PREMESSA: in questo periodo sto cercando di modellare i miei articoli in modo che seguano la struttura STAR (Situation, Task, Action, Result) al fine di garantirne la correttezza tecnica e l’esposizione.
Non mi stancherò mai di ripeterlo: la protezione dei dati aziendali è il core di tutte le imprese, e la difesa deve estendersi oltre le classiche macchine virtuali o i database transazionali, includendo i dati non strutturati che risiedono su infrastrutture NAS.
1. Situazione (Situation)
Un nostro cliente ha espresso l’esigenza critica di attivare un meccanismo di backup robusto e immutabile per un volume significativo di dati non strutturati.
-
Fonte Dati: NetApp ONTAP (versione 9.14.1P5).
-
Dati Coinvolti: Circa 11 TB distribuiti su 25 share NFS.
-
Contenuto Critico: Dump di database Oracle (eseguiti con RMAN) e PostgreSQL (tramite script).
-
Esigenza Specifica: Il backup doveva essere efficiente e, in prospettiva futura, la replica del copy di backup doveva avvenire su un Blob Storage di Azure (pur non essendo la prima fase di questo progetto, la soluzione doveva essere nativamente predisposta).
2. Obiettivo (Task)
La nostra missione era progettare e implementare una soluzione di backup ad alte prestazioni basata su Veeam Backup & Replication v.12.3 che fosse in grado di:
-
Gestire in modo nativo il backup a livello di share delle 25 directory NFS con la funzionalità NAS Filer
-
Sfruttare l’integrazione con le API NetApp per una lettura dati consistente tramite snapshot
-
Garantire l’immutabilità del backup primario in un Linux Hardened Repository preparando il terreno per la successiva replica su Object Storage
-
Minimizzare l’impatto sul sistema NetApp in produzione.
-
Ottimizzare lo spazio e il traffico di rete tramite deduplicazione e compressione.
3. Azione (Action)
Per raggiungere gli obiettivi, abbiamo costruito una soluzione che ruota attorno a quattro componenti in sinergia:
| Componente | Ruolo e Specifiche |
| Source File Share | NetApp ONTAP v. 9.14.1P5. Integrazione diretta tramite API NetApp per l’orchestrazione delle snapshot e l’accesso ai dati. |
| File Proxy Dedicato | VM Windows Server 2022 (8 vCPU, 16 GB RAM). Agisce da gateway, gestendo la lettura, l’elaborazione (deduplicazione/compressione) e il trasferimento dei 11 TB, alleggerendo il carico del server Veeam principale. |
| Cache Repository* | Area di caching di 100 GB sul File Proxy per metadati e Change Tracking. Cruciale per identificare i blocchi modificati e ottimizzare i job incrementali. |
| Backup Repository | Linux Hardened Repository esistente, configurato per garantire l’immutabilità dei dati come difesa contro il ransomware. |
*A causa di la versione 12.3 il repository della cache deve risiedere su un sistema Windows per cui il file proxy è stato creato con una immagine Windows Server 2022.
Prerequisiti Tecnici
1. Utente dedicato su Netapp
Creazione di un utente dedicato (veeamsvc) su NetApp con permessi CDOT (CDOT NAS Backup Integration) granulari (principio del privilegio minimo). I privilegi granulari sono stati aggiunti seguendo le indicazioni presenti nel link della documentazione ufficiale di Veeam: https://helpcenter.veeam.com/docs/backup/vsphere/required_permissions.html?ver=120#storage-systems-snapshot-integration
2. Configurazione della visibilità delle Snapshot Directory
Onde evitare che le snapshot dei volumi non funzionino correttamente è necessario rendere visibili, dalla console di gestione del Netapp, le cartelle delle stesse. Ecco la schermata dove si imposta il flag.
In caso contrario, nel momento della discovery dello storage si otterrebbe questo messaggio di warning
3. Connettività tra Veeam e Netapp
Per la connettività tra VBR e Netapp sono state seguite le indicazioni presenti nell’Help Center Veeam al link https://helpcenter.veeam.com/docs/backup/storage/ports.html?ver=120#netapp e di cui riporto la tabella specifica:
| From | To | Protocol | Port | Notes |
| Backup server | NetApp ONTAP storage system | TCP | 80 | Default command port used for communication with NetApp ONTAP over HTTP. |
| TCP | 443 | Default command port used for communication with NetApp ONTAP over HTTPS. | ||
| Backup proxy | NetApp ONTAP storage system | TCP, UDP | 111, 2049 | Standard NFS ports. Port 111 is used by the port mapper service. |
| TCP | 445 | Standard SMB port. | ||
| TCP | 3260 | Default iSCSI target port. |
4. Creazione di un general purpose backup proxy
Una volta creata una VM con i prerequisiti hardware e software precedentemente indicati è necessario aggiungere il nuovo proxy dedicato al backup della NAS.
Quindi da Backup Infrastructure cliccando con il taso destro su Backup Proxies si seleziona Add proxy…
Alla schermata successiva cliccare su General-purpose backup proxy
Appare questa schermata
Abbiamo inserito l’hostname del server Windows precedentemente aggiunto alla console Veeam, lasciata la schermata delle Traffic Rules di default quindi cliccato su Apply
quindi Next e poi Finish.
Processo di Implementazione e Configurazione
-
Configurazione Veeam: Abbiamo aggiunto NetApp ONTAP come “File Server” di tipo “NetApp ONTAP” nella console Veeam. Dopo l’aggiunta dell’Unstructured Data Source, abbiamo lasciato le impostazioni di I/O Control a default per non sovraccaricare la NAS.
L’integrazione di NetApp ONTAP in Veeam è avvenuta configurando un “File Server” di tipo “NetApp ONTAP”. Vediamo ora i singoli passaggi:
Aggiunta alla console di Veeam della NAS Netapp. Su Storage Infrastructure, click su Add Storage
Nella schermata successiva click su Netapp
Selezionare la voce ONTAP
A questo punto è partito il wizard per la configurazione:
Dopo aver inserito l’hostname della Netapp è stato impostato il flag su NAS Filer e quindi cliccato su Next
Quindi aggiunte le credenziali dell’utente precedentemente creato sul Netapp lasciato il protocollo HTTPS e la porta 443 e cliccato su Next.
A questo punto è partita la connessione
È apparso il messaggio di connessione con un certificato non trusted e cliccato su Continue
A questo punto è partito il salvataggio della configurazione dello storage
Al termine nella schermata NAS Filer sono stati selezionati i protocolli SMB e NFS
Selezionato il volume di cui si vuole effettuare il backup
Cliccando su Add è possibile selezionarlo, nel nostro caso abbiamo scelto il volume chiamato nfs_backup_db
Cliccando su OK vediamo il risultato. A questo punto si è scelto il proxy corretto e poi cliccato su Next.
Lasciata la spunta su “Run the storage infrastructure rescan when I click Finish” e quindi è partito il rescan.
Al termine nel menù Storage Infrastructure è diventato visibile l’ONTAP
Aggiunta del Cache repository
Come indicato in precedenza si tratta di un’area di caching temporanea, residente sul File Proxy dedicato, utilizzata da Veeam per memorizzare i metadati dei file e le informazioni di Change Tracking. Dal pannello Backup Infrastructure e quindi click con il tasto destro su Backup Repository e selezioniamo Add.
In questa finestra clicchiamo su Direct attached storage
Clicchiamo su Microsoft Windows
Inseriamo il nome che vogliamo dare al repository e click su Next
Selezioniamo il server dalla lista clicchiamo su Populate e una volta trovato e selezionato il disco dedicato alla cache da 100GB.
Cliccare su Populate per verificare lo spazio disponibile e successivamente su Advanced per verificare le corrette impostazioni dello storage come da immagine in basso
Selezionare il mount server, in questo caso il VBR server.
Click su Next
Click su Apply e attendere il completamento delle configurazioni e alla fine è apparso il nostro repository di cache
Aggiunta Unstructured Data Source
A questo punto si procede con l’aggiunta della componente NAS Filer. Dal menù Inventory in basso a sinistra selezioniamo la voce Unstructured Data e clicchiamo su Add Unstructured data Source.
Nella finestra che appare scegliamo NAS Filer
Nel menù a tendina scegliamo il dispositivo NAS precedentemente aggiunto. Spuntiamo la voce relativa all’account e selezioniamo l’account veeamsvc già inserito.
Lasciamo le impostazioni dell’I/O Control di default per non gravare completamente sul numero dei parallelismi e quindi sovraccaricare la Netapp. Click su Apply.
Aspettiamo il completamento dell’operazione e quindi clicchiamo su Finish. A questo punto apparirà la voce NAS File sotto Unstructured data
-
Definizione del Job NAS: È stato creato un singolo job di backup:
-
Modalità: Backup a livello di share.
-
Retention: 28 punti di ripristino giornalieri.
-
Filtri: Impostate le Exclude Masks per escludere file non necessari (es.
*.dmp) e i path delle snapshot.
-
Vediamo di seguito le impostazioni del Job di backup. Dal menù Jobs e cliccando con il tasto destro seguento il percorso Backup – File share si apre poi la finestra in cui viene indicato il nome del job di backup
Nella schermata Objects cliccando su Add andiamo ad aggiungere le share che vogliamo proteggere.
Abbiamo scelto la share nfs_backup_db e cliccato su OK
Selezionando la share e cliccando su Filters è possibile configurare, attraverso l’apposita schermata, gli oggetti da includere o quelli da escludere durante il backup.
Per un primo test abbiamo selezionato nelle include mask i file con estensione .veeam (creati ad hoc) e nella exclude masks, i path relativi alle snapshot e anche i file con estensione *.dmp
NOTA: Le Exclude Masks hanno priorità sulle Included Masks.
Impostato il Linux Hardened come backup repository e la retention a 28 giorni poi cliccando sul tasto Advanced abbiamo verificato queste impostazioni:
 |
 |
Continuato fino alla fine della configurazione del job senza modificare nulla. Ed è ora pronto per essere lanciato.
Consiglio Proattivo: Abbiamo raccomandato al cliente di passare dal backup di dump all’utilizzo del plug-in Veeam RMAN dedicato per una maggiore consistenza e ottimizzazione dei futuri backup di Oracle.
4. Risultato (Result)
I Risultati Convalidati:
I test e la validazione post-implementazione hanno confermato il pieno successo del progetto:
| Tipo di Backup | Dati Letti | Dimensione Backup (Netta) | Compressione | Durata (Full) |
| Completo Iniziale (Full) | 10,6 TB | 7,8 TB | 1,2x | Poco più di 19 ore |
| Incrementale | 4,6 TB (Medio) | 7,8 TB (Stabile) | 1,2x | Rapida e ottimizzata grazie al Change Tracking |
-
Validazione Restore: I test di restore granulare hanno permesso il recupero di singoli file con successo, dimostrando la piena operatività della soluzione.
-
Obiettivo Raggiunto: L’architettura è risultata robusta, scalabile e performante, rispettando pienamente i requisiti di retention e le performance attese. L’immutabilità garantisce l’attuale livello di protezione contro il ransomware.
Spero che questo articolo sia utile per tutti coloro che abbiano necessità di impostare un backup di dati non strutturati e nello specifico di NAS Filer.
Alla prossima!
