière full est une incrémental (Sunday to Saturday). L’immuabilité étant défini à 7 jours les points sont donc inaltérables tant que l’échéance du dernier point incrémental n’est pas atteint. Si la full est supprimée les incréments ne sont pas utile. Donc nous devons attendre de nouveau 7 jours pour supprimer la première chaine et la création d’une troisième full.

Nous avons pas 7 points inaltérables mais 13 points.

Une fois la full réalisée le 3 dimanches nous passons à 14 points. C’est à ce moment là, une fois la full terminée et rendu inaltérable que les 6 premières points de la chaine se verront retirés l’attribut d’immuabilité puis les maillons seront supprimés (Le principe, se base sur le Grand-Père, Père et fils).

Et puis on recommence.

Donc nous avons un minimum de 7 points de rétention et un maximum de 13 points.

Un point sur lequel je n’ai toutefois pas encore fait de test, reste le traitement de l’externalisation (backup copy). Le principe de GFS doit alors être configuré. J’essaierai plus tard.

Je pense que maintenant nous avons toutes les informations requises pour passer à la pratique. Il n’est pas impossible que certaines parties ne soient pas toutes à fait complètes. Il est difficile de tout couvrir et de ne rien oublier. Mais on peut toujours échanger pour toutes questions.

Pratique

Configuration Repository

$ sudo useradd usr.veeam
$ sudo passwd usr.veeam

$ sudo usermod -aG sudo usr.veeam

$ sudo gpasswd -d usr.veeam sudo

$ sudo gdisk /dev/sdX
   * n
   * 1
   * Paramètres par défaut
   * 8300
   * w
   * y

$ sudo mkfs.xfs /dev/sdX1

$ sudo mkdir /mnt/veeam
$ sudo mkdir /mnt/veeam/hardened_repository
$ sudo mount -o rw /dev/sdX1 /mnt/veeam/hardened_repository

$ sudo chmod 700 -R /mnt/veeam/hardened_repository
$ sudo chown usr.veeam:usr.veeam /mnt/veeam/hardened_repository

Si je n’ai rien omis, nous pouvons passer à la suite et toutes les étapes devraient bien se passer. Dans le cas contraire, je vous autorise à me donner une grande tape sur l’épaule, promis je vous dirai merci pour ne pas m’en reprendre une dizaine.

Intégration dans VEEAM

Ajout du serveur Linux

1 – Scream my Name !

Dans l’onglet Backup Infrastructure, sélectionnez ajouter un serveur. Puis ajouter un nouveau serveur Linux.

Comme ci-dessous vous avez deux possibilités. Soit vous ajoutez l’IP de votre repo (absence de serveur DNS dans mon cas et flemme d’aller faire une surcharge dans le fichier host juste pour le lab) ou d’ajouter le nom DNS. Ayant plusieurs repositories, j’aime bien mettre une petite description (surtout en l’absence de nom DNS).

2 – Linux Credential (une fois seulement)

Dans la partie SSH Connection, nous n’avons pas d’entrée dans le gestionnaire de mot de passe de notre VEEAM. Et nous ne voulons surtout pas que nos informations d’authentifications soient stockées (Sinon à quoi faire du hardened ?).

Cliquons donc sur Add et sélectionnons la dernière proposition « Single-use credentials« . Normalement vous devriez avoir l’écran ci-dessous.

Si vous avez fait les choses proprement, vous renseignez le login de votre compte utilisateur propre à VEEAM avec son petit mot de passe. Dans mon cas svc.veeam et password1234 ou azerty1234. Cochez la case d’élévation de privilège ainsi que la case « Use su if sudo fails » et là, renseigner le mot de passe du compte root.

Toujours si vous avez bien fait les choses, le compte svc.veeam est à ce moment un compte membre du groupe sudo. Donc un utilisateur à privilège le temps de l’installation. Si ce n’est pas le cas, ajoutez le :

$ sudo usermod -aG sudo svc.veeam

Pour le fun, essayer de mettre en compte utilisateur le compte root. Normalement, VEEAM devrait exprimer votre nom indien avec sa main « Dresser avec le Majeur« . 🙂

3 – Actions Review

Si vous êtes là c’est que le serveur VEEAM arrive à pu initier la connexion en SSH avec notre futur repository immuable.

Les composants transport et installer vont être déployés. Ces derniers ne sont pas déjà présent sur le serveur. Pour le moment pas un faux pas !

Passons à l’étape suivante.

4 – Jamais du premier coup 😉

Bon ba nous voilà comme un con sur un quai de gare un jour de grève à la SNCF… Ca ne fonctionne pas BORDEL ! (Pourquoi tu n’as pas censurer l’injure ? Parce que je suis frustré d’avoir durci une saloperie de système GNU/LINUX dans l’état de l’art et d’avoir des erreurs de ce type. Je suis pas une base de loisir MERDE !)

Monsieur, Calmez vous ! Oui, c’est bon. Pas de castagne. LINUX et VEEAM sont sympa car ils nous donnent gentiment le message d’insulte que l’un donne à l’autre. C’est alors qu’en bon copain nous allons arrondir les angles pour que VEEAM et notre repo LINUX puissent fleurter ensemble.

L’une des mesures de sécurité que j’applique sur mes systèmes GNU en terme de durcissement est d’interdire l’exécution sur la partition /var et /tmp. Donc un petit remove de l’argument noexec et un remount des partitions et c’est repartie comme en 40 ! (Il y a quelques choses d’autres à faire mais je le garde pour moi).

On relance un Previous, puis un Next pour relancer le déploiement. Là, à la surprise générale, l’installation se déroule sans accro.

Alors elle est pas belle la vie ?

5 – Congratulations

L’installation est terminée. Les composants ont bien été déployées nous avons ci-dessous le récapitulatif.

Toutefois, nous devons remettre en l’état les quelques points de sécurité que nous avons assouplis pour permettre l’arrimage de notre repository Hardened LINUX à notre serveur VEEAM.

• Retirer l’utilisateur svc.veeam du groupe sudo
• Rétablir les arguments noexec sur les partitions /var, /tmp
• Rétablir les paramètres que l’auteur a vraiment décider de ne pas divulger

Ajout du repository

1 – Quels types choisir ?

Choisissons le type de repository pour déclarer notre repo hardened, soit Direct Attached Storage.

2 – Linux Hardened Repository

Dans les choix, j’hésite vraiment sur l’option pour notre type de repo. Peut-être la réponse numéro 3, Linux (Hardened Repository) ?

3 – Scream my Name (Again)

On note le nom de notre repo. Tachons donc de rester logique et de choisir un nom dans le standard des repositories. Pour ma part REPO_HARDENED_01. Comme j’aurais pu avoir un REPO_SVG_01 ou REPO_EXT_01. Soignons pragmatique Père UBU par ma chandelle verte !

4 – Server Selection

Le serveur ayant été ajouté précédemment nous avons le listing de chacune des partitions présentent et montée.

Dans la liste (5ème positions) nous retrouvons bien notre partition sous /mnt/veeam/hardened_repository monté sur /dev/sdb1.

5 – Choix du repository (Path)

Sélectionnons la partition qui nous intéresse.

Activons ensuite les paramètres de clonage rapide sur les volumes XFS. Je défini la durée de l’immuabilité sur 14 jours (le minimum étant 7 jours). Je limite le nombre de tâche parallélisé à 4.

Dans les options avancées, j’ai pour habitude d’activer l’alignement des blocks pour améliorer les performances quant à la sauvegarde et à la restauration malgré une légère hausse du CPU.

J’active également le paramètre d’utiliser le paramètre per machine backup files car il améliore les performances de stockage pour les équipements qui bénéficient de flux important d’I/O. Ce qui tombe bien est notre cas.

Les deux autres options ne doivent pas être cochés, puisque nous n’avons pas de support rotatif et l’option de décompression n’est pas compatible avec la sauvegarde immuable.

6 – Where is the mount Server ?

De nouveau nous avons un petit récapitulatif des rôles à ajouter ou déjà présent sur notre repo.

• Transport
• vPower NFS
• Mount Server

Il est possible de cocher la case de recherche de chaine existante. Ce n’est pas notre cas.

7 – Applying

Nous appliquons la configuration de notre repo. Deux avertissements toutefois. Dû au durcissement de mon SE GNU/LINUX. Toutefois rien de bien méchant car on regarde l’avertissement lié au service de déploiement.

8 – Petit Résumé

Encore une fois, le petit récapitulatif nous informant que le repo a bien été créé.

Backup Job & Tests

Pour ce point, je ne vois pas de grand intérêt à décrire comme créer un jobs de backup. C’est pourquoi j’irai à l’essentiel, un en mot un seul, pour être succinct, sans détour et fioriture, bref j’irai droit au but…

Pourquoi cette entrée en matière dans cette partie ? Simplement car cela dépend de la source sur laquelle le serveur de sauvegarde se base.

• VMWare VCenter
• VMWare ESXi
• NUTANIX Prism Element
• NUTANIX Prism Central
• MICROSOFT HyperV
• VEEAM Backup Agent
• etc

La liste pourrait s’allonger comme un jour sans pain au vu du nombre de point d’entrée OnPremise et Cloud.

Dans mon cas et sur mon petit environnement de lab, ça sera sur un job de sauvegarde pour du VEEAM Backup Agent pour Windows (en Guest Processing) d’un serveur local.

Backup

Nous considérons qu’un compte d’administration est déjà présent pour la sauvegarde est durci dans les règles de l’art et que le serveur source se trouve dans la bonne configuration pour être sauvegardé.

1 – Storage

Dans la partie Storage de notre job (peut importe le type), il nous suffit de sélectionner notre repository hardened.

Le nombre de point de rétention doit être en adéquation avec la politique d’immuabilité en place comme décris dans la partie théorique. Dans mon cas 14 jours.

2 – Storage GFS

La sauvegarde hardened se base sur le principe GFS⁷. Effectivement et comme une nouvelle fois expliqué précédemment, il n’est pas possible et cela n’a pas de sens de faire de la RI⁸ mais bien FI⁹.

Je défini donc de réaliser une full backup synthétique de manière hebdomadaire, le 7 jour de la semaine, 7 jour où le Seigneur exténué (comme moi d’ailleurs) d’avoir travaillé si dure les 6 jours précédents de prendre un jour de repo. Et comme la sauvegarde est là pour nous prémunir de tout aléas

Les premiers seront les derniers, et les derniers seront les premiers

Marc 10:31

Nous pouvons faire confiance à Saint Marc. Amen.

Laissons notre job tourner et admirer les performances et actions en cours.

Tests

Une fois le job terminé avec succès. L’une de nos grandes questions que nous devons nous poser en tant que SysAdmin (et que n’importe quel client, chef d’entreprise doit se poser) est « Comment s’assurer que la chaine de sauvegarde est bien inaltérable, immuable ? »

Le plus simple, c’est de supprimer la chaine de sauvegarde ou l’une des ressources protégées. Normalement, dans la boite de dialogue se préparant à l’exécution de la suppression, vous devriez avoir un violent message d’avertissement vous informant que NON, VEEAM ne veut pas. Mais comme VEEAM n’est pas si en désaccord avec votre volonté de supprimer le backup, il vous donne toutefois la date d’échéance où il sera possible de supprimer la chaine si et seulement si le job est désactivé naturellement.

Si nous voulons allés plus loin, c’est du côté repo qu’il faudra contrôler que l’attribut d’immutabilité est bien positionné sur nos fichiers. Un petit coup de lsattr et le tour est joué.

Altérer l’inaltérable ?

Super cette sauvegarde immuable ! Avec ça, nous sommes paré à toutes éventualités contre la suppression et altération de nos chaines de sauvegarde.

Sauf que ce n’est pas tout à fait vrai. Désolé de vous mettre un stop. En haut de ce billet, j’ai insisté sur la topologie et l’architecture. Tout va reposer sur cette dernière pour ne pas altérer le contenu de votre repository hardened.

Avant de rentrer plus dans les explications, je rappel dans le contexte que le système GNU est durci. Le compte utilisateur dédié à la sauvegarde n’a pas de droit d’élévation, le daemon ssh est désactivé.

Allez, faut y aller, oui mais où ? Maintenant rentrons dans le vif du sujet.

En me connectant directement à mon repo en console ou en direct. Regardons nos différents maillons de chaines pour notre job. J’ai deux full. Pourquoi ? Parce que je suis un abruti qui lors du la configuration de mon job, j’ai oublié de chiffrer ma chaine. M’en rendant compte après coup, j’ai donc corrigé ce petit détail. Sauf que activer le chiffrement d’un job implique forcément de repartir sur un full. Merdouille non ?

Alors comment faire pour supprimer le premier maillon .vbk qui est indépendant de mon second .vbk ?

• Je suis patient et j’attends 28 jours
• Je supprime le point au niveau système et je clean ma configuration

Pour le coup je ne serai pas patient et je vais donc contourner l’immuabilité.

1. Je liste uniquement les maillons de la chaine qui sont des fulls (.vbk) afin d’identifier le point que je souhaite faire disparaitre
2. Etant en root, je retire l’attribut d’immuabilité sur le fichier
3. Je liste de nouveau les attributs des maillons de la chaine qui sont des fulls (.vbk) pour vérifier que c’est bon
4. Je supprime le fichier
5. Je liste de nouveau les attributs des maillons de la chaine qui sont des fulls (.vbk) pour vérifier que je n’ai plus qu’un fichier vbk

Nous nous déconnectons de notre console. Et regardons notre chaine côté VEEAM Ordo.

Là j’ai été un vite en besogne car j’ai déjà nettoyer la configuration. Mais notre point remontait comme inaccessible car nous l’avons supprimé (petite icone rouge et police en italique). Mais une fois nettoyé, nous avons 4 points en lieu et place de 5.

Donc il est possible d’altérer l’inaltérable sous certaines conditions.

Conclusion

La sauvegarde immuable ou hardened est vraiment une solution indispensable des organisations. Cette dernière ne doit pas être négligé. Malheureusement et c’est là un triste constat les organisations et entreprises pour des raisons de coût néglige cette protection supplémentaire.

« J’ai déjà une sauvegarde et une externalisation, je ne risque rien. Mon Service interne est parano ou Mon prestataire informatique me prend pour une vache à lait »

Ce sentiment de puissance, de confiance et d’invincibilité pourtant ne tiens qu’à un fil et c’est lorsque ça tourne mal qu’il nous reste plus qu’à pleurer en regardant comme Loth, sa femme pétrifié de sel (Genése 19:26). Attention, la facture est salée.

Toutefois, l’implémentation d’un tel système nécessite des aptitudes avancées pour les systèmes LINUX/GNU ce qui peut représenter un frein à la mise en place de ce dernier. Notamment sur la partie durcissement. A cela peut s’ajouter des budgets ainsi que des ressources limitées sur l’infrastructures ne permettant pas d’assurer cette fonctionnalité.

Il reste à moindre cout l’usage et l’implémentation d’une sauvegarde sur disque externe. Cependant je pense que cette solution est moins performante, plus espacée dans le temps, moins adapté à l’évolution du SI et soumis au risque humain (oublie, corruption, etc). Mais cela reste une solution.

Encore une fois la question de curseur se pose sur le rapport bénéfices risques. Qu’est ce que je suis prêt à accepter pour mon organisation ? Il suffit d’avoir frôlé la banque route ou d’avoir dans ces connaissances un patron qui a perdu son entreprise ou sauver de peu son business pour se sentir concerné.

Ouai mais tu nous as démontré que ce n’était pas inaltérable à 100%. Tu ne serais pas en train de nous refourguer une solution pour éviter le bug de l’an 2000 ?

Oui je conçois et l’ai démontré. Nulle solution n’est parfaite est sécurisé à 100%. Toutefois les opérations pour retirer l’immuabilité nécessite de passer plusieurs mécanismes de sécurités et le risque bien de présent est minime voir nul. Disons que si un individu malveillant s’attaque à la sauvegarde immuable, normalement l’équipe interne ou le service IT seront informés car c’est le point d’entrée le plus complexe à infiltrer. Et donc, cet individu aura pris le temps de mettre un joyeux bor**l sur l’ensemble de notre infra au préalable.

Nous pourrions également dire que 7 jours ou 14 jours d’immuabilité c’est peu. Et pourtant il faut voir cette sauvegarde comme l’as dans la manche qui nous sortira de l’échec et compromission de notre sauvegarde et externalisation. C’est une sauvegarde certes, mais la dernière carte à jouer. Sincèrement, vous SysAdmin/DSI persuadez votre DG, DAF ou PDG d’implémenter cette fonctionnalité.

Rare image d’échange entre un DAF avec un DSI/SysAdmin concernant le budget informatique

Vous DG, DAF ou PDG, écoutez votre SysAdmin/DSI et permettez lui de passer des nuits tranquilles loin des valium, tranxène, nembutal (ouai je sais ça faut beaucoup de référence à HFT, mais je suis dans ma période de vilain garnement 🙂 ).

Le mot de la fin

Consonnes, Voyelles. Je demande un 50/50 sur une garde sans. Risquez comme opération, mais ça passe et vous partez avec Maïté car votre préféré c’est le rondelé.

Erwan GUILLEMARD

Sources

• Définition Immuable
• VEEAM B&R 12.1 – Hardened Guide
• Linux – chattr
• E2fsprogs

Je remercie LLU, d’avoir su me mettre sur la voie et d’avancer sur ce sentier.

1. SE : Système d’Exploitation ↩︎
2. LTS : Long Time Support ↩︎
3. ANSSI : Agence National de Sécurité des Systèmes d’Informations ↩︎
4. XFS : X File System ↩︎
5. SFP+ : Small Form-Factor Pluggable+ (10 Gb/s) ↩︎
6. FC : Fiber Channnel ↩︎
7. GFS : Grand Father, Father, Son ↩︎
8. RI : Reverse Incremental ↩︎
9. FI : Forward Incremental ↩︎

Vous l’avez compris, je vais parler de sauvegarde et mon autorité à moi, c’est VEEAM. (Je vous rassure je n’ai pas de part, ni d’action dans cette société).

Déjà pourquoi VEEAM et pas un autre ? Je n’ai absolument rien contre les autres solutions. J’ai juste commencé avec cette solution et j’ai continué avec cette dernière ainsi que toutes la suite de produits qui gravite autour 🙂 Alors pourquoi changer une équipe qui gagne ?

Avant de rentrer dans le vif du sujet, la question que nous devons nous poser, c’est pourquoi la sauvegarder un système informatique d’un simple poste utilisateur à la totalité d’un système d’information.

Jusqu’à présent, les données étaient stockées sur des supports physiques (papier, photo, etc). Aujourd’hui la majorité de nos données sont stockées sur des supports logiques numériques dans des supports physiques (téléphone, disque dur, USB, Serveurs etc) à un endroit, voir plusieurs. Or, comment s’assurer que ces données non physiques à base de 0 et de 1 soient protégées de toutes suppressions accidentelles ? Nous allons faire une copie de ces données et les stockées autre part. Ainsi en cas de suppression ou d’avarie nous serons en capacité de les « retrouver ».

La solution VEEAM Backup et Réplication répond à ce besoin pour les systèmes d’informations. C’est pourquoi je vous propose dans ce billet de déployer un serveur de sauvegarde. (Attention et comme d’habitude, je vais suivre le guide officiel fournit par le fournisseur. Je ne compte pas réinventer la roue, mais m’attarder sur des points importants qui sont bien malheureusement négligés par certains SysAdmin).

Prérequis

• SE : Windows 2016 à 2022
• Apps : VEEAM B&R 12.1, 12.2
• Autres :
  • Média externe
  • Stockage Object
  • Stockage Hardened

Guide

L’article historiquement était trop long (+ 9500 mots pour 51 minutes de lecture) et après plusieurs remarques constructives, j’ai pris la décision de scinder en deux parties ce billet. De plus cela permettra de faciliter dans un seul article de gérer les diverses versions de VEEAM Backup et Replication à l’avenir (oui je fais parti de ces groupies qui trépignent d’impatience devant la Version 13 en devenir 🙂 ).

• Partie 1 : Théorie
  • Aborder les bonnes pratiques, l’architecture et topologies la plus adéquate pour une infrastructure VEEAM B&R. Les performances systèmes requis, ainsi que les permissions
• Partie 2 : Pratique
  • Installation et configuration de la solution. Présentation point à point de la sécurisation et durcissement de la solution VBR

Github

/!\ Attention /!\ : Le script dans sa version 1.0.2 contient deux dysfonctionnements et restent en statu béta, alpha. Il manque les blocks de descriptions des fonctions, et l’optimisation des points 7 et 10. D’autres fonctionnalités viendrons s’ajouter. Comme indiqué, le travail de R&D reste sur mon temps perso et donc ne me permet pas de « livrer »/ »mettre à disposition » une solution propre clé en main. Avant d’appliquer le script, je vous recommande un snapshot à froid de votre serveur VEEAM.

Miaou

Conclusion

C’est encore un gros billet que tu nous sors là Père GUILLEMARD ! Hé, oui mon gars ! Félicitation si t’as pas décroché entre temps. Je penserai à te donner un succès Gold ou Platinium sur le PlayStation Store 🙂

Plus sérieusement, je n’avais JAMAIS poussé aussi loin la configuration et la sécurisation d’une infrastructure VEEAM B&R. Et encore, par manque de ressource sur ma petite machine, je n’ai pas poussé le vice à déployer un WAN Accelerator et un Proxy VEEAM (m’enfin dans la logique c’est pas super compliqué il faut juste de la rigueur et du bon sens). Comme nous sommes dans la confidence, je dirai même que j’ai le sentiments d’être un imposteur quant aux infrastructures VEEAM que j’ai pu déployer. C’est un peu le fameux « Nan, mais je sais » alors qu’en réalité je ne savais pas.

VEEAM nous offre dans ces versions de nouvelles fonctionnalités toujours plus poussées et orientées sécurité. Il est difficile (par manque de temps peut-être ?) de suivre toutes ces nouvelles fonctionnalités d’une version à une autre et donc de se remettre en question et de modifier en bien nos infrastructures. Pour autant, cela fait il de moi un charlot ? Egalement ce qui doit être souligné, c’est que VEEAM en plus de prodiguer les bonnes pratiques met à disposition des outils pour suivre l’état de santé des services dans ces solutions pour rester le plus performant possible.

La sauvegarde et l’ensemble de son écosystème représente le dernier bastion des systèmes d’informations. La bonne gestion de cet écosystème permet de se prémunir de sinistre matériel, infrastructure ou d’attaques informatiques et de pouvoir repartir dans des délais acceptable selon le RTO établi. Dans le cas contraire, des mots durs et difficiles à entendre peuvent apparaitre « dépôt de bilan », « licenciement », « perte financière », « cessation d’activité »… Welcome to Amish Paradise

Il ne faut pas négliger la sauvegarde.

Et j’inviterai chaque dirigeant ou directeur des systèmes d’informations à demander un rapport d’audit de leur infrastructure de sauvegarde de manière ponctuelle. De plus les KPIs¹ de l’ensemble des jobs de sauvegardes devraient être présenté dans des rapports et revues hebdomadaires, mensuelles et annuelles.

Dans les perspectives d’évolutions et le pourquoi de cette article, VEEAM DR (ou Backup & Réplication) va me permettre de poursuivre avec d’autres articles, notamment la VCC, VSPC, Repo Hardened, Repo Stockage S3 ainsi qu’une passerelle entre VEEAM et ITOP concernant le MCO des sauvegardes journalières.

Le mot de la fin :

C’est un coup des russes ? Alerte Générale !!! Ah pardon, mais vous étiez en case mandoline. Vous reculez de 3 GFS et vous restaurez chez LAMELOISE. Pensez à la NDF.

Erwan GUILLEMARD

Sources

• Définition Sauvegarde
• FIPS
• VEEAM B&R 12.1 – ISO
• VEEAM B&R 12.1 – Guide
• VEEAM B&R 12.1 – Ports
• VEEAM B&R 12.1 – Securities Compliants guide
• VEEAM B&R 12.X – VMWare Permissions
• WINDOWS – LSASS
• WINDOWS – WPAD
• WINDOWS – WinUpdate Server

1. KPIs : Keys Performances Indicators ↩︎