Offsite Backup - wie resilient machen?
Hallo,
aktuell führe ich ein Backup meines ESXi Hosts mittels Veeam folgendermaßen durch:
- lokal an einem am ESXi Host verfügbaren Datenträger für das weekly Full sowie tägliche inkrementelle Backups.
- tägliche inkrementelle und monatliche Full Backup auf einen NAS on-site.
- tägliche Sicherung meines on-site Synology NAS zu einem off-site Synology NAS.
Probleme macht mir nun die täglich Sicherung von on-site zu offsite NAS, da ich verhindern will, dass mein Veeam Backup Server sowohl Zugriff auf meine on u. off-site NAS hat.
Aktuell führe ich die Sicherung mittels Synology HyperBackup direkt von NAS zu NAS durch. Das funktioniert so lange gut, bis mein Speicher auf der off-site NAS voll ist, da durchgehend eine inkrementelle Datensicherung durchgeführt wird, ich aber z.B nach 60 inkrementellen Sicherung meinen alten Versionen löschen müsste.
Wie stelle ich sicher, dass der Veeam Backup Server keinen Zugriff auf meine offsite-NAS hat, ich aber immer dann, wenn mein monatliches Full Backup von Veeam auf meine on-site NAS durchgeführt wird, ich auch gleichzeitig ein Full Backup meiner on zu off-site NAS durchführe mit gleichzeitiger Löschung älterer Versionen (idealerweise im gleichen Rhythmus wie Veeam Backup)?
Das was ich bräuchte wäre eine Synchronisierung meiner on und off-site NAS. Hier hätte ich aber das Problem dass ich keine Versionierung der Daten mehr hätte und Im Falle einer z.B. Ransomware Attacke beide NAS befallen wären, welches ich ja genau verhindern will.
aktuell führe ich ein Backup meines ESXi Hosts mittels Veeam folgendermaßen durch:
- lokal an einem am ESXi Host verfügbaren Datenträger für das weekly Full sowie tägliche inkrementelle Backups.
- tägliche inkrementelle und monatliche Full Backup auf einen NAS on-site.
- tägliche Sicherung meines on-site Synology NAS zu einem off-site Synology NAS.
Probleme macht mir nun die täglich Sicherung von on-site zu offsite NAS, da ich verhindern will, dass mein Veeam Backup Server sowohl Zugriff auf meine on u. off-site NAS hat.
Aktuell führe ich die Sicherung mittels Synology HyperBackup direkt von NAS zu NAS durch. Das funktioniert so lange gut, bis mein Speicher auf der off-site NAS voll ist, da durchgehend eine inkrementelle Datensicherung durchgeführt wird, ich aber z.B nach 60 inkrementellen Sicherung meinen alten Versionen löschen müsste.
Wie stelle ich sicher, dass der Veeam Backup Server keinen Zugriff auf meine offsite-NAS hat, ich aber immer dann, wenn mein monatliches Full Backup von Veeam auf meine on-site NAS durchgeführt wird, ich auch gleichzeitig ein Full Backup meiner on zu off-site NAS durchführe mit gleichzeitiger Löschung älterer Versionen (idealerweise im gleichen Rhythmus wie Veeam Backup)?
Das was ich bräuchte wäre eine Synchronisierung meiner on und off-site NAS. Hier hätte ich aber das Problem dass ich keine Versionierung der Daten mehr hätte und Im Falle einer z.B. Ransomware Attacke beide NAS befallen wären, welches ich ja genau verhindern will.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4613087704
Url: https://administrator.de/forum/offsite-backup-wie-resilient-machen-4613087704.html
Ausgedruckt am: 26.12.2024 um 01:12 Uhr
7 Kommentare
Neuester Kommentar
Mahlzeit.
An irgendeinem Punkt wird immer eine Verbindung sein.
Du könntest beispielsweise das Off-Site NAS ausschalten nach erfolgreicher Sicherung und via Synology Task Planer kurz vor dem geplanten Hyper Backup wieder "aufwecken" lassen.
Snapshot Replication zwischen den NAS Geräten solltest du dir mal als Alternative ansehen.
Du kannst doch mehrere Hyper Backup Jobs erstellen, welche in unterschiedlichen Intervallen laufen.
Wann dein Veeam Backup durch ist weißt du ja. Im Anschluss planst du dann einfach das Monthly Backup von NAS zu NAS.
Was die möglichen Versionen anbelangt kannst du ja nur durch mehr Speicher in den Griff kriegen.
Wenn dein Off-Site Backup mehr Versionen enthalten soll, dann muss dort der Speicher entsprechend größer dimensioniert sein.
Wie sind die Standorte verbunden?
VPN Tunnel oder wird die Verbindung von NAS zu NAS direkt über Hyper Backup aufgebaut mittels Portfreigabe?
Dein Veeam hat ja aktuell nur dann Zugriff, wenn es einen Tunnel gibt und du keine Regel auf der Off-Site Seite hast, welche ausschließlich dein On-Site NAS berechtigt zuzugreifen.
Gruß
Marc
An irgendeinem Punkt wird immer eine Verbindung sein.
Du könntest beispielsweise das Off-Site NAS ausschalten nach erfolgreicher Sicherung und via Synology Task Planer kurz vor dem geplanten Hyper Backup wieder "aufwecken" lassen.
Snapshot Replication zwischen den NAS Geräten solltest du dir mal als Alternative ansehen.
Du kannst doch mehrere Hyper Backup Jobs erstellen, welche in unterschiedlichen Intervallen laufen.
Wann dein Veeam Backup durch ist weißt du ja. Im Anschluss planst du dann einfach das Monthly Backup von NAS zu NAS.
Was die möglichen Versionen anbelangt kannst du ja nur durch mehr Speicher in den Griff kriegen.
Wenn dein Off-Site Backup mehr Versionen enthalten soll, dann muss dort der Speicher entsprechend größer dimensioniert sein.
Wie sind die Standorte verbunden?
VPN Tunnel oder wird die Verbindung von NAS zu NAS direkt über Hyper Backup aufgebaut mittels Portfreigabe?
Dein Veeam hat ja aktuell nur dann Zugriff, wenn es einen Tunnel gibt und du keine Regel auf der Off-Site Seite hast, welche ausschließlich dein On-Site NAS berechtigt zuzugreifen.
Gruß
Marc
Zitat von @jktz84:
Ein Zugriff von Veeam auf meine Off-Site NAS würde ich gerne umgehen. Idealerweise zieht sich die Off-Site NAS die Daten von der On-Site NAS.
Ein Zugriff von Veeam auf meine Off-Site NAS würde ich gerne umgehen. Idealerweise zieht sich die Off-Site NAS die Daten von der On-Site NAS.
Aber hast du das nicht schon begrenzt?
Solange der Port 445 nicht von der On-Site Seite aus erreichbar ist und du nur den Hyper Backup Port freigegeben hast, sollte das schon fast am Optimum sein.
Off-Site Backups sind zwar durch die 3-2-1 Regel wünschenswert, aber haben eben die beschriebenen Hürden.
Vor allem, wenn keine symmetrische 10 Gbit Internet Leitungen auf beiden Seiten vorhanden sind.
Es wird irgendwann aufgrund der Datenmenge problematisch.
Deduplizierung hilft natürlich ungemein in solchen Fällen, aber bei stark zunehmendem Volumen auch nur bedingt.
Da darf es an Ressourcen und dem damit verbundenen, finanziellen Rückhalt nicht mangeln.
Gruß
Marc
Zitat von @jktz84:
Ein Zugriff von Veeam auf meine Off-Site NAS würde ich gerne umgehen. Idealerweise zieht sich die Off-Site NAS die Daten von der On-Site NAS.
Ein Zugriff von Veeam auf meine Off-Site NAS würde ich gerne umgehen. Idealerweise zieht sich die Off-Site NAS die Daten von der On-Site NAS.
Wie läuft es denn im Augenblick?
a) Hyperbackup-Job läuft auf On-Site NAS und sichert auf Off-Site NAS als Ziel
b) Hyperbackup-Job läuft auf Off-Site NAS und holt sich die Daten von On-Site NAS
b) wäre ja schon das, was Du willst.
Unterstützen Deine NAS das Paket Active Backup for Business? Da funktioniert Variante b) einwandfrei, versioniert, dedupliziert. Dürfte das richtige sein.
Wie sind denn die Ursprungsdaten? Image- oder Einzeldateien im Ziel?
Bei Einzeldateien im Ziel (also jede gesicherte Quelldatei als einzelne Datei im Ziel, ohne Zusammenfassung in Archiven oder Images) dürfte Active Backup for Business perfekt laufen. Denn die Deduplizierung greift dann voll durch und selbst bei "Full Backups" würden dann die einzelne dateien als bereits gesichert erkannt und belegen keinen neuen Speicher. Unter dem Strich würden ja nur veränderte Dateien neuen Speicher belegen.
Also m.E. die beste Variante für Dich:
Das Off-Site NAS holt sich per Active Backup for Business die Daten vom On-Site NAS. Alle externen Zugriffe gesperrt. Weder auf ESXi, noch On-Site NAS sind irgendwo Zugangsdaten für dsaa Off-Site NAS hinterlegt. Dann sind weder vom ESXi aus, noch vom On-Site NAS aus eigene Zugriffe möglich.
Gruß
DivideByZero
Zitat von @jktz84:
Die Idee dahinter ist die 3-2-1 Regel so gut es geht voll automatisch durchzuführen, ohne dass wir manuell auf Datenträger sichern müssen.
Die Idee dahinter ist die 3-2-1 Regel so gut es geht voll automatisch durchzuführen, ohne dass wir manuell auf Datenträger sichern müssen.
Hier wäre die Synology Snapshot Replication eine gute Lösung, weil man dort (so meine Erinnerung) eben periodisch ein Full Backup einstreuen kann.
So kann man mehrere Ketten eröffnen.
Gruß
Marc