As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Faça backup e arquive dados no Amazon S3 com o Veeam Backup & Replication
*Jeanna James, Anthony Fiore (AWS) e William Quigley, Amazon Web Services*
## Resumo
Esse padrão detalha o processo de envio de backups criados pelo Veeam Backup & Replication para classes de armazenamento de objetos compatíveis do Amazon Simple Storage Service (Amazon S3) usando o recurso de repositório de backup escalável da Veeam.
A Veeam suporta várias classes de armazenamento Amazon S3 para melhor atender às suas necessidades específicas. Você pode escolher o tipo de armazenamento com base nos requisitos de acesso aos dados, resiliência e custo de seus dados de backup ou arquivamento. Por exemplo, você pode armazenar dados que não planeja usar por 30 dias ou mais no acesso infrequente (IA) do Amazon S3 por um custo menor. Se você planeja arquivar dados por 90 dias ou mais, você pode usar o S3 Glacier Flexible Retrieval ou o S3 Glacier Deep Archive com o nível de arquivamento da Veeam. Você também pode usar o Bloqueio de Objetos S3 para tornar os backups que são imutáveis no Amazon S3.
Este padrão não abrange como configurar o Veeam Backup & Replication com um gateway de fitas no AWS Storage Gateway. Para obter informações sobre esse tópico, consulte [Veeam Backup & Replication usando o AWS VTL Gateway – Guia de implantação](https://www.veeam.com/resources/wp-using-aws-vtl-gateway-deployment-guide.html) no site da Veeam.
|
|
| Aviso: esse cenário exige que os usuários AWS Identity and Access Management (IAM) tenham acesso programático e credenciais de longo prazo, o que representa um risco de segurança. Para ajudar a reduzir esse risco, recomendamos que você forneça a esses usuários somente as permissões necessárias para realizar a tarefa e que você os remova quando não forem mais necessários. As chaves de acesso podem ser atualizadas, se necessário. Para obter mais informações, consulte [Atualização de chaves de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) no *Guia de usuário do IAM*. |
| --- |
## Pré-requisitos e limitações
**Pré-requisitos **
+ Veeam Backup & Replication, incluindo o Veeam Availability Suite ou o Veeam Backup Essentials, instalado (você pode se inscrever para um [teste gratuito](https://www.veeam.com/backup-replication-virtual-physical-cloud.html))
+ Licença do Veeam Backup & Replication com funcionalidade Enterprise ou Enterprise Plus, que inclui a Licença Universal da Veeam (VUL - Veeam Universal License)
+ Um usuário do IAM ativo com acesso a um bucket do Amazon S3
+ Um usuário ativo do IAM com acesso ao Amazon Elastic Compute Cloud (Amazon EC2) e ao Amazon Virtual Private Cloud (Amazon VPC), se estiver usando o nível de arquivamento
+ Conectividade de rede local ou Serviços da AWS com largura de banda disponível para backup e restauração de tráfego por meio de uma conexão pública à Internet ou de uma interface virtual AWS Direct Connect pública (VIF)
+ As seguintes portas de rede e endpoints foram abertos para garantir a comunicação adequada com os repositórios de armazenamento de objetos:
+ Armazenamento do Amazon S3 – TCP – porta 443: usada para se comunicar com o armazenamento do Amazon S3.
+ Armazenamento do Amazon S3 — endpoints na nuvem — `*.amazonaws.com` para Regiões da AWS e para AWS GovCloud (US) Regions, ou para as regiões da `*.amazonaws.com.rproxy.govskope.us.cn` China: usado para se comunicar com o armazenamento do Amazon S3. Para obter uma lista completa dos endpoints de conexão, consulte os endpoints do [Amazon S3](https://docs.aws.amazon.com/general/latest/gr/s3.html#s3_region) na documentação. AWS
+ Armazenamento Amazon S3 – TCP HTTP – porta 80: usada para verificar o status do certificado. Considere que os endpoints de verificação de certificados — servidores de lista de revogação de certificados (CRL) URLs e Online Certificate Status Protocol (OCSP) — estão sujeitos a alterações. A lista real de endereços pode ser encontrada no próprio certificado.
+ Armazenamento do Amazon S3 – endpoints de verificação de certificados – `*.amazontrust.com`: usado para verificar o status do certificado. Considere que os endpoints de verificação de certificados (servidores CRL URLs e OCSP) estão sujeitos a alterações. A lista real de endereços pode ser encontrada no próprio certificado.
**Limitações**
+ A Veeam não suporta políticas de ciclo de vida do S3 em nenhum bucket do S3 usado como repositório de armazenamento de objetos da Veeam. Isso inclui políticas com transições de classe de armazenamento do Amazon S3 e regras de expiração do ciclo de vida do S3. A Veeam **deve** ser a única entidade que gerencia esses objetos. A ativação das políticas de ciclo de vida do S3 pode ter resultados inesperados, incluindo perda de dados.
**Versões do produto**
+ Veeam Backup & Replication v9.5, atualização 4 ou superior (somente backup ou nível de capacidade)
+ Veeam Backup & Replication v10 ou superior (nível de backup ou capacidade e Bloqueio de Objetos S3)
+ Veeam Backup & Replication v11 ou superior (nível de backup ou capacidade, nível de arquivamento ou arquivamento e Bloqueio de Objetos S3)
+ Veeam Backup & Replication v12 ou superior (nível de desempenho, nível de backup ou capacidade, nível de arquivamento ou arquivamento e Bloqueio de Objetos S3)
+ S3 Standard
+ S3 Standard – IA
+ S3 One Zone-IA
+ S3 Glacier Flexible Retrieval (somente v11 e versões posteriores)
+ S3 Glacier Deep Archive (somente v11 e versões posteriores)
+ S3 Glacier Instant Retrieval (somente v12 e versões posteriores)
## Arquitetura
**Pilha de tecnologia de origem**
+ Instalação on-premises do Veeam Backup & Replication com conectividade de um servidor de backup da Veeam ou de um servidor gateway da Veeam com o Amazon S3
**Pilha de tecnologias de destino**
+ Amazon S3
+ Amazon VPC e Amazon EC2 (se estiver usando o nível de arquivamento)
**Arquitetura de destino: SOBR **
O diagrama a seguir mostra a arquitetura do repositório de backup escalável (SOBR - scale-out backup repository).
O software Veeam Backup and Replication protege os dados contra erros lógicos, como falhas do sistema, erros de aplicativos ou exclusões acidentais. Neste diagrama, os backups são executados primeiro on-premises e uma cópia secundária é enviada diretamente para o Amazon S3. Um backup representa uma point-in-time cópia dos dados.
O fluxo de trabalho consiste em três componentes principais que são necessários para hierarquizar ou copiar backups para o Amazon S3 e um componente opcional:
+ Veeam Backup & Replication (1) – O servidor de backup responsável por coordenar, controlar e gerenciar a infraestrutura de backup, configurações, tarefas, tarefas de recuperação e outros processos.
+ Servidor gateway Veeam (não mostrado no diagrama) – Um servidor gateway on-premises opcional que é necessário se o servidor de backup da Veeam não tiver conectividade de saída com o Amazon S3.
+ Repositório de backup de aumento de escala horizontalmente (2) – Sistema de repositório com suporte de escalabilidade horizontal para armazenamento de dados em várias camadas. O repositório de backup de aumento de escala horizontalmente consiste em um ou mais repositórios de backup que fornecem acesso rápido aos dados e podem ser expandidos com os repositórios de armazenamento de objetos do Amazon S3 para armazenamento de longo prazo (nível de capacidade) e arquivamento (nível de arquivamento). A Veeam usa o repositório de backup de aumento de escala horizontalmente para hierarquizar dados automaticamente entre armazenamento local (nível de desempenho) e armazenamento de objetos Amazon S3 (níveis de capacidade e arquivamento).
**nota**
Começando com o Veeam Backup & Replication v12.2, o recurso Direct to S3 Glacier torna o nível de capacidade do S3 opcional. Um SOBR pode ser configurado com um nível de desempenho e um nível de arquivamento S3 Glacier. Essa configuração é útil para usuários que têm investimentos significativos em armazenamento local (on-premises) para o nível de capacidade e que precisam apenas de retenção de arquivos de longo prazo na nuvem. Para obter mais informações, consulte a [documentação do Veeam Backup & Replication](https://helpcenter.veeam.com/docs/backup/vsphere/archive_tier.html?ver=120).
+ Amazon S3 (3) — serviço de armazenamento de AWS objetos que oferece escalabilidade, disponibilidade de dados, segurança e desempenho.
**Arquitetura de destino: DTO**
O diagrama a seguir mostra a arquitetura direct-to-object (DTO).
Neste diagrama, os dados de backup vão diretamente para o Amazon S3 sem serem armazenados primeiro on-premises. Cópias secundárias podem ser armazenadas no S3 Glacier.
**Automação e escala**
[Você pode automatizar a criação de recursos do IAM e buckets do S3 usando os CloudFormation modelos fornecidos no repositório. VeeamHub GitHub ](https://github.com/VeeamHub/veeam-aws-cloudformation/tree/master/veeam-backup-and-replication) Os modelos incluem opções padrão e imutáveis.
## Ferramentas
**Ferramentas e Serviços da AWS**
+ O [Veeam Backup & Replication](https://www.veeam.com/vm-backup-recovery-replication-software.html) é uma solução da Veeam para proteger, fazer backup, replicar e restaurar seus workloads físicas e virtuais.
+ [CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)ajuda você a modelar e configurar seus AWS recursos, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida. Você pode usar um modelo para descrever seus recursos e as dependências deles, além de inicializá-los e configurá-los juntos como uma pilha, em vez de gerenciar recursos individualmente. Você pode gerenciar e provisionar pilhas em vários Contas da AWS e. Regiões da AWS
+ [O Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) fornece capacidade de computação escalável no. Nuvem AWS Você pode usar EC2 a Amazon para lançar quantos servidores virtuais precisar e pode expandir ou aumentar a escala.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) é um serviço web para controlar com segurança o acesso a. Serviços da AWS Com o IAM, você pode gerenciar centralmente usuários, credenciais de segurança, como chaves de acesso, e permissões que controlam quais AWS recursos os usuários e aplicativos podem acessar.
+ O [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) é um serviço de armazenamento de objeto. Você pode utilizar o Amazon S3 para armazenar e recuperar qualquer volume de dados, a qualquer momento, de qualquer lugar na web.
+ [O Amazon S3 Glacier (S3 Glacier)](https://docs.aws.amazon.com/amazonglacier/latest/dev/introduction.html) é um serviço seguro e durável para arquivamento de dados de baixo custo e backup de longo prazo.
+ [A Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/) provisiona uma seção logicamente isolada da Nuvem AWS qual você pode lançar AWS recursos em uma rede virtual que você definiu. Essa rede virtual se assemelha a uma rede tradicional que você operaria no seu data center, com os benefícios de usar a infraestrutura dimensionável da AWS.
**Código **
Use os CloudFormation modelos fornecidos no [VeeamHub GitHub repositório](https://github.com/VeeamHub/veeam-aws-cloudformation/tree/master/veeam-backup-and-replication) para criar automaticamente os recursos do IAM e os buckets do S3 para esse padrão. Se você preferir criar esses recursos manualmente, siga as etapas na seção *Épicos*.
## Práticas recomendadas
De acordo com as melhores práticas do IAM, é altamente recomendável que você alterne regularmente as credenciais de usuário do IAM de longo prazo, como o usuário do IAM que você usa para gravar backups do Veeam Backup & Replication no Amazon S3. Para obter mais informações, consulte [Práticas recomendadas de segurança](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) na documentação do IAM.
## Épicos
### Configurar o armazenamento do Amazon S3 na sua conta
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Criar um usuário do IAM. | Siga as [instruções na documentação do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) para criar um usuário do IAM. Esse usuário não deve ter acesso ao AWS console e você precisará criar uma chave de acesso para esse usuário. A Veeam usa essa entidade para se autenticar e ler e gravar em seus buckets S3. AWS Você deve conceder o privilégio mínimo (ou seja, conceder somente as permissões necessárias para realizar uma tarefa) para que o usuário não tenha mais autoridade do que precisa. Por exemplo, políticas do IAM para anexar ao seu usuário do IAM Veeam, consulte a seção [Informações adicionais](#back-up-and-archive-data-to-amazon-s3-with-veeam-backup-replication-additional).Como alternativa, você pode usar os CloudFormation modelos fornecidos no [VeeamHub GitHub repositório](https://github.com/VeeamHub/veeam-aws-cloudformation/tree/master/veeam-backup-and-replication) para criar um usuário do IAM e um bucket do S3 para esse padrão. | Administrador da AWS |
| Criar um bucket do S3. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/back-up-and-archive-data-to-amazon-s3-with-veeam-backup-replication.html)Para obter mais informações, consulte [Criar um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) na documentação do Amazon S3. | Administrador da AWS |
### Adicione Amazon S3 e S3 Glacier Flexible Retrieval (ou S3 Glacier Deep Archive) ao Veeam Backup & Replication
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Inicie o assistente para Novo repositório de objetos. | Antes de configurar o armazenamento de objetos e os repositórios de backup escaláveis na Veeam, você deve adicionar os repositórios de armazenamento Amazon S3 e S3 Glacier que você deseja usar para os níveis de capacidade e arquivamento. No próximo épico, você conectará esses repositórios de armazenamento ao seu repositório de backup de aumento da escala horizontalmente.[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/back-up-and-archive-data-to-amazon-s3-with-veeam-backup-replication.html) | Administrador da AWS, proprietário do aplicativo |
| Adicionar armazenamento do Amazon S3 para o nível de capacidade. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/back-up-and-archive-data-to-amazon-s3-with-veeam-backup-replication.html) | Administrador da AWS, proprietário do aplicativo |
| Adicione armazenamento S3 Glacier para o nível de arquivamento. | Se você quiser criar uma camada de arquivamento, use as permissões do IAM detalhadas na seção [Informações adicionais](#back-up-and-archive-data-to-amazon-s3-with-veeam-backup-replication-additional). [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/back-up-and-archive-data-to-amazon-s3-with-veeam-backup-replication.html) | Administrador da AWS, proprietário do aplicativo |
### Adicionar repositórios de backup
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Inicie o assistente do Novo repositório de backup de aumento da escala horizontalmente. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/back-up-and-archive-data-to-amazon-s3-with-veeam-backup-replication.html) | Proprietário do aplicativo, administrador de sistemas da AWS |
| Adicione um repositório de backup de aumento da escala horizontalmente e configure a capacidade e os níveis de arquivamento. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/back-up-and-archive-data-to-amazon-s3-with-veeam-backup-replication.html) | Proprietário do aplicativo, administrador de sistemas da AWS |
## Recursos relacionados
+ [Criar um usuário do IAM na Conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) (documentação do IAM)
+ [Criar um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) (documentação do Amazon S3)
+ [Bloquear o acesso público ao armazenamento do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) (documentação do Amazon S3)
+ [Usando o Bloqueio de Objetos S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) (documentação do Amazon S3)
+ [Documentação técnica do Veeam](https://www.veeam.com/documentation-guides-datasheets.html)
+ [Como criar uma política do IAM segura para conexão com o armazenamento de objetos do S3](https://www.veeam.com/kb3151) (documentação da Veeam)
## Mais informações
As seções a seguir fornecem exemplos de políticas do IAM que você pode usar ao criar um usuário do IAM na seção [Épicos](#back-up-and-archive-data-to-amazon-s3-with-veeam-backup-replication-epics) desse padrão.
**Política do IAM para nível de capacidade**
**nota**
Altere o nome dos buckets do S3 no exemplo de política de `` para o nome do bucket do S3 que você deseja usar para backups de nível de capacidade da Veeam. Observe também que a política deve ser restrita aos recursos específicos usados pela Veeam (indicados pela `Resource` especificação na política a seguir) e que a primeira parte da política desativa a criptografia do lado do cliente, conforme discutido na postagem do AWS blog [Prevenindo a criptografia não intencional de objetos do Amazon S3](https://aws.amazon.com/blogs/security/preventing-unintended-encryption-of-amazon-s3-objects/).
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RestrictSSECObjectUploads",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::/*",
"Condition": {
"Null": {
"s3:x-amz-server-side-encryption-customer-algorithm": "false"
}
}
},
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:GetObjectVersion",
"s3:ListBucketVersions",
"s3:ListBucket",
"s3:PutObjectLegalHold",
"s3:GetBucketVersioning",
"s3:GetObjectLegalHold",
"s3:GetBucketObjectLockConfiguration",
"s3:PutObject*",
"s3:GetObject*",
"s3:GetEncryptionConfiguration",
"s3:PutObjectRetention",
"s3:PutBucketObjectLockConfiguration",
"s3:DeleteObject*",
"s3:DeleteObjectVersion",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::/*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
}
]
}
```
**Política do IAM para o nível de arquivamento**
**nota**
Altere o nome dos buckets do S3 no exemplo de política de `` para o nome do bucket do S3 que você deseja usar para backups da camada de arquivamento da Veeam.
**Para usar sua VPC, sub-rede e grupos de segurança existentes:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "S3Permissions",
"Effect": "Allow",
"Action": [
"s3:DeleteObject",
"s3:PutObject",
"s3:GetObject",
"s3:RestoreObject",
"s3:ListBucket",
"s3:AbortMultipartUpload",
"s3:GetBucketVersioning",
"s3:ListAllMyBuckets",
"s3:GetBucketLocation",
"s3:GetBucketObjectLockConfiguration",
"s3:PutObjectRetention",
"s3:GetObjectVersion",
"s3:PutObjectLegalHold",
"s3:GetObjectRetention",
"s3:DeleteObjectVersion",
"s3:ListBucketVersions"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::/*"
]
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2Permissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:CreateKeyPair",
"ec2:DescribeKeyPairs",
"ec2:RunInstances",
"ec2:DeleteKeyPair",
"ec2:DescribeVpcAttribute",
"ec2:CreateTags",
"ec2:DescribeSubnets",
"ec2:TerminateInstances",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeVpcs"
],
"Resource": "arn:aws:ec2:::*"
}
]
}
```
**Para criar novos VPC, sub-rede e grupos de segurança:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "S3Permissions",
"Effect": "Allow",
"Action": [
"s3:DeleteObject",
"s3:PutObject",
"s3:GetObject",
"s3:RestoreObject",
"s3:ListBucket",
"s3:AbortMultipartUpload",
"s3:GetBucketVersioning",
"s3:ListAllMyBuckets",
"s3:GetBucketLocation",
"s3:GetBucketObjectLockConfiguration",
"s3:PutObjectRetention",
"s3:GetObjectVersion",
"s3:PutObjectLegalHold",
"s3:GetObjectRetention",
"s3:DeleteObjectVersion",
"s3:ListBucketVersions"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::/*"
]
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2Permissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:CreateKeyPair",
"ec2:DescribeKeyPairs",
"ec2:RunInstances",
"ec2:DeleteKeyPair",
"ec2:DescribeVpcAttribute",
"ec2:CreateTags",
"ec2:DescribeSubnets",
"ec2:TerminateInstances",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeVpcs",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:DescribeAvailabilityZones",
"ec2:CreateRoute",
"ec2:CreateInternetGateway",
"ec2:AttachInternetGateway",
"ec2:ModifyVpcAttribute",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:DescribeRouteTables",
"ec2:DescribeInstanceTypes"
],
"Resource": "*"
}
]
}
```