Hoe Systeemkabouter zijn backups fixed
Dit document is geenzins een advies aan anderen. Het is mijn manier om de setup te documenteren en anderen wellicht te inspireren om hun backup ook goed te regelen. Wie weet pik je er nog iets van op. Zoals het nu ingericht is, zou het ons redelijke bescherming tegen verlies van de storage en een ransomware aanval moeten geven.
Ingrediënten
Network attached storage / netwerk opslag
Mijn vrouw en ik delen samen netwerkopslag / Network Attached Storage (NAS). Ze is fotograaf en produceert aardig wat data. We willen haar werk in RAW formaat blijvend bewaren. Deze opslag moet redelijk veilig zijn voor uitval. Een paar jaar geleden ben ik op zoek gegaan naar een NAS waarmee ik de data integriteit kan checken en waarmee ik snapshots kan maken van de bestanden. Dan kom je uit bij iets gebaseerd op het ZFS of BTRFS bestandssyteem.
Rond die tijd introduceerde Synology voor het eerst een nieuwe serie apparaten welke het BTRFS bestandssysteem ondersteunen. Dit leek me een prima keuze voor onze toepassing.
Onze NAS unit is uitgerust met vier 8 TB disken in RAID6. Dit geeft een hoop overhead (2 disken) en achteraf gezien overdreven voor onze toepassing. Maar het is bepaald niet eenvoudig om dit later nog te veranderen. BTRFS heeft al opties die de integriteit van bestanden kan checken, dus een RAID5 setup was ook ruim voldoende geweest (1 disk overhead).
De RAID6 set werkt als een enkel volume met een opslagruimte van ongeveer 14 TB. Op dit moment gebruiken we hier ongeveer 6-7 TB van. Het volume heeft meerdere (gedeelde) mappen. Afhankelijk van het type data kunnen dan onderstaande maatregelen op een map zijn ingesteld:
- data versleuteling
- dropbox achtige sync naar onze laptops
- rsync backup naar zolder
- cloudsync backup naar Duitsland
- geplande snapshots
De bestanden die we dagelijks/vaak gebruiken staan opgeslagen in folders die we met 'Drive Sync' synchroniseren met onze laptops. Gecombineerd met het maken van snapshots op de NAS is deze data al redelijk veilig. De shares waar ik bedrijfsgegevens voor mijn eigen bedrijf op heb, zijn aanvullend voorzien van diskencryptie, zodat de data niet op straat ligt mocht de NAS ontvreemd worden.
Andere bestanden, waaronder de RAW bestanden van mijn vrouw, benaderen we direct over het netwerk. Deze shares hebben ook automatische snapshots, zodat we makkelijk bestanden kunnen terughalen mocht dat nodig blijken. De snapshots op de NAS beschermen ons ook tegen de negatieve effecten van ransomware op de laptops.
Offsite backup / backup op andere locatie
Offsite backup heeft altijd mijn bijzondere aandacht gehad, ook in de thuissituatie. De eerste offsite backup die ik ooit heb ingeregeld thuis was een rsync job naar een Sun Sparc 5 die bij mijn vader was opgesteld.
Tegenwoordig heb ik offsite backups geregeld met een storagebox welke ik huur bij Hetzner.de. Op dit apparaat kun je zelf accounts aanmaken met beperkte rechten en vervolgens via diverse protocollen data overzetten. Ik heb met Synology Cloud Sync een job gemaakt welke een goed deel van onze data via webdav naar Duitsland synchroniseert. De storagebox ondersteund vervolgens nog snapshots, welke ik wekelijks laat maken. De data die naar Duitsland gaat, wordt daar versleuteld heengestuurd. Zolang we de wachtwoorden hebben voor recovery dekt dit heel veel scenario's goed af.
Enig probleem met deze oplossing is dat deze aardig prijzig is. Tenminste, voor grotere datasets. We hebben op dit moment 1-2 TB opslag en dat is qua prijs goed te doen. Voor de opslag van al onze data kom ik uit op een bedrag van EUR 40 per maand. Ik heb ook nog gekeken naar bijvoorbeeld opslag bij Google maar daar werd het niet beter van.
Vandaar nog deel drie in deze post:
Somewhat offsite backup / backup op enigzins andere locatie
Een van de disken van de Synology RAID set begon bad sectors te rapporteren. Deze was al uit garantie en heb ik vervangen. Maar de disk is nog niet echt stuk. Vandaar dat ik deze dan maar als poor mans backup storage heb ingezet, gecombineerd met een Raspberry Pi 3 die ik nog had liggen. De disk is geformatteerd als BTRFS en het geheel draait nu op zolder als backup target voor mijn synology.
De synology synced alle data tweemaal per week naar de disk als normale gebruiker. Vervolgens laat ik de Raspberry Pi nog een snapshot maken voor extra veiligheid. Ik wilde eigen data ophalen vanaf de Rapsberry Pi, maar de rsync implementatie van Synology is zo bijzonder dat dit niet echt lekker wilde.
Een volledige backup up van al onze data, inclusief RAW fotomateriaal, in een andere uithoek van ons huis. Ajeto!
Laptop backups
We maken ook nog backups met timemachine van onze macbooks. Dit is inclusief data, alhoewel deze backup meer gemaakt wordt om de applicaties en instellingen makkelijk terug te krijgen mocht een apparaat verloren gaan of vervangen worden. De linux laptop heeft iets soortgelijks, maar dan met GPG encrypted backups die ik met duplicity maak.