Kihagyás

Mentés, másképp

Műszaki TL;DR

5-5-5 szintű remote backup repo + immutable restic backend, végponti titkosítással, tömörítéssel és deduplikációval, LTO szalagos mentésekkel, pull-mode online mirrorral, offline másolatokkal és archiválással.

Nektek itt a HUP-on nem kell biztonsági mentésekkel kapcsolatban problématudatot kelteni; mindannyian ismerjük a veszélyeket, kockázatokat. Láttunk már szétesett RAID tömböt, elhalálozott SSD-t, elpukkant RAID vezérlőt, végleg összekócolodott filerendszert, leégett adatközpontot (benne a mentéseivel), ransomware-támadást, megtört NAS-okat, sőt még lefoglalt szervereket is.

Szakmabeliként mindannyian tudjuk, hogyan kellene tisztességesen megoldani a biztonsági mentéseket, nagyvállalati környezetben van erre számos jó példa, ahol többféle remekbeszabott megoldással dolgozhatunk.

Viszont a kisebb rendszereknél, bérelt infrastruktúránál, kisvállalkozói ügyfélkörnyezetben általában nem megoldott a megbízható mentés. A szolgáltatók által biztosított mentések többnyire nem teljesítik a 3-2-1 követelményt, és semmiképpen nem függetlenek a saját infrastruktúrától.

A mi javaslatunk - és ajánlatunk - ilyen esetekre egy külső, független Backup-as-a-Service megoldás:

Mentés - kőbe vésve

Nem teljesen szó szerint értendő, de amit egyszer feltöltesz hozzánk, az már tényleg úgy marad. Te sem, mi sem, egy rosszindulatú támadó sem tudja megváltoztatni, letörölni.

  • 3-2-1 helyett 5-5-5
  • az egyik szalagos mentés WORM, és az online tárhely is append-only
  • a mentési tárhely (egésze) archiválható, majd újraaktiválható online tárhelyként
  • bezárható (WireGuard) VPN mögé, így nyílt hálózatból nem érhető el
  • ügyféloldali deduplikáció, tömörítés és titkosítás (ez a restic érdeme)
  • státuszoldalon lehet ellenőrizni a mentések mentéseinek állapotát:

Demo backup státuszoldal - élő


Mentési rendszerünk a restic szabványos REST backend API felületén keresztül érhető el. Deduplikálva (akár egy mentésen belül, akár ismétlődő differenciális mentésként) + tömörítve + titkosítva tudsz menteni filerendszert, adatbázist, konténereket, VM-eket; igazából bármit, amit a restic stdin-jére tudsz küldeni. Például:

vzdump vm01 --mode snapshot --stdout --compress 0 | restic backup --stdin --stdin-filename vm01.vma 

De persze mindig jobb lenyúlni az alkalmazás szintjére, akár konténeren belülre, így konzisztens és jól deduplikálható (csak az egymást követő mentések deltáját tároljuk el) adatbázismentést kaphatunk, például:

docker exec $cid mysqldump -u${DBUSER} -p${DBPASS} ${DBNAME} | restic backup --stdin --stdin-filename $c-db

Innen pedig mi átvesszük: intézzük a mentéseid mentéseit, archiválásait.

Talán nem is kellene külön hangsúlyozni, de természetesen mi nem látunk bele a mentéseidbe: a restic lokálisan titkosít a te helyi kulcsoddal, a mi oldalunkon enélkül egy teljesen értelmezhetetlen filerendszert látunk csak a repo-ban, még a mentett fileok/könyvtárak nevei sem láthatóak, mégkevésbé a tartalmuk. (A restic repo-ban csak az alábbi információk tárolódnak végpontoldali titkosítás nélkül: a restic klienset futtató user és host neve, valamint a backup snapshotok metaadatai; ID és létrehozási timestamp)


HUP ajánlat

Különleges ajánlatként 2024. október 20‑ig megrendelve 30% 20% kedvezményt ** adunk 3 hónapig. Az alábbi kuponkódot használd a megrendeléskor:

ELIT-HUP

Véleményünk szerint a jó biztonsági mentés egyik fontos tulajdonsága, hogy ne függjön szoftvergyártótól, a lehető legkisebb mértékben az oprendszertől és annak verziójától - így lesz igazán időtálló. Ezért a backup szolgáltatásunkat kizárólag open-source eszközökből építettük össze.

Ezt a mentési rendszert már hosszú évek óta a saját és az általunk üzemeltetett ügyfélszerverek biztonsági mentésére használjuk. Most megnyitjuk a kollégák számára, akiknek még hiányzik egy jó mentési megoldás az eszköztárából.

A szolgáltatásról részletesen