Veeam SharePoint Backup für Multi-Tennancy

Um auf einer Shared Plattform ein Mandantenfähiges Veeam SharePoint Backup mit Single Item Recovery zu realisieren, haben wir bisher für jeden Mandanten einen eigenen Veeam Backup & Replication Server im Einsatz. Dieses Vorgehen gewährleistet die höchste Sicherheit und maximale Trennung, hat aber leider einen massiven Verwaltungsaufwand.

Um den Verwaltungsaufwand zu reduzieren haben wir nun einen POC für ein Multi-Tennancy fähiges Veeam SharePoint Backup aufgesetzt. Wir haben Microsoft SharePoint als erste Applikation für den POC gewählt, da hier die größte Komplexität zu erwarten ist. Dass überhaupt eine solch hohe Anwendungsintegration in einer Multi-Tennancy Umgebung möglich ist, muss man den Guest Interaction Proxy verwenden.

Multi-Tennancy Veeam SharePoint Backup – Ziele

  • Reduzierung Verwaltungsaufwand
    • Jeder Veeam B&R Server muss bisher einzeln aktualisiert und gewartet werden
  • Bessere Transparenz der Backup Jobs und Schedules
    • Bisher nur mühsam über Veeam Enterprise Server möglich
  • Effizientere Ressourcen Nutzung
    • Bisher nur mühsam über manuelles Anpassen der Job Schedules möglich
  • Bessere Skalierung
  • Reduzierung des Per-Kunde Footprint
    • Vorher: Voller Veeam B&R Server mit 2 vCPUs und 4-6 GB RAM
    • Nachher: Veeam B&R Guest interaction Proxy + Hot-Add Server mit 1 vCPU und 2 GB RAM
  • Möglichkeit der Tape Einbindung
  • Zentrale Möglichkeit der Inter-RZ Replikation
    • Bisher nur ohne Remote Repository Gateway Server (Data Mover) möglich oder je Kunde ein Individueller

Veeam SharePoint Backup – Aufbau

Die Grundlage des Multi-Tennancy Konzepts für Veeam SharePoint Backup und anderen Applikationen liegt in einem Zonen Konzept. Die beiden übergeordneten Zonen sind die Kunden-Zone, welche in diesem Fall noch einmal unterteilt ist und die Betriebs-Zone, welche sehr stark segmentiert ist.
In diesem Diagramm sind die wichtigsten Kommunikationswege schematisch dargestellt:

Veeam SharePoint Backup Aufbau

Veeam SharePoint Backup – Aufbau

Die „Backup Zone“ stellt eine Shared-Zone dar, in der jeder Kunden-Individuelle Guest Interaction Proxy einen Fuß hat zusammen mit dem Backup Repository und dem oder den Repository Gateways. Da der Guest Interaction Proxy gleichzeitig auch der VMware vSphere Hot-Add Proxy für die jeweiligen Kunden VMs ist, wird eine perfekte Skalierung gleich mit ermöglicht. Für den Single Item Restore ist auf dem Guest Interaction Proxy dann zusätzlich der Veeam Explorer for Microsoft SharePoint (oder andere Veeam Applikations Explorer) installiert zusammen mit der Veeam Backup & Replication Konsole.

Um trotz des Multi-Homed Konzepts des Guest interaction Proxy die nötige Sicherheit zu gewährleisten wurde die VM und das Gast OS natürlich entsprechend gehärtet. Gateway und DNS Server hat der Guest interaction Proxy im Kunden-Netz, zu den Ressourcen in den Betriebs-Netzen zeigen statische Routen. Zur Überwachung setze ich den VMware vRealize Log Insight Agent ein, mit dem ich neben dem Windows Eventlog auch das Windows Firewall Log überwache, die kritischen Dienste werden zusätzlich per PRTG geprüft.

Veeam SharePoint Backup – Firewall Regeln

Die hier aufgeführten Ports sind ein Auszug der Kunden-Individuellen Regeln, alle benötigen Ports für die Infrastruktur können der Veeam Doku entnommen werden.

Veeam SharePoint Backup - Firewall Regeln

Veeam SharePoint Backup – Firewall Regeln

Veeam Backup Job

Der Veeam Backup Job ist, wie bei allen unterstützen Applikationen (Exchange, SQL, Oracle und SharePoint) mit „Application-Aware Processing“ zu konfigurieren. Speziell in einer Multi-Tennancy Umgebung ist, der Kunden Individuelle Guest interaction Proxy sowie die Credentials.

Veeam SharePoint Backup - Backup Job

Veeam SharePoint Backup – Backup Job

Für einen reinen Microsoft SQL Point-In-Time Restore könnte man sogar noch Log Shipping aktivieren. Hier ist nur wichtig auch den Kunden Individuelle Guest interaction Proxy zu wählen:

Veeam SQL Log Shipping

Veeam SQL Log Shipping

Die nötigen Rechte im SharePoint für den verwendeten Kunden-Accounts können hier nachgelesen werden. Es bietet sich zusätzlich an den User auch zum lokalen Administrator auf den SharePoint Servern zu machen, es ist ohnehin sehr umfangreicher Zugriff nötig (z.B. Zugriff auf Admin$).

Im Log der Veeam Konsole ist leider nicht direkt zu erkennen, dass der SharePoint Applikations bzw. Web Server gesichert wird. Allerdings kann man im Log unter C:\ProgramData\Veeam\Backup\<Job Name> Einträge wie „Backing up SharePoint Info“ oder „Updating OIB, id ‚<Your ID>‘, hasSharePoint ‚False‘:’True‚“ zu finden.

Nach dem das Backup erfolgreich war, ist dann auch in der Veeam Konsole zu erkennen, dass die SharePoint Daten gesichert wurden:

Restore1

Veeam Single Item Restore

Wie bereits angemerkt, wird der Kunden Individuelle Guest interaction Proxy für den Restore benötigt. Um den Restore ohne separaten Staging SQL direkt in einem Wizard zu erledigen, ist es notwendig, dass Veeam den Datenbankserver zu den Sharepoint Sites erkennt. Dies funktioniert nicht immer automatisch, Grund hierfür kann z.B. ein verwendeter DNS Alias in der Konfiguration des SharePoint sein.

Hier gibt es einen Registry Key als Lösung:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Veeam\SPSToSQLMap]
„<Your SP App Server>“=“<Your SP DB Server>\\<Your SP DB Instance>“

Quelle: Veeam Community Forum Beitrag

Der Ablauf des Restore

Ich bevorzuge den Weg über: Backup & Replication > Backup > Disk oder Disk (Copy)

Restore1

Site wählen

Hier zum Test meine eigene SharePoint My-Site.

Veeam SharePoint Restore - Wizard

Veeam SharePoint Restore – Wizard

Falls hier in diesem Schritt ein Ausrufezeichen in dem grünen Icons der Sites zu sehen ist, verrät ein Mouseover mehr. Bei mir handelte es sich um ein Problem mit dem Auto-Discover zwischen SharePoint Site und DB, der Registry Key weiter oben kann auch nachträglich auf dem Veeam Backup & Replication Server gesetzt werden. Nach einem Neustart der Konsole sollte dann alles wie gewünscht funktionieren.

Restore Point wählen

Veeam SharePoint Restore - Wizard

Veeam SharePoint Restore – Wizard

Nun mountet der Veeam Repository Gateway Server das gewählte Backup (in meinem Fall von einem HPE StoreOnce Catalyst Store) und der Guest interaction Proxy verbindet sich mit diesem. Auf der anderen Seite baut der Guest interaction Proxy eine SQL Verbindung mit dem Datenbankserver auf und der Datenbank Server, nachdem der Veeam Deployment Service läuft, wiederum initialisiert eine iSCSI Verbindung mit dem Guest interaction Proxy.

Restore Objekt wählen

Nun kann das gewünschte Objekt unter dem entsprechenden Kontext wieder hergestellt werden.

Veeam SharePoint Restore - Item Browser

Veeam SharePoint Restore – Item Browser

Zu den benötigten Rechten steht in der Veeam Dokumentation folgendes:

The account used for connection with target SharePoint server where document item(s)/list will be restored needs the following:
• If permissions of the item being restored are inherited from the parent item (list), Full Control for that list is required.
• If permissions are not inherited, and restored item will replace an existing item, Contribute for the item and Full Control for its parent list are required.

Nach dem erfolgreichen Restore nicht vergessen, den Veeam Explorer for Microsoft SharePoint zu schießen um das Backup File zu entsperren.

Leave a Reply