Contexte et besoins
Dans le cadre de mon alternance, le lab interne héberge plusieurs VM critiques sur l’hyperviseur VMware ESXi (contrôleur de domaine, serveur applicatif, hôte Docker, etc.). Sans plan de sauvegarde formel, une corruption de disque ou une fausse manipulation et tout est perdu. Il est temps de mettre en place une vraie sauvegarde, structurée, testée et conforme à la règle 3-2-1 : 3 copies des données, sur 2 supports différents, dont 1 hors site.
L’objectif tient en quatre points : installer Veeam Backup & Replication 12.3 Community Edition (gratuit jusqu’à 10 instances), raccorder l’inventaire ESXi comme source, enregistrer le NAS Synology du lab comme dépôt SMB, et créer un job hebdomadaire sur les VM critiques avec un test de restauration documenté.
Rappel théorique sur Veeam et la règle 3-2-1
Ce que fait Veeam
Veeam Backup & Replication sauvegarde les VM en mode image : chaque VM est sauvegardée comme un objet complet (disques + métadonnées), pas fichier par fichier. Trois avantages clés :
- restauration au niveau VM entière, fichier dans la VM, ou élément applicatif (objet AD, mailbox Exchange, table SQL) ;
- déduplication intra-job et compression : la deuxième sauvegarde d’une VM Windows pèse une fraction de la première ;
- points de restauration multiples, gérés par une politique de rétention.
Architecture Veeam
| Composant | Rôle |
|---|---|
| Backup Server | Cerveau : orchestration, base SQL, console MMC. Sur Windows Server. |
| Proxy | Lit les disques des VM source. Sur le Backup Server lui-même pour un petit déploiement. |
| Repository | Stocke les fichiers de sauvegarde (.vbk, .vib). NAS, SAN, disque local. |
| Console | Interface MMC pour piloter l’ensemble. |
Pour VMware, Veeam s’appuie sur les API VMware vStorage (VADP) déjà intégrées dans ESXi. Pas de proxy spécifique à déployer côté hyperviseur : le Backup Server fait office de proxy par défaut.
Règle 3-2-1
C’est le standard de fait en sauvegarde :
- 3 copies des données (production + 2 sauvegardes) ;
- 2 supports différents (par exemple disque local + NAS) ;
- 1 copie hors site (cloud, NAS distant, disque externe rangé ailleurs).
Cette règle protège des trois scénarios courants : corruption logique, panne matérielle, sinistre physique (incendie, vol, ransomware).
Topologie
| Équipement | Rôle | Adresse |
|---|---|---|
VM VEEAM-SRV (Windows Server 2022) | Backup Server + Console + Proxy | 192.168.10.235/24 |
| Hôte VMware ESXi | Source des VM à sauvegarder | 192.168.10.240/24 |
| NAS Synology DS923+ | Dépôt principal SMB | 192.168.10.253/24 |
| Disque externe USB | Copie hors site (rotation hebdomadaire) | — |
Prérequis
- VM Windows Server 2022, 4 vCPU, 8 Go RAM, 40 Go disque. C’est le minimum pour Veeam B&R 12.
- Un compte de service Windows local pour Veeam (
VEEAM-SRV\svc-veeam). - Un partage SMB sur le NAS Synology, dédié aux sauvegardes (
\\192.168.10.253\veeam-repo), avec un compte applicatifveeamuser. - Connectivité réseau de la VM
VEEAM-SRVvers le NAS et vers l’hôte ESXi.
Important
Veeam Backup & Replication Community Edition est gratuite jusqu’à 10 instances (VM ou postes). C’est largement suffisant pour le lab. Au-delà, il faut une licence payante.
Installation de Veeam Backup & Replication
Téléchargement
Sur la VM VEEAM-SRV, j’ouvre le portail Veeam et je crée un compte gratuit. Je télécharge l’ISO 12.3 (≈ 8 Go) et je le monte sur la VM.
Installation guidée
1. Setup → Install Veeam Backup & Replication
2. Acceptation EULA + License agreement
3. Sélection du composant "Veeam Backup & Replication Server"
4. Vérification des prérequis (.NET, redistribuables Visual C++…)
→ installation automatique de ce qui manque
5. Compte de service : LOCAL SYSTEM (par défaut)
→ en production, dédier un compte de service domaine
6. Base de données : SQL Server Express LocalDB (par défaut)
→ suffisant pour < 50 VM
7. Catalog folder : C:\VBRCatalog (par défaut)
8. InstallationL’installeur prend ~20 minutes. À la fin, la console Veeam Backup & Replication Console est disponible dans le menu démarrer.
Premier login
Console → Connect to → localhost:9392
Username : VEEAM-SRV\Administrateur
Password : (mot de passe local)La fenêtre principale s’ouvre. Je vois cinq onglets dans la barre de gauche : Home, Inventory, Backup Infrastructure, Storage Infrastructure, History.
Configuration du dépôt sur le NAS Synology
Préparation côté Synology
Sur DSM :
Control Panel → Shared Folder → Create
Name : veeam-repo
Volume : Volume 1 (Btrfs chiffré)
Description : Veeam Backup repository
Control Panel → User → Create
Username : veeamuser
Password : (passphrase 16+ caractères)
Membership : aucun groupe par défaut
Permissions : RW sur veeam-repo, denied ailleursBonne pratique : ce compte n’a accès qu’au partage veeam-repo. S’il est compromis, le reste du NAS reste isolé.
Ajout du dépôt dans Veeam
Backup Infrastructure → Backup Repositories → Add Repository
Type : Shared folder
Name : SYNOLOGY-DS923-VEEAM
Path : \\192.168.10.253\veeam-repo
Account : veeamuser
Password : ********
Limit : 4 concurrent tasksExplications ligne par ligne :
Type: Shared folder: Veeam parle SMB nativement. Pas besoin d’agent côté Synology.Limit: 4 concurrent tasks: au-delà, le lien Gigabit sature. Veeam met les jobs supplémentaires en file d’attente.- Veeam teste la connexion, mesure les performances I/O et l’espace libre sur le partage : c’est ce qui figurera ensuite dans la planification de capacité.
Astuce
Le partage doit être dédié à Veeam. Mélanger les sauvegardes Veeam avec d’autres flux SMB (Hyper Backup, partages utilisateur) crée des conflits de verrous et dégrade les performances.
Raccordement de l’hôte ESXi
Ajout de l’hôte dans l’inventaire Veeam
Inventory → Virtual Infrastructure → Add Server → VMware vSphere → vSphere
Host : 192.168.10.240
Description : ESXi du lab interne
Credentials : root (et son mot de passe)
SSL certificate prompt : accepter (auto-signé sur ce lab)Explications ligne par ligne :
Add Server → VMware vSphere → vSphere: Veeam couvre vSphere (vCenter ou ESXi standalone). Sur ce lab nous n’avons pas de vCenter, donc on raccorde l’hôte ESXi directement.Credentials: root: compte d’admin de l’hôte ESXi. Sur une infra plus mature, on créerait un compte de service avec uniquement les rôles requis par Veeam (cf. doc Veeam Required permissions for vSphere).SSL certificate prompt: ESXi génère un certificat auto-signé par défaut. Veeam l’enregistre une fois et fait confiance pour les connexions suivantes.
Veeam scanne l’inventaire ESXi : VMs, datastores, réseaux, snapshots existants. Tout apparaît sous l’icône vSphere dans l’arbre Inventory.
Création d’un job de sauvegarde
Home → Backup Job → Virtual Machine
Name : VEEAM-CRITICAL-WEEKLY
Description : Sauvegarde hebdo des VM critiques du lab
Virtual Machines (Add) :
- DC01 (contrôleur de domaine)
- SRV-FILES (serveur de fichiers)
- VAULT (gestionnaire de mots de passe)
- DOCKER-MICROSERVICES
Storage :
Backup proxy : VEEAM-SRV (Backup Server agit comme proxy)
Backup repo : SYNOLOGY-DS923-VEEAM
Retention : 14 restore points (≈ 14 semaines)
Guest processing :
Application-aware processing : enabled (pour DC01 → quiesce VSS)
Guest credentials : LAB\Administrator
Schedule :
Run automatically
Daily at 02:00 the following days : Sunday
Retry failed VMs : 3 attempts every 10 minutesExplications ligne par ligne :
Backup proxy: VEEAM-SRV: pour un déploiement à un seul serveur, Veeam Backup Server fait lui-même office de proxy. Dans une infra plus large, on isole un proxy par segment.Retention: 14 restore points: 14 sauvegardes hebdomadaires, soit ~3 mois de couverture. Au-delà, c’est trop de stockage pour le NAS.Application-aware processing: Veeam appelle un agent dans la VM Windows pour faire un VSS quiesce avant snapshot ESXi. Indispensable pour AD : sans ça, on risque une base AD incohérente après restauration.Schedule: Sunday 02:00: heure creuse, dimanche, pour ne pas concurrencer les sauvegardes incrémentales potentielles en semaine.Retry failed VMs: Veeam relance automatiquement une VM dont la sauvegarde a échoué. Évite d’avoir à intervenir manuellement le lundi matin.
Premier run
Click droit sur le job → Start. Veeam orchestre :
- Snapshot ESXi sur chaque VM (via VADP).
- Lecture des blocs modifiés depuis le snapshot.
- Compression et déduplication dans le pipeline du Backup Server.
- Écriture sur le dépôt SMB sur le NAS Synology.
- Suppression du snapshot ESXi une fois le transfert terminé.
Pour mes 4 VM, le premier run full prend ~45 minutes (≈ 80 Go bruts → 35 Go compressés sur le NAS). Les runs suivants sont incrémentaux et beaucoup plus courts (10-15 minutes).
Indicateurs
Bottleneck : Network (saturation Gigabit côté NAS, attendu)
Read : 79.4 GB
Transferred : 35.2 GB (44% du brut, déduplication + compression)
Duration : 0:43:18
Status : SuccessTest de restauration
La sauvegarde n’existe que si la restauration fonctionne. Je teste immédiatement.
Restauration au niveau fichier
Home → Restore → Files (Microsoft Windows) → DC01
Restore point : dernier disponible
Veeam monte le disque virtuel → ouvre l'explorateur
Je récupère un fichier de test depuis C:\Users\Public\test.txtLe fichier est lisible, daté du dernier dimanche. La restauration au niveau fichier est extrêmement utile pour récupérer un fichier supprimé sans remonter toute la VM.
Restauration de la VM dans un réseau isolé
Home → Restore → Entire VM → DC01
Restore mode : Restore to a new location
Target host : ESXi du lab
VM name : DC01-RESTORE-TEST
Datastore : datastore-local
Network : isolé (vSwitch de test)
Power on after restoration : ouiJe restaure dans un réseau isolé pour ne pas créer de conflit avec le DC en production. Une fois la VM démarrée, je vérifie les services Windows (KDC, DNS, ADWS), je consulte les eventlogs. Tout est conforme. Je supprime ensuite la VM de test.
Stratégie 3-2-1
Avec ce job seul, je couvre 1 copie hors production sur 1 support. Pour atteindre la règle 3-2-1 :
| Niveau | Action | Fréquence |
|---|---|---|
| Copie 1 | VM en production sur ESXi | continue |
| Copie 2 | Sauvegarde Veeam → NAS Synology (Btrfs chiffré) | hebdomadaire |
| Copie 3 hors site | Backup Copy Job → disque USB externe en rotation | hebdomadaire |
Le Backup Copy Job est une fonctionnalité Veeam qui copie les backups d’un dépôt vers un autre. Je le programme le lundi matin : il copie le dernier point hebdo du NAS vers le disque USB, que je débranche et range hors de la pièce serveur (alternance de 2 disques pour ne jamais être sans copie hors site).
Prudence
Une copie « hors site » qui reste branchée à côté du NAS n’est pas hors site. Le but est de protéger d’un sinistre matériel ou logiciel local (incendie, ransomware qui chiffre tout ce qu’il voit). Le disque doit physiquement quitter la pièce.
Vérifications
Statut côté Veeam
History → Last 24 hours
VEEAM-CRITICAL-WEEKLY : Success 35.2 GB transferred 43m18sAucune entrée en Warning ou Error.
Espace côté NAS
# En SSH sur le Synology
ssh veeamuser@192.168.10.253
cd /volume1/veeam-repo
du -sh .
# 35G .Cohérent avec ce que Veeam a transféré.
Notifications email
Dans General Options → E-mail Settings, je configure le SMTP interne du lab et un compte d’envoi. Je coche Send daily report pour recevoir un récap quotidien des jobs. Sans alerte, un échec passe inaperçu jusqu’à la prochaine restauration.
Problèmes rencontrés et solutions
| Symptôme | Cause | Correction |
|---|---|---|
| Veeam refuse l’ajout de l’hôte ESXi | Mauvais mot de passe ou fingerprint TLS rejeté | Re-saisir les credentials, accepter le certificat auto-signé au prompt |
| Le dépôt SMB répond Access denied | Compte veeamuser mal configuré, ou Synology refuse SMBv1 | Vérifier les permissions du partage, forcer SMBv3 côté Veeam |
| La VM AD est sauvegardée mais incohérente après restauration | Application-aware processing désactivé | Le réactiver, fournir des credentials Domain Admin pour le quiesce VSS |
| Le job tourne mais saturation 100 % du CPU NAS | Trop de tasks concurrents pour le DS923+ | Ramener à Limit concurrent tasks: 2 dans le dépôt |
| Backup Copy Job échoue sur le disque USB | Disque démonté entre deux runs | Configurer Veeam pour ne pas considérer comme erreur si le dépôt est offline (option rotated drives) |
Compétences du bloc 1 mobilisées
| Compétence officielle | Mobilisation concrète |
|---|---|
| Vérifier les conditions de la continuité d’un service informatique | Mise en place d’un job hebdo couvrant les VM critiques + test de restauration documenté. |
| Gérer les sauvegardes | Stratégie 3-2-1 (production + NAS + disque externe), rétention 14 points. |
| Installer et configurer des éléments d’infrastructure | Installation Veeam B&R 12.3 sur Windows Server, raccordement ESXi, dépôt SMB Synology. |
| Mettre en place et vérifier les niveaux d’habilitation associés à un service | Compte applicatif dédié veeamuser sur le NAS, application-aware processing avec credentials Domain Admin. |
Bilan
Le Backup Server VEEAM-SRV est en service, raccordé à l’hôte ESXi du lab, le dépôt SMB sur le NAS Synology est validé, et un job hebdomadaire sauvegarde les 4 VM critiques chaque dimanche. Le test de restauration fichier et VM complète a validé la chaîne.
Trois enseignements :
- tester la restauration est le seul vrai indicateur que la sauvegarde marche : avant ce test, on n’a pas de sauvegarde, on a juste des fichiers chiffrés sur un NAS ;
- l’application-aware processing est la différence entre une VM AD restaurée fonctionnelle et une VM AD restaurée corrompue ; ce paramètre ne se voit pas dans le rapport de job mais change tout ;
- la règle 3-2-1 n’est pas un slogan : chaque palier protège d’un scénario différent (corruption, panne matérielle, sinistre local), et négliger l’un d’eux laisse un trou.
Pour la suite, je veux automatiser le test de restauration (script PowerShell qui fait un Full VM Restore dans un réseau isolé chaque mois), et chiffrer les sauvegardes au niveau Veeam (en plus du chiffrement Btrfs côté NAS) pour avoir un secret distinct entre les deux couches.
Sources
- Veeam — Veeam Backup & Replication Community Edition , Veeam Software.
- Veeam Help Center — Veeam Backup & Replication 12.3 (vSphere) , Veeam Software.
- VMware Docs — vSphere Storage APIs for Data Protection (VADP) , Broadcom.
- Synology Knowledge Center — Veeam Backup & Replication on Synology NAS , Synology Inc.
- ANSSI — Recommandations relatives à l’administration sécurisée des systèmes d’information , ANSSI.