Veeam Backup for Microsoft Azure | Bölüm-2
0

Veeam Backup for Microsoft Azure makale serisine devam ediyoruz ve serinin ikinci bölümünde sistem gereksinimlerine ve lisanslamaya değineceğiz. Serinin ilk makalesini okumak isteyenler bu linkten faydalanabilirler.

Not: Makalenin bundan sonraki bölümlerinde Veeam Backup for Microsoft Azure , VBfMA kısaltması ile kullanılacaktır.

Sistem gereksinimleri açısında dikkat etmeniz ve karşılamanız gerekenleri aşağıda madde madde belirtiyorum, sonrasında bu maddelerin detaylarına girip nasıl yapılacağını inceleyeceğiz.

  • Portlar
  • Azure Hesap izinleri
  • Azure Servisleri
  • Azure Servis Sağlayıcıları

VBfMA yedek alma sisteminin düzgün çalışabilmesi için için ilk gereksinim olarak karşımıza port’lar çıkıyor. Azure VM’lerle, Backup appliance ile, worker’lar kısaca VBfMA oluşturan bileşenlerle Azure ortamının sorunsuz iletişim kurabilmesi için gerekli protokol ve port’ların yapılandırılması gerekmekte. Aşağıdaki tablodan nereden nereye açılması gereken port’ların listesini görebilirsiniz.

FromToProtocolPortAçıklama
Workstation web browserBackup applianceHTTPS443Kullandığınız bir laptop yada bilgisayardan Web arayüzünü erişmek için gereklidir.
Worker instanceHTTPS443Dosya düzeyinde kurtarma (File Recovery Level) işlemi sırasında bir çalışan workers instances’da Veeam Dosya Düzeyinde Kurtarma tarayıcısına erişmek için gereklidir.
Backup appliance

Ubuntu Security Update repository (security.ubuntu.com)

HTTP80İşletim sistemi güncellemeleri için gereklidir.

Veeam Update Notification Server (repository.veeam.com)

HTTPS443Mevcut ürün güncellemeleriyle ilgili bilgileri indirmek için gereklidir.
SMTP serverTCP25E-posta bildirimleri göndermek için kullanılan varsayılan bağlantı noktası.

Not: TCP 25 bağlantı noktası, SMTP sunucuları tarafından en yaygın olarak kullanılan bağlantı noktasıdır.

Azure VM

Backup appliance

HTTPS443Windows tabanlı Azure VM’leri ile iletişim kurmak için gereklidir.
Worker instance

Ubuntu Security Update repository (security.ubuntu.com)

HTTP80İşletim sistemi güvenlik güncellemeleri için gereklidir.
ServiceBus service

Worker instance

HTTPS443Image-level yedekleme ve geri yükleme işlemlerini gerçekleştirmek için gereklidir.

Backup appliance

HTTPS443Windows tabanlı Azure VM’leri ile iletişim kurmak için gereklidir.

VBfMA appliance marketplace’den kurarken yukarıda bahsetmiş olduğumuz port ayarlarının büyük bir kısmını kendisi yapıyor. Ancak nereden yapabilirim diye merak edenler için aşağıdaki ekran görüntülerini paylaşmak istiyorum. Bunun için ilgili Azure sanal makinelerin Network Security Group’larına geleceksiniz ve eklemek istediğiniz protokolleri inbound yada outbound ( ihtiyaçınıza göre) ekleyeceksiniz.

Resim-1

Bir sonraki gereksinim olan Azure Hesap izinlerine (Azure Account Permissions) geçebiliriz. VBfMA appliance’nın sorunsuz şekilde yedek alabilmesi ve geri dönebilmesi için aşağıda belirtmiş olduğum hesapların ve izinlerinin oluşturulması gerekmektedir.

  • Azure Service Account Permissions
  • Azure Repository Account Permissions

İlk olarak Azure Service Account izinlerinin oluşturulmasını sizlere göstermek istiyorum, zaten bu kısımda yaptıklarınızın aynısını yaparak Azure Repository Account izinlerini de oluşturabilir ve rol ataması sağlarsınız.

Öncelikle bu izinleri subscription düzeyinde vermeniz gerektiği için Azure’daki aboneliğe gidiyorum ve aşağıdaki ekran görüntüsünde görmüş olduğunuz gibi Accces control’den (IAM’dan) Add custom role tıklıyorum.

Resim-2

Oluşturacağımız custom role ben Veeam Azure Service Account diyorum ve baseline permissions kısmında Start from JSON’ı seçiyorum ve ilerliyorum.

Resim-3

Sonrasında ise JSON kısmına kadar next’leyere ilerliyorum ve edit butonuna basıyorum.

Resim-4

Aşağıda yer alan izinleri JSON içerisindeki ilgili yerlere kopyalıyorum. Sizlerde buna göre yapmanız gerekmektedir.

Azure Service Account Permissions

“permissions”: [
{
“actions”: [
“Microsoft.Authorization/roleAssignments/read”,
“Microsoft.Commerce/RateCard/read”,
“Microsoft.Compute/disks/beginGetAccess/action”,
“Microsoft.Compute/disks/delete”,
“Microsoft.Compute/disks/endGetAccess/action”,
“Microsoft.Compute/disks/read”,
“Microsoft.Compute/disks/write”,
“Microsoft.Compute/snapshots/beginGetAccess/action”,
“Microsoft.Compute/snapshots/delete”,
“Microsoft.Compute/snapshots/endGetAccess/action”,
“Microsoft.Compute/snapshots/read”,
“Microsoft.Compute/snapshots/write”,
“Microsoft.Compute/virtualMachines/deallocate/action”,
“Microsoft.Compute/virtualMachines/delete”,
“Microsoft.Compute/virtualMachines/extensions/read”,
“Microsoft.Compute/virtualMachines/extensions/write”,
“Microsoft.Compute/virtualMachines/read”,
“Microsoft.Compute/virtualMachines/runCommand/action”,
“Microsoft.Compute/virtualMachines/start/action”,
“Microsoft.Compute/virtualMachines/write”,
“Microsoft.DevTestLab/Schedules/write”,
“Microsoft.Network/networkInterfaces/delete”,
“Microsoft.Network/networkInterfaces/join/action”,
“Microsoft.Network/networkInterfaces/read”,
“Microsoft.Network/networkInterfaces/write”,
“Microsoft.Network/networkSecurityGroups/join/action”,
“Microsoft.Network/networkSecurityGroups/read”,
“Microsoft.Network/publicIPAddresses/join/action”,
“Microsoft.Network/publicIPAddresses/read”,
“Microsoft.Network/publicIPAddresses/delete”,
“Microsoft.Network/publicIPAddresses/write”,
“Microsoft.Network/virtualNetworks/read”,
“Microsoft.Network/virtualNetworks/subnets/join/action”,
“Microsoft.Network/virtualNetworks/write”,
“Microsoft.Network/virtualNetworks/delete”,
“Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read”,
“Microsoft.Resources/subscriptions/resourceGroups/moveResources/action”,
“Microsoft.Resources/subscriptions/resourceGroups/delete”,
“Microsoft.Resources/subscriptions/resourceGroups/read”,
“Microsoft.Resources/subscriptions/resourceGroups/write”,
“Microsoft.ServiceBus/namespaces/queues/authorizationRules/ListKeys/action”,
“Microsoft.ServiceBus/namespaces/queues/authorizationRules/read”,
“Microsoft.ServiceBus/namespaces/queues/authorizationRules/write”,
“Microsoft.ServiceBus/namespaces/queues/delete”,
“Microsoft.ServiceBus/namespaces/queues/read”,
“Microsoft.ServiceBus/namespaces/queues/write”,
“Microsoft.ServiceBus/namespaces/read”,
“Microsoft.ServiceBus/namespaces/write”,
“Microsoft.ServiceBus/register/action”,
“Microsoft.Sql/locations/*”,
“Microsoft.Sql/managedInstances/databases/delete”,
“Microsoft.Sql/managedInstances/databases/read”,
“Microsoft.Sql/managedInstances/databases/write”,
“Microsoft.Sql/managedInstances/encryptionProtector/read”,
“Microsoft.Sql/managedInstances/read”,
“Microsoft.Sql/servers/databases/azureAsyncOperation/read”,
“Microsoft.Sql/servers/databases/read”,
“Microsoft.Sql/servers/databases/transparentDataEncryption/read”,
“Microsoft.Sql/servers/databases/usages/read”,
“Microsoft.Sql/servers/databases/write”,
“Microsoft.Sql/servers/databases/delete”,
“Microsoft.Sql/servers/elasticPools/read”,
“Microsoft.Sql/servers/read”,
“Microsoft.Sql/servers/databases/syncGroups/read”,
“Microsoft.Sql/servers/encryptionProtector/read”,
“Microsoft.Storage/storageAccounts/blobServices/read”,
“Microsoft.Storage/storageAccounts/listKeys/action”,
“Microsoft.Storage/storageAccounts/managementPolicies/write”,
“Microsoft.Storage/storageAccounts/read”,
“Microsoft.Storage/storageAccounts/write”,
“Microsoft.Authorization/roleDefinitions/write”,
“Microsoft.Compute/diskEncryptionSets/read”,
“Microsoft.KeyVault/vaults/read”,
“Microsoft.KeyVault/vaults/keys/versions/read”,
“Microsoft.KeyVault/vaults/deploy/action”
]
}
]

Ayrıca Azure Key Vault’ları ve anahtarlarını kullanarak bir yedekleme havuzunda depolanan verileri şifrelemek için hizmet hesaplarını kullanmayı planlıyorsanız, hizmet hesaplarına aşağıdaki izinler atanmalıdır;

“dataActions”: [
“Microsoft.KeyVault/vaults/keys/read”,
“Microsoft.KeyVault/vaults/keys/encrypt/action”,
“Microsoft.KeyVault/vaults/keys/decrypt/action”
]

Bu yapılanların ekran görüntüsü de aşağıda yer almaktadır. Save butonu ile kaydettikten sonra, review + create ile rolu oluşturup tamamlıyoruz.

Resim-5

Şimdi sıra yukarıda bahsettiğim gibi aynı adımlarla Azure Repository Account Permissions’ını vermekte. Buraya sadece verilecek izin kodlarını paylaşıyorum, çünkü tüm işlemler birbirinin aynısı.

“permissions”: [
{
“actions”: [
“Microsoft.Authorization/roleAssignments/read”,
“Microsoft.Resources/subscriptions/resourceGroups/read”,
“Microsoft.Storage/storageAccounts/read”,
“Microsoft.Storage/storageAccounts/listKeys/action”,
“Microsoft.Storage/storageAccounts/blobServices/read”,
“Microsoft.Authorization/roleDefinitions/write”,
“Microsoft.KeyVault/vaults/read”,
“Microsoft.KeyVault/vaults/keys/versions/read”,
“Microsoft.KeyVault/vaults/deploy/action”
]
}
]

 

“dataActions”: [
“Microsoft.KeyVault/vaults/keys/read”,
“Microsoft.KeyVault/vaults/keys/encrypt/action”,
“Microsoft.KeyVault/vaults/keys/decrypt/action”
]

Azure hesap izinlerinden sonra Azure servisleri ile ilgili gereksinimlere geldik, VBfMA appliance ve worker instances’lar aşağıdaki Azure hizmetlerine outbound’dan network erişimlerine sahip olmaları gerekmektedir.

  • Azure Active Directory
  • Azure Resource Manager
  • Azure Storage Accounts
  • Azure Cost Management
  • Azure Instance Metadata Service (AzurePlatformIMDS)
  • Microsoft Identity Platform
  • Azure’s Ubuntu Repository
  • Azure Service Bus
  • Azure Key Vault

Resource Providers, yani kaynak sağlayacılar Azure’da kullanmak istediğimiz yada kullandığımız bir kaynağın sağlanmasını sağlar. Örneğin bir depolama hesabında bir obje saklayacaksanız kaynak Microsoft.Storage sağlayıcısı ile çalışırsınız. Bu kaynak sağlayıcısı, bir obje için blob storage adlı bir kaynak türü sağlar. Aşağıda VBfMA tarafından kullanılacak kaynak sağlayıcıların register olması gerekmektedir.

  • Microsoft.Authorization
  • Microsoft.Commerce
  • Microsoft.Compute
  • Microsoft.DevTestLab
  • Microsoft.KeyVault
  • Microsoft.Network
  • Microsoft.Resources
  • Microsoft.ServiceBus
  • Microsoft.Storage
  • Microsoft.Sql
  • Microsoft.ManagedServices

Yukarıda sıralanan kaynak sağlayacılarını nereden görebilirim ve nasıl register edebilirim diyorsanız, bunun için Azure portal’da arama bölümüne subscription yazın ilgili subscription’ı seçin ve settings bölümünün altından resource providers’a gelin arama yapın ve register değilse register edin yada aşağıdaki powershell komutunu kullanabilirsiniz.

Register-AzResourceProvider -ProviderNamespace Microsoft.KeyVault

Resim-6

Sistem gereksinimleri bölümünü tamamladıktan sonra bugünkü makale serimizin son bölümü olan lisanslama kısmını geldik. Aslına bakarsanız VBfMA için lisanslama çok basit, korunan her bir instance başına 1 lisans alımı gerekmektedir. Örneğin Azure’da 20 VM’iniz var bunları korumak istiyorsanız 20 instance lisans almanız gerekiyor.

Bunlar dışında bilmeniz gerekenler, bir Azure VM, son 31 gün içinde bir yedekleme ilkesi tarafından oluşturulmuş bir geri yükleme noktasına (anlık görüntü veya yedekleme) sahipse, korunduğu kabul edilmektedir. Aynı şekilde bir Azure VM’de bulunan en az bir veritabanının son 31 gün içinde bir yedekleme ilkesi tarafından oluşturulmuş bir yedeği varsa, bir Azure SQL Sunucusunun korunduğu kabul edilmektedir. Lisanslama konusu içerisinde bir bilgi daha vermek istiyorum Azure VM’lerinin manuel olarak oluşturulan anlık görüntüleri (snap shot) ve Azure SQL veritabanlarının manuel olarak oluşturulan yedekleri içn herhangi bir lisans birimi tüketilmez.

Temel olarak VBfMA’da iki tip lisans bulumaktadır. Bunlar;

Free License – Ücretsiz lisans varsayılanda gelen lisanstır ve 10 adete kadar kullanım izni verir.
BYOL (Bring Your Own License) – Kendi Lisansını Getir sürümü, abonelik süresinin sonunda sona eren abonelik tabanlı bir lisanstır. VBfMA tarafından yönetilen maksimum Azure instance sayısı, lisansınızda belirtilen birim sayısına bağlıdır.

VBfMA makale serisinin üçüncü bölümünde genel mimari üzerine konuşacağız, bir sonraki makalede görüşüne kadar sağlıkla kalın.

Bu konuyla ilgili sorularınızı  alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz. 

Referanslar

www.mshowto.org 

TAGs: Veeam Backup for Azure, Azure VM backup, Veeam ile Azure VM yedekleme, Veeam Backup for Microsoft Azure sistem gereksinimleri, Veeam Backup for Microsoft Azure lisanslama

Bu İçeriğe Tepkin Ne Oldu?
  • 0
    harika_
    Harika!!
  • 1
    be_enmedim
    Beğenmedim
  • 0
    _ok_iyi
    Çok iyi
  • 2
    sevdim_
    Sevdim!
  • 0
    bilemedim_
    Bilemedim!
  • 0
    olmad_
    Olmadı!
  • 0
    k_zd_m_
    Kızdım!

Mustafa Kara, 1981 yılında Adana'da doğdu. Üniversite öncesi tüm öğrenimini Mersin'de tamamladı. Anadolu Üniversitesi mezunudur. İşletme Yüksek Lisansını (MBA) , Maltepe Üniversitesinde ve Bilgisayar Mühendisliği Yüksek Lisansını da Okan Üniversitesinde gerçekleştirmiştir. Eskişehir'de okuduğu yıllarda Anadolu Üniversitesi Bilgisayar Araştırma Uygulama Merkezi Bilgi işlem departmanında çalışma hayatına başladı. Üniversite sonrası İstanbul'da kendi iş dallarının öncü firmalarında görev aldı. Uzun yıllar boyunca BilgeAdam BTA ve Kurumsal‘da Sistem ve Network Eğitmeni, Kıdemli Danışman ve Birim Müdürü görevlerinde bulundu. Sonrasında COMPAREX Türkiye'de Teknik Müdür olarak çalışmıştır. Şu anda SimpliX Teknoloji Hizmetlerinde Bulut ve Güvenlik Çözümleri Direktörü olarak çalışmaktadır. Uzmanlık alanı olan Microsoft altyapı, yönetim ve iletişim ürünleri, Azure, M365 ve AWS bulut teknolojileri Veeam gibi yedekleme çözümleri ile sanallaştırma teknolojilerinde mimari düzeyde bilgi ve deneyime sahiptir. Ayrıca yeni nesil güvenlik çözümleri üzerine eğitim ve danışmanlık vermekte olup 20 yıldan daha fazla süredir birçok kişi ve firmaya binlerce saat teknik eğitim vermiştir. Kamu ve özel sektördeki kuruluşlara projeler gerçekleştirmiş ve bu projelerin bazıları Microsoft tarafında Case Study olarak duyurulmuştur. Türkiye'nin en büyük bilişim portallarında yazıları yayınlanmakta olup MSHOWTO Topluluk Lideri görevini üstlenmektedir. Üniversitelerde seminerler vermekte olup birçok teknoloji üreticisinin lansmanında uzman konuşmacı olarak yer almıştır. 2010 yılında çeşitli topluluklarda yapmış olduğu çalışmalar neticesinde Microsoft tarafından MVP ünvanına layık görülmüş olup günümüzde de bu ünvanı koruma başarısını göstermektedir. Sahip olduğu sertifikalar: MVP, MCT, AWS SA, Azure Administrator, Azure Security Engineer, Azure Solution Architect, MCITP, MCTS, MCDBA, MCSE+S+M, MCSA+S+M, MCDST, MCP, CCDA, CCNA, HP AIS, HP APS ve CompTIA A+'dır.

Yazarın Profili
İlginizi Çekebilir

Bültenimize Katılın

Tıklayın, üyemiz olun ve yeni güncellemelerden haberdar olan ilk kişi siz olun.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir