Generell informasjon

for backupsystemet UH-BaaS

USIT er ikke en kommersiell aktør i markedet, og tilbyr backuptjenester kun til organisasjoner i UH-Sektor og organisasjoner tilknyttet UH-Sektor.

System oppsett

Bildet kan inneholde: tekst, produkt, linje, diagram, parallell.

Supported identity providers

Supported Cloud services

Supported Cloud Storage Products

 

Kommunikasjon

Grunnleggende (SRC Basic):

Backup kommunikasjon går i det grunnleggende oppsettet direkte fra kundens backup agenter, gjennom USIT sine backup proxyer, og deretter inn i det sentrale backupsystemet. Dette oppsettet gir mulighet for backup av laptop/arbeidsstasjoner og servere.

I dette oppsettet er det kun software agenter som må installeres hos kunden, og det er veldig raskt og enkelt å komme i gang.

Bildet kan inneholde: linje, teknologi.

Backupdata i UH-BaaS lagres på datasystemer som er plassert i USIT sine datahaller i Norge.

Utvidet (SRC Advanced):

Dette oppsettet er ett tillegg til det grunnleggende oppsettet, men som tillegg kommer konfigurasjon for ulike database typer. Det er fremdeles kun snakk om software komponenter, men det er noe mer konfigurasjon basert på nødvendig oppsett for forskjellige typer av databaser. Installasjon av Commvault software for ulike database typer kan gjøres som push install påbygg til standard filsystem agent.

Properties for MSQL og Oracle databaser:

Virtuell:

Dette oppsettet består av tre Commvault komponenter for å håndtere backup og restore av virtuelle maskiner. Komponentene som må på plass for backup, og restore av virtuelle maskiner er en psudo VMware vcenter klient (VCSA) i Commvault systemet som styrer kommunikasjonen mellom VM clusteret og Virtuell Server Agent (VSA). VSA installasjonene er Windows baserte virtuelle maskiner, og kan benyttes også for å gjøre restore av enkeltfiler fra backup av virtuelle Windows gjestemaskiner.

Det må defineres 1 VCSA pr virtuelt cluster.

Man må ha minimum 1 VSA pr virtuellt cluster, men vi anbefaler minst 2 VSA (for lastbalansering og redundanse. I store VMware miljøer anbefaler vi ytterligere 2 VSA pr 2000 gjestemaskiner.

Under konfigurasjon må VSA installeres før man oppretter VCSA.

Oppsett av VSA

Dersom man skal gjøre restore av enkeltfiler fra virtuelle Linux gjestemaskiner må man i tillegg ha på plass en File Recovery Enabler (FRE).

Man må ha minimum 1 FRE pr. organisasjon dersom man har behov for å kunne gjøre restore av enkeltfiler fra virtuelle Linux gjestemaskiner.

Etablering av Commvault File Recovery Enabler (OVA)

Cloud

Dette oppsettet er mer avansert på grunn av de mange forskjellige mulighetene som finnes for skybaserte tjenester. Felles for alle skybaserte tjenester er at det må installeres minst 1 Cloud Application Proxy (CAP).

I store miljøer anbefaler vi ytterligere 1 CAP pr 5000 named users som det skal tas backup av.

Maskinene som kjører CAP er Windows baserte virtuelle maskiner. CAP maskinene kommuniserer med MediaAgentene og plasseres som regel i det virtuelle miljøet til USIT, men CAP maskinene kan også plasseres i Kundens miljø. Restore av data ved bruk av CAP gjøres som regel sky-til-sky.

Skybaserte tjenester trenger brukertilgang med lese (backup) og skrive (restore) tilgang til skytjenesten. For å øke performance på backup/restore kan det være aktuelt å benytte flere skykontoer for å kunne parallelisere backupene. Vi anbefaler ytterligere 1 skykonto pr. 500 brukere det skal tas backup av opp til 2500 brukere, og deretter ytterligere 1 skykonto pr 1000 brukere.

Bildet kan inneholde: linje.

Backup agenter

Commvault backup agenter er bygget opp med ett byggestensprinsipp der Filesystem Core er det grunnleggende. Filesystem Core er tilgjengelig for de aller fleste operatisystem. Når backupagenten for Filesystem Core er installert er det denne komponenten som håndterer kommunikasjonen og autorisasjon til de sentrale enhetene i Commvault.

Bildet kan inneholde: tekst, produkt, font, linje.

Når Filesystem Core komponenten er installert kan man utføre påbygg av agenten. Påbygg av agenten kan gjøres enten under installasjonen der man installerer en pakke bestående av Filesystem Core sammen med andre komponenter. (F.eks Filesystem Core sammen med Filesystem, og MSSQL database agent.) Eller man kan legge til komponenter senere direkte fra backupsystemet ( push-install ).

Eksempelvis kan man tenke seg at man har en installasjon med Filesystem Core, Filesystem og MSSQL agent, men ønsker i tillegg å ta backup av Oracle databaser på samme maskin. I ett slikt tilfelle kan man gjøre en push-install av Oracle backup komponenten direkte fra backupsystemet.

Oppgradering og patching av installerte backupagenter gjøres som push-upgrade fra backupsystemet sentralt.

 

Skedulering av backup

Backup intervallene i UH-BaaS er satt opp i henhold til backup planer. Planene er satt for å spesifisere hvor lenge backupen skal lagres, hvilke intervaller backupen skal kjøres, hvor backup data skal lagres og hvilken RPO som skal gjelde for backupene.  

Som standard er det satt 8 timers RPO for all backup i UH-BaaS. Backupene kjøres stort sett med ett intervall på 24 timer. Slik at for å kunne opprettholde 8 timers RPO er det i tillegg til backup kjøreingene angitt ett antall snapshots i løpet av hvert døgn.

Bildet kan inneholde: tekst, grønn, linje, diagram, parallell.

Pris for backuptjenesten

Prisene for backuptjenestene beregnes ut fra kundens lisensforbruk, front-end størrelse, og hvor lang retentiontid som ønskes for backupen.

Det er definert servicenivåer for å etablere standard er for tjenesten. En kunde kan benytte flere servicenivå.

Service levels

Prisene er etablert pr servicenivå, men de er foreløpig ikke vedtatt og kan derfor ikke vises her.

Etablering av ny kunde i UH-BaaS

Konfigurasjon med FEIDE

Når det er inngått en avtale om å etablere backup gjennom UH-BaaS, og det skal benyttes autorisasjon gjennom FEIDE må følgende utføres:

USIT:

USIT IT må kontakte lokal FEIDE  administrator på USIT og åpne for at kunden kan benytte UH-BaaS tjenesten.

Kundens organisasjon må opprettes i Commvault

  • Company name = organisasjonens norske lovlige navn
  • Company alias settes til kundens Brønneøsyundregister organisasjonsnummer slik det fremkommer i FEIDE som eduPersonOrgDN:norEduOrgNIN
  • Identity server FEIDE endres slik at Associated SMTP inkludeder mail domain som skal videresendes for autorisasjon i FEIDE

Kunde:

Kundens lokale FEIDE administrator må akseptere UH-BaaS som tjeneste.

 

Konfigurasjon med Azure AD

Når det er inngått en avtale om å etablere backup gjennom UH-BaaS, og det skal benyttes autorisasjon gjennom Azure AD må følgende utføres:

Commvault dokumentasjon, Azure som identity provider

Kunde:

IT organisasjon hos kunde må følge prosedyren som er beskrevet av Commvault punkt 1. a) - g). og sender Federated Metadata XML til backup-core@usit.uio.no

USIT:

USIT etablerer kunden i UH-BaaS ved å følge Commvault dokumentasjon punkt 2. a) - c) og sender SP Metadata XML fil til kunde sammen med Single sign-on url til kunde.

USIT gjør attribute mapping

  • user.userprincipalname  = user name
  • user.mail = Email

Kunde:

IT organisasjon hos kunde følger prosedyren punkt 3. a) - d)

Nødvendig nettverksoppsett fra kunde

Backupløsningen benytter proxy servere for kommunikasjon mellom kundens nettverk og backup systemet. Det er ingen begrensninger i USIT nettverksoppsett på hvor trafikken skal komme fra eller gå til annet enn at det er sperret for alt annet enn TCP port 8403. Løsningen er tilgjengelig fra hele verden.

Trafikken vil gå gjennom en TCP tunell som initieres fra klienten hos kunden.

Trafikken initieres på høy port på klienten mot TCP port 8403 på våre backup proxy servere.

Proxy serverne vil svare fra TCP port 8403 og til den høye TCP porten som klienten initierte trafikken med.

En firewall hos kunde må tillate at trafikk går ut fra deres nettverk til proxy serverne mot TCP port 8403, og firewallen må tillate at proxyene svarer med ESTABLISHED connection fra TCP port 8403 mot kundens klientmaskin.

Bildet kan inneholde: tekst, linje, parallell, diagram.

Viktig: Dersom det er en firewall som gjør avansert traffic pattern analyse f.eks IPS eller Application control, og ikke kun en port firewall kan det være ytterligere krav som  må tilfredsstilles på Kundens firewall systemer for å slippe trafikk gjennom firewallen.

Publisert 9. okt. 2020 09:16 - Sist endret 29. okt. 2020 10:31