Mardin merkezli, organik tarımsal ürün (pamuk, mercimek, antep fıstığı) ihracatı yapan 180 çalışanlı bir firma, eski Backup Exec + USB disk yedekleme yapısını fidye yazılımı tatbikatında “restore başarısız” çıkması üzerine değiştirdi. 5 ayda Veeam B&R 12 tabanlı 3-2-1-1-0 stratejisine geçildi. Bu yazı projenin sahadaki teknik notlarını paylaşıyor.
3-2-1-1-0 Stratejisi
| Sayı |
Anlam |
| 3 |
Verinin 3 kopyası (1 production + 2 backup) |
| 2 |
2 farklı medya (disk + cloud / disk + tape) |
| 1 |
1 kopya offsite (farklı lokasyon) |
| 1 |
1 kopya immutable / air-gapped |
| 0 |
0 hata (verified restore tatbikatı) |
Workload Envanteri
| Kategori |
Sayı / boyut |
Backup yöntemi |
| VMware ESXi VM |
22 VM, ~~6 TB |
Veeam VMware proxy |
| Hyper-V VM |
16 VM, ~~4 TB |
Veeam Hyper-V proxy |
| Fiziksel Windows Server |
4 sunucu (legacy app) |
Veeam Agent Windows |
| Fiziksel Linux Server |
2 sunucu (custom ETL) |
Veeam Agent Linux |
| NAS (Synology, ihracat dökümanları) |
14 TB |
Veeam NAS Backup |
| SQL Server |
3 instance, ~~3 TB |
Application-aware (VSS) |
| SAP B1 |
1 instance, ~~480 GB |
VSS + transaction log shipping |
| Microsoft 365 |
180 mailbox + 12 TB SP/OD |
Veeam Backup for M365 |
Mimari
[Production VM/host'lar]
↓
[Veeam B&R Server (Win 2022, 16 vCPU, 64 GB RAM)]
↓
┌───┴───────────────┐
↓ ↓
[Repository 1: Disk on-prem] [Repository 2: S3 immutable cloud]
- HPE StoreOnce 24 TB - Wasabi S3 + Object Lock
- GFS retention disk - 7 yıl retention compliance mode
↓
[Tape (LTO-9, gece offsite)]
- Aylık + yıllık tam yedek
- Bankaya kasa (yangın güvencesi)
Backup Job Tasarımı
| Job |
Schedule |
Retention |
| Critical-VMs (8 VM: SAP, ERP, AD, file) |
Her 4 saat (incremental) |
14 daily + 12 weekly + 36 monthly |
| Standard-VMs (30 VM) |
Günde 1 (gece 22:00) |
21 daily + 8 weekly + 12 monthly |
| Physical-Servers (6 fiziksel) |
Günde 1 |
14 daily + 4 weekly |
| NAS-FileShare (14 TB) |
Günde 1 (incremental) |
30 daily + 12 weekly + 12 monthly |
| SQL-Logs (3 instance) |
Her 30 dk (transaction log) |
7 gün |
| M365 (mailbox + SP + OD) |
Her 4 saat (mailbox), günde 1 (SP/OD) |
3 yıl mailbox, 5 yıl SP/OD |
S3 Immutable Repository
Wasabi S3:
Bucket: veeam-mardin-immutable
Object Lock: Compliance Mode (silinemez, kimse tarafından)
Retention: 30 gün minimum
Veeam Repository config:
Type: Object Storage Repository (S3 Compatible)
Make recent backups immutable for: 30 days
Storage Tier: standard (sıcak), 90 gün sonra cool
Application-Aware Image Processing
SQL + SAP DB için VSS-aware backup (consistent snapshot, log truncation):
SQL Server VM job ayarları:
- Application-aware processing: Enabled
- Truncate logs: Yes (after successful backup)
- Use VM credentials: Yes
- SQL configuration: Process specific instances (NOTrunc for AlwaysOn)
- Pre-backup script: stop ETL service
- Post-backup script: restart ETL service
Backup Verification (SureBackup)
SureBackup Job: critical-VM-verify
Schedule: Her hafta Pazar gece
Steps:
1. Backup'tan VM'i lab'a (isolated network) restore
2. VM açılış testi (boot, OS heartbeat)
3. Application test:
- SQL: T-SQL connection + SELECT 1
- SAP: HTTP /health endpoint
- File server: SMB share erişim
4. Antivirus scan (CryptoLocker check)
5. Test sonucu rapor + email
Yıllık Restore Tatbikatı
| Senaryo |
Hedef RPO/RTO |
Test sonucu |
| Tek dosya restore (NAS) |
RPO 24h / RTO 30 dk |
~~12 dk OK |
| SQL DB point-in-time (15 dk öncesi) |
RPO 30 dk / RTO 1 saat |
~~38 dk OK |
| SAP B1 DB restore |
RPO 4h / RTO 4 saat |
~~2.5 saat OK |
| Tüm VM restore (alternatif host) |
RTO 6 saat |
~~3.5 saat OK |
| Site DR (tüm 38 VM, secondary site) |
RTO 24 saat |
~~16 saat OK |
| M365 mailbox restore (silinen 6 ay önce) |
RTO 1 saat |
~~22 dk OK |
| Ransomware tatbikatı (immutable’dan restore) |
RTO 8 saat |
~~4.2 saat OK |
Monitoring + Alert
Veeam ONE (monitoring):
- Job success rate dashboard
- Repository capacity trend
- Verification job result (SureBackup)
- Alarm: job failure > 1 → Teams webhook
- Alarm: repository > 80% → email
- Alarm: SureBackup verify failed → critical alert
Aylık rapor:
- Toplam protected size
- Backup window analizi
- Verification success oranı
- RPO/RTO compliance
Maliyet
| Kalem |
Yıllık (USD) |
| Veeam Universal License (38 VM × ~$35) |
~~$13.300 |
| Veeam Backup for M365 (180 user × $14) |
~~$2.520 |
| HPE StoreOnce 24 TB (3 yıl amortisman) |
~~$8.000 |
| Wasabi S3 (~~18 TB sürekli, immutable) |
~~$1.700 |
| LTO-9 tape + drive (3 yıl amortisman) |
~~$2.800 |
| Veeam ONE |
~~$1.200 |
| Toplam yıllık |
~~$29.500 |
Sahada Düşülen Üç Tuzak
- Backup Job’ları kontrol etmemek: “Yedekleme var” der ama 6 ay sonra %20 job sessizce hatalı tamamlanmış olabilir. Daily monitoring + verification.
- Application-aware’ı atlamak: Crash-consistent backup (VSS yok) → SQL DB inconsistent restore = tutarsız veri. Application-aware şart.
- Immutable repository’ye yatırım yapmamak: Sıradan S3 + write yetkisi = ransomware backup’ı encrypt edebilir. Object Lock Compliance Mode minimum 14 gün.
CloudSpark olarak Veeam Backup & Replication mimarisi, 3-2-1-1-0 strateji tasarımı, S3 immutable repository, M365 backup entegrasyonu, SureBackup verification ve restore tatbikatı programları için danışmanlık veriyoruz.
