1. Tổng Quan & Kiến Trúc SOBR
Mục Tiêu Phase 04
Cấu hình Scale-Out Backup Repository (SOBR) để tự động quản lý vòng đời dữ liệu qua 3 tầng: Performance (XFS local) → Capacity (S3 Object Lock) → Archive (Tape GFS). Sau phase này, hệ thống đạt chuẩn 3-2-1-1-0 và tuân thủ dữ liệu dài hạn (7 năm băng từ).
Kiến Trúc SOBR 3-Tầng
SOBR: "SOBR-Enterprise"
│
├── [TẦNG 1: Performance Layer] — Chính sách: Data Locality
│ ├── Extent 1: repo-01.domain.local (Site Chính, XFS Reflink, 28TB)
│ └── Extent 2: repo-dr-01.domain.local (Site DR, XFS Reflink, 14TB)
│ │
│ └── Dữ liệu ở đây trong 14 ngày đầu (retention window)
│ Proxy lấy dữ liệu từ tầng này khi restore (nhanh nhất)
│
├── [TẦNG 2: Capacity Layer] — Tự động offload sau 14 ngày
│ └── S3 Bucket: veeam-backup-capacity (AWS S3 / Compatible)
│ ├── Object Lock Mode: COMPLIANCE (không ai xóa được trước 90 ngày)
│ ├── Encryption in transit: TLS 1.3
│ ├── Encryption at rest: AES-256 SSE-S3
│ └── Multipart upload: enabled (v13 cải tiến reliability)
│
└── [TẦNG 3: Archive Layer] — Tape GFS (long-term retention)
└── Tape Library (LTO-8/LTO-9)
├── Pool GFS-Weekly : giữ 4 tuần gần nhất (4 tapes rotation)
├── Pool GFS-Monthly : giữ 12 tháng gần nhất (12 tapes rotation)
└── Pool GFS-Yearly : giữ 7 năm gần nhất (7 tapes → offsite vault)
Vòng Đời Dữ Liệu (Data Lifecycle)
Ngày 0–14
XFS Repo (Local)
Restore nhanh nhất (<30 phút)
Ngày 15–90
S3 Object Lock
Restore ~1-4 giờ (download S3)
Tháng 3 — 7 Năm
Tape GFS (Offsite Vault)
Restore 1-2 ngày (recall tape)
2. Breaking Changes v13 — SOBR Specific
Các thay đổi ảnh hưởng trực tiếp đến sizing, cấu hình và quy trình
- BREAKING Per-VM backup chain bị loại bỏ trong v13 — Chỉ còn per-job chains. Trước đây mỗi VM có chain riêng, giờ toàn bộ VMs trong job dùng chung chain. Impact: storage sizing phải tính theo job, không theo VM nữa.
- TĂNG TỐC BLAKE3 hashing thay thế SHA-256 — Nhanh hơn ~3x trên CPU đa nhân. Integrity verification tốn ít thời gian hơn đáng kể, đặc biệt với health check weekly (Section 10). SHA-256 vẫn được hỗ trợ nhưng không còn là default.
- CẢI TIẾN Multipart upload được cải thiện đáng kể — Resume capability mạnh hơn. Nếu upload S3 bị ngắt giữa chừng (WAN drop), v13 tiếp tục từ phần đã upload thay vì restart. Giảm số lần retry và tốn bandwidth.
- BẮT BUỘC Data Locality policy BẮT BUỘC khi dùng XFS Reflink — Performance policy (phân tán files) phá vỡ reflink chains → không có fast-clone savings. Phải chọn Data Locality khi configure SOBR extents.
- MỚI VeeaMover — VM rebalancing tool — Tự động di chuyển VMs giữa các extents nếu mất cân bằng. Trigger thủ công hoặc theo schedule. Không gián đoạn backup jobs đang chạy.
3. S3 Object Lock — Compliance vs Governance (Critical)
KHÔNG BAO GIỜ dùng Governance Mode cho production backups
Trong Governance Mode, admin account bị compromise có thể unlock và xóa toàn bộ backups. Đây là điểm thất bại duy nhất (SPOF) trong chiến lược bảo vệ chống ransomware. Compliance Mode là không thể phá vỡ về mặt toán học trước khi lock period hết hạn — kể cả AWS root account cũng không thể xóa.
So Sánh Chi Tiết: Compliance vs Governance
| Đặc Điểm | Governance Mode | Compliance Mode |
|---|---|---|
| Ai có thể xóa trước hạn? | Root / Admin có s3:BypassGovernanceRetention | KHÔNG AI (kể cả AWS root) |
| Bảo vệ ransomware | YẾU — Admin bị compromise | MẠNH — Không thể bypass |
| Đáp ứng 3-2-1-1-0 "1 air-gapped"? | Không đủ | Đáp ứng đầy đủ |
| Veeam khuyến nghị? | Không khuyến nghị cho production | BẮT BUỘC cho enterprise |
| Rút ngắn lock period? | Có thể (admin có quyền) | Không thể rút ngắn, chỉ tăng |
| Chi phí S3 | Bằng nhau | Bằng nhau — không tốn thêm |
Lưu ý về Compliance Mode — Không thể đổi sau khi tạo bucket
Một khi S3 bucket được tạo với Object Lock Compliance, mode không thể thay đổi. Nếu vô tình tạo bucket với Governance, phải tạo bucket mới và migrate data. Kiểm tra kỹ trong AWS Console: S3 → Bucket → Properties → Object Lock → Mode: COMPLIANCE.
4. Bước 1: Thêm S3 Object Storage
Điều Kiện Trước (Phải Hoàn Thành Trước Bước Này)
- S3 bucket đã tạo trong AWS Console với Object Lock ENABLED (bật khi tạo, không thể bật sau)
- Bucket policy: cấm
s3:DeleteObjectvàs3:PutObjectLegalHoldcho tất cả users trừ Veeam IAM role - IAM user/role cho Veeam: quyền
s3:PutObject,s3:GetObject,s3:ListBucket,s3:PutObjectRetention - VBR server có outbound HTTPS access tới S3 endpoint
Wizard Thêm S3 Repository vào VBR
VBR Console
→ Backup Infrastructure
→ Backup Repositories
→ Add Backup Repository
→ Object Storage
→ Amazon S3 (hoặc "S3 Compatible" nếu dùng MinIO/Wasabi/etc.)
# Trang 1 — Name:
Name: S3-Capacity-Tier
Description: S3 Object Lock Compliance - 90 day retention
# Trang 2 — Account:
Access Key ID: AKIAXXXXXXXXXXXXXXXX
Secret Access Key: ********************************
(Hoặc chọn IAM Role nếu VBR chạy trên EC2)
# Trang 3 — Bucket:
Region: ap-southeast-1 (Singapore) ← chọn region gần nhất
Bucket: veeam-backup-capacity ← bucket đã tạo sẵn với Object Lock
Folder: backups/ ← subfolder trong bucket
[✓] Enable immutability
Immutability period: 90 days
Object Lock Mode: COMPLIANCE ← CRITICAL: không chọn Governance!
[✓] Enable encryption using S3 encryption key (SSE-S3)
← AWS quản lý key, AES-256
← Nếu cần customer-managed: chọn SSE-KMS (cần thêm KMS config)
# Trang 4 — Mount Server:
← Giữ mặc định (VBR server làm mount server)
# Finish → VBR test kết nối
Xác Minh S3 Object Lock Hoạt Động
# Sau khi backup job đầu tiên offload lên S3:
# Phương pháp 1: AWS Console
AWS Console → S3 → veeam-backup-capacity → [chọn một object]
→ Object Lock information
→ Mode: COMPLIANCE ✅
→ Retain until date: [date + 90 days] ✅
# Thử xóa object trong AWS Console:
[Select object] → Delete → [nhập "permanently delete"]
# Kết quả mong đợi:
# "Error: Object is locked - cannot delete" ✅
# Phương pháp 2: AWS CLI
aws s3api get-object-retention \
--bucket veeam-backup-capacity \
--key "backups/Jobs/Job-01/test.vbk"
# Output:
# {
# "Retention": {
# "Mode": "COMPLIANCE",
# "RetainUntilDate": "2026-07-31T00:00:00Z"
# }
# }
5. Bước 2: Thêm Tape Library & Tạo GFS Media Pools
Bước 2.1 Thêm Tape Server
VBR Console
→ Tape Infrastructure (panel bên trái, dưới Backup Infrastructure)
→ Tape Servers
→ Add Tape Server
→ Windows server với tape driver installed
→ DNS: tape-srv-01.domain.local
→ Credentials: (domain admin hoặc local admin)
# Sau khi add, VBR tự động scan attached devices:
→ Libraries: [1 library found: Quantum Scalar i3]
→ Drives: [Drive 0: LTO-9, Drive 1: LTO-9, ...]
→ Slots: [Slot 1-50: media present]
Bước 2.2 Inventory Tape Library
VBR Console
→ Tape Infrastructure
→ Libraries
→ [right-click library]
→ Inventory
# Quá trình inventory:
- Robot arm đọc barcode của từng tape (~5-10 phút cho 50 tapes)
- VBR catalog: media type, capacity, empty/used status
- Kết quả: 50 tapes, 47 free (chưa dùng), 3 scratch
# Sau inventory, tạo Free media pool cho tapes chưa format:
→ Media Pools → Free Pool → [confirm tapes được categorized correctly]
Bước 2.3 Tạo GFS Media Pools
Tạo 4 pools: 3 GFS retention pools + 1 offsite vault. Lặp lại wizard cho từng pool:
Pool 1: GFS-Weekly
Giữ 4 tuần
Media Pools → Add Media Pool
Name: GFS-Weekly
Description: Weekly full backups, 4-week retention
Tapes: Assign 8 tapes (2 tapes × 4 weeks rotation)
Retention: Set by backup job (GFS weekly schedule)
[✓] Export tapes when full to: Offsite-Vault
Pool 2: GFS-Monthly
Giữ 12 tháng
Media Pools → Add Media Pool
Name: GFS-Monthly
Description: Monthly full backups, 12-month retention
Tapes: Assign 24 tapes (2 tapes × 12 months rotation)
Retention: Set by backup job (GFS monthly schedule)
[✓] Export tapes when full to: Offsite-Vault
[✓] Enable encryption: AES-256 (tape-level encryption)
Pool 3: GFS-Yearly
Giữ 7 năm
Media Pools → Add Media Pool
Name: GFS-Yearly
Description: Annual full backups, 7-year retention (compliance)
Tapes: Assign 14 tapes (2 tapes × 7 years rotation)
Retention: Set by backup job (GFS yearly schedule)
[✓] Export tapes immediately after writing
[✓] Enable encryption: AES-256
Export to: Offsite-Vault (permanent storage, not for reuse)
Pool 4: Offsite-Vault (Virtual Pool)
Air-gap location
Media Pools → Add Media Pool → Vault
Name: Offsite-Vault
Description: Off-site storage - physically disconnected
← Vault = logical representation of physical off-site location
← Tapes "exported to vault" được gắn nhãn và
không được tái sử dụng tự động
← Veeam track location: "Vault" trong catalog
6. Bước 3: Tạo SOBR — Cài Đặt Critical
VBR Console
→ Backup Infrastructure
→ Scale-Out Repositories
→ Add Scale-Out Backup Repository
Trang 1
Name & Description
Name: SOBR-Enterprise Description: 3-tier SOBR: XFS local + S3 Compliance + Tape GFS
Trang 2 — CRITICAL
Performance Extents + Placement Policy
Performance Extents:
[Add] → repo-01.domain.local (Site Chính, 28TB)
[Add] → repo-dr-01.domain.local (Site DR, 14TB)
Placement Policy:
[×] Performance ← KHÔNG CHỌN CÁI NÀY
[✓] Data Locality ← PHẢI CHỌN CÁI NÀY
Tại Sao Data Locality Bắt Buộc?
- Data Locality: Toàn bộ backup chain của một VM (full + incrementals) luôn ở cùng một extent → XFS reflink fast-clone hoạt động → tiết kiệm 20% storage.
- Performance Policy: Phân tán files (full ở extent 1, incremental ở extent 2) → phá vỡ reflink chains → Veeam phải copy full data thay vì reflink → 20% storage dư thừa.
- VeeaMover sẽ rebalance giữa extents theo cách thông minh khi dùng Data Locality (không xảy ra mid-chain).
Trang 3
Capacity Tier — S3 Object Lock
[✓] Enable capacity tier
Extent: S3-Capacity-Tier (đã tạo ở Bước 1)
Copy policy:
[✓] Move backups to object storage as they age out of retention
After: 14 days ← sau 14 ngày trên XFS, offload lên S3
← 14 ngày = performance tier retention window
[✓] Copy backups to object storage as soon as they are created
← Enable nếu muốn immutable copy ngay lập tức (backup copy job mode)
← Tắt nếu chỉ muốn tiered storage (tiết kiệm bandwidth)
[✓] Encrypt data uploaded to object storage
← AES-256, key managed by VBR (thêm layer encryption trên SSE-S3)
Trang 4
Archive Tier — Tape GFS
[✓] Enable archive tier
Archive pool: GFS-Yearly
Archive backups older than: 12 months
← Backup files trên S3 sau 12 tháng → copy xuống tape rồi xóa khỏi S3
← Tiết kiệm chi phí S3 (long-term storage → tape rẻ hơn nhiều)
Sau khi Finish: SOBR-Enterprise xuất hiện trong danh sách Scale-Out Repositories. Status: Online. Extents: 2 (both online). Capacity tier: S3-Capacity-Tier (online). Archive tier: GFS-Yearly (online).
7. Bước 4: Cấu Hình Backup Jobs → SOBR-Enterprise
Settings Quan Trọng Trong Job Wizard
Target Repository
Repository: SOBR-Enterprise ← Không chọn trực tiếp repo-01 hay repo-dr-01 ← SOBR tự động routing và load-balancing
Retention Policy
Restore points to keep: 14 ← 14 restore points = 14 ngày (nếu daily incremental) ← Khớp với "transfer to S3 after 14 days" trong capacity tier ← Khi restore point #15 được tạo, restore point #1 age out → offload S3
Advanced → Storage
[✓] Enable inline data deduplication
Algorithm: Built-in Veeam dedup (per-job dedup table)
← Dedup ratio typical: 1.5:1 to 3:1 depending on workload
[✓] Enable compression
Level: Optimal ← LZ4 algorithm, best speed/ratio balance
← Avoid "Extreme" — tốn CPU nhiều, ratio chỉ nhỉnh hơn ~5%
[✓] Enable data integrity hashing
Algorithm: BLAKE3 ← v13 default, 3x faster than SHA-256
← Detect silent data corruption (bit rot) trong storage
← Hash stored alongside backup files, verified on restore
Advanced → vSphere Integration
[✓] Enable application-aware processing
← Quiescent VSS snapshots cho Windows VMs
← Consistent backup của SQL Server, Exchange, Active Directory
← Yêu cầu: Veeam agent installed in guest, or VMware Tools + guest credentials
[✓] Enable guest file system indexing
← Catalog individual files trong backup
← Enable File-Level Restore (FLR) từ VBR console
← Tốn thêm ~10% backup time, nhưng đáng để có FLR capability
Schedule
Daily incremental: 22:00 (Mon-Sat) Synthetic full: 22:00 Saturday ← Synthetic full: VBR tổng hợp từ incrementals, không đọc lại từ production ← Không cần backup window dài cho full backup ← Synthetic full là prerequisite cho GFS tape jobs
8. Bước 5: Backup Physical Agents → SOBR
Physical servers (Windows/Linux không phải VM) cần Veeam Agent. SOBR-Enterprise là target chung cho cả VM backup và physical agent backup.
# Bước 1: Tạo Protection Group
VBR Console
→ Inventory
→ Physical Infrastructure
→ Add Protection Group
→ Name: PG-Physical-Servers
→ Computers: [Add bằng IP range hoặc CSV list]
→ Credentials: domain admin
→ [✓] Auto-deploy agents
→ [✓] Auto-update agents
# Bước 2: Tạo Agent Backup Job
VBR Console
→ Backup Jobs
→ New Job → Windows/Linux Computer (Agent)
→ Protection Group: PG-Physical-Servers
→ Mode: Entire computer (bare metal recovery capable)
→ Repository: SOBR-Enterprise ← Cùng SOBR với VM jobs
→ Retention: 14 restore points
→ Schedule: 23:00 daily (sau VM backup jobs)
9. Bước 6: Tape GFS Job Configuration
VBR Console
→ Tape
→ Tape Jobs
→ Add Tape Job
→ Backup to Tape
# Trang 1 — Name:
Name: Tape-GFS-Enterprise
Description: GFS retention: 4w/12m/7y - Offsite Vault
# Trang 2 — Source:
[✓] Backup repository
Source: SOBR-Enterprise ← Copy từ disk/S3 xuống tape
← "Backup to Tape" copy từ SOBR, không đọc trực tiếp production
# Trang 3 — Media Pool Mapping:
Full backup → GFS schedule:
┌─────────────────────────────────────────────────────────┐
│ GFS Type │ Media Pool │ Keep For │ Day │
├─────────────────────────────────────────────────────────┤
│ Weekly Full │ GFS-Weekly │ 4 weeks │ Every Mon │
│ Monthly Full │ GFS-Monthly │ 12 months │ 1st Mon/mo │
│ Yearly Full │ GFS-Yearly │ 7 years │ 1st Mon/yr │
└─────────────────────────────────────────────────────────┘
← VBR tự động promote backup: weekly → monthly → yearly dựa vào lịch
← Không cần tạo 3 jobs riêng biệt, GFS logic xử lý tự động
# Trang 4 — Schedule:
Full: Sunday 02:00 (sau synthetic full Saturday night)
Incremental: Mon-Sat (copy incremental backups to tape cũng)
# Trang 5 — Advanced:
[✓] Eject tape media after job completes
[✓] Export to vault: Offsite-Vault
← Robot arm xuất tape ra port, nhân viên đưa đi offsite
← VBR ghi log: "Tape LTO-001 exported, send to vault"
[✓] Enable encryption: AES-256
Encryption key: [create new or use existing key]
Tape Encryption Keys: Lưu encryption keys trong Veeam Encryption Key Manager VÀ một bản offline an toàn. Nếu mất keys, tape không thể decrypt dù còn nguyên vẹn. Đây là rủi ro lớn nhất của tape backup.
10. Bước 7: SOBR Health Check & VeeaMover
Health Check Schedule
VBR Console
→ Backup Infrastructure
→ Scale-Out Repositories
→ SOBR-Enterprise
→ Properties
→ Performance Tier
→ [✓] Perform health check
Schedule: Weekly
Day: Sunday
Time: 06:00
← Sau backup window kết thúc (03:00-05:00)
← BLAKE3 verify toàn bộ backup files
← Detect bit rot, storage errors
← Tự động heal nếu có redundant copy
VeeaMover — Rebalancing
# Trigger VeeaMover khi extents mất cân bằng
# (ví dụ: repo-01 80% full, repo-dr-01 30% full)
VBR Console
→ SOBR-Enterprise
→ [right-click] → Rebalance
# VeeaMover sẽ:
1. Xác định VMs có thể di chuyển
2. Di chuyển toàn bộ backup chain
(full + all incrementals) sang extent khác
3. Không gián đoạn backup jobs đang chạy
4. Verify data integrity sau khi di chuyển
# Tự động: sau 90 ngày nếu diff > 20%
Synthetic Full — Tối Ưu Hóa Chain
# Synthetic full thay thế active full backup job để:
# 1. Không đọc lại dữ liệu từ production
# 2. Tận dụng XFS reflink để tạo full nhanh (fast-clone)
# 3. Rút ngắn backup chain (incrementals cộng dồn vào full mới)
VBR Job → Advanced → Storage
[✓] Create active full backup periodically: Never
[✓] Create synthetic full backup: Saturdays
← Schedule: Saturday 22:00 (sau backup window thường)
← Với XFS reflink: synthetic full chỉ tốn ~30 phút vs 6-8 giờ active full
11. Xác Minh Quy Tắc 3-2-1-1-0
| Quy Tắc | Triển Khai | Cách Xác Minh | Status |
|---|---|---|---|
| 3 Copies |
|
VBR → Backups → Disk → [right-click job] → Properties → Storage Locations: phải hiện 3 dòng | PASS |
| 2 Media Types |
|
SOBR Properties → Performance Tier (Disk) + Capacity Tier (S3) — 2 loại khác nhau confirmed | PASS |
| 1 Offsite | repo-dr-01 tại Site DR (khác building, khác network segment, khác power grid) | Xác nhận vật lý: địa chỉ Site DR khác Site Chính. VBR: SOBR Extent 2 = DR location | PASS |
| 1 Air-Gapped / Immutable |
|
S3: Test delete object → "Object locked". Tape: Physical disconnect verified. XFS: rm → "Operation not permitted" | PASS |
| 0 Errors |
|
SureBackup job results: 100% VMs boot + respond. Weekly scan: no errors. BLAKE3: all hashes match | Verify SureBackup |
12. Cấu Hình SureBackup — Automated Restore Testing
SureBackup tự động boot VM từ backup (trong isolated sandbox), chạy test scripts, xác minh VM hoạt động đúng. Đây là cách duy nhất để chứng minh backup thực sự có thể restore được — không phải chỉ "backup completed successfully".
Bước 12.1 Tạo Application Group
VBR Console → SureBackup → Application Groups → Add
Name: AppGroup-Critical
VMs to include (theo thứ tự boot):
1. DC-01 (Domain Controller) — Role: Active Directory
2. SQL-01 (SQL Server) — Role: Microsoft SQL Server
3. Exchange-01 — Role: Microsoft Exchange
← Thứ tự quan trọng: DC phải boot trước SQL, SQL trước Exchange
Bước 12.2 Tạo Virtual Lab (Isolated Sandbox)
VBR Console → SureBackup → Virtual Labs → Add
Name: VLab-SureBackup
Host: ESXi-01 (đủ tài nguyên để chạy test VMs)
Datastore: DS-SureBackup (dedicated, không phải production DS)
Network: [✓] Isolated (no bridge to production)
← VMs boot trong isolated network, không ảnh hưởng production
Proxy appliance: auto (VBR tự tạo proxy trong lab network)
Bước 12.3 Tạo SureBackup Job
VBR Console → SureBackup → Jobs → Add
Name: SureBackup-Weekly
Virtual Lab: VLab-SureBackup
Application Group: AppGroup-Critical
Linked Jobs: Job-Production-VMs (backup job nguồn)
Test scenarios (per VM):
[✓] VM heartbeat check ← VM boot thành công?
[✓] Ping test ← Network stack hoạt động?
[✓] Application test script ← App-specific checks:
DC-01: nltest /dsgetdc:domain.local → AD responding
SQL-01: sqlcmd -Q "SELECT 1" → SQL accepting connections
Exchange: Test-OWAConnectivity → Mailbox accessible
[✓] Guest file system indexing check
Schedule:
Run every: 1 week
Start time: 07:00 Sunday ← Sau health check (06:00 Sunday)
Max duration: 2 hours (nếu vượt → force stop, alert)
On failure:
[✓] Send notification to: [email protected]
[✓] Create task in Veeam ONE (Phase 06)
Kết Quả SureBackup Mong Đợi
SureBackup Job: SureBackup-Weekly
Status: Success
Duration: 45 minutes
VMs tested: 3/3
DC-01:
[✓] VM booted in 3m 12s
[✓] Ping: 192.168.99.10 responded
[✓] AD test: Domain DOMAIN.LOCAL is reachable
Score: 100%
SQL-01:
[✓] VM booted in 2m 44s
[✓] Ping: 192.168.99.11 responded
[✓] SQL test: Query returned 1 row
Score: 100%
Exchange-01:
[✓] VM booted in 4m 01s
[✓] Ping: 192.168.99.12 responded
[✓] OWA test: HTTP 200 received
Score: 100%
Overall: 3/3 VMs PASSED — Backup is recoverable ✅
13. Verification Checklist & Risk Assessment
Checklist Phase 04 Hoàn Thành
S3 bucket: Object Lock COMPLIANCE, 90 ngày, AES-256
Test S3 delete → "Object locked" confirmed
Tape library inventoried, GFS pools tạo đủ 4 pools
SOBR-Enterprise: Data Locality policy, 2 extents online
Capacity tier: offload sau 14 ngày, encryption enabled
Archive tier: GFS-Yearly, archive sau 12 tháng
Backup jobs → SOBR-Enterprise, 14 restore points, BLAKE3
Tape GFS job: Weekly/Monthly/Yearly pools, offsite export
Health check: Sunday 06:00 weekly
SureBackup: cần có VeeaMover và Application Group (Phase 04 end)
3-2-1-1-0: tất cả 5 rules verified với evidence
Physical agents → SOBR-Enterprise, protection group active
Risk Assessment
| Rủi Ro | Mức Độ | Biện Pháp |
|---|---|---|
| S3 bucket tạo với Governance thay vì Compliance | CRITICAL | Kiểm tra AWS Console → Bucket Properties → Object Lock Mode trước khi add vào VBR. Không thể change sau khi tạo. |
| SOBR dùng Performance Policy thay vì Data Locality | CAO | Verify trong SOBR Properties → Performance Tier → Policy sau khi tạo. Nếu sai, phải recreate SOBR. |
| Tape encryption key bị mất | CRITICAL | Export key từ VBR → lưu trong KMS hoặc offline vault an toàn. Test decrypt trên tape test trước khi dùng thực. |
| Per-VM chain (v12 behavior) still expected by ops team | TRUNG BÌNH | Training: v13 dùng per-job chain. Storage sizing cần recalculate. VeeaMover handles rebalancing. |
| S3 bandwidth limit gây delay offload | TRUNG BÌNH | Set bandwidth throttling trong SOBR capacity tier (off-peak hours). Monitor S3 transfer rate. Tăng WAN bandwidth nếu cần. |
Phase 04 Hoàn Thành — Tầm Quan Trọng
Sau khi Phase 04 kết thúc, toàn bộ hệ thống backup đạt chuẩn 3-2-1-1-0 với bảo vệ đa tầng. Dữ liệu được tự động di chuyển qua 3 tầng storage theo vòng đời, SureBackup xác minh khả năng phục hồi mỗi tuần, và tape GFS đảm bảo compliance 7 năm. Đây là nền tảng vững chắc cho Phase 05 (M365 & Cloud) và Phase 06 (Veeam ONE Monitoring).