8
QoS mit Sophos-UTM.?
Hallo,
möchte mit meinem VEEAM nun auch S3 ansprechen. Idee ist, zum Wochenende hin Vollbackups zu transferieren und dazwischen inkrementell.
Soweit so einfach.
Aber mein Backupfenster Freitag Abend-Montag Morgen reicht nicht für das Vollbackup.
Nun könnte ich im Veeam fummeln und mit Zeitfenstern Throttling fest vorgeben, ist aber nur halbgut.
Besser wäre eine einfache QoS Regel auf der WAN-Firewall:
"Gib dem Backupserver soviel Bandbreite wie er will solange kein anderer was anfordert. Im letzteren Fall stell den Backup hinten an". Damit könnte der Transfer laufen so lange er will und wann er will, ohne zu stören.
Es gibt nun in der UTM QoS-Möglichkeiten, aber die sind genau verkehrt rum; z.B. "gib dem mindestens xx bzw. höchstens YY".
Habe aber auch keine Lust, eine Negativregel zu formulieren a la 'gib allem anderen Verkehr Vorrang', bei sowas vergisst man immer irgendwas und sucht sich in ein paar Monaten den Wolf....
Ideen..?
Danke
möchte mit meinem VEEAM nun auch S3 ansprechen. Idee ist, zum Wochenende hin Vollbackups zu transferieren und dazwischen inkrementell.
Soweit so einfach.
Aber mein Backupfenster Freitag Abend-Montag Morgen reicht nicht für das Vollbackup.
Nun könnte ich im Veeam fummeln und mit Zeitfenstern Throttling fest vorgeben, ist aber nur halbgut.
Besser wäre eine einfache QoS Regel auf der WAN-Firewall:
"Gib dem Backupserver soviel Bandbreite wie er will solange kein anderer was anfordert. Im letzteren Fall stell den Backup hinten an". Damit könnte der Transfer laufen so lange er will und wann er will, ohne zu stören.
Es gibt nun in der UTM QoS-Möglichkeiten, aber die sind genau verkehrt rum; z.B. "gib dem mindestens xx bzw. höchstens YY".
Habe aber auch keine Lust, eine Negativregel zu formulieren a la 'gib allem anderen Verkehr Vorrang', bei sowas vergisst man immer irgendwas und sucht sich in ein paar Monaten den Wolf....
Ideen..?
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7070009658
Url: https://administrator.de/contentid/7070009658
Ausgedruckt am: 23.11.2024 um 09:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
in meinen Augen gehst du das ganze falsch an. Wenn die Zeit von Freitag Abend bis Montag Morgen für ein Vollbackup nicht reicht (ich meine das sind mindestens 48 Stunden), dann solltest du an deinem Backup etwas ändern. Kannst du es vielleicht noch komprimieren? Wie verschiebst du das Backup? Einfach so rüber? Installiere zum Beispiel auf beiden Sites ein Veeam und lass den Am Hauptstandort den zweiten Veeam als Backup-Proxy nutzen. Dann gewinnst du schon einiges an Zeit. Besorg dir eine dickere Leitung, etc. In meinen Augen macht es keinen Sinn ein Backup irgendwo abzulegen, welches nicht in einem akzeptables Zeitraum kopiert werden kann. Ggf. brauchst du am zweiten Standort eine andere Leitung?
Ansonsten händelt Sophos, QoS wie du schreibst: Wenn keine Regel definiert ist, wird die Leitung genutzt. Wenn du keine Negativ-Regel bauen willst (musst du nicht, das macht Sophos selbst), dann musst du QoS erstellen für alle Diente, die du brauchst. Alles was nach den Regeln an Traffic übrig bleibt wird dann in der Folge für dein Backup-Transfer genutzt.
Gruß
Doskias
in meinen Augen gehst du das ganze falsch an. Wenn die Zeit von Freitag Abend bis Montag Morgen für ein Vollbackup nicht reicht (ich meine das sind mindestens 48 Stunden), dann solltest du an deinem Backup etwas ändern. Kannst du es vielleicht noch komprimieren? Wie verschiebst du das Backup? Einfach so rüber? Installiere zum Beispiel auf beiden Sites ein Veeam und lass den Am Hauptstandort den zweiten Veeam als Backup-Proxy nutzen. Dann gewinnst du schon einiges an Zeit. Besorg dir eine dickere Leitung, etc. In meinen Augen macht es keinen Sinn ein Backup irgendwo abzulegen, welches nicht in einem akzeptables Zeitraum kopiert werden kann. Ggf. brauchst du am zweiten Standort eine andere Leitung?
Ansonsten händelt Sophos, QoS wie du schreibst: Wenn keine Regel definiert ist, wird die Leitung genutzt. Wenn du keine Negativ-Regel bauen willst (musst du nicht, das macht Sophos selbst), dann musst du QoS erstellen für alle Diente, die du brauchst. Alles was nach den Regeln an Traffic übrig bleibt wird dann in der Folge für dein Backup-Transfer genutzt.
Gruß
Doskias
Hi.
Gruß
"gib dem mindestens xx
Das siehst du nicht ganz richtig. Das Queuing findet ja eh erst bei Vollast statt, also erst wenn das WAN in Vollast kommt dann wird dem Backupserver eine Mindestransferrate zugewiesen, bzw. dann je nach weiteren Regeln auf diese reduziert wenn weitere Devices Bandbreite anfordern.Gruß
Moin...
das nächste Problem ist der Exchange, Mails wollen ja noch rein, AV Signaturen, Windows Updates etc...
ich würde da nix mit
Frank
das nächste Problem ist der Exchange, Mails wollen ja noch rein, AV Signaturen, Windows Updates etc...
ich würde da nix mit
Aber mein Backupfenster Freitag Abend-Montag Morgen reicht nicht für das Vollbackup.
da hilft dann warscheinlich auch kein QoS!Frank
Kollegen, Danke schon mal!
Das Ding mit dem Vollbackup ist, dass VEEAM das nicht unter 1.1TB hinbekommt (trotz Kompress/Dedup).
Bei ~35MBit Uploadbandbreite dauert das dann eben entsprechend...
VEEAM spricht den S3 übrigens ab V12 direkt als Speicherort an, also wird nix verschoben.
Wenn ich es dann brauche, greife ich ja mit 200MBit darauf zu - kommt eh nur als Plan D in Frage (nach den anderen Aufbewahrungsstufen und/oder bei Vollseuche durch Ransom). Also hoffentlich nie.
@Frank: Und dauern darf das ruhig - der VSS snapshoted die VMs beim Backup-Start; was danach reinläuft wird nicht im Backup erfasst, sondern erst im nächsten Increment.
Leider kann ich auf der Gegenstelle nix installieren, das ist ein S3-Speicher (Wasabi).
@7010350221: ich kann der Sophos das beibringen 'gib dem Backupserver dieunddie Bandbreite'. Ich kann dem aber nicht sagen (weiß nicht wo) 'halt dich zurück bei dem Backupserver wenn ein anderer was will'.
Das Ding mit dem Vollbackup ist, dass VEEAM das nicht unter 1.1TB hinbekommt (trotz Kompress/Dedup).
Bei ~35MBit Uploadbandbreite dauert das dann eben entsprechend...
VEEAM spricht den S3 übrigens ab V12 direkt als Speicherort an, also wird nix verschoben.
Wenn ich es dann brauche, greife ich ja mit 200MBit darauf zu - kommt eh nur als Plan D in Frage (nach den anderen Aufbewahrungsstufen und/oder bei Vollseuche durch Ransom). Also hoffentlich nie.
@Frank: Und dauern darf das ruhig - der VSS snapshoted die VMs beim Backup-Start; was danach reinläuft wird nicht im Backup erfasst, sondern erst im nächsten Increment.
Leider kann ich auf der Gegenstelle nix installieren, das ist ein S3-Speicher (Wasabi).
@7010350221: ich kann der Sophos das beibringen 'gib dem Backupserver dieunddie Bandbreite'. Ich kann dem aber nicht sagen (weiß nicht wo) 'halt dich zurück bei dem Backupserver wenn ein anderer was will'.
An sich wird auf Object Speicher aus Veeam heraus endlos inkrementell gesichert. D.h. du müsstest nur einmal das Fullbackup auslagern und lädst danach nur noch die Änderungen hoch; vorausgesetzt du erstellt kein Active Full Backup.
Bei der Datenmenge würde ich aber nicht direkt sichern, eben wegen des aktiven Snapshots. Eher einen Backup Copy Job nutzen oder per Capacity Tier auslagern.
Bei der Datenmenge würde ich aber nicht direkt sichern, eben wegen des aktiven Snapshots. Eher einen Backup Copy Job nutzen oder per Capacity Tier auslagern.
Ich kann dem aber nicht sagen (weiß nicht wo) 'halt dich zurück bei dem Backupserver wenn ein anderer was will'.
Doch kannst du, indem du für alle anderen zusammenfassend ebenfalls eine Regel definierst 
, sobald dann die Vollastsituation auftritt wird entsprechend "geshaped".
@regnor, scheint sich wirklich als sinnig zu erweisen dass mit dem Copy.
@ultra: habe ich mir auch schon gedacht, habe nur noch keine Idee wie ich "alle anderen zusammengefasst" im Sophos formulieren soll. Den Backup identifiziere ich über das Wasabi-Ziel, den Rest aber ??
@ultra: habe ich mir auch schon gedacht, habe nur noch keine Idee wie ich "alle anderen zusammengefasst" im Sophos formulieren soll. Den Backup identifiziere ich über das Wasabi-Ziel, den Rest aber ??
Zitat von @winacker:
@ultra: habe ich mir auch schon gedacht, habe nur noch keine Idee wie ich "alle anderen zusammengefasst" im Sophos formulieren soll. Den Backup identifiziere ich über das Wasabi-Ziel, den Rest aber ??
? Du kannst doch ganze/beliebig große Subnetze als Traffic Selektoren angeben, sehe hier das Problem nicht ...@ultra: habe ich mir auch schon gedacht, habe nur noch keine Idee wie ich "alle anderen zusammengefasst" im Sophos formulieren soll. Den Backup identifiziere ich über das Wasabi-Ziel, den Rest aber ??
Beispiel:
Traffic Selectors
Upload Pools
Bedeutet: Wenn die Leitung ausgelastet ist wird den Usern immer 8MBit/s im Upload garantiert und dem Server dann nur 2MBit/s Upload. Die Angaben gelten aber immer nur im Congestion Fall, also wenn die Leitung voll ausgelastet ist.
Wenn die User weniger anfordern kann der Server dementsprechend auch mehr Bandbreite nutzen so lange freie Kapazität da ist genauso auch anders herum die User. Wenn die User dann wieder auf Vollast gehen werden Pakete des Servers in der Queue so gedroppt/verzögert/oder per TCP Congestion Notification (ECN) benachrichtigt das die Bandbreite dessen wieder auf max 2MBits fällt.
Die "garantierte" Bandbreite gilt also wie gesagt immer nur für den Vollast-Fall und besagt nicht das die jeweiligen Devices nicht auch mehr bekommen können.
That's it.
