olbackup-Datensicherung

Olbackup spiegelt Dateien und Verzeichnisse von einem Original-Filesystem auf ein Backup-Filesystem. Die älteren Sicherungsstände bleiben über Snapshots erhalten. Dadurch ist es möglich auf verschieden Bearbeitungsstände einer gesicherten Datei zuzugreifen.  Der Benutzer hat von seinem Rechner aus direkten nur lesenden Zugriff auf die gespiegelten Verzeichnisse und Snapshots. Voraussetzung hierfür ist lediglich ein nfs- bzw. smb-Mount zum Backup-Server. Datei-Attribute und ACL-Listen bleiben bei der Sicherung erhalten, soweit es das Backup-Filesystem unterstützt. Bei Windows-Arbeitsplatz-Rechnern können jedoch nicht alle Datei-Attribute gesichert werden, da ein Windows-Filesystem mehr Dateiattribute kennt als das Linux-Filesystem, auf dem die Sicherungen abgelegt werden.

Die Sicherung von Linux-Spezialanwendungen, wie z.B. postgres-Datenbanken wird über Pre- und Postprecessing Skripte unterstützt. Die Sicherung der Systemplatte und deren Wiederherstellung wird unterstützt, erfordert jedoch manuelle Tätigkeiten (kein Bare Metal Recovery). Die Sicherung von Windows-Arbeitsplatzrechnern ist ebenfalls möglich, allerdings nur auf Dateibasis (keine Systemsicherung, keine Anwendungssicherung).  Die Sicherung von Windows-Servern wird nicht unterstützt.

Dateiorientierte Sicherung und Image Sicherung

Olbackup kann das Spiegeln Dateibasiert oder Imagebasiert durchführen. Das Dateibasierte Verfahren nutzt das Programm rsync, welches das Filesystem nach geänderten Dateien scannt und diese sichert. Das Imagebasierte Verfahren nutzt das Programm "zfs send/receive". In diesem Fall muss das Quell-Filesystem ein zfs-Filesystem sein. Die Sicherung erfolgt auf Basis von zfs-Snapshots. Es erfolgt kein Dateiscan. Dadurch ist diese Sicherung bedeutend schneller als eine Sicherung mit rsync.

Arbeitsweise

rsync Sicherung

Die Sicherung erfolgt in zwei Schritten. Im ersten Schritt werden mit dem Kommando 'rsync' die Filesystem oder Verzeichnisse des Client-Rechners auf die Platten des Backup-Servers über einen ssh-Tunnel verschlüsselt gespiegelt. Im zweiten Schritt wird auf dem Backup-Server nach dem Spiegel ein Snapshot erstellt.

Im Gegensatz zur klassischen Datensicherung werden die gesicherten Daten nicht auf Magnetband-Kassette abgelegt. Die Daten bleiben also auf der der Festplatte stehen. Dadurch ist es möglich sofort auf die Sicherungen per samba-Freigabe(Netzlaufwerk verbinden) oder nfs-Mount zuzugreifen.

zfs send/receive Sicherung

Es wird auf dem Quell-Filesystem ein zfs-Snapshot erstellt. Über einen ssh-Tunnel wird dieser Snapsshot auf Basis eines Vorgängersnapshots, der sowohl auf dem Quell- als auch auf dem Backup-Filesystem vorhanden sein muss, per "zfs send .. | zfs receive ..." Aufruf übertragen.

Auf die Sicherungen kann per samba-Freigabe(Netzlaufwerk verbinden) oder nfs-Mount zugegriffen werden.

 

Die Vorteile

  • Die Datensicherung ist schneller als bei klassischen Backup-Verfahren, da nach der ersten Volldatensicherung nur noch inkrementelle Sicherungen durchgeführt werden.
  • Die Datensicherung ist Ressourcen schonend. Es werden weniger Speichermedien und weniger Netzbandbreite als bei klassischen Backup-Verfahren benötigt. Eine olbackup-Datensicherung kann also auch über ein langsames Netzwerk erfolgen.   
  • Es gibt keine Restorezeiten. Im Falle eine Plattencrashes stehen alle Daten sofort read-only über die nfs- oder smb-Mounts zur Verfügung.
  • Jeder Betreuer eines mit olbackup gesicherten Rechner kann selbst auf seine gesicherten Dateien zugreifen. Eine Restore-Anfrage im RZ oder das Einarbeiten in die Funktionsweise eines Restore-Utillitys ist also nicht notwendig.
  • Die Übertragung der Daten auf den Datensicherungsserver des RZ erfolgt verschlüsselt. 

 

Die Nachteile

  • Das Verfahren unterstützt kein 'Bare Metall Recovery'. Anwendungen werden nur über Pre- und Post-Processing Skripte gesichert. 
  • Windows-Datei-Attribute können nicht vollständig gesichert werden, da das Spiegeln der Dateien auf einem Linux-Filesystem (zfs) erfolgt, das bezüglich der Datei-Attribute nicht vollständig kompatiebel zu einem Windows-Filesystem ist.

 

Installation und Konfiguration

Linux

Für die Datensicherung eines Linux-Rechners wird ein passwortlosen ssh Zugriff vom Backup-Server auf den Client-Rechner benötigt. Hier sind die dafür notwendigen Arbeitsschritte beschrieben:

1) Installation der ssh-Software

Ubuntu: sudo apt-get install openssh-server
CentOS: yum install openssh-server

 

2) Einrichten des Backup-Benutzers rzbackup und der Gruppe rzbackup

groupadd -g 667 rzbackup
useradd -c 'RZ Datensicherung' -g 667 -u 667 -m rzbackup

 

3) Öffnen des ssh-Ports in der Firewall

Der ssh-Port 22 kann folgendermaßen in der Firewall Ihres Rechners für den Backup-Service freigeschaltet werden. z.B. für Ubuntu

sudo ufw allow proto tcp from 134.245.2.34/27 to any port 22

 

4) passwortloser ssh-Zugriff

Für das olbackup-Verfahren wird ein passwortloser ssh-Zugriff auf den Client-Rechner benötigt. Dazu wird die "Public key authentication" von ssh genutzt.

Der Public-Key des Backup-Services muss in die Datei ~rzbackup/.ssh/authorized_keys ( alles von 'ssh-rsa' bis '3w== backup.rz.uni-kiel.de' in eine Zeile mit drei Wörtern) kopiert werden. Damit wird dem Backup-Service erlaubt sich auf dem Client-Rechner als User rzbackup ohne Angabe des Passworts einloggen zu können.


Public-Key:

ssh-rsa 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 backup.rz.uni-kiel.de
 
vi /home/rzbackup/.ssh/authorized_keys 
# obigen Public-Key einfügen
chown -R rzbackup:rzbackup /home/rzbackup
chmod -R 700               /home/rzbackup/.ssh

 

5a) rsync mit root-Privilegien für rzbackup

Der User rzbackup benötigt das Recht, den rsync-Befehl als root-Benutzer auszuführen zu dürfen ohne dafür ein Passwort eingeben zu müssen. Dazu müssen mit dem Kommando

sudo visudo oder
sudo vi /etc/sudoers

die Zeilen

rzbackup ALL=(root) NOPASSWD:/usr/bin/rsync
Defaults:rzbackup !requiretty

in die Datei /etc/sudoers eingefügt werden. Alternativ kann das rsync-Programm kopiert werden. Anschließend sind die Datei-Attribute anzupassen:

cp /usr/bin/rsync /home/rzbackup/rsync
chown root        /home/rzbackup/rsync
chgrp rzbackup    /home/rzbackup/rsync
chmod 4750        /home/rzbackup/rsync

 

5b) zfs send mit root-Privilegien für rzbackup

Wenn das zu sicherende Filesystem ein ZFS-Filesystem ist, kann die Sicherung auch über "zfs send/receive" statt über rsync erfolgen. Eine Sicherung über "zfs send/receive" benötigt einen Bruchteil der Zeit einer "rsync"-Sicherung. Der User rzbackup benötigt das Recht,  zfs-Befehle als root-Benutzer auszuführen zu dürfen ohne dafür ein Passwort eingeben zu müssen. Dazu müssen mit dem Kommando

sudo visudo oder
sudo vi /etc/sudoers

die Zeilen

Cmnd_Alias ZFS_RZBACKUP = /sbin/zfs snapshot *@RZBACKUP-????-??-??, /sbin/zfs send *@RZBACKUP-????-??-??, zfs_bin  send -i RZBACKUP-????-??-?? *@RZBACKUP-????-??-??, /sbin/zfs destroy *@RZBACKUP-????-??-??, /sbin/zfs list -t snapshot

rzbackup ALL=(root) NOPASSWD: ZFS_RZBACKUP
Defaults:rzbackup !requiretty

in die Datei /etc/sudoers eingefügt werden.

 

Windows

Wir haben ein Software-Paket erstellt, welches alle für das olbackup-Verfahren notwendigen Programme auf einem Windows10-Rechner installiert und den Backup-Serveice des Rechenzentrums den ssh-Zugriff auf diesen Rechner erlaubt. Das Software-Paket steht unter

http://download.rz.uni-kiel.de/Backup_Agents/olbackup-Win10-1.15-x64.exe
http://download.rz.uni-kiel.de/Backup_Agents/olbackup-Win10-1.15-x64.README

Die Installation der Software muss über einen User erfolgen, der über Administrator-Privilegien verfügt. Die Installation als normalen Nutzer mit rechte-Maus-Click auf "Run as Administrator" reicht nicht.

So kann das Administrator-Privileg überprüft werden:

Start -> Settings -> Accounts

in der oberen linken Ecke der folgenden Seite steht der aktuelle Account, darunter der Account-Type (z.B. Local Account) und darunter eventuell Administrator. Dies zeigt an, das der aktuelle Account das Administrator-Privileg besitzen.

Wenn das Administrator-Privileg fehlt, sollte die Installation nicht fortgesetzt werden. Dies gilt auch für den Fall, das ihr Rechner Mitglied einer AD-Domaine ist. Die Installation der Software muss dann über einen Domainen-Account, der das Administrator-Privileg besitzt, durchgeführt werden.

Wenn  das Administrator-Privileg vorhanden ist, kann mit einem Rechts-Click auf die heruntergeladenen EXE-Datei die Installation gestartet werden mit 

"Run as Administrator".

Das Installationsskript schaltet in der Firewall des Client-Rechners die Ports

22 (ssh)
873 (rsync)

für das Backup-Netz 134.245.2.32/27 mit den derzeit existierenden Backup-Servern

backup1.rz.uni-kiel.de
backup2.rz.uni-kiel.de

frei.

 

Wiederherstellungsverfahren

Im folgenden wird der Datei-orientierte Zugriff auf die Sicherung beschrieben. Nicht beschrieben ist, wie Dateien oder Applikationen wieder hergestellt werden können. Fragen Sie dazu bitte den Dienstbetreuer.

Da die gesicherten Verzeichnisse, Filesysteme oder Platten des Client-Rechners als Spiegel auf dem Backup-Servern vorliegen, kann die Sicherung dem Client-Rechner als Netzlaufwerk read-only zur Verfügung gestellt werden. (die korrekten Angaben für die Platzhalter X und YYY werden in einem Anschreiben mitgeteilt).

Linux

Die Einbindung als Netzlaufwerk geht wie folgt als User root:

mkdir /mybackup
mount backupX.rz.uni-kiel.de:/backup/clients/YYY /mybackup
 

Windows

Die Einbindung als Netzlaufwerk geht wie folgt:

WindowsExplorer->DieserPC->(rechtsClick)NetzlaufwerkVerbinden:

Ordner: \\backupX.rz.uni-kiel.de\bkup.YYY
Button: 'Verbindung bei Anmeldung wiederherstellen'
        -> aktivieren
Button: 'Verbindung mit anderen Anmeldeinformationen herstellen'
        -> aktivieren
User:   ZZZZ
        # das RZ Nutzerkennzeichen
Password: ??????
        # das Passwort für den Speicherdienst des RZ
 

Probleme beim Einbinden des Netzlaufwerkes?

Die Eingaben für Benutzername und Passwort werden manchmal nicht übernommen. Das kann an einer früher definierten Verbindung liegen, die nicht mehr aktuell ist. Es empfiehlt sich dann, diesen Eintrag in der Passwort-Datenbank zu löschen. Der Aufruf kann einmal über die Anwendung "Anmeldeinformationsverwaltung"

Start -> "Anmeldeinformationsverwaltung" eintippem -> Programm aufrufen

 

erfolgen oder über die Kommandozeile

Eingabefenster: CMDKEY /LIST bzw. CMDKEY /HELP