Professional Documents
Culture Documents
Windows Physical Servers
Windows Physical Servers
Matthias Mehrtens,
Architecte solutions,
Veeam Software
Meilleures pratiques de sauvegarde des serveurs physiques et Windows
1.1. Avantages des sauvegardes en mode image prenant en charge les applications . . . . . . . . . 5
3.1. Autonome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
6. Destinations de sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
6.2. Inaltérabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
7. Chiffrement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
12. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
À propos de l’auteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
À propos de Veeam Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
La plupart des entreprises s’appuient aujourd’hui sur une infrastructure IT virtualisée. Grâce à Veeam®,
elles ont les moyens d’assurer et d’améliorer la disponibilité des workloads stratégiques qui s’exécutent sur
leurs systèmes. Différents facteurs, tels que les configurations matérielles complexes et les réglementations
de conformité, rendent impossible la virtualisation de certains workloads. De la même façon, des
terminaux (ordinateurs fixes et portables) ne bénéficieront pas d'une protection totale en recourant
à des solutions de sauvegarde conçues pour les systèmes virtualisés. Dans ces conditions, les données
des entreprises peuvent être exposées quotidiennement à des risques de défaillance de connectivité,
panne matérielle, fichier endommagé, ransomware, voire de vol.
Pour résoudre ces problèmes, les Veeam Agents rapprochent les vastes environnements hétérogènes
de certaines grandes entreprises et étendent la mobilité des workloads en assurant leur disponibilité
dans le cloud. Bien sûr, les Veeam Agents peuvent également prendre en charge les machines virtuelles
et les applications qui ne sont pas compatibles avec un snapshot d’hyperviseur ou qui ne peuvent pas
être protégées au niveau de la couche de virtualisation, quelle qu’en soit la raison.
Entre autres sujets, ce document aborde les principaux concepts de Veeam Agent for Microsoft Windows et
explique comment les agents sont gérés de manière centralisée dans Veeam Backup & Replication.
Cette mise à jour du document publié en 2021 tient compte des nouvelles fonctionnalités et des modifications
de Veeam Agent for Microsoft Windows v6 lancé en février 2023 (en même temps que Veeam Backup
& Replication™ v12). Nous avons aussi ajouté des citations de membres expérimentés de la communauté.
Cette vision partagée entre pairs devrait vous permettre de gagner en confiance pour élaborer la meilleure
stratégie de sauvegarde possible.
Dans ce document, nous examinerons plus en détail les technologies de sauvegarde et restauration de
Veeam que nous jugeons indispensables pour assurer des sauvegardes rapides et fiables des serveurs physiques.
« Ce que j’apprécie le plus avec les fonctionnalités de Veeam Agent, c’est que chaque scénario obtenu
en les associant change réellement la donne de la protection des données sur les terminaux. Il est
notamment possible de créer une tâche de sauvegarde unique qui ne sera pas seulement exécutée
de façon planifiée, mais déclenchée par les applications métier et les scripts pris en charge. En
l’absence de connexion Internet, les sauvegardes peuvent être stockées localement en attendant
d’être renvoyées dès que la connexion est possible. Avec l’intégration de Veeam Cloud Connect, la
perte des clés USB n’est plus un souci. En effet, nous récupérons les données directement auprès des
utilisateurs pour les transférer vers un datacenter sécurisé, dans le respect des fonctionnalités 3-2-
1-1 offertes par Veeam Agent. Ainsi, au moment de restaurer la sauvegarde, les données peuvent
être directement renvoyées à l’utilisateur, où qu’il se trouve, en toute sécurité sans que l’équipe IT
ait besoin d’accéder physiquement au poste de travail. Qu’il s’agisse de restaurer un seul fichier
supprimé de manière accidentelle ou de créer l'image d'une nouvelle machine en incluant l'ensemble
des précédentes applications et configurations, Veeam Agent remplit sa mission. »
— Michael Paul,
Consultant technique,
Veeam Legend, VMCA, VCP
Autre avantage de l’approche en mode image: les fichiers de sauvegarde sont portables et peuvent
donc être restaurés quasiment partout. Cette technologie Veeam qui a fait ses preuves, assure
une mobilité inégalée des sauvegardes permettant de déplacer les workloads d’un environnement
physique vers un environnement virtuel ou cloud et vice versa, en tirant simplement parti de l'une
des nombreuses options de restauration proposées. Comme les fichiers de sauvegarde créés par
Veeam Agent for Microsoft Windows sont autonomes, les restaurations restent toujours possibles,
même sans infrastructure de sauvegarde existante.
Pour la prise en charge des applications, Veeam Agent for Microsoft Windows offre le même moteur
éprouvé de traitement du SE invité que celui de Veeam Backup & Replication. Vous disposez ainsi de la
puissance et de la flexibilité nécessaires pour assurer la disponibilité de vos postes de travail et serveurs
physiques Windows. Ses autres atouts:
• sauvegarde simple des journaux des bases de données d’entreprise (SQL Server et Oracle);
REMARQUE: le traitement prenant en charge les applications est disponible uniquement en édition Server.
Les Veeam Agents sont un excellent moyen de mettre en place une stratégie de sauvegarde unifiée,
où tous les workloads sont sauvegardés avec Veeam, qu’ils soient virtuels ou physiques. Pour assurer
la cohérence, il est par exemple possible d’effectuer la sauvegarde d’un serveur SQL qui prenne en
charge les applications. Si ce serveur exécute une base de données ou des workloads exigeants, il est
préférable d’installer le driver de suivi des blocs modifiés (CBT) de Veeam : plus efficace, il booste les
performances de la sauvegarde. Et pour plus de sécurité il est conseillé d’activer le chiffrement de la
sauvegarde. »
— Nico Stein,
Vice-président adjoint IT, Veeam Vanguard,
vExpert, Cisco Champion
1 2
Modifications
uniquement
Autre solution: une chaîne de sauvegarde incrémentielle perpétuelle directe débutant par une
sauvegarde « active full ». Ainsi, les sauvegardes exécutées par la suite sont incrémentielles et
traitent uniquement les modifications. Dès qu’expire la première sauvegarde complète, selon la
rétention choisie, le plus ancien fichier de sauvegarde incrémentielle fusionne automatiquement avec
le fichier de sauvegarde en cours, en écrasant (le cas échéant) tous les blocs expirés qu’il contient.
• Restauration bare-metal
Restaure l’ensemble du système vers un matériel existant/de remplacement/nouveau
ou une machine virtuelle « vide ».
Et quelques clics suffisent pour accéder à toutes ces options, comme illustré figure 1.2.
Figure 1.2: Options de restauration du menu contextuel de la sauvegarde avec agent dans la console de Veeam Backup & Replication
« Ce que je préfère dans Veeam Agent ce sont les options de restauration disponibles en association
avec Veeam Backup & Replication. Bien sûr, on peut effectuer des restaurations standard (aux
niveaux fichier et application, ou bare-metal, par exemple), mais Veeam Backup & Replication
offre des fonctionnalités encore plus avancées:
Le fait de pouvoir démarrer la sauvegarde sur un hôte de virtualisation ou dans le cloud élargit
les possibilités à de nombreux scénarios.
Si votre serveur physique ou votre poste de travail présente un défaut matériel et que vous ne
pouvez pas attendre qu’il soit remplacé, vous avez le choix d’utiliser vos ressources de virtualisation
existantes ou de le transférer sous forme de machine EC2 ou Azure vers le cloud.
Cela n’est pas seulement précieux en cas de panne: utiliser Veeam comme utilitaire de migration des
machines physiques vers des machines virtuelles ou vers le cloud permet de réduire les temps d’arrêt
et le niveau de stress de l’administrateur.
Dernier avantage, et non des moindres: si des tâches de maintenance ou de mise à jour stratégiques sont
nécessaires, vous pouvez commencer par les tester dans votre laboratoire virtuel avant de les exécuter sur
votre matériel de production. »
— Maximilian Maier,
Consultant IT,
Veeam Legend, VMCE, VCP
REMARQUE: si vous utilisez des agents gérés de manière centralisée, il est évidemment possible de décider
si le driver CBT doit être installé; ce sujet sera abordé dans la section 5.
La sauvegarde au niveau fichier ajoute la capacité d’inclure/exclure des fichiers ou dossiers spécifiques en
utilisant des masques de fichiers (*.log, par exemple) ou des variables d’environnement système. L’article
suivant de la base de connaissances Veeam traite de la diversité des combinaisons possibles en utilisant
des caractères génériques et/ou des variables d’environnement: https://www.veeam.com/kb3236
REMARQUE: pour exclure simplement de la sauvegarde des dossiers bien précis sur des volumes NTFS,
vous pouvez toujours utiliser la sauvegarde au niveau volume, car elle prend aussi en charge l’exclusion
des dossiers fondée sur des caractères génériques (uniquement après la dernière barre oblique inverse
du chemin d’accès) ou des variables d’environnement système (%WINDIR% pour pointer sur le dossier
C:\Windows, par exemple).
Pour les agents gérés (voir section 3), une option supplémentaire permet d’exclure de la sauvegarde les
dossiers OneDrive locaux des utilisateurs. En effet, dans la mesure où ces dossiers sont habituellement
synchronisés avec le stockage cloud OneDrive, il n’y a rien d’illogique à les exclure de la sauvegarde.
Pour accéder à cette option, cliquez sur le bouton « Advanced » (Avancé), comme illustré figure 1.5.
Disponible et activé par défaut dans les modes de sauvegarde d’ordinateur entier et au niveau volume,
le traitement parallèle des disques fonctionne uniquement lorsque la destination de la sauvegarde est
une cible de sauvegarde Veeam ou une cible Veeam Cloud Connect. Il est possible d’affiner le niveau de
parallélisme ou de désactiver complètement la fonctionnalité si nécessaire (pour plus d’informations,
consulter https://www.veeam.com/kb3157).
Après avoir passé en revue les concepts fondamentaux de la protection des workloads physiques
avec Veeam, nous allons à présent étudier en détail Veeam Agent for Microsoft Windows: options
de licence, déploiement et gestion centralisés des agents, et quelques-unes des meilleures pratiques
pour votre environnement.
Free: offre une solution simple et gratuite pour sauvegarder des ordinateurs fixes et portables Windows,
idéale pour une utilisation personnelle, sans s’y limiter.
driver CBT
Selon les exigences de déploiement et de gestion, différents ensembles de composants logiciels sont
installés sur le poste de travail ou le serveur à protéger avec Veeam Agent for Microsoft Windows. C’est
pourquoi il existe trois modes de fonctionnement distincts de déploiement et de gestion de Veeam Agent
for Microsoft Windows, afin d’offrir la flexibilité nécessaire aux nombreux cas d’utilisation existants.
2 Effectuer une restauration instantanée vers Hyper-V ou vSphere, ou une restauration vers Azure ou Amazon, requiert parfois une
licence spécifique de Veeam Backup & Replication.
3 Lorsqu’une cible de sauvegarde Veeam est utilisée comme destination de sauvegarde en mode autonome, le chiffrement côté
source n’est pas disponible. Toutefois, le chiffrement des données de sauvegarde peut être activé sur la cible Veeam pour y pallier.
3. Modes de gestion
Veeam Backup & Replication vous permet de gérer de manière centralisée chaque aspect de vos
installations Veeam Agent for Microsoft Windows. Cela signifie que les composants de gestion de
la configuration (gestion des tâches de sauvegarde, interface utilisateur, options de restauration,
etc.) ne sont pas disponibles localement sur les machines protégées, parce que les tâches sont
centralisées sur le serveur de sauvegarde Veeam Backup & Replication. Il s’agit du mode de
gestion par le serveur de sauvegarde.
S’apparentant à un mélange spécial des deux précédents, le mode de gestion par l'agent
est une troisième option qui est la seule disponible pour l’édition Workstation, associée à
la gestion centralisée.
Techniquement, vous êtes libre de choisir l’un des trois modes décrits ci-dessus pour chaque
ordinateur à protéger. Toutefois, certains scénarios se prêtent mieux à un mode spécifique.
Voici une synthèse et une liste de cas d’utilisation pour chaque mode:
Figure 3.1
3.1. Autonome
Workloads Destinations
Windows de sauvegarde
Stockage local
Instance cloud
Sauvegarde
Cible VBR/
Serveur
cible cloud
Ce mode vise clairement la protection des ordinateurs autonomes, à la fois physiques et virtuels,
qui ne font pas partie d’une infrastructure de sauvegarde gérée de manière centralisée. Il permet
à tout utilisateur possédant des droits d’administrateur local de configurer des sauvegardes et des
restaurations si nécessaire. Exemples de cas d’utilisation:
Le mode autonome est disponible pour toutes les éditions de Veeam Agent for Microsoft Windows.
Bien qu’aucune gestion centralisée ne soit disponible en mode autonome, les tâches de sauvegarde
configurées localement sur un ordinateur avec agent peuvent écrire les données de sauvegarde sur
des cibles de sauvegarde gérées par Veeam Backup & Replication.
Figure 3.2
Instance cloud
Sauvegarde
Serveur
Ce mode nécessite la mise en place d’une infrastructure Veeam Backup & Replication pour déployer,
configurer et gérer les agents. Dans ce mode, les utilisateurs locaux d’ordinateurs protégés par
Veeam Agent for Microsoft Windows ne peuvent pas exécuter ni configurer des sauvegardes ou des
restaurations (aucune interface utilisateur n’est disponible localement). Le serveur de sauvegarde
Veeam Backup & Replication qui gère l’ordinateur exerce un contrôle total.
• machines virtuelles ne pouvant pas être protégées par des solutions de sauvegarde orientées
virtualisation, faute de prise en charge de la technologie des hyperviseurs (Veeam Agent for
Microsoft Windows prend la relève si les sauvegardes de VM par Veeam Backup & Replication
sont inadaptées).
Disponible uniquement en édition Server, le mode de gestion par le serveur de sauvegarde est le seul
à prendre en charge la protection des clusters de basculement Microsoft (pour plus de détails, se reporter
à https://www.veeam.com/kb2463).
Bien que toutes les options de configuration des agents doivent nécessairement être définies de manière
centralisée sur un serveur de sauvegarde Veeam Backup & Replication, c’est l’ordinateur local qui exécute
les sauvegardes planifiées (même si le serveur de sauvegarde n’est pas disponible à ce moment précis). Il
s’appuie pour cela sur sa propre base de données de configuration et son propre moteur de planification,
une fois sa configuration récupérée depuis le serveur de sauvegarde. L’utilisateur local dispose d’une
interface limitée lui permettant de créer des sauvegardes à la demande (en plus des sauvegardes
habituelles planifiées de manière centralisée) et d’effectuer des restaurations au niveau fichier ou
volume. Exemples de cas d’utilisation:
• application physique ou virtuelle ou serveurs de base de données d’entreprise (sur site ou dans le
cloud public) gérés par des administrateurs d’applications/de bases de données dédiés, capables
d’effectuer des sauvegardes/restaurations à la demande sans dépendre de l’équipe chargée des
opérations d’infrastructure/de sauvegarde;
Le mode de gestion par l’agent est disponible pour les éditions Server et Workstation. Il est compatible
avec le type de groupe de protection à périmètre flexible abordé dans la section 5.2 de ce document.
Si, contrairement au précédent, la configuration et la gestion sont centralisées, comme décrit pour le
mode de gestion par le serveur de sauvegarde, seule une petite sous-partie des composants est requise.
Il s’agit du type d’installation agent léger.
Enfin, le mode gestion par l’agent nécessite tous les composants du type d’installation agent complet,
plus un service de configuration/maintenance réduit (Veeam Installer Service). Toutefois, dans ce
mode, tous les composants d’interface utilisateur locaux sont désactivés (les options de configuration
peuvent être consultées, mais pas modifiées sur l’ordinateur local, par exemple) et Veeam Agent
for Microsoft Windows récupère régulièrement sa configuration depuis un serveur de sauvegarde
Veeam Backup & Replication central. En outre, le démarrage manuel d'une sauvegarde à la demande
(non planifiée) et plusieurs options de restauration sont disponibles via l’interface utilisateur ou la
ligne de commande, sans nécessiter l’accès à la console centralisée de Veeam Backup & Replication.
Figure 4.1: Options de sauvegarde et de restauration disponibles localement en mode gestion par l'agent
Concernant les composants installés, la seule différence entre les modes de gestion par l'agent
et autonome réside dans le Veeam Installer Service qui n’est pas installé pour le second. C’est
pourquoi l’installation de Veeam Agent for Microsoft Windows entre dans la catégorie des installations
de type agent complet.
Le tableau 4.1 offre un aperçu des deux types d’installation d’agent, en précisant les composants
correspondant aux trois modes de gestion.
Driver CBT (facultatif)
Driver CBT (facultatif)
Driver CBT (facultatif)
Lorsque des objets Active Directory constituent la source du groupe, il est possible de sélectionner
des conteneurs, comme des unités d’organisation ou des groupes de sécurité, au lieu (ou en plus)
des ordinateurs individuels. Cette option est très puissante, car elle profite de la dynamique du
conteneur choisi:
• Dès qu’un ordinateur est ajouté dans le conteneur sélectionné dans Active Directory, le groupe
de protection applique la modification pour que ce nouveau membre du conteneur soit traité
automatiquement.
Lorsque des ordinateurs sont retirés des conteneurs Active Directory, le fonctionnement est le même:
Pour une flexibilité accrue, des exclusions peuvent être définies dans le groupe de sorte que certains
ordinateurs et/ou conteneurs ne sont pas inclus dans le traitement du groupe de protection. Il est
également possible de définir des exclusions pour toutes les machines virtuelles (si le groupe de
protection vise uniquement des ordinateurs physiques) ou pour tous les ordinateurs restés hors ligne
pendant plus de 30 jours.
Pour permettre l’installation de Veeam Agent for Microsoft Windows sur l’ensemble des membres
couverts par le groupe de protection, il faut disposer de privilèges d’administrateur local sur ceux-ci.
Il est possible de configurer ces privilèges pour qu’ils soient les mêmes pour tous les membres du groupe
(compte maître), ainsi que par conteneur, groupe ou ordinateur, individuellement.
Dans les environnements où le déploiement d’agents par le serveur de sauvegarde Veeam est proscrit,
Veeam Backup & Replication fournit la fonctionnalité de groupe de protection aux ordinateurs avec
agents de sauvegarde pré-installés (voir figure 5.1), aussi appelée « groupe de protection à périmètre flexible ».
• Vous disposez déjà d’une solution de distribution logicielle opérationnelle que vous souhaitez aussi
utiliser pour installer le logiciel Veeam Agent, plutôt que de mettre en place une autre distribution
logicielle simplement pour installer les agents de sauvegarde.
• Les règles de sécurité et de conformité ne vous permettent pas de stocker les mots de passe des
comptes d’administrateurs locaux (obligatoires pour installer le moindre logiciel sur un ordinateur)
dans le gestionnaire des informations d’identification de Veeam Backup & Replication.
• Au moment de créer le groupe de protection, vous ne disposez pas de la liste complète des
ordinateurs à protéger, qui ne peut être fournie ni par Active Directory, ni via un fichier CSV
(c’est-à-dire par un système CMDB tiers).
• Vous voulez créer un groupe de protection pour les ordinateurs exécutant Apple MacOS, IBM AIX ou
Oracle Solaris, sachant que les Veeam Agents pour ces systèmes d’exploitation ne peuvent pas être
déployés par les autres types de groupe de protection et doivent donc être pré-installés.
Figure 5.3: Packages d’installation d’agents disponibles dans le groupe de protection à périmètre flexible
Infrastructure locale
1. Récupération des
ressources via l’API
sauvegarde
VM 1
2. Téléchargement des
Serveur Passerelle binaires de configuration Cible de
de sauvegarde et serveur stockage objet
de montage 3. Envoi de la commande VM 2
de sauvegarde
API Azure/AWS
Groupe de protection
des machines cloud
Cloud Azure/AWS
Il est important de noter que, dans ce scénario, l’ensemble du trafic de sauvegarde (c’est-à-dire un
trafic de volume élevé) généré par ces agents demeure au sein du cloud AWS ou Azure: il n’y a aucun
transfert des données de sauvegarde entre le serveur de sauvegarde Veeam chargé de la gestion et les
agents sur les VM qui exécutent les sauvegardes. Seul le trafic de faible volume nécessaire à la gestion
est échangé entre le serveur de sauvegarde et les API des clouds AWS/Azure, et ce trafic de contrôle
n’implique aucune connexion directe ou VPN entre le serveur de sauvegarde et les agents sur les VM.
Figure 5.5
Cela concerne aussi les restaurations au niveau fichier depuis les sauvegardes créées par ce moyen.
Le serveur de sauvegarde Veeam communique avec les API Azure/AWS pour gérer le traitement de la
restauration, sans que le trafic de restauration ne franchisse les limites du cloud, comme illustré figure 5.5.
restauration
Lorsqu’une tâche de sauvegarde utilise un groupe de protection pour les machines cloud, sa destination
de sauvegarde est limitée à la cible de stockage objet du cloud sur lequel s’exécutent les VM protégées.
Ainsi, les données de sauvegarde ne transiteront pas entre le cloud et le site ou entre différents
clouds, ce qui engendrerait des frais de trafic sortant. Cela n’empêche pas pour autant de bénéficier d’une
solution de sauvegarde multicloud ou de cloud à site. Il est possible de configurer Veeam Backup
& Replication pour copier régulièrement ces sauvegardes depuis la cible de stockage objet vers
n’importe quelle autre cible, totalement indépendante de la destination. De plus, la plupart des
options de restauration sont directement disponibles pour ces sauvegardes, y compris Instant
Recovery, la restauration instantanée (voir figure 5.6).
Figure 5.6 : Options de restauration d’une machine cloud (VM Azure dans cet exemple)
Les tâches de sauvegarde des agents gérées de manière centralisée sont créées et configurées sur le
serveur de sauvegarde Veeam Backup & Replication. Elles vous permettent de choisir entre les modes de
gestion par le serveur de sauvegarde et de gestion par l’agent, présentés plus haut et illustrés figure 5.7.
Figure 5.7: Boîte de dialogue New Agent Backup Job (Nouvelle tâche de sauvegarde d’agent) de la console Veeam Backup & Replication
Veuillez noter que seules les tâches de type serveuroucluster de basculement (c’est-à-dire celles des
agents avec une licence en édition Server) permettent d’activer le traitement prenant en charge les
applications, qui apparaît sur la page « Guest Processing » (Traitement du SE invité) de l’assistant.
Figure 5.9: Configuration d’un compte de service géré de groupe pour le traitement du SE invité
Quelques tâches préparatoires sont nécessaires dans Active Directory afin d’activer cette fonctionnalité et
tirer parti de ces comptes de service gérés pour le traitement du SE invité. Pour en savoir plus, consultez
cette page du Centre d’assistance Veeam.
(Veuillez noter que des options différentes sont disponibles pour les tâches autonomes ou gérées par
agent, voir figure 9.2.)
6. Destinations de sauvegarde
Si vous connaissez Veeam Backup & Replication, vous savez déjà que vous disposez de nombreuses
destinations de stockage différentes pour vos précieuses données de sauvegarde. Veeam Agent for
Microsoft Windows prend également en charge plusieurs destinations de sauvegarde configurables,
selon le mode de gestion (voir tableau 6.1).
Stockage local
Stockage objet
Dossier partagé 4 3
Appliance de déduplication6
4 S'il est configuré en tant que cible de sauvegarde dans Veeam Backup & Replication
5 Pour plus d’informations sur les restrictions et conditions spécifiques des cibles Cloud Connect,
consultez la page https://helpcenter.veeam.com/docs/agentforwindows/userguide/cloud_connect.html
6 Seulement s'il est configuré en tant que cible de sauvegarde dans Veeam Backup & Replication
Pour en savoir plus sur les systèmes pris en charge et les conditions de configuration, consultez la page
https://helpcenter.veeam.com/docs/backup/vsphere/deduplicating_storage_appliances.html.
Vous pouvez tirer parti du stockage objet directement comme destination d’une tâche de sauvegarde
d’agent (exclusivement pour Windows, Linux et Mac) ou en utilisant une cible de sauvegarde Veeam Backup
& Replication v12 configurée pour servir de cible de stockage objet (pour tous les Veeam Agents).
REMARQUE: si vous prévoyez de diriger les sauvegardes vers un stockage cloud IBM ou Wasabi, utilisez
l’option de stockage compatible S3.
Très important: avec une cible de sauvegarde Veeam Backup & Replication, vous pouvez choisir de transférer les
sauvegardes d’agents directement vers le stockage objet configuré ou d’utiliser un (ensemble de) serveur(s)
passerelle comme étape intermédiaire avant que les données atteignent le stockage objet. Cela assure une
grande flexibilité avec les agents gérés de manière centralisée, comme décrit dans la section 5. Par exemple,
Figure 6.2
vous pouvez sauvegarder des ordinateurs de bureaux distants directement, via une liaison internet locale,
vers un fournisseur de stockage objet dans le cloud public, tout en continuant de gérer l’ensemble des
agents depuis un datacenter central. La bande passante pour la liaison VPN entre ce dernier et le bureau
peut d’ailleurs être limitée. La figure 6.2 illustre cet exemple.
Site distant
Sauvegarde/Restauration
Veeam Agents
Gestion
Siège/Datacenter central
Gestion
Cible de
Serveur de Passerelle stockage objet
sauvegarde etserveur
de montage Cloud public
Figure 6.2: Exemple de bureau distant utilisant la sauvegarde directe vers un stockage objet avec une gestion centralisée
Dans un tel scénario, vous devez configurer la fonctionnalité de sauvegarde directe vers un stockage objet
non pas dans la tâche de sauvegarde avec agent, mais dans les paramètres de la cible, comme illustré figure 6.3.
Figure 6.3: Mode de connexion directe dans les paramètres de la cible de stockage objet
Cet exemple illustre la configuration d’un stockage objet compatible S3 (Wasabi ici). Vous pouvez
évidemment appliquer la même configuration lorsque vous utilisez un stockage objet local,
compatible S3, situé dans votre datacenter. Ainsi, aucun trafic ne sortira du LAN de votre entreprise.
Consultez aussi cette page présentant la liste actualisée des solutions de stockage sur site et dans
le cloud qu’il est possible d’utiliser comme cibles de sauvegarde Veeam. Certaines prennent aussi en
charge l’inaltérabilité pour toujours plus de sécurité !
6.2. Inaltérabilité
De nombreuses solutions de stockage objet offrent une fonctionnalité d’inaltérabilité supplémentaire
empêchant la modification ou la suppression des données pendant une durée prédéfinie. Depuis un
certain temps déjà, Veeam Backup & Replication prend en charge cette fonctionnalité en utilisant ce
type de stockage comme tier de capacité dans une cible de sauvegarde évolutive (pour plus de détails,
cliquez ici). Désormais, Veeam Backup & Replication v12 prend aussi en charge l’inaltérabilité pour le tier
de performance et les cibles de stockage objet ne participant pas à une cible de sauvegarde évolutive.
Les Veeam Agents lancés en même temps que Veeam Backup & Replication v12 en bénéficient aussi:
lorsque vous configurez un stockage objet comme destination de sauvegarde de l’agent, vous pouvez
choisir d’activer l’inaltérabilité et définir pendant combien de temps (voir figure 6.4).
Figure 6.4: Paramètres d'inaltérabilité d’une cible de sauvegarde dans Veeam Agent for Microsoft Windows
REMARQUE: Veeam Backup & Replication offre aussi une fonctionnalité d’inaltérabilité pour stocker les
sauvegardes sur une cible renforcée pouvant servir à stocker les données de sauvegarde avec agent.
7. Chiffrement
Pour renforcer la protection des données de sauvegarde créées par Veeam Agent for Microsoft Windows
à des fins de conformité avec des obligations légales ou la politique de l’entreprise, vous pouvez choisir
de chiffrer les fichiers de sauvegarde dans « Advanced Settings » (Paramètres avancés) lorsque vous
configurez la destination de sauvegarde de la tâche, comme illustré figure 7.1.
Vous devrez simplement retenir le mot de passe pour déchiffrer et restaurer les données de sauvegarde
ainsi protégées. Une phrase secrète (facultative) peut également être stockée avec le mot de passe pour
vous permettre de vous rappeler celui-ci lorsque vous en aurez le plus besoin.
Lorsqu’une cible de sauvegarde Veeam est sélectionnée comme destination de sauvegarde dans
une tâche de sauvegarde de Veeam Agent for Microsoft Windows en mode autonome, le chiffrement
ne peut pas être configuré dans les paramètres de cette tâche (voir figure 7.2). En effet, le chiffrement
des données présentes sur les cibles de sauvegarde Veeam est géré par les administrateurs de
Veeam Backup & Replication.
Figure 7.2: Le chiffrement local n’est pas disponible pour les cibles de sauvegarde Veeam
Le chiffrement peut toujours être activé pour ces fichiers de sauvegarde avec agent, mais il doit pour
cela être configuré par l’administrateur de la sauvegarde, dans les paramètres « Access Permissions »
(Autorisations d’accès) de la cible (voir figure 7.3).
REMARQUE: le paramètre encadré figure 7.3 concerne uniquement les sauvegardes d’agents en mode
autonome. Pour les tâches de gestion par l’agent ou de gestion par le serveur de sauvegarde, il est
ignoré pour que seuls s’appliquent les paramètres de chiffrement configurés pour la tâche.
Pour vous aider à respecter cette règle avec Veeam Agent for Microsoft Windows, Veeam Backup
& Replication offre des tâches de copie de sauvegarde permettant de copier toutes les données
de sauvegarde vers une cible Veeam secondaire.
Veeam Agent
for Microsoft Windows
Serveur de sauvegarde
Veeam Backup
Gestion & Replication
Tâche de
sauvegarde
Gestion
Tâche de copie
Cible principale des sauvegardes Cible secondaire
Veeam Backup Veeam Backup
& Replication & Replication
S’agissant du déploiement de Veeam Agent for Microsoft Windows sur ces ordinateurs distants, nous
avons déjà évoqué le recours à des serveurs de distribution, dans la section consacrée aux groupes de
protection, pour créer une infrastructure de déploiement distribuée. Mais quelles sont les possibilités
pour les postes de travail dont la connexion à la destination de sauvegarde centrale est aléatoire, voire
inexistante ? Découvrons ce que Veeam Agent for Microsoft Windows propose dans ce type de situation
pour les agents de postes de travail autonomes, ainsi que pour les stratégies avec gestion par l’agent.
Cette fonctionnalité est aussi disponible dans Veeam Agent for Mac (version 2 ou ultérieure). Vous
trouverez les informations correspondantes dans cette page du Centre d’assistance Veeam.
Figure 9.1: Options de cache de sauvegarde d’une stratégie avec gestion par l’agent
Veuillez noter que pour les agents autonomes, l’option « Backup Cache » (Cache de sauvegarde) est disponible
pour toutes les destinations de sauvegarde prises en charge, à l’exception du stockage local (car cela n’aurait
pas de sens). Toutefois, pour les agents contrôlés par une stratégie de gestion par l’agent, la mise en cache est
uniquement disponible lorsque la destination est une cible Veeam ou Veeam Cloud Connect. La mise en cache
ne peut pas être utilisée avec le mode de sauvegarde au niveau fichier (sauf en cas de configuration en vue du
traitement en mode image, comme décrit dans la section « Modes de sauvegarde multiples »).
La figure 9.2 présente toutes les options de planification disponibles pour les agents avec une
licence Workstation (c’est-à-dire utilisant des tâches de sauvegarde de type « poste de travail »).
Cela s’applique également aux agents autonomes gratuits.
Figure 9.2: Options de planification d’une stratégie avec gestion par l’agent ou d’un agent autonome
Ces paramètres offrent une grande flexibilité pour les utilisateurs en télétravail ou en déplacement,
dont les horaires de travail, variables d’une personne à l’autre, sont peu compatibles avec une
planification « statique » des sauvegardes (une fois par jour à heure fixe, par exemple).
Parmi les options illustrées figure 9.2, nous allons étudier plus précisément le paramètre « When backup
target is connected » (Quand la destination de la sauvegarde est connectée). Il signifie simplement que
Veeam Agent for Microsoft Windows lance la tâche de sauvegarde dès que la destination de sauvegarde
configurée est disponible et que cela s’applique exclusivement au stockage local (branchement d’un
périphérique de stockage USB externe, par exemple) et aux destinations à portée du réseau (dossier
partagé sur un serveur de fichiers ou NAS, cible de sauvegarde nécessitant une connexion VPN, etc.).
Prenons l’exemple d’un collaborateur itinérant qui modifie des documents hors ligne: la sauvegarde
de son ordinateur démarrera dès qu’il se connectera au réseau de l’entreprise sur lequel la cible de
sauvegarde peut être atteinte.
Une autre méthode consiste, bien sûr, à associer ces options au paramètre « Once backup is taken,
computer should Sleep/Hibernate/Shutdown » (Une fois la sauvegarde effectuée, l’ordinateur doit
passer en mode veille, veille prolongée ou arrêt). Je l’utilise d’ailleurs moi-même pour créer une
sauvegarde quotidienne de mon ordinateur à domicile:
1. En fin de journée, je ferme tous mes documents/applications et j’insère la clé USB que j’ai
configurée comme destination de sauvegarde. La sauvegarde démarre immédiatement.
3. Veeam Agent for Microsoft Windows crée une sauvegarde sur ma clé USB avant de l’éjecter.
5. Première chose à faire le lendemain matin: éjecter la clé USB avant de démarrer l’ordinateur.
Veeam Agent
for Windows
Figure 10.1: Intégration aux snapshots de baie de stockage avec Veeam Agent for Microsoft Windows
Figure 10.3: Proxy de sauvegarde permettant d’accéder au système de stockage intégré dans Veeam Backup & Replication
La dernière partie doit être configurée dans la tâche de sauvegarde avec gestion par le serveur de
sauvegarde. Vous devez pour cela accéder aux paramètres avancés de l’étape « Storage » (Stockage)
dans l’assistant de configuration et cocher la case « Enable backup from storage snapshots » (Activer
la sauvegarde à partir des snapshots de baie de stockage), comme illustré figure 10.4. Choisissez si
des proxys doivent être affectés automatiquement à chaque exécution de la tâche ou si celle-ci doit
se limiter à utiliser un ensemble de proxys de votre choix. Vous pouvez aussi préciser le comportement
en cas d’échec du traitement des snapshots (basculer en mode « normal » ou mettre fin à la tâche
en signalant l'échec).
Figure 10.4: Paramétrage d’une tâche de sauvegarde pour activer l’intégration aux snapshots de baie de stockage
Lors de l’exécution de la tâche, le journal indique si tout fonctionne normalement, comme illustré
figure 10.5. Cette capture d’écran a été prise à l’exécution d’une tâche de cluster de basculement avec
deux nœuds, un volume de type SAN servant de disque de cluster. Comme vous le constatez, tout
fonctionne normalement (le snapshot du volume de stockage est pris lors du traitement du nœud
propriétaire actif).
Pour éviter cette situation, Veeam Backup & Replication v12 inclut une nouvelle fonctionnalité: les jetons
de restauration. Elle fonctionne avec Veeam Agent for Microsoft Windows et Veeam Agent for Linux v6 ou
ultérieure. La procédure pour tirer parti de ces jetons est la suivante:
a. Le jeton généré est une chaîne de 16 caractères alphanumériques, ce qui permet plus de
1 024 combinaisons).
4. Au lieu de saisir ses informations d’identification, l’utilisateur se sert du jeton pendant l’étape
d’authentification du processus de restauration, comme illustré figure 11.1.
5. La liste des points de restauration associés au jeton de restauration est présentée à l’utilisateur.
Figure 11.1: Saisie d’un jeton de restauration pour restaurer des volumes dans Veeam Agent for Microsoft Windows
Très facile à utiliser, cette procédure élimine le partage d’informations d’accès sensibles lorsque
l’utilisateur effectue la sauvegarde.
Comme mentionné plus haut, les jetons de restauration sont aussi disponibles pour les restaurations
avec Veeam Agent for Linux (voir figure 11.2).
Figure 11.2: Saisie d'un jeton pendant une restauration bare-metal dans Veeam Agent for Linux
12. Conclusion
S’il est incontournable d’assurer des sauvegardes rapides et fiables de TOUS les workloads, cela relève
du défi en raison des nombreuses configurations possibles des environnements virtuels ET physiques.
• simplification considérable des opérations de déploiement et de gestion, car ils sont faciles
à organiser, automatiser et déployer à grande échelle, dans des groupes de protection conçus
pour être personnalisés et flexibles;
Pour mettre en action ces meilleures pratiques, profitez de la version d’évaluation gratuite pendant 30 jours.
Enfin, n’oubliez pas que ce livre blanc est consacré à Veeam Agent for Microsoft Windows. Comme
souligné plusieurs fois, Veeam propose des agents pour d’autres plateformes/SE ! Voici la liste des
Veeam Agents actuellement disponibles:
• Veeam Agent for Linux
• Veeam Agent for Mac
Chaque élément de cette liste renvoie à la page produit correspondante sur veeam.com.
N’hésitez pas à cliquer dessus!
À propos de l’auteur
Architecte solutions chez Veeam, Matthias Mehrtens accompagne clients et
partenaires dans la planification, la conception et la mise en œuvre de leurs
stratégies et solutions de protection des workloads stratégiques. Titulaire
d’un diplôme supérieur en physique, il officie depuis plus de 25 ans dans le
secteur de l’IT, à différents postes: opérations, management et conseil.
À propos de Veeam Software
Veeam assure la résilience des entreprises grâce à une plateforme complète qui garantit la sécurité,
la restauration et la liberté des données dans leur cloud hybride. La société propose une plateforme
unique pour les environnements cloud, virtuels, physiques, SaaS et Kubernetes: les entreprises ont la
certitude que leurs applications et données sont protégées et toujours disponibles, car Veeam veille au
maintien de leur activité. Basé à Columbus (Ohio), Veeam possède des bureaux dans plus de 30 pays
et protège plus de 450 000 clients dans le monde, dont 82% des sociétés du Fortune 500 et 69%
de celles du Global 2000. L’écosystème international de Veeam comprend plus de 35 000 partenaires
technologiques, revendeurs, fournisseurs de services et partenaires Alliance. Pour en savoir plus, visitez
www.veeam.com/fr ou suivez @veeam-software sur LinkedIn et @Veeam_Fr sur Twitter.
Merci de nous faire part de vos commentaires sur le Forum de la communauté Veeam ou sur le Veeam
Community Resource Hub!
Protégez vos sauvegardes Windows contre les pannes matérielles, les altérations de fichiers et les
ransomwares grâce à la Veeam Data Platform. Recevez une version d’évaluation gratuite pendant 30 jours