Datensicherung - eierlegende Wollmilchsau?

CharlieScene

Lt. Junior Grade
Registriert
Juli 2016
Beiträge
382
Hallo Gemeinde!:heilig:
Ich habe mal ein unkonventionelles Anliegen.
Kürzlich habe ich meinen Arbeitgeber gewechselt (der erste Wechsel nach der Ausbildung, also Mercy!).
Einer der ersten Punkte auf meiner Liste hier ist die Datensicherung, welche sich in einem katastrophalen Zustand befindet. Genutzt werden derzeit zwei unterschiedliche Softwares die separat voneinander sichern: NAS und Bandlaufwerk.
Dies möchte ich glattziehen, sodass nur eine Software und eine Art Storage genutzt wird.

Mein Chef ist kein Freund von Bandlaufwerken, sodass ich derzeit eher eine NAS oder SAN im Kopf habe. Als ich RDX vorgeschlagen habe, hat er bei dem Preis mit den Ohren geschlackert (Dass er sich darauf einstellen muss Geld in die Hand zu nehmen habe ich ihm aber erklären können :D) Für mich hier problematisch: Wir reden von täglich circa 4 TB (nur Vollsicherungen) und zusätzlich sollen Sicherungen vervielfältigt und transportiert werden (Zur Sicherheit extern gelagert - auch sinnvoll). Ich sondiere gerade den Markt - Storage in der Größenordnung habe ich bisher selbst noch nicht anschaffen müssen. Optimal wäre Autoloader mit separaten Anschlüssen für Externe Platten - 'Hot swappable' ist ja meines Wissens nach nicht dafür ausgelegt regelmäßig und bewusst ausgetauscht zu werden, oder? Klingt für mich aktuell nach einer eierlegenden Wollmilchsau.

Vielleicht hat ja jemand gute Erfahrungen machen können oder einen anderen Tipp für mich?

Besten Dank und viele Grüße,
Charlie
 
Bei den datenmengen: Geht auf Tape. Komplett. Das ist billiger und besser archivierbar. Gern auch von tandberg.
Bei RDX emulierst du, soweit ich das im kopf habe Tapes mit HDDs zum Premiumpreis. Das vereinigt schon eher schlechtes aus beiden Welten
 
  • Gefällt mir
Reaktionen: BFF
Eine Synology RDX ist doch schon spottbillig und nicht gerade das tollste Teil, wenn ich ehrlich bin.
Hersteller verwechselt, macht aber keinen Unterschied :)

Die z.B. jährliche Veeam Lizenz würde doch schon fast mehr kosten...und das ist jetzt auch nicht viel Geld.
Ich würde erstmal das Backup Konzept neu angehen: Sonntags Vollsicherung und die restlichen Tage inkrementell. Dann musst du wissen wie viel Datenzuwachs du hast rechnest das auf 30 Tage hoch und dann mindestens x2 für die Zukunft.

Kennst du überhaupt den Unterschied zwischen NAS und SAN? Klingt in dem Zusammenhang komisch.

Only Tape Backup ist das dümmste was man machen kann. Viel Spaß beim Wiederherstellen einer Datei. Direkt mal 2 Stunden warten. Das wäre nicht mein Ding.
 
Zuletzt bearbeitet:
Warum nur Vollsicherungen?
Warum nicht auf Incrementals mit Fullbackup am Wochenende (oder noch seltener) gehen?

Ich würde erstmal beim Backup-Programm ansetzen und da auf was brauchbares wechseln das Backups und Tape-Backup vereinen kann. Ich kann Veeam sehr empfehlen. Die Enterprise-Edition mit vollem Featureset kostet natürlich auch ein bissl, isses aber wert. Aber vielleicht kommst du bei 'nem kleinen Unternehmen sogar mit der Community Edition aus.

Ansonsten -> für langzeitiges offsite Backup (die sicherste Sorte) geht auch heute nichts über Tape.

Natürlich nicht direkt auf Tape. Mein (wünschenswertes) Mindestmaß ist eine Konstellation wie diese:
Originaldaten: Rechenzentrum - aktiv im Einsatz
1. Kopie: auf dem Backup-Server lokal oder NAS im Rechenzentrum
2. Kopie: NAS in einem anderen Brandabschnitt
3. Kopie: Offline auf Tape außer Haus

Verfeinern kann man sowas z.B. indem der Backup-Server in einem anderen Brandabschnitt steht. Falls dann das Rechenzentrum abfackelt muss man nur schnell neue Hosts ranschaffen und kann die Backups direkt draufziehen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: JPsy, Ost-Ösi und madmax2010
@Rickmer Veeam hat die Lizenzierung vor nicht allzu langer Zeit gewechselt. Du brauchst nicht mehr Backup&Replication als Vollversion; je kleiner die Umgebung ist, desto niedriger sind mittlerweile auch deine Kosten. Also keine 1200€ jedes Jahr mehr in einer Umgebung mit 10 VMs. Da bist du schon bei ~500€ mittlerweile dabei und hast nahezu alle Features bzw. alle Features die du in diesen kleinen Umgebung bräuchtest.
 
Die Strategie NAS und Bänder für extern ist schon sinnvoll. LTO7 würde sich da anbieten.
Aber wenn möglich nur eine Backupsoftware nutzen die beides macht.

Tamron schrieb:
Only Tape Backup ist das dümmste was man machen kann. Viel Spaß beim Wiederherstellen einer Datei. Direkt mal 2 Stunden warten. Das wäre nicht mein Ding.

Das kommt sehr auf die Backupsoftware und das Laufwerk an. Wenn die Software segmentiert sichert geht das recht schnell.
 
Zuletzt bearbeitet:
Was wird ueberhaupt gesichert?
  • Fileserver shares?
  • Ganze Server? (Stichwort "System State" und "Disaster Recovery"
  • Virtuelle Maschinen?
  • Clients?

Was wird noch nicht gesichert?
- Wenn du ein neues Backupkonzept erstellst, schaue ueber das was aktuell laeuft hinaus.

Wielange sollen die Daten vorgehalten werden? (BACKUP ist kein ARCHIV!)
  • Gibt es eine Archivloesung?
  • Wie werden eMails gehandhabt? (Rechtliche Pflichten beachten!)

Welche Zeitfenster fuer Sicherung und Wiederherstellung gibt es?
Was ist das Budget?

Ich war selber lange Zeit fuer Backups zustaendig, auch fuer Tapes, noch in DDS Tape Zeiten :D Habe bis LTO-6 noch mitgemacht und danach die Verantwortung in der Firma dafuer abgeben. Deswegen bin ich nicht ungedigt zu einer konkreten Empfehlung in der Lage, aber die Konzepte haben sich seit daher kaum veraendert. Ausser vielleicht das Ransomware immer mehr zu einer Bedrohung wird und ein offline Backup mit mehreren Revisionen empfehlenswert ist.
Aber ohne deine Umgebung zu kennen ist es eh unmoeglich eine gute Empfehlung auszustellen.

Wenn das Budget es hergibt ist eine Backup2Disk2Tape Loesung irgendwo das beste aller Welten. Schnelle Wiederherstellung aus dem online Speicher, aber gleichzeitig sind die Tapes fuer Ransomware unerreichbar.
Dazu kommt der Vorteil das die Sicherung viel schneller auf Disk erfolgt, und der anschliessende Copy-Job aufs Tape auch problemlos ueber Tag laufen kann.

EDIT: Vielleicht sollte ich ueber meine Aussage "Backup ist kein Archiv" etwas mehr auslassen:
Dieses Beispiel ist schon einige Jahre her, einige Details moegen nicht ganz stimmen, und Softwarenamen lasse ich groesstenteils weg.

Ich habe so um 2008 herum angefangen das Backup in der Firma mit zu uebernehmen. Zu diesem Zeitraum wurde das erste dicke SAN und ein erster Cluster fuer virtuelle Server aufgestellt, so das auch massive Aenderungen an der Sicherung noetig waren. Herauskam das wir die komplette Software aendern mussten um kompatibel mit dem SAN zu sein, und das diese virtuelle Maschinen sichern konnte war ein netter Vorteil. Daher bin ich damals als Mitverantwortlicher (wir sind gross genug das niemals eine Person alleine fuer einen Bereich zustaendig ist) auf gruener Wiese anfangen.
Das lief dann auch viele Jahre gut. Die Software war zwar immer etwas hackelig, weil sie eng mit dem SAN verkloeppelt war, aber Sicherungen liefen, und Wiederherstellungen auch. Es gab zweimal im Jahr eine "Special" Sicherung von allem (insgesamt um die 90 LTO-4 Tapes!) die "weggelegt" wurden. Ich war damals noch zu unbedarft um das zu hinterfragen...)
Es kam so weit, dass das SAN, die Cluster, und insbesondere die Software in die JAhre kamen. So wurde schliesslich um 2015 herum ein neues SAN, von einem anderen Hersteller, angeschafft.
Datenmigration lief super, neue Backupsoftware ebenfalls, die alte Tapehardware, die ein Jahr spaeter getauscht werden sollte, tat auch noch gut ihren Dienst.
Bis dann Ende 2015 eine Anfrage herreinkam: Wir brauchen dringend eine Wiederherstellung aus 2009! Da wurde ein Server abgeschaltet und "archiviert".

Es waren etliche Manntage noetig um die Wiederherstellung durchzufueren.
Die alte Software musste installiert und konfiguriert werden.
Auf das neue SAN liessen sich aufgrund geaenderter Protokolle sich die Daten dann nicht wieder zurueckspielen, das alte SAN war natuerlich schon laengst weg. Zum Glueck gab es eine virtuelle Demoumgebung des Herstellers, mit den richtigen Features.
Wir hatten noch keine neue Tapehardware, also musste ein Zeitfenster gefunden werden um die Hardware auf den anderen Server umzuklemmen ohne ein Backup zu stoeren.
Die Tapes selber zu finden war dann zum Glueck trivial :p

TL;DR: Backup ist kein Archiv, weil Backup zu viele Abhaengigkeiten von Hard- und Software mitbringt. Rechlich erforderliche 10 Jahre in einigen Bereichen sind auch heute noch etliche Hard- und Softwaregenerationen, so das eine Wiederherstellung nach solanger Zeit schnell sehr aufwaendig, wenn nicht sogar unmoeglich ist.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: e_Lap und Rickmer
Ranayna schrieb:
Schnelle Wiederherstellung aus dem online Speicher, aber gleichzeitig sind die Tapes fuer Ransomware unerreichbar.
Wobei man durch ein gutes Rechte-System (und einem eigenen Netzwerkbereich nur fürs Repository) einer Ransomware erheblich erschweren kann, ans online Backup zu kommen. Bei uns wird z.B. mittlerweile der Datensicherungsserver absichtlich aus der Domäne entfernt, damit Domain-Credentials nicht wirken können.

Aber klar, komplett sicher ist nur das offline Backup.
 
CharlieScene schrieb:
Dies möchte ich glattziehen, sodass nur eine Software und eine Art Storage genutzt wird.

Das vergiss bitte. sowas zu machen ist gerade im Unternehmensumfeld gefährlich und anfällig für Datenverluste.


Macht das ganze doch so:

Die Software sichert aufs NAS.
Das NAS selbst sichert sich 1x in der Nacht auf ein Tape.

damit wird das NAS das Hot (Online) Backup, das Tape das Cold (Offline) Backup

Sprich auch wenn ein Verschlüsselungsvirus euer NAS befallen SOLLTE, habe ihr immer noch die Reserve der Tapes
Die Libery sollte aber mindestens 14 Tage und für jeden Tag ein eigenes Band sein.
 
Ja moin!
Vielen Dank an Alle für den wirklich hilfreichen Input! Wie erwartet scheiden sich auch bei Backups die Geister, bei solch wichtigen Fragen helfen eure Erfahrungswerte wirklich!

madmax2010 schrieb:
Das vereinigt schon eher schlechtes aus beiden Welten
Danke für die Bestätigung - kann mir auch nicht vorstellen dass sie deutlich robuster sind als normale HDDs.
Tamron schrieb:
Kennst du überhaupt den Unterschied zwischen NAS und SAN? Klingt in dem Zusammenhang komisch.

Jo ist bekannt - hätte diese lokal als Storage eingebunden und von dort auf ein externes, 'portables' Medium gezogen. Aber keine elegante Lösung. RDX ist mir nur im Zusammenhang mit Tandberg ein Begriff - finde die Platten als solche recht teuer und bin skeptisch was den Mehrwert angeht.

Ranayna schrieb:
Was wird ueberhaupt gesichert?
  • Fileserver shares?
  • Ganze Server? (Stichwort "System State" und "Disaster Recovery"
  • Virtuelle Maschinen?
  • Clients?

Was wird noch nicht gesichert?
- Wenn du ein neues Backupkonzept erstellst, schaue ueber das was aktuell laeuft hinaus.

Wielange sollen die Daten vorgehalten werden? (BACKUP ist kein ARCHIV!)
  • Gibt es eine Archivloesung?
  • Wie werden eMails gehandhabt? (Rechtliche Pflichten beachten!)

Welche Zeitfenster fuer Sicherung und Wiederherstellung gibt es?
Was ist das Budget?

Die komplette Infrastruktur, bestehend aus physikalischen Servern, Hyper-V Hosts + VMs und Fileshares.
Die virtuellen Clients werden schon zuverlässig aufs NAS gesichert. Wichtiger Punkt in meinen Augen: Beide Backupserver laufen auf virtuellen Maschinen (zusätzlich sind es keine reinen Backupserver!). Die derzeitige Software muss also ohnehin noch irgendwo vorhanden sein zwecks Restore. eMails werden mittels Mailstore gesichert. Budget habe ich keins, bin noch am sondieren was man als Storage nimmt, halte es aber auch für unumgänglich das Konzept komplett zu überdenken. Ich hoffe meinem Chef nach dieser Recherche eine sinnvolle Lösung präsentieren zu können - bei Datensicherung sollte in meinen Augen Budget zweitrangig (aber angemessen) sein.

Sebbi schrieb:
Das vergiss bitte. sowas zu machen ist gerade im Unternehmensumfeld gefährlich und anfällig für Datenverluste.
Macht das ganze doch so:
Die Software sichert aufs NAS.
Das NAS selbst sichert sich 1x in der Nacht auf ein Tape.

Meinst du gefährlich wegen Problemen bei potentiellen restores aus Sicherungen mit der 'alten' Software? Kann ich verstehen, würde am liebsten alles von der einen Software (Altaro) aus machen - die andere wird aber bereits seit einiges Jahren nicht mehr entwickelt / verkauft und ist absolut out of date. Ich würde daher gerne die Software "archivieren" sodass sie nurnoch im Notfall laufen muss..


Ich tendiere mittlerweile auch zur Variante NAS als "Hot" Backup und für die offline copies doch LTO (ich denke mal 7 - Kompatibilität zu den älteren LTO 5 Bändern wäre gegeben..gegebenenfalls aber doch etwas oversized) zu nehmen. Mit ner Library wird der Aufwand zukünftig minimiert.

Danke und Gruß,
Charlie
 
CharlieScene schrieb:
Wichtiger Punkt in meinen Augen: Beide Backupserver laufen auf virtuellen Maschinen (zusätzlich sind es keine reinen Backupserver!).
Inwiefern wichtiger Punkt?

Persönlich bevorzuge ich dedizierte Hardware als Backup-Server. Hat folgende Gründe:

1) So kann man den Backup-Server physisch vom restlichen Datacenter trennen, z.B. in einen anderen Brandabschnitt bringen
2) Als IT-Dienstleister ist das dann noch ein guter Einstiegspunkt in die Umgebung wenn man mal alle anderen Systeme offline nehmen muss, z.B. für Firmware-Updates
3) Dediziert damit man das auch mal neu starten kann ohne irgendwelche produktive Software zu stören
 
Rickmer schrieb:
Inwiefern wichtiger Punkt?

Persönlich bevorzuge ich dedizierte Hardware als Backup-Server. Hat folgende Gründe:

1) So kann man den Backup-Server physisch vom restlichen Datacenter trennen, z.B. in einen anderen Brandabschnitt bringen
2) Als IT-Dienstleister ist das dann noch ein guter Einstiegspunkt in die Umgebung wenn man mal alle anderen Systeme offline nehmen muss, z.B. für Firmware-Updates
3) Dediziert damit man das auch mal neu starten kann ohne irgendwelche produktive Software zu stören

Ja - sehe ich ja auch so. Ist nur nicht gewährleistet wenn Backupsoftware Nr.1 auf einem Domaincontroller und Nr.2 auf einem Fileserver liegt. Gegen VM spricht rein gar nichts - habe mich wohl missverständlich ausgedrückt. Bevorzuge Hardwareserver aber damit ich nicht vom Host abhängig bin.. ich denke da muss man abwägen oder gibts da ein State of the Art?
 
Auf deinem Domain Controller sollte nichts außer dem DC und seine Dienste sein. Kraut und Rüben Umgebung hast du da also. Nicht toll sowas vorzufinden. Und erst recht nervig für Migrationen.

Veeam selbst schlägt in kleinen Umgebungen mit nur einem Host vor, dass der Backup Server physikalisch ist, sobald ein zweiter Host vorhanden ist, sollte man Veeam als VM aufsetzen.
Das macht für mich auch am meisten Sinn.

@Rickmer Punkt 2 und 3 verstehe ich nicht ganz, aber anscheinend habe ich auch andere Kunden :) Wahrscheinlich ist das für diesen Fall passender...
 
CharlieScene schrieb:
Meinst du gefährlich wegen Problemen bei potentiellen restores aus Sicherungen mit der 'alten' Software?

nein es ist gefährlich, alle backups in einen Storage zu haben und dann vielleicht auch noch online. Da reicht ein nicht erkannter Verschlüsselungsvirus und Daten UND alle Backups sind hinüber! darum im geschäftlichen Umfeld mindestens wie oben beschreiben, damit der Datenverlust zu minimal wie möglich gehalten werden kann
 
Tamron schrieb:
Veeam selbst schlägt in kleinen Umgebungen mit nur einem Host vor, dass der Backup Server physikalisch ist, sobald ein zweiter Host vorhanden ist, sollte man Veeam als VM aufsetzen.
Naja, das setzt weiterhin auch voraus, dass man zentralen Storage hat (also VMs schnell zwischen Hosts migrieren kann) und genügend Ressourcen um mindestens einen Host problemfrei offline nehmen zu können.
Zwei Hosts sind nur mäßig hilfreich wenn die VMs auf lokalem Storage des Host laufen und die RAM-Auslastung im Normalbetrieb auch deutlich über 50% liegt.

Bei kleinen und mittleren Unternehmen alles leider noch lange keine Selbstverständlichkeit.
 
Wenn der Chef hohe Investitionskosten scheut UND nicht sicher gestellt werden kann dass die Bänder regelmäßig gewechselt und an einem anderen Ort gelagert werden können um auch Brand, Diebstahl, Blitz, Wasser etc trotzen zu können bleibt ja fast nur $Cloud. Entweder als Nutzung in Kombination mit Veeam als Capacity Tier (Backups älter als X Tage landen in der Cloud und nicht mehr lokal) was mit jedem S3 kompatiblen Anbieter möglich wäre. Backblaze B2 oder Wasabi sind hier afaik die günstigsten Anbieter oder als (zweiten) Backup Copy Job auf eine VTL (Virtual Tape Library). Vorteile sind 0 Investitionskosten, gute Skalierung und vergleichsweise geringe Preise für die reine Aufbewahrung. AWS bietet auf jeden Fall etwas in die Richtung an, andere Anbieter aber auch.
Achtung hierbei: Restore und vor allem zeitnaher Restore ist teuer und sollte mindestens einmal durch kalkuliert werden.

Dinge wie Tiered Backup Storage oder Copy Jobs auf VTLs lassen sich mit Veeam umsetzen aber vermutlich auch jedem anderen vergleichbaren Lösungen für Unternehmen wie Arcserve UDP oder was es noch so alles gibt für KMUs.

Wenn regelmäßiges wechseln möglich ist werfe ich neben Tape und den ebenfalls meiner Meinung nach überteuerten RDX noch den Anbieter Fast-LTA in den Raum: https://www.fast-lta.de/de/produkte/silent-bricks-uebersicht/
 
Zurück
Oben