Guten Abend, weiß jemand von euch, ob die Sicherung auf einen entfernten PBS via Port 8007 verschlüsselt ist ?
Danke für die INfos.
Danke für die INfos.
Proxmox Backup Server via Internet
- Thread starter supportmpegmbhmd
- Start date
Die Kommunikation ist, soweit ich weiß, TLS verschlüsselt. Idealerweise schickst Du das Backup über ein VPN.
Wir haben z.B. zu den FW unserer Kunden dedizierte Tunnel für die jeweiligen pbs zu unseren Storages, das läßt sich mit openVPN, Wireguard oder IPSEC recht einfach umsetzen.
Wir haben z.B. zu den FW unserer Kunden dedizierte Tunnel für die jeweiligen pbs zu unseren Storages, das läßt sich mit openVPN, Wireguard oder IPSEC recht einfach umsetzen.
Moin zusammen,
ich möchte ein PBS am Standort A über WAN einrichten und ein paar PVE Umgebungen darauf sichern lassen, zwecks geo-backup. Eine VM am Standort C hat aber 1 TB Daten, die Sicherung im LAN läuft natürlich länger aber auch nur am Anfang, der stündliche Abgleich ist dann in 1min erledigt.
Meine Idee ist es den Server vom Standort A für den Erstsync zum Standort C mitzunehmen um anschließend mit VPN über WAN von C --> A inkremintel (1x pro h) zu sichern.
Erscheint simpel, ist es netzwerktechnisch denn auch so ? Bevor ich ewig probier, habt ihr dan eine idee zur Ausführung ?
BG Stefan
ich möchte ein PBS am Standort A über WAN einrichten und ein paar PVE Umgebungen darauf sichern lassen, zwecks geo-backup. Eine VM am Standort C hat aber 1 TB Daten, die Sicherung im LAN läuft natürlich länger aber auch nur am Anfang, der stündliche Abgleich ist dann in 1min erledigt.
Meine Idee ist es den Server vom Standort A für den Erstsync zum Standort C mitzunehmen um anschließend mit VPN über WAN von C --> A inkremintel (1x pro h) zu sichern.
Erscheint simpel, ist es netzwerktechnisch denn auch so ? Bevor ich ewig probier, habt ihr dan eine idee zur Ausführung ?
BG Stefan
Ich persönlich sichere lieber lokal oder du solltest eine SSD im PVE vorhalten um das Backup schnell zu halten. Ich mache das lieber mit PBS Sync aber funktioniert trotzdem genauso einfach.
Aber beachte, wenn du das initial Backup Lokal machst, musst du im Restorefall auch die Möglichkeit haben, den Restore lokal zu machen.
Wenn du die IP öfter wechseln willst oder musst, nutze einfach DNS Namen und passe dann immer den DNS/hosts an.
Aber beachte, wenn du das initial Backup Lokal machst, musst du im Restorefall auch die Möglichkeit haben, den Restore lokal zu machen.
Wenn du die IP öfter wechseln willst oder musst, nutze einfach DNS Namen und passe dann immer den DNS/hosts an.
Danke für den Beitrag,
lokal werden aktuell 2 SSD´s im Ring täglich getauscht. Das nervt, Thema "automount". Für den Restorefall, sind lokal stündliche und andre Backups vorhanden. Der OffSite Backup ist für den Fall des Einbruchs und Entwendung der Hardware. Der Kunde möchte eben nichts dem Zufall überlassen.
Die Idee mit DNS/hosts gefällt mir richtig gut. Stehe aber etwas auf dem Schlauch, was routen/vpn/DNS angeht.
Ich würde einen VPN-Client auf dem PBS installieren und versuchen diesen, nach der Geomigration, als Gateway zum ZielLan zu nutzen ??? Ein VPN-Server läuft ja bereits.
lokal werden aktuell 2 SSD´s im Ring täglich getauscht. Das nervt, Thema "automount". Für den Restorefall, sind lokal stündliche und andre Backups vorhanden. Der OffSite Backup ist für den Fall des Einbruchs und Entwendung der Hardware. Der Kunde möchte eben nichts dem Zufall überlassen.
Die Idee mit DNS/hosts gefällt mir richtig gut. Stehe aber etwas auf dem Schlauch, was routen/vpn/DNS angeht.
Ich würde einen VPN-Client auf dem PBS installieren und versuchen diesen, nach der Geomigration, als Gateway zum ZielLan zu nutzen ??? Ein VPN-Server läuft ja bereits.
Warum der Tausch? Ich würde eher einen PBS mit Raid1 (Mirror) nutzen. Für Ransomware, Einbruch, etc. lieber einen zweiten PBS an einen anderen Standort oder in ein RZ. Da der zweite PBS einen Pull macht, brauchst du zum zweiten PBS keinen Zugriff.
Ob du da einen VPN in deiner Firewall realisierst oder eine direkte VPN Einwahl, ist eher Geschmacksache.
Hallo donrusso,
ist das Thema noch aktuell?
Dann kann ich da gerne weiterhelfen, wir sichern alle unsere Kunden lokal und zu uns ins RZ, einKunde wird zusätzlich noch in ein zweites externes DZ in Salzburg gesichert.
Die initiale Sicherung dauert etwas, kann aber über Bandbreiten-Einstellungen und Jobwahl so durchgeführt werden, dass der Produktivbetrieb nicht gestört wird.
Ist der Initialdurchlauf fertig kannst Du über entsprechende Job-Einstellungen die Pakate klein halten. Wir sichern beispielsweise bei einem Kunden pro Tag 5TB. Der Abgleich erfolgt einmal pro Stunde da sind die Paketgrüßen und die Übertragungsdauer überschaubar.
Die Verbindung erfolgt über dedizierte Tunnel, meist openVPN, in letzter Zeit auch mal über WireGuard. IPSEC wird weniger.
ist das Thema noch aktuell?
Dann kann ich da gerne weiterhelfen, wir sichern alle unsere Kunden lokal und zu uns ins RZ, einKunde wird zusätzlich noch in ein zweites externes DZ in Salzburg gesichert.
Die initiale Sicherung dauert etwas, kann aber über Bandbreiten-Einstellungen und Jobwahl so durchgeführt werden, dass der Produktivbetrieb nicht gestört wird.
Ist der Initialdurchlauf fertig kannst Du über entsprechende Job-Einstellungen die Pakate klein halten. Wir sichern beispielsweise bei einem Kunden pro Tag 5TB. Der Abgleich erfolgt einmal pro Stunde da sind die Paketgrüßen und die Übertragungsdauer überschaubar.
Die Verbindung erfolgt über dedizierte Tunnel, meist openVPN, in letzter Zeit auch mal über WireGuard. IPSEC wird weniger.
Ja Moin, ja das Thema ist noch aktuell. Bin noch am Hardware basteln, Offsite PBS.
Ich müsste dann wohl im prodLAN den neuen PBS einrichten --> initial Backup (nachts) durchführen --->
und dann an einem andren Standort per wireguard wieder dem prodLAN zugänglich machen. Auf das routing kann ich mir noch kein Reim bilden.
Welche sind es denn ? Aktuell habe ich etwas zu viel load, da replication */15 und backup */1:00 schon IO delay von 30 erzeugen. Wie kann man denn das Backup auf stündlich XX:07 setzen ?
welche wären denn das? *.cfg file oder GUI ?
wireguard habe ich prod LAN schon am laufen.
aktuell habe ich ein extra LAN für die beiden PVE's und den local PBS mit eigenen NIC's wegen speed und security
Ich müsste dann wohl im prodLAN den neuen PBS einrichten --> initial Backup (nachts) durchführen --->
und dann an einem andren Standort per wireguard wieder dem prodLAN zugänglich machen. Auf das routing kann ich mir noch kein Reim bilden.
Hi donrusso,
die Bandbreite stellt man per Job ein, da gibt's ein Feld "Rate Limit", damit wird die verwendbare Bandbreite beschränkt (damit dauert der sync allerdings länger). Alternativ kann man über die Tunnel-Parameter (soferne Du VPN Tunnel verwendest) die Bandbreite beschränken.
>Wie kann man denn das Backup auf stündlich XX:07 setzen ?
entweder Du gibst das im Menü so ein oder Du passt den Job im Filesystem an (/etc/proxmox-backup/sync.cfg).
>Ich müsste dann wohl im prodLAN den neuen PBS einrichten --> initial Backup (nachts) durchführen --->
Wenn Dein Remote nur über das ProdLAN zu erreichen ist, ja. Wir führen meist auf unseren Firewalls extra Interfaces für Backup-LANs und separieren die Remotes nach Interface und Tunnel.
Das Initial-Backup wird vermutlich länger dauern, also am besten händisch direkt nach einem Backup-Job starten, danach dann den Zeitplan einschalten.
> Auf das routing kann ich mir noch kein Reim bilden.
Was meinst Du damit?
HTH
W.
die Bandbreite stellt man per Job ein, da gibt's ein Feld "Rate Limit", damit wird die verwendbare Bandbreite beschränkt (damit dauert der sync allerdings länger). Alternativ kann man über die Tunnel-Parameter (soferne Du VPN Tunnel verwendest) die Bandbreite beschränken.
>Wie kann man denn das Backup auf stündlich XX:07 setzen ?
entweder Du gibst das im Menü so ein oder Du passt den Job im Filesystem an (/etc/proxmox-backup/sync.cfg).
>Ich müsste dann wohl im prodLAN den neuen PBS einrichten --> initial Backup (nachts) durchführen --->
Wenn Dein Remote nur über das ProdLAN zu erreichen ist, ja. Wir führen meist auf unseren Firewalls extra Interfaces für Backup-LANs und separieren die Remotes nach Interface und Tunnel.
Das Initial-Backup wird vermutlich länger dauern, also am besten händisch direkt nach einem Backup-Job starten, danach dann den Zeitplan einschalten.
> Auf das routing kann ich mir noch kein Reim bilden.
Was meinst Du damit?
HTH
W.
Das ist schon mal gut so.
Warum muss der ins Prod LAN?
Du kannst ja per Wireguard eine Verbindung vom Primary PBS zum Secondary PBS direkt machen, oder den Secondary mit dem kompletten Managemant LAN sprechen lassen. Falls du nur eine Verbindung mitnutzt, eventuell per vxlan ein eigenes Sync VLAN über den bestehenden VPN tunneln.
UPDATE:
OffSite backup läuft. Habe mein offsite-bkp-Server einmalig lokal befüllt. 1,5 TB in 4h über 1G-Port, jetzt mit 40 MBit/s upload ist der remote SyncJob nachts, einmal nach ca 50 min erledigt. Aktuell habe ich noch eine SiteToSite VPN zum prodLAN. Bin da aber noch dran...
OffSite backup läuft. Habe mein offsite-bkp-Server einmalig lokal befüllt. 1,5 TB in 4h über 1G-Port, jetzt mit 40 MBit/s upload ist der remote SyncJob nachts, einmal nach ca 50 min erledigt. Aktuell habe ich noch eine SiteToSite VPN zum prodLAN. Bin da aber noch dran...
oha, muss erstmal vlan sicher beherschen ;-) aber danke für den Hinweis