如何備份 VMware 虛擬機器:終極指南
備份是任何 VMware 虛擬基礎架構中至關重要的一環。如今,任務關鍵型與業務關鍵型系統被期望能夠全天候 24 小時、每週 7 天不間斷地運作。這使得備份成為任何資料保護策略的核心,以確保資料存取與系統可用性。
在規劃 VMware 虛擬環境的備份時,有哪些備份方法與最佳實踐,能確保您獲得既有效又高效的備份方案,以便在基礎架構故障、天然災害或惡意軟體感染時進行還原?請繼續閱讀以下關於主要 VMware 備份方法與最佳實踐的內容。
如何備份 VMware 基礎架構:3 種方法
在規劃虛擬機器的備份時,有幾項挑戰需要考量。這些挑戰與虛擬機器的運作原理以及維持虛擬化帶來的好處有關。
從使用者的角度來看,虛擬機器的運作方式與實體機器相似。 使用者在作業系統中工作、編輯檔案並執行應用程式。另一方面,管理員則清楚,超管理程式會模擬虛擬機器所使用的虛擬硬體,而這些虛擬機器共享 ESXi 伺服器的實體硬體。虛擬機器資料以虛擬磁碟 VMDK 檔案的形式儲存於 ESXi 資料存放區中。
這種虛擬機器的運作原理決定了可用於備份虛擬機器資料的方法。在 VMware 基礎架構中,有多種方法可在確保資料一致性的前提下備份虛擬機器。 若使用不當的方法備份正在運行的虛擬機器,可能會導致資料損毀和還原失敗,這將背離備份的初衷。
虛擬機器備份的另一個重要面向是資源消耗。虛擬化技術讓您能夠合理運用硬體資源來運行虛擬機器。然而,某些備份方法可能會消耗過多的虛擬機器和 ESXi 伺服器資源,導致流程變慢並使基礎架構過載。
讓我們來探討其中一些方法及其優缺點。
方法 1:在客體作業系統中安裝備份代理程式
您可能對傳統的實體機器備份方法相當熟悉:在作業系統中安裝專用的備份代理軟體。此代理程式負責執行排程、靜止處理及資料傳輸。透過區域網路 (LAN) 將資料複製到備份目的地。從技術上來說,您可以像備份實體機器一樣,使用此方法來備份虛擬機器。
VMware 的最佳實踐通常不建議將虛擬機器視為實體機器進行備份,因為此舉會產生高昂的開銷,且在虛擬化環境中通常會導致效能不佳。若在虛擬機器上安裝實體機器的備份代理程式來複製資料,您的 VMware 基礎架構可能會因此過載。
在虛擬機器中使用備份代理程式時,虛擬機器的備份是在客體層級執行的。由於客體層級的備份無法有效利用資源,因此並非虛擬環境中建議的方法。進一步了解 主機層級備份與虛擬機器層級備份.
您可能會遇到困難 備份 vCenter Server 裝置 (VCSA),這是一個運行 Photon OS 的虛擬機器。如果您 在 Windows 上執行 vCenter, 從技術上來說,確實可以安裝代理程式並備份資料。然而,vSphere 7.0 僅支援 VCSA 以及更新版本.
| 優點 | 缺點 |
|
|
方法 2:基於檔案的 VMware 虛擬機器備份
VMware 虛擬機器將資料儲存於位於 ESXi 資料存放區中的 VMDK 檔案中。VMDK 檔案是虛擬磁碟映像檔。基於檔案的虛擬機器備份方法,其原理是將 VMDK 檔案複製到備份位置。除了虛擬磁碟檔案外,VMware 虛擬機器還會使用設定檔、快照檔案、變更區塊追蹤檔案等。您也應備份這些檔案,以便能夠還原整個虛擬機器。
在還原方面,您只能還原完整的虛擬機器。這意味著若需還原特定檔案,您必須先還原整個虛擬機器,然後才能存取該特定檔案。
註: 請勿將"基於檔案的虛擬機器備份"(即複製虛擬機器檔案)與"檔案層級備份"(即備份虛擬機器內的個別檔案)混為一談。
| 優點 | 缺點 |
|
|
方法 3:專用的基於映像的虛擬機器備份解決方案
為了保護虛擬機器,您可以使用一個 專用的 VMware 備份解決方案 在 ESXi 主機層級運作,也就是在虛擬機器管理程式層級運作。主機層級的虛擬機器備份解決方案會建立虛擬機器映像檔備份。此虛擬機器備份包含虛擬磁碟、虛擬機器設定及其他檔案。一個 基於圖像的 VMware 備份解決方案透過特殊的 VMware API 與 ESXi 主機進行互動,以利用虛擬化特點,例如快照技術和靜止狀態。
| 優點 | 缺點 |
|
|
使用 NAKIVO 進行 VMware 備份的最佳實踐
我們已經介紹了如何透過三種方法備份 VMware 虛擬機器的理論部分。現在,我們來探討一些 VMware 備份的最佳實踐。
1. 建立備份
為虛擬機器建立備份,看似理所當然,這也是我們首項 VMware 備份最佳實踐。然而,虛擬機器有時會因故(無論是刻意或無意)被排除在備份範圍之外。
有些人誤以為虛擬機器比實體機器更具韌性,因為它們通常運行於更高階的設備上。雖然這點或許屬實,且設備故障的風險可能略低,但仍存在因使用者意外操作失誤、惡意軟體及自然災害所導致的資料遺失風險。正如實體機器一樣,虛擬機器的備份是任何資料保護策略的基石。請定期建立備份,以便在需要時能恢復特定時間點的資料。
2. 不要將快照視為備份
這一點是基於我們的第一項最佳實踐,因為部分 VMware 管理員可能會認為,只要虛擬機器上有快照,就擁有可用於還原的備份。然而,當因各種因素導致資料損毀或遺失時,他們才會發現無法還原該虛擬機器或其中的資料。我們先前已探討過 快照與備份,而且快照並非備份。
快照是虛擬機器檔案的一部分,且依賴於虛擬機器磁碟。這就是為什麼它們被稱為快照"鏈"。要成為有效的 VMware 備份,必須能夠在沒有任何來源虛擬機器檔案或來源基礎架構的情況下,重新建立虛擬機器。
請注意,VMware 快照的最佳實踐建議僅將快照用於短期用途。建立大量快照並長期保留快照會降低虛擬機器的效能,並消耗過多的儲存空間。
3. 選擇基於映像的虛擬機器備份技術
請在主機層級而非來賓層級備份您的 VMware vSphere 虛擬機器。如此一來,您將獲得整個虛擬機器的資料備份,並以映像檔形式呈現。此備份映像檔包含虛擬磁碟及其他虛擬機器檔案,可儲存於備份目標位置,並採用特定格式。透過這種基於映像檔的主機層級方法,可避免造成 ESXi 伺服器及整個基礎架構的過度負載。為此,請使用專為虛擬環境設計的 VMware 備份解決方案,例如: NAKIVO Backup & Replication.
請勿在客體作業系統層級備份虛擬機器,這是一種適用於實體機器的傳統備份方法。傳統解決方案需要在每台虛擬機器上安裝備份代理程式。在虛擬化環境中,此方法效率低下且會造成不必要的資源消耗,進而導致虛擬機器效能下降。這些 ESXi 硬體資源應更有效地運用於虛擬機器工作負載。
4. 使用 VMware API 進行虛擬機器備份
VMware 提供了多種用於軟體整合與資料保護的 API。這些 API 讓開發人員能夠建立虛擬機器備份軟體,使其能直接與 VMware vSphere 環境互動,並利用現有的虛擬化特點來執行有效的資料備份。
從虛擬機器資料備份的角度來看,VMware vSphere 資料保護 API 是最值得關注的 API 之一。此 API 允許備份應用程式將備份處理作業從 ESXi 主機卸載,並為虛擬機器備份提供獨特的特点。 NAKIVO Backup & Replication 利用 vSphere API 進行高效的虛擬機器備份。
5. 使用變更區塊追蹤
變更區塊追蹤 (CBT) 是 VMware 資料保護 API 的一部分,該 API 構成了 VMkernel 儲存堆疊。它還允許第三方備份應用程式透過這些 API 進行整合,以便在建立備份時利用 CBT 的優勢。
啟用 CBT 的虛擬機器備份能大幅提升效率 增量虛擬機器備份. 經改良的追蹤功能性可讓備份軟體識別自上次虛擬機器備份以來已變更的資料"區塊"。VMware CBT 不僅有助於虛擬機器備份,亦能應用於其他流程,例如 虛擬機器複製.
啟用 CBT 的虛擬機器在其目錄中會多出一個副檔名為 -ctk.vmdk 的檔案,用以儲存虛擬磁碟區塊的對應關係。此特殊檔案內含區塊對應資訊,用於判斷自上次備份以來區塊是否有所變更。只要 VMDK 磁碟的大小未增加,所建立的"ctk"檔案大小便保持不變。
使用 CBT 可顯著提升虛擬機器備份的速度、效能與效率。除非您因某些原因而使用 RAW 磁碟映射或舊版虛擬機器,否則在進行 VMware 虛擬機器備份時,強烈建議採用 CBT。
6. 將備份複製到備用位置
建立備份複製是絕對必要的,因為企業 IT 環境絕對不能沒有多份備份資料。至少在異地保留一份備份複製,可確保當包含備份基礎架構的實體生產位置發生故障時,您的備份複製依然安全無虞,並能繼續用於還原資料。
此外,近年來許多企業遭受勒索軟體攻擊,這類攻擊不僅會損毀並加密生產資源,還會波及備份資源。 若具備管理員權限的使用者遭到勒索軟體攻擊,該使用者很可能同時擁有對生產系統與備份系統(包括備份儲存庫等)的存取權限。
您可以建立一份儲存於主要生產地點的備份複製,並將其傳送至次要備份儲存庫。理想情況下,此備份複製儲存庫應位於不同的實體位置,無論是鄰近區域或另一地理區域皆可。只要您能與備份儲存庫建立網路連線,即可將該資料複製至次要備份儲存庫。
7. 使用不可變的備份目標
近期席捲而來的勒索軟體浪潮顯示,沒有任何資料能免於攻擊,就連備份資料也不例外。為了確保您的備份資料不會遭到勒索軟體的篡改與加密,請將備份複製傳送至不可變的儲存位置。
不可變的備份儲存庫可以位於雲端(例如 Amazon S3)、受保護的磁碟區、由特殊軟體管理的伺服器本機目錄,或是支援不可變性的特殊硬體(如磁帶和磁碟)上。 這些選項採用 WORM(寫入一次、多次讀取)模型,允許存取儲存的備份資料,但禁止對其進行任何變更。
這意味著,若在建立不可變備份後,勒索軟體攻擊了您的生產環境與備份基礎架構,您仍可利用該備份進行成功且迅速的還原。
8. 提供足夠的備份資源
請勿在虛擬機器備份資源上吝嗇,因為這可能導致備份失敗、造成硬體過載、增加備份資料損毀的風險,並對生產工作負載產生負面影響。VMware 的最佳實踐建議您為備份提供充足的資源,包括網路頻寬、備份儲存空間,以及用於處理備份工作的伺服器上的 CPU 和記憶體。
請確保您的硬體不會成為備份流程的瓶頸。備份伺服器不僅在複製資料時會消耗資源,在執行壓縮、加密及重複資料刪除(當這些特點啟用時)時同樣會消耗資源。
請使用狀態良好的硬碟來儲存備份。有些使用者可能將備份視為次要事項,而使用舊的、無用的硬碟,這些硬碟隨時都可能發生故障。請使用 IT 基礎架構監控 用於檢查硬體狀態的工具。
9. 使用靜止狀態與 VSS
虛擬機器可執行交易型應用程式,例如資料庫、email 伺服器、Active Directory 網域控制器等。您應確保資料的一致性,並凍結或 靜止 正在運行的虛擬機器以備份資料。靜止狀態可確保資料的一致性,因為資料在複製前會被凍結並維持在正確的狀態。開始備份資料時,系統中不得有任何寫入交易。
針對運行中應用程式的虛擬機器,使用靜止狀態技術所進行的備份稱為 與應用程式一致的備份或應用程式感知備份. 應用程式必須支援此功能性,以便在資料備份期間暫停資料寫入,並在備份完成後繼續寫入資料。
執行 Windows 的 VMware 虛擬機器使用 Microsoft 卷影複本服務 (VSS) 會將虛擬機器內的應用程式暫停,以便進行備份。由於 VMware Tools 包含可與 VSS 協同運作的驅動程式,因此必須在客體作業系統上安裝 VMware Tools;此外,虛擬機器備份軟體也必須支援與客體作業系統中的 VSS 進行互動。
10. 排程備份並採用自動化
手動執行備份可能會導致備份與保留期間出現缺口,以及工作重疊。請排程備份工作以自動執行,並遵循備份排程的最佳實踐,以避免重疊,並防止因同時執行大量虛擬機器備份而造成基礎架構過載。
在排程備份工作時,請盡可能將工作分散在不同時間執行,以避免過載與重疊。 若您的備份時段較短(例如僅限夜間數小時),請確保網路頻寬與硬體效能足以支援高速備份大量資料。
11. 測試備份
了解如何備份 VMware 虛擬機器非常重要。但應定期測試這些備份的有效性,以確保還原過程順利,避免出現任何意外狀況。進行測試有助於您發現可能的還原問題。
12. 備份具容錯能力的虛擬機器
容錯功能是 VMware vSphere 的一項出色叢集特點,可讓您在主虛擬機器發生故障時,實現零 RPO 和零 RTO。 系統中存在一個與主虛擬機器鏡像的次要"幽靈"虛擬機器,所有資料皆會即時複製。此次要虛擬機器雖處於運行狀態,但處於非活動狀態。若主虛擬機器發生故障,次要虛擬機器將立即轉為活動狀態(虛擬機器故障移轉)。
兩台虛擬機器皆使用共用儲存裝置上的相同虛擬磁碟。若此儲存裝置發生故障,兩台虛擬機器皆將無法使用。 此外,故障容錯功能本身並未提供還原點,無法透過該功能還原虛擬機的先前狀態。因此建議您同時備份主虛擬機與故障容錯虛擬機,以便將資料和虛擬機還原至先前狀態(例如還原至遭受勒索軟體攻擊前,或虛擬機內部發生軟體故障前的狀態)。NAKIVO 解決方案支援故障容錯虛擬機的備份。
那些在主機層級備份虛擬機器並建立映像式備份的 VMware 備份解決方案,會在靜止資料時使用虛擬機器快照功能來停止寫入操作,並製作一致的資料副本。目前 Fault Tolerance 尚未支援針對容錯虛擬機器的快照功能(vSphere 7.0)。備份容錯虛擬機器的其中一種方法,是在 vCenter 中克隆該虛擬機器,並備份該虛擬機器克隆本。 完成備份工作後,即可刪除該虛擬機器複本。然而,此方法耗時且容易出錯,特別是當您擁有大量此類虛擬機器時。NAKIVO 解決方案支援備份容錯虛擬機器。您可透過簡單的向導,無需任何額外步驟,即可同時備份主虛擬機器與次虛擬機器。
13. 為您的備份進行加密
加密有助於在兩種狀態下保護備份資料的安全:靜態儲存時與傳輸過程中。在當今以安全性為導向的基礎架構中,對備份資料進行加密是 VMware 備份的最佳實踐。
為了避免單點故障而將資料複製到不同備份目標,其不甚理想的副作用是:敏感且關鍵的資料如今散佈於多個地點。這增加了資料外洩的風險。
假設有人取得未加密的備份資料,他們便可能將該備份資料還原至未經授權的環境,並取得該資料的存取權限。這正是靜態加密發揮作用之處。
若我們已對備份資料儲存庫進行加密,在沒有加密金鑰的情況下,備份資料將毫無用處。即使有人取得未經授權的資料,也無法加以利用。在 NAKIVO Backup & Replication,我們有能力 對包含虛擬機器備份的儲存庫進行加密這表示,若沒有加密金鑰,所有備份至加密儲存庫的資料都將無法讀取。
備份安全的第二個環節是對傳輸中的資料進行加密。在下方的 NAKIVO 備份解決方案範例"備份複製工作"中,我們可以看到有選項可供選擇 已啟用 因為 加密 在工作選項中。如工具提示所示,工作資料在傳輸過程中將被加密,以確保資料在透過網路傳輸時受到保護。
結論
在建立和執行 VMware 備份時,您應採取明確的步驟。隨著新技術與新威脅的出現,這些最佳實踐會持續演進與變動。遵循這些 VMware 最佳實踐及其他指引,將有助於確保備份的有效性、有效期限、安全性,以及 vSphere 環境的韌性。
NAKIVO Backup & Replication 為企業提供保護虛擬、實體、雲端及 SaaS 基礎架構所需的所有特點與功能性。立即下載免費版本,親身體驗其資料保護功能。
