Veeam Backup O365 – Offre VCSP à emporter !

Bonjour à tous !

Dans cette 3ème partie nous allons voir en détail comment créer une offre « VBO as a Service » depuis zéro. Quels sont les outils de sizing ? Comment faire du multi-tenant ? Le reporting ? Quels sont les pièges à éviter ?

Si vous avez raté les parties 1 et 2, elles sont disponibles ici :

Part 1 : Pourquoi la sauvegarde d’Office 365 est essentielle
Part 2 : Veeam Backup O365 – Dimensionnement de votre plateforme VCSP

Dimensionnement du repository

Le repository Veeam Backup for O365 n’est pas du tout pareil qu’un repository Backup & Replication. En effet, VBO stocke des objets en mode versioning avec une durée de vie en fonction de la rétention. Il n’y a pas de sauvegarde complète et incrémentale, c’est plus proche d’un « forever incremental » de sauvegarde d’objets. Je détaille son fonctionnement et la configuration dans la partie précédente.

Pour commencer le dimensionnement du repository il faut :

• Connaitre les services qui sont à sauvegarder (Exchange / Sharepoint / OneDrive)
• Récupérer les informations du tenant : Volumétrie par service et nombre de users
• Connaitre la rétention voulue par le client par service

Récupération des informations du tenant

Sur l’admin center d’Office 365, vous avez la possibilité d’extraire les volumétries et leur croissance depuis 6 mois. Cela permet d’avoir les résultats les plus précis possibles pour le dimensionnement. Récupérez la taille initiale puis la taille actuelle afin de connaitre la croissance du tenant et cela pour tous les services à sauvegarder.

Calcul de la volumétrie nécessaire

Update 2021 : Il y a un nouveau calculateur directement sur le site de Veeam : https://calculator.veeam.com/vbo/ qui prend directement en charge les différents call API et compression sur le stockage objet

Et sinon comme souvent chez Veeam, il y a un sizer créé par la communauté pour vous aider : https://domalab.com/365Calc/

Allez dans l’onglet « Try 365Calc » puis « Repository Sizing » sélectionner « version 3 »

Le stockage affiché dans l’exemple indique 2.45 To nécessaire pour le repository disque !

Si vous avez du stockage objet, vous pouvez rajouter de la compression avec des abaques ici : https://bp.veeam.com/vbo/guide/design/sizing/objectstorage.html

Comment créer une offre VBO as a Service et gérer le multi-tenant ?

Il y a plusieurs façons de concevoir une offre de sauvegarde pour Office 365 :

Scénario 1 : Infogérance et mutualisation

Il est tout à fait possible de mutualiser une installation VBO avec plusieurs tenants/organisations. Pour cela, je vous encourage à suivre à la lettre les recommandations de l’article précédent. De plus, il ne faut pas oublier de créer un repository par tenant afin de connaitre la consommation des volumes par tenant en cas de refacturation à l’usage.

Avantages :

• Un Veeam Backup pour Microsoft Office 365 pour les gouverner tous
  • Gestion simple des licences (rapport par organisation)
• Proxies / repo séparés possibles par locataire
• Ressources partagées (ne gaspillez pas les ressources inutilisées)
• Peut fonctionner n’importe où (sur site, Azure, AWS)

Limites :

• Le tenant n’a pas le contrôle
• Pas de capacités de libre-service intégrées
• Les locataires doivent fournir les informations d’identification de l’organisation Microsoft au fournisseur de services pour configurer les travaux (ID d’application plus sécurisé)

Evolution du scénario 1 : Self Service Portal

Niels Engelen a développé un proof of concept de portail Self Service basé sur les RESTful API de VBO. Ce portail n’est pas supporté par Veeam donc il faudra vous l’approprier et gérer les monter en version.

• Connectez-vous en tant que fournisseur de services pour accéder à l’aperçu du tableau de bord, des tâches et des licences
• En tant que client, connectez-vous à l’aide de Microsoft Org Administrator pour effectuer des opérations de restauration au niveau de l’élément en libre-service (Exchange, OneDrive, SharePoint) Conception HTML5 (utilise jQuery, Bootstrap, PHP)

Le lien d’explication et d’installation est disponible ici 

Scénario 2 : un VBO par Tenant

Scénario assez simple qui consiste à mettre en place une installation VBO par client.

Avantages :

• Instance Veeam Backup pour Microsoft Office 365 par locataire
• Pas besoin de fournir les informations d’identification de l’organisation Microsoft au fournisseur de services pour configurer les jobs
• Proxies / repo séparés possibles
• Peut s’exécuter n’importe où en fonction des besoins des tenants (sur site, Azure, AWS)
• Capacités complètes de Veeam Explorer (au travers du RDP)
• Le tenant peut avoir le contrôle total

Limites :

• Pas de gestion centralisée
• Nécessite très probablement un VPN par tenant

Evolution du scénario 2 : Central Management with MARTINI

• Solution de gestion centrale développée par Niels Engelen et Timothy Dewin
  • Déployer Veeam Backup pour les serveurs Microsoft Office 365 (utilise Terraform)
  • Déployer Veeam Backup pour Microsoft Office 365 infra (proxy / repo)
  • Vue d’ensemble par locataire / GEO
  • Licence
  • Infrastructure
  • Piloté par l’API
  • Ligne de commande disponible (pour les purs et durs)
  • Utilise Terraform en arrière-plan
  • Distribué sous licence MIT
  • Projet communautaire non officiellement soutenu

Le lien d’explication et d’installation est disponible ici 

Scénario 3 : Non recommandé – Self Service Cloud Connect

Il est possible d’installer sur la même VM VBO et VCC et d’interconnecter via VCC les VBR clients et proposer les explorer en self service…
MAIS cela nécessite :

• Un VBR chez le client
• Interco avec un VCC
• Avoir VCC et VBO installé sur la même machine

Dans ces conditions, le VBR du client peut ouvrir son explorer Exchange et parcourir les backup VBO fait chez son provider.
Les problèmes :

• Nécessite un VBR chez le client
• VCC et VBO installé sur la même machine =
  • Effet de bord de performance
  • Scalabilité limité
  • Problème de compatibilité de version. Si le client veut upgrade son VBR en Vnext mais que VBO ne peut pas être mis à jour sur le VCC
  • Si case au support, gestion par deux équipes VCC+VBO

Reporting, collecte d’usage, monitoring ?

A l’heure ou j’écris ces lignes, les rapports natifs dans VBO ne sont pas multi-tenant mais ils sont découpés en 3 rapports :

• Mailbox Protection Reports
• Storage Consumption Reports
• License Overview Reports

Ces rapports peuvent être automatisés en PowerShell sinon interrogez les données en RESTful API

Via PowerShell :

Ce script de Niels Engelen permet de générer automatiquement les rapports VBO et de les envoyer par mails. A coupler avec le scheduler windows 

https://github.com/VeeamHub/powershell/tree/master/VBO-AutomateReportGeneration

Via RESTful API :

L’intérêt des API c’est qu’elles sont disponibles à partir d’un service web et c’est pratique pour interroger de multiples serveurs VBO !

Pour tester les requêtes API et apprendre à en faire :

https://foonet.be/veeam-backup-for-microsoft-office-365-restful-api-series/

Par exemple j’ai fait ces appels API en PowerShell pour récupérer les users licenciés par organisation : VBO-GetLicenseUsage

Vous pouvez aussi interroger le RESTful API pour récupérer les volumétries par repository :

https://helpcenter.veeam.com/docs/vbo365/rest/post_reports_action.html?ver=40

J’ai mis en start time le 30 et end time 31 afin de n’avoir que la volumétrie au dernier jour du mois sinon vous aurez le détail jour par jour (ce qui peut être utile également)

                    {
                « generate »: {
                 « type »: « storageConsumption »,
                 « startTime »: « 2020.08.30 15:25:00 »,
                 « endTime »: « 2020.08.31 12:30:00 »,
                 « format »: « CSV »
                 }
               }

Vous pouvez également interroger l’API pour récupérer le volume par Org par Repo :

https://helpcenter.veeam.com/docs/vbo365/rest/get_backuprepositories_id_backeduporganizations.html?ver=40

A la main sur l’interface :

Monitoring

Pour le monitoring, vous pouvez regarder du coté de Grafana : https://grafana.com/grafana/dashboards/10349

Debug

Error (401) is caused by the following: Warning: Failed to check whether user c:0t.c|tenant|XXXXXXXXXXXXX has site collection administrator privileges on site

Selon le fil Microsoft suivant, cela peut être dû au verrouillage ou à la configuration de la collection de sites en mode lecture seule:

https://social.technet.microsoft.com/Forums/windows/en-US/1b18ba1c-7d39-4587-bb8a-4531cb2d34dc/getting-quotadditions-to-this-web-site-have-been-blockedquot-error?forum=sharepointgeneral

Processing Mailbox XX completed with warning : failed to find group owner account

Ces avertissements sont dus au fait que les groupes en question sont orphelins. Plus d’informations à ce sujet et comment y remédier:

https://support.microsoft.com/en-us/office/assign-a-new-owner-to-an-orphaned-group-86bb3db6-8857-45d1-95c8-f6d540e45732?ui=en-us&rs=en-us&ad=us 

Processing OneDrive XXXX finished with warning: Failed to backup item version: /_vti_history/3072/Documents/Documents/Fichiers Outlook/archive.pst, version: 6.0, Download request retry timeout exceeded.

Il semble que ce dernier soit causé par le logiciel de sécurité Office365 qui bloque l’accès au fichier.
Il faut essayer de le télécharger via l’interface utilisateur Web et de voir si cela donnerait un avertissement ou éventuellement une erreur (400).

Pour finir ?

Vous pouvez parfaire vos connaissances avec le Best Practice Guide de VBO : https://bp.veeam.com/vbo/

Merci et prenez soin de vous !