Veeam Backup for Salesforce – OS update

Nel mio laboratorio è presente un  server Ubuntu 22.04.4 LTS, sul quale è installato il software Veeam di protezione degli ambienti Salesforce (Veeam Backup for Salesforce).

Durante l’operazione mensile di  aggiornamento del sistema operativo, sono apparsi alcuni errori che non mi hanno permesso il completamento dell’operazione.

L’ output del comando “sudo apt update”,  mostrava tre errori evidenziati nell’immagine 1 con le frecce di colore blue, verde e rosso.

Immagine 1

1. Il primo, (freccia blue) indicava che la firma digitale legata al repository Veeam (“https://repository.veeam.com/apt stable/amd64/ In Release”) non fosse più valida.

2. Il secondo (freccia verde) indicava che anche per il sito Ubuntu-security (“http://security.ubuntu.com/ubuntu bionic-security InRelease”) la firma digitale fosse scaduta.

3. Il terzo errore (nella realtà un warning, freccia rossa), indicava che la metodologia di gestione delle chiavi denominata “apt-key” è deprecata consigliando l’ utilizzo di un metodo  più sicuro denominato “trusted.gpg.d”.

Navigando su internet ho trovato le soluzioni che hanno risposto alle mie necessità:

1. Sul sito Veeam è presente la KB2654 che indica come importare una nuova chiave. L’unica vera attenzione è avviare il comando da utente root (vedi immagine 2).

Immagine 2

2. Come mostrato nell’ immagine 3, è sufficiente richiedere l’aggiornamento della chiave inserendo a fine comando l’identificativo richiesto nell’output dell’immagine 1 (freccia verde).

immagine 3

Nota 1: apt-key è un comado utilizzato per gestire un portachiavi di chiavi gpg per apt sicuro. Il portachiavi è conservato nel file ‘/etc/apt/trusted.gpg’ (da non confondere con il correlato ma non molto interessante /etc/apt/trustdb.gpg). Il comando apt-key può essere utilizzato per mostrare le chiavi nel portachiavi e per aggiungere o rimuovere le chiavi.

3. Nell’ultima riga dell’immagine 4 viene indicato il comando che indirizza il warning di sicurezza. Si tratta di copiare il portachiavi (trusted.gpg) all’interno della cartella trusted.gpg.d.

Immagine 4

Nell’articolo “Handeling the apt-key deprecation” trovete tutti i dettagli che illustrano i vantaggi in ambito di sicurezza del nuovo approccio.

Nota 2: Veeam Backup for Salesforce ha un proprio meccanismo  che consente di verificare la presenza di nuove versioni di prodotto e aggiornamenti.

Lo stesso meccanismo consente successivamente di scaricare e  installare i pacchetti software necessari.

Ricordo che sono aggiornamenti di prodotto, non di sistema operativo.

Veeam CDP – Manual Upgrade

Nel mio laboratorio, il sito di Disaster Recovery è composto da un singolo host ESX 7.01.

Viene gestisto da un vCenter virtuale (denominato vCenter-DR), che afferisce esclusivamente alle risorse hardware messe a disposizione dallo stesso host ESX 7.01.

Lo scorso mese Veeam Software ha rilasciato l’aggiornamento di Veeam Backup & Replication 11A.

Tra le diverse migliorie introdotte, la mia attenzione si è concentrata sui nuovi driver (detti I/O filters) della componente CDP.

Se nel cluster principale, l’aggiornamento è stato semplice, immediato e indolore (vista la presenza di più host sotto un ulteriore vCenter), per il sito di Disaster Recovery si è generata una complicanza collegata all’architettura hardware presente.

L’aggiornamento falliva, poichè era impossibile porre l’host ESX 7.01 in mantenance mode senza di fatto spegnere anche il vCenter-DR che lo gestiva (vedi immagine 1).

Immagine 1

Come è stato possibile superare tale ostacolo senza modificare la configurazione del cluster? (Senza cioè aggiungere un ulteriore Host ESX 7.01)

La procedura che ho seguito è stata semplice e sfrutta la kb 2008939 di Vmware (https://kb.vmware.com/s/article/2008939).

Costa di due fasi principali:

  1. Copia del pacchetto Veeam CDP nell’host ESX 7.01 (veecdp-offline-bundle.7.0.0.zip)
  2. Installazione del pacchetto attraverso il  comando “esxcli software vib update -d /yourpath/veecdp-offline-bundle.7.0.0.zip” (vedi Immagine 2)

Immagine 2

Terminata questa prima fase, è ora stato sufficiente ripetere la procedura standard di aggiornamento (vedi immagini 3,4 e 5).

Immagine 3

 

Immagine 4

 

Immagine 5

La verifica che garantisce che la procedura seguita è corretta è quella di realizzare un Job di Replica CDP, attendere che si concluda senza errori e che  sia possibile avviare la procedura di failover.

Nota 1: La procedura di aggiornamento dei I/O filters è disponibile nel manuale alla seguente pagina:     (https://helpcenter.veeam.com/docs/backup/vsphere/cdp_io_filter_remove.html?ver=110).

Nota 2: Prima di procedere è obbligatorio confrontarvi con il supporto Veeam attraverso l’apertura di un tiket (my.veeam.com)

A presto