虚拟机保卫战

■ 顾武雄

任何虚拟化平台的部署，除了基础的架构设计需要精心考虑之外，管理人员还必须依据私有云上准备运行的Guest操作系统、应用系统、数据库类型等等，来评估与拟定最适合的备份工具与备份还原策略。在VMware vSphere 5.5至6.5的架构中，对于虚拟机的备份工具，早已提供了vSphere Data Protection Appliance(VDP)的集成套件，来满足中小型企业实施云备份与还原的策略需要。

关于VDP与VDPA

熟悉Microsoft虚拟化平台解决方案的IT先进都知道，在Windows Server 2012 R2中针对Hyper-v虚拟机的免费备份工具是Windows Server Backup，高级的付费备份管理工具则是System Center 2012 Data Protection Manager。

至于在VMware vSphere 5.5/6.0/6.1/6.5虚拟机的备份解决方案，同样有着类似相对应的备份管理工具，在它的各个付费版本之中都可以无偿使用一套名为VDP(vSphere Data Protection)的 Appliance，高级的版本则是VDPA（vSphere Data Protection Advanced）。

无论是VDP还是VDPA皆是提供了快速且有效率的备份还原机制。在虚拟机的备份管理功能，由于采用重复数据删除(de-duplication)技术，因此除了初始的备份操作会较耗时之外，往后的备份时间就会缩短许多。

在数据还原的功能上则是提供了整个虚拟机的复原(VM)、各别映像的复原(image-level)以及文件级别的复原(File Level)能力，其中文件级别的复原功能，主要是提供给一般使用者(End user)来使用的一项Web界面还原管理工具，它称之为vSphere Data Protection Restore Client，让使用者无须再通过管理人员，来进行文件精细还原的需求。

而VDP与VDPA最主要的差别在于支持备份的虚拟机数量、备份存储的数据量以及其他延伸的集成管理功能。首先在单部支持的虚拟机数量部分，VDP支持最多一百的虚拟机备份，VDPA则是四百个虚拟机为上限。存储量的限制部分，VCP最多2TB空间，VDP则是可以高达8TB空间。在其它VDP所没有支持的延伸功能部分，则有应用系统级别的备份与还原(Exchange Server、SharePoint Server、SQL Server)、远程复制、根据备份需要动态扩充现有的备份存储区、支持集成备份到其它存储系统(例如EMC)之中、提供备份的安全验证机制。

请注意！现阶段使用VDP来管理虚拟机的备份与还原，未来仍随时可以就地升级到付费的VDPA版本，并且原先的所有设置也不会因此遗失。

在接下来的实作讲解中，我们需要三个必要的准备，那就是VDP的Virtual Appliance、vCenter Server、vSphere Web Client。其中VDP的Virtual Appliance文件(OVF)，您只要登录VMWare官方网站的下载页中就可以找到，目前也有提供评估的版本可下载测试。

部署VDP的OVF模板

在完成了VDP的Virtual Appliance文件下载之后， 就可以开启浏览器连接至vCenter Server网站。然后在准备部署VDP虚拟机的主机上，按下鼠标右键点击[部署OVF模板]继续。

若是您初次使用Firefox浏览器，来执行部署OVF模板的操作，可能会出现 [Client Integration Access Control]提示信息，让您决定是否要允许此附加程序可以通过浏览器来访问您的操作系统。点击[Allow]即可。

来到 [选取来源]页面中，您可以选择输入网际网络的OVF套件位置，或是直接指定已下载至本地路径中的OVF文件。点击[下一步]。

在[检阅详细数据]页面中，便可以查看到上一步骤中所加载的OVF模板文件信息，这包括了VDP的版本信息、文件大小以及磁盘大小信息。确认无误后点击[下一步]。

在[选取名称和活页夹]页面中，除了必须设置模板的名称之外，还要指定所要置放的活页夹或数据中心位置，而所在位置不能够有相同的模板名称出现。点击[下一步]。

图1 自定义模板

在[选取存储空间]页面中，必须先从下拉选单中选取虚拟磁盘格式，在此如果您所选择的存储位置其空间够大，可以考虑直接采用完整布建方式，因为它需要使用到100GB的可用空间，否则就可以改用精简布建方式，而它初期所需要的空间只要9GB即可。若选取的数据存放区空间不足，将会出现警示信息而无法继续。

在[设置网络]页面中，可以从目前可用的网络清单之中，挑选要给予VDP使用的网络，至于VDP系统本身的网络配置，则是可以选择在下一步骤中设置，或是在完成布建后进行设置即可。

在如图1所示的[自定义模板]页面中，便可以设置VDP系统的默认网关IP地址、DNS地址、网络IP地址以及Netmask。点击[下一步]继续。

在[即将完成]页面中，可以检视到前面步骤中所完成的各项设置，比较需要特别注意的是有关磁盘存储空间的布建方式。

请将左下方的[部署后开启电源]设置勾选。在确认无误之后点击[完成]。

关于整个VDP模板档的布建过程，都可以在[任务详细信息]窗口之中查看到，这包括了部署的进度以及此虚拟机的启动状态。

当回到[虚拟机]页面中，便可以看到[vSphere Data Protection 5.8]虚拟机状态，包括它的已布建空间、已使用空间、CPU资源使用状态以及内存使用状态等等。

接下来您也可以开启VDP虚拟机的Console。在此将可以看到VDP系统网站的连接网址。

另外如果您想要在此进行网络设置的修改，只要开启[Configure Network]即可，若是时区设置的修改则可以开启[Set Timezone]。

设置VPD基础配置

VDP网站的默认连接地址为https://IP地址:8543/vdp-configure，其 中 IP地址必须根据您当时所设置的IP为主，后续也可以改用完整域名(FQDN)的方式来进行连接。而VDP应用设备的默认账号是root，密码则是changeme。请务必在登录后修改此密码设置。

成功登录VDP的配置公用程序网站之后，首先可以修改目前的网络设置，依序分别有IPv4静态地址、Netmask、网关、主要 DNS、次要DNS、主机名、网域。其中主要DNS通常是指向内部的DNS服务器地址，而次要DNS则是指向外部DNS地址，像是168.95.1.1或是8.8.8.8。至于主机名与网域的结合，变可以成为此网站之后的FQDN连接地址，因此必须记得在内部的DNS服务器中，添加这一笔A记录设置，以便于连接时名称可以被正常解析，否则可能会出现无法解析IP/DNS的错误信息。点击[下一步]。

在[时区]页面中必须正确设定，以便后续登记至vCenter服务器时，系统时间的对照才能够一致。点击[下一步]。在[VDP认证]页面中，请设置一组新的VDP应用设备认证密码。此密码的属性除了必须至少七个字符之外，最好还能够包含三种以上的字符类别，像是大写字母、小写字母、数字以及特殊符号，如此才能够有效防范有心人士的密码猜测，或是使用密码字典的黑客工具破解之疑虑。点击[下一步]。

在[vCenter登记]的页面中，请依序输入vCenter的管理员账号、密码、连接地址以及所使用的两种通信端口。一般来说通信端口通常都是使用默认的80以及443。至于vCenter的连接地址，可以输入IP会是完整的域名(FQDN)。接着请将[使用vCenter进行SSO验证]设置勾选，然后点击[测试连接]按钮，如此就能够知道此VDP虚拟机与vCenter服务器的连接是否会成功。点击[下一步]继续。

在[VDP授权]页面中，可以选择所要使用的VDP产品授权类型，其中[VDP]就是无需再额外付费授权的版本，可以执行基本的虚拟机备份与还原功能，备份的数据大小限制是2TB。VDP Advanced版本则是提供了完整功能的付费版本，其备份的数据大小限制可高达8TB，因此需要额外输入合法授权的密钥。至于[VDP复制目标]则是包含了VDP Advanced大多数的功能，主要用途在担任远程复制(Replication)备份使用。点击[下一步]继续。

在[创建存储空间]页面中，可以选择创建新的备份存储空间，或是连接现有的备份存储空间，对于VDP版本而言只能够创建最大2TB的新存储空间。如果想要连接现有的存储空间，其版本最好能够一致，才不会发生无法预期的错误。

例如VDP就连接VDP的磁盘，而VDPA则连接VPDA磁盘。点击[下一步]继续。

在[设备配置]页面中，共有三种虚拟磁盘的类型可以选择，分别是Thick Lazy-Zeroed、Thick Eager-Zeroed以及Thin。

其中Thin的格式会随着数据使用量而增加虚拟硬盘大小，但不会超过所制定的最大值，是一般管理人员最常用的选择，其缺点就是在效能的表现上会比其它两种格式差一些。

至于前两者则是都会先一次占用所有的可用空间，但由于Thick Eager-Zeroed类型会预先对于未使用的Block空间完成Zeroed处理，因此如果您想要获得最佳的I/O效能表现，Thick Eager-Zeroed类型肯定是最好的选择。点击[下一步]。

在[CPU和内存]页面中，如果您使用的仅是VDP的标准版本，则虚拟CPU的数量可以少于4颗，内存也大约在4GB左右就足够使用了，这是因为它的备份存储空间有2TB的限制。

相对地，如果您使用的是高级VDPA版本，那么虚拟CPU的数量最好能够至少在4颗以上，内存则是在6GB以上为最理想，并且每增加2TB的存储空间就随之增加2GB的内存，如此才能够获得最佳的效能表现。点击[下一步]继续。

在[准备完成]页面中，您可以决定是否要针对前面所配置的配置，执行效能分析的操作，这样的好处在于能真正确认，您所提供的各项设置值，是否符合现行硬件资源运行的条件。根据不同的配置设置此操作的执行大约花费三十分钟以上。

当目前的存储区空间不足的时候，可能会发生效能分析操作无法完成的错误信息，不过这并不会影响VDP虚拟机初步的正常执行，只要您事后有空出足以存储备份数据的空间。在完成了VDP系统的配置设置之后，请点击[Restart Appliance]按钮，来重新启动此虚拟机即可。

创建虚拟机备份计划

完成了VDP的部署之后，您就可以在vCenter首页中看到[vSphere Data Protection]功能项，在此页面中除了可以知道目前VDP使用的版本之外，在默认的状态下是尚未连接的。点击[连接]按钮。成功连接VDP虚拟机之后，就可以在此页面中就可以开启各项的基本任务，包括了添加VDP Advanced授权、创建备份任务、还原备份等等。就让我们马上点击[创建备份任务]连接继续。

首先在[数据类型]页面中，您可以根据实际备份需要，来选择进行[完整映像]或[个别磁盘]的备份方式。前者是针对您所选取的虚拟机，不管旗下有连接多少虚拟硬盘通通备份起来，后者则是可以让您自由勾选每一个虚拟机之中，特定的某些虚拟硬盘来进行备份。

这是因为许多时候您可能会因有限的备份空间问题，而仅选择备份其中存放重要数据的虚拟硬盘，再者也有可能是因为系统的复原急迫程度较低，有充分的时间可以允许我们重建新的虚拟机之后，再来完成数据虚拟硬盘的还原。

如果您选定了[个别磁盘]的备份方式，则可以在[备份目标]页面中，展开每一个虚拟机节点(Node)，然后来勾选所要备份的虚拟硬盘。

若是选定了[完整映像]备份方式，在[备份目标]业面之中，便只能够选取整个虚拟机，而无法个别选取旗下的虚拟硬盘。

来到[计划]页面中，您可以根据实际的备份频率需要，来选择每日、每周或是每月的备份计划设置。例如对于较重要的虚拟机，您可以设置每日备份一次，对于一些比较不是那么关键的虚拟机，或是数据的更新不是相当频繁的虚拟机，则可以考虑安排在每一周的星期日来进行备份即可。如此看来您肯定需要创建多项不同目标的备份任务。

在[保留原则]页面中，则可以决定每一份备份数据的保存期限，例如针对一些较重要的营运系统(例如：ERP、EIP)，您可能会希望每一个备份能够持续保留三十天，而对一些较不重要的虚拟机系统(例如：远程桌面服务)，可能就只需要保存三天即可。无论如何这一切的设置，都还得考虑到备份存储设备的空间是否足够。

在[任务名称]页面中，请输入一个本次备份设置的名称，其命名最好能够与备份的虚拟机名称相关，否则一旦创建的备份任务很多时，就会有管理上的困扰。

在[准备完成]页面中，就可以看到前面步骤中所完成的各项设置值。确认无误之后点击[完成]。

执行虚拟机备份任务

接着回到的[备份]页面中，就可以看到刚刚所创建的备份任务，尽管所设置的备份计划时间还没有到来，但是习惯上我们都会先为每一项新创建好的备份任务，执行一次手动备份，以确保整个备份操作是成功的。不过话说回来，如果目前虚拟机中的系统运行正常巅峰阶段，建议您还是暂时不要执行手动备份。若要执行请点击[立即备份]即可。

未来如果需要进行备份设置的修改、复制、删除以及启用(停用)等操作，只要从[备份任务操作]的下拉选单来选择即可。

另外值得注意的是，在立即备份的下拉选单之中，还可以进一步挑选[备份所有来源]或是[仅备份过时来源]，后者仅会针对所选择虚拟机备份项，执行最新一次没有备份成功的操作。

当创建的备份任务数量较多时，在各种操作的管理上，您还可以通过Ctrl键或Shift键来进行多重选取后，再来选择所要执行的操作，例如：启用、停用、删除、立即备份等等。

当虚拟机的备份任务被启动之后，就可以在[任务控制面板]页面中，检视到整个VDP相关备份任务的执行进度。

如果在VDP备份操作的过程之中发现错误，整个备份任务也将会立即中断，例如来源虚拟机文件无法访问、备份存储目标空间不足或是备份目前设备无法连接等等，紧接着还会在[警示]窗口之中，立即看到此错误的严重性、状态、触发时间、定义范围以及描述。确认错误信息的属性之后，请点击[认知]按钮即可。

对一些曾经执行失败的备份任务，在您解决了可能造成错误的原因之后，便可在[报告]页面之中，针对此失败的任务点击位在[操作]下拉选单中的[重新执行任务]，来尝试再执行一次相同的备份操作。

还原虚拟机

话说无论任何的备份方式，只要备份的文件不灭并完整，几乎都有复原的方法，可以让已经毁损的虚拟机，甚至于是整个受保护的虚拟机都已经被移除，依旧有方法，可以将虚拟机还原至最新一次备份的时间点，在VDP的备份基础上也是如此的。

如图2所示，我们可以在[还原]的页面之中，看到目前所有已成功备份并仍在保存阶段中的备份记录，您可以选取任一个想要还原的备份记录，然后点击[还原]继续。

图2 还原管理

接着将会开启 [选取备份]页面，在此您可以检视到此受保护的虚拟机，目前所有可还原的时间点。点击[下一步]。在 [设置还原选项]页面中，您可以决定是否要将此备份还原至原始位置，如果想要还原到其它位置，则可以从[数据存放区]的下拉选单之中，挑选所要复原的存储区。

进一步则可以设置让复原后的虚拟机自动开启电源。

不过必须特别注意的是如果您勾选了[复原至原始位置]，则原始位置的虚拟机必须是处在关机状态，否则整个还原过程将会发生错误而中断。点击[下一步]。

在[准备完成]页面中，可以知道目前即将遭到覆盖的虚拟机清单，当然啦！如果在上一步骤的设置当中，是选择还原到其它位置则在此就会列出即将创建的新虚拟机数量。点击[下一步]。

关于虚拟机的备份操作方式，其实您可以采用更聪明的作法，那就是直接在想要进行备份的虚拟机上方，按下鼠标右键并点击子选单中的[立即备份]即可。

对于该虚拟机现有的备份，还可以进行所谓的[还原演练]，来确认指定的备份是否能够如期还原成功。

请注意！关于完整的虚拟机备份与还原记录文件(Log file)，您可以经由VDP配置网站中的[记录收集器]页面来下载。

文件级别的还原

在前面有关于VDP虚拟机备份的还原功能之中，我们似乎没有看到能够还原在Guest OS中，特定的文件或活页夹之功能，其实这是因为此功能的使用必须开启一个名为[vSphere Data Protection Restore Client]的网站界面，通过此网站不仅可以让管理人员进行所谓的文件级别的 还 原 (FLR，File Level Recovery)，就连一般有被授予权限访问该客端系统的用户，也都能够通过此网站的登录，来还原特定的文件与活页夹，而不是还原整个虚拟机或虚拟硬盘。

尽管VDP内置所提供的文件级别还原(FLR)功能，可以协助一般用户，对于受保护虚拟机中的Guest OS，进行特定的文件还原，但它在使用前仍是有一些虚拟磁盘(Virtual Disk)格式方面的限制，这一些不支持的虚拟磁盘配置包括了未格式化的磁盘、Windows动态磁盘、GPT分区、ext4文件系统、FAT16文件系统、FAT32文件系统、延伸的分区、加密分区、压缩分区，以及采用Multi-Drive的分区。

另外一项限制则是无法一次还原超过五千个文件或是活页夹，并且相关的ACL权限配置也无法经由FLR而复原。

在您准备开放使用者来使用VDP的复原客户端网站之前，请先登录到如图44所示的VDP配置设置网站中，来确认位在画面右下方的[文件级别还原]功能，目前是否在已启用的状态下。

一旦确认了[文件级别还原]功能在启用状态中，管理员或一般使用者便可以连接到它专属的管理页面，默认的网址格式是https://VDP服务器地址:8543/flr。一般使用者只需要使用[基本登录]来连接该虚拟机的系统即可，必须注意的是所输入的账号一定要有该系统的本地管理员权限才可以。

至于高级登录则必须同时输入该系统的本地管理员账号，以及vCenter管理员的登录账号。一旦登录之后就可以对于任何的虚拟机备份进行挂载、浏览以及指定文件的还原。

VDP运行报告

关于VDP虚拟机系统的完整运行状态，如图3所示您可以在它的[配置]页面中，查看到有关于它的IP位置、版本信息、所在的vCenter与主机位置、执行状态以及备份空间的使用量。若进一步点击[记录]，则可看到完整的备份还原记录。

若您希望VDP系统可定期的自动传送运作报告给您，则必须切换到[电子邮件]页面中，设置用以发送Email的邮件服务器连接信息，这包括了勾选[启用电子邮件报表]、输入待发邮件服务器地址、登录帐密信息、发件人与收件者地址等。

图3 VDP摘要报告

完成以上设置之后，就可以点击位在页面右上方的[传送测试电子邮件]连接，来确认是否真的能够到收到由VDP系统所发送的Email。

如图3所示便是VDP系统所发送的摘要报表，并且也有附上Excel的文件报表，从这份报表之中将可以知道最新应用设备的状态、总容量信息、已使用的空间大小、受保护的数据量大小、成功与失败的备份次数、以及每一个受保护的虚拟机之相关备份存储信息等等。

结 论：在VMware VDP与VDPA之外，仍有许多第三方的解决方案，可以协助企业IT解决VMware vSphere虚拟机备份与复原的问题，而这一类的集成方案有许多甚至于可以做到更精细的备份与复原控管，更重要的是它们往往提供了单一管理界面，让管理人员可以轻易地经由传统控制面板应用程序、行动App以及Web Console等形式，统合管理全公司的所有系统与数据备份，包括了Active Directory基础建设、关键客户端重要数据、各类关系型数据库、文件服务器以及各类平台的虚拟机等等。尽管如今的第三方备份管理系统，整体功能设计是如此强大，但就以单纯的VMware vSphere虚拟化操作环境管理而言，自家的VDP与VDPA仍是企业IT的最佳首选。