Резервная функция это как
Правило резервного копирования «3-2-1». Часть 1
Считается, что бэкап-правило «3-2-1» впервые описал Peter Krogh в своей книге «Управление цифровыми активами для фотографов». И это, наверное, неудивительно, так как потеря личного архива означает для профессионального фотографа полную катастрофу, и он просто обязан придерживаться такой стратегии резервного копирования, которая гарантировано защитит его от потери данных.
Однако, увы, именно в реальной жизни часто имеет место быть статистическая зависимость угроз. Например, когда в цепи питания офиса возникает электромагнитный импульс, он одинаково воздействует на все диски сразу. И, если выходит из строя один диск, то, скорее всего, выйдут из строя и два других (в силу однородной природы воздействия импульса на типовые серийно выпускающиеся диски, которые, предъявляют идентичные требования к качеству электропитания).
Почему копий нужно три, а не две? Потому что в реальной жизни, очень часто, угрозы двум копиям данных оказываются статистически зависимыми в силу логической организации процедуры резервного копирования. К примеру, рассмотрим RAID1 (или дисковый массив с «зеркалированием», см. подробнее пост «технологии дисковых снапшотов»). Если вирус заражает файл на одном диске массива, сразу же происходит заражение второй копии на зеркальном диске. Аналогично, если настроена репликация, то реплика мгновенно будет также испорчена вирусом. Даже, если просто выполняется ежедневное построение полной резервной копии, она также будет заражена, если администратор за день не заметит заражение исходных данных. В целом: двух копий будет не достаточно для восстановления информации во всех случаях, когда время выявления и реакции администратора на повреждение оригинальных данных превышает период между смежными задачами по копированию/реплицированию/зеркалированию этих данных.
Для того, чтобы обеспечить еще большую статистическую независимость угроз рекомендуется записывать данные как минимум в двух различных физических форматах. К примеру, если сохранить данные на DVD (оптическая запись информации), то он не пострадает от описанного ранее электромагнитного импульса. Даже, если из строя выйдет DVD-накопитель, сами оптические носители информации сохранят ваши данные. Другими примерами статистически зависимой угрозы может являться длительное критическое повышение температуры вследствие вышедшего из строя кондиционера в серверной комнате или пожар в офисе, который, разумеется, абсолютно однородно воздействует на все копии, которые хранятся внутри офиса.
Таким образом, хранение копий в различных физических форматах имеет своей целью снизить вероятность одновременной гибели данных всех копий в силу однородного воздействия.
По сути дела, третий пункт, — хранение одной копии вне офиса, решает ту же задачу (снижение статистической зависимости угроз разным копиям данных), только через географическое распределение мест хранения. Кража или пожар в офисе могут привести к потери всех хранившихся там копии, однако пожар или кража в одном офисе не приведет к пожару или краже в другом географически обособленном офисе, что делает эти угрозы в разных офисах статистически независимыми.
А что с хранением данных в облаке? Может ли это считаться заменой бэкапа? Очевидно, нет. Это просто альтернативное место хранения данных или их резервных копий, и, кстати, хороший кандидат для внеофисного хранения резервных копий. Однако надо всегда помнить, что данные могут быть потеряны в облаке также, как и в любом другом месте.
При этом несомненным плюсом облачных провайдеров является то, что процесс резервного копирования значительно упрощается. Администратору не нужно покупать и настраивать сложное СХД или «возиться» со сменой лент. Часто облачное хранилище прозрачно расширяется по требованию клиента, то есть не имеет для него физического ограничения по размеру (ограничение для клиента скорее носит финансовый характер), что также имеет свои плюсы перед СХД, свободное место на которых может «внезапно» закончиться.
По сути облачное хранилище резервных копий копий является альтернативой лентам, так как данные из него по сравнению с локальным дисковым хранилищем извлекаются с определенной задержкой (которая зависит от ширины канала и тарифа провайдера, так как, обычно, чем ниже тариф по стоимости, тем медленнее будет скорость извлечения данных).
Всегда ли нужно жестко следовать правилу «3-2-1»? Нет, все зависит от стоимости ваших данных, с одной стороны, и критичности (стоимости потенциального ущерба) и вероятности угроз данным, с другой стороны. Любая защита не должна превышать по стоимости защищаемый объект. Поэтому, если у вас хранятся не особо ценные данные, или угрозы низко критичны или маловероятны — можно реализовывать правило «3-2-1» частично. Главное — все же составить матрицу угроз данным (то есть составить список всех возможных угроз, оценить их вероятность и критичность) и провести процесс их деактуализии (то есть у каждой угрозы либо написать в таблице либо «деактуализирована такой-то технической мерой» или «признать не актуальной с точки зрения характера бизнеса компании»). После проработки матрицы угроз, станет понятно в какой степени следует реализовывать правило 3-2-1, и какой в итоге потребуется бюджет.
Во второй части данной статьи будет рассказано как можно реализовать бэкап-правило «3-2-1» с помощью продукта Veeam Backup & Replication v7.
Резервное копирование данных
Почему нужно защищать данные
Оставлять данные незащищенными, т. е. не делать резервных копий – значит подвергать свой бизнес существенному риску. Исследование организации Disaster Recovery Preparedness Council показывает, что 20 % компаний, у которых случались потери данных от отключения электропитания серверов, понесли потери от 50 тыс. до 5 млн долларов. А 70 % стартапов и небольших компаний были вынуждены прекратить бизнес после масштабных аварий, связанных с потерей данных.
Поэтому ясно, что любая организация, работающая с данными, должна обязательно предусматривать процессы резервного копирования или резервирования данных (backup) и восстановления данных (recovery). Есть еще отдельный вид восстановления – disaster recovery, DR, т. е. восстановления при стихийных бедствиях и катастрофах природного характера, который также называют «катастрофоустойчивость».
Виды резервирования данных
Резервирование данных может быть в виде файлов и в виде образов.
Образы (image) иногда называются «снэпшотами» (от английского snapshot – моментальный снимок), но между этими понятиями есть некоторая разница.
Планы резервирования
Как резервирование файлов, так и резервирование образов может выполняться по трем основным планам: полное, дифференциальное и инкрементное резервное копирование.
Политики резервирования
Существуют три основных политики резервирования для всем видов и планов: 3-2-1, GFS и TOH.
3-2-1 предусматривает, что нужно всегда иметь три резервных копии данных на двух типах носителей (например, диск и лента, диск и облако и пр.), причем одна копия должна храниться в отдельном местоположении (например, в другом здании). При использовании облачного варианта в требовании «2» можно обеспечить как другой тип носителя, так и другое местоположение.
GFS (Grandfather, Father, Son) – «Дед-отец-сын». В таком режиме данные резервируются и сохраняются «в трех поколениях»: раз в месяц («дед»), затем каждую неделю («отец») и каждый день («сын»). В конце недели «сын» становится «отцом», а раз в месяц «отец» становится «дедом». Такая политика очень эффективна и надежна, однако при этом нужно все больше пространства для сохранения резервных копий. Поэтому иногда требуется проводить чистку сохраненного объема данных.
TOH (Tower of Hanoi) – «Ханойская башня». Название метода происходит от одной из популярных головоломок XIX века. В игре есть три стержня, на один из которых нанизаны восемь колец, причем кольца отличаются размером и лежат меньшее на большем. Задача состоит в том, чтобы перенести пирамиду из восьми колец за наименьшее число ходов на другой стержень. Диски большего размера нельзя размещать на дисках меньшего размера.
Схема перемещения дисков в Ханойской башне
Многие думают, что это означает физическое перемещение дисков из стойки в стойку, но на самом деле нет. Такой план резервирования применяется при ограниченном объеме пространства для резервирования, а также при использовании разных типов носителей для резервных копий. В этом случае, «башни» — это разные носители: диски, ленты, облако. Если использовать только один тип носителей, например, дисков, то при отказе системного ПО и дискового привода теряются все данные. Поэтому, чтобы не держать все яйца в одной корзине, используется метод ТОН. Однако он не очень часто используется на практике вследствие сложности алгоритма.
Решения резервирования
Bare-metal. Cистема резервного копирования ставится непосредственно на «голое железо», а не поверх операционной системы. Поэтому резервирование файлов, в отличие от резервирования образов дисков (вместе с ОС), на Bare-metal не работает: нет метаданных системы и загрузочных меток (bootstrapping). Основное преимущество резервирования образов в том, что оно предоставляет не только возможность восстанавливать файлы на работающей операционной системе, но и возможность полного восстановления на «голом железе», даже когда резервирование делается не на системе, идентичной той, на которой обрабатывались резервируемые данные (приложения, данные и ОС). Резервирование файлов может восстанавливать файлы только в работающей операционной системе, но резервирование образов может восстанавливать файлы как в работающей ОС, так и восстанавливать любые данные на «голое железо». Кроме того, ПО резервирования Bare-metal может преобразовывать физический образ в виртуальный образ, который может быть экспортирован в любую обычную систему виртуализации. При выборе системы резервирования на голом железе возможность выполнения этих функций в конкретном вендорском решении нужно обязательно проверить.
Single-pass. Резервирование Single-pass («один проход») означает, что требуется только одна операция (pass), чтобы захватить и сохранить данные, и только одна операция – чтобы их восстановить. Резервирование Single-pass работает быстрее, чем многопроходные варианты (multi-pass backups) и, следовательно, оно позволяет производить резервирование чаще и за более короткий промежуток времени BW (backup window). Однако при наличии программ резервирования для разного контента (файловое резервирование, резервирование образов и резервирование приложений), даже если они все поддерживают резервирование Single-pass, необходимо будет производить три операции (прохода) резервирования.
Непрерывная защита данных CDP (Continuous data protection), также известное как continuous backup или real-time backup, представляет собой создание резервной копии автоматически при каждом изменении данных. При этом становится возможным восстановление данных при любых авариях в любой момент времени, при этом доступна актуальная копия данных, а не те, что были несколько минут или часов назад. Однако это метод довольно затратный и используется только в исключительных случаях.
Удаленная репликация данных (Remote Replication) поддерживает две или более копий данных на двух или более сайтах для предотвращения потери информации в случае аварий.
Существует два типа удаленной репликации: синхронная и асинхронная, они отличатся порядком операций, что ясно из рисунка ниже.
Удаленная репликация данных
Выбор ПО и среды резервирования (Backup Media)
Чтобы выбрать носитель (среду) для резервирования, сначала нужно определить, какая емкость для этого понадобится (хотя бы примерно). Это зависит, прежде всего, от того, сколько копий нужно хранить, за какой период времени (это часто определено в регулировании для той или иной прикладной области), а также от скорости роста объема данных на предприятии, где создается система резервирования данных. Приблизительно можно сказать, что нужно умножить текущий объем данных в 3–5 раз. Однако нужно следить за скоростью роста данных, чтобы вовремя внести коррективы.
После того, как получен требуемый объем системы хранения для резервирования, необходимо выбрать среду (носитель данных) этой системы. Основных типов сред резервирования – три: дисковые СХД, ленточные библиотеки и облако. У каждого из них есть достоинства и недостатки.
Диски: быстро работают, но они относительно дорогие, хотя в последнее время наблюдается постоянное снижение цен на твердотельные диски SSD.
Ленты: обладают большими объемами, также довольно быстрые, но сложные в нахождении нужных данных и в управлении. Кроме того, ленты гораздо менее надежны, чем диски, потому что их легко повредить при обслуживании и перемещении.
Кассеты с лентой для ленточного накопителя
Однако цена ленточных накопителей является достаточно сильным аргументом в пользу их выбора.
Облако. Облако (Cloud) великолепно подходит как резервная система для удаленных офисов компаний и небольших серверов. Для такого сценария, особенно в случае выбора политики резервирования «3-2-1», облако – оптимальный выбор. Недостатком облака являются задержки и зависимость от облачного провайдера, а также надежность канала доступа к нему. Кроме того, немаловажным фактором является безопасность – очень часто предприятия просто боятся выпускать конфиденциальные данные за пределы корпоративного файрволла.
У многих производителей серверного оборудования и систем хранения есть стратегическое партнерство с вышеперечисленными производителями программного обеспечения, что позволяет приобретать программные продукты через канал аппаратного вендора.
Железо:
Ленты:
Восстановление данных
Snapshot – это «моментальный снимок» содержимого диска, полностью пригодная к использованию копия определенного набора данных на диске на момент съема этой копии. Такая копия используется для частичного восстановления состояния системы на момент копирования. При этом непрерывность работы системы совершенно не затрагивается, и быстродействие не ухудшается.
В технологиях восстановления данных используются три основополагающих понятия:
Катастрофоустойчивость
Катастрофоустойчивость (DR, Disaster Recovery) – это восстановление данных при стихийных бедствиях. Это довольно важная составляющая серьезных промышленных СХД, хотя и достаточно затратная. Но эти затраты необходимо нести, чтобы не потерять в одночасье то, что «нажито непосильным трудом». Технологии защиты данных (Snapshot, Remote Replication, CDP) хороши до тех пор, пока в населенном пункте, где расположена СХД, не произошло какое-либо стихийное бедствие: цунами, наводнение, землетрясение или что еще похуже. Удаленная репликация данных в политике «3-2-1» подразумевает, что реплицирующая СХД находится в том же населенном пункте, что и основная система, или, как минимум, поблизости. Что, например, при цунами не спасает.
Технология Disaster Recovery предполагает, что центр резервирования, используемый для восстановления данных при стихийных бедствиях, располагается на значительном удалении от места основного ЦОД и взаимодействует с ним по высокоскоростной сети передачи данных, наложенной на транспортную сеть, чаще всего оптическую.