Tác giả: Ryan Niksch và Matt Slotten
Ngày phát hành: 27 JAN 2026
Chuyên mục: Containers, IBM & Red Hat on AWS

Khi các doanh nghiệp đẩy nhanh hành trình chuyển đổi sang cloud-native, nhu cầu về các giải pháp bảo vệ dữ liệu mạnh mẽ, an toàn và linh hoạt trở nên tối quan trọng. Red Hat OpenShift đã nổi lên như một tiêu chuẩn cho điều phối cloud-native, cung cấp quản lý hợp nhất cho cả khối lượng công việc container hóa và máy ảo (VM). Với sự ra đời của Red Hat OpenShift Virtualization trên Red Hat OpenShift Service on AWS (ROSA), các tổ chức giờ đây có thể chạy VM cùng với các container, mở khóa các cấp độ linh hoạt và lựa chọn mới.

Trong bài đăng blog này, chúng tôi khám phá cách Veeam Kasten—được triển khai trên Red Hat OpenShift (cả tại chỗ (OCP) và trên đám mây thông qua (ROSA))—trao quyền cho các tổ chức bảo vệ, di chuyển và khôi phục khối lượng công việc trên các môi trường không đồng nhất. Chúng tôi sẽ làm nổi bật kiến trúc cloud-native của Kasten, thiết kế ưu tiên bảo mật và các khả năng độc đáo của nó cho tính di động của khối lượng công việc, phục hồi sau thảm họa và bảo vệ chống ransomware.

Thách thức của doanh nghiệp hiện đại: Quản lý khối lượng công việc hợp nhất

Các tổ chức CNTT hiện đại đối mặt với thách thức kép: hỗ trợ các ứng dụng kế thừa trong VM đồng thời áp dụng các khối lượng công việc cloud-native, được container hóa. Red Hat OpenShift Virtualization, một tính năng của Red Hat OpenShift, thu hẹp khoảng cách này, cho phép VM và container cùng tồn tại trên một nền tảng duy nhất. Cách tiếp cận hợp nhất này đơn giản hóa hoạt động, hỗ trợ di chuyển “lift and shift” và cho phép các chiến lược hiện đại hóa trong tương lai.

Red Hat OpenShift Virtualization tận dụng hypervisor Kernel-based Virtual Machine (KVM) đã được chứng minh, tích hợp nó nguyên bản vào các cụm Kubernetes. Dù được triển khai tại chỗ hay trên đám mây thông qua, Red Hat OpenShift Virtualization cung cấp cơ sở hạ tầng có khả năng mở rộng, bảo mật và tính sẵn sàng cao cho các khối lượng công việc đa dạng.

Di chuyển sang Red Hat OpenShift Virtualization: Một hành trình liền mạch

Việc di chuyển từ các hypervisor truyền thống sang Red Hat OpenShift Virtualization được tinh giản bởi bộ công cụ di chuyển của Red Hat dành cho ảo hóa, cho phép các tổ chức nhập VM từ vSphere, Red Hat OpenShift Virtualization, Red Hat OpenStack Services on OpenShift và các nguồn khác trực tiếp vào các cụm Red Hat OpenShift. Sau khi di chuyển, Veeam Kasten đóng vai trò trung tâm, cung cấp khả năng sao lưu, phục hồi và di động toàn diện cho các khối lượng công việc này.

Các cân nhắc về lưu trữ: Cloud-Native và cấp doanh nghiệp

Không giống như các nền tảng kế thừa dựa vào datastore, Red Hat OpenShift Virtualization sử dụng Kubernetes Persistent Volume Claims (PVCs) để lưu trữ VM. Hầu hết các nhà cung cấp lưu trữ doanh nghiệp đều cung cấp CSI drivers, cho phép các tổ chức tận dụng các khoản đầu tư hiện có. Để có hiệu suất và bảo vệ tối ưu, lưu trữ nên hỗ trợ các tính năng như VolumeSnapshots, quyền truy cập Read/Write/Many (RWX) và Change Block Tracking (CBT).

Veeam Kasten tích hợp liền mạch hơn với các giải pháp lưu trữ như Amazon Elastic Block Store (EBS), Amazon Elastic File System (EFS) và Red Hat OpenShift Data Foundation, cho phép chụp nhanh gia tăng và các hoạt động sao lưu/khôi phục hiệu quả. Đối với các volume EBS, Kasten có hỗ trợ tích hợp cho Change Block Tracking, mang lại hiệu suất nâng cao cho các hoạt động sao lưu và phục hồi. Sự linh hoạt này giúp đảm bảo các tổ chức có thể đáp ứng các yêu cầu về hiệu suất, khả năng mở rộng và bảo vệ dữ liệu trên các môi trường hybrid và multi-cloud.

Veeam Kasten: Bảo vệ dữ liệu Cloud-Native cho Red Hat OpenShift

Veeam Kasten được xây dựng có mục đích cho Kubernetes, cung cấp quản lý dữ liệu cấp doanh nghiệp cho cả khối lượng công việc container hóa và VM. Các khả năng chính bao gồm:

• Sao lưu và Khôi phục: Bảo vệ các ứng dụng cloud-native và dữ liệu quan trọng của doanh nghiệp bằng các bản sao lưu dựa trên chính sách và khôi phục nhanh chóng.
• Phục hồi sau thảm họa: Quản lý các bản sao lưu ngoài trang web để đáp ứng các yêu cầu kinh doanh và quy định, hỗ trợ kiến trúc DR hot-warm và hot-cold.
• Tính di động của ứng dụng: Cho phép di chuyển liền mạch các ứng dụng và VM giữa các đám mây và môi trường tại chỗ, hỗ trợ kiểm thử/phát triển, cân bằng tải và nâng cấp.
• Bảo vệ chống Ransomware: Tận dụng lưu trữ đối tượng bất biến để đảm bảo dữ liệu sao lưu không bị thay đổi và không thể xóa được.

Sự hiểu biết sâu sắc của Kasten về thiết kế ứng dụng cloud-native cho phép nó tự động phát hiện và bảo vệ khối lượng công việc, ngay cả khi các thành phần được thêm, lên lịch lại hoặc xóa. Cách tiếp cận lấy ứng dụng làm trung tâm của nó đảm bảo sự đơn giản trong vận hành cho cả nhà phát triển và đội ngũ vận hành, với khả năng quản lý thông qua cổng web hoặc API/CLI gốc của Kubernetes.

Hơn nữa, với việc giới thiệu gần đây các khả năng và giao diện người dùng tập trung vào VM, Kasten có thể giúp các Quản trị viên Ảo hóa và Sao lưu dễ dàng chuyển đổi việc sao lưu khối lượng công việc của họ từ các giải pháp sao lưu ảo hóa hypervisor loại 1 truyền thống sang kiến trúc ảo hóa hiện đại của Red Hat OpenShift Virtualization.

Tổng quan kiến trúc

Thiết kế ưu tiên bảo mật: Mã hóa, bất biến và tuân thủ

Bảo mật là trọng tâm trong kiến trúc của Veeam Kasten:

• Mã hóa luôn bật: Dữ liệu được mã hóa cả khi truyền và khi lưu trữ, sử dụng mã hóa phong bì với các khóa AES-256-GCM duy nhất cho mỗi ứng dụng và chính sách.
• Tuân thủ FIPS 140-3: Kasten có thể hoạt động ở chế độ FIPS, tận dụng các thuật toán mật mã và phương pháp RNG đã được phê duyệt—điều quan trọng đối với các tổ chức có yêu cầu bảo mật nghiêm ngặt.
• Tính bất biến của lưu trữ đối tượng: Các bản sao lưu được lưu trữ trong Amazon Simple Storage Service (S3), Azure Blob hoặc lưu trữ tương thích S3 có thể được đặt thành bất biến tạm thời, bảo vệ chống lại việc xóa hoặc thao túng bởi ransomware hoặc các tác nhân độc hại.
• Chuỗi cung ứng phần mềm an toàn: Kasten cung cấp một Software Bill of Materials (SBOM) toàn diện với mỗi bản phát hành và có sẵn trên PlatformOne IronBank, cung cấp mức độ đảm bảo cao hơn rằng cơ sở hạ tầng sao lưu của họ an toàn.
• Xác thực tích hợp và RBAC chi tiết: Kasten trao quyền cho các Quản trị viên Sao lưu và Chuyên gia Bảo mật với một Role Based Access Control (RBAC) mạnh mẽ, cho phép kiểm soát cực kỳ chi tiết được triển khai bằng các tiêu chuẩn cloud-native. Hơn nữa, việc tích hợp với Red Hat OpenShift OAuth hoặc bất kỳ nhà cung cấp OIDC nào đảm bảo trải nghiệm thống nhất cho người dùng, loại bỏ sự dư thừa khi phải sử dụng nhiều nhà cung cấp Identity and Access Management khác nhau.

Việc tích hợp với Red Hat Advanced Cluster Security for Kubernetes tăng cường hơn nữa khả năng bảo vệ, cho phép các tổ chức giám sát, cảnh báo và thực thi các chính sách xung quanh cấu hình và bí mật của Kasten.

Kiến trúc Hybrid và Multi-Cloud: Linh hoạt không thỏa hiệp

Hợp tác với Red Hat và AWS, Veeam Kasten cho phép và trao quyền cho một cách tiếp cận hybrid: một cụm Red Hat OpenShift tại chỗ với Red Hat OpenShift Virtualization, kết hợp với một cụm thứ cấp trên ROSA. Kasten Disaster Recovery xuất dữ liệu danh mục và cấu hình hàng giờ, với thông tin xác thực được lưu trữ an toàn trong HashiCorp Vault hoặc Amazon Key Management Service (KMS). Xác thực được hợp nhất thông qua Red Hat OpenShift OAuth, thường được hỗ trợ bởi Okta, giúp đảm bảo quản lý danh tính nhất quán hơn trên các cụm.

Trong trường hợp xảy ra thảm họa, khối lượng công việc có thể được khôi phục về cụm ROSA, duy trì tính liên tục của doanh nghiệp. Khi trang web chính được khôi phục, khối lượng công việc có thể được di chuyển trở lại, tận dụng các chính sách nhập của Kasten để chuyển đổi liền mạch. Kiến trúc này có thể được mở rộng để hỗ trợ triển khai chỉ tại chỗ, chỉ trên đám mây công cộng hoặc đa trang web, cung cấp khả năng phục hồi chống lại các lỗi cơ sở hạ tầng và sự cố ngừng hoạt động của nhà cung cấp đám mây.

Các trường hợp sử dụng phục hồi

Bảo vệ dựa trên chính sách: Sao lưu, phục hồi và di động

Kasten sử dụng các cấu trúc dựa trên chính sách để xác định tần suất sao lưu, thời gian lưu giữ và quản lý vòng đời. Các chính sách có thể nhắm mục tiêu tài sản theo namespace, label hoặc phạm vi cụm, hỗ trợ bảo vệ chi tiết cho các khối lượng công việc đa dạng. Các chính sách snapshot thực hiện các hoạt động snapshot lưu trữ và thu thập siêu dữ liệu ứng dụng, với các bản sao lưu được lưu trữ cả trên cụm và ngoài cụm trong các giao thức như S3 hoặc NFS.

Phục hồi sau thảm họa tập trung vào ứng dụng và dữ liệu của nó, thay vì cơ sở hạ tầng bên dưới. Trong các kịch bản DR hot-cold, một phiên bản Kasten mới được triển khai trên một cụm Red Hat OpenShift mới, và việc phục hồi được thực hiện bằng cách khôi phục cấu hình Kasten và các ứng dụng được bảo vệ. Kiến trúc hot-warm sử dụng các chính sách nhập theo lịch trình để giảm thiểu Recovery Time Objective (RTO).

Tính di động của ứng dụng và VM: Kích hoạt môi trường không đồng nhất

Transform Engine của Kasten cho phép các ứng dụng và VM được nhân bản hoặc di chuyển trong hoặc giữa các cụm Red Hat OpenShift. Khi khối lượng công việc được khôi phục trong các môi trường mới, Kasten có thể điều chỉnh cấu hình—chẳng hạn như StorageClass, annotations hoặc số lượng bản sao—để phù hợp với sự khác biệt về cơ sở hạ tầng. Khả năng này trao quyền cho các tổ chức tận dụng cơ sở hạ tầng không đồng nhất cho các trung tâm dữ liệu chính và phụ, thực hiện nâng cấp với thời gian ngừng hoạt động tối thiểu và hỗ trợ các chiến lược multi-cloud.

Môi trường không đồng nhất

Bảo vệ chống Ransomware: Phòng thủ theo chiều sâu

Thiết kế ưu tiên bảo mật của Kasten bao gồm:

• Mã hóa: Luôn bật, với các khóa duy nhất theo chính sách và hỗ trợ các Hệ thống quản lý khóa (KMS) bên ngoài.
• Tính bất biến: Object Lock trên các hệ thống lưu trữ được hỗ trợ ngăn chặn việc xóa hoặc thao túng bản sao lưu.
• Giám sát: Tích hợp với RHACS cho phép thực thi chính sách và cảnh báo cho các hoạt động trái phép.

Các tính năng này đảm bảo rằng ngay cả khi dữ liệu sản xuất bị xâm phạm, các bản sao lưu vẫn an toàn và có thể khôi phục được.

Các mô hình triển khai: Tại chỗ, trên đám mây và hơn thế nữa

Kasten và Red Hat OpenShift hỗ trợ nhiều mô hình triển khai:

• Hybrid: Red Hat OpenShift tại chỗ với Red Hat OpenShift Virtualization, kết hợp với ROSA cho DR.
• Chỉ tại chỗ: Trang web thứ cấp trong một trung tâm dữ liệu độc lập, với các cân nhắc về kích thước bổ sung.
• Chỉ trên đám mây: Các trang web chính và phụ trong các AWS Region khác nhau hoặc thậm chí các đám mây khác để giảm thiểu sự cố ngừng hoạt động của nhà cung cấp.
• Đa trang web: Kiến trúc hot-warm-cold hoặc hot-hot-warm, với sao chép đồng bộ và sao lưu/khôi phục Kasten.

Mỗi mô hình có thể được điều chỉnh để đáp ứng các yêu cầu của tổ chức về khả năng phục hồi, chi phí và khả năng mở rộng.

Kết luận: Trao quyền cho doanh nghiệp Cloud-Native

Veeam Kasten, kết hợp với Red Hat và AWS, cung cấp một giải pháp mạnh mẽ, an toàn và linh hoạt để bảo vệ, di chuyển và khôi phục khối lượng công việc trên các môi trường hybrid và multi-cloud với Red Hat OpenShift Virtualization trên ROSA. Kiến trúc cloud-native, thiết kế ưu tiên bảo mật và quản lý dựa trên chính sách của nó cho phép các tổ chức đáp ứng các yêu cầu của CNTT hiện đại—đảm bảo tính liên tục của doanh nghiệp, tuân thủ và nhanh nhẹn.

Cho dù bạn đang hiện đại hóa các ứng dụng kế thừa, áp dụng phát triển cloud-native hay xây dựng kiến trúc multi-cloud linh hoạt, Veeam Kasten đều cung cấp nền tảng cho sự thành công.

Tài liệu tham khảo và tài nguyên:

• Kiến trúc tham chiếu Veeam Kasten và OpenShift Virtualization [1]
• Xem video này để hiểu Veeam Kasten là gì
• Xem video này để tìm hiểu thêm về Veeam Kasten bên trong
• Xem video này để tìm hiểu thêm về kích hoạt khối lượng công việc hybrid với ROSA và Veeam Kasten
• Xem video này để hiểu cách ROSA và Veeam Kasten có thể hỗ trợ di chuyển khối lượng công việc
• Xem video này để hiểu thêm về triển khai và bảo vệ khối lượng công việc Ảo hóa hiện đại trên ROSA và với Kasten

Về tác giả

Ryan Niksch
Ryan Niksch là Kiến trúc sư Giải pháp Đối tác tập trung vào các nền tảng ứng dụng, giải pháp ứng dụng hybrid và hiện đại hóa. Ryan đã đảm nhiệm nhiều vai trò trong cuộc đời mình và có niềm đam mê mày mò cùng mong muốn để lại mọi thứ anh chạm vào tốt hơn một chút so với khi anh tìm thấy nó.

Matt Slotten
Matt Slotten là Kiến trúc sư Giải pháp Chính tại Kasten by Veeam, mang đến hơn 15 năm kinh nghiệm trong điện toán đám mây, DevSecOps và cơ sở hạ tầng CNTT. Anh thiết kế và triển khai các giải pháp bảo vệ dữ liệu cloud-native giúp các tổ chức hiện đại hóa và bảo mật môi trường của họ trên các nền tảng Kubernetes, ảo hóa và hybrid cloud. Với chuyên môn kỹ thuật sâu rộng về cơ sở hạ tầng đám mây, infrastructure-as-code (IaC) và phát triển ứng dụng web, Matt đam mê học hỏi, tận dụng và xây dựng các công nghệ mã nguồn mở cả trong công việc và thời gian rảnh rỗi. Anh tích cực đóng góp cho cộng đồng thông qua nội dung kỹ thuật và giáo dục, bao gồm xuất bản trên veeamkasten.dev và phát biểu tại các sự kiện lớn trong ngành như Nutanix .NEXT, Intel IT Modernization Summit, SUSECON và VeeamON. Trước khi gia nhập Kasten by Veeam, Matt đã giữ một số vai trò cấp cao và lãnh đạo, bao gồm Giám đốc Tiếp thị Kỹ thuật tại Nutanix, Giám đốc Tiếp thị Kỹ thuật tại Checkmarx, Quản lý cấp cao Dịch vụ Nutanix và Tư vấn viên cấp cao tại Accenture. Nền tảng của anh bao gồm kiến trúc doanh nghiệp, hiện đại hóa bảo mật và hỗ trợ nhà phát triển, mang lại cho anh một góc nhìn độc đáo về việc hợp nhất các thực hành cơ sở hạ tầng, vận hành và bảo mật. Các lĩnh vực chuyên môn của Matt bao gồm Kubernetes, ảo hóa, an ninh mạng, AI và DevSecOps. Ngoài công việc chuyên môn, anh vẫn cam kết thúc đẩy hệ sinh thái mã nguồn mở và giúp các nhóm áp dụng các công nghệ cải thiện khả năng phục hồi, nhanh nhẹn và đổi mới.