受到氣候變遷與地緣政治因素影響,全球天災人禍頻傳,IT層面如何做到災難復原(DR)、業務持續運作管理(BCM),再度成為企業重要議題,市面上相關的解決方案也隨著IT基礎架構的演進,而不斷推陳出新,像是基於VMware伺服器虛擬化環境而成的Site Recovery Manager(SRM),以及Acronis、Dell、Veeam、Veritas等眾多備份軟體廠商推出的DR方案,到了雲端服務當紅的時期,有多家廠商開始發展出災難復原即服務(DRaaS),以VMware而言,他們旗下目前有多款解決方案,其一是VMware Site Recovery,基於SRM與vSphere Replication遠端複製技術而成,另一是VMware Cloud Disaster Recovery(VCDR),是2020年7月併購雲端原生DRaaS服務新創廠商Datrium而來,同年9月發表這套解決方案,10月正式推出。
提供隨需執行、易於使用,以及隨用量計費的彈性
在併購之初,VMware表示,Datrium的DR服務加入之後,可擴展他們既有的災難復原即服務產品線——原先的VMware Site Recovery,著重在效能最佳化,Datrium的解決方案可提供成本最佳化的另一種選擇,而且能夠基於VMware Cloud on AWS(VMC on AWS),提供完全由雲服務驅動的DR用戶體驗,並且在復原資料的處理上,可運用增量型即時產生複本、兼具套用加密、重複資料刪除等處理,以及存放在雲端儲存服務Amazon S3等方式提供資料保護。
為何VCDR能提供快速復原?VMware表示,用戶可在VMC on AWS的ESXi主機,直接掛載NFS儲存區,而不需將完整的資料從雲端儲存取出、放置在VMC on AWS;若要更快復原,用戶還可選用輕量導航(Pilot Light)部署模式,能預先建立與設置多個小型初始狀態主機。經由系統提供的工作流程指引,用戶可使用穩定狀態的遠端複製功能,也可以測試故障狀況發生之後的復原作業。
基本上,受到DR保護的虛擬機器,都會處於原生vSphere虛擬機器格式的狀態存在,不需要受制於脆弱、耗時的虛擬機器硬碟格式轉換作業。此外,VCDR提供的虛擬機器快速啟動也是關鍵,對於勒索軟體攻擊後的復原這類應用場景很重要,因為可以藉此進行多個復原點(recovery points)的快速測試。
簡易使用也是VCDR的特色,提供軟體即服務(SaaS)型態的管理主控臺介面,簡化災難復原的操作,減輕用戶學習與管理DR軟體系統的負擔。以管理規模而言,可橫跨多個軟體定義資料中心叢集,最多能處理到1,500臺虛擬機器;而且,每隔30分鐘進行一次運作狀態正常與否的檢查,以確保DR計畫能隨時執行。對於政策與法規遵循需求的因應,VCDR也能自動產生統計報告,便於稽核。
用戶可在熟悉的VMware vCenter環境,同時管理雲端DR站點與生產環境站點(production sites),並且在容錯復原處理時,還能維持原本存取vSphere叢集、資源池、datastore、虛擬交換器、網路埠群組等元件的方式。
關於成本節約的部分,比起自行建置、管理、維護第二座資料資料中心,作為災難復原之用,VCDR能夠善用雲端服務的特性,提供總體持有成本較低的解決方案。以運作方式而言,它是設置在VMC on AWS的雲端基礎架構而成,而且只在進行DR測試或發生故障事故的復原工作當中使用,企業可選用輕量導航模式,以加快復原速度,而不需支付大部分時間所衍生的運算容量費用。
在穩定運作狀態時,這項服務可運用雲端儲存空間來存放各種備份資料,例如指定數量的復原點與保存資料的排程設定。而在DR站點與生產環境站點之間,僅傳輸有差異的資料內容,而得以減少網路費用。
若要深入了解VCDR的能耐,我們必須先掌握其技術運作架構。VMware在VCDR上市之際,也特別詳列這部分資訊。基本上,VCDR根據所處的環境不同,而區分出雲端服務與內部網路等兩種類型的元件,前者包含兩個元件:一是SaaS Orchestrator,負責提供集中管理的儀表板介面、連結受保護站臺(Protected Sites)與雲端DR資源,可針對「保護群組(Protection Groups)」控管其排程運作,以便將資料安全送至雲端儲存空間,也能在此調度指揮DR的測試計畫或實際容錯處理的計畫,同時還能直接建立與管理VMC軟體定義資料中心,以簡化雲端站點管理的工作。
另一是雲端檔案系統Scale-out Cloud File System(SCFS),能存放虛擬機器多個即時資料複本(point-in-time copies),可透過線上掛載這些複本到軟體定義資料中心的作法,進行快速復原。
值得注意的是,SCFS如同其他檔案系統,會需要用到中繼資料(指標)來記住資料儲存的區塊位置,但VCDR用了基於內容而成的密碼學雜湊(crypto-hashes)作為資料區塊的指標,而這樣的內容加密雜湊是難以被竄改的/不可變(immutable),因為每個備份都代表一串加密雜湊,而其根源也是加密雜湊,如此一來,也使得備份資料也連帶具備不可變的特性。在此同時,這些備份資料是隱藏且不能直接存取,因為用於復原作業時,SCFS會將需要的備份資料複製(clone)到一個新的物件當中,確保原本的備份副本不會被碰觸到,而且無論備份數量多寡或資料大小,這些複製作業都會同時進行。由於具備上述特性,VMware後續也特別強調VCDR能用於勒索軟體攻擊的資料復原。
至於內部網路環境的部分,則有DRaaS Connector,可簡易部署OVA格式的虛擬應用設備封裝檔案,當中提供基本的vSphere快照遠端複製與異動資料區塊追蹤(CBT)功能,能將此處設置的虛擬機器資料傳至Scale-out Cloud File System,以便用於後續的DR。
除了上述三個元件,VCDR也定義出三大管理對象,分別是:受保護站臺、保護群組、DR計畫。
受保護站臺是指部署DRaaS Connector虛擬應用設備的內部vCenter環境,可透過連接器搭上位於VMware Cloud的VCDR執行個體,而能在DR端啟動受保護的虛擬機器,以及雲端檔案儲存系統;保護群組可提供基於政策而成的定義,以決定所要保護的虛擬機器對象、保護時機(快照產生頻率)、復原點保存時間長短,而這些資訊都會放在雲端環境,以因應短期DR(復原點時間4小時)或長期DR(數日、數週或是數月)使用。
DR計畫可提供站臺對站臺的備援計畫,對於需啟動這類保護的虛擬機器,能擷取細部組織層級的細節,像是事件的順序、IP位址變更等特殊處理,完成設定之後,DR狀態檢查每隔30分鐘會執行一次。若DR計畫執行,無論是為了測試,或實際發生故障而在DR端復原(failover),或因出現故障而在生產環境端還原(failback),均能依照DR計畫設置而自動產生稽核報告,以便符合公司內部政策或法規遵循要求。
持續擴充更多應用場景,針對勒索軟體攻擊所造成的破壞復原處理,成為近期主打特色
隔年3月,VCDR增添新功能,可支援VMC on AWS不同區域資料中心之間的災難復原(Cloud-to-Cloud DR或Inter-region DR),以及多個執行個體服務(Multi-instance)的VCDR部署;10月VMware開放可透過代管服務商(MSP)購買VCDR,用戶可透過雲端合作夥伴導覽(Cloud Partner Navigator)的管道註冊,進而存取服務。
到了2022年8月底舉行的VMware Explore年度用戶大會,他們發表VMware Ransomware Recovery for VMware Cloud DR,希望提供專屬的勒索軟體復原即服務解決方案,提供可安全進行復原作業、預防IT與業務應用系統工作負載再度感染勒索軟體的環境。
這當中運用設置在VMC on AWS的隔離復原環境(Isolated Recovery Environment,IRE),也提供復原工作流程的指引,能協助用戶快速識別可能會用到的復原點,同時,也會運用內嵌的行為分析技術驗證既有的還原點(restore points),之後再以此進行修復。同年10月,這套架設在VMC on AWS、附屬於VCDR的解決方案,也宣告正式推出。
在2023這一年,VCDR持續擴充多種功能,例如,可在Cloud Filesystem之上,執行復原的虛擬機器(recovered VMs)——先前只能仰賴Cloud Filesystem的磁碟,快速啟動位於災難復原端軟體定義資料中心(DR SDDC)的復原虛擬機器,現在復原的虛擬機器能以這種方式,持續在災難復原端軟體定義資料中心運作,無需進行儲存系統的線上遷移storage vMotion,資料不需從DR SDDC、Cloud Filesystem傳送過去,從而加快回復正常狀態的速度,在Cloud Filesystem執行的虛擬機器可獲得高可用性(HA)的保護,而且因為可做到更短暫的復原點目標(RPO)而受惠。
另一項新特色則是與勒索軟體復原有關,在單一相關計畫的設定上,最多可囊括500臺虛擬機器,每次最多可同時進行50臺虛擬機器的自動復原,可大幅縮減復原所需時間、善用IT資源,在這樣的大量虛擬機器處理程序當中,可根據既有的勒索軟體復原處理流程去執行多種工作,例如,能夠橫跨不同的身分識別,並針對多個復原點進行驗證與回復的作業,以及執行線上的行為分析、從遭滲透的快照備份中清理潛藏的勒索軟體,從而發出資安警訊。
產品資訊
VMware Cloud Disaster Recovery
●原廠:VMware
●建議售價:亞太地區隨選訂閱每臺虛擬機器每小時為0.0437美元,1年訂閱每臺虛擬機器316美元
●架構組成元件:Scale-out Cloud File System、SaaS Orchestrator、DRaaS Connector、Protection groups、Recovery plan
●保護對象:內部網路執行的vSphere工作負載、VMware Cloud on AWS SDDC的vSphere工作負載
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】
熱門新聞
2024-12-08
2024-12-08
2024-11-29