veeam proxy server настройка
veeam proxy server настройка
Veeam Proxy Server настройка: как не угробить резервное копирование в продакшене
veeam proxy server настройка — это не просто галочка в консоли Veeam Backup & Replication. Это ядро вашей инфраструктуры бэкапов, от которого зависит скорость восстановления, нагрузка на хосты и даже целостность данных. Неправильная конфигурация превратит надёжную систему защиты в источник постоянных сбоев и «вечных» заданий.
Почему ваш бэкап тормозит? Виноват не всегда канал
Когда администратор видит, что задание резервного копирования длится 12 часов вместо 2, первая мысль — «узкое горлышко в сети». Но чаще проблема кроется в неправильно настроенном Veeam Proxy Server. Этот компонент отвечает за чтение данных с исходных машин (VM или физических серверов), их обработку (дедупликация, сжатие, шифрование) и передачу на репозиторий. Если он слабый, перегруженный или неправильно подключённый — всё цепляется за него.
Veeam предлагает три режима транспорта данных через прокси:
- Direct storage access — прокси напрямую читает данные с LUN (SAN/NAS), минуя ESXi-хост. Самый быстрый, но требует доступа к хранилищу.
- Virtual appliance — прокси разворачивается как VM и использует VMware HotAdd для монтирования дисков. Быстро, но создаёт нагрузку на хост.
- Network mode — классический NBD/NBDSSL через сеть. Самый медленный, но универсальный.
Выбор режима — первый шаг в настройке. Ошибка здесь обрекает вас на потери производительности, которых нельзя компенсировать ни SSD, ни 10 Гбит/с сетью.
Как выбрать железо для Veeam Proxy: цифры, а не догмы
Многие ставят прокси на любой свободный сервер. Это ошибка. Производительность Veeam Proxy зависит от трёх факторов:
- CPU — шифрование AES-256 и сжатие LZ4/LZB требуют мощных ядер. Intel с AES-NI или AMD с AES-шифрованием обязательны.
- RAM — минимум 8 ГБ + 2 ГБ на каждые 2–4 ТБ обрабатываемых данных. При нехватке памяти начинается свопинг и падение скорости.
- Сеть — 1 Гбит/с уже недостаточно для современных сред. Для 10+ ТБ бэкапов нужен как минимум 10 Гбит/с, желательно с Jumbo Frames (MTU 9000).
Пример из практики: компания в Москве поставила прокси на старый Dell R720 с 2x Xeon E5-2650 v2 (без AES-NI). Скорость бэкапа — 35 МБ/с. После замены на R740 с Xeon Silver 4210R (с AES-NI) — 210 МБ/с при том же объёме данных.
Не забывайте про локальность. Прокси должен быть в том же сегменте, что и защищаемые VM и репозиторий. Пересечение маршрутизаторов, особенно с DPI (Deep Packet Inspection), добавляет задержки и фрагментацию.
Чего вам НЕ говорят в других гайдах
Большинство официальных руководств и блогов умалчивают о скрытых рисках, которые могут уничтожить вашу стратегию восстановления:
- Прокси — не stateless-сервис
Если прокси падает во время задания, Veeam не просто перезапускает его на другом сервере. Он перезапускает всё задание с нуля, если не включена опция SureBackup или Incremental forever. Это значит, что 8-часовое задание может повторяться по кругу при нестабильном прокси.
- Ложная экономия на лицензиях
Veeam лицензирует по количеству сокетов или по instance. Но прокси не требует отдельной лицензии, если работает в рамках уже лицензированной инфраструктуры. Однако если вы поставите прокси на физический сервер вне виртуальной среды — он может «съесть» лицензию, которую вы не учли.
- Утечки через сеть при Direct SAN
В режиме Direct storage access прокси получает полный доступ к LUN. Если на нём запущены другие сервисы (например, веб-интерфейс или RDP), злоумышленник может получить доступ к сырым данным бэкапов. Это нарушает принцип минимальных привилегий.
- Отсутствие мониторинга производительности
Veeam показывает общую скорость задания, но не раскрывает узкие места внутри прокси: загрузку CPU по ядрам, использование RAM, ошибки дискового I/O. Без внешнего мониторинга (Zabbix, Prometheus + Node Exporter) вы не заметите деградации до критического сбоя.
- Проблемы с антивирусом
Антивирус на прокси-сервере может сканировать временные файлы Veeam (.vbm, .vib), блокируя их и вызывая таймауты. Исключения для папок C:\ProgramData\Veeam\Backup и C:\Windows\Temp — обязательны, но редко упоминаются.
Пошаговая настройка: от нуля до продакшена
Шаг 1. Добавление сервера в консоль Veeam
- Откройте Inventory > Managed Servers.
- Нажмите Add Server → укажите FQDN или IP хоста с Windows/Linux.
- Введите учётные данные с правами локального администратора (Windows) или root/sudo (Linux).
- Убедитесь, что порты 6180 (HTTP) и 6182 (HTTPS) открыты между консолью и прокси.
Для Linux-прокси требуется установка Veeam Transport Service вручную через пакет
.rpmили.deb.
Шаг 2. Настройка роли Proxy
- Перейдите в Backup Infrastructure > Backup Proxies.
- Нажмите Add Proxy → выберите добавленный сервер.
- Укажите:
- Max concurrent tasks — не более 2× число ядер CPU (например, 16 для 8-ядерного CPU).
- Transport modes — в порядке приоритета: Direct SAN → Virtual Appliance → Network.
- Preferred networks — укажите VLAN или подсеть, чтобы избежать маршрутизации через WAN.
Шаг 3. Оптимизация сетевых настроек
- Включите Jumbo Frames (MTU 9000) на NIC прокси, коммутаторе и репозитории.
- Отключите энергосбережение на сетевом адаптере (
Power Management → Allow the computer to turn off this device— OFF). - Для Windows: в реестре установите
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpAckFrequency = 1для снижения задержек.
Шаг 4. Тестирование производительности
Используйте встроенный Proxy Performance Benchmark:
1. ПКМ по прокси → Start Performance Benchmark.
2. Veeam создаст тестовый файл, прогонит его через все доступные транспортные режимы.
3. Результат покажет реальную пропускную способность в МБ/с для каждого режима.
Не доверяйте теоретическим расчётам. Фактическая скорость в Direct SAN может быть в 3 раза выше Network mode — но только если SAN настроен правильно.
Сравнение типов развёртывания Veeam Proxy
| Критерий | Физический сервер | Виртуальная машина | Linux-прокси | Cloud Gateway (AWS/Azure) |
|---|---|---|---|---|
| Макс. производительность | ★★★★★ (прямой доступ к HW) | ★★★★☆ (ограничен хостом) | ★★★★☆ (меньше overhead) | ★★★☆☆ (сетевые задержки) |
| Поддержка Direct SAN | Да | Только если VM имеет RDM | Да (через iSCSI/HBA) | Нет |
| Требования к лицензированию | Нет (если не лицензирован отдельно) | Входит в vSphere лицензию | Бесплатно (Community Edition) | Платно (по instance) |
| Управляемость | Средняя | Высокая | Низкая (требует CLI) | Высокая (через облако) |
| Рекомендовано для | Крупные ЦОД, >50 ТБ | Средние компании | Высоконагруженные среды | Гибридные облака |
Примечание: Linux-прокси работает только в режимах Direct SAN и Network. Virtual Appliance недоступен.
Распространённые ошибки и как их избежать
Ошибка 1. Один прокси на всю инфраструктуру
При росте числа VM один прокси становится узким местом. Решение — масштабирование по горизонтали: добавьте 2–3 прокси и распределите задачи по группам (например, по отделам или критичности).
Ошибка 2. Игнорирование зон отказа
Если все прокси находятся в одном rack или на одном хосте — отказ этого узла парализует бэкапы. Размещайте прокси в разных fault domains.
Ошибка 3. Неправильные права доступа к хранилищу
Для Direct SAN прокси должен иметь LUN masking только на те тома, с которых читает данные. Полный доступ к SAN — риск безопасности.
Ошибка 4. Отсутствие резервного пути
Настройте fallback transport mode. Если Direct SAN недоступен (например, после обновления SAN firmware), Veeam автоматически переключится на Virtual Appliance или Network.
FAQ
Можно ли использовать один сервер и как репозиторий, и как прокси?
Технически — да. Но это крайне не рекомендуется. Прокси генерирует высокую нагрузку на CPU и сеть, что мешает записи на тот же диск. Это приводит к фрагментации, ошибкам I/O и увеличению времени заданий. Лучше разделять роли.
Сколько одновременных задач можно назначить на прокси?
Ориентируйтесь на формулу: Max tasks = min(2 × число ядер, 16). Например, 8-ядерный CPU → 16 задач максимум. Превышение вызывает контекст-свопинг и падение общей производительности.
Почему Direct SAN не работает, хотя LUN подключён?
Часто причина — отсутствие прав на уровне хранилища. Убедитесь, что:
- Прокси добавлен в группу инициаторов SAN.
- LUN маскирован именно для этого сервера.
- На прокси установлены драйверы HBA/RAID-контроллера.
Проверьте видимость диска через diskmgmt.msc (Windows) или lsblk (Linux).
Нужен ли отдельный NIC для трафика бэкапов?
Да, настоятельно рекомендуется. Выделенная сеть (dedicated backup network) предотвращает конкуренцию с production-трафиком, снижает jitter и упрощает QoS. Используйте отдельный VLAN или физический порт.
Как проверить, какой транспортный режим используется в задании?
Откройте детали задания → вкладка Statistics → найдите строку Processing rate. Ниже будет указано: Using direct SAN storage access, Using virtual appliance или Using network mode.
Можно ли настроить прокси без участия администратора VMware?
Только в режиме Network. Для Direct SAN и Virtual Appliance нужны права на уровне vCenter: Datastore.AllocateSpace, VirtualMachine.Interact.DeviceConnection и другие. Без них Veeam не сможет монтировать диски.
Вывод
veeam proxy server настройка — это не формальность, а точка, где теория резервного копирования сталкивается с реальностью железа, сети и политик безопасности. Правильно сконфигурированный прокси ускоряет бэкапы в 3–5 раз, снижает нагрузку на хосты и гарантирует, что RPO/RTO будут соблюдены даже при аварии. Игнорирование его роли — прямой путь к тому, что ваша «надёжная» система защиты окажется бесполезной в самый ответственный момент. Инвестируйте время в выбор режима транспорта, тестирование производительности и разделение ролей — и ваши бэкапы перестанут быть источником стресса.
Question: Is mobile web play identical to the app in terms of features?