Mentés, másképp¶
Műszaki TL;DR
5-5-5 szintű remote backup repo + immutable restic backend, végponti titkosítással, tömörítéssel és deduplikációval, LTO szalagos mentésekkel, pull-mode online mirrorral, offline másolatokkal és archiválással.
Nektek itt a HUP-on nem kell biztonsági mentésekkel kapcsolatban problématudatot kelteni; mindannyian ismerjük a veszélyeket, kockázatokat. Láttunk már szétesett RAID tömböt, elhalálozott SSD-t, elpukkant RAID vezérlőt, végleg összekócolodott filerendszert, leégett adatközpontot (benne a mentéseivel), ransomware-támadást, megtört NAS-okat, sőt még lefoglalt szervereket is.
Szakmabeliként mindannyian tudjuk, hogyan kellene tisztességesen megoldani a biztonsági mentéseket, nagyvállalati környezetben van erre számos jó példa, ahol többféle remekbeszabott megoldással dolgozhatunk.
Viszont a kisebb rendszereknél, bérelt infrastruktúránál, kisvállalkozói ügyfélkörnyezetben általában nem megoldott a megbízható mentés. A szolgáltatók által biztosított mentések többnyire nem teljesítik a 3-2-1 követelményt, és semmiképpen nem függetlenek a saját infrastruktúrától.
A mi javaslatunk - és ajánlatunk - ilyen esetekre egy külső, független Backup-as-a-Service megoldás:
Mentés - kőbe vésve
Nem teljesen szó szerint értendő, de amit egyszer feltöltesz hozzánk, az már tényleg úgy marad. Te sem, mi sem, egy rosszindulatú támadó sem tudja megváltoztatni, letörölni.
- 3-2-1 helyett 5-5-5
- az egyik szalagos mentés WORM, és az online tárhely is append-only
- a mentési tárhely (egésze) archiválható, majd újraaktiválható online tárhelyként
- bezárható (WireGuard) VPN mögé, így nyílt hálózatból nem érhető el
- ügyféloldali deduplikáció, tömörítés és titkosítás (ez a restic érdeme)
- státuszoldalon lehet ellenőrizni a mentések mentéseinek állapotát:
Demo backup státuszoldal - élő
Mentési rendszerünk a restic szabványos REST backend API felületén keresztül érhető el. Deduplikálva (akár egy mentésen belül, akár ismétlődő differenciális mentésként) + tömörítve + titkosítva tudsz menteni filerendszert, adatbázist, konténereket, VM-eket; igazából bármit, amit a restic stdin-jére tudsz küldeni. Például:
vzdump vm01 --mode snapshot --stdout --compress 0 | restic backup --stdin --stdin-filename vm01.vma
De persze mindig jobb lenyúlni az alkalmazás szintjére, akár konténeren belülre, így konzisztens és jól deduplikálható (csak az egymást követő mentések deltáját tároljuk el) adatbázismentést kaphatunk, például:
docker exec $cid mysqldump -u${DBUSER} -p${DBPASS} ${DBNAME} | restic backup --stdin --stdin-filename $c-db
Innen pedig mi átvesszük: intézzük a mentéseid mentéseit, archiválásait.
Talán nem is kellene külön hangsúlyozni, de természetesen mi nem látunk bele a mentéseidbe: a restic lokálisan titkosít a te helyi kulcsoddal, a mi oldalunkon enélkül egy teljesen értelmezhetetlen filerendszert látunk csak a repo-ban, még a mentett fileok/könyvtárak nevei sem láthatóak, mégkevésbé a tartalmuk. (A restic repo-ban csak az alábbi információk tárolódnak végpontoldali titkosítás nélkül: a restic klienset futtató user és host neve, valamint a backup snapshotok metaadatai; ID és létrehozási timestamp)
HUP ajánlat
Különleges ajánlatként 2024. október 20‑ig megrendelve 30% kedvezményt adunk 3 hónapig. Az alábbi kuponkódot használd a megrendeléskor:
ELIT-HUP-2024
Véleményünk szerint a jó biztonsági mentés egyik fontos tulajdonsága, hogy ne függjön szoftvergyártótól, a lehető legkisebb mértékben az oprendszertől és annak verziójától - így lesz igazán időtálló. Ezért a backup szolgáltatásunkat kizárólag open-source eszközökből építettük össze.
Ezt a mentési rendszert már hosszú évek óta a saját és az általunk üzemeltetett ügyfélszerverek biztonsági mentésére használjuk. Most megnyitjuk a kollégák számára, akiknek még hiányzik egy jó mentési megoldás az eszköztárából.