Привет Хабр!

В последние годы наблюдается растущий тренд на переход на операционные системы семейства Linux. Это обусловлено несколькими факторами: стремлением к автономности от зарубежных технологий и снижением потенциальных рисков, связанных с возможными санкциями или прекращением поддержки продуктов. Не стоит сбрасывать со счетов и то, что Linux считается одной из самых безопасных операционных систем, она известна своей стабильностью и надежностью.

Сегодня мы поговорим о поддержке ОС семейства Linux — о том, как она обеспечивается на уровне компонентов нашего продукта и какие варианты защиты данных, находящихся на машинах, работающих под управлением этой ОС существуют в Кибер Бэкапе.

Архитектура Кибер Бэкапа построена на трех основных компонентах — сервере управления, агентах защиты и узлах хранения. Агенты выполняют основную работу по защите данных — это не только резервное копирование, но и связанные задачи — очистка хранилищ, проверка возможности восстановления, репликация и пр. Агенты устанавливаются на объекты защиты (а в случае с бизнес‑приложениями, могут быть установлены на выделенные ресурсы/отдельные серверы). Сервер управления раздает агентам задачи по защите и собирает информацию о статусе выполнения этих задач. Узлы хранения выполняют ряд медиа‑функций, включая проксирование, дедупликацию, каталогизацию и защиту централизованных хранилищ паролем.

Все перечисленные выше компоненты нашей системы поддерживают работу на ОС Linux. Сервер управления может быть развернут на ОС Linux с версией ядра от 3.0 до 6.7 и glibc версии 2.3.4 или более поздней. К поддерживаемым дистрибутивам x86_64 относятся как наиболее востребованные ОС из Реестра отечественного ПО:

• Альт Сервер 9, 10

• Альт Рабочая станция 9, 10

• Альт 8 СП

• РЕД ОС 7.2, 7.3, 8

• РОСА «КОБАЛЬТ» 7.9

• AlmaLinux 7.x, 8.x

• AlterOS 7.5

• Astra Linux 1.6, 1.7.0 — 1.7.5, 1.8

так и зарубежные дистрибутивы:

• Red Hat Enterprise Linux 7.x, 8.0 — 8.3

• Ubuntu 18.04 LTS, 20.04 LTS, 22.04 LTS

• SUSE Linux Enterprise Server 12, 15

• Debian 10, 11

• CentOS 7.x, 8.0 — 8.3

• Oracle Linux 7.x, 8.0 — 8.3

Те же требования распространяются и на агента для OC Linux и на узел хранения.

Для установки компонентов Кибер Бэкапа потребуется ряд пакетов Linux, перечисленных здесь. Процесс установки агентов подробно описан здесь. Помимо агента для Linux в состав Кибер Бэкапа также входят Linux-агенты для Oracle, PostgreSQL, MySQL/MariaDB, Kubernetes, CommuniGate Pro и VK WorkMail. Все они требуют предварительной установки агента для OC Linux.

Мы планируем опубликовать отдельный материал, посвященный практическим шагам по развертыванию Кибер Бэкапа под ОС Linux, следите за публикациями.

Отказоустойчивость сервера управления    

Неотъемлемой частью бизнес‑стратегии любой компании является стабильный процесс резервного копирования. Система резервного копирования обеспечивает сохранность и безопасность данных, соответствие требованиям регуляторов и политик безопасности, и поддерживает непрерывность бизнес‑процессов компании. В случае возникновения проблем в инфраструктуре отказоустойчивый продукт помогает минимизировать потери данных и время, необходимое для их восстановления.

Вместе с выходом Кибер Бэкапа 16.5 мы представили решение по созданию отказоустойчивого кластера для сервера управления, позволяющее настроить двухузловой отказоустойчивый кластер на базе двух бесплатных компонентов — Corosync и Pacemaker. Эти компоненты — часть открытого программного стека ClusterLabs для организации кластеров высокой доступности. Компоненты поддерживают огромное количество вариантов внедрений и интеграций с различным ПО. Данное решение позволяет создать кластер из нескольких узлов (минимум 2) и каждый узел может содержать сервер управления, но функционирует только тот узел, который находится в активном состоянии. Решение не сложное в установке, простое в настройке и может быть развернуто за короткое время. Более подробно об отказоустойчивости сервера управления рассказывали здесь.

Новая внешняя СУБД для сервера управления  

Для хранения всех конфигураций, метаданных и сведений о резервных копиях сервер управления использует СУБД. В предыдущих версиях Кибер Бэкапа для хранения служебных данных серверу управления были доступны:

• встраиваемая — СУБД SQLite

• внешняя — Microsoft SQL Server

В новой версии продукта появилась возможность использовать СУБД PostgreSQL, что повышает производительность сервера управления и позволяет управлять резервным копированием большего числа устройств в единой инсталляции системы. PostgreSQL можно установить либо на машину, предназначенную для сервера управления, либо на отдельную машину. Для установки можно использовать PostgreSQL или Postgres Pro версии 14, 15 или 16.

В настоящее время можно выбрать PostgreSQL в качестве СУБД для сервера управления при инсталляции на ОС Linux. Эта возможность поддерживается только для новых развертываний СРК. При установке сервера управления необходимо явно изменить тип используемой СУБД. Инструменты миграции данных сервера управления появятся в следующих версиях продукта. Также в будущих релизах планируется поддержка кластерных конфигураций PostgreSQL. Детали подготовки СУБД PostgreSQL для использования с сервером управления подробно описаны здесь, в разделе «Подготовка СУБД PostgreSQL».

Обратите внимание, поддержка внешней СУБД PostgreSQL для сервера управления на ОС Windows пока не планируется. Мы ориентируемся на потребности наших заказчиков по импортозамещению, а также внутренние приоритеты по расширению функциональности продукта.

Использование учетных записей Active Directory для сервера управления на ОС Linux

В Кибер Бэкапе 17.0 реализована возможность использования учетных записей и групп (включая вложенные группы) из Microsoft Active Directory для доступа на сервер управления, развернутый на ОС Linux, в том числе на Astra Linux, Альт, РЕД ОС и РОСА.

Для обнаружения домена Active Directory используется команда dnsdomainname. С помощью нее продукт определяет имя домена в автоматическом режиме. Если домен все же определен неверно, то можно вручную настроить интеграцию, для этого создайте конфигурационный файл cyber_domain.conf по пути /etc/security/ и укажите в нем имя домена. Домен в файле может быть указан только один; он должен быть указан без дополнительных символов (например, пробелов) и строго в первой строчке файла. Если этот файл создан, то значение, указанное в нем, становится приоритетным при определении домена. Если файл был создан, но домен в нем не указан, это равнозначно тому, что и интеграции продукта с доменом не установлена. В этом случае вы сможете добавить лишь локальных пользователей.

В следующих релизах мы планируем поддержать интеграцию сервера управления на ОС Linux с Astra Linux Directory (ALD Pro, это решение на базе FreeIPA) для выбора доменной учетной записи и управления ей через веб‑консоль Кибер Бэкапа. В дальнейшем смотрим и в сторону Samba DC.

Выше мы обсудили как компоненты Кибер Бэкапа работают на ОС Linux. Теперь давайте посмотрим какие существуют возможности по защите самой ОС.

Защита данных ОС Linux

Все функции защиты всех поддерживаемых сборок ОС — как на физических, так и на виртуальных машинах, выполняет один агент для Linux. Он получает задания на резервное копирование от сервера управления и выполняет их согласно заданному расписанию. Для ОС Linux мы поддерживаем операции чтения/записи для всех основных файловых систем:

• FAT16/32, NTFS, ext2/ext3/ext4, exFAT

• JFS, ReiserFS3, ReiserFS4, ReFS, XFS

• Linux SWAP

Если файловая система не поддерживается, агент может выполнить посекторное резервное копирование. В этом случае у вас не получится восстановить отдельные файлы, папки и пр., но данные будут защищены. Мы смотрим за распространением файловых систем — например, нас часто спрашивают про поддержку BTRFS. У нас есть несколько пунктов в дорожной карте на эту тему, если у вас есть идеи и соображения — пишите в комментариях.

В нашем продукте возможно создание резервной копии как файлов и папок, так и дисков, томов или всей машины. При резервном копировании на уровне файлов можно использовать фильтры, правила выбора и политики. Резервная копия диска содержит копию диска или тома в запакованном виде (с применением алгоритма сжатия и дедупликации). Из такой копии можно восстановить отдельные диски, тома или файлы. Резервная копия всей машины — это резервная копия со всеми ее несъемными дисками.

Поддержка моментальных снимков

Резервное копирование выполняется в режиме online без остановки сервера/рабочей станции или каких‑то процессов. А это значит что продуктивная нагрузка с большой долей вероятности случается даже в моменты резервного копирования. Работа с файлами на диске или бизнес‑приложений в оперативной памяти (например, журнал транзакций баз данных) может помешать задачам резервного копирования и возникнет риск повреждения файлов из‑за неправильного сохранения их состояния на диск.

Ответом на этот вызов в нашем продукте является использование специальных технологий для мира Windows — это Microsoft VSS (Volume Shadow Copy Service). Но для консистентного резервного копирования файловых систем для ОС Linux никто не предлагает настолько же удобный и функциональный способ. Мы решили эту задачу путем разработки специального драйвера SnapAPI, который отвечает за все операции ввода‑вывода. Данная технология помогает сделать моментальный снимок блочного устройства, подобно тому как это могло быть сделано в виртуальных инфраструктурах средствами гипервизора.

Поддержка моментальных снимков обеспечивает следующие преимущества:

• Консистентный блочный бэкап без остановки ОС для Windows и Linux;

• Выборочное восстановление отдельных файлов/папок;

• Поддержка схемы «Всегда инкрементное»;

• Обеспечение дедупликации и сжатия данных;

• Блоки, не содержащие данных файловой системы, не копируются агентом, если используется одна из поддерживаемых Кибер Бэкапом файловых систем.

Один из вопросов, который нам часто задают: «есть ли планы отказаться от использования SnapAPI, т. к. использование данного компонента вызывает проблемы при обновлении ядра ОС Linux?» Наш ответ такой: в ближайшее время мы планируем выделить компонент SnapAPI в отдельную сущность и поставлять его в виде deb‑пакета для упрощения процесса установки. В настоящее время пакет SnapAPI доступен установке агента для Linux, о том как его собрать для различных дистрибутивов написано в нашей базе знаний.

Восстановление данных

На уровне веб‑консоли можно восстанавливать машину целиком, диски, тома, папки, отдельные файлы. Гранулярное восстановление поддерживает поиск внутри резервных копий, в том числе по маскам. Возможна и выборочная загрузка файлов. Помимо этого мы поддерживаем мгновенное восстановление — запуск виртуальной машины из резервной копии в средах VMware и Hyper‑V, восстановление с предварительно подготовленного загрузочного носителя, а также универсальное восстановление, которое можно использовать в следующих сценариях:

• Восстановление машины

  • Восстановление на новое оборудование, например, при выходе из строя сервера и необходимости его оперативной замены на новый, но с другой конфигурацией.

• Перенос образа машины

  • Перенос ВМ с хостов виртуализации на физическую платформу с отличающейся конфигурацией или обратно.

• Клонирование машин

  • Обеспечение независимого от унификации аппаратного шасси процесса клонирования машин.

Про универсальное восстановление подробно рассказывали здесь.

Механизмы миграции виртуальных машин позволяют осуществить плавный переход на отечественные платформы виртуализации. У наших заказчиков популярен такой сценарий:

1. Развернуть на тестовом стенде одну из поддерживаемых отечественных систем виртуализации;

2. Использовать Кибер Бэкап для переноса ВМ с VMware или Hyper‑V на отечественную систему виртуализации;

3. Провести тестирование работы ВМ на новой платформе;

4. Принять решение о миграции на новую платформу виртуализации.

Более подробно о миграцию виртуальныхмашин рассказывали здесь.

Завершая наш рассказ о защите ОС Linux отметим, что компания Киберпротект активно развивает экосистему технологических партнерств с ведущими отечественными разработчиками системного и прикладного ПО, а также серверного оборудования и СХД. Это позволяет нам обеспечивать совместимость с новейшими версиями ОС, платформ виртуализации, СУБД и приложений. Список всех наших технологических партнеров доступен здесь. В нашей базе совместимостей можно посмотреть данные о всех версиях поддерживаемых ОС и изучить сертификат совместимости, оформленный по результатам совместного тестирования продуктов.

Планы по развитию продукта

Мы продолжаем развивать поддержку ОС Linux в нашем продукте. На ближайшие релизы намечены следующие улучшения и доработки:

• предоставим deb‑пакеты для компонентов системы;

• реализуем поддержку аутентификации через FreeIPA и Samba DC;

• смотрим в сторону поддержки кластеров Patroni СУБД PostgreSQL, используемой с сервером управления Кибер Бэкапа;

• планируем разместить дистрибутив Кибер Бэкапа в одном или нескольких отечественных репозиториях;

• прислушиваемся к пожеланиям пользователей — пишите в комментариях свои идеи.

Ну и конечно продолжим обновляться вместе с версией ядра Linux, расширять список поддерживаемых отечественных ОС и их версий.

На этом сегодня все, до новых встреч!