Veeam Backup для VMware и Proxmox: правило 3-2-1 на практике

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. 15 лет я занимаюсь резервным копированием на корпоративной виртуализации — от маленьких офисов на 5 VM до производственных холдингов с 200+ машинами на ESXi-кластере. И если меня спросить, какой инструмент я поставлю первым на любом проекте с VMware или Proxmox, ответ будет один — Veeam Backup & Replication. С 2024 года Broadcom поднял цены на VMware, многие мигрируют на Proxmox, и Veeam 12.2 наконец нативно поддержал гипервизор от венских коллег. Разбираю, как построить надёжную схему 3-2-1 на обоих платформах.

Почему Veeam, а не встроенные средства

И VMware, и Proxmox имеют свои встроенные бэкапы. vSphere снэпшоты + репликация через vSphere Replication, Proxmox Backup Server для .pve-дампов. Оба решения рабочие, но с ограничениями: нет гранулярного восстановления файлов из бэкапа, нет Application-Aware для MSSQL и Exchange, нет интеграции с ленточными библиотеками, нет SureBackup-тестирования.

Veeam покрывает всё это в одном продукте:

• Единая консоль для VMware, Hyper-V, Nutanix, Proxmox и физических серверов через агентов.
• Instant VM Recovery — запуск VM прямо из бэкапа за 1–2 минуты, пока основное восстановление идёт в фоне.
• Гранулярное восстановление — отдельные письма из Exchange, базы SQL, таблицы Active Directory.
• SureBackup — автоматическая проверка, что бэкапы реально восстанавливаются, с запуском VM в изолированной сети.
• Immutable-репозитории на ReFS/XFS с блокировкой от шифровальщиков.

Правило 3-2-1 как основа стратегии

Я всегда начинаю проектирование с правила 3-2-1. Это не маркетинг, а выстраданный опыт отрасли: три копии данных, два разных носителя, одна — офсайт. В переводе на Veeam:

Опционально добавляют четвёртую копию на ленты LTO-8/9 для долгосрочного архива (3–7 лет) или S3-совместимое облачное хранилище. У нас на практике половина клиентов использует 3-2-1-1-0: плюс одна immutable-копия и ноль ошибок в SureBackup-тестах.

Развёртывание Veeam B&R под VMware

Минимальные требования для VMware-окружения на 30 VM: Windows Server 2022, 8 CPU, 16 ГБ RAM, 500 ГБ SSD под OS и кэш. Полноценный продуктив в офисе на 200 VM — отдельный физический сервер Dell Xeon Platinum 8280 с 256 ГБ RAM и JBOD-корзиной на 24 диска под репозиторий.

Базовая установка:

1. Устанавливаем Veeam B&R Console и Server на Windows Server 2022.
2. Регистрируем vCenter в Veeam (Backup Infrastructure → Managed Servers → VMware vSphere).
3. Добавляем первый Backup Repository (Backup Infrastructure → Backup Repositories → Direct-attached storage).
4. Создаём Job: выбираем VM, указываем repository, расписание, retention.
5. Настраиваем Application-Aware для VM с MSSQL/AD/Exchange.

# Powershell-пример: создание Job через Veeam PowerShell
Add-PSSnapin VeeamPSSnapin
$vmList = Find-VBRViEntity -Name "DC01","DC02","SQL01","FS01"
$repo = Get-VBRBackupRepository -Name "Main-Repo"
Add-VBRViBackupJob -Name "Core-Infra-Daily" -Entity $vmList -BackupRepository $repo
# Расписание — ежедневно в 23:00
Get-VBRJob -Name "Core-Infra-Daily" | Set-VBRJobSchedule -Daily -At "23:00" -DailyKind Everyday

Развёртывание Veeam для Proxmox VE

С Veeam 12.2 появился официальный плагин Veeam Plug-in for Proxmox VE. Схема работы: на каждой ноде Proxmox ставится Veeam Worker (Linux VM либо agent), который через QEMU Dirty Bitmap делает инкрементальный бэкап без снэпшотов LVM и без останова VM.

# На Proxmox-ноде добавляем репозиторий Veeam и worker
wget -O- https://download.veeam.com/keys/veeam.asc | apt-key add -
echo "deb https://download.veeam.com/proxmox/12.2/ bookworm main" > /etc/apt/sources.list.d/veeam.list
apt update
apt install veeam-proxmox-worker -y

# Регистрация в Veeam B&R
veeam-proxmox-worker --register --server veeam.corp.local --api-token <TOKEN>

Дальше — добавляем Proxmox как Managed Server в Veeam Console, выбираем VM для бэкапа, настраиваем Job. Важно: для гостевой консистентности MSSQL/AD внутри VM всё равно нужен Veeam Agent, потому что Proxmox не имеет VMware Tools-эквивалента с полноценным VSS-хендлером.

Настройка репозиториев: ReFS против XFS

Вопрос «на чём хранить» решает 70% скорости и надёжности. Я всегда использую один из двух вариантов.

• ReFS на Windows Server 2022 — нативная поддержка Fast Clone у Veeam, экономия 40–60% места при синтетических full. Включайте block cloning, отключайте файловую дедупликацию (конфликтует с Veeam).
• XFS на Linux Hardened Repository — Immutable-режим с блокировкой удаления, защита от шифровальщиков через chattr +i. С Veeam 12 работает Fast Clone на XFS с reflinks.

# Форматирование ReFS
Format-Volume -DriveLetter E -FileSystem ReFS -AllocationUnitSize 65536 `
              -NewFileSystemLabel "Veeam-Repo" -Confirm:$false

# XFS с reflink для Veeam Hardened
mkfs.xfs -b size=4096 -m reflink=1,crc=1 /dev/sdb1
mount -o discard,noatime /dev/sdb1 /mnt/veeam-repo

Размер репозитория я беру по правилу: объём активных VM × 2.5 + 30% запас на год. Для кластера с 25 ТБ VM — 75 ТБ сырого RAID6 с компрессией.

Application-Aware Processing для MSSQL и AD

Это та функция, которая отделяет настоящий бэкап от «холодного слепка диска». Veeam внутри VM вызывает VSS (Windows) или pre/post-freeze скрипты (Linux), заставляя приложения сбросить кэш на диск и заморозиться.

Настройка на уровне Job → Guest Processing:

• Enable application-aware processing — галка.
• Guest OS credentials — учётка с правами администратора VM.
• Applications — VSS-обработка с SQL truncate logs для MSSQL.
• Transaction logs — каждые 15 минут копировать и обрезать, если нужен point-in-time recovery.

# Скрипт для Linux-VM с Postgres
#!/bin/bash
# pre-freeze.sh
psql -U postgres -c "SELECT pg_start_backup('veeam');"
sync

# post-thaw.sh
psql -U postgres -c "SELECT pg_stop_backup();"

Реальный кейс: миграция бэкапа с vSphere Replication на Veeam

В октябре 2025 года к нам пришёл клиент — медицинский холдинг в Москве, 4 клиники, 45 VM на кластере ESXi 7.0U3. До этого работал vSphere Replication на второй хост и встроенные снэпшоты — за год потеряли базу 1С, потому что replication-лаг съел последний консистентный стейт.

Что сделали за две недели:

• Развернули Veeam B&R 12.1 на выделенном сервере Dell Xeon Platinum 8280, 256 ГБ RAM, 120 ТБ RAID6 SAS под основной репозиторий.
• Настроили 4 Job по сервисам: Infra (AD/DNS/DHCP), Business (1С, Битрикс24), Medical (МИС, PACS), Dev.
• Application-Aware для MSSQL 2019, Exchange 2019, Active Directory.
• Backup Copy Job на внешний сервер в дата-центре МТС через 40G Mellanox — ежедневно инкремент, раз в неделю GFS.
• SureBackup — раз в неделю автотест восстановления двух критичных VM в изолированной сети.
• Retention: 14 дней на локальном, 90 дней на копии в ДЦ, GFS 12 месяцев.

Результат: средний RPO для критичных систем — 4 часа, RTO для Instant Recovery — 3 минуты 10 секунд (замерено в июле при тестовой потере хоста). SureBackup нашёл одну VM с повреждённым VSS-профилем — заменили обработчик, проблема ушла. Стоимость проекта — 420 000 руб. с железом и лицензиями Veeam Enterprise Plus на 45 сокетов.

Типичные ошибки при внедрении Veeam

• Один репозиторий под всё. Если всё пишется на один диск и он крашнулся — потеряли все бэкапы. Разносите на минимум два носителя.
• Не тестируют восстановление. Бэкап, который ни разу не восстанавливали, бэкапом не является. SureBackup раз в неделю обязателен.
• Забывают про GFS. Ежедневные инкременты не дадут восстановить состояние 3 месяца назад. Grandfather-Father-Son добавляет помесячные/годовые точки.
• Нет Immutable-копии. Ransomware шифрует и бэкапы, если Veeam-сервер доступен по админской учётке. Hardened Repository с chattr +i на XFS — must-have.
• Пропускают Application-Aware. Бэкап VM с работающим MSSQL без VSS — лотерея. В 8 случаях из 10 база восстановится, в 2 — нужно будет поднимать из transaction log, которого тоже нет.

FAQ — частые вопросы по Veeam

Поддерживает ли Veeam Proxmox?

С версии 12.2 Veeam Backup & Replication нативно поддерживает Proxmox VE 7.x и 8.x через плагин Veeam Plug-in for Proxmox. До этого приходилось использовать Veeam Agent внутри гостевой ОС либо сторонние решения.

Что такое правило 3-2-1?

3 копии данных, 2 разных типа носителя, 1 копия офсайт. Для Veeam это: активная VM + локальный бэкап-репозиторий + внешняя копия. Базовый минимум против ransomware и аппаратных сбоев.

Чем отличается Backup от Replication?

Backup — сжатые и дедуплицированные VBK/VIB-файлы в репозитории. Replication — живая копия VM на втором хосте, готовая к запуску за секунды. Для RPO<1ч нужна репликация, для глубокого архива — бэкап.

Нужна ли лицензия на Veeam для маленького офиса?

Для офиса до 10 VM подходит Veeam Community Edition — бесплатно, без ограничения по объёму, но без репликации и tape-backup. С 10+ VM берут Standard/Enterprise Plus.

Что такое Application-Aware Processing?

Механизм заморозки приложений внутри VM перед бэкапом через VSS или скрипты. Гарантирует консистентность MSSQL, Exchange, AD, Oracle. Без него бэкап берёт VM в состоянии cold boot — с риском повреждения БД.