Veeam backup & replication [V13]: MSP & Enterprise data protection

I. Giới thiệu khóa học:

Trong kỷ nguyên Ransomware, khả năng phục hồi dữ liệu không chỉ là một chỉ số kỹ thuật mà là cốt lõi của chiến lược Business Continuity (BC). Đối với các Solution Architect và MSP, việc thiết kế một hạ tầng không chỉ dừng lại ở mức độ "sao lưu thành công" mà phải đạt được "khả năng phục hồi tuyệt đối". Mô hình MSP hiện đại chuyển dịch trọng tâm từ việc quản lý hạ tầng vật lý sang cung cấp dịch vụ bảo vệ dữ liệu dựa trên SLA, giúp doanh nghiệp tối ưu hóa RTO/RPO và xây dựng rào chắn vững chắc trước các cuộc tấn công nhắm vào tầng trình ảo hóa.

Sản phẩm:

  • Veeam Backup 11a, 12, 13.0
  • VeeamONE 11a, 12, 13.0
  • VeeamBackup365
  • Veeam Agent 6.
II. Thời lượng: 24 giờ (3 ngày)
III. Hình thức đào tạo:

Đào tạo trực tiếp tại lớp học, đào tạo online tương tác với giảng viên, đào tạo kết hợp online và trực tiếp tại lớp học, đào tạo tại văn phòng khách hàng theo yêu cầu

IV. Mục tiêu khóa học:

Đến cuối khóa học, bạn sẽ có thể đạt được các mục tiêu sau:

  • Mô tả các khái niệm bảo mật của Veeam
  • Dựa trên một tình huống cụ thể, cấu hình backup job và backup copy job
  • Giải thích về sao lưu NAS (Network-Attached Storage) và cách cấu hình
  • Mô tả các khả năng replication (sao chép dữ liệu) của Veeam
  • Xác định trường hợp sử dụng phù hợp cho backup, replica và/hoặc continuous data protection
  • Cấu hình các thành phần hạ tầng backup, bao gồm proxy server và repository server
  • Dựa trên một tình huống cụ thể, đánh giá khi nào và cách áp dụng các thiết lập immutability (bất biến dữ liệu)
  • Dựa trên một tình huống cụ thể, khôi phục dữ liệu từ các bản sao lưu.
V. Đối tượng tham gia
  • Quản trị viên hệ thống, kỹ sư hệ thống và nhà tích hợp hệ thống có kinh nghiệm
VI. Điều kiện tiên quyết:

Khóa học này yêu cầu những điều sau:

  • Tham dự Veeam Enginer: Suite [V12].
  • Kiến thức và kinh nghiệm quản trị tương đương với Veeam Backup và VeeamONE.
  • Khuyến khích có kinh nghiệm làm việc với dòng sản phẩm 9.x trở lên..
VII. Nội dung khóa học:

Bài 1: Nhập môn khái niệm Business Continuity (BC) và dịch vụ MSP

Mô hình As-a-Service yêu cầu một tư duy hệ thống về quản lý đa người thuê (Multi-tenancy). MSP không chỉ bán dung lượng lưu trữ mà là bán sự tin cậy thông qua các công cụ quản lý tập trung và báo cáo minh bạch.

1. Mô-đun 0: Giới thiệu Dịch Vụ Veeam MSP Backup

2. Mô-đun 1: Hướng dẫn về Dịch vụ Veeam MSP

  • VSPC - Trục xương sống của MSP: Veeam Service Provider Console (VSPC) không chỉ là công cụ miễn phí để báo cáo bản quyền (Pulse integration); nó đóng vai trò là Aggregator - điểm hội tụ quản lý cho toàn bộ hệ sinh thái: Veeam ONE, VB365, và Entra ID.
  • Veeam Cloud Connect (VCC): Thiết lập kết nối bảo mật qua mạng công cộng thông qua công nghệ Tunneling, hỗ trợ mã hóa dữ liệu tại nguồn và đích, tích hợp tính năng bảo vệ chống Ransomware (Insider Protection).
  • Tối ưu hóa vận hành: Trong môi trường MSP, tệp log có thể tăng trưởng từ 100GB - 200GB. Khuyến nghị thực thi Best Practice: Di chuyển log sang ổ đĩa không phải hệ thống thông qua Registry Key tại HKLMSOFTWAREVeeamVeeam Backup and Replication để tránh gây treo hệ điều hành.

3. Thực hành 1: Khởi tạo Hạ tầng VCSP (Veeam Cloud Service Provider)

  • Bảo mật giao tiếp: Cấu hình TLS Certificate cho máy chủ MSP-VCC-01 (Sử dụng chứng chỉ công cộng cho môi trường Production).
  • Tính sẵn sàng cao (HA): Triển khai mô hình Cloud Gateway N+2 (ví dụ: MSP-VGW-01 và MSP-VGW-02) để đảm bảo dịch vụ không gián đoạn.
  • Onboarding khách hàng: Tạo "Company" trên VSPC, thiết lập Cloud Tenant trên VCC và cấu hình DNS entry cloudconnect.vcsp.lab làm điểm kết nối duy nhất cho khách hàng.

Kết luận:

Nền tảng MSP vững chắc là sự kết hợp giữa tính sẵn sàng của hạ tầng và khả năng quản lý tập trung, tạo tiền đề để triển khai các kiến trúc lưu trữ tối ưu ở bước tiếp theo.

Bài 2: Thiết kế và triển khai hệ thống tối ưu

Thiết kế hạ tầng theo tiêu chuẩn "Best Practices" là việc phân tách các Failure Domains. Một kiến trúc logic ngay từ đầu giúp giảm thiểu rủi ro khi hệ thống mở rộng và đảm bảo hiệu suất lưu trữ đạt mức tối đa.

1. Mô-đun 2: Mô hình Kiến trúc Veeam Off-Site Backup

  • Thông số Block Size chiến lược:
    • Veeam sử dụng Default Block Size 1MB trước khi nén.
    • Khuyến nghị cấu hình Stripe Size của mảng lưu trữ ở mức 128KB hoặc 256KB để tối ưu hóa việc ghi dữ liệu.
    • ReFS (Windows): Định dạng 64KB block size để tận dụng Fast Clone.
    • XFS (Linux): Định dạng 4KB block size, nền tảng cho Veeam Hardened Repository (VHR) với tính năng Immutability.
  • Quản lý Failure Domain: Giới hạn mỗi Volume Repository ở mức 500TB và không sử dụng quá 80% dung lượng để tránh sụt giảm hiệu năng. Điều này giúp các tác vụ như SOBR Evacuation trở nên khả thi và nhanh chóng hơn.
  • Kiến trúc Pod: Thiết kế theo từng khối xây dựng để mở rộng lên đến 1000 tác vụ đồng thời, giúp cô lập lỗi và thực hiện cập nhật/vá lỗi theo từng cụm mà không ảnh hưởng toàn hệ thống.

2. Thực hành 2: Trải nghiệm Veeam Software Appliance (VSA) v13

  • Linux-Native Efficiency: VSA v13 hoạt động trên nền tảng Linux, ưu điểm vượt trội là không yêu cầu Helper Appliance khi thực hiện các tác vụ khôi phục tệp cho Linux, giúp tối ưu hóa tài nguyên và thời gian phục hồi.
  • Web UI Management: Quản lý tập trung Repositories, Proxies và Managed Servers trực tiếp từ trình duyệt mà không cần cài đặt Console nặng nề.

Kết luận:

Tối ưu hóa hạ tầng từ cấp độ Block đến kiến trúc Pod là bước đệm bắt buộc để hiện thực hóa các cam kết về RTO/RPO trong dịch vụ DRaaS.

Bài 3: Chiến lược khôi phục hệ thống và DRaaS

Giá trị của sao lưu chỉ xuất hiện tại thời điểm khôi phục. Một Architect giỏi không chỉ nhìn vào dung lượng sao lưu mà phải nhìn vào tốc độ đưa doanh nghiệp trở lại hoạt động bình thường.

1. Mô-đun 3: Mô hình dịch vụ DRaaS (Disaster Recovery as a Service)

  • Chiến lược Replication nâng cao:
    • Standard Replication: Dành cho các Workload cực kỳ quan trọng, yêu cầu RPO thấp (tính bằng phút).
    • Replication from Backup: Dành cho các Workload có RPO >= 24 giờ, giúp tiết kiệm băng thông đáng kể và giảm tải cho hệ thống sản xuất.
  • Tối ưu đường truyền: Sử dụng WAN Accelerators kết hợp với chiến lược Replica Seeding (vận chuyển dữ liệu ban đầu bằng thiết bị vật lý) và Replica Mapping để xử lý các kịch bản băng thông yếu.
  • Mặt phẳng quản lý: Đặt Veeam Backup Server tại site dự phòng để đảm bảo khả năng kích hoạt Failover ngay cả khi site chính bị phá hủy hoàn toàn.

2. Thực hành 3: Quản trị Phục hồi Cấp Doanh nghiệp:

  • Instant VM Recovery: Chứng minh khả năng khởi chạy VM trực tiếp từ tệp backup với RTO tính bằng phút.
  • Granular Recovery: Sử dụng Veeam Explorers để khôi phục chi tiết các đối tượng Active Directory, SQL Server, và Exchange.
  • Compare with Production: Tính năng sống còn sau Ransomware, cho phép so sánh trạng thái hiện tại của hệ thống sản xuất với bản sao lưu để chỉ khôi phục những tệp tin bị mã hóa/thay đổi.

Kết luận:

Khả năng khôi phục linh hoạt thông qua Seeding và Mapping là chìa khóa giúp MSP giải quyết bài toán DRaaS trên quy mô lớn.

Bài 4: Vận hành, giám sát và an ninh dữ liệu

Giám sát chủ động theo mô hình Zero-Trust giúp phát hiện sớm các dấu hiệu bất thường trước khi chúng trở thành thảm họa. An ninh dữ liệu phải được thực thi từ lớp vật lý đến lớp ứng dụng.

1. Mô-đun 4: Bảo vệ dữ liệu Nhà cung cấp dịch vụ:

  • Harding Configuration Backup: Một sai lầm phổ biến là lưu tệp cấu hình ngay trên Backup Server. Best Practice yêu cầu đẩy Configuration Backup trực tiếp vào VHR (Veeam Hardened Repository) và kích hoạt mã hóa để bảo vệ tối đa các thông tin xác thực (Credentials).
  • Zero-Trust: Thực thi MFA cho mọi giao diện quản trị và hạn chế quyền truy cập quản lý chỉ từ các máy Jump Box/Bastion Host chuyên dụng.

2. Thực hành 4: Veeam ONE & Threat Center:

  • Data Platform Scorecard: Theo dõi 4 chỉ số cốt lõi: Platform Security Compliance, Recovery Health, Data Protection State, và Immutability Status.
  • Phát hiện Ransomware: Cấu hình cảnh báo dựa trên sự thay đổi CPU bất thường và kích thước bản sao lưu tăng đột biến (Suspicious incremental growth > 85%).
  • Chủ quyền dữ liệu: Sử dụng Threat Center để định vị địa lý các kho lưu trữ, đảm bảo dữ liệu không bị di chuyển ra ngoài vùng pháp lý cho phép.

Kết luận:

Giám sát thông minh là "tai mắt" giúp quản trị viên duy trì sức khỏe hệ thống và phản ứng tức thì với các mối đe dọa ẩn mình.

Bài 5: Bảo vệ dữ liệu theo mô hình saas (M365 & Entra ID)

Trong mô hình Trách nhiệm chia sẻ (Shared Responsibility), Microsoft bảo vệ hạ tầng, nhưng MSP/Doanh nghiệp phải bảo vệ dữ liệu. Việc thiếu sao lưu SaaS là một lỗ hổng chiến lược nghiêm trọng.

1. Mô-đun 5: Giải pháp Veeam Data Cloud (VDC):

  • Phân tích hai gói dịch vụ cốt lõi:
    • FLEX: Tập trung vào kiểm soát chi tiết và bảo mật. Cho phép Preview Emails trực tiếp trong trình duyệt để phục vụ mục đích pháp lý/kiểm toán nhưng có thể kiểm soát qua RBAC.
    • EXPRESS: Ưu tiên tốc độ khôi phục thảm họa hàng loạt. Tốc độ khôi phục (Express Full Restore) đạt từ 1 - 3 TB mỗi giờ, phù hợp cho các kịch bản phục hồi thảm họa quy mô lớn.

2. Thực hành 5: Trải nghiệm Veeam Data Cloud & Entra ID:

  • Bulk Restore: Trải nghiệm tốc độ khôi phục ấn tượng cho các tổ chức có dữ liệu khổng lồ.
  • RBAC & Self-service: Cấu hình vai trò "Limited Restore" - cho phép người dùng tự khôi phục dữ liệu của mình nhưng vô hiệu hóa quyền Preview Emails và không được phép tải dữ liệu về máy cá nhân để đảm bảo an toàn thông tin.

Kết luận:

Hoàn thiện hệ sinh thái SaaS giúp MSP cung cấp một giải pháp bảo vệ 360 độ, từ On-premise đến Cloud Applications.

Bài 6: Bảo vệ dữ liệu đám mây công cục (Public Cloud)

Data Mobility là quyền tự do di chuyển Workload giữa các nền tảng mà không bị khóa (Vendor Lock-in). Một chiến lược Hybrid Cloud bền vững đòi hỏi sự linh hoạt tuyệt đối.

1. Mô-đun 6: Bảo vệ dữ liệu trên Hybrid & Public Cloud:

  • Veeam Plug-ins: Tích hợp sâu với AWS, Azure và Google Cloud. Đặc biệt lưu ý về VVOLs: Veeam hỗ trợ sao lưu/nhân bản từ nguồn là VVOLs, nhưng VVOLs không được hỗ trợ làm Target Datastore cho các tác vụ Replication.
  • Bảo vệ Container: Sử dụng Kasten để bảo vệ các ứng dụng chạy trên Kubernetes/Openshift (OCP), đảm bảo tính toàn vẹn của Microservices.

2. Thực hành 6: Thử nghiệm Sao lưu Entra ID với Veeam Data Platform:

  • Direct Restore to Azure: Chuyển đổi các Workload vật lý hoặc ảo hóa trực tiếp lên Azure chỉ với vài cú nhấp chuột.
  • Data Mobility: Thực hiện di chuyển dữ liệu xuyên nền tảng (Cloud-to-Cloud, Cloud-to-Onprem) mà vẫn duy trì tính nhất quán và khả năng sử dụng của dữ liệu.

Kết luận:

Sự am hiểu về các giới hạn kỹ thuật (như VVOLs target) và sức mạnh của tính linh động dữ liệu khẳng định vị thế của một Solution Architect chuyên nghiệp.

  • Học trực tuyến

  • Học tại Hồ Chí Minh

  • Học tại Hà Nội

Các khóa học khác