У нинішніх умовах життєво важливе значення має резервне копіювання для виживання організації. Компанію можуть зламати, потім отримати викуп, але після цього ваші дані можуть випадково «загубити» злодії, які продадуть комерційні таємниці тому, хто запропонує найвищу ціну. Впроваджене шкідливе ПЗ може пошкодити/знищити вашу насилу зароблену інформацію, а незадоволені співробітники або інші інсайдерські загрози можуть видалити цінні цифрові активи. Загроз багато і вони різноманітні, але чи можете ви відновитися після втрати даних?
Що таке резервне копіювання даних?
Резервне копіювання (РК) - це практика копіювання даних з основного місця зберігання у вторинне для їхнього захисту у разі катастрофи, аварії або зловмисної дії. Дані - це джерело життєвої сили сучасних організацій, їх втрата може завдати величезної шкоди та порушити бізнес-операції. Ось чому резервне копіювання має вирішальне значення для всіх компаній - великих і малих.
Будь-який аналіз бізнес-ризиків покаже Вам, що захист даних - це безперервний процес, який повинен охоплювати широкий спектр сценаріїв. Коли справа доходить до передових методів захисту даних, жодна технологія не забезпечує комплексного рішення. Знімки (Snapshots), реплікація та резервне копіювання відіграють різні, але взаємодоповнюючі ролі, коли йдеться про пом'якшення наслідків для бізнесу у разі втрати даних.
Всебічні рішення HPE підтримують багато з цих варіантів, надаючи ІТ-фахівцям єдиний сервіс для задоволення широкого спектра вимог до рівня обслуговування. У попередній статті йшлося про концепцію 3-2-1 (3-2-1-1-0), у якій показано основні практики зберігання РК. У цій статті буде розказано, на якому обладнанні НРЕ можна це організувати.
Якщо коротко, то правило 3-2-1-1-0 вимагає від компаній зберігати щонайменше 3 копії даних. Зазвичай робоча копія вважається першою, і в ІТ-фахівців має бути щонайменше дві резервні копії. Однак деякі компанії вважають, що це правило означає, що їм необхідні три резервні копії. Цифра 2 у правилі вказує, що резервні копії зберігаються щонайменше на двох різних носіях або типах пристроїв. Перша цифра 1 у правилі означає, що хоча б одна з цих резервних копій має перебувати за межами офісу/сайту. Друга цифра 1 у правилі вимагає, щоб хоча б одна з резервних копій була автономною або незмінною. Ця вимога може, але не завжди, перекриватися з попередньою вимогою. Цифра 0 правила підкреслює важливість тестування.
Перша резервна копія, знімки/клони
Системи зберігання даних використовують RAID технологію для захисту даних від збоїв дисків. Однак захист RAID не забезпечує копіювання даних на певний момент часу. Знімок/snapshot системи зберігання робить саме це. Система зберігання за допомогою свого вбудованого ПЗ/ОС «робить знімок» тома сховища в певний момент часу і зберігає ці дані як є. Таким чином, «знімки» додають у системи зберігання вбудовані можливості, подібні до резервного копіювання.
Вище описані системи зберігання HPE (включно із застарілою, але такою, що ще експлуатується у багатьох, системою HPE 3PAR) можуть робити знімки/snapshots. Єдина відмінність - це механізми створення snapshot: Redirect on Write (RoW) або «Перенаправлення під час запису (RoW)» і Copy on Write (CoW) або «Копіювання під час запису (CoW)». Знімки/snapshots CoW чинять більший вплив на кількість операцій введення-виведення за секунду (IOPS) і обсяг зберігання, ніж знімки RoW. Але вони забезпечують більшу надмірність, оскільки в моментальному знімку використовуються різні блоки даних.
Знімок/snapshot системи зберігання також може бути повним клоном (full clone). У цьому разі, коли система зберігання робить знімок/snapshot, вона створює повну дзеркальну копію даних. Цей тип моментального знімка чинить більший вплив на кількість операцій введення-виведення за секунду та обсяг зберігання, але забезпечує ще більшу надмірність. Система зберігання може зберігати повний клон або клон в окремій RAID-групі, відмінній від вихідних даних, тому система зберігання НРЕ може витримувати збої більшої кількості дисків, зберігаючи водночас або робочий том, або його клон/clone в іншому місці, надаючи повну незалежну копію даних, яку ІТ-фахівці можуть використовувати надалі, наприклад, у різних тестових середовищах.
Таким чином, знімки/snapshots систем зберігання надають копію даних на певний момент часу, що допомагає ІТ-фахівцям відновитися після помилок користувачів і пошкодження файлів. Знімки не вимагають великих витрат, тому їх можуть робити часто, що є чудовим засобом зниження RPO і короткострокового зберігання. Однак самі по собі знімки не можуть захистити від усіх форм втрати даних. Знімки зберігаються в основній системі зберігання, тому, якщо щось трапиться з цією системою, дані будуть втрачені. Та ж проблема актуальна і для стихійних лих у масштабах усього об'єкта. Також знімки можуть забезпечити відновлення після програм-вимагачів, якщо цю програму виявлено швидко.
Друга резервна копія, реплікація
Усі системи зберігання HPE підтримують реплікацію, за якої первинна система зберігання (source) реплікує всі дані тома у вторинну систему зберігання (target). Це може бути другою резервною копією. Головне правило, що б вторинна система зберігання була того ж сімейства, що і первинна. Так, у системах HPE Primera, HPE Alletra 9000 і HPE 3PAR ця технологія називається Remote Copy, у системах зберігання Alletra 5000/6000 - Peer Persistence, іноді її називають Remote Copy, у системах зберігання HPE MSA - Remote Snap, а в системах зберігання HPE XP8 - Business Copy.
Існує 2 основних види реплікацій: синхронна й асинхронна та підмножина інших, що ґрунтуються на двох викладених вище (асинхронна потокова передача, асинхронна періодична, синхронна на великі відстані та інші). За синхронної реплікації первинна система зберігання не підтверджує запис доти, доки не отримає підтвердження від вторинної системи. Тобто дані в первинній системі та у вторинній у томах гарантовано будуть однаковими. Синхронна реплікація забезпечує значення RPO, яке завжди прагне до 0. Але ця форма реплікації вимагає дуже низької затримки (близько 5 мс) між системами зберігання - інакше системи, що виконують запис у том, «помітять» затримку. За асинхронної реплікації первинна система отримує і підтверджує записи на томі як зазвичай. Вона кешує ці записи на період, наприклад, п'ять хвилин, а потім відправляє записи у вторинну систему. Щоб розрахувати RPO для цієї реплікації, потрібно помножити період на два.
Третя резервна копія, спеціалізовані сховища
Далі будуть розглянуті спеціально створені для резервного копіювання пристрої/рішення від компанії HPE-HPE StoreOnce. Портфоліо HPE StoreOnce складається з систем, спеціально створених для надання дискового сховища резервних копій. Оскільки вони розроблені спеціально для сценаріїв резервного копіювання, вони пропонують оптимізовану підтримку і додаткові функції (стиснення, реплікація, шифрування та інші), особливо при використанні опції HPE StoreOnce Catalyst. У цих системах що вищий індекс моделі, то швидше можна зробити резервну копію або відновити дані і тим більше даних на неї можна зберегти. Окремий варіант - це рішення HPE StoreOnce VSA, яке представляє набір ліцензій від 4ТБ до 500ТБ і яке можна розгорнути на наявних або нових серверах, щоправда, суворо дотримуючись рекомендацій до вибору конфігурацій серверів HPE.
ІТ фахівці можуть використовувати модулі HPE StoreOnce Catalyst, що підключаються, для резервного копіювання багатьох застосунків безпосередньо в сховища HPE StoreOnce Catalyst. А ті, хто ще експлуатує систему зберігання HPE 3PAR або нещодавно була придбана система зберігання HPE Primera також можуть використовувати безплатне рішення HPE Recovery Manager Central (RMC) для резервного копіювання знімків/snapshots даних систем в системи HPE StoreOnce. При цьому дані будуть консистентними/узгодженими з їхніми додатками. Таким чином, системи зберігання можуть зберігати найостанніші знімки для швидкого відновлення (як вище зазначалося, перша копія), але вивантажувати старіші знімки в HPE StoreOnce, щоб звільнити ємність (друга або третя копії).
Більшість компаній вже давно використовують стороннє програмне забезпечення для резервного копіювання, як-от Veeam, Commvault, Veritas, OpenText Data Protector, і HPE StoreOnce може стати ідеальним місцем для резервного копіювання, чудово інтегруючись із цим переліком ПЗ.
HPE StoreOnce використовує дедуплікацію даних, щоб зменшити об'єм збережених даних у середовищі резервного копіювання на цілих 95%, водночас рішення забезпечує одні з найшвидших можливостей створення резервних копій і відновлення на ринку. Воно має унікальні функції, як-от висока доступність і масштабованість для найвимогливіших середовищ із високими темпами зростання даних. За допомогою HPE StoreOnce можна підвищити продуктивність і ефективність дедуплікаціі для зберігання таких додатків, як SAP HANA, Oracle і MS SQL і багатьох інших.
Чому цю систему варто обов'язково використовувати для резервного копіювання та зберігання резервних копій? Відповідь проста: доступ до сховища HPE Catalyst (так називається місце зберігання HPE StoreOnce) здійснюється через набір команд API. Тобто він недоступний вірусам! API безпосередньо інтегрований у клієнтську бібліотеку HPE StoreOnce Catalyst агента резервного копіювання. Ця бібліотека використовує власний набір команд для надсилання та отримання даних зі сховища HPE Catalyst з використанням сеансів команд і даних. Ці сеанси команд і даних можна порівняти зі з'єднаннями SMB (Samba) або NFS у традиційному сховищі даних з використанням NAS і аналогічних технологій. Однак сховище HPE StoreOnce Catalyst не використовує ту саму методологію аутентифікації і не використовує типові інструкції ОС. HPE StoreOnce Catalyst діє як свого роду демілітаризована зона для шкідливого ПЗ.
Таке відділення від набору інструкцій ОС ізолює і захищає сховище HPE StoreOnce Catalyst від атак програм-вимагачів. Хост-системи (сервера з ПЗ РК) медіа-агентів Catalyst, як і раніше, уразливі для атак без подальшого посилення захисту, а саме шкідливе ПЗ потенційно може бути надіслано мережею в сховище Catalyst. Однак саме сховище Catalyst повністю захищене від шифрування шкідливого ПЗ завдяки відділенню від будь-яких використовуваних наборів команд, як-от Windows і Linux.
Сеанси команд і даних виконуються через стандартні з'єднання TCP/IP Ethernet або Fiber Channel (FC), залежно від моделі HPE StoreOnce і адаптерів у них. У цих сеансах використовуються віддалені виклики процедур (RPC) через API, що призводить до запуску підпрограм у різних адресних просторах пам'яті в кожній пов'язаній системі.
Сегрегація пам'яті ще більше ізолює процес, додаючи додаткові захисні рівні між даними і шкідливим ПЗ, перш ніж воно потрапить у сховище HPE Catalyst. Таким чином, ця методологія багаторівневої безпеки доходить до кінцевої точки. Це також сприяє міжплатформенному переміщенню даних, коли набори інструкцій, ймовірно, не збігаються (наприклад, з Windows в Linux).
Весь обмін даними між сервером резервного копіювання і сховищем HPE StoreOnce Catalyst обробляється з використанням міжпроцесорної взаємодії (IPC) - механізму в контексті RPC. IPC забезпечує зв'язок між клієнтом і сервером незалежно від того, де фізично розташовані частини (віддалено, в одній системі тощо). Цей зв'язок не залежить від набору команд локальної операційної системи. Це захищає дані, а не пристрій, і забезпечує мобільність даних у такий спосіб, щоб дані були ближче до систем, у яких відбуваються обчислення, підвищуючи ефективність і потенційно знижуючи витрати, одночасно усуваючи ризики.
Третя резервна копія, спеціалізовані сервери
Компанія HPE постійно створює у своїх лабораторіях тестові середовища для середовищ резервного копіювання, щоб продемонструвати можливості таких рішень, як Veeam, Commvault, OT Data Protector, Cohesity, які працюють на обладнанні HPE, і задокументувавши ці рішення в еталонній архітектурі (Reference Architecture). Це часто допомагає ІТ фахівцям знайти ефективну конфігурацію з мінімальним налаштуванням. У цих документах також представлені найкращі практики. Як правило, вимоги до таких серверів дуже прості - необхідно в сервері мати якомога більше посадкових місць для дисків, а самі диски мають бути великого об'єму, тобто десятки ТБ, і мати можливість використовувати SSD-диски часто великого об'єму. На наведеному нижче малюнку представлені найцікавіші варіанти, які підходять під ці вимоги. Це не тільки стандартні сервери HPE ProLiant, а ще оновлена лінійка серверів HPE Alletra 4000-ї серії. Так сервер HPE Alletra 4140 може мати до 92 дисків LFF (3,5'' дюйма), з об'ємом, що практично дорівнює 2ПБ в одному корпусі!
Системи HPE Alletra 4000 - це ідеальний варіант для ІТ персоналу, якому потрібне єдине рішення для інфраструктури РК (самого сервера РК) і сховищ резервних копій великого обсягу. Можна налаштувати конфігурацію для кожного сервера HPE Alletra, оптимізованого за щільністю; наприклад, використовувати одну подібну систему як сервер резервного копіювання, а іншу систему як проксі-сервер (або Media Agent сервера) резервного копіювання з локальним сховищем резервних копій. У міру зростання потреб у зберіганні РК можна легко масштабувати це рішення. Це лише один із прикладів можливого використання даних серверів HPE.
Третя резервна копія, стрічкові пристрої
Попри появу в останні роки безлічі нових технологій захисту даних, традиційні стрічкові пристрої на магнітній стрічці, як і раніше, пропонують ІТ-відділам недороге рішення для довгострокового зберігання, і ринковий попит на подібні рішення все ще існує. Компанія НРЕ є світовим лідером у сегменті стрічкових пристроїв (HPE StoreEver Tape) і підтримують всі новітні стрічкові технології, включно з Linear Tape-Open 9 (LTO-9).
Модельний ряд HPE StoreEver дуже різноманітний і підійде для всіх без винятку компаній великих і малих. Він починається з пристроїв зберігання на магнітній стрічці від внутрішніх або зовнішніх з одиночним приводом, автозавантажувачів і стрічкових бібліотек, що вміщують понад 25,2 ПБ в одній системі для середовищ середнього рівня і закінчується пристроями до 6,45 ЕБ (екзобайт) в одній системі для середовищ величезних підприємств!
Так само можна використовувати пристрої HPE StoreEver як цільовий продукт для кращого для вас програмного забезпечення для резервного копіювання. Наприклад, програмне забезпечення Veeam, Commvault, Data Protector підтримують стрічкові пристрої HPE StoreEver у своїх комплексних рішеннях. Єдине зауваження - запитуйте матриці сумісності цих пристроїв з Вашим програмним забезпеченням для РК.
Разом із цими пристроями компанія НРЕ пропонує велику кількість ПЗ для ефективного керування, моніторингу та налаштування пристроїв, а дещо з них навіть покращує перевірку успішного відновлення критично важливих бізнес-даних із рідко використовуваних стрічкових картриджів LTO, що прискорює й спрощує керування, тонку настройку й архівування, а завдяки детальним звітам про стан, продуктивність, використання і стан усіх стрічкових накопичувачів і носіїв ви маєте повну інформацію про зберігання вашої інформації на цих носіях, що дозволяє вам зберігати її.
Ще одним доказом практичного використання цих пристроїв в усьому світі є той факт, що у 2021 році було поставлено 148 екзабайт (ЕБ) загальної ємності стрічкових картриджів (у стислому вигляді). За темпу зростання в 40% такі високі показники постачання залишаються після попередніх рекордних 114 ЕБ ємності, відвантажених 2019 року, і 105 ЕБ ємності, відвантажених 2020 року (під час пандемії). Так само давно анонсована і відома дорожня карта LTO пристроїв аж до 14 покоління.
Багато ІТ відділів обирають своєю метою шифрування резервних копій. HPE StoreEver підтримує апаратне шифрування даних (середні та старші моделі MSL), що унеможливлює зниження продуктивності під час стиснення або шифрування. Стиснення відбувається перед шифруванням для досягнення оптимальних результатів. При цьому ключі шифрування надаються додатками резервного копіювання або пристроями управління ключами. Цю повністю автономну систему шифрування може бути розгорнуто без необхідності використання додаткового сервера або пристрою, додаткового програмного забезпечення або складності повного рішення KMIP. HPE - єдиний постачальник, що пропонує цю просту й автономну альтернативу. А у 2017 році цьому рішенню шифрування було присвоєно рівень 1 за стандартом FIPS 140-2.
Резервна копія в хмарах
Як зазначалося раніше зберігання резервних копій за межами офісу/сайту - це частина стратегії резервного копіювання. Так само детально описувався пристрій HPE StoreOnce. Але є і продовження цієї архітектури/рішення - зберігання резервних копій у хмарі (в оптимальному стислому вигляді), ще званий HPE Cloud Bank Storage. Його можна розгорнути для резервного копіювання «з землі в хмару» на віддалених майданчиках. Це також може усунути необхідність у резервній інфраструктурі в другому віддаленому ЦОД (тобто один із варіантів рішення).
Рішення HPE Cloud Bank Storage складається з програмного забезпечення для захисту даних, яке виконує резервне копіювання в локальний магазин Catalyst Store (на пристрої HPE StoreOnce), а потім копіюється за допомогою функції Catalyst Copy або в магазин Catalyst Store, розміщений у StoreOnce, в іншому місці (другий майданчик, майданчик локального сервіс-провайдера, публічні хмари Azure або AWS), або в хмарний магазин від самої компанії HPE Cloud Bank Store.
Деякі з найважливіших властивостей HPE Cloud Bank Storage містять:
- Ефективність дедуплікації HPE StoreOnce з економічною вигодою хмарного сховища.
- Єдину точку управління для контролю копіювання з використанням наявного додатка резервного копіювання.
- Можливість виконувати відновлення з хмари в будь-яку систему HPE StoreOnce (HPE StoreOnce VSA), навіть у новостворену після втрати основної.
- Підтримку великих постачальників хмарних послуг, а також підтримується таким рішенням як Scality RING (у хмарі, на іншому сайті або розміщеним у провайдерів).
- Опцію Catalyst Copy, що інтегрується з ПЗ РК провідних постачальників РК.
І другий варіант готового резервного копіювання в хмару може бути корисний, якщо Ви купили системи зберігання HPE Alletra. У хмарне управління останньої вбудований сервіс HPE Backup and Recovery (BaR). HPE BaR - це рішення резервного копіювання AaS, створене для гібридної хмари. Він призначений для захисту віртуальних машин VMware, екземплярів БД MS SQL (у віртуальному середовищі та «на голому залізі»), томів Amazon Elastic Block Store (EBS) і екземплярів Amazon Elastic Compute Cloud (EC2) і цей список постійно зростає. Сервіс HPE BaR, що надається через платформу HPE GreenLake, дає змогу ІТ персоналу захистити свої віртуальні машини, що працюють у будь-якому сховищі або ресурсі AWS, локально або в хмарі, за кілька простих кроків і протягом кількох хвилин, через уже відому консоль НРЕ GreenLake Data Services Cloud (DSCC).
Фактично це хмарна інноваційна система управління резервним копіюванням і відновленням віртуальних машин, яка захищає наявні дані, що знаходяться локально в ЦОД (на землі). НРЕ BaR відокремлює площину управління інфраструктурою від базового обладнання та переміщує її в хмару; даючи змогу ІТ-фахівцям глобально відстежувати та керувати операціями гібридного резервного копіювання та відновлення з єдиної хмарної консолі. Хмарна площина управління автономно масштабується разом з інфраструктурою компанії, де б вона не знаходилася, тому керувати сотнями таких систем у різних регіонах так само просто, як керувати однією. Цей сервіс окремо оплачується за передплатою (у міру використання).
Приклад використання
Тепер ви розумієте, як використання HPE StoreOnce, а також іншого обладнання від компанії НРЕ, може допомогти ІТ відділам реалізувати правило 3-2-1-1-0. Використовуючи реплікацію Catalyst, ІТ фахівці можуть створювати кілька резервних копій, що зберігаються в різних локальних сховищах і у хмарі. Вони також можуть зробити сховища Catalyst незмінними, щоб відповідати вимогам як мінімум для однієї незмінної копії.
Таким чином, куплені системи зберігання HPE дають змогу швидко створювати резервні копії та виконувати відновлення для підтримання оптимальної продуктивності роботи користувачів або сервісів компанії, а хмарне сховище забезпечує масштабованість і нижчі витрати на довгострокове зберігання та архівування ваших резервних даних.
Автор статті - Михайло Федосєєв, архітектор інфраструктурних рішень Lantec.
