はじめに
本稿ではVeritas NetBackup を用いて、特定のユーザに特定のVMware仮想マシンの保護と復旧を権限移譲し、セルフサービス化を実現する方法をご紹介します。NetBackupでは、Webユーザインタフェース(NetBackup WebUI)にて役割ごとのアクセス制御(RBAC:Role Base Access Control)を設定することで自分の仮想マシンを自分でバックアップ・リストア可能なセルフサービスを実現します。
VMwareのデータ保護の課題 と セルフサービス化のメリット
エンタープライズクラスのVMware環境は昨今大規模なものが増え始めており、数千VMで構成される環境も珍しくなくなってきました。そのため、バックアップ管理者がすべてのVMのバックアップ・リストアを各利用者ごとの意向に沿って一手に引き受けるのは困難になってきました。
一方仮想マシンの利用者側もバックアップ・リストアを実施したい時に、都度バックアップ管理者にお願いするのでは加速するビジネス要件に合った保護復旧を迅速に行えないという問題も出てまいりました。
バックアップ運用について
NetBackupでは条件に合致するVMを自動検出しバックアップすることが可能ですので、数千VMを一括バックアップ設定するのは容易なのですが、VMごとにバックアップ要件が異なる場合、バックアップ管理者がそれら数千VMに対して一つ一つバックアップスケジュールや保存期限を設定・管理するのは非常に困難となります。この様な場合、特定のユーザに自身が管理するVMのバックアップ制御を委譲できれば、それぞれのユーザごとの要件に見合ったバックアップ運用が可能となります。また、即時バックアップの権限も移譲することができれば、ユーザがゲストOSの構成変更を行う前後など好きなタイミングで自身のVMをバックアップすることも可能になります。
リストア運用について
バックアップ管理者のみが各VMやゲストOS内のデータ復旧が可能な場合は、各VM利用者が自身のデータの復旧が必要となった際、バックアップ管理者に都度復旧を依頼しなければなりません。データの復旧が必要な場面の多くはデータロストが発生した状態ですので、VM利用者にとっては緊急対応が必要な状態にあるのが一般的です。そのため、バックアップ管理者は休日や深夜であっても緊急にデータ復旧を行うよう依頼される可能性があり、心が休まる間もありません。一方利用者側も一刻も早くデータ復旧しなければならない状況で、バックアップ管理者に連絡がつかなかったり、復旧開始まで待たされたりする可能性があり、ビジネス上の大きな損失につながりかねません。この様な場合、VM利用者が自身のVMのリストアを自身で行えるようになっていれば、バックアップ管理者への負荷も低減され、VM利用者も迅速に自身のビジネスを復旧に導くことが可能です。
想定環境
本稿では以下の環境を想定し、特定のユーザ「user1」が特定の仮想マシン「vm1とvm2」のバックアップ・リストアが行えるようにするための権限設定について紹介します。
今回保護対象とした環境は以下となります。
・NetBackup v8.3.0.1 (Windows Server 2019Standard上に構築)
・vCenter server appliance v6.7.0
・ESXI host v6.5
・仮想マシン上のGuestOS: Windows Server 2016 Datacenter
図-1 想定環境
NetBackup WebUIによる保護権限設定の構造
NetBackup WebUIにて以下の各オブジェクトを紐づけ、各オブジェクトに権限設定を行うことで特定のユーザに特定のVMのバックアップ・リストア権限を割り当てることができます。
図-2 保護権限設定のオブジェクト構造
・保護計画:バックアップ先、バックアップスケジュール、保持期間等の保護に関する定義
・ロール:NetBackupの各種操作のうち許可する操作の定義
・仮想マシン:保護対象とする仮想マシン
・ユーザー:NetBackupの捜査権限を与えるユーザ
・vCenterサーバ:ユーザーにリストア先としての許可を与えるvSphere環境のvCenterサーバ
この関連付け操作はNetBackup WebUIに管理者ユーザでログインして詳細な権限設定を行います。
以下はWebUIにてVMwareの仮想マシンに対する保護権限設定を行う際の操作項目、オブジェクト、設定内容を図式化したマップです。
WebUIにてどの項目で何を設定すればよいのかの参考にしてください。
図-3 VMwareの仮想マシンに対する保護権限設定を行う際の操作項目、オブジェクト、設定内容を図式化したマップ
※本稿ではVMware仮想マシンに対する保護についてのみ説明していますが、保護権限の委譲はVMware以外にOracle, MS-SQL, RHV, クラウドインスタンスに対しても行うことが可能です。
保護権限の委譲設定
NetBackup WebUIに管理者権限でログインします。
今回はuser1にvm1とvm2のバックアップ・リストア権限を与えてみます。
バックアップはスケジュールバックアップ(保護計画)とオンデマンドバックアップ(今すぐバックアップ)を許可します。
リストアは仮想マシンのリストアとGuestOS内へのファイル単位のリストアを許可します。
リストア先としてvCenterサーバー「vcsa-174.katsuno.test」を許可します。
- NetBackup管理者:administrator
- NetBackupマスターサーバーホスト名:w2k19-52.katsuno.test
- 許可対象ユーザ:katsuno\user1 (ADドメインkatsunoのuser1)
- 保護対象VM: vm1, vm2
- 許可する保護計画:Daily-backup-2weeks-retain
- 日次16時15分にバックアップ開始
- 2週間バックアップデータ保管
- バックアップ先ストレージ:MSDP-stu
- リストア先として許可するvCenterサーバー:vcsa-174.katsuno.test
- 許可する操作:
- スケジュールバックアップ(保護計画)の割り当て
- オンデマンドバックアップ(今すぐバックアップ)
- VMへの上書きリストア
- GuestOS内へのファイル単位のリストア 以降に上記を設定する操作を紹介します。
管理者 administratorでNetBackup WebUIにログイン
Webブラウザで「https://マスターサーバー/webui」にアクセス
①保護計画の作成
新規に作成する保護計画の名前、説明作業負荷(保護対象の種類=VMware)を入力、選択
スケジュールを追加します
バックアップ形式、バックアップの間隔、保持期間を設定
日曜日のバックアップ開始時刻を指定してその他の曜日に複製
スケジュール設定を確認して次へ
バックアップ保存先を編集
事前に構成済みの重複排除プール(MSDP)を選択
確認して次へ
VMバックアップ時のスナップショットオプションをデフォルトの「NetBackupスナップショットを削除してバックアップを続行する」を選択して次へ
※前回のバックアップ中にNetBackupがリブートされた場合などはバックアップの後処理が行えずVMのバックアップ用スナップショットが残ったままになります。次回のバックアップの際に前回のVMのバックアップ用スナップショットが残っていた場合にどのような挙動を行うかの選択です。
アクセス権は後で設定するためここでは追加せず次へ
設定内容を確認して完了
「保護計画を正常に作成しました」というメッセージが表示されれば保護計画の作成は成功
② RBAC(Role Base Access Control)の設定
RBACを選択し、ロールを追加
ロール名(役割名)を決めて記入し、このロールの説明を記入
権限の選択にて割り当てをクリック
NetBackupの管理の項目を開く
アクセスホストの表示を選択
NetBackupのバックアップイメージにて表示と内容の表示を選択
リストア時にバックアップイメージが表示され選択可能になります。内容の表示はファイル単位でのリストアの際に、バックアップイメージからGuestOS内のファイルツリー構造を表示します
「資産」を選択し、VMware資産(仮想マシン)に対する権限を以下の通り選択します
作業負荷の選択の「割り当て」をクリック
追加
VMwareサーバーのツリーを開き、保護対象とするVMが存在するESXiホストを選択
表示された仮想マシンの一覧から保護対象とする仮想マシンを選択し追加
確認して割り当て
「ユーザーの選択」にて割り当てをクリック
このロールに割り当てるユーザーを入力し、リストに追加
確認して割り当て
役割の追加をクリック
役割の追加が成功したことを確認し、閉じる
ロール(役割)「Backu-Restore-for-user1」が作成されリストに追加されました
次にvCenterサーバーに対して作成したロールがアクセスできるように権限を設定します。
作業負荷のVMwareを選択し、VMwareサーバータブにてvCenterサーバー「vcsa-174.katsuno.test」のオプションアイコンをクリックし、「権限を管理」を選択
追加
作成したロール「Backu-Restore-for-user1」を選択し、「リストアターゲットの表示」を選択、保存。
紐づけられたuser1がVMのリストアを行う際に、リストア先環境としてこのvCenterが表示されます。この権限を与えておかないとリストア先vCenterが表示されないためリストアができませんのでご注意ください
以下のように設定した権限が表示されれば完了
③ 保護計画にロールからのアクセス権を設定
作成済みの保護計画「Daily-backup-2weeks-retain」をクリック
アクセス権を追加
作成済みのロール「Backu-Restore-for-user1」を選択し、「表示」と「サブスクライブ」をチェック。
user1が自身のVM(vm1,vm2)にこの保護計画「Daily-backup-2weeks-retain」を自分で割り当てることが可能になります
以下のようにアクセス権が表示されれば完了です。
権限を委譲されたユーザによるバックアップ・リストア操作
ここからは仮想マシンの利用ユーザー側のセルフ・バックアップ・リストア操作を紹介します。
vm1とvm2のバックアップ・リストア権限を与えられたユーザー「user1」でNetBackup WebUIにログインしてどのようなセルフバックアップ・リストアが可能となるかをご覧ください。
ADドメインユーザkatsuno\user1でNetBackup WebUI「https://マスターサーバ/webui」にWebブラウザでアクセスしてログイン。(NetBackup WebUIではMasterサーバ上のローカルユーザもサポートされています)
user1でNetBackup WebUIにログインすると、その他の操作権限を与えていないため
保護計画と権限を与えられた仮想マシンvm1, vm2しか表示されません。
① 自身の仮想マシンへの保護計画の割り当て(スケジュールバックアップ設定)
自身の仮想マシンvm1とvm2を選択し、保護の追加を行います
追加する保護計画として先ほど作成しておいた保護計画のみ表示され三択可能になっています。
今回は1つの保護計画しか割り当てていませんが、例えば夜中にバックアップを開始する保護計画と昼にバックアップを開始する保護計画をアサインしておけば、user1はどちらのスケジュールでバックアップを実行するか自身で選択することが可能になります
選択した保護計画の内容を確認して「保護する」をクリック
保護を割り当てた直後は「構成を実行しています」と表示され、しばらくすると「計画に追加済み」に変わります
仮想マシンの状態を確認すると、「次によって保護」の欄に割り当てた保護計画が表示されます。
これで自身が利用しているvm1とvm2は自動的に毎日16:15:00にバックアップされ、バックアップデータは2週間保存されます。
② 自身の仮想マシンのオンデマンドバックアップ(今すぐバックアップ)
自身に割り当てられた仮想マシンのオプションアイコンをクリックし、「今すぐバックアップ」を選択します
今すぐバックアップしたバックアップデータの保存期間を設定するために、割り当てられている保護計画を選択しバックアップを開始します
「vm1のバックアップを開始しました」という表示がされます
バックアップが完了した場合、更新アイコンをクリックすると、最後に成功したバックアップの欄の日付が更新されます。これでバックアップが完了しました
③ 自身の仮想マシンのリストア
9月28日16時16分にバックアップされたvm1をvm1-restoreという仮想マシン名で、同じ名前のVMが存在する場合上書きリストアする設定でリストアしてみます。
リストアしたい仮想マシンvm1をクリック
「リカバリポイント」タブを選択し、日付を選択し、リストアしたいバックアップ時刻の「リカバリ」をクリックし、「仮想マシンのリストア」を選択します。
ここでの例は16:16のバックアップのみ表示されていますが、1日に複数回バックアップを行っている場合は複数の時刻のバックアップがリストされますので、リストアしたい時刻のリカバリを行ってください
リストアした際に作成される仮想マシン名を記入します。
以下の例はバックアップ元と別名の仮想マシンにリストアした例ですが、バックアップ元の仮想マシンに上書きリストアしたい場合はバックアップ元の仮想マシン名「vm1」をそのまま指定します
上記では別名でリストア指定していますが、その別名仮想マシンと同じ名前の仮想マシンが存在する場合でも「既存の仮想マシンの上書きを許可」を選択すれば、上書きリストア可能です。
今回は上書きリストアを指定していますが、別名指定した仮想マシンが偶然他のユーザー仮想マシンとして存在していた場合、他人の仮想マシンを上書きしてしまうことになりますので、別名リストアする際には「既存の仮想マシンの上書きを許可」を選択しないことをお勧めします。
今回は「リカバリ後に電源をオン」を選択していませんが、選択するとVMがリストアされた後に自動的にGuestOSが起動されます。
ただし、バックアップ元仮想マシンが正常に起動している状態で別名リストアした仮想マシンも起動させるとMACアドレスやIPアドレスがバッティングしますのでご注意ください。
ここでは設定していませんが、リカバリの際の詳細オプションでは、「元のネットワーク構成の削除」という選択も可能ですので、MACアドレスのバッティングを避けたい場合などは必要に応じて選択してください
リカバリ前チェックが成功したら「リカバリの開始」を実行します
リカバリが開始されると「リストアアクティビティ」タブにリストアの状態が表示されます。
リストア中はジョブの状態が「有効」となります
リストアが完了するとジョブの状態が「完了」に変わります
以上で仮想マシンの別名リストアは完了です
④ 自身のGuestOS内にファイルをリストア
9月28日16時16分にバックアップされたvm1からGuestOS内のC:\testdata\win.日本語ファイル.bmpファイルを元の場所にリストアしてみます。
※NetBackupでは仮想マシンのバックアップイメージからGuestOS内のファイルを直接既存の仮想マシンのGuestOS内にリストアする機能があります。
この機能を使用するためには、事前にGuestOSにVMware Toolsを導入し、NetBackupマスターサーバーのレポジトリにVxUpdateというモジュールを追加しておく必要があります。
VxUpdateの入手方法とマスターサーバーへの追加方法については付録として最後に追記しましたので、必要に応じてご参照ください
正常にファイルリストアが行えることを確認するために、リストア先GuestOS(Windows)にログインし、リストア対象ファイル、今回は「win.日本語ファイル.bmp」を削除しておきます。
削除されました
NetBackup WebUIにuser1でログインします
リストアしたい仮想マシン「vm1」をクリックします
リカバリポイントタブを選択し、リストアしたい日付をクリックし、リストアしたい時刻の「リカバリ」をクリックして「ファイルとフォルダをリストアする」を選択します
リストアしたいファイルをリストに追加するために「追加」をクリック
フォルダツリーを開いて、リストアしたいファイルが存在するフォルダを選択し、リストアしたいファイルをチェックして「追加」をクリック
リストにつかされたファイルが表示されます。ほかのファイルやフォルダを追加したい場合は「追加」をクリックして追加することが可能です。
「すべてを元のディレクトリにリストア」を選択して、リストア先VMのGuestOSにログインするための管理者ユーザ名とパスワードを入力
いろいろリストアオプションはありますが、今回はデフォルトのまま次へ
リカバリチェックが成功したら「リカバリの開始」をクリック
リカバリが開始されると「リストアアクティビティ」タブにリストアの状態が表示されます。
リストア中はジョブの状態が「有効」となります。
リストアが完了するとジョブの状態が「完了」に変わります
GuestOS上で削除しておいたファイル「win.日本語ファイル.bmp」が無事リストアされました
おわりに
いかがでしたでしょうか。NetBackup WebUIではバックアップ・リストア権限を非常に細かく設定することが可能なため、どの操作で何を設定すべきかわかりにくい面もございますが、本稿で説明した設定方法のサンプルが、実際のNetBackup環境にて特定ユーザへのバックアップ・リストア権限移譲を設定する際の一助となれば幸いです。
NetBackup v8.3の設定および操作に関する詳細は正規ドキュメントをダウンロードいただきご参照ください。
※サイトの右上でドキュメント言語の選択が可能です。
VMware環境のバックアップについては是非とも、NetBackup をご検討いただければ幸いです。
以上
付録:VMware GuestOS内にエージェントレス・ファイル・リストアを行うための事前設定
NetBackupではバックアップした仮想マシンバックアップイメージから稼働中のGuestOS内にエージェントレスでファイルリストアを行うことが可能です。
この際のリストアは、ESXiホストにリストア用テンポラリ仮想マシンを作成し、そこにリストアファイルをtar形式でまとめたものを転送して、ここからVMware Tools経由でGuestOS内にファイル転送してリストアを行います。
この機能を実施するためにはNetBackup Master server内にVxUpdateというモジュールを配置しておく必要があります。
VxUpdateは各種OS用のものが存在しますが、VM Agent lessファイルリストアがサポートされているのはWindows用、Redhat Linux用とSuSE Linux用のみで、
これら3種類のGuestOSに対してAgent less File Restoreが可能となっています。
以降にVxUpdateモジュールの入手方法とMaster serverへの配置方法を紹介します。
① VxUpdateの入手方法
以下のURLにアクセスします。
https://www.veritas.com/content/support/en_US/downloads/detail.REL746080
※このサイトからはVxUpdateを含む各種NetBackup関連のバイナリがダウンロード可能です。
ダウンロードサイトにサインインします。
アカウントがない場合は「Create One」をクリックして作成してください。
「Base and update installers」から必要なVxUpdateを選択し、Downloadをクリックします。
以下ではRedhat Linux版とWindows版を選択していますが、SuSE Linux版も必要であれば選択します。
End User License Agreementに同意いただける場合はチェックし、Downloadします
ファイルを保存します
ダウンロードの完了を待ちます
ダウンロードが完了したら、NetBackup Master serverにログインし、nbrepoコマンドでダウンロードしたVxUpdateをレポジトリに追加します。
以下はWindows版NetBackup Master Serverの例です。
nbrepoコマンドはNetBackupインストールフォルダのadmincmdは以下に存在します。
<VxUpdateのレポジトリへの追加>
nbrepo -a <ダウンロードフォルダ>\vxupdate_nb_8.3.0.1_redhat_x64.sja
nbrepo -a <ダウンロードフォルダ>\vxupdate_nb_8.3.0.1_windows_x64.sja
<レポジトリに追加されたVxUpdateの確認>
nbrepo -l
上記の様に表示されればGuestOSへのエージェントレス・ファイル・リストアが可能になります
商談のご相談はこちら
本稿からのお問合せをご記入の際には「コメント/通信欄」に#GWCのタグを必ずご記入ください。
ご記入いただきました内容はベリタスのプライバシーポリシーに従って管理されます。
その他のリンク
【まとめ記事】ベリタステクノロジーズ 全記事へのリンク集もよろしくお願い致します!