v13 – Deep Dive VSA

v13 – Deep Dive VSA

Commentaires 0 Commentaire

Veeam Software Appliance : tout comprendre sur cette grande nouveauté de la version 13

Aujourd’hui, je vous propose un tour d’horizon complet de la Veeam Software Appliance (VSA), une des grandes nouveautés de la version 13 de Veeam. J’ai récemment animé une session technique dense sur le sujet, et je souhaitais vous en faire profiter sous forme d’article. Accrochez-vous, c’est riche, mais promis, à la fin vous aurez une vision claire de ce qu’est la VSA, comment elle fonctionne, et pourquoi elle peut changer votre quotidien.

C’est quoi une Appliance, et pourquoi Veeam en propose une ?

Le concept d’une appliance, c’est assez simple : vous déléguez à l’éditeur — ici Veeam — toute la partie configuration, sécurité et maintenance de la plateforme. Que ce soit en physique, en virtuel ou dans le cloud, l’appliance vous permet de déployer très rapidement la fonctionnalité dont vous avez besoin. C’est répétable, prédictif, et ça va très vite.

La Veeam Software Appliance reprend tous ces avantages :

Simple à déployer : pré-configurée, vous déployez soit avec un ISO, soit avec un OVA. Tout est directement pré-packagé, vous n’avez que la configuration à réaliser.
Sécurisée par défaut : Zero Trust, patching automatique, accès restreints très forts.
Pas de vendor lock-in : on n’est pas vendeur de matériel. Vous pouvez déployer ça sur n’importe quel environnement, autant de fois que vous le souhaitez.

Avant / Après : de Windows à la Software Appliance

Traditionnellement, on déployait Veeam Backup & Replication sur Windows. Vous installiez votre console de management sur Windows, et vous aviez à votre charge l’OS et le hardware.

Avec l’arrivée de la VSA en version 13, on se retrouve avec :

– Un OS Linux baptisé « Just Enough OS » (JeOS), basé sur Rocky Linux modifié par Veeam
Veeam Backup & Replication installé sur cet OS Linux
– Une interface web pour l’administration (en plus du client lourd toujours disponible)

L’idée, c’est que tout ce qui est mise à jour — le logiciel Veeam, l’OS et la base de données — est désormais géré de manière unifiée par Veeam. Fini les galères de SQL à manager, les OS Windows tous configurés différemment, les licences Windows à prendre en compte… Avec la VSA, c’est un OS normalisé, pas de coûts de licence supplémentaires, une seule image, un seul patch.

Et rassurez-vous : les deux modes de déploiement coexistent. Si vous êtes en V12 sur Windows, vous mettez à jour en V13 et rien ne change pour vous. La version Windows n’est pas amenée à disparaître.

Un peu de terminologie pour s’y retrouver

On s’est bien amusés chez Veeam à créer plein de nouveaux acronymes, alors voici un petit lexique :

VSA (Veeam Software Appliance) : l’appliance complète pour déployer VBR avec son JeOS
VBR : quand on parle de VBR seul, c’est souvent le déploiement traditionnel sur Windows
VIA (Veeam Infrastructure Appliance) : pour déployer des rôles annexes — proxies, repositories, mount servers, etc. — sur l’appliance JeOS
VHR (Veeam Hardened Repository) : c’est le rôle que vous assignez quand vous créez une VIA dédiée au repository sécurisé

Licensing : ce qu’il faut savoir

Quelques points importants à retenir avant de se lancer :

– Il faut être en VUL (Veeam Universal License) : Foundation, Advanced ou Premium. Pas de socket, pas de Community Edition pour la VSA.
– Les fonctionnalités de clustering haute disponibilité sont réservées à l’édition Premium.
– La licence Community reste disponible sur Windows. Si vous avez un scénario de reprise d’activité, vous pouvez démarrer une VSA et faire de la restauration avec une licence trial, mais pas sauvegarder des workloads avec une Community Edition.

Et la migration depuis un environnement existant ?

Soyons transparents : pour l’instant, la migration n’est pas disponible. Quand on installe la VSA, c’est du « greenfield » — un nouveau déploiement. On peut y associer des backups existants, mais on ne peut pas migrer la configuration telle quelle.

Un outil de migration entre Windows et Linux est prévu. Vous pouvez déjà vous inscrire sur une liste d’attente. Le passage en VSA implique beaucoup de changements : nouvelle matrice de flux (plus de RPC ni WinRM, on passe sur des ports Veeam et du SSH), plus de NTLM (Kerberos uniquement)… C’est un vrai projet.

En résumé : pas de socket, pas de Community, pas de migration pour le moment.

Sous le capot : Just Enough OS

Le JeOS, c’est un Rocky Linux modifié par Veeam. On a pris une base Rocky, on l’a durcie avec tous les standards de sécurité que l’on souhaitait appliquer, et on a installé les composants nécessaires pour que ce soit plug and play.

Concrètement :

SELinux activé, firewall configuré, SSH désactivé par défaut
Pas de compte root accessible par défaut
– Deux comptes intégrés : Veeam Admin et Veeam Security Officer (non supprimables)
– Pas besoin de compétences Linux : tout se gère via l’interface web (HMC)

Un point important : l’OS n’est pas immuable. Il vit, il se met à jour. Ce sont les backups qui sont immuables, pas l’appliance elle-même.

Comment se déploie la VSA ?

Deux modes de déploiement disponibles :

OVA : uniquement pour vSphere (en 13.1, une image pour Hyper-V arrive aussi)
ISO : pour déployer où vous voulez — bare metal, Proxmox, n’importe quel hyperviseur compatible Rocky Linux

Le déploiement est assez classique : on boot sur l’ISO, on choisit d’installer VBR ou l’Enterprise Manager, on configure le réseau, le NTP, le DNS, et on passe à la partie sécurité.

Les requirements minimaux : 8 cœurs, 16 Go de RAM, 2 disques de 240 Go. Le disque 1 est réservé à VBR, le disque 2 sert de repository par défaut. Attention : on ne peut pas étendre le disque 2 sans compétences Linux pour l’instant — planifiez-le en conséquence.

Sécurité renforcée dès l’installation

L’appliance est extrêmement sécurisée, conforme aux standards DISA STIG (l’équivalent américain avec des restrictions fortes) :

Mot de passe de 14 caractères minimum avec des règles de complexité strictes
MFA obligatoire dès l’installation (et pas seulement via Google/Microsoft Authenticator — des solutions entreprise comme Bitwarden ou Vaultwarden fonctionnent très bien)
Security Officer : un second compte, fortement recommandé, qui doit approuver les changements critiques. Si vous ne l’activez pas à l’installation, vous ne pourrez pas le réactiver par la suite
– Un token de récupération (clé de secours) est généré — à mettre au coffre impérativement. Si vous perdez ce token, le mot de passe ET le MFA, personne ne pourra rien faire pour vous

La Host Management Console (HMC) : administrer sans toucher à Linux

La HMC est votre interface web pour gérer l’appliance sans aucune compétence Linux. On se connecte avec le compte Veeam Admin, login + MFA, et on a accès à tout :

Configuration réseau, NTP, DNS
Gestion des utilisateurs et des rôles (Host Administrator, Security Officer, Users, Service Accounts)
Activation/désactivation du SSH (désactivé par défaut, et c’est très bien comme ça)
Gestion des mises à jour
Export de logs, reboot, clés de registre (oui, même sur Linux, l’adage « il y a une clé de registre pour ça » persiste chez Veeam)
Restauration de configuration
Infrastructure Lockdown : un bouton validé par le Security Officer qui bloque toute modification d’architecture (plus d’ajout de proxy, de repository…). Les opérations de backup/restore continuent, mais l’infra est verrouillée
Data Collection : pour installer un agent Veeam ONE ou Service Provider Console, il faut l’approuver explicitement dans la HMC

Et si vous n’avez plus accès à la HMC ? Pas de panique : vous pouvez vous connecter en console TUI (Terminal User Interface) directement sur le serveur, avec les mêmes identifiants, et accéder à la plupart des fonctions de bris de glace.

Les mises à jour : le vrai plus de l’appliance

C’est vraiment ce qui fait la différence avec un déploiement Windows. La VSA communique avec le dépôt Veeam (repository.veeam.com en HTTPS/443) toutes les 12 heures pour vérifier les mises à jour.

– Seules les mises à jour signées sont installées
– Vous voyez dans la HMC les updates disponibles (OS, VBR, PostgreSQL)
– Tout est qualifié en amont par Veeam
– Le système vous prévient si un reboot est nécessaire

Si votre appliance n’a pas accès à Internet :
– Vous pouvez configurer un proxy HTTP
– Ou mettre en place un miroir de dépôt local (repository mirror) qui se charge de récupérer les mises à jour et les redistribuer en interne
– En 13.1, l’Enterprise Manager peut devenir un miroir automatiquement

La VSA gère aussi les mises à jour de toutes vos VIA (Infrastructure Appliances) déployées : proxies, repositories, etc. Vous avez une visibilité globale sur l’ensemble de votre parc depuis une seule interface.

Haute disponibilité : le cluster VSA

Disponible uniquement en édition Premium, le cluster VSA fonctionne en mode actif/passif avec deux nœuds :

– Réplication asynchrone de la base PostgreSQL via Patroni
– Failover manuel ou automatique (avec un quorum Veeam ONE pour l’automatique)
– Deux IP séparées + une VIP de cluster
– Pour l’instant, c’est sur Layer 2 uniquement (Layer 3 prévu en 13.1)
– Le failover est disruptif : il coupe les services le temps de la bascule et de la resynchronisation. Le non-disruptive update via le cluster est prévu mais pas encore disponible

En cas de failover, le nœud secondaire est promu, la VIP bascule, et quand le nœud primaire revient, il se repositionne automatiquement en secondaire et resynchronise les données.

Interface web et client lourd : la transition en douceur

Si vous avez vécu la transition vSphere du client lourd vers le client web chez VMware, on fait la même chose — en espérant plus rapidement et sans Java ! Les deux interfaces coexistent :

– La web UI s’enrichit progressivement (dashboards VBR et V1, support VMware et Hyper-V, puis Nutanix, NAS, Proxmox…)
– Le client lourd reste nécessaire pour certaines tâches d’administration
– Normalement, d’ici la fin de l’année, on devrait avoir presque tout dans la web UI
– Petit bonus : le dark mode est disponible sur les deux interfaces !

Authentification : un sujet dense mais essentiel

L’arrivée de la VSA sous Linux change la donne en matière d’authentification :

Plus de NTLM : sur une VSA, c’est Kerberos uniquement
Authentification locale via les comptes créés dans la HMC
– Possibilité de joindre un domaine Active Directory
SAML natif dans VBR v13 pour du SSO avec Entra ID, Okta, etc.
Custom Roles en v13 (client lourd) et v13.1 (client web) : vous créez des rôles sur mesure avec un scope très granulaire

Pour les machines Windows en workgroup (sans Kerberos), Veeam propose le Deployment Kit : un package que vous installez sur le serveur cible, qui met en place un système d’authentification par certificat. Plus besoin de login/password, de NTLM ou de Kerberos. C’est aussi la réponse à la fin annoncée de NTLM par Microsoft avec Windows Server 2025.

Les Infrastructure Appliances (VIA) : tout en Linux

Depuis la v13, 100% des composants Veeam sont disponibles sur Linux :

– Mount Server, Guest Interaction Proxy, Log Shipping, Gateways (StoreOnce, Data Domain…), WAN Accelerator, Tape…
– Tout fonctionne en authentification par certificat (certificate-based)
– Vous pouvez parfaitement utiliser des VIA Linux tout en gardant votre VBR v13 sur Windows : c’est une excellente façon de se faire la main avant une migration complète

Le Hardened Repository se déploie maintenant via une VIA, avec un processus de certification par PIN très intuitif et sécurisé.

Automatisation du déploiement

Pour ceux qui doivent déployer plusieurs appliances, il existe un mode auto-deploy. Le principe :

– On prend l’ISO VSA ou VIA
– On préconfigure tout dans un fichier (login, password, MFA, NTP, IP…)
– L’outil modifie le fichier kickstart, recrée un ISO personnalisé
– On boot dessus et l’installation est entièrement automatique, sans aucune interaction utilisateur

J’ai mis en place un projet GitHub avec des scripts et des vidéos YouTube pour vous accompagner pas à pas. Les liens sont disponibles dans les ressources associées à cet article.

Ce qui arrive avec la version 13.1 (été 2025)

La 13.1 est en bêta et apporte son lot de nouveautés très attendues :

Monitoring des ressources : Node Exporter et Syslog directement depuis l’appliance
MFA différé : possibilité de configurer le MFA à la première connexion HMC plutôt qu’en console
Création d’utilisateurs simplifiée : depuis la HMC, on crée un compte et on lui assigne directement un rôle VBR
Montage iSCSI sur les Infrastructure Appliances
Enterprise Manager comme miroir de dépôt automatique
Image OVA pour Hyper-V
Cluster Layer 3
Support SAN et Fibre Channel
FIPS compliance pour la VSA

Côté fonctionnel VBR :
Amélioration du backup NAS (GFS weekly/monthly, détection malware)
Application Backup Repository : un repo NFS pour sauvegarder les configurations de firewalls, d’appliances, de bases non supportées nativement
Restauration complète d’une forêt Active Directory automatisée
Backup Proxmox LXC via Proxmox Backup Server
– Extensions des détections de menaces (Veeam Threat Hunter)
– Plus de couverture applicative (DB2, Epic, Oracle incremental merge…)

Ce qu’il faut retenir

– C’est le même code que la v13 Windows, qui tourne sur un Rocky Linux durci par Veeam
MFA + Security Officer + Four Eyes + Infrastructure Lockdown = une posture Zero Trust solide
Mises à jour automatiques et unifiées (OS + VBR + PostgreSQL)
Haute disponibilité en cluster actif/passif (Premium)
– La web UI n’est pas encore en parité avec le client lourd, mais ça avance vite
Pas de migration automatique depuis un VBR Windows pour le moment
Le disque 2 ne peut pas être étendu sans compétences Linux (corrigé dans une future version)

Mes recommandations

Si vous êtes déjà client Veeam sur Windows :
Restez sur votre VBR Windows pour vos environnements existants
Déployez des VSA en greenfield sur vos nouveaux projets pour vous faire la main
Testez des VIA Linux (proxies, hardened repositories) en parallèle de votre infrastructure Windows
Anticipez la fin de NTLM et familiarisez-vous avec le Deployment Kit

La Veeam Software Appliance, c’est une vraie évolution dans la façon de déployer et maintenir Veeam. Ça demande un peu d’adaptation, mais les bénéfices en termes de sécurité, de simplicité de maintenance et d’industrialisation sont considérables. J’espère que cet article vous aura éclairé sur le sujet, et n’hésitez pas à me poser vos questions en commentaire !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.