seppo1
Goto Top

Backupkonzept - NAS Speicher

Hallo zusammen,

ich bin gerade dabei ein neues Backupkonzept für ein kleines mittelständisches Unternehmen auszuarbeiten.

In der Vergangenheit haben die ehem. Geschäftführer kaum in die IT des Unternehmens investiert und wohl immer nur das aller nötigste umgesetzt. Der Investitionsstau zeigt sich nun - so auch in der Backupinfrastruktur. Weiter möchte ich hier aber auch nicht drauf eingehen. Der neue Geschäftsführer ist zum Glück gewillt, mehr zu investieren.

Kurzer Abriss zur Hardware:
2x Lenovo ThinkSystem SR630 mit jeweils lokalen SSDs. Auf den Servern läuft ein ESXi 6.7.0.
Verwaltet werden die ESXi`s von einem VCenter 6.7. Es sind VMware vSphere 6 Essentials Plus Lizenzen im Einsatz - also kein gültiges VMWare Abonnement... oder mittlerweile Broadcom... face-wink
Speichernutzung der beiden Server liegt bei ca. 6 TB mit aktuell 15 VMs (Windows & Linux Systeme).

Beide Server sind jeweils mit einem 1 GBE Uplink ins Netzwerk eingebunden. Mehr geben die Switche nicht her. (HP 2920-48G) Am Server ist eine Intel X722 LOM onboard (4-Ports) verbaut. Ich kann mir leider nicht erschließen, ob die Netzwerkkarte 10-GBit kann.

Weiterhin gibt es noch ein NAS QNAP TVS-882 , wo noch separat Daten abliegen. Nettospeicher 18 TB. Datenmenge ca. 4 TB.

Einzige mir bekannte Sicherung ist über eine veraltete abgekündigte Backupsoftware auf einem Tapelaufwerk (Quantum 3580 H5S). Diese läuft noch als VM auf einem uralt Server. Der Server soll abgestellt werden. Die Sicherung laufen auf LTO-5 Tapes im Generationenprinzip. Backups laufen aber häufig leider auch auf Fehlern, wobei man auch ergänzen muss, dass der Support und die Entwicklung des Produkts seit Jahren ausgelaufen ist! Daher steht klar fest, das muss raus!

Damit die Firma schonmal etwas mehr Sicherheit hat, hatte ich schon eine VM mit Veeam Backup & Replication auf einem der beiden ESXi-Hosts installiert und BackupJobs auf dem Qnap eingerichtet. Windows Server 2022 Standard Lizenzen hatten wir zuvor schon eingekauft. Da ich aktuell nur die freie Version im Einsatz ist, werden auch nur die zehn "wichtigsten" Server gesichert. Auf dem NAS war / ist noch genügen Speicherplatz für die Backups.

Meine Idee ist es nun Veeam Dataplatform Essentials Universal 4 x 5 Instanzen zu lizenzieren und ein performantes Rack-NAS (ausschließlich für die Backups) dazukaufen. Beispiel: Synology RS1221RP+ oder QNAP NAS TS-873AEU-RP-4G. Mit 8 x 4 TB 7200 rpm-HDDs im Raid 5 Verbund. Der TVS-882 würde dann in ein anderes Firmengebäude platziert. Hier sollen CopyJobs laufen. Im Anschluss probiere ich das Tapelaufwerk an den Thinksystem anzubinden und der Veeam Maschine zuzuordnen. Dazu müsste ich den HBA aus dem alten Server ausbauen und im SR630 wieder einbauen. Wenn das funktioniert, würde ich neue LTO-5 Bänder kaufen. Dann hätten wir das 3-2-1 Prinzip auf jeden Fall eingehalten.

Wie ist eure Meinung dazu bzw. wie würdet ihr das Thema angehen? Gerne auch Hardwarevorschläge für mich!
Denke ich zu groß oder zu klein?

Der Thread ist gerne zum Diskutieren und für den Erfahrungsaustausch.

Ich freue mich. Danke und Gruß Seppo

Content-ID: 53971089360

Url: https://administrator.de/contentid/53971089360

Ausgedruckt am: 25.11.2024 um 00:11 Uhr

mbehrens
mbehrens 05.01.2024 um 17:56:44 Uhr
Goto Top
Zitat von @seppo1:

Im Anschluss probiere ich das Tapelaufwerk an den Thinksystem anzubinden und der Veeam Maschine zuzuordnen. Dazu müsste ich den HBA aus dem alten Server ausbauen und im SR630 wieder einbauen. Wenn das funktioniert, würde ich neue LTO-5 Bänder kaufen. Dann hätten wir das 3-2-1 Prinzip auf jeden Fall eingehalten.

Da würde ich keine Zeit mehr rein investieren. 1,5 TB reichen sicherlich nicht aus.
Avoton
Avoton 05.01.2024 um 18:28:32 Uhr
Goto Top
Beispiel: Synology RS1221RP+
Wenn du ein Syno nimmst, kannst du auch ActiveBackup nutzen und dir die Kosten für Veeam sparen.
DivideByZero
DivideByZero 05.01.2024 um 20:16:10 Uhr
Goto Top
Moin,

Zitat von @seppo1:


Beide Server sind jeweils mit einem 1 GBE Uplink ins Netzwerk eingebunden. Mehr geben die Switche nicht her. (HP 2920-48G) Am Server ist eine Intel X722 LOM onboard (4-Ports) verbaut. Ich kann mir leider nicht erschließen, ob die Netzwerkkarte 10-GBit kann.

Schau mal im Gehäuse auf der Karte nach, dann abgleichen mit lenovopress.lenovo.com/lp0654-intel-x722-integrated-controller. Dann solltest Du wissen, was die können.

Falls es 4x Rj45x1Gb ist, kommt Link Aggregation in Betracht, siehe auch [content:484993].

Meine Idee ist es nun Veeam Dataplatform Essentials Universal 4 x 5 Instanzen zu lizenzieren und ein performantes Rack-NAS (ausschließlich für die Backups) dazukaufen. Beispiel: Synology RS1221RP+ oder QNAP NAS TS-873AEU-RP-4G. Mit 8 x 4 TB 7200 rpm-HDDs im Raid 5 Verbund.

Wie oben schon geschrieben, wenn Synology, dann ActiveBackup für Dich testen. Läuft gut, kostenfrei. Deduplizierung onbord.

Wenn Rackstation für Dich passt, auch im Budget, dann natürlich ok, aber als reines Backupmedium taugen natürlich auch die günstigeren Geräte aus der Plus-Serie. 32 TB: hängt von dem Wachstum der Datenmengen und der Veränderungsrate ab, musst Du beurteilen, ob so viel erforderlich.

Unklar ist mir die Menge des täglichen Backups. Wenn da Speed erforderlich ist, würde ich mir die Netzwerkschnittstellen anschauen und ggf. 10 Gb zwischen Server und Backupgerät einplanen.

Gruß

DivideByZero
Fabezz
Fabezz 06.01.2024 um 00:21:34 Uhr
Goto Top
Hallo,
ich würde bei dem Veeam Konzept bleiben.
Als target würde ich eine Qnap verwenden mit QuOjects. Hier hast du dann die Möglichkeit S3 zu sprechen und das ganze immutable zu machen. Die Qnap in ein extra Netz bzw. die Firewall der Qnap sorgfältig konfigurieren. Die alte Qnap als Backup Copy Target in einen anderen Abschnitt.

Gruß
seppo1
seppo1 06.01.2024 um 11:23:29 Uhr
Goto Top
Zitat von @mbehrens:
Da würde ich keine Zeit mehr rein investieren. 1,5 TB reichen sicherlich nicht aus.

An sich hast du recht! Aktuell werden auch nur drei virtuelle Maschinen darauf gesichert. So würde ich es weiterhin machen wollen. Das sind die unternehmenskritischsten Server. Hier müsste man natürlich vorher mit dem Kunden absprechen, ob direkt schon ein neues Tapelaufwerk finanziell drin sitzt oder eben nicht.

Zitat von @DivideByZero:
Unklar ist mir die Menge des täglichen Backups. Wenn da Speed erforderlich ist, würde ich mir die Netzwerkschnittstellen anschauen und ggf. 10 Gb zwischen Server und Backupgerät einplanen.

Guter Hinweis. Genaue Gedanken habe ich mir darüber noch nicht gemacht. Bei den meisten Servern reicht sicherlich 1x am Tag, beim FileServer würde ich zu 3x am Tag tendieren. Genaueren würde ich aber noch analysieren.

Angenommen die Server können 4 x 10 GBit. Macht es Sinn bzw. ist es möglich das NAS jeweils mit 10 GBit an die Server direkt anzuschließen? Dann benötigt das NAS natürlich 2 x 10 GBit. Oder lieber ganz normal am Switch anbinden? Dieser wäre dann das Nadelöhr und würde die Verbindung wieder auf 1 GBit je Port drosseln.

Falls es 4x Rj45x1Gb ist, kommt Link Aggregation in Betracht, siehe auch LACP-Trunk zwischen HPE 1920-24G und HP-2920-24G will nich.

So wurde es beim NAS auch gemacht mit IEEE 802.3ad. Hängt am selben Switch wie die Server.
Bei den Servern würde ich es dann genauso machen. Alleine schon wegen der Ausfallsicherheit.

Zitat von @Fabezz:
Als target würde ich eine Qnap verwenden mit QuOjects.

Danke für den Hinweis, immutable Backups wären natürlich eine feine Sache.
MysticFoxDE
MysticFoxDE 06.01.2024 aktualisiert um 11:58:32 Uhr
Goto Top
Moin @seppo1,

Wie ist eure Meinung dazu bzw. wie würdet ihr das Thema angehen? Gerne auch Hardwarevorschläge für mich!

wenn der Kunde Veeam bezahlen kann und auch möchte, dann ist das schon eine gute Lösung.
Was die Tagessicherungen betrifft, so kommst du an einem anständigen NAS, meiner Erfahrung nach heute nicht wirklich vorbei, zumindest nicht effektiver.

Wenn du ein performantes Rack-NAS haben möchtest, dann schau dir mal auch die Geräte von Infortrend an, z.B. das folgende (GSe Pro 208) ...
https://www.infortrend.com/de/products/families/gsepro/pro200
..., die ist performancetechnisch Top und kann zudem man die onboard 2 x 1G (RJ45) & 2x 10G (SFP+), jederzeit noch mit bis zu 4 weiteren 10G (SFP+/RJ45) Ports bestückt werden.
Und ja, die 10G bekommt die locker hin. Wir haben selbst sowohl eine GSe Pro 205 als auch eine GSe Pro 208 und von der letzteren, habe ich mit SSD-Bestückung schon über 4000 MB/s über 4x10G abgekratzt und auch draufgekratz. 🤪
Bei einer HDD Bestückung kommst du an die 4000 MB/s natürlich nicht ran, aber so um bis zu 2000 MB/s, bringt die GSe Pro 208 dann immer noch. 😁

Gruss Alex
seppo1
seppo1 06.01.2024 um 12:48:22 Uhr
Goto Top
Moin Alex @MysticFoxDE,

4000 MB/s sind natürlich wahnsinnige Werte! face-wink Die 10G bekomme ich zum jetzigen Zeitpunkt leider nicht angebunden. Dazu müsste ich erst die Switche und eventuell auch die Server nachrüsten. Hast du das NAS direkt an die Server angebunden? Welches RAID-Level?

Preise gibt es wahrscheinlich nur auf Anfrage...?
MysticFoxDE
MysticFoxDE 06.01.2024 um 14:20:38 Uhr
Goto Top
Moin @seppo1,

4000 MB/s sind natürlich wahnsinnige Werte! face-wink Die 10G bekomme ich zum jetzigen Zeitpunkt leider nicht angebunden. Dazu müsste ich erst die Switche und eventuell auch die Server nachrüsten.

na ja, mit in summe 6x10G kannst du das Ding ja auch direkt an 6 Server anschliessen, auf der anderen Seite, 10G Switche kosten mittlerweile auch nicht mehr die Welt.

Bei den Server wird es schon etwas happig, den die meisten davon, vor allem wenn Windows darauf läuft, musst du ordentlich nachkonfigurieren, damit du die 10G überhaupt erreichen kannst und auch halbwegs effektiv nutzen kannst. Von schnelleren NIC's will ich erst gar nicht anfangen. 😔

Hast du das NAS direkt an die Server angebunden?

Als ich den Test damals gemacht habe, hing das Ding direkt mit 4x10G an meiner Workstation. 🤪

Ich habe diesbezüglich auch mal einen Artikel bei Spiceworks geschrieben ... ah ja habs gefunden ...

https://community.spiceworks.com/topic/2265556-mystical-loadbalancing-by ...

... weil ich mir am Anfang das Loadbalancing nicht erklären konnte. 🙃

Welches RAID-Level?

RAID5, das ist vor allem für Backups bei einer geringen HDD Anzahl (<10), vollkommen ausreichend.
Bei grösseren Backupunits, die mit mehr wie 10 HDD's bestückt werden, nehmen wir ansonsten RAID6.

Preise gibt es wahrscheinlich nur auf Anfrage...?

Das ist der Distributor unseres Vertrauens wenn es um Infortrend geht.
https://shop.prostor.de/de/

Die Kisten kosten auch nicht wirklich mehr, wie vergleichbare von QNAP oder Syno, sind aber deutlich leistungsfähiger. 😉

Eines der bösesten Dinge die wir bisher mit einer Infortrend Unit (DS 4000) gebaut haben, war ein Demosystem für eine Messe, welches mit nur zwei HV-Node's, mal kurz um die !! 32.000 MB/s !! geschaufelt hat und das bereits vor mehr als 5 Jahren, für noch nicht mal 40K! 🤪

Gruss Alex
jsysde
jsysde 06.01.2024 um 15:15:11 Uhr
Goto Top
Moin.

Bei der Wahl des RAID-Subsystems bitte auch den Rebuild bzw. dessen Dauer bedenken. Bei nem RAID5 aus z.B. 3x16TB-Platten kann das schon mal Tage dauern. Und in diesem Zeitraum werden dann keine Backups laufen können, weil eben während des Rebuilds die Performance einfach unterirdisch ist.

In den letzten Jahren bin ich (fast) vollständig und überall von Parity- auf Non-Parity-RAIDs umgestiegen. Bei den aktuellen Plattenpreisen ist das (teils sogar mit SSDs) auch kein finanziell ruinöses Unterfangen mehr. face-wink

*Just my 5 Cent*

Cheers,
jsysde
seppo1
seppo1 06.01.2024 um 16:09:06 Uhr
Goto Top
Moin @jsysde,

da hast du völlig recht! Wobei mir ein RAID1 für Backups doch zu viel ungenutzte Kapazität wäre.
Ich dachte an Platten zwischen 4 und 8 TB. Gute 7.200er SATAs sollten da denke ich genügen.

SSDs sind, denke ich, für den Anwendungsfall etwas überdimensioniert, auch wenn die Preise teilweise schon sehr verlockend sind. Das Unternehmen kann es wohl verkraften, wenn das Recovery mal eine Stunde länger dauert. face-wink
Hauptsache es gibt erstmal Möglichkeiten zum Zurücksichern! face-wink
MysticFoxDE
MysticFoxDE 06.01.2024, aktualisiert am 07.01.2024 um 08:30:45 Uhr
Goto Top
@jsysde

Bei der Wahl des RAID-Subsystems bitte auch den Rebuild bzw. dessen Dauer bedenken. Bei nem RAID5 aus z.B. 3x16TB-Platten kann das schon mal Tage dauern. Und in diesem Zeitraum werden dann keine Backups laufen können, weil eben während des Rebuilds die Performance einfach unterirdisch ist.

das kann ich so nicht bestätigen, zumindest nicht pauschal.
Bei einem unserer Kunden ist als ob sie es gerochen hätte, vor einigen Stunden eine HDD in seiner Infortrend Backupunit gestorben und nun läuft der Rebuild auf die Hot-Spare.

Und parallel zu dem Rebuild, laufen aktuell auch die Backups ...
backup during rebuild2
... mit einer Pocessing rate von ~650 MB/s und dabei steht die Rebuild-Priority der Unit noch nicht mal auf low.

Unter dem Strich laufen die Backups während des Rebuilds nun mit etwa 30% geringerer Performance, was aus meiner Sicht absolut vertretbar und weit weg von unterirdisch ist. 😉

In den letzten Jahren bin ich (fast) vollständig und überall von Parity- auf Non-Parity-RAIDs umgestiegen. Bei den aktuellen Plattenpreisen ist das (teils sogar mit SSDs) auch kein finanziell ruinöses Unterfangen mehr. face-wink

Ein Non-Parity-RAID (1/10) schützt aber bei einem Diskausfall nicht automatisch vor einem Rebuild, den die Daten auf den ausgefallenen Laufwerk müssen auf dem Ersatzlaufwerk ja trotzdem irgendwie wiederhergestellt werden.
Der einzige Unterschied dabei ist, dass der Rebuild Prozess bei einem Non-Parity-RAID meistens etwas schneller läuft, weil die Daten nur von einem Datenträger auf den anderen kopiert und nicht von mehreren zusammengekratzt und über den Parity-Bit noch "wiederhergestellt" werden müssen.

Zudem verschlingt ein RAID 10 bei gleicher Netto-Kapazität mehr Einbauschächte als ein RAID5 oder RAID6, sprich,
man benötigt eventuell eine viel grössere und somit teurere Unit oder zusätzliche JBOD's um dieselbe Kapazität bereitzustellen. Zudem frisst ein Non-Parity-RAID auch mehr Energie, weil du die doppelte Anzahl an Datenträger betreiben musst u.s.w..

Gruss Alex
Maxilo311
Maxilo311 07.01.2024 aktualisiert um 09:51:23 Uhr
Goto Top
Morgen,

Ich möchte noch etwas zur Absicherung der Veeam VM sagen.
vSphere / vCenter 6.7 bekommen keine Sicherheitsupdates mehr, das ist ein potentielles Risiko für diese VM.
Sollte Authentifizierung am vCenter über das AD erlaubt sein gibt es auch einen direkten „Angeiffsweg“ für einen Hacker, er kann sich mit genug Zeit eigentlich immer von einem Client PC zu Admin Berechtigungen in der Domäne hoch arbeiten.

Um eine solche VM so sicher wie möglich zu halten, empfehle ich:
- vCenter vom AD trennen, falls verbunden, lokale Zugangsdaten verwenden
- Bitlocker Verschlüsselung innerhalb der Veeam VM aktivieren. Dadurch kann man eine Manipulation der Windows / Veeam Dateien über den Host ausschließen.
- vSphere / vCenter falls möglich mindestens auf 7.0 aktualisieren, dort gibt es noch updates
- Veeam Hardening Guide folgen, VM darf nicht in der Domäne sein, RDP aus, Firewall an, etc
- Falls das die Infrastruktur her gibt sollte das hier besprochene NAS und die VM in einem eigenen VLAN, hinter einer internen Firewall sein.

LG
Max
seppo1
seppo1 07.01.2024 um 10:47:29 Uhr
Goto Top
Super Beitrag Max. (@Maxilo311)

Thema der unsupporteten vSphere-Version ist bekannt und hatte ich dem Geschäftsführer auch schon berichtet.
Die Server wurden seit über drei Jahren nicht mit Updates versorgt...
Demnach ist auch noch eine sehr alte Version von 6.7 installiert. Leider haben die ehemaligen Admins wohl nach dem Prinzip "Never Change Running System" gearbeitet.

Zur Absicherung:
- VCenter ist vom AD getrennt
- Bitlocker müsste ich noch aktivieren
- Hosts sind sogar 8.0 kompatibel. Ich hätte am liebsten letztes Jahr schon die Lizenzen gekauft. Es saß aber finanziell leider nicht drin. Der General Support von VSphere 7.0 läuft Anfang nächstes Jahr schon aus.
- Veeam Harding Guid wurde befolgt bis auf RDP
- Im Sommer muss die Firewall getauscht werden, dann wird segmentiert. Ist aber dann ein separates Projekt.
MysticFoxDE
MysticFoxDE 07.01.2024 um 11:26:55 Uhr
Goto Top
Moin @Maxilo311,

Um eine solche VM so sicher wie möglich zu halten, empfehle ich:
- vCenter vom AD trennen, falls verbunden, lokale Zugangsdaten verwenden
- Bitlocker Verschlüsselung innerhalb der Veeam VM aktivieren. Dadurch kann man eine Manipulation der Windows / Veeam Dateien über den Host ausschließen.
- vSphere / vCenter falls möglich mindestens auf 7.0 aktualisieren, dort gibt es noch updates
- Veeam Hardening Guide folgen, VM darf nicht in der Domäne sein, RDP aus, Firewall an, etc
- Falls das die Infrastruktur her gibt sollte das hier besprochene NAS und die VM in einem eigenen VLAN, hinter einer internen Firewall sein.

😲 ... 👍👍👍 ...😍 ... also zumindest betreffend dem was du geschrieben hast.

Die meisten deiner Aussagen gelten übrigens auch für eine Hyper-V Umgebung. 😉

Noch eine kleine Ergänzung.
Man sollte das/die Management-Netz(e) und auch das Backup Netz, niemals mit der Prod-Umgebung direkt koppeln und am Besten für das Management dedizierte Hosts und oder Jump-Hosts benutzen, die wiederum von der Prod-Umgebung, ebenfalls vollständig isoliert sind.

Unabhängig der Netztrennung, würde ich bei der Authentifizierung, auch immer ein Schott zwischen PROD und MGMT und auch zwischen MGMT und BACKUP mit einbauen, sprich überall andere Zugangsdaten verwenden.

Gruss Alex
seppo1
seppo1 07.01.2024 aktualisiert um 12:06:07 Uhr
Goto Top
Ich hatte vorhin noch gesehen, dass noch VSphere Replication auf dem Server läuft. Einzelne virtuelle Maschinen werden auf dem NAS QNAP TVS-882 repliziert. Alle laufen auf Fehler.

Ich hatte gerade mal eine Test Linux-Maschine (ein Webdienst) erstellt und diese vom NAS gestartet (also eine Wiederherstellung durchgeführt). Es funktioniert, allerdings läuft die VM sehr träge und langsam.

Macht es Sinn, das Konzept auf dem neuen NAS ans Laufen zu halten? Oder reicht eurer Meinung nach eine vollständige Integration von Veeam?