winacker
Goto Top

QoS mit Sophos-UTM.?

Hallo,
möchte mit meinem VEEAM nun auch S3 ansprechen. Idee ist, zum Wochenende hin Vollbackups zu transferieren und dazwischen inkrementell.
Soweit so einfach.
Aber mein Backupfenster Freitag Abend-Montag Morgen reicht nicht für das Vollbackup.
Nun könnte ich im Veeam fummeln und mit Zeitfenstern Throttling fest vorgeben, ist aber nur halbgut.
Besser wäre eine einfache QoS Regel auf der WAN-Firewall:
"Gib dem Backupserver soviel Bandbreite wie er will solange kein anderer was anfordert. Im letzteren Fall stell den Backup hinten an". Damit könnte der Transfer laufen so lange er will und wann er will, ohne zu stören.
Es gibt nun in der UTM QoS-Möglichkeiten, aber die sind genau verkehrt rum; z.B. "gib dem mindestens xx bzw. höchstens YY".
Habe aber auch keine Lust, eine Negativregel zu formulieren a la 'gib allem anderen Verkehr Vorrang', bei sowas vergisst man immer irgendwas und sucht sich in ein paar Monaten den Wolf....

Ideen..?
Danke

Content-ID: 7070009658

Url: https://administrator.de/contentid/7070009658

Printed on: October 15, 2024 at 03:10 o'clock

Doskias
Doskias May 08, 2023 at 15:16:07 (UTC)
Goto Top
Moin,

in meinen Augen gehst du das ganze falsch an. Wenn die Zeit von Freitag Abend bis Montag Morgen für ein Vollbackup nicht reicht (ich meine das sind mindestens 48 Stunden), dann solltest du an deinem Backup etwas ändern. Kannst du es vielleicht noch komprimieren? Wie verschiebst du das Backup? Einfach so rüber? Installiere zum Beispiel auf beiden Sites ein Veeam und lass den Am Hauptstandort den zweiten Veeam als Backup-Proxy nutzen. Dann gewinnst du schon einiges an Zeit. Besorg dir eine dickere Leitung, etc. In meinen Augen macht es keinen Sinn ein Backup irgendwo abzulegen, welches nicht in einem akzeptables Zeitraum kopiert werden kann. Ggf. brauchst du am zweiten Standort eine andere Leitung?

Ansonsten händelt Sophos, QoS wie du schreibst: Wenn keine Regel definiert ist, wird die Leitung genutzt. Wenn du keine Negativ-Regel bauen willst (musst du nicht, das macht Sophos selbst), dann musst du QoS erstellen für alle Diente, die du brauchst. Alles was nach den Regeln an Traffic übrig bleibt wird dann in der Folge für dein Backup-Transfer genutzt.

Gruß
Doskias
7010350221
7010350221 May 08, 2023 updated at 15:42:05 (UTC)
Goto Top
Hi.
"gib dem mindestens xx
Das siehst du nicht ganz richtig. Das Queuing findet ja eh erst bei Vollast statt, also erst wenn das WAN in Vollast kommt dann wird dem Backupserver eine Mindestransferrate zugewiesen, bzw. dann je nach weiteren Regeln auf diese reduziert wenn weitere Devices Bandbreite anfordern.

Gruß
Vision2015
Vision2015 May 08, 2023 at 18:48:54 (UTC)
Goto Top
Moin...

das nächste Problem ist der Exchange, Mails wollen ja noch rein, AV Signaturen, Windows Updates etc...
ich würde da nix mit
Aber mein Backupfenster Freitag Abend-Montag Morgen reicht nicht für das Vollbackup.
da hilft dann warscheinlich auch kein QoS!

Frank
winacker
winacker May 09, 2023 updated at 08:09:09 (UTC)
Goto Top
Kollegen, Danke schon mal!
Das Ding mit dem Vollbackup ist, dass VEEAM das nicht unter 1.1TB hinbekommt (trotz Kompress/Dedup).
Bei ~35MBit Uploadbandbreite dauert das dann eben entsprechend...
VEEAM spricht den S3 übrigens ab V12 direkt als Speicherort an, also wird nix verschoben.
Wenn ich es dann brauche, greife ich ja mit 200MBit darauf zu - kommt eh nur als Plan D in Frage (nach den anderen Aufbewahrungsstufen und/oder bei Vollseuche durch Ransom). Also hoffentlich nie.
@Frank: Und dauern darf das ruhig - der VSS snapshoted die VMs beim Backup-Start; was danach reinläuft wird nicht im Backup erfasst, sondern erst im nächsten Increment.
Leider kann ich auf der Gegenstelle nix installieren, das ist ein S3-Speicher (Wasabi).
@7010350221: ich kann der Sophos das beibringen 'gib dem Backupserver dieunddie Bandbreite'. Ich kann dem aber nicht sagen (weiß nicht wo) 'halt dich zurück bei dem Backupserver wenn ein anderer was will'.
regnor
regnor May 09, 2023 at 13:43:50 (UTC)
Goto Top
An sich wird auf Object Speicher aus Veeam heraus endlos inkrementell gesichert. D.h. du müsstest nur einmal das Fullbackup auslagern und lädst danach nur noch die Änderungen hoch; vorausgesetzt du erstellt kein Active Full Backup.

Bei der Datenmenge würde ich aber nicht direkt sichern, eben wegen des aktiven Snapshots. Eher einen Backup Copy Job nutzen oder per Capacity Tier auslagern.
7010350221
7010350221 May 09, 2023 updated at 14:05:11 (UTC)
Goto Top
Ich kann dem aber nicht sagen (weiß nicht wo) 'halt dich zurück bei dem Backupserver wenn ein anderer was will'.
Doch kannst du, indem du für alle anderen zusammenfassend ebenfalls eine Regel definierst face-smile, sobald dann die Vollastsituation auftritt wird entsprechend "geshaped".
winacker
winacker May 10, 2023 at 14:47:36 (UTC)
Goto Top
@regnor, scheint sich wirklich als sinnig zu erweisen dass mit dem Copy.
@ultra: habe ich mir auch schon gedacht, habe nur noch keine Idee wie ich "alle anderen zusammengefasst" im Sophos formulieren soll. Den Backup identifiziere ich über das Wasabi-Ziel, den Rest aber ??
7010350221
Solution 7010350221 May 10, 2023 updated at 15:40:10 (UTC)
Goto Top
Zitat von @winacker:
@ultra: habe ich mir auch schon gedacht, habe nur noch keine Idee wie ich "alle anderen zusammengefasst" im Sophos formulieren soll. Den Backup identifiziere ich über das Wasabi-Ziel, den Rest aber ??
? Du kannst doch ganze/beliebig große Subnetze als Traffic Selektoren angeben, sehe hier das Problem nicht ...

Beispiel:

back-to-topTraffic Selectors


screenshot

back-to-topUpload Pools


screenshot

Bedeutet: Wenn die Leitung ausgelastet ist wird den Usern immer 8MBit/s im Upload garantiert und dem Server dann nur 2MBit/s Upload. Die Angaben gelten aber immer nur im Congestion Fall, also wenn die Leitung voll ausgelastet ist.
Wenn die User weniger anfordern kann der Server dementsprechend auch mehr Bandbreite nutzen so lange freie Kapazität da ist genauso auch anders herum die User. Wenn die User dann wieder auf Vollast gehen werden Pakete des Servers in der Queue so gedroppt/verzögert/oder per TCP Congestion Notification (ECN) benachrichtigt das die Bandbreite dessen wieder auf max 2MBits fällt.

Die "garantierte" Bandbreite gilt also wie gesagt immer nur für den Vollast-Fall und besagt nicht das die jeweiligen Devices nicht auch mehr bekommen können.

That's it.