Привет Хабр! Сегодня мы, Алексей Федоров и Дмитрий Ермолаев, поговорим о том, как развернуть у себя нашу систему резервного копирования (СРК) Кибер Бэкап - какие компоненты системы обязательны к установке, а какие опциональные, какие настройки использовать, какие данные куда сохранять, как планировать объемы хранилищ и на что следует обращать внимание.
Начнем с небольшого обзора основных компонентов нашей СРК.
Компоненты Кибер Бэкапа
Сервер управления
Сервер управления является ключевым компонентом Кибер Бэкапа, состоит из ряда сервисов и предоставляет веб-интерфейс. Сервисы управляют агентами, планами защиты и групповыми планами, посылают уведомления, собирают диагностические данные, формируют отчеты и т.д. Сервер управления всегда устанавливается первым и в дальнейшем используется для управления инфраструктурой Кибер Бэкапа. Отметим, что сервер управления непосредственно не участвует в операциях резервного копирования, восстановления и других операциях с данными. Сервер управления можно установить на машину с ОС Windows или Linux.
Список сервисов, включенных в сервер управления, можно найти в статьях из нашей Базы знаний: https://kb.cyberprotect.ru/articles/winsrv (для ОС Windows) и https://kb.cyberprotect.ru/articles/srvlinux (для OC Linux) в разделе «Сервер управления».
Компоненты для удаленной установки
Компоненты для удаленной установки представляют собой архив, в который собраны все установочные компоненты агентов, входящих в состав Кибер Бэкапа. Архив потребуется в том случае, если вы захотите удаленно установить агентов непосредственно из сервера управления. Если удаленная установка из веб-интерфейса не потребуется, эти компоненты можно не устанавливать - таким образом вы сможете сохранить место на жестком диске. Компоненты для удаленной установки можно развернуть на машине Windows с сервером управления.
Агенты защиты
Агенты защиты представляют собой сервисы (см. ссылки на статьи выше чтобы найти сервис, связанный с конкретным агентом), отвечающие за выполнение резервного копирования, восстановления, репликации и других операций с данным на защищаемых машинах. Обычно, агенты устанавливаются на каждом защищаемом устройстве и затем добавляются в сервер управления.
Агенты защиты могут работать полностью автономно и не требуют постоянного общения с сервером управления для выполнения операций по расписанию. Также есть возможность установки изолированного агента без сервера управления - для этого используется интерфейс командной строки.
Различные типы агентов используются для защиты различных источников данных, но при этом все агенты имеют единую архитектуру, используют одинаковые коммуникационные протоколы и поддерживают общий набор функций. Ниже приведен список агентов, устанавливаемых Кибер Бэкапом.
Агент |
Куда устанавливается |
Агент для Windows |
На защищаемую машину |
Агент для Linux |
На защищаемую машину |
Агент для SQL |
На машину с сервером Microsoft SQL Server |
Агент для Exchange |
На машину с ролью почтового ящика Microsoft Exchange Server |
Агент для Active Directory |
На контроллер домена |
Агент для Oracle |
На машину с запущенной СУБД Oracle Database |
Агент для VMware (виртуальное устройство) |
На хост ESXi |
Агент для VMware (Windows) |
На машине Windows с сетевым доступом к vCenter Server и хранилищу виртуальных машин |
Агент для Hyper-V |
На хост Hyper-V |
Агент для PostgreSQL |
Может быть установлен как на сервер, на котором находятся базы PostgreSQL, так и на другую машину |
Агент для MySQL/MariaDB |
На машину, на которой запущены экземпляры MySQL или MariaDB |
Агент для CommuniGate Pro |
На машину с почтовым сервером или на отдельно стоящую машину |
Агент для oVirt |
На хост oVirt |
Агент ECP VeiL/SpaceVM (виртуальное устройство) |
На хост ECP VeiL/SpaceVM |
Агент OpenStack (виртуальное устройство) |
На хост OpenStack |
Узел хранения
Узел хранения отвечает за управление централизованным хранилищем. Агенты могут размещать в таком хранилище резервные копии. Узел хранения потребуется для обеспечения функций каталогизации, централизованного хранения архивов на ленточных носителях и дедупликации на уровне всего хранилища. Узел хранения можно установить на машину с ОС Windows или Linux.
Сервис каталогизации
Сервис каталогизации индексирует все резервные копии. Индексация позволяет выполнять поиск и восстановление из резервных копий отдельных файлов. Сервис каталогизации не требуется для восстановления файлов, он используется только для поддержки операций поиска по файлам. Сервис каталогизации можно установить на машину с ОС Windows.
Мастер создания загрузочных носителей
Данный мастер предоставляет интерфейс для создания загрузочных носителей на базе ОС Linux или WinPE. Обычно требуется установить только один экземпляр мастера на одной из машин – загрузочный носитель, созданный на этой машине, подойдет для всех машин в вашей инфраструктуре. Загрузочный носитель является полностью самостоятельным средством с функциональностью резервного копирования и восстановления обеспечиваемой агентом, сходным с теми, которые перечислены выше. Он позволяет восстановить любую систему на «голое» железо – вам потребуется только загрузочный носитель и архив резервной копии. Данный компонент необходим агенту для Linux для полного восстановления всей машины и отдельных дисков (там, где требуется перезагрузка машины). Мастер создания загрузочных копий можно установить на машину с ОС Windows или Linux.
В скором времени мы планируем более подробно рассказать про восстановление на «голое железо» (Bare‑Metal Restore) — оставайтесь с нами.
PXE-сервер
PXE-сервер работает совместно с мастером создания загрузочных носителей и позволяет использовать загрузочный носитель для загрузки по сети. PXE-сервер можно установить на машину с ОС Windows.
После того как мы познакомились с основными компонентами Кибер Бэкапа, можно переходить к основной теме нашей статьи – самостоятельному развертыванию продукта. В этой части обсудим простой сценарий – развертывание продукта для небольшой компании.
Сценарий 1. Развертывание Кибер Бэкапа в небольшой компании
Для целей нашего обзора определим небольшую компанию как компанию, в которой:
есть от 2 до 10 машин, объединенных в сеть
отсутствует выделенный сервер для операций резервного копирования
используется 1 гипервизор или кластер
Ключом к успешному развертыванию Кибер Бэкапа в такой среде будет выделение одной машины, которая будет выполнять роль сервера резервного копирования и предоставлять веб-интерфейс для управления всеми остальными машинами. Сервер резервного копирования размещается на наиболее "мощной" с точки зрения ресурсов физической или виртуальной машине. Такой подход позволит избежать развертывания всех компонентов на каждой машине и существенно снизит задачи администрирования системы. Даже если вы планируете защищать сервера под управлением Windows или Linux для работы сервера управления серверная операционная система не потребуется.
Устанавливаемые компоненты
Компоненты управления
При развертывании на физическую машину рекомендуется установить следующие компоненты:
Сервер управления – нужен в подавляющем большинстве случаев
Мастер создания загрузочных носителей - должен быть установлен как минимум на одной машине. Можно установить на одной машине вместе с сервером управления.
В большинстве случаев следующие компоненты устанавливать не требуется и даже не рекомендуется:
-
Компоненты для удаленной установки
Этот компонент позволит удаленно установить агентов из веб-интерфейса. Компонент требует более 2 Гбайт дискового пространства и его рекомендуется устанавливать только в том случае, если на машине с сервером управления достаточно свободного места
-
Узел хранения
При развертывании в небольших компаниях этот компонент требуется только если вы планируете создавать резервные копии машин на ленточный накопитель или будет использоваться каталогизация.
-
Сервис каталогизации
Сервис каталогизации используется исключительно для поиска внутри резервных копий, например, файлов.
Агенты защиты
Агенты защиты должны быть установлены для каждого защищаемого объекта. При развертывании Кибер Бэкапа в физической среде рекомендуется установить агентов на ОС, работающую на защищаемой машине. В виртуальной среде устанавливается один или более агентов, взаимодействующих непосредственно с гипервизором, управляющим данной средой.
Для сред с Hyper-V установите агента для Hyper-V на каждом хосте в вашей инфраструктуре. Даже если хосты объединены в кластер, агент должен быть установлен на каждом хосте. Если используются шары SMB3 для хранения ВМ, в Windows потребуется включить опцию VSS for SMB File Shares – в противном случае резервное копирование не выполнится. См. подробнее https://blogs.technet.microsoft.com/clausjor/2012/06/14/vss-for-smb-file-shares/
Для сред с VMware vSphere можно установить одно или более виртуальное устройство (Virtual Appliance) как виртуальную машину или установить агента для VMware (Windows). Виртуальное устройство представляет собой облегченную версию Linux, внутри которой работает стандартный агент для VMware.
Обработка off-host
Одной из важных особенностей Кибер Бэкап является то, что агенты могут выполнять операции, связанные не только с созданием резервных копий. Каждая такая операция может выполняться по своему расписанию, полностью независимо от операции резервного копирования. Поддерживаются следующие операции:
Репликация резервных копий
Валидация резервных копий
Очистка хранилищ резервных копий
Преобразование резервной копии в ВМ
Репликация ВМ
Эти операции увеличивают рабочую нагрузку на машину, на которой запущен агент, даже после завершения процесса резервного копирования. В Кибер Бэкапе есть возможность выбора другого агента/агентов для выполнения таких операций, настройки выполнения таких операций в часы наименьшей загрузки для снижения использования полосы пропускания или перенесения выполнения таких операций на нерабочие часы, если в ваши планы не входит настройка вынесенного агента.
Перечисленные выше операции могут быть не так и важны для небольших компаний. Например, операция репликации резервных копий в дополнительное хранилище может быть выполнена в выходные дни без использования агентов защиты. Эта функциональность может не требоваться в тех средах, где объемы данных не влияют на пропускную способность сети, но может быть удобна в тех случаях, когда репликация во внешнее хранилище выполняется еженедельно или ежемесячно.
Рекомендуемая процедура установки Кибер Бэкапа
Установить сервер управления, агентов защиты и мастер создания загрузочных носителей на машину, выбранную в качестве сервера резервного копирования
Сконфигурировать хранилища резервных копий
Развернуть агентов защиты. Это можно сделать прямо из веб-интерфейса если установлен компонент для удаленной установки. В противном случае, запустите установку агентов на каждой защищаемой машине. Агенты для Linux устанавливаются вручную.
Сформировать и применить планы защиты
Опционально: сформировать off-host планы обработки данных для репликации и валидации резервных копий на еженедельной или ежемесячной основе
Приведем ряд рекомендаций, которые позволят вам наиболее оптимально использовать наш продукт
Рекомендации по планам резервного копирования
Что защищать
В большинстве случаев создавайте резервные копии всей машины используя фильтры для исключения подмножества данных из резервных копий. Это относится к томам, отдельным файлам или файлам с определенными расширениями. Исключения данных и другие правила являются частью плана защиты, поэтому, если для разных машин требуются разные правила исключения, создайте несколько планов защиты. Также обратите внимание на то, что разные источники данных также требуют отдельных планов защиты - как минимум одного плана защиты для каждого типа источника данных. Например, если у вас мало свободного места для хранения резервных копий, создайте план защиты с полной копией машины для основного сервера и дополнительный план для рабочих станций, в который будет включено только подмножество данных.
Выбор места хранения резервных копий
В общем случае у вас может быть два варианта:
можно хранить резервные копии прямо на защищаемой машине. Например, резервную копию диска C:\ можно хранить на диске D:\ или внешнем USB-устройстве. У таких сценариев нет каких-либо особых рекомендаций. Преимуществом такого сценария будет снижение нагрузки на сеть, но потребуется чуть больше администрирования. Эта опция рекомендуется в случаях, когда у вас нет централизованной файловой шары или NAS для хранения резервных копий.
можно хранить резервные копии централизованно. Мы рекомендуем использовать устройство NAS с объемом хранилища, соответствующим объему резервных копий с учетом правил хранения – подробнее об этом см. ниже.
Расписание
С точки зрения расписания резервного копирования, нашей рекомендацией будет создание инкрементной копии данных по окончании каждого рабочего дня и создание полной копии в выходные дни. При создании расписания руководствуйтесь простым правилом: текущая операция резервного копирования должна полностью завершиться прежде чем начнется новая. Далее, все зависит от объема данных и пропускной способностисети. Помимо этого, такие задачи, как репликация резервных копий и х валидация должны выполняться отдельно, например, в выходные дни.
Срок хранения резервных копий
Срок хранения резервных копий часто определяется регламентами компании или требованиями регулятора. Если у вас недостаточно места в основном хранилище резервных копий, запланируйте специальные задачи по перемещению резервных копий из основного хранилища в дополнительное для их более долговременного хранения. Например, резервные копии могут быть перенесены на сетевое хранилище.
Обычно, в «горячее» хранилище помещаются резервные копии за последние 2 недели, а в сетевое – за 3-6 месяцев.
Подход к планированию хранилища может быть следующим. Выбираем хранилище, где резервные копии будут перезаписываться с сохранением только последних n копий. Требуемый объем подсчитывается исходя из:
размера полной копии
среднего размера инкрементной копии
длины необходимой цепочки копий
к этому добавляем 20% «про запас» - это позволит учесть рост размера копии с течением времени.
Репликация, преобразование и валидация резервных копий
Для того чтобы снизить влияние процессов резервного копирования на производительность машин и сети, не включайте в план защиты задачи по репликации и валидации резервных копий. Вместо этого вы можете создать отдельные мини-планы, которые позволят вынести задачи по репликации и валидации резервных копий с защищаемых машин и выполнить их в нерабочие часы. Удобно назначить такие задачи агенту, установленному на машине с сервером управления. Либо, если резервное копирование, репликация и валидация могут быть выполнены в нерабочие часы без ущерба основной деятельности, эти дополнительные задачи могут быть включены в состав плана защиты. Это относится и к сценариям когда каждый агент создает локальную резервную копию. В этом случае задачи по обработке резервных копий должны быть включены в план защиты.
Дополнительные рекомендации
Уведомления и отчеты
Важно отслеживать статусы операций резервного копирования. Для небольшой компании вполне достаточно проверки того, что ежедневное резервное копирование выполнилось без ошибок. Чтобы получать эту информацию:
в настройках уведомлений убедитесь, что включена опция «Ежедневные краткие сведения об активных оповещениях»
выберите подходящее время для получения уведомлений
отключите все остальные опции
После этого вы будете ежедневно получать одно уведомление по электронной почте. Если ежедневное резервное копирование выполнилось без ошибок – в письме так и будет написано, если же возникли какие-то проблемы с выполнением данной операции, будет приведен список ошибок.
Если вам требуется более расширенный контроль, установите индивидуальные уведомления для критичных для вас ошибок – вы будете получать электронные письма сразу же при возникновении проблемы. Обратите внимание что в Кибер Бэкапе используется следующее правило: каждое уведомление на каждом агенте для каждого плана зашиты создает одно электронное письмо.
Формат архива
По возможности всегда используйте формат архива версии 12 (еще называется Archive3). Этот формат резервной копии используется для быстрого резервного копирования и восстановления. Каждая цепочка резервных копий (полного или дифференциального копирования, и всех зависящих от них инкрементных резервных копий) сохраняется в один файл TIBX. Более подробно см. «Tibx или не tib» https://habr.com/ru/company/cyberprotect/blog/725288/.
Активная защита
Служба Active Protection обеспечивает защиту компьютера от вредоносных программ, таких как вирусы-вымогатели и программы майнинга криптовалют. Вирусы-вымогатели шифруют файлы и требуют платы от пользователя за ключ расшифровки. Программы майнинга криптовалют запускают математические вычисления в фоновом режиме, тем самым похищая вычислительную мощность и сетевой трафик.
Вдобавок, Active Protection предотвращает неавторизованные изменения собственных процессов, записей реестра, исполняемых и конфигурационных файлов и резервных копий, расположенных в локальных папках.
Активная защита работает на машинах под управлением ОС Windows 7 и более поздних версий и ОС Windows Server 2008 R2 и более поздних версий. На машине должен быть установлен агент для Windows. Active Protection — это отдельный модуль в плане защиты. Рекомендуется включить активную защиту на всех машинах, где использование ресурсов процессора не критично. Активная защита обычно использует несколько процентов ресурсов процессора во время анализа файлов.
Хранилища
Устройства NAS
Простейшим хранилищем резервных копий для нескольких машин является NAS или сетевая папка, в которой хранятся резервные копии всех защищаемых машин в вашей среде. Необходимо только убедиться в том, что на устройстве хранения достаточно места для всех резервных копий. См. выше о том, как определить требуемой объем для хранения резервных.
USB или внутренний диск
Резервные копии также можно хранить на подключаемых USB-дисках или на внутреннем диске.
Внешнее хранилище
Очень важно иметь как минимум одну копию данных на внешнем хранилище (т.н. «правило 3-2-1»). Такую копию данных рекомендуется хранить в облачном хранилище. Необходимо учитывать требования безопасности, регулятора, возможную нагрузку на сеть, стоимость хранения в облаке и т.п. Если хранение в облаке невозможно, используйте внешние USB-диски или ленточные накопители и регулярно перемещайте носители во внеофисное хранилище.
Дедупликация
По возможности, не используйте дедупликацию. В небольших компаниях нагрузка на ресурсы машин не компенсирует выигрыш в объеме хранимых данных, который вы получите от операции исключения дублирования информации внутри архива.
Управляемое хранилище
Узел хранения представляет собой сервер, предназначенный для оптимизации использования различных ресурсов (таких как объем хранилища, пропускная способность сети или загрузка процессоров производственных серверов), требуемых для защиты данных. Это достигается путем организации хранилищ и управления хранилищами, выделенными для резервных копий (управляемыми хранилищами).
Управляемое хранилище может быть организовано:
-
В локальной папке.
На жестком диске, локальном по отношению к узлу хранения.
-
В сетевой папке.
В общей папке SMB/CIFS
На устройстве NAS
В ленточном устройстве, локально подключенном к узлу хранения.
Для управляемого хранилища можно включить или отключить дедупликацию резервных копий в хранилище. Дедупликация минимизирует трафик резервного копирования и уменьшает размеры резервных копий в хранилище, удаляя дублированные блоки на диске. Но как мы отметили выше, для небольших компаний выигрыш от дедупликации может быть несопоставим с затрачиваемыми на этот процесс ресурсами.
Отметим, что управляемое хранилище с включенной дедупликацией это уже «уходящая» технология, т.к. скорость ее работы начинает снижаться на объемах данных более 2ТБ. Поэтому управляемое хранилище с включенной дедупликацией следует использовать только как 2-е или даже 3-е, «холодное» хранилище. В планах - сделать новое хранилище с дедупликацией на базе актуальных технологий, но это пока большой секрет, мы вам не говорили.
Каталогизация для поиска файлов
Каталогизация – это создание каталога данных, который позволяет легко найти требуемую версию данных и выбрать ее для восстановления. Одной службы каталогов будет достаточно без потери производительности индексирования и поиска для обслуживания нескольких узлов хранения.
Каталогизацию можно включить при добавлении управляемого расположения или позже. После включения каталогизации все резервные копии, которые сохранены в хранилище и не были каталогизированы ранее, будут каталогизированы после следующего процесса резервного копирования в хранилище.
Процесс каталогизации может занимать продолжительное время, особенно при выполнении резервного копирования большого количества машин в одно хранилище. Отключить каталогизацию можно в любое время. Каталогизация резервных копий, созданных до отключения, будет выполнена. Новые созданные резервные не будут каталогизироваться.
Мы рекомендуем устанавливать службу каталогов и узел хранения на отдельные машины. В противном случае, эти компоненты будут конкурировать с ресурсами ЦП и ОЗУ.
На этом все, в следующей части обсудим развертывание Кибер Бэкапа в малых и средних компаниях. До встречи!
Redduck119
Может я чего то не понимаю и на самом деле всё не так как кажется.
Но ваши цены меня не устраивают.
Что бы хоть как то набрать лояльную базу действующих системных администраторов 5-10 серверов, виртуальных серверов - лицензия должна предоставлять бесплатно.
Ну а как установить, развернуть системные администраторы разберутся и по документации.
Ну это мое личное мнение.
CyberAGF Автор
Спасибо за честный комментарий
CyberAGF Автор
Добавлю, что СРК - это не тот продукт, на котором нужно экономить.
little-brother
До Veeam надо дорасти :)