Backups de máquinas virtuales sin herramientas comerciales

  • El backup sin agente aprovecha las APIs de hipervisores como Proxmox, Hyper‑V o VMware para realizar copias basadas en imagen con mínimo impacto en las VMs.
  • Soluciones como NAKIVO, Veeam Community, BackupChain, Windows Server Backup, QNAP HDP o AWS Backup permiten proteger VMs sin licencias comerciales caras.
  • En PYMEs, ejecutar Veeam Community como VM con repositorio en NAS suele ser más fiable que depender de hardware antiguo o de una única herramienta integrada.
  • La clave está en combinar copias incrementales, recuperación granular, cifrado e inmutabilidad, ajustando la solución a la escala y presupuesto del entorno.
Daniel Terrasa

18 minutos

backups máquinas virtuales

Hacer backups fiables de máquinas virtuales sin gastar un dineral en licencias comerciales es posible, pero requiere entender bien qué opciones hay, cómo funcionan y qué límites tienen. Entre hipervisores como Proxmox, Hyper‑V o VMware, soluciones open source, herramientas integradas del sistema y servicios en la nube, el abanico es amplio y es fácil perderse.

En este artículo vamos a desgranar cómo funcionan los backups de máquinas virtuales sin herramientas comerciales, qué es exactamente el backup sin agente, qué alternativas gratuitas reales existen (QNAP HDP, Veeam Community, BackupChain, Windows Server Backup, soluciones tipo NAKIVO en su versión de prueba o comunitaria, AWS Backup, etc.) y qué tiene más sentido en entornos pequeños y medianos, sobre todo cuando eres el único administrador de sistemas de una PYME y no puedes permitirte soluciones caras ni arquitecturas imposibles.

Qué es un backup sin agente de máquinas virtuales

El llamado backup sin agente (agentless) es un enfoque relativamente moderno en el que la copia de seguridad se hace a nivel de hipervisor. Es decir, desde fuera de la máquina virtual. La herramienta de backup se conecta al hipervisor (Proxmox, Hyper‑V, VMware, etc.) a través de sus APIs y realiza copias basadas en imagen de la VM completa: discos virtuales, ficheros de configuración y, según el caso, información de snapshots o puntos de control.

En vez de instalar un agente dentro de cada VM, la solución de backup se apoya en APIs específicas de cada plataforma de virtualización (por ejemplo, VADP en VMware o las APIs de Proxmox y Hyper‑V) que permiten congelar el estado de la máquina (normalmente con VSS en Windows) y leer los bloques que conforman los discos virtuales sin entrar en el sistema operativo invitado. A partir de ahí construye una cadena de copias de seguridad con backups completos e incrementales.

Para que esto funcione, el hipervisor debe ofrecer mecanismos como el Changed Block Tracking (CBT) o rastreo de bloques modificados. Así, en cada backup incremental solo se transfieren los bloques que han cambiado desde el último punto de recuperación. Reduciendo tiempo de copia, impacto en la infraestructura y espacio ocupado en el repositorio.

backup maquinas virtuales

Ventajas del backup sin agente frente al backup con agente

En entornos virtualizados modernos, el backup sin agente tiene una serie de ventajas claras respecto a instalar un agente en cada VM. Son las siguientes:

  • Uso más racional de los recursos. Al no ejecutar procesos de backup dentro de cada máquina virtual, disminuye el consumo de CPU y RAM dentro de las VMs. El trabajo pesado se realiza en el host o en la appliance de backup, y gracias al seguimiento de bloques nativo del hipervisor, los backups incrementales son mucho más rápidos y eficientes en disco.
  • Eficiencia operativa. En lugar de instalar, actualizar y mantener agentes en cada VM, con un enfoque sin agente basta añadir el host o clúster de virtualización (Proxmox, vSphere, Hyper‑V, etc.) a la solución de backup. A partir de ahí, las máquinas virtuales presentes y las nuevas que creemos pueden protegerse desde una misma consola. Esto simplifica la vida del administrador y reduce errores humanos.
  • Reducción de costes. Los proveedores que licencian por host o por capacidad suelen salir más rentables que los que venden licencias por agente. Además, el hecho de ahorrar CPU, RAM y espacio en las propias VMs ayuda a exprimir mejor el hardware existente. Algo especialmente importante en PYMEs y laboratorios.

Soluciones sin agente para Proxmox VE: ejemplo de NAKIVO

Proxmox VE es un entorno de virtualización basado en Debian muy popular, que integra KVM para máquinas virtuales y LXC para contenedores. Con una interfaz web bastante amigable. Proxmox ofrece su propio servidor de copias nativo, Proxmox Backup Server, pero en entornos mixtos (VMware, Hyper‑V, EC2, físicos, etc.) suele ser más práctico unificar todo en una solución centralizada que cubra varios hipervisores.

NAKIVO Backup & Replication es una de esas soluciones capaces de realizar backups sin agente de Proxmox VE a nivel de host, además de soportar VMware vSphere, Microsoft Hyper‑V, Amazon EC2 y máquinas físicas mediante agentes. Para Proxmox, NAKIVO implementa las funciones clave que se esperan de un sistema moderno de protección de datos.

Funciones principales de NAKIVO para Proxmox VE

Entre las capacidades más interesantes se incluyen la copia de seguridad basada en imagen con coherencia a nivel de aplicación, la posibilidad de restaurar directorios y ficheros concretos desde una copia de VM, y el uso del seguimiento de cambios nativo de Proxmox para acelerar los backups incrementales y reducir el consumo de almacenamiento. Se pueden configurar esquemas de incremental permanente o incremental más backups completos periódicos.

En cuanto a destinos, NAKIVO permite guardar los backups en almacenamiento local, compartidos SMB/NFS, appliances de desduplicación, librerías de cinta y múltiples nubes públicas (Amazon S3, Wasabi, Backblaze B2, Azure Blob u otros S3‑compatibles). También soporta replicación y copias secundarias a distintas ubicaciones.

De cara a la ciberseguridad, NAKIVO ofrece copias de backup inmutables durante un periodo definido. Ello dificulta que ransomware o usuarios maliciosos modifiquen o borren las copias. Además, se puede activar cifrado de los backups en origen con contraseña, garantizando la confidencialidad tanto en tránsito como en reposo.

La parte de automatización y operación diaria se resuelve con programaciones flexibles y políticas de retención, incluida retención tipo GFS (Grandfather‑Father‑Son) y políticas personalizadas. Todo ello gestionado desde una consola web. Así, con unos pocos jobs bien definidos se puede mantener un histórico coherente sin demasiada intervención manual.

Cómo se añade Proxmox a NAKIVO y se crea un job

Para proteger máquinas virtuales Proxmox con NAKIVO, primero hay que incorporar el host o clúster Proxmox al inventario. Desde la interfaz web de NAKIVO (componente Director) se accede a Ajustes > Inventario y se añade un nuevo elemento de tipo plataforma virtual Proxmox, indicando nombre, IP o hostname, usuario con permisos de administración (por ejemplo root), puertos de la web (por defecto 8006) y de SSH (22 salvo que lo hayamos cambiado) y la ruta del directorio temporal (normalmente /tmp).

Al completar el asistente, NAKIVO instala automáticamente su componente Transporter en el host o en todos los nodos del clúster Proxmox. Este componente se encarga de manejar el tráfico de backups desde y hacia los repositorios. En Configuración > Nodos pueden verse los Transporters instalados y su estado.

Una vez que los hosts Proxmox figuran en el inventario, se pueden crear jobs de backup sin agente para VMs. Desde el área de Protección de datos se inicia un “Job de backup para Proxmox VE” y el asistente guía por los pasos habituales: seleccionar fuentes (las VMs concretas o grupos), indicar el repositorio de destino (local, NAS, nube, etc.), configurar la programación y la retención, y ajustar opciones como prioridad del job, modo de coherencia de aplicaciones, seguimiento de cambios y cifrado de backups.

En el apartado de tracking de cambios se puede elegir seguimiento nativo de Proxmox (lo recomendable para tener backups incrementales rápidos), el mecanismo propietario de NAKIVO o ignorar el seguimiento de cambios y forzar backups completos siempre (solo razonable para entornos muy pequeños o backups muy esporádicos).

El job puede lanzarse inmediatamente (Finalizar & Ejecutar) o dejar que se ejecute según la hora programada. Una vez activa la protección, cada ejecución incremental se limita a copiar los bloques nuevos o modificados desde la última ejecución. Con eso se generan puntos de recuperación independientes.

Recuperación completa y granular en Proxmox

A la hora de restaurar, NAKIVO permite tanto recuperación completa de VMs Proxmox como recuperación granular de archivos e incluso recuperación a nivel de objeto para ciertos servicios (Active Directory, Exchange, SQL Server, etc.). También ofrece exportar backups de VMs Proxmox a otras plataformas, por ejemplo recuperarlas directamente como VMs en Hyper‑V o VMware ESXi. Algo muy útil en migraciones o planes de contingencia (ver cómo convertir discos virtuales).

Para recuperar archivos individuales, se selecciona el job de backup correspondiente, se elige Recuperar > Archivos individuales, se escoge la VM y el punto de recuperación, y luego el método de recuperación (descargar por navegador, enviar por correo, restaurar a un servidor o a recursos compartidos de archivos). De esta forma se puede, por ejemplo, sacar un fichero de /opt de una VM Linux sin tener que restaurar toda la VM.

Si lo que se desea es levantar una VM completa desde una copia, se usa la opción de Recuperación completa para Proxmox VE. El asistente permite elegir qué VMs y con qué punto de recuperación, y después seleccionar contenedor (host o clúster Proxmox), datastore, red virtual y, opcionalmente, un pool de recursos. Una vez ajustadas las opciones de red y rendimiento, se lanza el job y la VM se recrea con sus discos y configuración en el nuevo entorno.

Hyper-V

Backups de Hyper‑V sin soluciones comerciales de pago

En entornos Windows con Hyper‑V, especialmente en PYMEs, es muy habitual buscar métodos gratuitos para proteger las VMs hacia un NAS (por ejemplo QNAP) o hacia discos locales. Entre las opciones más frecuentes destacan las herramientas integradas como Windows Server Backup, utilidades gratuitas de los fabricantes de almacenamiento (QNAP Hyper Data Protector), ediciones community de productos comerciales como Veeam Community Edition, o software orientado a profesionales como BackupChain en sus planes básicos o de prueba.

Windows Server Backup + VSS de Hyper‑V

Windows Server incluye una función de copias de seguridad nativas que, correctamente configurada, es capaz de hacer backups consistentes de máquinas virtuales Hyper‑V. La clave está en que el escritor de VSS de Hyper‑V esté registrado con Windows Server Backup. Esto se logra añadiendo una serie de claves en el registro del sistema con el GUID del escritor de Hyper‑V y el identificador de aplicación “Hyper‑V”.

Una vez registrado el escritor, los backups se realizan a nivel de volumen. Es necesario incluir en el job todos los volúmenes que contienen los ficheros de configuración, los discos duros virtuales (VHD/VHDX) y el fichero InitialStore.xml (normalmente en C:\ProgramData\Microsoft\Windows\Hyper‑V). Si los discos están repartidos en C:, D: y E:, habrá que incluir esos tres volúmenes en la copia.

Las VMs sin servicios de integración instalados, o cuyos sistemas operativos no soportan VSS (como Windows 2000 o XP), se ponen en estado guardado mientras se toma la instantánea. Esto implica un pequeño corte de servicio en el interior de la VM. Además, las VMs con discos dinámicos requieren backups sin conexión.

La restauración se puede realizar a nivel de aplicaciones (Hyper‑V) desde la consola de Windows Server Backup, eligiendo fecha, tipo de recuperación y ubicación. Un problema conocido es que las VMs con más de una instantánea pueden dar fallos de restauración. En ese caso suele ser necesario eliminar la VM, restaurar primero los ficheros de instantáneas como archivos y luego repetir la restauración de Hyper‑V para reconstruir correctamente la máquina.

QNAP Hyper Data Protector (HDP) para Hyper‑V y VMware

Los NAS QNAP incluyen la herramienta Hyper Data Protector, que permite realizar copias de seguridad de máquinas virtuales Hyper‑V y VMware directamente hacia el NAS, sin coste de licencia adicional. Funciona de forma similar a otras soluciones sin agente: se conecta a los hosts, detecta las VMs y crea jobs de backup con programación y retención configurables, guardando las copias en el almacenamiento del QNAP o automatizándolas con rsync, y almacenándolas en el QNAP.

En el escenario típico de una PYME con dos servidores físicos Hyper‑V y un NAS QNAP, HDP puede ser una solución razonable y sencilla de configurar. Ideal para copias nocturnas fuera de horas. La duda habitual gira en torno a su fiabilidad a largo plazo y a la superficie de ataque de un NAS expuesto, ya que QNAP no es precisamente famoso por la rapidez con la que corrige vulnerabilidades. Para mitigar riesgos, es fundamental aislar correctamente el NAS, deshabilitar servicios innecesarios y mantenerlo siempre actualizado.

Si ya se dispone de HDP funcionando sin incidentes y el número de VMs es bajo, seguir con esta solución puede ser perfectamente viable. Siempre y cuando se complemente con buenas prácticas de seguridad y pruebas periódicas de restauración. Ahora bien, si se quiere dar un salto de calidad en la gestión de backups, tiene sentido evaluar alternativas como Veeam Community.

Veeam Community Edition: dónde y cómo desplegarlo

Veeam Backup & Replication en su Community Edition ofrece una versión gratuita con limitaciones de capacidad (un número máximo de instancias o VMs protegidas). Pero con prácticamente todas las funciones avanzadas de la versión de pago.

En el caso concreto de tener dos hosts Hyper‑V productivos, un NAS QNAP y un servidor antiguo Dell PowerEdge 1850, se plantean tres opciones:

  • Seguir con QNAP HDP.
  • Instalar Veeam Community en el Dell como tercer servidor físico.
  • Montar Veeam Community como una VM dentro de uno de los hosts de producción.

El Dell 1850, por muy duro que sea, es un hardware claramente fuera de ciclo. Eso significa más consumo, menos rendimiento, piezas difíciles de encontrar y mayor probabilidad de fallo. Si Veeam se ejecuta ahí y ese servidor muere, aunque las copias estén en el NAS, habrá que reconstruir urgentemente el servidor de backup en otro equipo antes de poder restaurar VMs con comodidad.

Montar Veeam como VM en uno de los hosts, por su parte, tiene la desventaja conceptual de estar protegido por sí mismo. Pero en la práctica muchos entornos pequeños lo hacen así sin mayores problemas. Mientras el repositorio de backup esté en un NAS o en otro almacenamiento externo y no solo en el mismo host, perder esa VM de Veeam no implica perder los backups, sino tener que reinstalar Veeam y volver a importar las copias desde el QNAP.

Por tanto, desde un punto de vista pragmático y de fiabilidad global, la opción menos “ridícula” suele ser ejecutar Veeam Community como VM en uno de los hosts actuales, guardando los backups en el QNAP, manteniendo HDP como solución secundaria o de transición, y reservar el antiguo Dell solo como última opción o para pruebas. Un solo admin con recursos limitados necesita algo estable y documentado. ¡Y que no añada más puntos de fallo de los necesarios!

BackupChain para Hyper‑V y otros hipervisores

BackupChain es un software de backup orientado a profesionales de TI que se ha hecho un hueco especialmente en entornos Hyper‑V. Una sola licencia permite hacer copias ilimitadas de máquinas virtuales Hyper‑V en un host, además de soportar backups de servidores físicos, conversiones P2V/V2P/V2V, deduplicación, compresión, encriptado y envío a múltiples destinos (discos locales, recursos compartidos, FTP, nubes, etc.).

Entre sus capacidades más relevantes está el soporte para copias de seguridad automáticas de VMs Hyper‑V en Windows Server 2022 a 2008 y Windows 8 a 11, con posibilidad de elegir una estrategia basada en ficheros (respaldar la carpeta que contiene las VMs) o basada en VMs (seleccionar directamente las máquinas virtuales desde la lista). Admite Cluster Shared Volumes, clústeres de conmutación por error, backups secuenciales para reducir impacto y la inclusión de snapshots en las copias.

BackupChain puede restaurar máquinas virtuales en nuevos hosts, clonar VMs evitando conflictos de nombres y, gracias a su deduplicación a nivel de bloque (delta compression), almacenar múltiples versiones históricas de VMs haciendo un uso muy eficiente del espacio. El diseño permite que, de media, quepan muchas más versiones de una VM en el mismo disco respecto a hacer backups completos tradicionales.

Un punto llamativo es la funcionalidad de backup y restauración granular (en las ediciones Enterprise y Platinum), que permite seleccionar archivos y carpetas dentro de la VM desde el propio host, sin instalar agentes dentro de las máquinas virtuales. Esto simplifica mucho la protección selectiva de datos críticos sin tener que duplicar la arquitectura de backup.

Además, BackupChain se integra con VSS para asegurar consistencia de aplicaciones como Microsoft Exchange y SQL Server, soporta entornos Core y Hyper‑V Server con interfaz gráfica mediante Escritorio remoto, es compatible con almacenamiento SAN, iSCSI, CSV y ofrece opciones de replicación remota a través de FTP/FTPS. Suele ofrecerse con periodos de prueba de 20 días plenamente funcionales, lo que permite testearlo a fondo antes de adquirir licencias.

VMWare

Backups de VMware y protección en la nube sin productos de pago

En el mundo VMware hay una cantidad enorme de soluciones comerciales (HYCU, Veeam, NAKIVO, Zerto, Rubrik, Avamar, Cohesity, Acronis, Arcserve, Druva, Commvault…) que ofrecen desde backup básico a DR en la nube y gestión de datos multi‑cloud. Aunque muchas son de pago, varias disponen de versiones limitadas gratuitas, ediciones community o pruebas extendidas. Estas bien usadas, pueden cubrir entornos pequeños sin coste directo de licencia, a cambio de cierta complejidad (ciber‑resiliencia del dato en multicloud).

HYCU, por ejemplo, se posiciona como una solución sin agentes centrada en la aplicación, con soporte para VMware on‑prem y en nubes públicas como AWS, Azure o Google Cloud. Ofrece copias incrementales basadas en CBT, backups coherentes con las aplicaciones, inmutabilidad mediante storage WORM y fuerte enfoque en ransomware. La idea es simplificar la protección de datos híbrida y multicloud con políticas tipo “configurar y olvidar” y recuperación granular desde una consola unificada.

Veeam Backup & Replication, quizá el nombre más conocido, ofrece en todas sus ediciones características como recuperación instantánea de VMs arrancándolas desde el propio backup, entornos de pruebas aislados (DataLabs), integración con storage de objetos barato mediante Cloud Tier (Amazon S3, Azure Blob, IBM Cloud Object Storage, compatibles S3, etc.) y una interfaz de gestión consolidada para cargas de trabajo on‑prem y cloud. La Community Edition hereda gran parte de esta funcionalidad, limitada por número de entidades protegidas.

Otras soluciones como NAKIVO, Zerto, Rubrik, Avamar, Cohesity, Acronis, Arcserve, Druva o Commvault añaden funcionalidades avanzadas: replicación continua con RPO casi cero (Zerto), Live Mount para montar VMs directamente desde el backup (Rubrik), integración profunda con vSAN y vRealize, deduplicación global, archivado en la nube, DR orquestado, backups directos a la nube sin hardware intermedio, etc. Aunque estas plataformas están pensadas para media y gran empresa, algunas ofrecen demos prolongadas o capacidades gratuitas. Estas pueden servir para evaluar estrategias o cubrir laboratorios.

Aprovechar servicios cloud: AWS Backup con VMware

AWS ofrece un servicio de backup gestionado e integrado llamado AWS Backup que, mediante el componente Backup Gateway, puede descubrir hipervisores VMware on‑prem y gestionar backups de las VMs hacia la nube de Amazon. Una vez se añade el hipervisor, la consola muestra las máquinas virtuales y permite crear copias de seguridad bajo demanda (completas únicas) o automatizar backups incrementales mediante planes de copia con políticas de retención y ciclo de vida.

AWS Backup intenta utilizar el Changed Block Tracking de VMware para acelerar los incrementales. Si no es posible (por ejemplo, tras un apagado brusco del host o de la VM), recurre a un mecanismo propio de detección de cambios para completar la copia, aunque esto suponga más tiempo y consumo de recursos. Posteriores backups suelen volver a usar CBT si el problema que lo invalidaba se ha resuelto.

Además, AWS Backup permite asignar recursos a planes de copia usando etiquetas. Las VMs pueden etiquetarse en VMware (categoría y nombre de etiqueta) y luego definirse mapeos hacia etiquetas AWS equivalentes. De forma que cualquier VM con determinadas etiquetas quede automáticamente incluida en el plan de backup apropiado. Esto facilita mucho la gestión en entornos dinámicos con alta rotación de máquinas.

A través de la API y del AWS CLI se pueden crear y consultar mapeos de etiquetas (put‑hypervisor‑property‑mappings, get‑hypervisor‑property‑mappings), iniciar sincronizaciones de metadatos de VMs (start‑virtual‑machines‑metadata‑sync) o actualizar el software de la gateway (update‑gateway‑software‑now). Todo esto permite una automación avanzada de la protección de VMs VMware sin necesidad de software comercial extra, más allá del propio servicio de AWS.

Cómo elegir la mejor opción gratuita o de bajo coste

Con tantas posibilidades sobre la mesa, lo razonable es valorar la escala de la operación, el presupuesto, los requisitos de cumplimiento y el tiempo disponible para gestionar la solución.

En cuanto a escala, hay que tener en cuenta el número de VMs y su crecimiento previsto. Si hablamos de menos de 10 máquinas virtuales y recursos modestos, soluciones integradas como Windows Server Backup, QNAP HDP, Veeam Community o incluso BackupChain en su forma más básica pueden ser más que suficientes. Si el entorno crece y empiezan a aparecer requisitos de DR en otra ubicación o en la nube, conviene plantearse opciones que integren replicación y flexibilidad multi‑cloud.

Desde el punto de vista económico, es importante mirar más allá del coste inicial y considerar el coste total de propiedad. Eso incluye el hardware necesario, almacenamiento (on‑prem y en la nube), tiempo de administración, soporte, formación, etc. A veces una solución aparentemente gratuita acaba saliendo cara. Especialmente si obliga a mantener más máquinas físicas, dedicar muchas horas de gestión manual o carece de deduplicación y obliga a comprar más discos.

También es clave tener claras las características imprescindibles. Para algunos bastará con recuperación de VMs completas. Otros necesitarán recuperación granular de ficheros y objetos, inmutabilidad frente a ransomware, soporte de nubes concretas o integración con herramientas de orquestación. Hacer una lista de “must have” y “nice to have” ayuda a descartar candidatas rápidamente.

En materia de cumplimiento, hay que verificar si la solución permite cifrado fuerte, auditoría, retenciones prolongadas, etc. Así como controles de acceso suficientes para cumplir con normas como GDPR. Muchas herramientas cloud y de backup empresarial incorporan estos requisitos. Ciertas soluciones gratuitas o muy básicas se quedan cortas en este aspecto.

Al final, el objetivo es tener backups consistentes, probados y restaurables con rapidez, sin hipotecar el presupuesto ni montar castillos de naipes sobre hardware obsoleto. Elegir bien entre las alternativas gratuitas y de bajo coste disponibles permite conseguirlo con un equilibrio razonable entre seguridad, complejidad y esfuerzo operativo.

copias de seguridad
Artículo relacionado:
Comparativa de métodos de copia de seguridad y cuándo usarlos