Hva er BaaS (Backup as a Service), og hvordan virker det?

USIT er ikke en kommersiell akt?r i markedet, og tilbyr backuptjenester kun til organisasjoner i UH-Sektor og organisasjoner tilknyttet UH-Sektor.

 

Systemoppsett

UH-BaaS SystemLayout

Supported identity providers

Supported Cloud services

Supported Cloud Storage Products

 

Kommunikasjon

Grunnleggende (SRC Basic):

Backup kommunikasjon g?r i det grunnleggende oppsettet direkte fra kundens backup agenter, gjennom USIT sine backup proxyer, og deretter inn i det sentrale backupsystemet. Dette oppsettet gir mulighet for backup av laptop/arbeidsstasjoner og servere.

I dette oppsettet er det kun software agenter som m? installeres hos kunden, og det er veldig raskt og enkelt ? komme i gang.

Bildet kan inneholde: produkt, bilbelysning, font, parkeringslys for bil, linje.

Backupdata i UH-BaaS lagres p? datasystemer som er plassert i USIT sine datahaller i Norge.

 

 

Hva blir det tatt backup av ?

Edge ( Laptop og arbeidsstasjoner ):

Servere:

Utvidet (SRC Advanced):

Databaser:

Dette oppsettet er et tillegg til det grunnleggende oppsettet, men som tillegg kommer konfigurasjon for ulike database typer. Det er fremdeles kun snakk om software komponenter, men det er noe mer konfigurasjon basert p? n?dvendig oppsett for forskjellige typer av databaser. Installasjon av Commvault software for ulike database typer kan gj?res som push install p?bygg til standard filsystem agent.

Properties for MSQL og Oracle databaser:

Storage:

Ett oppsett for backup av storage systemer er tiln?rmet likt SRC Basic, men for de fleste lagringssystemer m? det installeres en eller fler proxy server(e) (Data Access Node (DAN)) i kundens milj?er for ? f? tilgang til filomr?der som er delt ut fra lagringssystemene (NAS). For en rekke andre lagringssytemer finnes det egen Commvault agenter som defineres som pseudo-klienter i Commvault. Slike DAN servere er maskiner i kundens mij? der det blir installert en Commvault software komponent (filesystem agent) p? lik linje som en vanlig server. For store lagringsystemer anbefaler vi flere DAN servere for ?kt performance og feiltoleranse for backup.

Bildet kan inneholde: hvit, lys, produkt, bilbelysning, font.

 

 

 

 

 

 

 

 

Virtuell:

Dette oppsettet best?r av tre Commvault komponenter for ? h?ndtere backup og restore av virtuelle maskiner. Komponentene som m? p? plass for backup, og restore av virtuelle maskiner er en psudo VMware vcenter klient (VCSA) i Commvault systemet som styrer kommunikasjonen mellom VM clusteret og Virtuell Server Agent (VSA). VSA installasjonene er Windows baserte virtuelle maskiner, og kan benyttes ogs? for ? gj?re restore av enkeltfiler fra backup av virtuelle Windows gjestemaskiner.

Det m? defineres 1 VCSA pr virtuelt cluster.

Man m? ha minimum 1 VSA pr virtuellt cluster, men vi anbefaler minst 2 VSA (for lastbalansering og redundanse. I store VMware milj?er anbefaler vi ytterligere 2 VSA pr 2000 gjestemaskiner.

Under konfigurasjon m? VSA installeres f?r man oppretter VCSA.

Oppsett av VSA

Dersom man skal gj?re restore av enkeltfiler fra virtuelle Linux gjestemaskiner m? man i tillegg ha p? plass en File Recovery Enabler (FRE).

Man m? ha minimum 1 FRE pr. organisasjon dersom man har behov for ? kunne gj?re restore av enkeltfiler fra virtuelle Linux gjestemaskiner.

FRE

Ved etablering av Commvault File Recovery Enabler ettersp?rres det informasjon

  • CS Configuration:
    • CS Client Name uh-baas
    • CS Hostname/IP: uh-baas.uio.no
    • CS Username: Bruker som har rettigheter til ? installere
    • CS Password Passord til bruker som har rettigheter til ? installere
  • Firewall Configuration - Indicate whether the CommServe system is behind a firewall and enter values for Option 1, Option 2, or Option 3:
    • Is CS behind a firewall?: YES
    • For Option 3, enter all of the following values:

      [Option 3] Proxy Clientname: bu-cc4-eap01

    • [Option 3] Proxy Hostname: bu-cc4-eap01.uio.no

      [Option 3] Proxy Port number: 8403

Commvault dokumentasjon:

Etablering av Commvault File Recovery Enabler (OVA)

 

Hva blir det tatt backup av ved backup av virtuelle systemer:
VMware:

Bakcup av gjestemaskiner bruker vmware infrastrukturen for ? kunne ta backup. For at vi skal kunne ta backup m? derfor vmware infrastrukturen v?re i stand til ? at snapshot av hele den virtuelle gjestemaskinen. For store virtuelle gjestemaskiner anbefaler vi ? bruke agentbasert backup for ? unng? ? belaste vmware infrastrukturen med ? ta store snapshot.

Hva som er ansett for ? v?re en stor virtuell gjestemaskin er individuelt pr virtuelt cluster, og hvor godt det er rustet til ? ta snapshot. (I USIT sitt interne milj? velger vi ofte ? benytte agentbasert backup for virtuelle gjestemaskiner som er over 1 TB).  

Vmware lager ett snapshot, og det er dette snapshotet som danner grunnlaget for backup. Det vil si at dersom en gjestemaskin har virtuelle disker som er definert som "independent", s? vil ikke disse diskene v?re med i snapshotet. Independent disker er ikke en del av vmware backup.

Default vil backup av virtuelle maskiner v?re at det tas backup av alle virtuelle gjestemaskiner i hele vmclusteret. Det kan ekskluderes maskiner basert p? navn / regexp, og eventuelt bruk av vmware tags (m? konfigureres pr virtuelt cluster).

NB: Dersom kunden har fler vmware cluster, og maskiner blir flyttet mellom ulike cluster vil ikke ekskludering (filtrering) basert p? navn/regexp i backupsystemet for maskiner som ikke skal tas backup av f?lge med mellom de virtuelle clustrene.

 

Cloud:

Dette oppsettet er mer avansert p? grunn av de mange forskjellige mulighetene som finnes for skybaserte tjenester. Felles for alle skybaserte tjenester er at det m? installeres minst 1 Cloud Application Proxy (CAP).

I store milj?er anbefaler vi ytterligere 1 CAP pr 5000 named users som det skal tas backup av.

Maskinene som kj?rer CAP er Windows baserte virtuelle maskiner. CAP maskinene kommuniserer med MediaAgentene og plasseres som regel i det virtuelle milj?et til USIT, men CAP maskinene kan ogs? plasseres i Kundens milj?. Restore av data ved bruk av CAP gj?res som regel sky-til-sky.

Skybaserte tjenester trenger brukertilgang med lese (backup) og skrive (restore) tilgang til skytjenesten. For ? ?ke performance p? backup/restore kan det v?re aktuelt ? benytte flere skykontoer for ? kunne parallelisere backupene. Vi anbefaler ytterligere 1 skykonto pr. 500 brukere det skal tas backup av opp til 2500 brukere, og deretter ytterligere 1 skykonto pr 1000 brukere.

Bildet kan inneholde: produkt, bilbelysning, parkeringslys for bil, font, motorkj?ret?y.

Backup agenter

Commvault backup agenter er bygget opp med ett byggestensprinsipp der Filesystem Core er det grunnleggende. Filesystem Core er tilgjengelig for de aller fleste operatisystem. N?r backupagenten for Filesystem Core er installert er det denne komponenten som h?ndterer kommunikasjonen og autorisasjon til de sentrale enhetene i Commvault.

Bildet kan inneholde: tekst, produkt, font, linje.

N?r Filesystem Core komponenten er installert kan man utf?re p?bygg av agenten. P?bygg av agenten kan gj?res enten under installasjonen der man installerer en pakke best?ende av Filesystem Core sammen med andre komponenter. (F.eks Filesystem Core sammen med Filesystem, og MSSQL database agent.) Eller man kan legge til komponenter senere direkte fra backupsystemet ( push-install ).

Eksempelvis kan man tenke seg at man har en installasjon med Filesystem Core, Filesystem og MSSQL agent, men ?nsker i tillegg ? ta backup av Oracle databaser p? samme maskin. I ett slikt tilfelle kan man gj?re en push-install av Oracle backup komponenten direkte fra backupsystemet.

Oppgradering og patching av installerte backupagenter gj?res som push-upgrade fra backupsystemet sentralt.

 

Skedulering av backup

Backup intervallene i UH-BaaS er satt opp i henhold til backup planer. Planene er satt for ? spesifisere hvor lenge backupen skal lagres, hvilke intervaller backupen skal kj?res, hvor backup data skal lagres og hvilken RPO som skal gjelde for backupene.  

Som standard er det satt 8 timers RPO for all backup i UH-BaaS. Backupene kj?res stort sett med ett intervall p? 24 timer. Slik at for ? kunne opprettholde 8 timers RPO er det i tillegg til backup kj?reingene angitt ett antall snapshots i l?pet av hvert d?gn.

Bildet kan inneholde: bl?, gr?nn, tekst, skr?ningen, linje.

Pris for backuptjenesten

Prisene for backuptjenestene beregnes ut fra kundens lisensforbruk, front-end st?rrelse, og hvor lang retentiontid som ?nskes for backupen.

Det er definert serviceniv?er for ? etablere standard er for tjenesten. En kunde kan benytte flere serviceniv?.

Service levels

Prise for tjenesten er angitt  her

UH-BaaS har funksjonalitet og kapasitet for air gap lagring og skrivebeskyttet (WORM) backup kopi. Slik funksjonalitet er ikke en del av standard tjenesten, men prises individuelt.

Etablering av ny kunde i UH-BaaS

Konfigurasjon med FEIDE

N?r det er inng?tt en avtale om ? etablere backup gjennom UH-BaaS, og det skal benyttes autorisasjon gjennom FEIDE m? f?lgende utf?res:

USIT:

USIT IT m? kontakte lokal FEIDE  administrator p? USIT og ?pne for at kunden kan benytte UH-BaaS tjenesten.

Kundens organisasjon m? opprettes i Commvault

  • Company name = organisasjonens norske lovlige navn
  • Company alias settes til kundens Br?nne?syundregister organisasjonsnummer slik det fremkommer i FEIDE som eduPersonOrgDN:norEduOrgNIN
  • Identity server FEIDE endres slik at Associated SMTP inkludeder mail domain som skal videresendes for autorisasjon i FEIDE

Kunde:

Kundens lokale FEIDE administrator m? akseptere UH-BaaS som tjeneste.

 

Konfigurasjon med Azure AD

N?r det er inng?tt en avtale om ? etablere backup gjennom UH-BaaS, og det skal benyttes autorisasjon gjennom Azure AD m? f?lgende utf?res:

Commvault dokumentasjon, Azure som identity provider

Kunde:

IT organisasjon hos kunde m? f?lge prosedyren som er beskrevet av Commvault punkt 1. a) - g). og sender Federated Metadata XML til backup-core@usit.uio.no

USIT:

USIT etablerer kunden i UH-BaaS ved ? f?lge Commvault dokumentasjon punkt 2. a) - c) og sender SP Metadata XML fil til kunde sammen med Single sign-on url til kunde.

USIT gj?r attribute mapping

  • user.userprincipalname  = user name
  • user.mail = Email

Kunde:

IT organisasjon hos kunde f?lger prosedyren punkt 3. a) - d)

N?dvendig nettverksoppsett fra kunde

Backupl?sningen benytter proxy servere for kommunikasjon mellom kundens nettverk og backup systemet. Det er ingen begrensninger i USIT nettverksoppsett p? hvor trafikken skal komme fra eller g? til annet enn at det er sperret for alt annet enn TCP port 8403. L?sningen er tilgjengelig fra hele verden.

Trafikken vil g? gjennom en SSH kryptert TCP tunell som initieres fra klienten hos kunden.

Trafikken initieres p? h?y port p? klienten mot TCP port 8403 p? v?re backup proxy servere.

Proxy serverne vil svare fra TCP port 8403 og til den h?ye TCP porten som klienten initierte trafikken med.

En firewall hos kunde m? tillate at trafikk g?r ut fra deres nettverk til proxy serverne mot TCP port 8403, og firewallen m? tillate at proxyene svarer med ESTABLISHED connection fra TCP port 8403 mot kundens klientmaskin.

Bildet kan inneholde: tekst, linje, parallell, diagram.

Viktig: Dersom det er en firewall som gj?r avansert traffic pattern analyse f.eks IPS eller Application control, og ikke kun en port firewall kan det v?re ytterligere krav som  m? tilfredsstilles p? Kundens firewall systemer for ? slippe trafikk gjennom firewallen.

 

Liste over Edge Access Proxy (EAP) servere:

Servernavn Port
bu-cc4-eap01.uio.no tcp/8403
bu-cc4-eap02.uio.no tcp/8403

 

Publisert 9. okt. 2020 09:16 - Sist endret 9. feb. 2022 13:36