Modifications entre les versions 8 et 9
Version 8 à la date du 2011-05-20 19:02:14
Taille: 6445
Éditeur: MoussaNombre
Commentaire:
Version 9 à la date du 2011-05-20 19:04:18
Taille: 6709
Éditeur: MoussaNombre
Commentaire: Mise à jour
Texte supprimé. Texte ajouté.
Ligne 70: Ligne 70:
 * Les crons
Ligne 73: Ligne 74:
0 18 * * 4 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / vz-www@backup-horsite.ca.auf.org:/var/lib/backuppc/BACKUP-RSYNC/vz-www.ca.auf/ 0 18 * * 4 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/vz-www.ca.auf/
Ligne 76: Ligne 77:
30 17 * * 3 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / vz-mail@backup-horsite.ca.auf.org:/var/lib/backuppc/BACKUP-RSYNC/vz-mail.ca.auf/ 30 17 * * 3 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/vz-mail.ca.auf/
Ligne 79: Ligne 80:
0 18 * * 2 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / vz-auforg@backup-horsite.ca.auf.org:/var/lib/backuppc/BACKUP-RSYNC/vz-auforg.ca.auf/ 0 18 * * 2 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/vz-auforg.ca.auf/
Ligne 82: Ligne 83:
0 18 * * 3 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / vz-intranet@backup-horsite.ca.auf.org:/var/lib/backuppc/BACKUP-RSYNC/vz-intranet.ca.auf/ 0 18 * * 3 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/vz-intranet.ca.auf/
Ligne 85: Ligne 86:
0 7 * * 0 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / vz-tech@backup-horsite.ca.auf.org:/var/lib/backuppc/BACKUP-RSYNC/vz-tech.ca.auf/ 0 7 * * 0 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/vz-tech.ca.auf/
Ligne 88: Ligne 89:
0 1 * * 5 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / vz-superca@backup-horsite.ca.auf.org:/var/lib/backuppc/BACKUP-RSYNC/vz-superca.ca.auf/ 0 1 * * 5 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/vz-superca.ca.auf/
Ligne 91: Ligne 92:
0 7 * * 6 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / nfs-authnss@backup-horsite.ca.auf.org:/var/lib/backuppc/BACKUP-RSYNC/nfs-authnss.ca.auf/ 0 7 * * 6 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/nfs-authnss.ca.auf/
Ligne 94: Ligne 95:
0 22 * * 1 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / toip@backup-horsite.ca.auf.org:/var/lib/backuppc/BACKUP-RSYNC/toip.ca.auf.org/ 0 22 * * 1 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/toip.ca.auf.org/
Ligne 97: Ligne 98:
0 20 * * 1 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / zeus@backup-horsite.ca.auf.org:/var/lib/backuppc/BACKUP-RSYNC/zeus.auf 0 20 * * 1 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/zeus.auf
Ligne 100: Ligne 101:
0 1 * * 3 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / vz-aufhorsite@backup-horsite.ca.auf.org:/var/lib/backuppc/BACKUP-RSYNC/vz-aufhorsite.ca.auf.org/ 0 1 * * 3 root rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/vz-aufhorsite.ca.auf.org/
Ligne 102: Ligne 103:

 * L'état au 20 mai 2011
  {{{
backup-horsite:/var/lib/BACKUP-RSYNC# du -sh *
20K dossier-ssh-du-old-backuppc
16K lost+found
7,8G maestro.ca.auf
472G nfs-authnss.ca.auf
2,9G toip.ca.auf.org
24G vz-aufhorsite.ca.auf.org
38G vz-auforg.ca.auf
61G vz-intranet.ca.auf
215G vz-mail.ca.auf
50G vz-superca.ca.auf
277G vz-tech.ca.auf
105G vz-www.ca.auf
1,8G zeus.auf
  }}}
 

Sommaire

  1. Serveur de backup hors site
    1. Le serveur
      1. Caractéristiques
      2. Installation de Debian
      3. Configuration réseau
    2. Firewall
    3. Les sauvegardes

Serveur de backup hors site

Le serveur

Caractéristiques

  • QNAP TS-809U-RP turbo NAS

    • S/N : 0099806463; P/N : 52100-00909-RS
    • Firmeware : v3.2.4 Build 0315 (à la date du 27 avril 2010)

    • Touche d'accès au BIOS : DEL

  • Processeur : Intel Processor Core 2 Duo 2.8 GHz
  • RAM : 2GB DDRII RAM
  • Disques durs :
    • Disque Flash : 128MB DOM
    • Disque SATA : 4 x 1TB x Western Digital Caviar Black WD1001FALS.
      • On a 4 disques identiques de réserve

Installation de Debian

.. ça n'a pas été facile, mais ts-809-u a été dompté ...

  • partitionnement :
    • /boot : /dev/sde1 (flash disk) (128 MB)
    • /dev/md0 (RAID5 [sda1,sdb1,sdc1] + spare [sdd1]) : LVM
      • lvm vg : auf
      • lvm lv :
        • / : /dev/auf/racine (2Go)
        • /var : /dev/auf/var (2Go)
        • /var/lib/backuppc : /dev/auf/var-lib-backuppc (2000Go)
        • swap : 2Go
    • pour partitionner : on boote normalement le NAS et ensuite on s'y connecte en ssh (ssh admin:admin@IP). Ensuite :
      • on supprime les partitions du disque flash (bien sûr on a fait un backup préalable). Et on crée notre /dev/sde1 pour le /boot
      • avec mdadm on crée notre RAID5.
      • la suite (/dev/md0 en LVM) se passe lors de l'installation de Debian

  • PARTICULARITE ou bizarrerie : GRUB est dans /boot/boot/grub

    • au boot, après l'installation de Debian, "error 15" de grub
    • une ré-installation du grub (grub-install), depuis un liveCD, crée un dossier boot/grub sur la partition /boot (dev/sde1). Il a aussi fallu corriger le disque de démarrage (remplacer (hd4,0) par (hd0,0))

    • conclusion : /boot/grub et /boot/boot/grub existent mais c'est le second qui est utilisé.

Configuration réseau

  • IP publique : 204.136.13.26/255.255.255.192
  • hostname : backup-horsite.ca.auf.org
  • Tunnel openvpn
    • connecté sur new-openvpn
    • IP openvpn : 10.36.8.5
    • certificat PKI-AUF utilisateur : backup-horsite.ca-auf-org
  • accessible en toc-toc-toc ssh (nc -w 1 backup-horsite.ca-auf-org port1 port2 port3 ; ssh backup-horsite.ca-auf-org)

Firewall

  • règles de base :
    • tous les INPUT sont rejetés par défaut
    • tous les OUPUT sont autorisés
    • tous les FORWARD sont entièrement fermés
  • les accès
    • tout depuis le gateway de Montréal (199.84.140.254) est accepté
    • tout depuis le RPV AUF (10.0.0.0/8) est accepté
    • le ssh est accepté en port knocking

Les sauvegardes

NB :

  1. pour solutionner le problème de saturation de la bande passante par le backuppc hors site, on fait maintenant des rsync direct contrôlés à des jours et moments calculés en fonction de la taille des différents serveurs.
  2. Ces rsync se font depuis les serveurs vers le backup hors site vers des comptes personnalisés pour chaque serveur
  3. le chemin utilisé /var/lib/backuppc/BACKUP-RSYNC est temporaire, le temps de virer le backuppc et de réorganiser
  4. on pourra fermer l'accés openvpn
  5. on gardera une archive (tar.gz) de chaque serveur pour une durée de 6 mois
  6. on verra par la suite s'il est nécessaire de limiter l'utilisation de la bande passante (rsync --bwlimit=nnnn kbps ...)
  7. Les crons 
    • [vz-www.ca.auf] [cat /etc/cron.d/rsync-horsite] 
0 18 * * 4     root    rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/vz-www.ca.auf/

[vz-mail.ca.auf] [cat /etc/cron.d/rsync-horsite] 
30 17 * * 3     root    rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/vz-mail.ca.auf/

[vz-auforg.ca.auf] [cat /etc/cron.d/rsync-horsite] 
0 18 * * 2     root    rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/vz-auforg.ca.auf/

[vz-intranet.ca.auf] [cat /etc/cron.d/rsync-horsite] 
0 18 * * 3      root    rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/vz-intranet.ca.auf/

[vz-tech.ca.auf] [cat /etc/cron.d/rsync-horsite] 
0 7 * * 0     root    rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/vz-tech.ca.auf/

[vz-superca.ca.auf] [cat /etc/cron.d/rsync-horsite] 
0 1 * * 5     root    rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/vz-superca.ca.auf/

[nfs-mtl.ca.auf] [cat /etc/cron.d/rsync-horsite] 
0 7 * * 6     root    rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/nfs-authnss.ca.auf/

[toip.ca.auf.org] [cat /etc/cron.d/rsync-horsite] 
0 22 * * 1     root    rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/toip.ca.auf.org/

[zeus.auf] [cat /etc/cron.d/rsync-horsite] 
0 20 * * 1     root    rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/zeus.auf

[vz-aufhorsite.ca.auf.org] [cat /etc/cron.d/rsync-horsite] 
0 1 * * 3     root    rsync -a --numeric-ids -H --exclude-from=/etc/rsync-horsite-exclude / backup-horsite.ca.auf.org:/var/lib/BACKUP-RSYNC/vz-aufhorsite.ca.auf.org/
  8. L'état au 20 mai 2011 
    • backup-horsite:/var/lib/BACKUP-RSYNC# du -sh *
20K     dossier-ssh-du-old-backuppc
16K     lost+found
7,8G    maestro.ca.auf
472G    nfs-authnss.ca.auf
2,9G    toip.ca.auf.org
24G     vz-aufhorsite.ca.auf.org
38G     vz-auforg.ca.auf
61G     vz-intranet.ca.auf
215G    vz-mail.ca.auf
50G     vz-superca.ca.auf
277G    vz-tech.ca.auf
105G    vz-www.ca.auf
1,8G    zeus.auf

ABANDONNE : Backuppc

  • installation classique de backuppc
  • ensuite copie des config du backuppc sur site
  • changements :
    • full backup : 1 fois par mois
    • increment backup : 1 fois par semaine
    • serveurs sauvegardés (taille total d'environ 330GB au départ):
      • tous les vz (auforg, intranet, tech, www, superca, mail)
      • nfs-auth.ca.auf
      • fw.ca.auf
      • toip.ca.auf.org

    • pour éviter de bouffer toute la bande passante, on limite le débit du rsync en ajoutant l'option --bwlimit=2048 (en KBytes par seconde)

  • serveur web
    • accessible en https uniquement (avec certificat serveur-ssl PKI-AUF, compte backup-horsite.ca-auf-org.https)
    • http redirigé vers www.auf.org

ZA/Montréal/ServeursHorsSite/Backup (dernière édition le 2015-03-20 16:25:18 par MoussaNombre)