Immutable Backup mit Veeam und QNAP QuObjects einrichten

Ein einzelnes Backup-Repository ist schnell wiederhergestellt, schützt aber kaum gegen gezielte Manipulation oder Ransomware. Eine sinnvolle Ergänzung ist ein zusätzliches immutable Backup – also eine Sicherung, die für einen festgelegten Zeitraum nicht gelöscht oder verändert werden kann. Mit Veeam Backup & Replication und einem QNAP-NAS mit QuObjects lässt sich dafür ein S3-kompatibles Object-Storage-Ziel aufbauen.

Empfohlene Architektur

Das bestehende primäre Backup-Repository bleibt für schnelle Restores erhalten. Zusätzlich kopiert ein Backup-Copy-Job die Sicherungen über ein S3-kompatibles Object Storage Repository auf das QNAP-NAS – dort landen sie unveränderlich (immutable) im QuObjects-Bucket.

Voraussetzungen

• Veeam Backup & Replication
• QNAP-NAS mit installiertem QuObjects
• Ein aktives Volume auf dem QNAP (z. B. DataVol2)
• Netzwerkverbindung zwischen Veeam-Server und QNAP
• Aktivierte QuObjects-Serververbindung

1. Speicherplatz in QuObjects anlegen

In QuObjects wird unter Speicherplatz → Erstellen ein eigener Bereich für Veeam angelegt, z. B. mit dem Ordnernamen s3storage auf dem Volume DataVol2. Wichtig: Es muss ein normaler Freigabeordner sein, kein iSCSI-LUN.

2. Bucket mit Objektsperre erstellen

Innerhalb dieses Speicherplatzes wird unter Buckets → Erstellen ein neuer Bucket angelegt (z. B. veeamrepo), mit folgenden Einstellungen:

• Berechtigung: Privat
• Versionierung: aktiviert
• Objektsperre: aktiviert – das ist die entscheidende Einstellung für Immutability und muss bereits beim Erstellen gesetzt werden
• Standard-Beibehaltung: deaktiviert
• S3-Client-Kompatibilität: verbessert/aktiviert

3. Eigenen Benutzer und Zugriffsschlüssel anlegen

Für Veeam sollte ein dedizierter Benutzer angelegt werden (Benutzerverwaltung → Benutzer erstellen), dem die Berechtigung für den zuvor angelegten Speicherplatz zugewiesen wird. Der generierte Access Key enthält dann den Namen des Speicherplatzes als Präfix (z. B. s3storage:xxxxxxxxxxxx). Wird stattdessen ein Key ohne dieses Präfix angezeigt, wurde dem Benutzer noch kein Speicherplatz zugewiesen.

4. Endpoint ermitteln

Der S3-Endpoint von QuObjects ist in den Servereinstellungen sichtbar, z. B. https://10.1.0.22:8010. Dieser Wert wird später in Veeam als Service Point hinterlegt.

5. Object-Storage-Repository in Veeam einrichten

In Veeam unter Backup Infrastructure → Backup Repositories → Add Repository → Object Storage → S3 Compatible die Verbindung mit Service Point, Access Key, Secret Key und Bucket-Namen konfigurieren. Entscheidend ist, dass die Option „Make backups immutable" aktiviert wird. Findet Veeam den Bucket nicht, lohnt sich ein Blick darauf, ob der verwendete Access Key wirklich zum passenden QuObjects-Speicherplatz gehört.

6. Backup Copy Job statt primäres Ziel

Das Object-Storage-Repository sollte nicht das einzige Backup-Ziel sein, sondern über einen separaten Backup Copy Job (Modus „Immediate copy / mirroring") angebunden werden, mit einer Aufbewahrung von z. B. 14 bis 30 Restore Points. So landet jeder neue Wiederherstellungspunkt automatisch zusätzlich im immutable Storage.

Best Practice: die 3-2-1-1-0-Regel

• 3 Kopien der Daten
• 2 unterschiedliche Speichermedien
• 1 Kopie extern/offsite
• 1 Kopie offline oder immutable
• 0 Fehler durch regelmäßige Restore-Tests

Fazit

Mit QNAP QuObjects lässt sich ein S3-kompatibles Repository für Veeam bereitstellen. Versionierung und Objektsperre sorgen dafür, dass der Backup-Copy-Job dort unveränderlich gespeichert wird. Das primäre Backup bleibt für schnelle Restores zuständig, während die zusätzliche immutable Kopie deutlich besseren Schutz gegen Manipulation und Ransomware bietet.