Brauche ich noch ein Backup, wenn ich ein redundantes Speichersystem mit Rollback-Funktionen habe?

32

Meine Organisation hat kürzlich ein Speichersystem gekauft. Es hat 1,5 Petabyte, mit RAID6, und es gibt einen online synchronisierten Spiegel an einem physisch anderen Ort.

Das System ermöglicht das Zurücksetzen / Wiederherstellen von Dateien. Standardmäßig sind bis zu 30 Tage zulässig, dies kann jedoch erhöht werden.

Es wird diskutiert, ob wir eine zusätzliche Sicherung für Daten benötigen, die nur auf dem Speicher gespeichert sind.

Das System hat ein sehr gutes Redundanzniveau, es hat geografische Redundanz und ermöglicht bis zu einem gewissen Grad ein Rollback, was bedeutet, dass wir bis zur festgelegten Zeit (standardmäßig 30 Tage) alte Daten oder versehentlich gelöschte Daten wiederherstellen können.

Ist es in diesem Szenario immer noch sinnvoll, ein "traditionelles" Backup zu haben? Mit traditionell meine ich ein dediziertes Backup-System mit Snapshots, die wir abrufen können, falls etwas schief geht.

Brauchen wir das wirklich? Vermisse ich etwas? Denke ich nur auf traditionelle Weise und bin übermäßig eifrig?

nsn
quelle
Wenn Sie damit auch die Snapshots auf ein anderes Gerät replizieren können, können Sie die Probleme überwinden, die Sven in seiner Antwort erwähnt.
Drifter104
4
Bestimmt verwandt, aber aufgrund der geografischen Trennung und der Snapshot-Rollback-Funktion möglicherweise kein vollständiges Duplikat: Warum ist RAID kein Backup?
ein Lebenslauf
Solange Sie auch die "Löschen" -Taste von jeder Tastatur im Ort entfernen, sind Sie golden ;-)
Tom Newton
1
Sicher besser, als das nicht zu haben. Ich würde es immer noch vorziehen, dass die Backups auf einem Medium außerhalb von "People Errors" gespeichert werden. Sie kennen die Antwort auf Ihre Frage, müssen jedoch einen Preis für Ihre Daten festlegen. Viel Glück.
Tom Newton
7
Deckt Ihre "Rollback" -Funktion auch die Änderungen an Volumes ab? Kann es beispielsweise wiederhergestellt werden, wenn jemand alle Volumes entfernt?
vhu

Antworten:

40

Was Sie beschreiben, ist ein geografisch verteiltes RAID und ein RAID war nie ein Backup .

Online-Synchronisierung bedeutet normalerweise, dass alles, was Sie auf dem primären Speicher tun, sofort auf das Backup-System repliziert wird, einschließlich Vorgängen wie dem Löschen (aller) Snapshots und / oder Volumes durch einen Angreifer oder einfach einem Administratorfehler.

Sven
quelle
3
Oder da beide Speicher wahrscheinlich dasselbe Betriebssystem verwenden, kann ein Softwarefehler die Daten zerstören. Nicht wahrscheinlich, ein Administratorfehler ist wahrscheinlicher, aber möglich.
Sunzi
8
Wahr. Das Ziel ist, dass niemand in der Lage ist, die automatisierten Schnappschüsse zu verwalten. Das sollte die Widerstandsfähigkeit gegen Fehler erhöhen. Natürlich kann man auch versehentlich ein Backup löschen.
nsn
2
@nsn Es gibt viele andere korrelierte Fehler, wie z. B. Fehler in der Gerätesoftware oder Fehler in Ihren Verwaltungsskripten. Ohne ein Backup an einem anderen Ort vertrauen Sie Ihren Job dem Verkäufer an ... Sind Sie dazu bereit? Quantifizieren Sie auch den Schaden im Schadensfall. Vielleicht hängt die Antwort davon ab, wie wertvoll die Daten sind. Ist die Firma ohne sie gegangen?
USR
2
@ nsn > Natürlich kann man auch versehentlich ein Backup löschen. < - ja, aber es wird wesentlich schwieriger, wenn das Backup offline geschaltet und beispielsweise in einem sicheren externen Speicher abgelegt wird.
Rob Moir
7

Das 30-Tage-Rollback ist eine großartige Funktion, aber was ist, wenn "Kritisch-Wichtige-Datei-xyz" beschädigt wurde und dies erst über 31 Tage später erkannt wurde? Diese Situation ist der Unterschied zwischen Sicherungs- und Archivierungsplänen, aber in Ihrer Beschreibung wird letzteres nicht erwähnt. Archivierungssysteme werden normalerweise auf sehr kostengünstigen Bändern gespeichert. Es liegen auch keine Informationen darüber vor, ob es sich bei dem Unternehmen um ein Unternehmen handelt, das behördliche oder sonstige Anforderungen zur Aufbewahrung von Daten für einen Zeitraum von mehr als 30 Tagen hat, was häufig der Fall ist.

Wenn dies in Ihrer Situation nicht der Fall ist, sollten Sie gut sein.

Victor Marquez
quelle
3
Ja stimmt. Die 30 ist nur die Standardeinstellung, die wir für andere Werte festlegen können. Wie auch immer, Offline-Speicher kostet auch Geld und bleibt nicht für immer erhalten. Es wird immer einen Tag n + 1
nsn
2
Ich mag es, 30 Tage plus monatlich für das letzte Jahr plus jährlich zu rollen. Ich habe eine Reihe von Dateien (die wichtig und alt waren) verschwinden lassen und nicht innerhalb des Rolling-Zeitraums erkannt werden. Die jährlichen Backups können Lebensretter sein.
Brian Knoblauch
@BrianKnoblauch: Ja, diese Art von Schema ist eine gute Idee, entweder für Online-Snapshots oder für Offline-Backups.
Ben Voigt
6

Es ist gut, geografisch getrennte Maschinen zu haben, die beide Daten haben.

Was passiert, wenn an beiden oder allen Standorten mehrere Fehler aufgetreten sind? Ein Feuer bei einem, Diebstahl der Server bei dem anderen? Oder gibt es ein Problem mit der Leitung zwischen ihnen, dann geht der Server des primären Standorts aus, und der HD-Controller geht Affe und schreibt Müll? Oder führt ein Insider böswillige Handlungen an beiden durch? Oder das FBI konfisziert Ihre Server an beiden Standorten wegen des Verdachts (Sie würden es niemals tun, aber vielleicht sind Sie zusammen mit schmucks in einem Rechenzentrum untergebracht). Oder .. Ich erinnere mich an mehrere bekannte "Cloud" -Ausfälle, bei denen alles redundant war und bis zum n-ten Grad analysiert wurde, aber dennoch können Dinge schief gehen. Ich gebe Ihnen zu, dass dies alles unwahrscheinlich ist, aber Sie haben eingeräumt, dass unwahrscheinliche Dinge passieren können.

Es kommt also darauf an, wie wichtig / wertvoll diese Daten sind. Was wird die Organisation tun, wenn sie weg ist?

David J. Davison
quelle
3
Wenn Sie zwei Standorte haben und beide verlieren, haben Sie wahrscheinlich auch Ihre Backups verloren. Der Großteil dieser Antwort ist ein Argument für die Replikation über mehr als zwei Standorte und kein Argument für die Sicherung.
Ben
2
Das geht für immer. Jedes Mal, wenn Sie eine Redundanzebene hinzufügen, können Sie immer davon ausgehen, dass diese fehlschlägt (entweder geografisch oder nur auf Datenträgern). Wenn Sie n redundante Festplatten haben, können Sie immer fragen, was passiert, wenn n + 1 kaputt geht. Sie können ein Feuer in Ihrem Serverraum und in Ihrem Backup-Raum auch haben. Ein Insider-Job kann auch beides angreifen. Es gibt keine 100% ausfallsicheren Systeme. Die Sache hier ist zu wissen, ob ein solches Setup einem "traditionellen" Server + Backup
nsn entspricht.
1
Ich denke, @nsn macht einen großartigen Punkt, aber ich denke auch, dass die Lehre aus vielen dieser Antworten ist, dass es eine gute Idee ist, Ihr Backup auf einer von Ihren Speichermedien getrennten technologischen Infrastruktur zu haben, da es für eine Technologie viel schwieriger ist Unfähigkeit, sich zu verbreiten, und es ist schwieriger für einen böswilligen Schauspieler, beide zu infizieren (aber nur schwerer). In redundanten Systemen treten regelmäßig Fehler auf, die zu Fehlerkaskaden führen. Es hilft, eine andere Lösung / einen anderen Anbieter zu haben. Diese Absicherung hält immer noch an, aber ich halte das Ausmaß der technologischen Trennung in den meisten Fällen für angemessene Vorsicht.
Nick
@ Nick, ich denke du hast einen sehr gültigen Kommentar. Ich würde es zu einer Antwort machen.
nsn
4

Die Frage hier scheint zu sein, wie unverbunden und geografisch eindeutig eine replizierte Kopie Ihrer Daten sein muss, bevor es sich um eine Backup- und keine Hochverfügbarkeits- / Redundanzinfrastruktur handelt. Mein Bauch ist, dass Sie in der Nähe sind, aber noch ein Backup benötigen.

Um einige Gedanken in den anderen Antworten und Kommentaren zusammenzufassen, können Sie den Weg "Nun, die X-Technologie deckt das Y-Katastrophenszenario nicht ab, es handelt sich also nicht um ein Backup" zu einem bestimmten Zeitpunkt weit gehen Sie müssen entscheiden, was für Sie vernünftig ist, und das scheint der Grund zu sein, warum Sie fragen. Ich habe das Gefühl, und ich denke, dass viele der Kommentatoren der Meinung sind, dass Ihr Backup auf einer von Ihren in Gebrauch befindlichen Daten getrennten technologischen Infrastruktur vorhanden sein muss, damit sich Ausfälle, Unfälle und böswillige Handlungen nicht verbreiten können oder müssen eine viel höhere Hürde zu überwinden. Ein Beispiel in den Kommentaren ist, dass jemand die Volumes löscht, was meiner Meinung nach ein gültiges Szenario ist, das sich nicht in die Höhe treibt. Aber auch ein reales Beispiel aus meiner Arbeit. Die Universität, für die ich arbeite (aber zum Glück don ' t Diese Infrastruktur verwalten für) verfügt über eine seriöse hochverfügbare Virtualisierungsinfrastruktur, die viele Campus-Einrichtungen unterstützt. Es befindet sich an mehreren Standorten, läuft jedoch ausschließlich auf der Plattform eines Anbieters. Eines Tages trat ein obskurer Fehler auf, der zu einer Fehlerkaskade führte, bei der zuerst ein einzelner Server heruntergefahren wurde. Als sich die Last verlagerte, wurde der Rest der Site entfernt, und als sich die Last erneut verlagerte, wurden die anderen Hosting-Sites entfernt diese Infrastruktur. (Ich glaube, sie haben dieses Problem seitdem behoben). Die Daten gingen in diesem Fall nicht verloren, aber es ist möglich, sich ein Szenario mit Ihren Daten vorzustellen, in dem sie sich befanden. Eines Tages trat ein obskurer Fehler auf, der zu einer Fehlerkaskade führte, bei der zuerst ein einzelner Server heruntergefahren wurde. Als sich die Last verlagerte, wurde der Rest der Site entfernt, und als sich die Last erneut verlagerte, wurden die anderen Hosting-Sites entfernt diese Infrastruktur. (Ich glaube, sie haben dieses Problem seitdem behoben). Die Daten gingen in diesem Fall nicht verloren, aber es ist möglich, sich ein Szenario mit Ihren Daten vorzustellen, in dem sie sich befanden. Eines Tages trat ein obskurer Fehler auf, der zu einer Fehlerkaskade führte, bei der zuerst ein einzelner Server heruntergefahren wurde. Als sich die Last verlagerte, wurde der Rest der Site entfernt, und als sich die Last erneut verlagerte, wurden die anderen Hosting-Sites entfernt diese Infrastruktur. (Ich glaube, sie haben dieses Problem seitdem behoben). Die Daten gingen in diesem Fall nicht verloren, aber es ist möglich, sich ein Szenario mit Ihren Daten vorzustellen, in dem sie sich befanden.

Sie möchten, dass Ihr Backup vor all dem gefeit ist und auch dann verfügbar ist, wenn diese Infrastruktur nicht verfügbar ist. Wenn die Daten eine Woche lang nicht verfügbar sind, während Ihr RAID wiederhergestellt wird, ist es hilfreich, geschäftskritische Dokumente aus dem Backup wiederherstellen zu können (obwohl dies nicht erforderlich ist). Wenn Ihr RAID verschwindet und dann auf Ihre andere Site repliziert wird, möchten Sie wirklich, dass das Backup von einem separaten Anbieter oder auf einem isolierten Medium wie Band stammt.

Trotzdem wiederhole ich noch einmal, dass sich Ihr Backup auf einer von Ihren Daten getrennten Infrastruktur befinden sollte. Hier gibt es viele Ebenen der Isolation, aber ich denke, dass alles, was durch direkte Replikation verbunden ist, zu nah ist, um ein Backup zu sein. Du wirst zusätzlich etwas wollen.

Nick
quelle
1

Annahme: Das Speichersystem wird von vielen Anwendungen genutzt.

Ich denke, Sie werden mit einem separaten Backup-System viel besser abschneiden.

RAID und Spiegelung sind keine Backups, aber die eingebaute Rollback-Funktion kann ein herkömmliches Backup-System ersetzen.

ABER:

Ich bevorzuge, dass die Wiederherstellungsrichtlinien auf Anwendungen / Daten und nicht auf Speicher basieren, weil:

  1. Für Anwendungen gelten unterschiedliche Anforderungen in Bezug auf die Wiederherstellung und den akzeptablen Datenverlust (einige davon werden durch verschiedene Vorschriften vorgeschrieben: Nur-Lese-Datenträger, Verschlüsselung, Aufbewahrung der letzten X Jahre usw.).
  2. In einigen Anwendungen sind (sehr) gute Sicherungs- und Wiederherstellungstools (Oracle, MSSQL) integriert, und es wird empfohlen, den Sicherungs- / Wiederherstellungsteil auszuführen (als Oracle-DBA bevorzuge ich, und ich werde alle meine Sicherungen in Bezug auf Oracle mit rman ausführen).
  3. Wachstum, Ihre Nutzung des Speicherplatzes kann viel schneller wachsen als Sie erwarten, jetzt kann dieses System 30 Tage Rollback-Daten aufnehmen, dies ist in Zukunft nicht garantiert
  4. billiger, die Kosten für die Verwendung größerer Bänder zur Anpassung an Sicherungs- / Wiederherstellungsrichtlinien sind nach mehreren Jahren des Wachstums geringer als die Kosten für den Kauf neuer, größerer Datenträger, um dasselbe Rollback-Fenster wie jetzt einzuhalten
Valentin
quelle