50 Terabyte Sicherungskonzept

Mitglied: IllusionFACTORY

IllusionFACTORY (Level 1) - Jetzt verbinden

20.02.2016 um 10:35 Uhr, 3135 Aufrufe, 9 Kommentare

Hallo, zusammen,

in Zeiten von Locky und Kryptoware ist es wohl langsam notwendig, das Backup noch weiter zu professionalisieren und wegzugehen von Baby-NAS anstecken und robocopy :-) face-smile

Gerne freue ich mich über einen Link zu einem Primer, was alles bei einem professionellen Backup-Konzept berücksichtigt werden muss, damit ich mir über die Anforderungen noch klarer werde und ich dann hier qualifiziert fragen kann. Trotzdem hier schon einmal die Randbedingungen, falls mir jemand ein paar Stichworte an den Kopf werfen möchte :-) face-smile

- 1 Standort / 15 User
- aktuell 30 TB, mit Ausblick 50 TB Datenmenge
+ Wunsch: 1x pro Woche Vollsicherung
+ täglich differenziell / inkrementell
- Sicherung soll automatisch, aber mit Reporting ablaufen (wieviel wurde gesichert, was konnte nicht gesichert werden, ...)
- Kein Schreibzugriff durch das normale Netzwerk (Kryptoware)
- Einzelne PCs müssen täglich komplett gesichert werden (Buchhaltung / DATEV)
- Es gibt eine VMWare ESXi mit ein paar kleinen VMs (Domain Controller, Unternhemens-Wiki, etc), die mit gesichert werden müssen.

Frage - auf welche Medien sichert man 50TB? Ich habe in der Vergangenheit schon mal mit Bandlaufwerken gearbeitet (DAT, etc.) - meine Erfahrung war: Wann immer man irgendwas braucht, ist das Band dann doch nicht lesbar, oder wenn man das Laufwerk austauschen muss wegen Defekts sind auf einmal die alten Bänder nicht mehr lesbar wegen anderer Kopfjustierungen und solche Dinge...

Danke schon jetzt für Eure Tipps!
Gruß,
Martin
Mitglied: psannz
20.02.2016 um 11:25 Uhr
Sers,

Bei der Datenmenge würde ich mir erst mal überlegen, wie viele TB davon echte Nutzdaten sind, und was eigentlich nur Archiv ist.

Was auch klar sein sollte: Die Backuplösung wird Dedup haben müssen.

Wo liegen die (großen) Datenmengen denn aktuell?

Grüße,
Philip
Bitte warten ..
Mitglied: IllusionFACTORY
20.02.2016 um 11:32 Uhr
Hallo, Philip,

vielen Dank erst einmal für die schnelle Antwort!

Es handelt sich tatsächlich um reine aktuelle Nutzdaten. In einem Geschäftsbereich (ca 25 TB) handelt es sich quasi um "durchlaufende" Kundendaten, die nach drei Monaten automatisch gelöscht und dann auch nicht mehr gebraucht werden. Ein Archiv gibt es daher nicht. In dieser Zeit müssen sie allerdings gesichert sein.

In dem anderen Geschäftsbereich (derzeit 5TB) werden im Moment regelmäßig (manuell) Archivdaten auf Festplatten verschoben und landen dann im Schrank. Hier also leider auch kein Einsparpotential :-) face-smile

Warum Dedup? Ich gehe davon aus, dass nur ein geringer Teil an Daten doppelt abelegt sind. Einsparungen wären dann natürlich über mehrere Backup-Sätze hinweg erzielbar.

Die Daten liegen derzeit auf zwei NAS mit Raid5 (ein Mal 3+1 und ein Mal 7+1 Platten).

Gruß,
Martin
Bitte warten ..
Mitglied: psannz
20.02.2016 um 15:02 Uhr
Deduplizierung geht auf mehrere Wege. IdR läuft sie Block basiert. Stell dir eine 1 GB Datei vor. Jetzt veränderst du die Datei ein wenig und speicherst die Änderung als neue Datei ab (Ausgangsdaten sollen unverändert bleiben). Nehmen wir mal an das Dedup System darunter teilt die Dateien in 32KB große Stücke, und nehmen wir weiter an dass sich die neue Datei von der alten nur um einen 32 KB Block unterscheidet. Dann würden auf der Festplatte nicht 1+1=2GB landen, sondern nur 1GB+32KB.
Lass mal die ddpeval.exe über deine Daten laufen, du wirst erstaunt sein.

Das kann man dann natürlich auch auf Backups anwenden.
Hersteller wie Veeam oder Acronis e.g. deduplizieren nicht nur den Speicher auf dem Backup Node, sondern prüfen bei der Sicherung gleich ob der "Chunk", also das Teilstück, schon auf dem Backupserver liegt, und wenn ja übertragen ihn erst gar nicht.
Das beschleunigt schon mal das Backup ungemein, und reduziert die erforderliche Festplattenkapazität vom Backupserver.

Freilich stellt sich die Frage ob man 30 oder 50 TB noch à la GVS sichern kann. Bzw. wie groß die Daten Deltas zwischen den Sicherungen sind.

Letztlich: Eine Sicherung der Mengen direkt auf Tape ist für euch kaum sinnvoll. Ich würde bei euch Backup2Disk sichern, oder wenn Tape dann Backup2Disk2Tape.

Wichtigster Schutz vor den Cryptolockerdingenssonstwastrojanern: keiner der von Mitarbeitern verwendeten Benutzeraccounts darf selbst Schreibrechte auf die Backupstores haben. Dafür werden gesonderte Accounts eingerichtet welche dann von den Backupsystemen und deren Agenten verwendet werden. Das gilt speziell auch für den Admins.
Bitte warten ..
Mitglied: IllusionFACTORY
20.02.2016 um 16:07 Uhr
Zitat von @psannz:
Deduplizierung geht auf mehrere Wege.

Danke für die Info!

Letztlich: Eine Sicherung der Mengen direkt auf Tape ist für euch kaum sinnvoll. Ich würde bei euch Backup2Disk sichern, oder wenn Tape dann Backup2Disk2Tape.

Also eine zweite, gleich große NAS kaufen? Das wäre aber ein Hammer-Invest :-) face-smile

Kann mir nicht vorstellen, dass große Hoster / Amazon / eBay einfach auf Platten replizieren, oder? :-) face-smile

Wichtigster Schutz vor den Cryptolockerdingenssonstwastrojanern: keiner der von Mitarbeitern verwendeten Benutzeraccounts darf selbst Schreibrechte auf die Backupstores haben.

Punkt für Dich.

Danke und Gruß,
Martin
Bitte warten ..
Mitglied: StefanKittel
20.02.2016 um 16:33 Uhr
Hallo,

in richtig großen Bereichen gibt es sehr komplexe aber simple Konzepte.
Einmal Vollsicherung und dann immer nur incrementel oder differentielle Sicherungen.

Stell Dir einfach mal das RZ von 1und1 mit seine Email-Postfächern und vServern vor.
Viele System werden gar nicht gesichert sondern mit einer Mischung aus Snapshots und Hochverfügbarkeit repliziert.
Ein logischer Fehler kann hier alle Daten zerstören.

Vor ein paar Jahren gab es bei Amazon im RZ in Irland einen Blitzeinschlag der die Stromversorgung und die Notstromversorgung zerstört hat.
So weit ich weiß gingen 10-20% aller Daten verloren. Also ganz weg und vorbei.

Bei Deinen Datenmengen hast Du einfach das Problem, dass es keine einzelnen Medien gibt wo alles raufpasst.
Im Prinzip würde hier ein Backupserver helfen der sich immer die geänderten Dateien holt. Niemand hat Zugriff auf das System. Nur der Admin.
Ich habe dafür aber auch keine Software zur Hand. Es wäre eine Art Repository mit Ausschleichen.

Ungelöst bleibt das Problem eine Kopie Offline außer Haus zu bekommen.

Stefan
Bitte warten ..
Mitglied: psannz
20.02.2016 um 17:18 Uhr
Zitat von @IllusionFACTORY:

Zitat von @psannz:
Letztlich: Eine Sicherung der Mengen direkt auf Tape ist für euch kaum sinnvoll. Ich würde bei euch Backup2Disk sichern, oder wenn Tape dann Backup2Disk2Tape.

Also eine zweite, gleich große NAS kaufen? Das wäre aber ein Hammer-Invest :-) face-smile

Kann mir nicht vorstellen, dass große Hoster / Amazon / eBay einfach auf Platten replizieren, oder? :-) face-smile

Du brauchst auf jeden Fall ein System auf das du sicherst. Wenn du bereits ein vernünftiges SAN hättest wäre das kein Problem. Auf die NAS direkt drauf wird es aber schwer...
Und Backup2Disk bedeutet nur dass auch ein System mit Festplatten gesichert wird. Backup2Disk2Tape würde bedeuten dass auf ein System mit Festplatten gesichert wird, welches dann weiter auf Band sichert.

Mal als Beispiel wie ich das mache:
Gesichert werden...
  1. DCs, Exchange, ERP, DMS, RDS, VDI, A/V, Comm, etc auf 2 Hyper-V Servern bringen es nur auf "triviale" 1,5 TB.
  2. Steuerworkstations für Maschinen, bringen es auf weitere "triviale" 1 TB.
  3. 2 Fileserver mit Windows 2012 R2 stellen redundant 8 TB Daten bereit (tatsächlich auf den Arrays dank WS2012R2 Dedup: 3 TB)
Summe der zu sichernden Daten also knapp 10TB.

Gesichert wird das alles auf einen Backupserver mit ~20 TB Kapazität, 96 GB RAM mit Windows Server 2012R2.
Als Software ist aktuell noch Acronis im Einsatz. Der Acronis Data Store wird von Acronis selbst dedupliziert und die Sicherungsdateien selbst dann nochmals von Windows. Gesichert werden die Systeme nach GVS, sowie teilweise zusätzlich die Applikationen gesondert.
An der Stelle sei gesagt dass die Konfiguration so seit gut einem Jahr im Einsatz ist und ich je System 6 Monate in die Vergangenheit gehen kann.
Bitte warten ..
Mitglied: SamvanRatt
20.02.2016 um 17:21 Uhr
Hallo Martin
wir haben an einem Standort mir 200 Usern etwa 110TB Daten liegen, teils VMs, Nutzdaten, Projektdaten, Binaries, Code, .....
Das haben wir bisher mit BackupExec auf einen Taperoboter (Neo8000+LTO5) gesichert. Ganz klassisch als GVS. Im Gewerk steht auch verpflichtend ein Baremetal recovery und monatlich Ordnerdaten. Nie Fehler gehabt, ABER bei LTO ist das auch kein Kinderspielzeug wie DDS (DAT ist das Audio Pendant dazu), QIC, NAS, ....
GVS ist recht beruhigend, wenn auch zeitlich ein Vollbackup rund 3 Tage dauert. Umstieg erfolgt derzeit zu Veeam da BE einfach nicht gut ist in der Umgebung die wir haben. Bacula wird dann den File+SQLteil abdecken und Veeam läuft auf LTFS. Umstieg auf LTO6 ist bereits vorhanden.
Ich kann also für LTO nur gute Worte finden! Privat habe ich ebenso LTO(4) im Einsatz und geht echt gut.

Gruß
Sam
Bitte warten ..
Mitglied: Dobby
21.02.2016 um 03:08 Uhr
Hallo,

Frage - auf welche Medien sichert man 50TB?
Am besten auf zwei SANs und dann auf eine LTO6 Tape Library die erweitert werden kann oder von vorne herein
groß genug ist! und damit das alles schnell geht sollte man auch ein separates Storage Netzwerk aufsetzen dass
dann genügend Durchsatz bzw. Geschwindigkeit liefert.

Ich habe in der Vergangenheit schon mal mit Bandlaufwerken gearbeitet (DAT, etc.) - meine Erfahrung war:
Wann immer man irgendwas braucht, ist das Band dann doch nicht lesbar, oder wenn man das Laufwerk
austauschen muss wegen Defekts sind auf einmal die alten Bänder nicht mehr lesbar wegen anderer
Kopfjustierungen und solche Dinge...
Dann eben auf einen großen Anbieter setzen der dann auch seine alten Formate und Sicherungskonzept noch
lesen bzw. zurück sichern kann und das dann am besten auch noch über einen sehr langen Zeitraum.
HP hat zum Beispiel gerade seine Backupsoftware gewechselt und die kann eben nicht seine eigenen alten
Backups noch lesen bzw. zurück sichern, also lieber Tandberg oder aber gleich Quantum bei so etwas benutzen.

Ist nicht günstig, ist auch nicht leicht zu administrieren, muss auch gewartet werden, aber man ist eben auf der
sicheren Seite und kann schnell wieder an seine Daten kommen!

Kein Schreibzugriff durch das normale Netzwerk (Kryptoware)
Und daher zwei SANs und keine NAS Geräte! Auf eines wird gesichert und danach kann es sich in aller Ruhe
auf das zweite SAN duplizieren bzw. mit dem zweiten SAN synchronisieren und das wird dann z.B. auch auf den
Quantum Autoloader 3 (LTO 6) mit 16 Schächten gesichert.

Wir haben das auch so realisiert denn bei uns wird 24h rund um die Uhr gearbeitet und von daher muss schnell
und immer wieder gesichert werden und dazu haben wir dann auch gleich mehrere "Mellanox Switche" und Karten
(Infiniband) dazu gekauft was den Datenstrom auch dementsprechend schnell fließen lässt bzw. das
Synchronisieren super beschleunigt. Wie gesagt es kostest alles richtig Geld und ist auch nicht
immer mit zusätzlicher Arbeit verbunden.

Sicherlich muss man so etwas auch planen und richtig überlegen bzw. durchrechnen nur mittels Veam und
eines ARCServce Servers kann man recht schnell alles auf ein SAN sichern dass dann eventuell auch nur auf
einen Tape Autoloader gesichert werden muss, allerdings muss dann auch alles fertig sein wenn die
Vollsicherung beginnt und das Reporting und die restliche Überwachung kann man dann auch mittels
PRTG erledigen lassen und sich informieren lassen. Muss man eben einen Laptop oder ein TabletPC für
den Admin anschaffen und der muss dann eben auch am WE mal die Berichte schnell überfliegen, wenn
diese versendet werden. Sonst kann es am Montagmorgen schon mal eine Überraschung geben.

Mein Fazit ist, wenn die Daten wirklich sicher sind würde ich ein Systemhaus beauftragen und meine
konkreten Wünsche zum Umsetzen vorlegen und sich dann einfach noch einmal eine zweite Meinung
dazu holen. Nimm auf jeden Fall Tandberg oder Quantum LTO6 Tape Libraries als Autoloader, die bringen
gleich alles mit was man braucht und haben auch Ihre eigene Software im Einsatz.

Gruß
Dobby

Bitte warten ..
Mitglied: Bem0815
19.02.2019 um 09:56 Uhr
Zitat von @IllusionFACTORY:
- Kein Schreibzugriff durch das normale Netzwerk (Kryptoware)

Hier ist als Schutz IMHO wichtiger, keinen Schreibzugriff durch irgend einen Nutzer auf dem Backup System zu erlauben als den Backup User selbst.
Auch nicht dem Admin, dieser darf auch nur lesen.
Das Netzwerk spielt dabei eine untergeordnete Rolle.

Das Admin Konto wird eher mal durch einen Schädling übernommen als das Backup Konto.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Realistische Gehaltsvorstellung für eine "IT-Allroundkraft"
gelöst JiggyLeeVor 1 TagFrageOff Topic23 Kommentare

Hallo an alle, ich hege momentan den Wunsch mich von der alten verstaubten Behörden Bürokratie und langweiliger Aufgaben los zu lösen und in einem ...

Humor (lol)
Tipp: Dinge, die man besser nicht klaut
altmetallerVor 1 TagTippHumor (lol)17 Kommentare

Hallo, so wurde meiner Hündin z.B. heute der (eingeschaltete) GPS-Tracker mit Mobilfunkanbindung quasi "direkt vom Halsband weggefunden". Akku hatte noch 60% :-P Und ich ...

LAN, WAN, Wireless
Starlink im Unternehmen?
gelöst 0xFFFFVor 7 StundenFrageLAN, WAN, Wireless22 Kommentare

Guten Morgen Admins, leider leiden wir darunter, dass wir uns hier in DE noch in einem Entwicklungsland was die Internetanbindung angeht, sehr. Nun kam ...

Microsoft
Datenkrake - Browser
DennisWeberVor 22 StundenErfahrungsberichtMicrosoft9 Kommentare

Hallo zusammen, ich empfehle euch mal definitiv in "Temp" Verzeichnis eures Browsers zu schauen. Es war für mich erschreckend, wie viele wichtige Dokumente und ...

Netzwerkmanagement
Sicherheitsrisiken Synology DS Admin Konto
RitchtoolsVor 1 TagFrageNetzwerkmanagement6 Kommentare

Hallo Zusammen, ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat ...

Grafikkarten & Monitore
Monitorhalterung mit 80cm Armlänge
ben1300Vor 1 TagFrageGrafikkarten & Monitore7 Kommentare

Guten Abend ! ich bin auf der Suche nach einer Monitorhalterung, im besten Fall ohne Bohrung für einen 28" Monitor (Vesa Halterung). Nun kommt ...

Off Topic
Klimaanlage im Serverraum
gelöst imebroVor 4 StundenFrageOff Topic19 Kommentare

Hallo, wir haben einen kleinen Serverraum (viell. 5 - 6 m²), in dem ein Serverschrank steht. Der Raum hat kein Fenster!!! Darin befinden sich ...

Cloud-Dienste
Cloud PBX bzw. IP Telefon für Ausland
decehakanVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, Ich suche Cloud Telefon ( Cloud PBX, IP-Telefon), sodass ich von Ausland aus über eine deutsche Rufnummer auf mein Handy erreichbar bin. ...