jktz84
Goto Top

Offsite Backup - wie resilient machen?

Hallo,

aktuell führe ich ein Backup meines ESXi Hosts mittels Veeam folgendermaßen durch:

- lokal an einem am ESXi Host verfügbaren Datenträger für das weekly Full sowie tägliche inkrementelle Backups.
- tägliche inkrementelle und monatliche Full Backup auf einen NAS on-site.
- tägliche Sicherung meines on-site Synology NAS zu einem off-site Synology NAS.

Probleme macht mir nun die täglich Sicherung von on-site zu offsite NAS, da ich verhindern will, dass mein Veeam Backup Server sowohl Zugriff auf meine on u. off-site NAS hat.
Aktuell führe ich die Sicherung mittels Synology HyperBackup direkt von NAS zu NAS durch. Das funktioniert so lange gut, bis mein Speicher auf der off-site NAS voll ist, da durchgehend eine inkrementelle Datensicherung durchgeführt wird, ich aber z.B nach 60 inkrementellen Sicherung meinen alten Versionen löschen müsste.

Wie stelle ich sicher, dass der Veeam Backup Server keinen Zugriff auf meine offsite-NAS hat, ich aber immer dann, wenn mein monatliches Full Backup von Veeam auf meine on-site NAS durchgeführt wird, ich auch gleichzeitig ein Full Backup meiner on zu off-site NAS durchführe mit gleichzeitiger Löschung älterer Versionen (idealerweise im gleichen Rhythmus wie Veeam Backup)?

Das was ich bräuchte wäre eine Synchronisierung meiner on und off-site NAS. Hier hätte ich aber das Problem dass ich keine Versionierung der Daten mehr hätte und Im Falle einer z.B. Ransomware Attacke beide NAS befallen wären, welches ich ja genau verhindern will.

Content-Key: 4613087704

Url: https://administrator.de/contentid/4613087704

Printed on: July 27, 2024 at 11:07 o'clock

Member: radiogugu
radiogugu Nov 13, 2022 at 12:06:06 (UTC)
Goto Top
Mahlzeit.

An irgendeinem Punkt wird immer eine Verbindung sein.

Du könntest beispielsweise das Off-Site NAS ausschalten nach erfolgreicher Sicherung und via Synology Task Planer kurz vor dem geplanten Hyper Backup wieder "aufwecken" lassen.

Snapshot Replication zwischen den NAS Geräten solltest du dir mal als Alternative ansehen.

Du kannst doch mehrere Hyper Backup Jobs erstellen, welche in unterschiedlichen Intervallen laufen.

Wann dein Veeam Backup durch ist weißt du ja. Im Anschluss planst du dann einfach das Monthly Backup von NAS zu NAS.

Was die möglichen Versionen anbelangt kannst du ja nur durch mehr Speicher in den Griff kriegen.

Wenn dein Off-Site Backup mehr Versionen enthalten soll, dann muss dort der Speicher entsprechend größer dimensioniert sein.

Wie sind die Standorte verbunden?
VPN Tunnel oder wird die Verbindung von NAS zu NAS direkt über Hyper Backup aufgebaut mittels Portfreigabe?

Dein Veeam hat ja aktuell nur dann Zugriff, wenn es einen Tunnel gibt und du keine Regel auf der Off-Site Seite hast, welche ausschließlich dein On-Site NAS berechtigt zuzugreifen.

Gruß
Marc
Member: jktz84
jktz84 Nov 13, 2022 at 12:25:51 (UTC)
Goto Top
Hi,
danke für die Idee.
Zitat von @radiogugu:
An irgendeinem Punkt wird immer eine Verbindung sein.
Momentan möglich ist eine Verbindung von NAS zu NAS über VPN mit der benötigten Portfreigabe für HyperBackup.
Du könntest beispielsweise das Off-Site NAS ausschalten nach erfolgreicher Sicherung und via Synology Task
Planer kurz vor dem geplanten Hyper Backup wieder "aufwecken" lassen.
Jup, das mache ich so bereits auch schon. Allein schon um Energie zu sparen.
Snapshot Replication zwischen den NAS Geräten solltest du dir mal als Alternative ansehen.
Ideal wäre sicherlich eine Snapshot Replication meines Backup Orders mit aktivierter Versionierung auf der Off-Site NAS, inklusive Löschung alter Versionen, sobald der Veeam Zyklus z.B zweifach durchgelaufen ist.
Was die möglichen Versionen anbelangt kannst du ja nur durch mehr Speicher in den Griff kriegen.
Wenn dein Off-Site Backup mehr Versionen enthalten soll, dann muss dort der Speicher entsprechend größer
dimensioniert sein.
Das stößt bei mir irgendwann aber auch an die Grenzen. Ein Full Backup ist bereits ca. 1TB.
Wie sind die Standorte verbunden?
VPN Tunnel oder wird die Verbindung von NAS zu NAS direkt über Hyper Backup aufgebaut mittels Portfreigabe?
VPN u. limitiert mittels Firewallregeln.
Dein Veeam hat ja aktuell nur dann Zugriff, wenn es einen Tunnel gibt und du keine Regel auf der Off-Site Seite hast, welche ausschließlich dein On-Site NAS berechtigt zuzugreifen.
Ein Zugriff von Veeam auf meine Off-Site NAS würde ich gerne umgehen. Idealerweise zieht sich die Off-Site NAS die Daten von der On-Site NAS.
Member: radiogugu
radiogugu Nov 13, 2022 at 12:34:36 (UTC)
Goto Top
Zitat von @jktz84:
Ein Zugriff von Veeam auf meine Off-Site NAS würde ich gerne umgehen. Idealerweise zieht sich die Off-Site NAS die Daten von der On-Site NAS.

Aber hast du das nicht schon begrenzt?

Solange der Port 445 nicht von der On-Site Seite aus erreichbar ist und du nur den Hyper Backup Port freigegeben hast, sollte das schon fast am Optimum sein.

Off-Site Backups sind zwar durch die 3-2-1 Regel wünschenswert, aber haben eben die beschriebenen Hürden.

Vor allem, wenn keine symmetrische 10 Gbit Internet Leitungen auf beiden Seiten vorhanden sind.

Es wird irgendwann aufgrund der Datenmenge problematisch.
Deduplizierung hilft natürlich ungemein in solchen Fällen, aber bei stark zunehmendem Volumen auch nur bedingt.

Da darf es an Ressourcen und dem damit verbundenen, finanziellen Rückhalt nicht mangeln.

Gruß
Marc
Member: DivideByZero
DivideByZero Nov 13, 2022 at 14:35:44 (UTC)
Goto Top
Zitat von @jktz84:

Ein Zugriff von Veeam auf meine Off-Site NAS würde ich gerne umgehen. Idealerweise zieht sich die Off-Site NAS die Daten von der On-Site NAS.

Wie läuft es denn im Augenblick?
a) Hyperbackup-Job läuft auf On-Site NAS und sichert auf Off-Site NAS als Ziel
b) Hyperbackup-Job läuft auf Off-Site NAS und holt sich die Daten von On-Site NAS

b) wäre ja schon das, was Du willst.

Unterstützen Deine NAS das Paket Active Backup for Business? Da funktioniert Variante b) einwandfrei, versioniert, dedupliziert. Dürfte das richtige sein.

Wie sind denn die Ursprungsdaten? Image- oder Einzeldateien im Ziel?

Bei Einzeldateien im Ziel (also jede gesicherte Quelldatei als einzelne Datei im Ziel, ohne Zusammenfassung in Archiven oder Images) dürfte Active Backup for Business perfekt laufen. Denn die Deduplizierung greift dann voll durch und selbst bei "Full Backups" würden dann die einzelne dateien als bereits gesichert erkannt und belegen keinen neuen Speicher. Unter dem Strich würden ja nur veränderte Dateien neuen Speicher belegen.

Also m.E. die beste Variante für Dich:

Das Off-Site NAS holt sich per Active Backup for Business die Daten vom On-Site NAS. Alle externen Zugriffe gesperrt. Weder auf ESXi, noch On-Site NAS sind irgendwo Zugangsdaten für dsaa Off-Site NAS hinterlegt. Dann sind weder vom ESXi aus, noch vom On-Site NAS aus eigene Zugriffe möglich.

Gruß

DivideByZero
Member: StefanKittel
StefanKittel Nov 14, 2022 at 06:30:13 (UTC)
Goto Top
Moin,

Du könntest statt dem offsite NAS einen S3-Speicher verwenden.
Hier gibt es viele Berechtigungsmethoden zum überschreiben oder löschen.

Oder eine Hetzner-Storage-Box mit Instanzen.

Stefan
Member: jktz84
jktz84 Nov 14, 2022 at 13:58:09 (UTC)
Goto Top
Habe hier ein paar gute Vorschläge bekommen, danke dafür schon einmal. Aber vielleicht noch einmal um mein Problem mit HyperBackup zu beschreiben:

Veeam sichert immer am Ersten des Monats ein Full Backup auf mein on-site NAS mit ca. 1TB Größe. Anschließend erfolgt täglich die inkrementelle Sicherung mit jeweils ca 4GB pro Tag.
Zum Anfang des nächsten Monats erfolgt ein neuer Zyklus.

Meine on-site NAS sichert täglich auf meine off-site NAS mittels HyperBackup. Bei HyperBackup jedoch kann ich keinen Zyklus für Full/inkrementell vorgeben.
Entsprechend sichert HyperBackup nach der Einrichtung des Jobs einmalig vollständig und anschließend fortlaufend inkrementell.
Spätestens nach 3-4 Monaten muss ich dann manuell eingreifen weil der benötigte Speicherplatz zu groß wird.

Sprich ich bräuchte entweder:
- eine Lösung, welche zeitgleich mit Veeam ein vollständiges Backup der on-site zu off-site NAS durchführt und alte Versionen löscht
- eine Lösung, bei der die Daten zwischen on-site zu off-site stets synchronisiert werden, mit der Möglichkeit einer Versionierung der Daten auf meiner off-site NAS für den Fall, dass alle Backupdaten gleichzeitig verschlüsselt werden und meine off-site NAS bereits mit den verschlüsselten Daten synchronisiert wurde.

Die Idee dahinter ist die 3-2-1 Regel so gut es geht voll automatisch durchzuführen, ohne dass wir manuell auf Datenträger sichern müssen.
Member: radiogugu
Solution radiogugu Nov 14, 2022 at 14:04:44 (UTC)
Goto Top
Zitat von @jktz84:
Die Idee dahinter ist die 3-2-1 Regel so gut es geht voll automatisch durchzuführen, ohne dass wir manuell auf Datenträger sichern müssen.

Hier wäre die Synology Snapshot Replication eine gute Lösung, weil man dort (so meine Erinnerung) eben periodisch ein Full Backup einstreuen kann.

So kann man mehrere Ketten eröffnen.

Gruß
Marc