VOX

Una copia de seguridad es como una póliza de seguros. La quiere para su tranquilidad, pero no desea que domine su día de trabajo (ni sus noches o sus fines de semana). Usted necesita proteger los datos de sus máquinas virtuales contra posibles fallas de hardware o almacenamiento, y errores de usuarios. Además, puede estar sujeto a requisitos normativos y de cumplimiento para proteger datos en el largo plazo.

Con la introducción de las API de VMware vStorage para la protección de datos (VADP), VMware facilitó a los administradores la protección de datos de máquinas virtuales. VADP es un conjunto de API (interfaces para programación de aplicaciones) que VMware puso a disposición de los proveedores de software de copia de seguridad. Estas API permiten a los proveedores de software de copia de seguridad incorporar la inteligencia necesaria para proteger máquinas virtuales mediante la integración con vSphere. Mediante estas API, el software de copia de seguridad puede crear instantáneas de máquinas virtuales y copiarlas en el almacenamiento de copia de seguridad.

Elegir un producto de copia de seguridad que admita VADP puede parecer una tarea abrumadora, en especial, cuando los proveedores saturan las redes sociales con campañas y promociones. ¿Cuál es la mejor manera de elegir una solución de protección de máquinas virtuales?

Si su organización está en una fase de transición hacia una infraestructura virtualizada, consulte qué producto de copia de seguridad se usa actualmente para proteger infraestructuras físicas. Muchos de los proveedores líderes de copias de seguridad admiten VADP. Symantec NetBackup, Symantec Backup Exec, IBM TSM, EMC NetWorker y CommVault Simpana son algunos de ellos. No es necesario ir de compras; muchos de estos productos se han perfeccionado a lo largo de los años para controlar modernas cargas de trabajo en vSphere y aprovechar VADP.

Si no está invirtiendo actualmente en un producto de copia de seguridad o está insatisfecho con la solución actual, hay una variedad de aspectos que debe considerar. VMware ofrece un producto gratuito llamado vSphere Data Protection (VDP, que no debe confundirse con VADP) que admite algunas de las funciones de VADP. Se trata de un appliance virtual fácil de usar, con el que puede programar copias de seguridad y guardarlas en el almacenamiento de datos duplicados eliminados. También hay productos específicos (Quest vRanger, Veeam Backup & Replication, etc.), que funcionan únicamente en infraestructuras virtualizadas. Los proveedores establecidos de software de copia de seguridad, como Symantec, también ofrecen soluciones diseñadas para infraestructura de máquinas virtuales (por ejemplo, Symantec Backup Exec V-Ray Edition), que están diseñadas para infraestructuras virtuales pero que también admiten cargas de trabajo en sistemas físicos.

Ahora que sabemos que las VADP son compatibles con la mayoría de las soluciones de copia de seguridad, es aconsejable analizar las funciones de las VADP y los problemas que soluciona en entornos virtuales. No todos los productos de copia de seguridad admiten todas las funciones de VADP. Por lo tanto, es fundamental crear una lista de comprobación de las funciones que son importantes para su entorno, lo que le permitirá hacerse las preguntas correctas cuando está buscando soluciones de copia de seguridad para máquinas virtuales. Para empezar, hay tres preguntas clave que le ayudarán a reducir la selección.

Inactividad y seguridad de máquinas virtuales

Primera pregunta clave: ¿Su solución requiere que el administrador de copia de seguridad tenga acceso a las credenciales de la aplicación y/o del sistema operativo invitado?

Explicación: Con VADP, el software de copia de seguridad puede interactuar con el sistema operativo invitado mediante las herramientas de máquina virtual (herramientas de VMware vSphere que instala en cada sistema operativo invitado). Así es como el software de copia de seguridad desactiva los sistemas de archivos y las aplicaciones dentro del equipo invitado. Para entornos más pequeños, donde una única persona de confianza se desempeña como administrador de aplicaciones, sistemas operativos invitados, infraestructura de vSphere y servidores de copia de seguridad, puede elegir soluciones en las cuales el software del servidor de copias de seguridad pueda usar credenciales de sistemas operativos invitados a fin de acceder al contenido de la máquina virtual. Desde luego, la salvedad en este caso es el hecho de que un individuo que administra las copias de seguridad tenga acceso completo al entorno de producción y visibilidad de todo lo que hay allí. Por ejemplo, el administrador de copias de seguridad puede explorar los contenidos de la imagen de copia de seguridad de una máquina virtual que aloja Microsoft Exchange y, eventualmente, puede romper las barreras de seguridad o privacidad sin dejar rastros.

Las aplicaciones de copia de seguridad empresarial eliminan los riesgos para la seguridad al utilizar copias de seguridad asistidas por agente. Con este método, un agente ligero se instala en una máquina virtual que aloja aplicaciones de uso crítico con datos confidenciales. El agente se ejecuta en el contexto de seguridad del propietario de la aplicación dentro del invitado. Este agente desactiva el sistema de archivos y aplicaciones, y enumera los objetos de aplicación en nombre del servidor de copias de seguridad. Luego, el servidor de copias de seguridad toma el control y crea una instantánea de la máquina virtual mediante VADP. Como las credenciales del invitado o la aplicación no están guardadas en el servidor de copias de seguridad, el administrador de copias de seguridad no tiene acceso al verdadero contenido confidencial de la aplicación.

Métodos de transferencia de datos

Segunda pregunta clave: ¿Qué métodos de transferencia de datos de VADP admite?

Explicación: Después de crear una instantánea de máquina virtual. VADP proporciona cuatro métodos diferentes para transferir datos desde el almacenamiento de datos de vSphere al almacenamiento de copias de seguridad.

1. Transporte de SAN: El servidor de copias de seguridad está ubicado para ver el almacenamiento de SAN en el que están ubicados los almacenamientos de datos de vSphere. El servidor de copias de seguridad lee los datos directamente desde el almacenamiento de SAN mediante las API, sin necesidad de pasar por la infraestructura ESXi de producción. Este es el método de preferencia, ya que se trata de una verdadera copia de seguridad fuera del host. Sin embargo, este método funciona únicamente cuando el almacenamiento de datos de vSphere está en entornos SAN de Fibre Channel o iSCSI.
2. Transporte de NBD: NBD significa “dispositivo de bloqueo de red” (Network Block Device en Inglés). Con este método, el host ESXi presenta la instantánea de la máquina virtual mediante la red como si fuese un dispositivo de bloqueo. El servidor de copias de seguridad puede leer datos a través de la red. Este es el método más simple de mantener, ya que no se requiere configuración ni administración. Sin embargo, este método usa recursos del kernel de ESXi (VMkernel).
3. Transporte de NBD mediante SSL: Esto es lo mismo que NBD, pero el flujo de datos que se transporta está seguro debido a SSL. Se recomienda para entornos donde el tráfico de red debe protegerse contra el rastreo de puertos.
4. Transporte de agregado en caliente: Debe haber una o más máquinas virtuales especializadas con software de copia de seguridad (conocidas como “proxies de copia de seguridad”) instaladas para usar este método. En este caso, los discos de instantáneas de máquinas virtuales se montan en máquinas virtuales proxy y se envían a un servidor de copias de seguridad. Se recomienda para entornos pequeños y oficinas remotas o sucursales.

Se recomienda elegir una solución que admita todos los métodos de transporte, incluso si alguno de estos no es el adecuado para usted actualmente. Esto evitará complejidades operativas innecesarias y costos debidos a cambios en el futuro.

Piense más allá de VADP

Tercera pregunta clave: ¿Qué recomienda para proteger mi entorno si no es posible utilizar VADP?

Explicación: Si bien VADP es una de las innovaciones más importantes en cuanto a protección de máquinas virtuales, no es la definitiva. Existen situaciones en las que VADP no será suficiente. Usted no desea que le tomen por sorpresa. Por lo tanto, necesita hacerse la tercera pregunta en caso de que alguna de las siguientes afirmaciones sea cierta:

• Tiene máquinas virtuales con tolerancia de errores (FT) habilitada. Tenga en cuenta que la tolerancia de errores protege solamente contra fallas de hardware local. Para protegerse contra errores de usuario, ataques de vulnerabilidad y pérdida de sitios, la copia de seguridad es esencial.
• Tiene máquinas virtuales que usan asignación de dispositivos sin formato (RDM)
• Tiene sus servidores de vCenter y/o bases de datos de vCenter alojados en servidores físicos dedicados.
• Tiene más de un hipervisor en uso (por ejemplo, Hyper-V o KVM).
• Tiene sistemas físicos para cargas de trabajo especializadas.
• Tiene dispositivos NAS.
• Tiene aplicaciones o bases de datos con requisitos de recuperación granular en el contexto de seguridad del propietario de la aplicación o la base de datos.

A medida que su empresa crezca, planifique un entorno de varios hipervisores con algunos sistemas físicos especialmente diseñados. Si bien VADP es de gran ayuda para la protección de máquinas virtuales basadas en VMware vSphere, usted tendrá el control si evita quedar atrapado en una única plataforma de hipervisores. Una buena solución de copia de seguridad no solo se ocupará de las necesidades de protección de datos, sino que también puede actuar como herramienta de migración en nubes y centro de datos heterogéneos.

Conclusión: La copia de seguridad de máquinas virtuales de VMware vSphere se simplificó después de que la mayoría de los proveedores de software adoptara las API de vStorage para la protección de datos. Mientras evalúa una solución de protección de máquinas virtuales, es fundamental pensar en el modelo operativo para la seguridad de datos, los métodos de transporte de datos y todo lo que requiera más que la simple integración con VADP.