Veeam Replica Failover und Failback Funktionsweise

Veeam Backup & Replication ist eine Backup-Lösung mit einem großen Funktionsumfang. Sie wurde speziell für virtuelle VMware vSphere- und Microsoft Hyper-V-Umgebungen entwickelt. Dieser Artikel zeigt die Funktionsweise eines Failovers sowie eines Failbacks im Detail auf und erklärt die verschiedenen Failover und Failback Optionen, die Veeam Backup & Replication unterstützt.

Replica Failover

Ein Failover beschreibt den Wechsel von einer produktiven VM auf dem Quellhost, hin zu einer Replika VM auf dem Zielhost. Während des Failover Vorgangs stellt Veeam Backup & Replication eine voll funktionsfähige VM innerhalb weniger Sekunden zu einem gewünschten Zeitpunkt auf dem Zielhost zur Verfügung. Anwender können so mit minimaler Unterbrechung auf die Dienste und Anwendungen zugreifen, die Sie benötigen. Wenn Sie ein Failover durchführen, wird der Zustand der ursprünglichen VM auf dem Quellhost in keiner Weise beeinträchtigt. Wenn Sie die replizierte VM und ihre Wiederherstellungspunkte auf Wiederherstellbarkeit testen müssen, können Sie ein Failover durchführen, während die ursprüngliche VM läuft. Nach allen notwendigen Tests können Sie das Failover rückgängig machen und zur normalen Betriebsart zurückkehren. Als alternative Testmethode bietet Veeam Backup & Replication auch die SureReplica-Technologie. Weitere Informationen finden Sie unter SureReplica. Es wird empfohlen, dass Sie Veeam Backup & Replication verwenden, um Failover Szenarien abzubilden. Vermeiden Sie es, eine replizierte VM manuell einzuschalten - dies kann weitere Replikationsoperationen stören oder zum Verlust wichtiger Daten führen.

Failover Funktionsweise

Wie ein Failover funktioniert erfahren Sie in den folgenden Schritten:

1. Veeam Backup & Replication setzt die replizierte VM auf den gewünschten Wiederherstellungspunkt zurück. Dazu wird die Replika auf den notwendigen Snapshot in der Kette zurückgesetzt.
2. Veeam Backup & Replication schaltet die Replika ein. Der Zustand der Replika VM wird von Normal auf Failover geändert. Wenn Sie ein Failover, zu Test- oder DR-Simulationszwecken durchführen und die ursprüngliche VM weiterhin existiert und läuft, bleibt die ursprüngliche VM eingeschaltet. Beachten Sie, dass alle Replikationsversuche für die original VM fehlschlagen, bis die Replika VM wieder in den normalen passiven Zustand versetzt wird.
3. Alle Änderungen, die an der Replika VM vorgenommen werden, während Sie im Failover-Zustand läuft, werden in die Delta-Datei des Snapshots oder Wiederherstellungspunkts geschrieben. In Veeam Backup & Replication wird das eigentliche Failover als temporärer Zustand betrachtet, der finalisiert werden sollte. Während sich die Replika VM im Failover Zustand befindet, können Sie um das Failover rückgängig machen, die Failback Funktion oder die permanente Failover Funktion nutzen. In einem Desaster Fall sollten Sie, nachdem Sie die VM Replika getestet und sichergestellt haben, dass die VM stabil läuft, einen weiteren finalisierenden Schritt unternehmen, um den permanenten Failover durchzuführen.

Replica Failback

Wenn Sie den Betrieb einer produktiv VM wieder aufnehmen möchten, können Sie von einer replizierten VM aus darauf zurückgreifen. Wenn Sie ein Failback durchführen, kehren Sie von der Replika VM auf die ursprüngliche VM zurück und verlagern so Ihre I/Os und Prozesse vom Zielhost auf den Produktivhost und kehren in den normalen Betriebsmodus zurück.

Wenn es Ihnen gelungen ist, die Lauffähigkeit des Quellhosts wiederherzustellen, können Sie von der Replika VM auf die ursprüngliche VM auf dem Quellhost wechseln. Wenn der Quellhost nicht verfügbar ist, können Sie die ursprüngliche VM an einem neuen Speicherort wiederherstellen und umschwenken.

Failback Funktionen

Veeam Backup & Replication bietet Ihnen drei Failback Optionen:

• Sie können ein Failback auf eine VM am ursprünglichen Speicherort auf dem Quellhost durchführen.
• Sie können ein Failback auf eine VM durchführen die bereits auf einem neuen Host, aus dem Backup, wiederhergestellt wurde.
• Sie können ein Failback an einen anderen Ort durchführen, indem Sie alle Replika Dateien an den Zielort übertragen.

Die ersten beiden Optionen helfen Ihnen, die Wiederherstellungszeit zu verkürzen und die Auslastung des Netzwerks zu minimieren: Veeam Backup & Replication muss nur die Unterschiede zwischen der Quell VM und der Replika VM übertragen. Die dritte Option kann verwendet werden, wenn es keine Möglichkeit gibt, die ursprüngliche VM zu verwenden oder die VM aus dem Backup wiederherzustellen, bevor ein Failback durchgeführt wird.

Failback Funktionsweise

Wenn Sie ein Failback zur original VM durchführen wollen, orchestriert Veeam Backup & Replication folgenden Aktionen:

1. Wenn die originale VM noch aktiv ist, schaltet Veeam Sie aus.
2. Es wird ein Failback Snapshot der originalen VM erzeugt.
3. Veeam Backup & Replication berechnet die Unterschiede der Festplatten der originalen VM und replizierten VM im Failover Zustand. Dadurch wird das Delta ermittelt und erkannt welche Daten von der Replika VM zur original VM übertragen werden müssen, um sie mit der replizierten VM zu synchronisieren.
4. Veeam transportiert nur das Delta der Daten zur original VM. Die transportierte Daten werden in die Delta Datei des Failback Snapshots der original VM geschrieben.
5. Veeam Backup & Replication schaltet die replizierte VM aus. Sie bleibt ausgeschaltet, bis Sie ein Commit Failback durchführen oder mit Hilfe eines Undo Failback wieder auf die Replika VM umschwenken.
6. Veeam erstellt einen Failback Snapshot für die replizierte VM. Der Snapshot fungiert als neuer Wiederherstellungspunkt und speichert den Zeitpunkt vor dem Failback auf die original VM. Mit diesem Snapshot können Sie anschließend in den Zustand vor dem Failback zurückkehren.
7. Veeam Backup & Replication berechnet das Delta zwischen der Replika VM und der original VM erneut und transportiert die Änderungsdaten zur original VM. Dieser neue Synchronisationszyklus ermöglicht es Veeam Backup & Replication, einen Teil der in letzter Minute aufgetretenen Änderungen während des Failback Vorgangs zu berücksichtigen.
8. Im letzten Schritt entfernt Veeam den Failback Snapshot der original VM. Änderungen, die in die Snapshot Delta Datei geschrieben wurden, werden mit den originalen VM Disk Dateien zusammengeführt.
9. Der Status der Replika VM wird von Failover auf Failback geändert. Veeam Backup & Replication setzt die Replikationsaktivitäten für die original VM vorübergehend aus.
10. Wenn Sie einen Failback auf die, an einem anderen Speicherort wiederhergestellte original VM, durchführen, aktualisiert Veeam Backup & Replication die ID der ursprünglichen VM in der Veeam Backup & Replication-Konfigurationsdatenbank. Die ID der original VM wird durch die ID der wiederhergestellten VM ersetzt.
11. Veeam Backup & Replication startet die wiederhergestellte Original VM automatisch auf dem Zielhost, wenn Sie die Checkbox markiert haben.

Failback an einen neuen Standort

Wenn Sie einen Failback an einen völlig neuen Standort durchführen, führt Veeam folgende Schritte aus:

1. Veeam Backup & Replication transportiert alle Replika VM Dateien und speichert sie im Primärspeicher auf der Zielseite.
2. Veeam Backup & Replication registriert eine neue VM auf dem Zielhost.
3. Die VM wird automatisch gestartet, wenn die entsprechende Option gewählt wurde.

In Veeam Backup & Replication wird ein Failback als eine temporäre Zustand betrachtet, der finalisiert werden sollte. Nachdem Sie die wiederhergestellte original VM getestet und sichergestellt haben, dass sie ohne Probleme funktioniert, sollten Sie ein Commit Failback durchführen. Sie können den Failback auch rückgängig machen und die VM Replika wieder in den Failover Zustand versetzen. Um den Failover Vorgang abzuschließen, können Sie dauerhaft auf die Replika VM umschwenken.

Permanent Failover

Wenn Sie ein permanentes Failover durchführen, "committen" bzw. bestätigen Sie den Failover Vorgang. Führen Sie diesen Vorgang nur dann aus, wenn Sie dauerhaft von der original VM zu einer Replika VM wechseln und diese replizierte VM als neue "produktive" VM verwenden möchten. Durch das permanente Failover verliert die Replika VM die Eigenschaft einer replizierten VM und übernimmt die Rolle als produktiv VM.

Dieses Szenario macht Sinn, wenn sich die original VM und die Replika VM am gleichen Standort befinden und in Bezug auf die Ressourcen nahezu gleich sind. In diesem Fall müssen Anwender nicht mit erhöhten Latenzen rechnen.

Ablauf eines Permanent Failovers

1. Veeam Backup & Replication entfernt Snapshots (Wiederherstellungspunkte) der Replika VM aus der Snapshot-Kette und löscht zugehörige Dateien aus dem Datenspeicher. Änderungen, die in die Snapshot Delta Datei geschrieben wurden, werden mit den virtuellen Disks der replizierten VM zusammengeführt, um die Replika VM auf den neuesten Zustand zu bringen.
2. Veeam entfernt die Replika VM aus der Liste der replizierten VMs in der Veeam Backup & Replication-Konsole.
3. Um die Replika VM nach Abschluss des permanenten Failovers vor Datenkorruption zu schützen, passt Veeam Backup & Replication den Replikations Job an und fügt die original VM der Liste der Ausnahmen hinzu. Wenn der Replikations Job gestartet wird, wird die original VM bei der Verarbeitung übersprungen. Infolgedessen werden keine Daten in Richtung der jetzt produktiven Replika VM mehr geschrieben.

Failover Plan

Wenn Sie mehrere VMs haben, die voneinander abhängige Anwendungen ausführen, müssen Sie einen Failover nach dem anderen, als Gruppe durchführen. Um den Vorgang zu automatisieren, können Sie einen Failover Plan erstellen.

In einem Failover Plan legen Sie die Reihenfolge fest, in der VMs prozessiert werden und mögliche Abstände dazwischen. Die Abstände sind definierte Zeitspannen, die Veeam Backup & Replication warten muss, bevor der Failover Vorgang für die nächste VM in der Abfolge gestartet wird. Mit der geplanten Verzögerung wird sichergestellt, dass VMs, wie z.B. ein DNS-Server, zum Zeitpunkt des Starts einer davon abhängigen VM, bereits vollständig hochgefahren sind. Die zeitliche Verzögerung kann für jede VM im Failover Plan einzeln definiert werden, mit Ausnahme der letzten VM in der Abfolge.

Der Failover Plan wird im Voraus erstellt. Falls die primäre VM Gruppe offline geht, können Sie den entsprechenden Failover Plan manuell ausführen. Wenn Sie den Vorgang starten, können Sie wählen, ob Sie ein Failover auf den letzten Stand möchten oder einen anderen Zeitpunkt wählen. Veeam Backup & Replication versucht dann, die virtuellen Maschinen als Replika hochzufahren, aus dem Stand der Ihrer Auswahl am nächsten kommt.

Failover Prozess

Der Failover Prozess wird wie folgt durchgeführt:

1. Veeam Backup & Replication erkennt für jede VM die dazugehörige Replika VM. Befinden sich bereits Replikate ausgefallener virtueller Maschinen im Status Failover oder Failback werden die original VMs bei der Verarbeitung übersprungen.
2. Die Replika VMs werden nach der im Failover Plan definierten Reihenfolge und zeitlichen Verzögerung gestartet.

Finalisierung von Failover Plänen

Ein Failover ist ein temporärer Zustand, der noch finalisiert werden muss. Die möglichen finalisierenden Schritte für ein Gruppen Failover ähneln einem regulären Failover: Undo Failover, Permanent Failover oder Failback.

Wenn Sie sich für Failover oder Failback entscheiden, müssen Sie das für jede VM einzeln ausführen. Sie können ausgeführte Failover Vorgänge jedoch für die gesamte Gruppe mit der Option Undo Failover Plan rückgängig machen.

Wenn Sie den Failover Vorgang rückgängig machen, wird wieder zur vormals produktiven VM umgeschwenkt und alle an der replizierten VM angefallenen Änderungen werden verworfen. Wenn Sie den Gruppen Failover Vorgang rückgängig machen, verwendet Veeam Backup & Replication die Liste der VMs, die während der letzten Failover Plan Ausführung abgearbeitet wurden, und verwendet Sie ab sofort wieder als produktiv VMs. Wenn einige der VMs zwischenzeitlich per Undo Failover wieder zu produktiv VMs umgeschwenkt wurden, z.B. manuell durch den Benutzer, werden Sie bei der Undo Failover Plan Ausführung übersprungen.

Veeam führt einen Undo Failover Vorgang für max. 5 VMs gleichzeitig durch, um die Auswirkungen auf die Infrastruktur zu reduzieren. Befinden sich Bsp. 10 VMs im Failover Plan wird der Failover für die ersten 5 VMs in der Liste ausgeführt, dann 10 Sekunden pausiert und dann die nächsten 5 VMs prozessiert.

Planned Failover

Wenn Sie wissen, dass Ihre produktiven VMs kurz davor sind offline zu gehen, können Sie die Workloads auch proaktiv auf die dazugehörigen Replikate umschwenken. Ein geplanter Failover ist ein sanfter manueller Schwenk von einer produktiven VM auf ihre Replika mit minimaler Unterbrechung. Ein geplanter Failover eignet sich gut um eine Rechenzentrumsmigration, Wartungs oder Software-Upgrades der produktiv VMs zu planen. Auch bei Kenntnis über bevorstehende Katastrophen die einen Ausfall der produktiven Umgebung mit sich ziehen würden, eignet sich ein geplanter Failover sehr gut.

Start eines geplanten Failovers

Wenn Sie den geplanten Failover Vorgang starten, führt Veeam Backup & Replication die folgenden Schritte aus:

1. Der Failover Prozess löst einen sofortigen inkrementellen Replikationslauf aus um die noch nicht replizierten Änderungen an die Replika zu übertragen.
2. Die VM wird heruntergefahren.
3. Ein weiterer inkrementeller Replikationslauf wird ausgeführt um auch die letzten Änderungen mit der Replika VM zu synchronisieren.
4. Der Failover Vorgang von der produktiv VM zur Replika VM wird ausgeführt.
5. Die Replika VM wird gestartet.

Während des geplanten Failover erstellt Veeam Backup & Replication zwei Wiederherstellungspunkte, die danach auch nicht gelöscht werden. Diese Wiederherstellungspunkte erscheinen in der Liste der Wiederherstellungspunkte für diese VM und dienen für Rollback Zwecke. Wenn Ihr primärer Host wieder online ist, können Sie wieder umschwenken. Die finalisierenden Aktionen für einen geplanten Failover ähneln denen eines ungeplanten Failover: Undo Failover, Permanent Failover oder Failback.

Undo Failover

Um eine replizierte VM in den Zustand vor dem Ausfall zurückzuversetzen, können Sie den Failover Vorgang rückgängig machen.

Wenn Sie den Failover Vorgang rückgängig machen, wechseln Sie von der replizierten VM auf die originale VM zurück. Veeam Backup & Replication verwirft alle Änderungen an der Replika VM seit dem Failover. Sie können das Undo Failover Szenario verwenden, wenn Sie zu Test- und Fehlerbehebungszwecken auf die replizierte VM übergegangen sind und in den normalen Betriebsmodus der originalen VM zurückkehren möchten.

Undo Failover

1. Veeam Backup & Replication setzt die replizierte VM in den Zustand vor dem Failover zurück. Dazu schaltet Veeam Backup & Replication die Replika VM aus und bringt sie wieder auf den Zustand des neuesten Snapshots in der Snapshot Kette. Änderungen, die in die Snapshot-Delta Datei geschrieben wurden, während sich die VM im Failover Zustand befand, werden verworfen.
2. Der Zustand der VM-Replika wird wieder auf Normal gesetzt, und Veeam Backup & Replication setzt die Replikation der ursprüngliche VM vom Quellhost fort.

Commit Failback

Um die Wiederherstellung der ursprünglichen VM abzuschließen, müssen Sie den Failback Vorgang bestätigen (commit). Beim Failback bestätigen Sie den Wechsel zurück zur einstigen produktiv VM. Veeam Backup & Replication kehrt in den normalen Betriebsmodus zurück und setzt den Replikationsprozess wie konfiguriert fort.

Ein Commit Failback wird wie folgt durchgeführt:

1. Veeam Backup & Replication ändert den Status der Replika von Failback auf Normal.
2. Weitere Schritte hängen von der Lokation ab zu der das VM Failback durchgeführt wurde:
   1. Wenn das Failback der replizierten VM mit einem neuen Speicherort einhergeht, ändert Veeam Backup & Replication zusätzlich den Replication Job und fügt die frühere produktiv VM zur Liste der Ausnahmen hinzu. Die am neuen Speicherort wiederhergestellte VM übernimmt die Rolle der produktiv VM und wird anstelle der ausgeschlossenen VM in den Replikationsjob aufgenommen. Wenn der Replikationsjob gestartet wird, verarbeitet Veeam Backup & Replication die neu wiederhergestellte VM anstelle ehemaligen produktiven VM.
   2. Wenn der Failback Vorgang der Replika VM wieder zum ursprünglichen Speicherort stattfindet, wird der Replikations Job nicht angepasst. Wenn der Job gestartet wird, verarbeitet Veeam Backup & Replication original VM wie gehabt.

Beim Failback Commit Vorgang wird der Failback Snapshot, der den Zustand einer VM-Replika vor Failback speichert, nicht gelöscht. Veeam Backup & Replication verwendet diesen Snapshot als zusätzlichen Wiederherstellungspunkt für die Replikation. Mit dem Pre-Failback-Snapshot muss Veeam Backup & Replication weniger Änderungen übertragen und belastet somit das Netzwerk weniger, wenn die Replikation wieder aufgenommen wird.

Undo Failback

Wenn die einstige produktiv VM nach dem Failback Vorgang nicht wie erwartet funktioniert, können Sie den Vorgang rückgängig machen und zur Replika VM zurückkehren.

Ein Undo Failback wird wie folgt durchgeführt:

1. Veeam Backup & Replication löscht den Failback Schutz Snapshot der für die replizierte VM erstellt wurde.
2. Veeam Backup & Replication startet die Replika VM und ändert den Status der Replika von Failback auf Failover.

Autor: Patric Hermann Patric Hermann ist seit 2018 Systems Engineer bei Veeam Software und betreut Partner und Kunden im süddeutschen Raum. Durch seine Erfahrung im Systemhausgeschäft bringt er ein breites Wissen über verschiedenste Technologien mit.