4h
Thời lượng
3
Lab modules
4
Bài tập
6
Checklist items
Kết Quả Học Tập
- Cấu hình S3-compatible Object Storage repository trong Veeam (MinIO, AWS S3)
- Tích hợp Azure Blob Storage làm Capacity Tier trong Scale-Out Backup Repository
- Hiểu và cấu hình Veeam Cloud Connect (backup tới Cloud Gateway của provider)
- Phân tích chi phí cloud backup (AWS S3 vs Azure Blob vs MinIO on-prem)
- Thiết kế kiến trúc 3-2-1-1-0 với cloud tier và compliance requirements
- Hiểu data sovereignty requirements — lựa chọn cloud provider phù hợp cho VN
1 Lý Thuyết: Cloud Backup Architecture
Kiến Trúc Tổng Quan
┌─────────────────────────────────────────────────────────────────────┐
│ ON-PREMISE │
│ ┌─────────────┐ ┌──────────────┐ ┌──────────────────────────┐ │
│ │ Production │ │ Veeam │ │ Local Backup Repo │ │
│ │ VMs │──▶│ Server │──▶│ (Performance Tier) │ │
│ │ (ESXi/HV) │ │ + Proxy │ │ Fast disk, 7-30 days │ │
│ └─────────────┘ └──────────────┘ └────────────┬─────────────┘ │
└─────────────────────────────────────────────────────┼───────────────┘
│ WAN / Internet
┌───────────────────────▼───────────────┐
│ CLOUD TIER │
│ ┌──────────┐ ┌─────────┐ ┌────────┐ │
│ │ AWS S3 │ │ Azure │ │ GCS │ │
│ │ Standard │ │ Blob │ │Standard│ │
│ │ Infreq. │ │ Cool │ │Nearline│ │
│ │ Glacier │ │ Archive │ │Coldline│ │
│ └──────────┘ └─────────┘ └────────┘ │
└───────────────────────────────────────┘
3 Mô Hình Cloud Backup
Model 1: Direct to Cloud
Backup thẳng lên cloud, không lưu local
Tiết kiệm local storage
Phụ thuộc internet, restore chậm
Model 2: Cloud as Capacity Tier
Local cho hot data, cloud cho cold data (SOBR)
Best balance: speed + cost
Khuyến nghị cho enterprise
Model 3: Veeam Cloud Connect
Backup qua Cloud Gateway của service provider
Managed service, SLA guaranteed
Phụ thuộc provider, chi phí cao hơn
So Sánh Cloud Providers
| Provider | Cost/GB/tháng | Durability | Compliance VN | Region VN |
|---|---|---|---|---|
| AWS S3 Standard | $0.023 | 99.999999999% | Cần xem xét | Singapore (ap-se-1) |
| AWS S3 Glacier | $0.004 | 99.999999999% | Cần xem xét | Singapore |
| Azure Blob Cool | $0.01 | 99.999999999% | Cần xem xét | SE Asia (Singapore) |
| Azure Blob Archive | $0.00099 | 99.999999999% | Cần xem xét | SE Asia |
| MinIO On-Prem | Chi phí điện + disk | Theo cấu hình | Trong nước | Datacenter VN |
| VNG Cloud S3 | ~$0.015-0.02 | 99.9% | Trong nước | HCM, HN |
A LAB 9A: Cấu Hình S3-Compatible Object Storage (MinIO)
Step 1: Deploy MinIO Server On-Premises
# Deploy MinIO trên Docker (nhanh nhất cho lab):
docker run -d --name minio \
-p 9000:9000 \
-p 9001:9001 \
-v /mnt/minio-data:/data \
-e MINIO_ROOT_USER=veeamadmin \
-e MINIO_ROOT_PASSWORD=VeeamMinio123! \
quay.io/minio/minio server /data --console-address ":9001"
# Hoặc cài trực tiếp trên Linux:
wget https://dl.min.io/server/minio/release/linux-amd64/minio
chmod +x minio
sudo mv minio /usr/local/bin/
sudo useradd -r minio-user -s /sbin/nologin
sudo mkdir -p /data/minio
sudo chown minio-user:minio-user /data/minio
MINIO_ROOT_USER=veeamadmin MINIO_ROOT_PASSWORD=VeeamMinio123! \
minio server /data/minio --console-address ":9001" &
Expected output: MinIO Console accessible tại http://minio-server:9001. Đăng nhập với veeamadmin/VeeamMinio123!
Step 2: Tạo Bucket và IAM User
# Dùng MinIO Client (mc) để tạo bucket và user:
mc alias set myminio http://192.168.1.100:9000 veeamadmin VeeamMinio123!
# Tạo bucket cho Veeam backups:
mc mb myminio/veeam-backups
mc mb myminio/veeam-archive
# Bật versioning (quan trọng cho Veeam immutability):
mc version enable myminio/veeam-backups
# Tạo dedicated user cho Veeam:
mc admin user add myminio veeam-svc-account VeeamSvcP@ss123!
# Gán policy ReadWrite cho user này:
mc admin policy attach myminio readwrite --user veeam-svc-account
# Tạo Access Key (cho Veeam):
mc admin user svcacct add myminio veeam-svc-account
# Output: Access Key + Secret Key (lưu lại!)
Expected output: Bucket veeam-backups tạo thành công với versioning ON. Access Key và Secret Key để dùng trong bước tiếp theo.
Step 3: Thêm S3 Repository vào Veeam
# Trong Veeam Backup & Replication Console:
Backup Infrastructure → Backup Repositories
→ Add Repository → Object Storage → S3 Compatible
Repository Name: MinIO-OnPrem-S3
# Connection settings:
Service Point: http://192.168.1.100:9000
Region: us-east-1 (MinIO default)
Credentials: Add New
Access Key: [từ Step 2]
Secret Key: [từ Step 2]
# Bucket settings:
Bucket: veeam-backups
Folder: /veeam-lab/
# Mount Server (Windows server để mount backup files):
Mount Server: VeeamServer01 (cùng server Veeam)
Finish → Test Connection → OK
Expected output: Repository "MinIO-OnPrem-S3" xuất hiện trong Backup Repositories list, trạng thái Connected.
Step 4: Test Backup VM lên S3 Bucket
# Tạo Backup Job mới:
Home → Jobs → Backup → Virtual Machine
→ Name: "Test-S3-Backup"
→ VMs: Web-01 (chọn 1 VM nhỏ)
→ Storage: MinIO-OnPrem-S3
→ Retention: 7 restore points
→ Schedule: Manual (chạy thủ công để test)
# Chạy job và theo dõi:
Right-click "Test-S3-Backup" → Start
→ Theo dõi trong Job History tab
# Verify objects trong MinIO Console:
http://192.168.1.100:9001
→ Buckets → veeam-backups → veeam-lab/
→ Thấy các files:
Web-01D2024-01-20T020000.vbk (full backup)
Web-01D2024-01-20T020000.vbm (metadata)
# Verify qua mc CLI:
mc ls myminio/veeam-backups/veeam-lab/
mc du myminio/veeam-backups/
Expected output: Job hoàn tất "Success", files .VBK và .VBM visible trong MinIO Console. Dung lượng ~5-15 GB (tùy VM size).
B LAB 9B: Azure Blob Integration & Capacity Tier
Step 1: Tạo Azure Storage Account
# Tạo Resource Group và Storage Account (Azure Portal hoặc CLI):
az group create --name rg-veeam-backup --location southeastasia
az storage account create \
--name veeambackupstg2024 \
--resource-group rg-veeam-backup \
--location southeastasia \
--sku Standard_LRS \
--kind BlobStorage \
--access-tier Cool
# Tạo Blob Container:
az storage container create \
--name veeam-capacity-tier \
--account-name veeambackupstg2024 \
--public-access off
# Bật Immutability Policy (WORM) cho ransomware protection:
az storage container immutability-policy create \
--account-name veeambackupstg2024 \
--container-name veeam-capacity-tier \
--period 30
Expected output: Storage Account và Container tạo xong, accessible tại Azure Portal → Storage accounts → veeambackupstg2024.
Step 2: Tạo SAS Token (Shared Access Signature)
# Tạo SAS Token với quyền tối thiểu cho Veeam:
$expiry = (Get-Date).AddYears(1).ToString("yyyy-MM-dd")
az storage account generate-sas \
--account-name veeambackupstg2024 \
--expiry $expiry \
--https-only \
--permissions acdlruw \
--resource-types co \
--services b
# Output sẽ là SAS token dạng:
sv=2022-11-02&ss=b&srt=co&sp=rwdlacupiytfx&se=2025-01-20&st=2024-01-20&spr=https&sig=XXXXXXX
# Lưu SAS token an toàn — dùng trong Veeam config
# Lưu ý: SAS token = password, không để lộ!
Expected output: SAS token string bắt đầu bằng sv=, kết thúc bằng chữ ký. Lưu vào password manager.
Step 3: Add Azure Blob Repository vào Veeam
# Trong Veeam Console:
Backup Infrastructure → Backup Repositories
→ Add Repository → Object Storage → Microsoft Azure Blob Storage
Repository Name: Azure-CapacityTier-SEA
# Connection:
Account: veeambackupstg2024
Credentials: Add New → Shared Access Signature
SAS Token: [từ Step 2]
Storage Account: veeambackupstg2024
# Container:
Container: veeam-capacity-tier
Folder: /veeam/
Immutability: Enable (nếu đã bật WORM)
# Mount Server:
VeeamServer01 → Finish
Expected output: Repository "Azure-CapacityTier-SEA" xuất hiện, hiển thị capacity của Azure container.
Step 4: Cấu Hình Capacity Tier — Move Backups >30 Ngày lên Azure
# Cấu hình SOBR với Azure làm Capacity Tier:
Backup Infrastructure → Scale-Out Repositories
→ Edit existing SOBR (hoặc tạo mới)
Performance Tier: Local-Repo (fast local disk)
Capacity Tier:
✓ Extend scale-out backup repository capacity with object storage
Repository: Azure-CapacityTier-SEA
✓ Move backups older than: 30 days
✓ Copy backups to object storage as soon as they are created
# Tiering policy sẽ tự động:
Day 1-30: Backup lưu trên Local-Repo (fast, $$$)
Day 30+: Veeam tiering job di chuyển .VBK lên Azure ($)
Local copy được xóa sau khi Azure confirm
# Force tiering job chạy ngay (để test):
Right-click SOBR → Run capacity tier offload now
Expected output: Tiering job chạy, .VBK files cũ hơn 30 ngày xuất hiện trong Azure Blob container. Local repo giảm dung lượng.
C LAB 9C: Veeam Cloud Connect (Giới Thiệu)
Kiến Trúc Veeam Cloud Connect
Client Site (On-Premise) Cloud Provider Site
┌─────────────────────┐ ┌──────────────────────────────┐
│ Veeam Backup │ │ Cloud Gateway │
│ & Replication │──── TLS ────▶│ (Provider's Veeam Server) │
│ (Tenant) │ 8443 │ │
│ │ │ Cloud Repository │
│ Backup jobs │ │ (Tenant's storage) │
│ point to Cloud │ │ /TenantName/backups/ │
│ Repository │ │ │
└─────────────────────┘ └──────────────────────────────┘
↓ Managed by Cloud Provider
(Viettel IDC, CMC, FPT Cloud VN)
Cấu Hình Cơ Bản (Tenant Side)
# Thêm Cloud Service Provider:
Backup Infrastructure → Service Providers
→ Add Service Provider
DNS/IP: cloud-backup.provider.vn
Port: 8443
Credentials: [do provider cung cấp username/password]
# Sau khi kết nối, Cloud Repository sẽ xuất hiện:
Backup Infrastructure → Backup Repositories
→ [Provider Name] - Cloud Repository (capacity GB visible)
# Tạo backup job dùng Cloud Repository làm target:
Home → Jobs → Backup → Virtual Machine
→ Storage: [Provider] - Cloud Repository
→ Encryption: ✓ Enable (AES-256 end-to-end)
Expected output: Backup job chạy qua port 8443 tới Cloud Gateway, traffic được mã hóa end-to-end.
B Bài Tập Thực Hành
BT1: Cloud Cost Calculator
Công ty có 10 TB backup data, lưu trữ 12 tháng. Tính tổng chi phí cho:
- • AWS S3 Standard-IA: $0.0125/GB/tháng + $0.01/GB egress
- • Azure Blob Cool: $0.01/GB/tháng + $0.015/GB egress (1 lần restore/năm)
- • MinIO on-prem: 2 servers × 100 triệu × depreciation 5 năm + điện
Xem gợi ý giải
Data: 10 TB = 10,240 GB
AWS S3 Standard-IA (12 tháng):
Storage: 10,240 × $0.0125 × 12 = $1,536/năm
Egress: 10,240 × $0.01 = $102 (1 restore)
TOTAL: ~$1,638/năm (~42 triệu VND)
Azure Blob Cool (12 tháng):
Storage: 10,240 × $0.01 × 12 = $1,229/năm
Egress: 10,240 × $0.015 = $154
TOTAL: ~$1,383/năm (~35 triệu VND)
MinIO On-Prem:
Hardware: 200M ÷ 5 năm = 40M/năm
Điện: 2 servers × 500W × 8,760h × 1,800đ/kWh = ~16M/năm
TOTAL: ~56 triệu/năm (nhưng không tốn egress fee)
→ Azure Blob Cool rẻ nhất nếu ít restore
→ MinIO tốt hơn nếu restore thường xuyên (không tốn egress)
BT2: Thiết Kế 3-2-1-1-0 với Cloud Tier
Vẽ sơ đồ kiến trúc 3-2-1-1-0 rule với cloud tier. Chú thích rõ:
- • 3 copies of data
- • 2 different media types
- • 1 offsite copy
- • 1 offline/air-gapped copy
- • 0 errors (verified restore)
Xem gợi ý giải
Copy 1: Production data (VMware VMs) → on-prem, NVMe SSD
Copy 2: Local backup on Repo (fast disk) → on-prem, SATA HDD SOBR
Copy 3: Cloud Capacity Tier (Azure Blob) → offsite, SE Asia
Medium 1: Local disk (SSD + HDD)
Medium 2: Cloud object storage (Azure Blob)
Offsite: Azure Blob (SE Asia region)
Air-gap: Azure Blob Immutability (WORM) OR
Monthly tape export (xem Tuần 10)
Verified: Veeam SureBackup job hàng tuần
→ Spin up VM from backup → Run heartbeat test
→ 0 errors = backup healthy
BT3: SOBR Tiering Policy Design
Thiết kế tiering policy cho SOBR với yêu cầu:
- • Data mới (0-30 ngày): cần restore nhanh trong 1 giờ — local SSD
- • Data cũ (30-365 ngày): chấp nhận restore 4-8 giờ — cloud
- • Data lưu trữ (1-7 năm): compliance, ít restore — tape/archive
BT4: Compliance Scenario — Data Phải Lưu Trong Lãnh Thổ VN
Khách hàng là ngân hàng, theo Thông tư 09/2020/TT-NHNN, dữ liệu khách hàng phải lưu trong lãnh thổ Việt Nam. Câu hỏi:
- 1. AWS S3 Singapore region có đáp ứng không?
- 2. Providers nào tại VN hỗ trợ S3-compatible API?
- 3. MinIO on-prem trong DC tại VN có đáp ứng không?
Xem gợi ý giải
1. AWS S3 Singapore: KHÔNG đáp ứng — Singapore là lãnh thổ nước ngoài. Dữ liệu rời khỏi VN.
2. Providers VN hỗ trợ S3 API: VNG Cloud (S3-compatible), Viettel IDC, CMC Cloud — data center tại Hà Nội/HCM. Veeam có thể kết nối như S3 Compatible endpoint.
3. MinIO on-prem tại DC VN: ĐÁP ỨNG hoàn toàn — data không rời khỏi VN, kiểm soát hoàn toàn. Đây là lựa chọn tốt nhất cho bank, fintech.