虛擬機保衛戰

■ 顧武雄

任何虛擬化平臺的部署，除了基礎的架構設計需要精心考慮之外，管理人員還必須依據私有云上準備運行的Guest操作系統、應用系統、數據庫類型等等，來評估與擬定最適合的備份工具與備份還原策略。在VMware vSphere 5.5至6.5的架構中，對于虛擬機的備份工具，早已提供了vSphere Data Protection Appliance(VDP)的集成套件，來滿足中小型企業實施云備份與還原的策略需要。

關于VDP與VDPA

熟悉Microsoft虛擬化平臺解決方案的IT先進都知道，在Windows Server 2012 R2中針對Hyper-v虛擬機的免費備份工具是Windows Server Backup，高級的付費備份管理工具則是System Center 2012 Data Protection Manager。

至于在VMware vSphere 5.5/6.0/6.1/6.5虛擬機的備份解決方案，同樣有著類似相對應的備份管理工具，在它的各個付費版本之中都可以無償使用一套名為VDP(vSphere Data Protection)的 Appliance，高級的版本則是VDPA（vSphere Data Protection Advanced）。

無論是VDP還是VDPA皆是提供了快速且有效率的備份還原機制。在虛擬機的備份管理功能，由于采用重復數據刪除(de-duplication)技術，因此除了初始的備份操作會較耗時之外，往后的備份時間就會縮短許多。

在數據還原的功能上則是提供了整個虛擬機的復原(VM)、各別映像的復原(image-level)以及文件級別的復原(File Level)能力，其中文件級別的復原功能，主要是提供給一般使用者(End user)來使用的一項Web界面還原管理工具，它稱之為vSphere Data Protection Restore Client，讓使用者無須再通過管理人員，來進行文件精細還原的需求。

而VDP與VDPA最主要的差別在于支持備份的虛擬機數量、備份存儲的數據量以及其他延伸的集成管理功能。首先在單部支持的虛擬機數量部分，VDP支持最多一百的虛擬機備份，VDPA則是四百個虛擬機為上限。存儲量的限制部分，VCP最多2TB空間，VDP則是可以高達8TB空間。在其它VDP所沒有支持的延伸功能部分，則有應用系統級別的備份與還原(Exchange Server、SharePoint Server、SQL Server)、遠程復制、根據備份需要動態擴充現有的備份存儲區、支持集成備份到其它存儲系統(例如EMC)之中、提供備份的安全驗證機制。

請注意！現階段使用VDP來管理虛擬機的備份與還原，未來仍隨時可以就地升級到付費的VDPA版本，并且原先的所有設置也不會因此遺失。

在接下來的實作講解中，我們需要三個必要的準備，那就是VDP的Virtual Appliance、vCenter Server、vSphere Web Client。其中VDP的Virtual Appliance文件(OVF)，您只要登錄VMWare官方網站的下載頁中就可以找到，目前也有提供評估的版本可下載測試。

部署VDP的OVF模板

在完成了VDP的Virtual Appliance文件下載之后， 就可以開啟瀏覽器連接至vCenter Server網站。然后在準備部署VDP虛擬機的主機上，按下鼠標右鍵點擊[部署OVF模板]繼續。

若是您初次使用Firefox瀏覽器，來執行部署OVF模板的操作，可能會出現 [Client Integration Access Control]提示信息，讓您決定是否要允許此附加程序可以通過瀏覽器來訪問您的操作系統。點擊[Allow]即可。

來到 [選取來源]頁面中，您可以選擇輸入網際網絡的OVF套件位置，或是直接指定已下載至本地路徑中的OVF文件。點擊[下一步]。

在[檢閱詳細數據]頁面中，便可以查看到上一步驟中所加載的OVF模板文件信息，這包括了VDP的版本信息、文件大小以及磁盤大小信息。確認無誤后點擊[下一步]。

在[選取名稱和活頁夾]頁面中，除了必須設置模板的名稱之外，還要指定所要置放的活頁夾或數據中心位置，而所在位置不能夠有相同的模板名稱出現。點擊[下一步]。

圖1 自定義模板

在[選取存儲空間]頁面中，必須先從下拉選單中選取虛擬磁盤格式，在此如果您所選擇的存儲位置其空間夠大，可以考慮直接采用完整布建方式，因為它需要使用到100GB的可用空間，否則就可以改用精簡布建方式，而它初期所需要的空間只要9GB即可。若選取的數據存放區空間不足，將會出現警示信息而無法繼續。

在[設置網絡]頁面中，可以從目前可用的網絡清單之中，挑選要給予VDP使用的網絡，至于VDP系統本身的網絡配置，則是可以選擇在下一步驟中設置，或是在完成布建后進行設置即可。

在如圖1所示的[自定義模板]頁面中，便可以設置VDP系統的默認網關IP地址、DNS地址、網絡IP地址以及Netmask。點擊[下一步]繼續。

在[即將完成]頁面中，可以檢視到前面步驟中所完成的各項設置，比較需要特別注意的是有關磁盤存儲空間的布建方式。

請將左下方的[部署后開啟電源]設置勾選。在確認無誤之后點擊[完成]。

關于整個VDP模板檔的布建過程，都可以在[任務詳細信息]窗口之中查看到，這包括了部署的進度以及此虛擬機的啟動狀態。

當回到[虛擬機]頁面中，便可以看到[vSphere Data Protection 5.8]虛擬機狀態，包括它的已布建空間、已使用空間、CPU資源使用狀態以及內存使用狀態等等。

接下來您也可以開啟VDP虛擬機的Console。在此將可以看到VDP系統網站的連接網址。

另外如果您想要在此進行網絡設置的修改，只要開啟[Configure Network]即可，若是時區設置的修改則可以開啟[Set Timezone]。

設置VPD基礎配置

VDP網站的默認連接地址為https://IP地址:8543/vdp-configure，其 中 IP地址必須根據您當時所設置的IP為主，后續也可以改用完整域名(FQDN)的方式來進行連接。而VDP應用設備的默認賬號是root，密碼則是changeme。請務必在登錄后修改此密碼設置。

成功登錄VDP的配置公用程序網站之后，首先可以修改目前的網絡設置，依序分別有IPv4靜態地址、Netmask、網關、主要 DNS、次要DNS、主機名、網域。其中主要DNS通常是指向內部的DNS服務器地址，而次要DNS則是指向外部DNS地址，像是168.95.1.1或是8.8.8.8。至于主機名與網域的結合，變可以成為此網站之后的FQDN連接地址，因此必須記得在內部的DNS服務器中，添加這一筆A記錄設置，以便于連接時名稱可以被正常解析，否則可能會出現無法解析IP/DNS的錯誤信息。點擊[下一步]。

在[時區]頁面中必須正確設定，以便后續登記至vCenter服務器時，系統時間的對照才能夠一致。點擊[下一步]。在[VDP認證]頁面中，請設置一組新的VDP應用設備認證密碼。此密碼的屬性除了必須至少七個字符之外，最好還能夠包含三種以上的字符類別，像是大寫字母、小寫字母、數字以及特殊符號，如此才能夠有效防范有心人士的密碼猜測，或是使用密碼字典的黑客工具破解之疑慮。點擊[下一步]。

在[vCenter登記]的頁面中，請依序輸入vCenter的管理員賬號、密碼、連接地址以及所使用的兩種通信端口。一般來說通信端口通常都是使用默認的80以及443。至于vCenter的連接地址，可以輸入IP會是完整的域名(FQDN)。接著請將[使用vCenter進行SSO驗證]設置勾選，然后點擊[測試連接]按鈕，如此就能夠知道此VDP虛擬機與vCenter服務器的連接是否會成功。點擊[下一步]繼續。

在[VDP授權]頁面中，可以選擇所要使用的VDP產品授權類型，其中[VDP]就是無需再額外付費授權的版本，可以執行基本的虛擬機備份與還原功能，備份的數據大小限制是2TB。VDP Advanced版本則是提供了完整功能的付費版本，其備份的數據大小限制可高達8TB，因此需要額外輸入合法授權的密鑰。至于[VDP復制目標]則是包含了VDP Advanced大多數的功能，主要用途在擔任遠程復制(Replication)備份使用。點擊[下一步]繼續。

在[創建存儲空間]頁面中，可以選擇創建新的備份存儲空間，或是連接現有的備份存儲空間，對于VDP版本而言只能夠創建最大2TB的新存儲空間。如果想要連接現有的存儲空間，其版本最好能夠一致，才不會發生無法預期的錯誤。

例如VDP就連接VDP的磁盤，而VDPA則連接VPDA磁盤。點擊[下一步]繼續。

在[設備配置]頁面中，共有三種虛擬磁盤的類型可以選擇，分別是Thick Lazy-Zeroed、Thick Eager-Zeroed以及Thin。

其中Thin的格式會隨著數據使用量而增加虛擬硬盤大小，但不會超過所制定的最大值，是一般管理人員最常用的選擇，其缺點就是在效能的表現上會比其它兩種格式差一些。

至于前兩者則是都會先一次占用所有的可用空間，但由于Thick Eager-Zeroed類型會預先對于未使用的Block空間完成Zeroed處理，因此如果您想要獲得最佳的I/O效能表現，Thick Eager-Zeroed類型肯定是最好的選擇。點擊[下一步]。

在[CPU和內存]頁面中，如果您使用的僅是VDP的標準版本，則虛擬CPU的數量可以少于4顆，內存也大約在4GB左右就足夠使用了，這是因為它的備份存儲空間有2TB的限制。

相對地，如果您使用的是高級VDPA版本，那么虛擬CPU的數量最好能夠至少在4顆以上，內存則是在6GB以上為最理想，并且每增加2TB的存儲空間就隨之增加2GB的內存，如此才能夠獲得最佳的效能表現。點擊[下一步]繼續。

在[準備完成]頁面中，您可以決定是否要針對前面所配置的配置，執行效能分析的操作，這樣的好處在于能真正確認，您所提供的各項設置值，是否符合現行硬件資源運行的條件。根據不同的配置設置此操作的執行大約花費三十分鐘以上。

當目前的存儲區空間不足的時候，可能會發生效能分析操作無法完成的錯誤信息，不過這并不會影響VDP虛擬機初步的正常執行，只要您事后有空出足以存儲備份數據的空間。在完成了VDP系統的配置設置之后，請點擊[Restart Appliance]按鈕，來重新啟動此虛擬機即可。

創建虛擬機備份計劃

完成了VDP的部署之后，您就可以在vCenter首頁中看到[vSphere Data Protection]功能項，在此頁面中除了可以知道目前VDP使用的版本之外，在默認的狀態下是尚未連接的。點擊[連接]按鈕。成功連接VDP虛擬機之后，就可以在此頁面中就可以開啟各項的基本任務，包括了添加VDP Advanced授權、創建備份任務、還原備份等等。就讓我們馬上點擊[創建備份任務]連接繼續。

首先在[數據類型]頁面中，您可以根據實際備份需要，來選擇進行[完整映像]或[個別磁盤]的備份方式。前者是針對您所選取的虛擬機，不管旗下有連接多少虛擬硬盤通通備份起來，后者則是可以讓您自由勾選每一個虛擬機之中，特定的某些虛擬硬盤來進行備份。

這是因為許多時候您可能會因有限的備份空間問題，而僅選擇備份其中存放重要數據的虛擬硬盤，再者也有可能是因為系統的復原急迫程度較低，有充分的時間可以允許我們重建新的虛擬機之后，再來完成數據虛擬硬盤的還原。

如果您選定了[個別磁盤]的備份方式，則可以在[備份目標]頁面中，展開每一個虛擬機節點(Node)，然后來勾選所要備份的虛擬硬盤。

若是選定了[完整映像]備份方式，在[備份目標]業面之中，便只能夠選取整個虛擬機，而無法個別選取旗下的虛擬硬盤。

來到[計劃]頁面中，您可以根據實際的備份頻率需要，來選擇每日、每周或是每月的備份計劃設置。例如對于較重要的虛擬機，您可以設置每日備份一次，對于一些比較不是那么關鍵的虛擬機，或是數據的更新不是相當頻繁的虛擬機，則可以考慮安排在每一周的星期日來進行備份即可。如此看來您肯定需要創建多項不同目標的備份任務。

在[保留原則]頁面中，則可以決定每一份備份數據的保存期限，例如針對一些較重要的營運系統(例如：ERP、EIP)，您可能會希望每一個備份能夠持續保留三十天，而對一些較不重要的虛擬機系統(例如：遠程桌面服務)，可能就只需要保存三天即可。無論如何這一切的設置，都還得考慮到備份存儲設備的空間是否足夠。

在[任務名稱]頁面中，請輸入一個本次備份設置的名稱，其命名最好能夠與備份的虛擬機名稱相關，否則一旦創建的備份任務很多時，就會有管理上的困擾。

在[準備完成]頁面中，就可以看到前面步驟中所完成的各項設置值。確認無誤之后點擊[完成]。

執行虛擬機備份任務

接著回到的[備份]頁面中，就可以看到剛剛所創建的備份任務，盡管所設置的備份計劃時間還沒有到來，但是習慣上我們都會先為每一項新創建好的備份任務，執行一次手動備份，以確保整個備份操作是成功的。不過話說回來，如果目前虛擬機中的系統運行正常巔峰階段，建議您還是暫時不要執行手動備份。若要執行請點擊[立即備份]即可。

未來如果需要進行備份設置的修改、復制、刪除以及啟用(停用)等操作，只要從[備份任務操作]的下拉選單來選擇即可。

另外值得注意的是，在立即備份的下拉選單之中，還可以進一步挑選[備份所有來源]或是[僅備份過時來源]，后者僅會針對所選擇虛擬機備份項，執行最新一次沒有備份成功的操作。

當創建的備份任務數量較多時，在各種操作的管理上，您還可以通過Ctrl鍵或Shift鍵來進行多重選取后，再來選擇所要執行的操作，例如：啟用、停用、刪除、立即備份等等。

當虛擬機的備份任務被啟動之后，就可以在[任務控制面板]頁面中，檢視到整個VDP相關備份任務的執行進度。

如果在VDP備份操作的過程之中發現錯誤，整個備份任務也將會立即中斷，例如來源虛擬機文件無法訪問、備份存儲目標空間不足或是備份目前設備無法連接等等，緊接著還會在[警示]窗口之中，立即看到此錯誤的嚴重性、狀態、觸發時間、定義范圍以及描述。確認錯誤信息的屬性之后，請點擊[認知]按鈕即可。

對一些曾經執行失敗的備份任務，在您解決了可能造成錯誤的原因之后，便可在[報告]頁面之中，針對此失敗的任務點擊位在[操作]下拉選單中的[重新執行任務]，來嘗試再執行一次相同的備份操作。

還原虛擬機

話說無論任何的備份方式，只要備份的文件不滅并完整，幾乎都有復原的方法，可以讓已經毀損的虛擬機，甚至于是整個受保護的虛擬機都已經被移除，依舊有方法，可以將虛擬機還原至最新一次備份的時間點，在VDP的備份基礎上也是如此的。

如圖2所示，我們可以在[還原]的頁面之中，看到目前所有已成功備份并仍在保存階段中的備份記錄，您可以選取任一個想要還原的備份記錄，然后點擊[還原]繼續。

圖2 還原管理

接著將會開啟 [選取備份]頁面，在此您可以檢視到此受保護的虛擬機，目前所有可還原的時間點。點擊[下一步]。在 [設置還原選項]頁面中，您可以決定是否要將此備份還原至原始位置，如果想要還原到其它位置，則可以從[數據存放區]的下拉選單之中，挑選所要復原的存儲區。

進一步則可以設置讓復原后的虛擬機自動開啟電源。

不過必須特別注意的是如果您勾選了[復原至原始位置]，則原始位置的虛擬機必須是處在關機狀態，否則整個還原過程將會發生錯誤而中斷。點擊[下一步]。

在[準備完成]頁面中，可以知道目前即將遭到覆蓋的虛擬機清單，當然啦！如果在上一步驟的設置當中，是選擇還原到其它位置則在此就會列出即將創建的新虛擬機數量。點擊[下一步]。

關于虛擬機的備份操作方式，其實您可以采用更聰明的作法，那就是直接在想要進行備份的虛擬機上方，按下鼠標右鍵并點擊子選單中的[立即備份]即可。

對于該虛擬機現有的備份，還可以進行所謂的[還原演練]，來確認指定的備份是否能夠如期還原成功。

請注意！關于完整的虛擬機備份與還原記錄文件(Log file)，您可以經由VDP配置網站中的[記錄收集器]頁面來下載。

文件級別的還原

在前面有關于VDP虛擬機備份的還原功能之中，我們似乎沒有看到能夠還原在Guest OS中，特定的文件或活頁夾之功能，其實這是因為此功能的使用必須開啟一個名為[vSphere Data Protection Restore Client]的網站界面，通過此網站不僅可以讓管理人員進行所謂的文件級別的 還 原 (FLR，File Level Recovery)，就連一般有被授予權限訪問該客端系統的用戶，也都能夠通過此網站的登錄，來還原特定的文件與活頁夾，而不是還原整個虛擬機或虛擬硬盤。

盡管VDP內置所提供的文件級別還原(FLR)功能，可以協助一般用戶，對于受保護虛擬機中的Guest OS，進行特定的文件還原，但它在使用前仍是有一些虛擬磁盤(Virtual Disk)格式方面的限制，這一些不支持的虛擬磁盤配置包括了未格式化的磁盤、Windows動態磁盤、GPT分區、ext4文件系統、FAT16文件系統、FAT32文件系統、延伸的分區、加密分區、壓縮分區，以及采用Multi-Drive的分區。

另外一項限制則是無法一次還原超過五千個文件或是活頁夾，并且相關的ACL權限配置也無法經由FLR而復原。

在您準備開放使用者來使用VDP的復原客戶端網站之前，請先登錄到如圖44所示的VDP配置設置網站中，來確認位在畫面右下方的[文件級別還原]功能，目前是否在已啟用的狀態下。

一旦確認了[文件級別還原]功能在啟用狀態中，管理員或一般使用者便可以連接到它專屬的管理頁面，默認的網址格式是https://VDP服務器地址:8543/flr。一般使用者只需要使用[基本登錄]來連接該虛擬機的系統即可，必須注意的是所輸入的賬號一定要有該系統的本地管理員權限才可以。

至于高級登錄則必須同時輸入該系統的本地管理員賬號，以及vCenter管理員的登錄賬號。一旦登錄之后就可以對于任何的虛擬機備份進行掛載、瀏覽以及指定文件的還原。

VDP運行報告

關于VDP虛擬機系統的完整運行狀態，如圖3所示您可以在它的[配置]頁面中，查看到有關于它的IP位置、版本信息、所在的vCenter與主機位置、執行狀態以及備份空間的使用量。若進一步點擊[記錄]，則可看到完整的備份還原記錄。

若您希望VDP系統可定期的自動傳送運作報告給您，則必須切換到[電子郵件]頁面中，設置用以發送Email的郵件服務器連接信息，這包括了勾選[啟用電子郵件報表]、輸入待發郵件服務器地址、登錄帳密信息、發件人與收件者地址等。

圖3 VDP摘要報告

完成以上設置之后，就可以點擊位在頁面右上方的[傳送測試電子郵件]連接，來確認是否真的能夠到收到由VDP系統所發送的Email。

如圖3所示便是VDP系統所發送的摘要報表，并且也有附上Excel的文件報表，從這份報表之中將可以知道最新應用設備的狀態、總容量信息、已使用的空間大小、受保護的數據量大小、成功與失敗的備份次數、以及每一個受保護的虛擬機之相關備份存儲信息等等。

結 論：在VMware VDP與VDPA之外，仍有許多第三方的解決方案，可以協助企業IT解決VMware vSphere虛擬機備份與復原的問題，而這一類的集成方案有許多甚至于可以做到更精細的備份與復原控管，更重要的是它們往往提供了單一管理界面，讓管理人員可以輕易地經由傳統控制面板應用程序、行動App以及Web Console等形式，統合管理全公司的所有系統與數據備份，包括了Active Directory基礎建設、關鍵客戶端重要數據、各類關系型數據庫、文件服務器以及各類平臺的虛擬機等等。盡管如今的第三方備份管理系統，整體功能設計是如此強大，但就以單純的VMware vSphere虛擬化操作環境管理而言，自家的VDP與VDPA仍是企業IT的最佳首選。