Привет, Хабр. В середине декабря мы выпустили обновленную версию нашей системы резервного копирования - Кибер Бэкап 16.5. Ниже мы, Валентин Баев и Алексей Федоров, расскажем, что у нас нового в продукте, что улучшилось, и немного заглянем в будущее.

Про развитие продукта

При планировании новых версий продукта мы ориентируемся на пять векторов развития. Они позволяют нам формировать последовательную и прозрачную дорожную карту, которая крайне полезна не только нам самим, но и нашим заказчикам и партнерам. Вот эти векторы:

1. Кроссплатформенность. Поддержка инфраструктуры заказчиков во всем их многообразии и обеспечение защиты растущего числа ОС, платформ виртуализации, СУБД и приложений; 

2. Прозрачность и наглядность. Предоставление в реальном времени данные о работе системы и происходящих в ней событиях, обеспечение средств мониторинга, формирования отчетов, рассылки уведомлений и оповещений, сбор и обработка ошибок, хранение диагностической информации;

3. Безопасность. Соответствие современным требованиям и моделям безопасности, умение интегрироваться в системы и политики безопасности организаций и предоставление активной защиты от программ-вымогателей;

4. Единообразие. Поддержка новых объектов защиты и новых аппаратных платформ должна обеспечиваться, преимущественно, за счет использования собственных механизмов, продукт должен обеспечивать централизацию, оптимизацию и автоматизацию; 

5. Рост вместе с инфраструктурой. Обеспечение масштабируемости от небольших до крупных географически-распределенных инфраструктур, предоставление поддержки соответствующих платформ, средств управления, развертывания и мониторинга.

Давайте посмотрим как эти направления развития нашли свое отражение в Кибер Бэкапе 16.5.

Кроссплатформенность

Мы сосредоточились на улучшении производительности и поддержке современных стандартов LTO, чтобы еще эффективнее защищать данные в различных инфраструктурах наших заказчиков. Это важно, поскольку ускорение работы, и, в том числе с ленточными устройствами, позволяет значительно повысить эффективность операций по обслуживанию систем и обеспечить быстрый доступ к необходимым данным в случае восстановления.

Оптимизация узла хранения

В версии 16.5 мы доработали узел хранения - в 1,5 раза повысили пропускную способность при передаче данных резервных копий с агента на узел и далее на ленточные устройства или иные хранилища, в зависимости от сценария и используемой инфраструктуры. Оптимизация позволяет уменьшить по времени окно бэкапа - для резервного копирования того же объема данных затрачивается существенно меньше времени по сравнению с версией 16.

Поддержка стандартов LTO

Мы рады сообщить о расширении поддержки современных стандартов для ленточных накопителей, теперь в нашем продукте поддерживаются стандарты LTO-8 и LTO-9. Это означает, что наши заказчики с совместимым оборудованием, смогут насладиться повышенной в почти 1,3 раза по сравнению с предыдущей версией скоростью работы с ленточными устройствами. 

Это важное обновление позволит нашим заказчикам эффективнее управлять и обрабатывать данные, сокращая время ожидания и повышая производительность операций. Стандарт LTO-8 поддерживается для устройств производства Dell, HP и Lenovo (IBM), а стандарт LTO-9 - для устройств HP и Quantum. Полный список поддерживаемых моделей ленточных устройств доступен здесь.

Поддержка новых стандартов зависит от трех ключевых факторов: производителя и модели устройства, операционной системы и записываемого объема данных. Если вы столкнетесь с какими-либо проблемами при работе с ленточными устройствами, пожалуйста, напишите в техподдержку, мы поможем.

Прозрачность и наглядность

Компании различного масштаба всегда стремятся повысить эффективность и автоматизировать свои бизнес-процессы. В результате, в ИТ-системах таких компаний накапливается множество разнообразных приложений, и требования к их интеграции становятся одним из главных приоритетов. Наш новейший релиз, версия 16.5, предоставляет нашим заказчикам возможность интегрировать Кибер Бэкап с другими системами мониторинга, создавая полную картину происходящих в компании событий. Это открывает новые возможности для улучшения контроля и управления интегрированными IT-системами, что становится ключевым фактором эффективного функционирования компании.

API для мониторинга

Программный интерфейс подсистемы мониторинга позволяет заказчикам получать от СРК метрики и использовать их в собственных системах мониторинга, таких как Zabbix. Через программный интерфейс доступны следующие метрики:

1. Активные оповещения - список открытых оповещений по типу на момент запроса;

2. Узлы хранения - список узлов хранения в СРК для табличного виджета на момент запроса;

3. Список активностей - список текущих активностей в СРК с деталями, за указанный произвольный период времени;

4. Статус защиты - данные о защищенных/незащищенных рабочих нагрузках на момент запроса;

5. Рабочие нагрузки - список текущих защищенных рабочих нагрузок для табличного виджета на момент выполнения запроса;

6. Детали оповещений - детальный список оповещений для табличного виджета, за указанный произвольный период времени;

Использование программного интерфейса подсистемы мониторинга с внешней системой позволяет в любой момент времени получить полную, наглядную картину состояния системы. 

Безопасность

В новой версии нашего продукта мы акцентируем внимание на ролевой модели доступа и делаем первые шаги к имплементации ролевой модели (RBAC). В ранних версиях продукта была доступна только роль администратора, позже появились роли "только для чтения" и "аудитор". В релизе 16.5 мы добавляем новую роль и это позволяет более точно определить доступ к системе резервного копирования и подчеркивает важность контроля и ограничения прав доступа в рамках каждой компании.

Роль "Оператор мониторинга" 

В Кибер Бэкапе 16.5 мы добавили роль "оператор мониторинга", предназначенную для сбора информации и составления отчетов. Новая роль отвечает задачам, актуальным, в первую очередь, в крупных организаций - в рамках регламентов обслуживания и сопровождения средств резервного копирования иметь возможность централизованного мониторинга нескольких инсталляций СРК. Для этого создается пользователь с ролью "оператор мониторинга", у которой ограничены возможности по управлению системой. Пользователи с такой ролью могут быть созданы как в рамках всей организации, так и в рамках отдела/подразделения. В последнем случае объекты и события мониторинга будут ограничены областью видимости соответствующего отдела/подразделения.

Пользователь с ролью "оператор мониторинга" может:

• отслеживать появляющиеся уведомления о сбоях;

• отслеживать текущие загрузки системы;

• отслеживать состояние узлов хранения, используемых в СРК;

• ранжировать уведомления по уровню критичности;

• уточнять детали по уведомлению либо параметрам работы системы

Для устранения возникающих проблем оператор мониторинга обращается к администратору системы.

Оператору мониторинга запрещены все действия, кроме следующих:

1. Просмотр панели мониторинга с уже созданными виджетами;

2. Создание своего собственного виджета;

3. Удаление созданного собственного виджета;

4. Получение метрик мониторинга во внешнюю систему (такую как Zabbix);

5. Просмотр оповещений по ссылке из системы мониторинга;

6. Просмотр активностей по ссылке из системы мониторинга;

7. Просмотр свойств узлов хранения;

8. Просмотр (без редактирования) параметров плана резервного копирования;

9. Просмотр отчетов.

Таким образом, новая роль позволяет разделить обязанности между специалистами - снять часть нагрузки с администраторов системы и при этом быть спокойными за критически-важные настройки системы. 

Единообразие

Одним из ключевым преимуществ Кибер Бэкапа является его способность обеспечивать защиту для широкого спектра платформ и приложений, включая как отечественных, так и зарубежных производителей. В нашем новейшем релизе, версии 16.5, мы расширили список поддерживаемых приложений и значительно улучшили уровень защиты уже имеющихся систем. Это подтверждает наше постоянное стремление обеспечить надежную и всестороннюю защиту данных для наших заказчиков, независимо от того, какие платформы и приложения они используют.

Защита данных PostgreSQL

История поддержки резервного копирования СУБД PostgreSQL началась еще в версии 15 - в ней можно было создавать только полную резервную копию всего сервера на локальный диск. В версии 16 мы добавили инкрементное резервное копирование и возможность хранения резервных копий в сетевых папках, NFS, управляемых хранилищах узлов хранения и на ленточных носителях. 

Развитие поддержки резервного копирования СУБД PostgreSQL мы продолжили в версии 16.5. Добавили гранулярное восстановление - одной базы или ее части, восстановление на определенный момент времени в прошлом (PITR) и поддержку резервного копирования и восстановления кластера Patroni - популярного решения для обеспечения высокой доступности СУБД, широко используемого в компаниях среднего и крупного бизнеса.

В Кибер Бэкап 16.5 поддерживается три сценария восстановления:

• монтирование экземпляра БД непосредственно из резервной копии с последующим использованием инструментов Postgre для выгрузки данных;

• восстановление отдельных баз;

• восстановление в dump-файл, например, для переноса данных на другой экземпляр.

При защите кластера нет необходимости в установке агентов на все узлы кластера - защита кластера обеспечивается одним агентом. Также поддерживается возможность выбора узлов для резервного копирования - лидера (Master) или реплики (Slave). В результате появляется поддержка популярной кластерной конфигурации, обеспечивающая резервное копирование даже в условиях отказа узла - никаких дополнительных действий не требуется. 

Скоро: Мы планируем опубликовать отдельный материал про то, как делали поддержку PostgreSQL в нашем продукте. Следите за публикациями. 

Помимо PostgreSQL, мы поддерживаем и отечественные СУБД на ее основе. В первую очередь - это СУБД Postgres Pro, а также СУБД Jatoba, Proxima DB и Tantor. 

Новый агент для VK WorkMail

Почта VK WorkMail - это масштабируемое и отказоустойчивое решение корпоративного класса для работы с почтой, активно используемое нашими крупными заказчиками для импортозамещения Microsoft Exchange и Microsoft Office 365.

В Кибер Бэкапе 16.5 мы написали агента для работы с сервером VK WorkMail. Агент может сохранять резервные копии в локальной или сетевой папке, на управляемых хранилищах узла хранения, NFS-папке и SFTP. Восстановление данных возможно на уровне почтового ящика, а на уровне отдельных писем возможен просмотр содержимого письма и вложений (вложение можно скачать прямо из архива). 

В состав Кибер Бэкапа 16.5 входят агенты под ОС Windows и Linux. Агент автоматически выполняет операцию обнаружения ресурсов - доменов и пользователей. Автоматическая синхронизация ресурсов происходит раз в сутки, в 23:00; при необходимости может быть выполнена ручная синхронизация. 

Обновленный агент для CommuniGate

В версии 16.5 число поддерживаемых типов хранилищ расширено - теперь поддерживается хранение резервных копий и в локальных папках и в NFS, SMB, SFTP, узле хранения и программно-определяемых хранилищах Кибер Инфраструктуры. Про то как делали поддержку CommuniGate читайте здесь. 

Поддержка Astra Linux SE

Мы постоянно расширяем список поддерживаемых отечественных операционных систем. Нашими технологическими партнерами уже являются ГК Astra, Базальт СПО, РедСофт, Роса. В релизе 16.5 мы добавили совместимость с ОС Astra Linux Special Edition - сертифицированной ОС со встроенными средствами защиты информации (СЗИ). В состав дистрибутива Кибер Бэкапа входит отдельный пакет установки на Astra Linux Special Edition версий 1.6 и 1.7, с поддержкой развертывания при включенном режиме замкнутой программной среды (ЗПС). 

Обновленная библиотека SnapAPI

Мы обновили библиотеку SnapAPI - теперь обеспечивается поддержка до версии Linux Kernel 6.2. Драйвер SnapAPI отвечает за все операции ввода-вывода Кибер Бэкапа. Эта технология помогает сделать моментальный снимок блочного устройства, подобно тому как это могло быть сделано в виртуальных инфраструктурах средствами гипервизора. В процессе резервного копирования драйвер SnapAPI отслеживает запись на блочное устройство и сохраняет содержимое измененных блоков на момент начала резервного копирования. Про использование Linux SnapAPI при восстановлении на "голое" железо писали здесь. 

Рост вместе с инфраструктурой

Обеспечение отказоустойчивость и непрерывности бизнеса - это одни из ключевых тем, которые мы слышим от наших заказчиков. В наше время возможность восстановления играет критическую роль в жизни каждой компании. Основной задачей является обеспечение непрерывной работы систем и приложений, а также минимизации негативных последствий возможных сбоев и отказов.

Отказоустойчивость сервера управления

Важным компонентом информационных систем компаний является система резервного копирования, и ее доступность и отказоустойчивость абсолютно важна, как и работа любого другого критически важного приложения. В Киберпротекте мы разделяем это видение и в новой версии Кибер Бэкапа реализовали схему кластеризации сервера управления на ОС Linux. Решение протестировано на Ред ОС 7.2, 7.3 Муром и Debian Linux 11 bullseye. Кластер может быть целиком расположен на одной площадке - внутри одного ЦОД с общей блочной СХД, или это может быть катастрофоустойчивый кластер в нескольких ЦОД с реплицированной СХД и L2 сетью. В рамках пакета документации подготовлена инструкция с примером кластеризации на двух аппаратных серверах. Таким образом кратно повышается надежность нашего ключевого компонента системы - сервера управления, это полностью соответствует отраслевым практикам, привычным для заказчиков, использующих или планирующих использовать нашу систему.

Планы на будущее

Мы постоянно стремимся внедрять новые функции и улучшать существуют так, чтобы наш продукт в чем-то задавал тренды, был пионером, оставался актуальным и, обязательно, конкурентоспособным. В следующих релизах мы сосредоточимся на улучшении пользовательского интерфейса, чтобы сделать его более интуитивным и удобным в использовании. Кроме того, мы планируем расширить функциональные возможности, добавив новые объекты защиты и настройки. Наша команда будет работать над оптимизацией производительности, чтобы обеспечить более быструю и стабильную работу продукта. Мы также активно изучаем отзывы пользователей и анализируем тренды рынка, чтобы учесть все пожелания и требования наших заказчиков. Мы не можем раскрыть все детали, но обещаем, что в следующих релизах вас ожидает множество приятных сюрпризов и новых возможностей.  Давайте снова воспользуемся нашими векторами развития и чуть приоткроем завесу тайны.

Кроссплатформенность

Планируем реализовать агента для работы с контейнерами Kubernetes, в планах агент для таких систем виртуализации как Базис.DynamiX и решений на базе OpenNebula - Брест и Альт Виртуализация, на горизонте этого вектора - Тионикс. К корпоративным приложениями и СУБД добавим облачную корпоративную почту Mailion и NoSQL СУБД MongoDB, а также продолжим тесное технологическое взаимодействие с компанией Postgres Pro, в части поддержки CFS (Compressed File System, сжатая файловая система) и режима создания резервных копий PTRACK.

Прозрачность и наглядность

Будем продолжать развивать подсистему мониторинга и отчетности, планируем пополнить отчеты новыми и важными метриками, деталями по узлам хранения, а также добавить информацию по лентам. Смотрим в сторону интеграции с System Center Operations Manager. 

Безопасность

Продолжим развитие управления доступом на основе ролей (RBAC), добавим роль администратора ИБ, конструктор произвольных ролей и гранулярное управление привилегиями. Особое внимание уделим интеграциям со службами каталогов - LDAP, ALD и FreeIPA.

Единообразие

Планируем реализовать мгновенное восстановление для платформ виртуализации на базе oVirt и выпустить новые версии агентов для Oracle DB и SAP HANA

Рост вместе с инфраструктурой

В части защиты крупных инфраструктур рассматриваем поддержку доменных контроллеров SambaDC, протокола NDMP, планируем развитие дедупликации и многопоточности. Также в планах - публичный API для создания и управления планами резервного копирования. И, думаем над версией продукта для систем на базе ARM-процессоров. 

Спасибо, что дочитали данный обзор, как уже было сказано, вас ждут материалы про то, как мы делали поддержку PostgreSQL, также подробнее расскажем про защиту VK WorkMail и, в продолжение нашего цикла про самостоятельное развертывание Кибер Бэкапа (часть 1, часть 2, часть 3), поговорим о восстановлении данных и защите сред виртуализации.