Backup en Recovery oplossing voor VMware omgevingen Virtualisatie biedt ondernemingen een nieuwe manier bij de toepassing van een applicatie architectuur. Het maakt een hogere gebruiksgraad van fysieke servers mogelijk door consolidatie van meerdere Virtual Machines (VM) op een enkele server. Voor productie omgevingen is het verstandig om het aantal VMs te beperken tot een tiental per host server, hoewel de ESX server tot 80 VMs per host ondersteund. Het is dan beter om de bedrijfskritische VMs over een aantal fysieke servers te verdelen. Een toenemend aantal VMs per host verminderd wel het aantal fysieke servers maar heeft wel gevolgen voor de beschikbaarheid van de daarop draaiende VMs. Tot zover de langzamerhand bij iedereen bekende voordelen bij toepassing van virtualisatie. Echter, waar men vaak aan voorbij gaat is dat bij serverconsolidatie een single point of failure wordt geïntroduceerd, want de uitval van een fysieke ESX Server betekent dat alle daarop aanwezige operating systems en applicaties uitvallen. Het is daarom van belang om een gedegen backup en recovery strategie voor de virtuele omgeving te implementeren. De vraag is of de traditionele bestaande backup methode nog wel geschikt is voor de nieuwe virtuele omgeving. Traditionele backup strategieën voor VMs De traditionele methode om een backup van VMs is om remote agents op elke VM te installeren en een programma die, met behulp van deze agents, de backup van de server naar tape of een ander backup device maakt. Als men bovendien specifieke serverapplicaties heeft, bijvoorbeeld Exchange, SQL Server, Oracle of SAP, dan zijn daar ook nog eens weer aparte backup agents voor nodig. Dat verhoogt niet alleen de kosten maar maakt het backupproces ook onnodig gecompliceerd. Bij deze traditionele, op fysieke servers gebaseerde, backupmethode moet voor een restore bovendien een reeks handelingen door de beheerder worden verricht. Ten eerste, er moet een restore van het host operating system plaatsvinden, daarna installatie van de applicaties en agents, aanbrengen van configuratie instellingen, en zo voort, en tenslotte de databestanden zelf. Toepassing van deze traditionele backup methode met backup agents in een virtuele omgeving kent dus beperkingen en kan ook met een aantal zaken geen rekening houden (omdat ten tijde van het ontwerp er nog geen sprake was van virtualisatie). Zo kan het voorkomen dat niet de volledige image van de VM kan worden restored en er geen backup van data in een consistente staat kan worden gemaakt. Als gevolg van het backup proces op de ESX server kan op het netwerk de nodige overbelasting worden veroorzaakt en tijdens de backup kritische applicaties off line moeten worden genomen. Als backups voor langere perioden draaien dan kan tot langdurige overbelasting van het netwerk leiden. Het is dan ook niet zinvol om een full backup op een dagelijkse basis uit te voeren, speciaal op de meer statische VMs. Een ander probleem doet zich voor bij het dynamisch verplaatsen van VMs, zoals bij VMotion, want de traditionele backup applicaties hebben daar geen weet van. Ook de standaard image-level backup tools, zoals VMware’s Virtual Consolidated Backup (VCB) en andere backupproducten, voorzien alleen in een zogenaamde crashconsistente image van een database server. De restore van een crashconsistent image staat in feite gelijk aan een reboot van de server na een ‘harde’ systeemcrash. Voor bijvoorbeeld een file server VM is dit meestal geen probleem omdat de huidige operating systems eenvoudig een dergelijke systeemcrash met behulp van journalingtechnieken kunnen opvangen, maar voor database servers is het een ander © Copyright 2008 Bram Dons IT-TrendWatch
verhaal, daar kan dit het verlies van data betekenen. Een backup maken van VMs stelt daarom speciale eisen en er zijn producten die specifiek een oplossing bieden voor een het maken van een ‘hot backup’ van VMs die op VMware’s ESX Server draaien, zoals Vizioncore’s product vRanger Professional (Pro). vRanger Pro vRanger Pro is een Windows-gebaseerde software tool voor het maken van een automatische backup en restore van VMware VMs. vRanger is VMotion ‘aware’ en kan een backup maken van draaiende VMs, dus ‘on-the-fly’ zonder dat het voor de gebruiker merkbare invloed heeft op de prestaties van VMs. Er kan eenmalig of periodiek een backup van een enkele of een groep VMs worden gemaakt. Naast een volledige backup is een differentiële backup te maken. vRanger Pro bevat daartoe een differential engine waarmee veranderingen, sinds de laatst genomen full backup, van een VM file op blockniveau kunnen worden afgevangen. De engine vergelijkt de veranderingen die in de database zijn opgeslagen met die van de data die zich in het systeemgeheugen bevindt. Bij een verschil wordt het in de differential backup meegenomen. De zojuist uitgebrachte versie 3.2.4 van vRanger biedt ondersteuning van differential backup via het VCB Framework (zie hierna). Bovendien biedt vRanger de mogelijkheid om individuele bestanden uit backups te restoren in geval het niet nodig is om een gehele VM te restoren. vRanger Pro bevat een Volume Shadow Copy (VSS) driver die van Microsoft’s VSS Service gebruik maakt voor het maken van een transactionele consistente backup bij Microsoft database applicaties (bijvoorbeeld SQL Server of Exchange). vRanger Pro is ook te combineren met VMware’s VCB waarmee de backupsnelheid nog is te vergroten en een mogelijkheid voor datacompressie (Vizioncore claimt een compressieverhouding van een op negen). Bij een met VCB geïntegreerde vRanger omgeving vindt de compressie in het systeemgeheugen van de VCB proxy server plaats en niet op de ESX Server zodat de ESX server wordt ontlast. VMware’s VirtualCenter kan VMs bevatten die zich op verschillende host ESX servers bevinden. Vanwege verschillen in de manier waarop netwerken en servers zijn gestructureerd is het niet zinvol om alle archiveringsbestanden naar de dezelfde plaats te sturen. vRanger kan een backup en restore maken door de backup-bestanden van de ene naar de andere netwerklocatie te sturen. Zo kan een bron VMFS bestand via een Fibre Channel netwerk en de LAN-free backupmethode worden verstuurd; daarvoor moeten wel alle ESX servers die zijn verbonden met een FC-switch alle bron- en bestemmings VMFS-bestanden kunnen’ zien’ Voor beveiliging worden wachtenwoorden en data versleuteling via de AES, of Rijndael, methode ondersteund. Alle configuratie instellingen worden bovendien automatisch versleuteld. De Encrypt Data Transfer optie maakt van ssh encryptie gebruik waardoor data transfers kunnen worden versleuteld. In versie 3.2.4 wordt FIPS (Federal Information Processing Standard) ondersteund voor encryptie. FIPS voorziet in een standaard die door de overheidsinstellingen wordt gebruikt wanneer het gevoelige of waardevolle informatie betreft; FIPS support is een Amerikaanse standaard die in Europa geen rol van betekenis speelt, maar wel belangrijk is dat men nu ook differentiële backups kan nemen binnen het VMware Consolidated Backup framework, en zo nog verder kan besparen op storageruimte en CPU cycles.
© Copyright 2008 Bram Dons IT-TrendWatch
FIPS is een De licentierechten voor vRanger worden per aantal bron cpu’s berekend die bij een backup betrokken zijn. Zo kan men bijvoorbeeld met een licentie voor 50 cpu’s een backup te maken van een aantal ESX Servers, zo lang het aantal cpu’s op deze servers maar niet de vijftig te boven komen; vRanger telt dual-core als een enkele cpu, dus een server met twee dual-core cpu’s telt voor twee licenties. Ten slotte, vRanger heeft een geïntegreerde database backend waarin alle IP-adressen van de guests, backup tijden, compressieverhoudingen en de locaties van daarbij betrokken VMs en LUNs worden opgeslagen. Physical To Virtual backup Alhoewel het wat buiten doelstelling van het vRanger product valt, biedt het nog een Physical To Virtual backup (P2V) voorziening. Want, soms zijn er voor ondernemingen redenen waarom men bepaalde (bijvoorbeeld kritische) fysieke servers niet wil virtualiseren. vRanger Pro biedt via een P2V engine een disaster/recovery voorziening om een fysieke server om te zetten in een VM. Het doelopslagsysteem moet alleen wel tweemaal zoveel vrije opslagruimte bezitten als de drive waarvan men een virtuele backup wil maken. In de praktijk bleek dat bij pogingen om een viertal verschillende fysieke servers om te zetten deze alle faalden…. vRanger Pro standaard back-uparchitectuur De vRanger Pro backup interface kent twee verschillende backup modes: VirtualCenter (VC) mode en Legacy mode. In VC mode communiceert vRanger direct met VMware’s VC en laat alle VMs binnen de GUI in een boomstructuur zien en vormen een afspiegeling van VC’s interface. Het primaire doel van deze structuur is om op eenvoudige wijze individuele VMs, een VM groep, een host ESX server, groep met servers of een complete backup infrastructuur te tonen. In voorbeeld 1 zien we vier VMs die op een ESX server draaien en verbonden zijn met een SAN (iSCSI of Fibre Channel) of lokaal opslagsysteem. vRanger Pro wordt op dezelfde server geïnstalleerd als waarop VMware VC is geïnstalleerd of op een aparte server. De vRanger Pro initieert een point-in-time backup (ook wel ‘hot’ image genoemd) naar de VMware ESX Server waarop VMs draaien. Reguliere backup jobs worden gecomprimeerd en naar een van te voren geselecteerd backupdisk getransporteerd; dat kan een Windows, sommige Linux varianten, een bepaalde VMFS, of een LUN zijn. VMware Infrastructure 3 initieert een snapshot waarmee een ‘hot’ backup kan worden gemaakt, zoals gezegd, zonder de VM daarvoor te hoeven onderbreken. Alle veranderingen aan de VM disk file worden opgeslagen en aan de backup copy toegevoegd nadat de backup is beëindigd. De backup file wordt vervolgens gecomprimeerd (‘on the fly’ in het systeemgeheugen) en tenslotte naar de backupbestemming gestuurd.
© Copyright 2008 Bram Dons IT-TrendWatch
Figuur 1: vRanger Pro standaard backup toepassing Als proef installeren we een Windows 2003 Enterpise Server op een VM en configureren een backup met behulp van de vRanger Pro GUI (zie figuur 2), een voor de beheerder een eenvoudig en snel te doorlopen proces. We constateren dat het backupproces zonder problemen verloopt en nadat de VM via de VC GUI is verwijderd, voeren we een restore uit. Ook dat verloopt zonder problemen.
© Copyright 2008 Bram Dons IT-TrendWatch
Figuur 2: Live backup met VM en SQL Server Integratie met VMware met VMware VCB Wanneer VM bestanden zich op shared storage bevinden, zoals een SAN of NAS of een onafhankelijke backup server (proxy backup server of NDMP), dan is het mogelijk om een backup van de VM bestanden te maken zonder dat het een extra belasting voor de ESX server oplevert. Men kan dan van de snapshot functionaliteit gebruik maken, tenminste als de SAN hardware dit ondersteunt. Bij NAS systemen kan via het NFS protocol een image-level backup worden gemaakt. Wel men toch van de traditionele backup methode dan dient men serieus rekening te houden met een aantal, hiervoor al genoemde, bezwaren (backup van data in consistente staat, voldoende netwerkbandbreedte, backup agents binnen VMs consumeren tijd). In een grote datacenter omgeving kan toepassing van de traditionele backup methode bij VMs dan tot problemen leiden. VMware biedt met behulp van VCB een oplossing voor een aantal van deze backup problemen: reductie van de belasting op de ESX servers; wegnemen van de ‘backup window’ door van snapshots gebruik te maken; eenvoudiger backup beheer en backup van VMs, ongeacht hun staat (wel of niet powered up). VCB maakt het gebruik van agents op elke VM overbodig en biedt zowel file-level, volledige- en incrementele backup van VMs waarop een Microsoft OS draait; alleen een image-level backup voor elk ander type operating system wordt ondersteund. VCB is met een enkele ESX Server host of met een VC management server te gebruiken. © Copyright 2008 Bram Dons IT-TrendWatch
Het bestaat uit een verzameling utilities en scripts die samenwerken met de third-party backup software, bijvoorbeeld de hier besproken vRanger Pro. Om er zeker van te zijn dat VCB met de specifieke backup software samenwerkt, kan VMware of de leverancier van de backup software het voorzien van de noodzakelijke integratie modules. Deze bevatten dan de pre-backup en post-backup scripts. De third-party software, integratie module en Consolidated Backup draaien op een VCB proxy, wat een fysieke server of VM kan zijn waarop een Microsoft Windows operating system draait (Windows Server 2003, 32- of 64-bit). Het type storage device waartoe een ESX Server toegang tot heeft, bepaald de transportmethode en de wijze waarop de VCB proxy server toegang heeft tot de virtuele disk data. VMware ondersteunt de volgende twee Consolidated Backup methodes: SAN mode (Fibre Channel en iSCSI) en LAN mode. In de SAN mode leest VCB direct de virtuele disk data van het gedeelde SAN device zodat het backup proces wordt ‘offloaded’ van de ESX Server naar de VCB proxy. VCB maakt een snapshot van een VM en gebruikt VMware Tools om het file system van de VM tijdelijk stil te leggen, zodat bij het nemen van de snapshot alle uitstaande wijzigingen van data naar disk zijn weggeschreven en de data zich in een consistente staat bevindt. Daarna wordt de Virtual Machine Disk file (VMDK) naar een aparte fysieke server getransporteerd (de backup proxy server) alwaar een backup van de hele file wordt gemaakt. Het proces verloopt als volgt (zie figuur 3): de VCB proxy server communiceert met de VC waar een snapshot wordt geïnitieerd van een VM. De snapshot opent de VMDK voor export of voor het maken van een kopie en houdt daarna alle veranderingen op de VMDK bij. De kopie of export wordt op de proxy server gestationeerd en vandaar naar tape of backup disk getransporteerd, met behulp van een data mover of een andere voorziening (handmatige geschreven backup script, geautomatiseerde backup tool, en zo voort). Er zijn wel enkele restricties bij de toepassing van VCB. Zo kan de proxy server geen VM zijn (in tegenstelling tot wat in de VMware Backup Guide staat te lezen), kan niet op een VC server worden geïnstalleerd, moet in VC gelicenseerd zijn en de proxy server moet een HBA hebben die verbonden is met de SAN. Verder zijn er nog instellingen nodig met betrekking tot de fabric zones van de VCB proxy server en het SAN. Afhankelijk van de grootte van het VMDK bestand, maakt Vizioncore in een van haar white papers melding van een verdubbeling van de doorvoersnelheid bij de combinatie vRanger en VCB.
© Copyright 2008 Bram Dons IT-TrendWatch
Figuur 3: vRanger Pro met VCB Volume Shadow Copy optie Het proces om een VSS enabled backup, voorafgaand aan een backup, te implementeren is complexer dan de eenvoudig creatie van een VSS snapshot van een guest. Bij een dergelijke aanpak zou voor een te restoren image eerst een VSS moeten worden geopend, wat problemen kan veroorzaken. vRanger bevriest slechts een deel van de VSS om de schrijfopdrachten op te houden, het file system buffer leeg te maken en tenslotte het guest file system te bevriezen. Daarmee kan het een Windows file systeem tijdelijk ‘stilleggen’ (zogenaamde queiescing) zodat er geen enkele schrijfopdracht naar een file system actief meer is tijden het maken van de snapshot; dit biedt de garantie dat het file system ‘level consistent’ blijft. Het exacte proces verloopt als volgt (zie figuur 4): De requester vraagt VSS om de schrijfopdrachten te verzamelen, voor te bereiden op de creatie van de shadow copy, een XML beschrijving van de backupcomponenten naar de VSS te sturen en de restore methode te definiëren. De writer prepareert de data, door bijvoorbeeld alle open transacties en rolling transaction logs af te maken en caches te flushen. Na beëindiging daarvan brengt de writer de VSS daarvan op de hoogte, die vervolgens een ‘commit’ shadow copy fase initieert. VSS vertelt de writers om hun data schrijfopdrachten voor enkele seconden te bevriezen om de VMware Snap shot te creëren; het ophouden van de applicatie mag niet langer dan een minuut duren. VSS flushes het file system buffer en bevriest het file system zodat de file system metadata en data op een consistente manier kan worden weggeschreven. Daarna ontdooit (thaws) VSS het file system en verlost de writers van hun tijdelijke inactieve fase en worden alle in queues opgeslagen write I/Os afgemaakt. VSS informeert de writers of alle I/Os tijdens de vriesfase goed zijn bewaard, zo niet, dan wordt de requester daarvan op de hoogte
© Copyright 2008 Bram Dons IT-TrendWatch
gebracht (die daarna het proces vanaf het begin weer kan opstarten). Bij een geslaagde bevriezing zal de VSS de informatie terugspelen naar de requester. Let wel, zelfs in combinatie met VSS, vRanger is alleen bedoeld als tool voor het maken van een image-level backup. Aanbevolen wordt dat de juiste database agent wordt gebruikt voor het onderhoud van de database en mailbox restores. Met de combinatie van een agent-gebaseerde database backup en een consistente, buiten de guest, image level backup kan daarmee een volledig functionele backup/recovery strategie worden geïmplementeerd.
Figuur 4: vRanger met Volume Copy Service Bij wijze van proef installeren we een SQL Server 2005 database op een Windows 2003 R2 32-bit VM (zie figuur 5). De VSS optie moet van te voren op de betreffende VM worden geïnstalleerd door middel van installatie van Vizioncore VSS service op de geselecteerde VM. Na een geslaagde backup van de actieve VM met een draaiende SQL Server volgde een geslaagde restore. Bij de configuratie van de VM backup wordt de VSS optie aangezet. Met een aparte ‘Disable Guest Quiescing’ flag kan de VMware Tools Synch driver bij het maken van een backup worden uitgeschakeld. Deze vlag moet aan staan bij een backup van een database server (bijvoorbeeld SQL Exchange, Active Directory of Oracle). Bij gebruik van VCP backup bestuurt vRanger niet de VMware snap shots, zodat deze optie niet kan worden gebruikt. Om VCB het gebruik van de sync driver te blokkeren moet het van de VMware tools worden verwijderd.
© Copyright 2008 Bram Dons IT-TrendWatch
Figuur 5: Hot backup van VM met SQL Server vReplicator VRanger Pro is ook te combineren met Vizioncore’s vReplicator, een host-level image replicatie oplossing voor VMware waarmee een VM is te repliceren. vRanger Pro bevat een file locking mechanisme wat een foutvrije interactie met vReplicator mogelijk maakt. Tijdens het openen van een VMs snapshot door vRanger wordt een file lock geplaatst, vReplicator leest deze lock en zal niet proberen om een snapshot te openen op dezelfde VM totdat de lock is verwijderd. Het proces werkt ook omgekeerd, waarbij vRanger een bestaande file lock leest die door vReplicator is geplaatst. De-duplicatie met Data Domain Ongecomprimeerde VM backups zijn eenvoudige, volledige, backups van een bron VM. Ze kunnen worden gebruikt voor ‘hot cloning’ maar het belangrijkste doel is de integratie met een de-duplicatie oplossing, zoals die van de firma Data Domain. Net zoals andere image-level backup oplossingen vraagt een volledige backup met vRanger ook de nodige opslagruimte; VMs zelf zijn tamelijk grote bestanden. De opslag van tientallen, zo niet honderden, VMs kan dan snel tot een opslag capaciteitsprobleem leiden want de benodigde opslagcapaciteit is vaak twee tot driemaal van de primaire opslag. Zo kan een tijdens een zevendaagse retentionperiode een 50 Gigabyte VM al meer dan 100 of 150 GB aan opslagruimte vragen. Door het product Data Domain te integreren met vRanger kan via de ‘inline’ data de-duplicatie methode redundante opslag van data worden voorkomen. Zoals we zagen wordt vRanger Pro op de VMware VCB © Copyright 2008 Bram Dons IT-TrendWatch
proxy server (ingeval van VCB) of een fysieke Windows-gebaseerde backup server geïnstalleerd. Deze server ziet het Data Domain device als een normale netwerk share en wordt op de vRanger Pro server als een normale CIFS share gemount. Op basis van een backup policy biedt volgens Data Domain’s zeggen een 20 tot 100 maal hogere logische opslagcapaciteit bij een doorvoersnelheid van 200 MBs. Data Domain is een passieve appliance en het is daarom niet nodig om het backup proces aan te passen of sofware op de servers te installeren.
Figuur 6: Integratie vRanger Pro met Data Domain Samenvatting Door de hoge kosten en complexiteit zien IT-managers er vaak van af om van alle servers in de data center een volledige image backup te maken en beperken ze zich tot de meest kritische server met de laagste RTO en RPO eisen. Het resultaat is dat voor het merendeel van de servers men volstaat met een agent-gebaseerde file-livel backup oplossing. De tekortkomingen van een dergelijke backupstrategie komen pas aan het licht wanneer er een serieuze systeem crash plaatsvindt en er een langdurig herstelproces van het opnieuw opbouwen van het OS, applicaties en herstel van data moet gaan plaatsvinden. De toepassing van virtualisatie in de datacenter maakt een werkbare image-level backup mogelijk waarbij een bare-metal restore de RTO tijd aanmerkelijk kan verkorten. De toepassing van Vizioncore’s vRanger Pro maakt een op grote schaal toepasbare ‘hot’ full image backup mogelijk van alle VMs binnen de VMware virtuele omgeving. Van zowel actieve als en niet actieve VMs en zelfs VMs die op dat moment met VMotion worden verplaatst kan een backup worden gemaakt. Tenslotte, de richtprijs (excl BTW) is 419,00 euro, per CPU. In deze prijs zit een jaar support (inclusief gratis updates) inbegrepen. De P2V Disaster Recovery module (om ook fysieke machines te backuppen) is optioneel en kost (excl BTW) 259,00 euro per server en in deze prijs zit eveneens een jaar support. vRanger Pro wordt gelicensed per fysieke CPU (socket, niet core), en niet per Virtuele Machine zoals vaak het geval is met klassieke backup en recovery software. Dit levert meestal een enorme kostenbesparing op per server. Een groot voordeel is dat met deze licenties ook virtuele desktops binnen een © Copyright 2008 Bram Dons IT-TrendWatch
VDI omgeving geback-upt kunnen worden, en dit zonder backup agents te installeren op de desktops, en zonder een fee te moeten betalen per desktop.
Informatie op Internet: www.vizioncore.com/vRangerPro.html www.vmware.com/products/vi/consolidated_backup.html www.datadomain.com
© Copyright 2008 Bram Dons IT-TrendWatch
