皆様、こんにちは。

Veeam Backup & Replication バージョン13では、2種類のソフトウェアアプライアンスとして Veeam Software Appliance と Veeam Infrastructure Appliance がリリースされました。

いずれもRocky Linuxをベースとしたソフトウェアアプライアンスとして提供されており、物理マシン・仮想マシンの両方で利用できます。

Veeam Software Appliance [ 以下、VSA ] は、以前から待望されていたLinux版のVeeam Backup & Replication(バックアップサーバ)です。インストール後は、Windows版と同様にオールインワン構成で利用できます。

これまでWindows版のVeeam Backup & Replicationでは、OSの脆弱性対策やOSライセンスコストが課題となるケースがありました。一方、VSAはセキュリティ対策が施されたRocky LinuxをベースとしたVeeamオリジナルのJeOSとして、Windows版での課題を解消しています。

Veeam Infrastructure Appliance [ 以下、VIA ] も同様に、セキュリティ対策が施されたRocky LinuxをベースとしたVeeamオリジナルのJeOSとして、バックアップリポジトリやバックアッププロキシなどの周辺コンポーネントとして汎用的に利用できます。
※VIAで利用できる／利用できないコンポーネントについては下記VIA制約事項のURLをご参照下さい。

これらのソフトウェアアプライアンスは自動アップデートに対応しており、常に最新のセキュリティ対策を適用しやすい点が大きなメリットです。従来 Windowsで運用していた Veeamコンポーネントと比較して、管理工数の削減も期待できます。

ただし、新規リリース製品ならではの制約事項がある点には注意が必要です。

主な制約事項（抜粋）
・マルチパスストレージを搭載したマシンにはインストール不可
・導入後のストレージ追加や既存ストレージのリサイズはサポート対象外
・Linux強化リポジトリはハードウェアRAIDコントローラ必須

ご参考：VSA制約事項
https://helpcenter.veeam.com/docs/vbr/userguide/deployment_linux_byb.html?ver=13
注）一部の機能はWindows版Veeam Backup & Replicationでのみ利用可能となります。 

ご参考：VIA制約事項
https://helpcenter.veeam.com/docs/vbr/userguide/linux_infrastructure_appliance_byb.html?ver=13

VSA はバックアップサーバとして中核を担う重要なコンポーネントであるため、導入前には十分な検証を実施することをお勧めします。また、Essentials ライセンスを利用する場合は、サポート対象の仮想マシンへ展開するか、今後リリース予定の認定ハードウェアを利用する必要がありますのでご注意下さい。

一方で VIA についても、VSA と同様にストレージに関する制約事項はありますが、物理マシン単体で運用し、導入後にリソース拡張を行わない前提であれば、比較的導入しやすい選択肢といえるでしょう。

 

さて、ここからが本題です！

これからLinux強化リポジトリの導入をご検討されている皆様には、 VIA で構成することをお薦めします！

従来の Linux 強化リポジトリでは、OS のセキュリティ対策を運用管理者側で継続的に実施する必要がありました。しかし、ソフトウェアアプライアンスを利用することで、こうした運用負荷を大きく軽減できます。また、ソフトウェアアプライアンスの制約事項のひとつであるストレージ拡張については、あらかじめ必要なストレージ容量(余裕を持ったサイジングを推奨)を見込んで設計しておくことでユーザー要件を許容できます。

本ブログでは、VIAを活用した Linux 強化リポジトリの導入手順 について解説していきます。

　

システム要件

前述の制約事項に加えて、システム要件もあわせてご確認下さい。

VIAのシステム要件
https://helpcenter.veeam.com/docs/vbr/userguide/system_requirements_via.html?ver=13

Linux強化リポジトリのシステム要件
https://helpcenter.veeam.com/docs/vbr/userguide/hardened_repository_limitations.html?ver=13　

VIAはWindows版のVeeam Backup & Replicationと組み合わせてご利用頂けます。
またVSAと組み合わせてもご利用頂けます。

VIAは自動アップデートの更新確認のため、既定でオンラインリポジトリ(https://repository.veeam.com/vsa)を参照します。バックアップサーバがインターネットに出られない環境では、代替となるローカルミラーまたはWebプロキシが必要になります。

※本ブログでは、手順の説明を目的として仮想化基盤上に構成した環境を用いてご紹介しています。
　Linux強化リポジトリの本番導入にあたっては、ハードウェアRAIDコントローラが必須、および、
　セキュリティ観点から物理マシンでの構成を推奨します。

　

管理者アカウント

ソフトウェアアプライアンスは1人の管理者に権限を集中させないよう、2つの管理者アカウントで権限が分離されています。

・Host Administrator
　アカウント名：veeamadmin
　オペレーション：Veeam Host Management web UI
　　　　　　　　　Veeam Host Management TUI
・Security Officer
　アカウント名：veeamso
　オペレーション：Veeam Host Management web UI

ご参考：管理者アカウントの権限
https://helpcenter.veeam.com/docs/vbr/userguide/hmc_configure_users.html?ver=13

　

Veeam Infrastructure Appliance (ISOファイル)のダウンロード

こちらのURLからVeeam Infrastructure Appliance (ISOファイル)をダウンロードして下さい。
https://www.veeam.com/jp/products/data-platform-trial-download.html
※ログイン用のマイアカウントが必要です。

①その他ダウンロードをクリックします。

　

②Veeam Infrastructure Applianceの＋を展開して、ダウンロードボタンをクリックします。

　

Veeam Hardened Repositoryのインストール

ソフトウェアバージョン
・Veeam Infrastructure Appliance 13.0.1.2067

※セキュアブートが必須の為、ブートモードがUEFIであることを事前に確認して下さい。

①Veeam Hardened Repositoryを選択します。

　

②Installを選択します。

　

③データ初期化(ローカルバックアップ含む)の案内が表示されます。
　問題なければ [ YES ] を選択します。

　

④インストールが開始されます。

　

⑤エンドユーザーライセンス契約(EULA)を確認します。
　同意に差し支えなければ [ Accept ] を選択してEnterキーを押下します。

　

⑥VIAのホスト名(FQDN推奨)を設定します。
　任意のホスト名を入力し、[ Next ] を選択してEnterキーを押下します。

　

⑦VIAのネットワークを設定します。
　[ Static ] を選択してEnterキーを押下します。

　

⑧ [ IP4 address ]、[ IP4 mask ]、[ IP4 gateway ]、[ DNS list ] を入力し、
　[ Apply ] を選択してEnterキーを押下します。

　

⑨設定したアドレスを確認し、[ Next ] を選択してEnterキーを押下します。
　※Network adaptersが重複して表示されることがありますが、そのまま進めて下さい。

　

⑩Time Zoneを設定します。
　[ Change ] を選択してEnterキーを押下します。

　

⑪フィルターで"tokyo"を入力してEnterキーを押下します。

　

⑫Time ZoneがAsia/Tokyoで設定されたことを確認します。
　正しく設定できていたら、次にNTPサーバの設定を行います。
　[ Edit ] を選択してEnterキーを押下します。

　

⑬任意のNTPサーバを設定し、Enterキーを押下します。
　※デフォルト：time.nist.gov

　

⑭NTPサーバが正しく設定されたことを確認します。
　[ Next ] を選択してEnterキーを押下します。

　

⑮Host Administrator(veeamadmin)のパスワード設定を行います。
　パスワードの表示：Show Passwordを選択し、スペースキーを押下します。
　パスワードの要件：下記ユーザーガイドをご参照下さい。
　https://helpcenter.veeam.com/docs/vbr/userguide/jeos_install_host_administrator.html?ver=13
　パスワードを入力したら、[ Next ] を選択してEnterキーを押下します。

　

⑯多要素認証(MFA)の設定を行います。
　[ Show QR-code ] を選択してEnterキーを押下します。

　

⑰Google Authenticator等の認証アプリケーションを使用してQRコードをスキャンします。
　QRコードのスキャンができたら、Enterキーを押下します。

　

⑱認証アプリケーションに表示されているワンタイムパスワードを入力します。
　ワンタイムパスワードを再確認し、[ Ok ] を選択してEnterキーを押下します。

　

⑲ [ Next ] を選択してEnterキーを押下します。

　

⑳Security Officer(veeamso)の仮パスワードを設定します。
　パスワードの表示：Show Passwordを選択し、スペースキーを押下します。
　パスワードの要件：下記ユーザーガイドをご参照下さい。
　https://helpcenter.veeam.com/docs/vbr/userguide/jeos_install_security_officer.html?ver=13
　※Host Administrator(veeamadmin)と同じパスワードは設定できません。
　パスワードを入力したら、[ Next ] を選択してEnterキーを押下します。

　Security Officerの設定をスキップすると、Security Officerアカウントが無効となります。
　注）設定をスキップした場合、アカウントを有効化するには再インストールが必要になります。
　Linux強化リポジトリの本番導入では必ずアカウントを有効化して下さい。

　

㉑サマリを確認します。
　問題がなければ [ Finish ] を選択してEnterキーを押下します。

　

㉒設定が完了しました。
　引き続き、Host management ConsoleでSecurity Officerのパスワード再設定を行います。
　Host management ConsoleのURLをメモします。

　

Security Officerの初期化

Host Administratorのパスワード設定とSecurity Officerの仮パスワード設定は1人の管理者(Host Administrator担当者)が設定しているため、Security Officer担当者があらためてパスワードを再設定および多要素認証の設定を行います。

①任意のブラウザを立ち上げ、Veeam Host management ConsoleのURLを入力します。
　[ 詳細設定 ] をクリックします。

　

② [ ～にアクセスする ( 安全ではありません ) ] をクリックします。

　

③Veeam Host managementにSecurity Officer(veeamso)でログインします。

　

④Security Officerのパスワードを変更(再設定)します。

　

⑤Security Officerの多要素認証(MFA)を設定します。
　Google Authenticator等の認証アプリケーションを使用してQRコードをスキャンします。
　認証アプリケーションに表示されているワンタイムパスワードを入力します。
　ワンタイムパスワードを再確認し、[ Next ] をクリックします。

　

⑥リカバリトークンをコピーし、機密データとして保存して下さい。
　データ保存後、[ Finish ] をクリックします。

　

⑦Security Officerの初期化が完了しました。右上のメニューからサインアウトします。

サインアウト以降、Veeam Host managementへのアクセスが無効化されますが、
必要に応じてHost Administratorの権限で再有効化できます。
https://helpcenter.veeam.com/docs/vbr/userguide/hmc_configure_remote_access.html?ver=13

　

Veeam Backup & ReplicationへVIAを追加

ここからはVeeam Backup & Replicationでの操作になります。
Veeam Backup & ReplicationはWindows版を使用します。
※Veeam Backup & Replication Windows版のインストール手順書はこちらをご参照下さい。

バックアップリポジトリにVeeam Linux強化リポジトリを登録する前に、
バックアップインフラストラクチャにVIAをサーバとして追加します。

①Managed Serversを右クリックし、[ Add Server ] を選択します。

　

② [ Veeam Infrastructure Appliance ] を選択します。

　

③ Veeam Linux強化リポジトリのFQDNもしくはIPアドレスを入力して、[ Next ] をクリックします。

　

④TLS Key 証明書のフィンガープリントを構成データベースに保存します。
　サーバを信頼して [ Yes ] をクリックします。

　

⑤インストールされるコンポーネントを確認します。
　確認したら、[ Apply ] をクリックします。

　

⑥Successfullyを確認して [ Next ] をクリックします。

　

⑦サマリを確認して [ Finish ] をクリックします。

以上でサーバ追加は終了です。

　

Backup RepositoryにLinux強化リポジトリを追加

①Backup Repositoriesを右クリックし、[ Add backup repository ] を選択します。

　

② [ Direct attached storage ] を選択します。

　

③ [ Linux (Hardened Repository) ] を選択します。

　

④任意のバックアップリポジトリ名を入力し、[ Next ] をクリックします。

　

⑤バックアップリポジトリ対象のサーバを選択し、[ Next ] をクリックします。
　※ [ Populate ] でサーバ内のディスク容量を確認できます。

　

⑥ [ Browse ] をクリックし、任意のバックアップフォルダを指定して [ OK ] をクリックします。
　※ [ New Folder ] で新規フォルダを作成できます。

　

⑦Veeam Linux強化リポジトリの設定を確認して [ Next ] をクリックします。
　※ [ Populate ] でフォルダ容量を確認できます。
　

　

⑧マウントサーバを設定し、[ Next ] をクリックします。

　

⑨インストールされるコンポーネントを確認します。
　確認したら、[ Apply ] をクリックします。

　

⑩Successfullyを確認して [ Next ] をクリックします。

　

⑪サマリを確認して [ Finish ] をクリックします。

　

Linux強化リポジトリとしての確認

バックアップの保持ポリシーが有効期間内にあるデータを削除しようとしても、
イミュータブルなデータとして保持されていることにより削除できないことを確認します。

①Linux強化リポジトリを使用したバックアップJOBの作成、バックアップJOBは実行済みです。
　Linux強化リポジトリに保存したバックアップ(Disk)のデータ削除を実行します。

　

② [ Yes ] をクリックします。

　

③実行結果を確認します。
　従来のLinux強化リポジトリと同様に保持期間が有効なバックアップデータを削除できません。

　

解説は以上になります。

いかがでしたでしょうか。特にLinuxの知識がなくてもLinux強化リポジトリを簡単に導入できるかと思います。またVIAはLinux強化リポジトリ以外のVeeamコンポーネントに利用頂けますので、積極的にご利用頂きたいと思います。

本ブログをきっかけに、VIAによるLinux強化リポジトリをお試し頂く機会となりましたら幸いです。