Unveränderbare Backups
- Thread starter Alvin2k8
- Start date
Nicht direkt, aber man kann ( und sollte) die Permissions so setzen, dass von ProxmoxVE nur neue Backups erstellt und bestehende gelesen, aber keine gelöscht werden können. Dazu einen offsite-PBS und man kann ähnliches erreichen:
- Per Firewall ( z.b. mit ufw) alle eingehenden Verbindungen auf dem offfsite-PBS dicht machen, Zugang für das Webinterface auf vpn von Management-Client ( z.B. Notebook) beschränken
- Backups dürfen vom Primär und ProcmoxVE nur gelesen werden
- Ein pull-sync Job zieht sich die Backups vom primär-PBS
- Aufgeräumt wird mit prune- und Garbage-collection jobs, das Offsite-Backup sollte eine höhere vorhaltezeit haben
- Zusätzlich könnte man externe USB-Platten ( removsble datastore) oder Magnetfelder sls sitgapped-Backups nutzen
- Zusätzlich könnten s3-Bsckups genutzt werden, um Georedundanz zu erreichen
Sollte mal ein restore vom offsite-pbs nötig werden, richtet man eine temporäre Firewallfreigabe ein, die nach restore wieder entfernt wird
- Per Firewall ( z.b. mit ufw) alle eingehenden Verbindungen auf dem offfsite-PBS dicht machen, Zugang für das Webinterface auf vpn von Management-Client ( z.B. Notebook) beschränken
- Backups dürfen vom Primär und ProcmoxVE nur gelesen werden
- Ein pull-sync Job zieht sich die Backups vom primär-PBS
- Aufgeräumt wird mit prune- und Garbage-collection jobs, das Offsite-Backup sollte eine höhere vorhaltezeit haben
- Zusätzlich könnte man externe USB-Platten ( removsble datastore) oder Magnetfelder sls sitgapped-Backups nutzen
- Zusätzlich könnten s3-Bsckups genutzt werden, um Georedundanz zu erreichen
Sollte mal ein restore vom offsite-pbs nötig werden, richtet man eine temporäre Firewallfreigabe ein, die nach restore wieder entfernt wird
Das mit den Immutable Backups bei Veeam ist nur notwendig weil das Backup Repository immer erreichbar sein muss. Außerdem ist das nicht wirklich unveränderbar, sondern nur der User mit dem Backups geschrieben werden, darf keine root Rechte haben damit er die Dateien mit dein Immutable Flag nicht löschen kann. Wenn ich Sudo oder Root Rechte auf dem Veeam Repo habe, kann ich alles löschen.
Das ganze kann man aber mit einem PBS deutlich besser lösen ohne Augenwischerei mit dem Immutable Flag. Man installiert einfach einen zweiten PBS, der per Pull die Backups vom ersten abholt und man macht die Firewall eingehen komplett dicht. Dann kommt wirklich niemand an die Daten.
Der zweite PBS kann auch eine ganz andere Retention als der erste haben und so auch gleichzeitig als Langzeitbackupspeicher dienen.