Immutable Backup mit Veeam und QNAP QuObjects einrichten

,

Immutable Backup mit Veeam und QNAP QuObjects einrichten

In diesem Beitrag zeigen wir, wie mit Veeam Backup & Replication und einem QNAP NAS mit QuObjects ein zusätzliches, unveränderliches Backup-Ziel eingerichtet werden kann. Ziel ist es, Backups besser gegen Ransomware, versehentliches Löschen oder Manipulation zu schützen.

Ausgangssituation

In vielen kleineren IT-Umgebungen wird Veeam bereits zur Sicherung von Hyper-V- oder VMware-Systemen eingesetzt. Häufig liegen die primären Backups auf einer NAS oder einem lokalen Backup-Repository. Dieses Backup ist schnell wiederherstellbar, bietet aber allein noch keinen ausreichenden Schutz gegen gezielte Manipulation.

Eine sinnvolle Ergänzung ist daher ein zusätzliches immutable Backup. Dabei werden Sicherungsdaten für einen definierten Zeitraum unveränderlich gespeichert und können während dieser Zeit nicht gelöscht oder überschrieben werden.

Empfohlene Architektur

Hyper-V / VMware
   │
   │ Veeam Backup Job
   ▼
Primäres Backup Repository
   │
   │ Backup Copy Job
   ▼
QNAP QuObjects S3 Storage
   └── Immutable Backup

Das primäre Repository bleibt für schnelle Wiederherstellungen bestehen. Zusätzlich kopiert Veeam die Backups in ein S3-kompatibles Object Storage Repository auf dem QNAP NAS.

Voraussetzungen

  • Veeam Backup & Replication
  • QNAP NAS mit installiertem QuObjects
  • Aktives Volume auf dem QNAP, z. B. DataVol2
  • Netzwerkverbindung zwischen Veeam-Server und QNAP
  • QuObjects Serververbindung aktiviert

1. QuObjects Storage Space erstellen

In QuObjects wird zunächst ein eigener Speicherplatz für Veeam erstellt. 

QuObjects
→ Speicherplatz
→ Erstellen

Beispiel:

Ordnername: s3storage
Volume: DataVol2

Wichtig ist, dass es sich um einen normalen Speicherbereich bzw. Freigabeordner auf dem QNAP handelt und nicht um ein iSCSI-LUN.

2. Bucket für Veeam erstellen

Danach wird innerhalb dieses Speicherplatzes ein Bucket angelegt. 

QuObjects
→ Buckets
→ Erstellen

Empfohlene Einstellungen:

Bucket-Name: veeamrepo
Berechtigungen: Privat
Versionierung: Aktiviert
Objektsperre: Aktiviert
Standard-Beibehaltung: Deaktiviert
Kompatibilität mit S3-Clients verbessern: Aktiviert

Die Objektsperre ist entscheidend für immutable Backups. Sie muss bereits beim Erstellen des Buckets aktiviert werden.

3. Benutzer und Zugriffsschlüssel erstellen

Für Veeam sollte ein eigener Benutzer in QuObjects angelegt werden. 

QuObjects
→ Benutzerverwaltung
→ Benutzer erstellen

Beispiel:

Benutzer: Veeam
Speicherplatzberechtigung: s3storage

Anschließend wird ein Zugriffsschlüssel erzeugt. Der Access Key sollte das Format des Speicherplatzes enthalten: 

s3storage:xxxxxxxxxxxx

Falls stattdessen noch <Speicherplatz>:xxxxxxxx angezeigt wird, wurde dem Benutzer noch kein Speicherplatz zugewiesen.

4. QuObjects Endpoint prüfen

Unter den Servereinstellungen von QuObjects ist der S3-Endpunkt sichtbar. 

Beispiel:
https://10.1.0.22:8010

Dieser Endpoint wird später in Veeam als Service Point eingetragen.

5. Object Storage Repository in Veeam hinzufügen

In Veeam wird nun ein neues Repository angelegt:

Backup Infrastructure
→ Backup Repositories
→ Add Repository
→ Object Storage
→ S3 Compatible

Beispielkonfiguration:

Service Point: https://10.1.0.22:8010
Access Key: s3storage:xxxxxxxxxxxx
Secret Key: xxxxxxxxxxxx
Bucket: veeamrepo
Folder: leer lassen

Wichtig: Die Option für immutable Backups muss aktiviert werden. 

Make backups immutable

Falls Veeam den Bucket nicht findet, sollte geprüft werden, ob der verwendete Access Key wirklich zum richtigen QuObjects-Speicherplatz gehört.

6. Backup Copy Job erstellen

Das Object Storage Repository sollte nicht zwingend als einziges primäres Backupziel verwendet werden. Besser ist ein zusätzlicher Backup Copy Job. 

Home
→ Backup Copy
→ Virtual machine

Empfohlene Einstellungen:

Name: Backup Copy Immutable QNAP
Copy Mode: Immediate copy (mirroring)
Quelle: bestehender Backup Job
Ziel: Object Storage QNAP
Retention: 14 bis 30 Restore Points

Dadurch wird jeder neue Wiederherstellungspunkt automatisch auf das immutable QNAP Object Storage kopiert.

7. Ergebnis prüfen

Nach dem ersten erfolgreichen Lauf sollten in QuObjects im Bucket Objekte sichtbar sein. In Veeam erscheint das Backup zusätzlich unter den Object Storage Backups. 

QuObjects
→ Buckets
→ veeamrepo
→ Objekte

Best Practice

Dieses Setup ist ein guter Schritt in Richtung Ransomware-Schutz. Noch besser ist eine vollständige Backup-Strategie nach der 3-2-1-1-0-Regel:

  • 3 Kopien der Daten
  • 2 unterschiedliche Speichermedien
  • 1 Kopie extern oder offsite
  • 1 Kopie offline oder immutable
  • 0 Fehler durch regelmäßige Restore-Tests

Fazit

Mit QNAP QuObjects lässt sich ein S3-kompatibles Repository für Veeam bereitstellen. Durch aktivierte Versionierung und Objektsperre können Backup Copy Jobs immutable gespeichert werden. Das primäre Backup bleibt weiterhin für schnelle Restores verfügbar, während die zusätzliche Kopie einen deutlich besseren Schutz gegen Manipulation und Ransomware bietet.