Bevor Sicherungen durchgeführt werden können, müssen Sie einen Sicherungsdateiserver konfigurieren. Nach der Konfiguration eines Sicherungsdateiservers können Sie jederzeit eine Sicherung starten oder wiederkehrende Sicherungen planen. Administratoren können auswählen, ob eine Verbindung mit dem SFTP-Sicherungsserver über einen privaten SSH-Schlüssel oder eine kennwortbasierte Authentifizierung hergestellt wird.

Voraussetzungen

  • Vergewissern Sie sich, dass auf dem SFTP-Server ein unterstütztes Betriebssystem und die unterstützte SFTP-Software ausgeführt werden. Die folgende Tabelle zeigt die unterstützte und getestete Software für die Sicherung, obwohl auch andere Softwareversionen funktionieren können.

    Aktuell unterstütztes Betriebssystem

    Spezifisch getestete Version

    SFTP-Softwareversion

    CentOS

    8.4

    OpenSSH_8.0p1

    7.9 oder 7.7

    OpenSSH_7.4p1

    RHEL

    8.4

    OpenSSH_8.0p1

    7.9 oder 7.7

    OpenSSH_7.4p1

    Ubuntu

    20.04

    OpenSSH_8.2p1

    18.04

    OpenSSH_7.6p1

    Windows

    Windows Server 2019 Standard

    OpenSSH_for_Windows_8.1p1

  • Stellen Sie mit den folgenden Befehlen sicher, dass der SFTP-Server einsatzbereit ist und SSH und SFTP ausführt:

    • $ ssh backup_user@sftp_server

    • $ sftp backup_user@sftp_server

  • Stellen Sie sicher, dass auf dem Backup-Server der erforderliche gehashte ECDSA-Hostschlüssel vorhanden ist. Siehe Suchen nach dem SSH-Fingerabdruck eines Remote-Servers.

  • Stellen Sie sicher, dass der Verzeichnispfad, in dem Sie Ihre Sicherungen speichern möchten, vorhanden ist und Dass Sie über Lese-/Schreibberechtigungen für dieses Verzeichnis verfügen. Sie können das Stammverzeichnis (/) nicht verwenden.

  • Wenn Sie einen privaten SSH-Schlüssel verwenden, stellen Sie Folgendes sicher:

    • Die Konfiguration des SFTP-Sicherungsservers enthält einen öffentlichen SSH-Schlüssel, der mit einem der Benutzer verknüpft ist (in ~/.ssh/authorized_keys auf einem Linux-Server).

    • Durch die NSX Manager-Konfiguration verfügen Sie über den entsprechenden privaten Schlüssel.

    • Stellen Sie sicher, dass der private Schlüssel an einem anderen Speicherort als die Konfiguration gespeichert wird.

  • Wenn Sie über mehrere NSX-Bereitstellungen verfügen, müssen Sie zum Speichern der Sicherung für die einzelnen Bereitstellungen jeweils ein anderes Verzeichnis verwenden.

  • Wenn für Ihre NSX Manager- oder Ihre Globaler Manager-Appliance der DNS-Serverzugriff auf "publish_fqdns": true festgelegt ist, müssen Sie diese Einstellung auf der neuen NSX Manager- oder der neuen Globaler Manager-Appliance konfigurieren, bevor Sie mit der Wiederherstellung beginnen. Befolgen Sie die Anweisungen unter „Konfigurieren von NSX Manager für den Zugriff durch den DNS-Server“ im Installationshandbuch für NSX.

Prozedur

  1. Melden Sie sich in einem Browser mit Administratorberechtigungen beim NSX Manager oder Globaler Manager unter https://<manager-ip-address> an.
  2. Wählen Sie System > Sichern und Wiederherstellen.
  3. Klicken Sie auf unter SFTP-Server auf Bearbeiten, um Ihren SFTP-Server zu konfigurieren.
  4. Geben Sie den FQDN oder die IP-Adresse des Sicherungsdateiservers ein.

    Das Protokolltextfeld ist bereits ausgefüllt. SFTP ist das einzige unterstützte Protokoll.

  5. Ändern Sie den Standardport, falls erforderlich. Der standardmäßige TCP-Port ist 22.
  6. Geben Sie im Textfeld Verzeichnispfad den absoluten Verzeichnispfad ein, unter dem die Sicherungen gespeichert werden.

    Das Verzeichnis muss bereits vorhanden sein und darf nicht das Stammverzeichnis (/) sein. Vermeiden Sie die Verwendung von Pfadlaufwerksbuchstaben oder Leerzeichen in Verzeichnisnamen; sie werden nicht unterstützt. Wenn es sich bei dem Sicherungsdateiserver um eine Windows-Maschine handelt, müssen Sie bei der Angabe des Zielverzeichnisses den Schrägstrich verwenden. Wenn das Sicherungsverzeichnis auf der Windows-Maschine beispielsweise c:\SFTP_Root\backup lautet, geben Sie /SFTP_Root/backup als Zielverzeichnis an.

    Der Pfad zum Sicherungsverzeichnis darf nur die folgenden Zeichen enthalten: alphanumerische Zeichen ( a-z , A-Z, 0-9 ), Unterstrich ( _ ) , Plus- und Minuszeichen ( + - ), Tilde und Prozentzeichen ( ~ % ), Schrägstrich ( / ) und Punkt (.).

    Beim Sicherungsvorgang wird ein Name für die Sicherungsdatei generiert, der recht lang sein kann. Auf einem Windows-Server kann die Länge des vollständigen Pfadnamens der Sicherungsdatei den von Windows festgelegten Grenzwert überschreiten und dazu führen, dass Sicherungen fehlschlagen. Um dieses Problem zu vermeiden, lesen Sie den KB-Artikel https://kb.vmware.com/s/article/76528.

  7. Wählen Sie die Authentifizierungsmethode aus, die Sie für die Anmeldung beim Sicherungsdateiserver verwenden möchten.
    1. Um einen Benutzernamen und ein Kennwort für die Authentifizierung beim Sicherungsdateiserver einzugeben, wählen Sie Kennwort aus und geben Sie die erforderlichen Informationen ein.
    2. Um einen privaten SSH-Schlüssel für das Senden der NSX-Sicherungen an den SFTP-Server zu verwenden, wählen Sie Privater SSH-Schlüssel aus und geben Sie die erforderlichen Informationen ein.

    Wenn Sie die Sicherungskonfiguration bearbeiten, müssen Sie das Kennwort oder den privaten SSH-Schlüssel nicht erneut eingeben.

  8. Sie können den SSH-Fingerabdruck leer lassen und den vom Server bereitgestellten Fingerabdruck akzeptieren oder ablehnen, nachdem Sie in einem späteren Schritt auf Speichern geklickt haben. Falls erforderlich, können Sie den SSH-Fingerabdruck abrufen, indem Sie diese API verwenden: POST /api/v1/cluster/backups?action=retrieve_ssh_fingerprint.

    Weitere Informationen finden Sie unter Suchen nach dem SSH-Fingerabdruck eines Remote-Servers.

  9. Führen Sie #ssh-keyscan -t ecdsa <backup server IP/FQDN> aus, um zu prüfen, ob der erforderliche ECDSA-Hostschlüssel auf dem Backup-Server vorhanden ist. 
    #ssh-keyscan -t ecdsa ftpserver.corp.local
   #ftpserver.corp.local:22 SSH-2.0-OpenSSH_7.6p1 Ubuntu-4ubuntu0.5
   ftpserver.corp.local ecdsa-sha2-nistp256
    Ab Version 4.1 unterstützt NSX im Hinblick auf die EAL4-Konformität die ECDSA-Verschlüsselung TLS_ECDHE_ECDSA_WITH_AES_256_SHA384. Diese Unterstützung umfasst auch RSA für die Generierung privater SSH-Schlüssel mit den Schlüsselgrößen 1024 Bit, 2048 Bit und 4096 Bit. 4096 Bit werden empfohlen. Wenn die Ausgabe des Befehls keinen unterstützten ECDSA-Schlüssel oder einen leeren Schlüssel zurückgibt, verfügt der konfigurierte Sicherungsserver nicht über die unterstützte ECDSA-Verschlüsselung. In diesem Fall müssen Sie die Konfiguration aktualisieren und neue Schlüssel auf dem Sicherungsserver generieren. Wenden Sie sich an den Anbieter des Betriebssystems, wenn Sie für diese Konfiguration Unterstützung benötigen.
  10. Geben Sie ein Passphrase ein.
    Wichtig:

    Diese Passphrase wird benötigt, um eine Sicherung wiederherzustellen. Wenn Sie die Passphrase vergessen, können Sie keine Sicherungen wiederherstellen.

  11. Klicken Sie auf Speichern.

Ergebnisse

Die Seite „Sichern und Wiederherstellen“ wird mit dem neu konfigurierten SFTP-Server aktualisiert.

Nächste Maßnahme

Nachdem Sie erfolgreich einen Sicherungsdateiserver konfiguriert haben, können Sie auf Jetzt sichern klicken, um manuell eine sofortige Sicherung zu starten. Weitere Informationen zum Planen wiederkehrender automatischer Sicherungen finden Sie unter Starten oder Planen von Sicherungen. Eine Liste verfügbarer Sicherungen ohne Zugriff auf eine Appliance von NSX Manager oder Globaler Manager finden Sie unter Auflisten der verfügbaren Sicherungen.