備份存檔能不能被恢復，這件事情上只有真正做過才知道

最新 03-05

Veeam有一個非常特別的功能，它能夠全自動的在線驗證備份存檔的可用性，確保備份下來的內容是能夠被正常恢復的。

該功能之所以能夠確保恢復，是因為它會將備份存檔在一個隔離的環境中以一個正常的虛擬機的形態啟動起來，然後通過一系列的模擬測試去全自動的測試這個虛擬機的狀態，包括了虛擬機的心跳、虛擬機網路的連通性甚至是虛擬機內應用程序和服務的運行狀況，在測試完成之後，它還會生成一份驗證報告，給出該備份存檔可恢復性的相關結論。

Veeam SureBackup適用於VMware和Hyper-V的備份，本文僅以VMware環境為例說明SureBackup的技術原理以及使用方法。

如何工作？

Veeam SureBackup在工作時，會依次執行以下步驟完成整個驗證過程：

Veeam Backup & Replication會將Application Group和被驗證的虛擬機發布到一個隔離的沙盒環境中，通常我們稱作為「數據實驗室（DataLab.）」。這些虛擬機是直接從備份存儲庫的被壓縮重刪後的備份文件中啟動，而不需要被預先還原至VMware的Datastore中。實現這一功能需要依賴Veeam的Instant VM Recovery和vPower NFS Service。

Veeam Backup & Replication對Application Group和被驗證的虛擬機執行一系列的自動化校驗測試，通常包含虛擬機心跳、網路ping和應用程序腳本測試，其中應用程序腳本可以通過自定義的方式加入。

在基礎驗證完成後，還可以選擇讓Veeam SureBackup對備份存檔從文件層面執行一次CRC校驗，確保在執行任務的過程中未修改原始備份存檔。

在SureBackup任務結束後，Veeam Backup & Replication對這些虛擬機執行「Unpublish「動作，並且生成一份測試報告，此報告會通過Email的方式發送給指定的管理員。

在整個驗證過程中，Veeam會保證所有虛擬機的備份存檔處於只讀狀態，所有因虛擬機運行產生的數據會存放在虛擬機Redo Log中，這些Redo Log通常會存放於VMware的生成存儲上，而當驗證過程結束時，Veeam會刪除這些Redo Log，釋放臨時空間。

驗證過程中的組件

和通常備份的基礎架構不一樣的是，執行Veeam SureBackup時，會需要用到幾個SureBackup專用的對象。

Application Group - 在驗證某些虛擬機時，這些虛擬機需要依賴一些其他的虛擬機才能正常啟動和工作，Application Group就是為這些虛擬機正常工作提供所需的其他依賴應用程序和服務。通常我們會將運行這些應用程序和服務的虛擬機放入應用組，為驗證提供依賴條件。舉例來說，當我們需要去驗證一台Exchange伺服器時，該Exchange服務的啟動需要有AD和DNS服務，因此，我們可以在Application Group中加入提供AD和DNS服務的虛擬機，用來為Exchange提供啟動依賴。

Virtual Lab - 這是一個隔離的虛擬化沙盒環境，Application Group中的虛擬機和被驗證的虛擬機都會在這個沙盒中啟動起來。

SureBackup Job - 這是來自動或者手動執行驗證備份存檔的任務。它能夠定時定期執行，也能夠手動執行。

SureBackup 實戰

如上面提到的，SureBackup有3個專用對象，因此在使用和配置SureBackup過程中顯然需要進行這3個對象的設置。

ApplicationGroup

這也是整個生產環境基礎架構中最最重要的服務之一，其他應用程序的啟動和運行都依賴這些機器。簡單來說，Application Group就是定義一組虛擬機，這組虛擬機非常重要，其他被驗證的虛擬機沒有這組虛擬機無法工作。也就是當我們的環境中存在這樣的虛擬機，那我們就需要將他定義為Application Group，以便其他機器在被校驗時能夠訪問到這些虛擬機和服務。

當然，Application Group中的這些虛擬機也是從備份鏡像中啟動起來，需要預先被備份，而不是直接使用生產環境的虛擬機。SureBackup對於ApplicationGroup中的虛擬機，也會定義一系列的校驗和檢測，確保ApplicationGroup中的虛擬機首先正常工作，然後才開始後續的其他虛擬機驗證。當Application Group中的虛擬機驗證失敗的情況下，SureBackup將會中止工作，不會繼續後續的虛擬機驗證，這是因為SureBackup默認ApplicationGroup無法正常工作的情況下其他被驗證的虛擬機也無法正常啟動。因此，請不要在Application Group中放置非必要的虛擬機；如果被驗證的虛擬機無需其他應用程序和服務依賴，則請不要在Application Group中放置虛擬機。

配置方法

Application Group的創建非常簡單，將Veeam Backup &Replication 主界面切換到Backup Infrastructure下，在清單面板中選擇SureBackup節點，這時候在右邊的內容顯示區域，可以找到Add Application Group。

點擊這個鏈接會彈出Veeam經典的嚮導設置界面。

首先是設定Application Group Name和Description，這個可以根據需要設定，沒什麼特別要求，方便識別和符合企業/組織的命名規範即可。

接下來是設定這個Application Group中有哪些虛擬機，這就如上文解釋的，我們可以將備份存檔、複製存檔或存儲快照存檔中的VM加入到Application Group中，這3種添加模式分別對應了VeeamSureBackup的3種分支功能：SureBackup/SureReplica/OndemandSandbox for StorageSnapshot。此處暫且不詳細展開去討論這3種分支功能的具體使用。我們就是用通常備份驗證中用的最多的From Backup。這也是上文中提到，Application Group中的虛擬機也必須是預先被備份，而不能是直接選擇生產環境中的相關虛擬機。

選擇完虛擬機後，可以為這些選擇的虛擬機設定一些驗證選項，這也是上文提到的，ApplicationGroup中的虛擬機必須首先被驗證能正常工作，才能進行後續操作。這裡的驗證選項包括內置的一些伺服器角色，比如DNS Server、DomainController、Global Catalog、Mail Server、SQL Server、WebServer等，選中這些伺服器角色時，Veeam會自動使用適合這些角色的預定義腳本驗證這些角色伺服器。（關於DomainController的Authoritative Restore和Non-AuthoritativeRestore知識點，本文不詳細闡述，讀者可自行百度。）

在這個驗證選項中還有啟動選項、測試腳本和賬戶憑據設置，在此就不一一詳述，這些都是對應驗證過程中一些詳細的設定選項，對於特別的應用程序在測試中有幫助，具體可以參考Veeam官網手冊說明。

這樣，一個Application Group就基本設置完成了，可以通過最後一個Summary頁面回顧下設定的內容。

VirtualLab

這是被驗證的虛擬機所運行的隔離環境，在這個環境中Veeam Backup &Replication將會逐個啟動ApplicationGroup中的虛擬機，然後再啟動需要被驗證的虛擬機。

Virtual Lab本身其實幾乎不消耗任何資源，它可以在任意的ESXi主機上被部署，當需要被驗證的虛擬機啟動的時候，Virtual Lab才會請求計算資源分配給這些虛擬機。Virtual Lab會在隔離環境中創造出一套網路，它將生產環境中的網路完整的鏡像至Virtual Lab創造出來的這套網路中，在Virtual Lab中啟動的虛擬機和原虛擬機擁有一模一樣的IP地址配置，因此在VirtualLab中啟動的這些虛擬機能夠和生產環境一樣正常的工作。

在Virtual Lab之中，有非常重要的概念，分別是：Proxy Appliance、IPMasquerading、Static IP Mapping。

ProxyAppliance

為了和生產網路能夠通訊，Veeam Backup & Replication又使用了一個Proxy appliance。這個Proxy Appliance是一個基於Linux的輕量級虛擬機，它會被創建在每一個Virtual Lab中，通過這個ProxyAppliance的多個網卡將Virtual Lab中的虛擬機和生產環境進行連通。

IPMasquerading

Veeam建立起一套規則，讓生產網路能夠通過特定的IP地址訪問隔離網路，同時又不用修改隔離網路內的IP地址配置，那麼這套重要規則就是IPMasquerading。

每一個生產網路中的IP地址，在隔離網路中，都會通過IP Masquerading建立起一個一一對應的地址，比如生產網路中的地址是172.16.10.10，IPMasquerading規則是172.16.10.X/24對應172.18.10.X/24，那麼這台虛擬機的備份存檔在Virtual Lab中啟動起來後的MasqueradeIP地址會自動被分配為172.18.10.10。

這個規則會通過靜態路由的形式被添加至VBR備份伺服器和Virtual Lab Client的所運行的桌面上。當有網路訪問172.18.10.10時，Proxy Appliance會充當一個NAT伺服器的角色，將訪問轉發至VirtualLab內的這台虛擬機上。而實際上Virtual Lab內的這台虛擬機此時啟動後的IP地址本身並沒有發生變化。

Static IPMapping

上面提到這樣的靜態路由僅會被添加至VBR備份伺服器和Virtual Lab Client，那麼當有很多客戶端的都需要訪問這個Virtual Lab中的虛擬機時，手動逐台添加靜態路由會很不方便。

這時候，在這種場景下Veeam提供Static IPMapping為更多的虛擬機的訪問提供方便快速的設置方法。我們可以利用172.16.10.X網路中其中一個空閑的IP：172.16.10.99做一個靜態映射，將其映射給172.18.10.10，這時候網路上的所有客戶的都可以通過172.16.10.99這個IP地址訪問到Virtual Lab中的這台虛擬機，而不用逐台添加172.18.10.X的靜態路由。

配置Virtual Lab

因為Virtual Lab的配置有3種不同模式，本文不詳細討論3種模式的區別，僅以最常用的Advanced Single-Host VirtualLab為例介紹配置方法。

將Veeam Backup &Replication 主界面切換到Backup Infrastructure下，在清單面板中選擇SureBackup節點，這時候在右邊的內容顯示區域，可以找到Add Virtual Lab。

點擊這個鏈接會彈出Veeam經典的嚮導設置界面。

首先是設定Virtual Lab Name和Description，這個可以根據需要設定，沒什麼特別要求，方便識別和符合企業/組織的命名規範即可。

選擇主機，選擇此Virtual Lab是運行哪一個ESXi主機上，每一個VirtualLab僅允許運行在一個ESXi主機上。

選擇數據存儲，Virtual Lab中產生的臨時數據和Virtual Lab必要的一些運行文件會存放在這個Datastore中，包括臨時的虛擬機Redolog也會存放在這個Datastore中。它的容量主要還是取決於Virtual Lab開啟後數據的改變情況，在一般沒有太多改變的時候，這個容量要求並不太高。

設置Proxy Appliance，這一步需要設置是否使用Proxy Appliance以及如何將ProxyAppliance連接到生產網路。一般來說，全自動的驗證和數據實驗室都是需要Proxy Appliance的，因此默認都會啟用Proxy Appliance。而在不選擇使用Proxy Appliance的場景中，則所有的驗證都需要通過手工進入虛擬機內控制台去操作實現。在啟用Proxy Appliance後，需要配置Proxy Appliance的虛擬機名稱、IP地址設定以及是否通過Internet代理連接互聯網。

設置隔離網路，在這裡配置所有Application Group和需要被驗證的虛擬機所連接的網路至隔離網路的一一對應關係。假設在生產環境中有4個不同的埠組，那麼在這個隔離網路設置中就需要4個不同埠組與之對應。

Network Setting，這個步驟中，為Proxy Appliance連接到每個隔離網路的那塊vNIC設定IP地址，並且為每個隔離網路設置IP Masquerading規則。一般來說連接到隔離網路的那塊vNIC都會指定實際生產網路中該網段的網關地址，這樣的網路配置不會產生衝突也不需要對VirtualLab中啟動的虛擬機進修改。