В нынешних условиях жизненно важное значение имеет резервное копирование для выживания организации. Компанию могут взломать, затем получить выкуп, но после этого ваши данные могут случайно «потерять» воры, которые продадут коммерческие тайны тому, кто предложит самую высокую цену. Внедренное вредоносное ПО может повредить/уничтожить вашу с трудом заработанную информацию, а недовольные сотрудники или другие инсайдерские угрозы могут удалить ценные цифровые активы. Угроз много и они разнообразны, но можете ли вы восстановиться после потери данных?

Что такое резервное копирование данных?

Резервное копирование (РК) — это практика копирования данных из основного места хранения во вторичное для их защиты в случае катастрофы, аварии или злонамеренного действия. Данные — это источник жизненной силы современных организаций, и потеря их может нанести огромный ущерб и нарушить бизнес-операции. Вот почему резервное копирование имеет решающее значение для всех компаний, больших и малых.

Любой анализ бизнес-рисков покажет Вам, что защита данных — это непрерывный процесс, который должен охватывать широкий спектр сценариев. Когда дело доходит до передовых методов защиты данных, ни одна технология не обеспечивает комплексного решения. Снимки (Snapshots), репликация и резервное копирование играют разные, но взаимодополняющие роли, когда речь идет о смягчении последствий для бизнеса в случае потери данных.

Всесторонние решения HPE поддерживают многие из этих вариантов, предоставляя ИТ специалистам единый сервис для удовлетворения широкого спектра требований к уровню обслуживания. В предыдущей статье речь шла о концепции 3-2-1 (3-2-1-1-0), в которой показаны основные практики хранения РК. В данной статье будет рассказано на каком оборудовании НРЕ можно это организовать.

Если коротко, то правило 3-2-1-1-0 требует от компаний хранить как минимум 3 копии данных. Обычно рабочая копия считается первой, и у ИТ специалистов должно быть как минимум две резервные копии. Однако некоторые компании считают, что это правило означает, что им необходимы три резервные копии. Цифра 2 в правиле указывает, что резервные копии хранятся как минимум на двух разных носителях или типах устройств. Первая цифра 1 в правиле означает, что хотя бы одна из этих резервных копий должна находиться за пределами офиса/сайта. Вторая цифра 1 в правиле требует, чтобы хотя бы одна из резервных копий была автономной или неизменяемой. Это требование может, но не всегда, перекрываться с предыдущим требованием. Цифра 0 правила подчеркивает важность тестирования.

Первая резервная копия, снимки/клоны

Системы хранения данных используют RAID технологию для защиты данных от сбоев дисков. Однако защита RAID не обеспечивает копирование данных на определенный момент времени. Снимок/snapshot системы хранения делает именно это. Система хранения с помощью своего встроенного ПО/ОС «делает снимок» тома хранилища в определенный момент времени и сохраняет эти данные как есть. Таким образом, «снимки» привносят в системы хранения встроенные возможности, подобные резервному копированию.

Выше представленные системы хранения HPE (и включая устаревшую, но еще эксплуатирующуюся у многих, систему HPE 3PAR) могут делать снимки/snapshots. Единственное отличие — это механизмы создания snapshot: Redirect on Write (RoW) или «Перенаправление при записи (RoW)» и Copy on Write (CoW) или «Копирование при записи (CoW)». Снимки/snapshots CoW оказывают большее влияние на количество операций ввода-вывода в секунду (IOPS) и объем хранения, чем снимки RoW. Но они обеспечивают большую избыточность, поскольку в моментальном снимке используются разные блоки данных.

Снимок/snapshot системы хранения также может быть полным клоном (full clone). В этом случае, когда система хранения делает снимок/snapshot, он создает полную зеркальную копию данных. Этот тип моментального снимка оказывает большее влияние на количество операций ввода-вывода в секунду и объем хранения, но обеспечивает еще большую избыточность. Система хранения может хранить полный клон или клон в отдельной RAID-группе, отличной от исходных данных, поэтому система хранения НРЕ может выдерживать сбои большего количества дисков, сохраняя при этом либо рабочий том, либо его клон/clone в другом месте, предоставляя полную независимую копию данных, которую ИТ специалисты могут использовать в дальнейшем, например, различных тестовых средах.

Таким образом, снимки/snapshots систем хранения предоставляют копию данных на определенный момент времени, что помогает ИТ специалистам восстановиться после ошибок пользователей и повреждения файлов. Снимки не требуют больших затрат, поэтому их могут делать часто, что является отличным средством снижения RPO и краткосрочного хранения. Однако сами по себе снимки не могут защитить от всех форм потери данных. Снимки хранятся в основной системе хранения, поэтому, если что-то случится с этой системой, данные будут потеряны. Та же проблема актуальна и для стихийных бедствий в масштабах всего объекта. Также снимки могут обеспечить восстановление после программ-вымогателей, если данная программа обнаружена быстро.

Вторая резервная копия, репликация

Все системы хранения HPE поддерживают репликацию, при которой первичная система хранения (source) реплицирует все данные тома во вторичную систему хранения (target). Это может быть второй резервной копией. Главное правило, что бы вторичная система хранения была того же семейства, что и первичная. Так в системах HPE Primera, HPE Alletra 9000 и HPE 3PAR эта технология называется Remote Copy, в системах хранения Alletra 5000/6000- Peer Persistence, иногда ее называют Remote Copy, в системах хранения HPE MSA- Remote Snap, а в системах хранения HPE XP8- Business Copy.

Существует 2 основных вида репликаций синхронная и асинхронная и подмножество других, которые основываются на двух вышеизложенных (асинхронная потоковая передача, асинхронная периодическая, синхронная на большие расстояния и другие). При синхронной репликации первичная система хранения не подтверждает запись до тех пор, пока не получит подтверждение от вторичной системы. Другими словами, данные в первичной системе и во вторичной в томах гарантированно будут одинаковыми. Синхронная репликация обеспечивает значение RPO, которое всегда стремится к 0. Но эта форма репликации требует очень низкой задержки (порядка 5 мс) между системами хранения — в противном случае системы, выполняющие запись в том, «заметят» задержку. При асинхронной репликации первичная система получает и подтверждает записи на том как обычно. Она кэширует эти записи на период, например, пять минут, а затем отправляет записи во вторичную систему. Чтобы рассчитать RPO для этой репликации, нужно умножить период на два.

Третья резервная копия, специализированные хранилища

Далее будут рассмотрены специально созданные для резервного копирования устройства/решения от компании HPE-HPE StoreOnce. Портфолио HPE StoreOnce состоит из систем, специально созданных для предоставления дискового хранилища резервных копий. Поскольку они разработаны специально для сценариев резервного копирования, они предлагают оптимизированную поддержку и дополнительные функции (сжатие, репликация, шифрование и другие), особенно при использовании опции HPE StoreOnce Catalyst. В данных системах чем выше индекс модели, тем быстрее можно сделать резервную копию или восстановить данные и тем больше данных на нее можно сохранить. Отдельный вариант — это решение HPE StoreOnce VSA, которое представляет набор лицензий от 4ТБ до 500ТБ и которое можно развернуть на существующих или новых серверах, правда строго придерживаясь рекомендаций к выбору конфигураций серверов HPE.

ИТ специалисты могут использовать подключаемые модули HPE StoreOnce Catalyst для резервного копирования многих приложений непосредственно в хранилища HPE StoreOnce Catalyst. А кто еще эксплуатирует систему хранения HPE 3PAR или недавно была приобретена система хранения HPE Primera также могут использовать бесплатное решение HPE Recovery Manager Central (RMC) для резервного копирования снимков/snapshots данных систем в системы HPE StoreOnce. При этом данные будут консистентными/согласованные с их приложениями. Таким образом, системы хранения могут хранить самые последние снимки для быстрого восстановления (как выше отмечалось первая копия), но выгружать более старые снимки в HPE StoreOnce, чтобы освободить емкость (вторая или третья копии).

Большинство компаний уже давно используют стороннее программное обеспечение для резервного копирования, такое как Veeam, Commvault, Veritas, OpenText Data Protector и HPE StoreOnce может стать идеальным местом для резервного копирования отлично интегрируясь с данным перечнем ПО.

HPE StoreOnce использует дедупликацию данных, чтобы уменьшить объем хранимых данных в среде резервного копирования на целых 95% при этом решение обеспечивает одни из самых быстрых возможностей создания резервных копий и восстановления на рынке. Оно обладает уникальными функциями, такими как высокая доступность и масштабируемость для самых требовательных сред с высокими темпами роста данных. С помощью HPE StoreOnce можно повысить производительность и эффективность дедупликации для хранения таких приложений, как SAP HANA, Oracle и MS SQL и многих других.

Почему данную систему стоит обязательно использовать для резервного копирования и хранения резервных копий? Ответ прост: доступ к хранилищу HPE Catalyst (так называется место хранения HPE StoreOnce) осуществляется через набор команд API. То есть он недоступен вирусам! API напрямую интегрирован в клиентскую библиотеку HPE StoreOnce Catalyst агента резервного копирования. Эта библиотека использует собственный набор команд для отправки и получения данных из хранилища HPE Catalyst с использованием сеансов команд и данных. Эти сеансы команд и данных сравнимы с соединениями SMB (Samba) или NFS в традиционном хранилище данных с использованием NAS и аналогичных технологий. Однако хранилище HPE StoreOnce Catalyst не использует ту же методологию аутентификации и не использует типичные инструкции ОС. HPE StoreOnce Catalyst действует как своего рода демилитаризованная зона для вредоносного ПО.

Такое отделение от набора инструкций ОС изолирует и защищает хранилище HPE StoreOnce Catalyst от атак программ-вымогателей. Хост-системы (сервера с ПО РК) медиа агентов Catalyst по-прежнему уязвимы для атак без дальнейшего усиления защиты, а само вредоносное ПО потенциально может быть отправлено по сети в хранилище Catalyst. Однако само хранилище Catalyst полностью защищено от шифрования вредоносного ПО благодаря отделению от любых используемых наборов команд, таких как Windows и Linux.

Сеансы команд и данных выполняются через стандартные соединения TCP/IP Ethernet или Fiber Channel (FC), в зависимости от модели HPE StoreOnce и адаптеров в них. В этих сеансах используются удаленные вызовы процедур (RPC) через API, что приводит к запуску подпрограмм в разных адресных пространствах памяти в каждой связанной системе.

Сегрегация памяти еще больше изолирует процесс, добавляя дополнительные защитные уровни между данными и вредоносным ПО, прежде чем оно попадет в хранилище HPE Catalyst. Таким образом, эта методология многоуровневой безопасности доходит до конечной точки. Это также способствует межплатформенному перемещению данных, когда наборы инструкций, вероятно, не совпадают (например, из Windows в Linux).

Весь обмен данными между сервером резервного копирования и хранилищем HPE StoreOnce Catalyst обрабатывается с использованием межпроцессорного взаимодействия (IPC) — механизма в контексте RPC. IPC обеспечивает связь между клиентом и сервером независимо от того, где физически расположены части (удаленно, в одной системе и т. д.). Эта связь не зависит от набора команд локальной операционной системы. Это защищает данные, а не устройство, и обеспечивает мобильность данных таким образом, чтобы данные были ближе к системам, в которых происходят вычисления, повышая эффективность и потенциально снижая затраты, одновременно устраняя риски.

Третья резервная копия, специализированные сервера

Компания HPE постоянно создает в своих лабораториях тестовые среды для сред резервного копирования, чтобы продемонстрировать возможности таких решений как Veeam, Commvault, OT Data Protector, Cohesity работающих на оборудовании HPE и задокументировав эти решения в эталонной архитектуре (Reference Architecture). Это часто помогает ИТ специалистам найти эффективную конфигурацию с минимальной настройкой. В данных документах также представлены лучшие практики. Как правило требование к таким серверам очень простые - необходимо в сервере иметь как можно больше посадочных мест для дисков и сами диски должны быть большого объема, т е десятки ТБ и иметь возможность использовать SSD диски часто большого объема. На приведенном ниже рисунке представлены наиболее интересные варианты, которые подходят под эти требования. Это не только стандартные сервера HPE ProLiant, а еще обновленная линейка серверов HPE Alletra 4000-й серии. Так сервер HPE Alletra 4140 может иметь до 92 дисков LFF (3,5’ дюйма), с объемом практически равным 2ПБ в одном корпусе!

Системы HPE Alletra 4000 — это идеальный вариант для ИТ персонала, которому требуется единое решение для инфраструктуры РК (самого сервера РК) и хранилищ резервных копий большого объема. Можно настроить конфигурацию для каждого сервера HPE Alletra, оптимизированного по плотности; например, использовать одну подобную систему в качестве сервера резервного копирования, а другую систему в качестве прокси-сервера (или Media Agent сервера) резервного копирования с локальным хранилищем резервных копий. По мере роста потребностей в хранении РК можно легко масштабировать данное решение. Это лишь один из примеров возможного использования данных серверов HPE.

Третья резервная копия, ленточные устройства

Несмотря на появление в последние годы множества новых технологий защиты данных, традиционные ленточные устройства на магнитной ленте по-прежнему предлагают ИТ отделам недорогое решение для долгосрочного хранения и рыночный спрос на подобные решения все еще существует. Компания НРЕ является мировым лидером в сегменте ленточных устройств (HPE StoreEver Tape) и поддерживают все новейшие ленточные технологии, включая Linear Tape-Open 9 (LTO-9). 

Модельный ряд HPE StoreEver очень разнообразен и подойдет для всех без исключения компаний больших и малых. Он начинается с устройств хранения на магнитной ленте от внутренних или внешних с одиночным приводом, автозагрузчиков и ленточных библиотек, которые вмещают более 25,2 ПБ в одной системе для сред среднего уровня и заканчивается устройствами до 6,45ЕБ (экзобайт) в одной системе для сред огромных предприятий!

Так же можно использовать устройства HPE StoreEver в качестве целевого продукта для предпочтительного для Вас программного обеспечения для резервного копирования. Например, программное обеспечение Veeam, Commvault, Data Protector поддерживают ленточные устройства HPE StoreEver в своих комплексных решениях. Единственное замечание-спрашивайте матрицы совместимости данных устройств с Вашим программным обеспечением для РК.

Вместе с данными устройствами компания НРЕ предлагает большое количество ПО для эффективного управления, мониторинга и настройки устройств, а некоторое из них даже улучшает проверку успешного восстановления критически важных бизнес-данных с редко используемых ленточных картриджей LTO, что ускоряет и упрощает управление, тонкую настройку и архивирование, а благодаря подробным отчетам о состоянии, производительности, использовании и состоянии всех ленточных накопителей и носителей вы обладаете полной информацией о хранении вашей информации на данных носителях.

Еще одним доказательством практического использования данных устройств во всем мире является тот факт, что в 2021 году было поставлено 148 экзабайт (ЕБ) общей емкости ленточных картриджей (в сжатом виде). При темпе роста в 40% такие высокие показатели поставок остаются после предыдущих рекордных 114 ЕБ емкости, отгруженных в 2019 году, и 105 ЕБ емкости, отгруженных в 2020 году (во время пандемии). Так же давно анонсирована и известна дорожная карта LTO устройств вплоть до 14 поколения.

Многие ИТ отделы выбирают своей целью шифрование резервных копий. HPE StoreEver поддерживает аппаратное шифрование данных (средние и старшие модели MSL), что исключает снижение производительности при сжатии или шифровании. Сжатие происходит перед шифрованием для достижения оптимальных результатов. При этом ключи шифрования предоставляются приложениями резервного копирования или устройствами управления ключами. Эту полностью автономная система шифрования может быть развернута без необходимости использования дополнительного сервера или устройства, дополнительного программного обеспечения или сложности полного решения KMIP. HPE — единственный поставщик, предлагающий эту простую и автономную альтернативу. А в 2017 году данному решению шифрования был присвоен уровень 1 по стандарту FIPS 140-2.

Резервная копия в облаках

Как отмечалось ранее хранение резервных копий за пределами офиса/сайта — это часть стратегии резервного копирования. Так же подробно описывалось устройство HPE StoreOnce. Но есть и продолжение этой архитектуры/решения-хранение резервных копий в облаке (в оптимальном сжатом виде), еще называемый HPE Cloud Bank Storage. Его можно развернуть для резервного копирования «с земли в облако» на удаленных площадках. Это также может устранить необходимость в резервной инфраструктуре во втором удаленном ЦОД (то есть один из вариантов решения). 

Решение HPE Cloud Bank Storage состоит из программного обеспечения для защиты данных, которое выполняет резервное копирование в локальный магазин Catalyst Store (на устройстве HPE StoreOnce), а затем копируется с помощью функции Catalyst Copy либо в магазин Catalyst Store, размещенный в StoreOnce, в другом месте (вторая площадка, площадка локального сервис провайдера, публичные облака Azure или AWS), либо в облачный магазин от самой компании HPE Cloud Bank Store.

Некоторые из его наиболее важных свойств HPE Cloud Bank Storage включают в себя:

  • Эффективность дедупликации HPE StoreOnce с экономической выгодой облачного хранилища.
  • Единую точку управления для контроля копирования с использованием существующего приложения резервного копирования.
  • Возможность выполнять восстановление из облака в любую систему HPE StoreOnce (HPE StoreOnce VSA), даже во вновь созданную после утраты основной.
  • Поддержку крупных поставщиков облачных услуг, а также поддерживается таким решением как Scality RING (в облаке, на другом сайте или размещенным у провайдеров).
  • Опцию Catalyst Copy интегрирующуюся с ПО РК ведущих поставщиков РК.

И второй вариант готового резервного копирования в облако может быть полезен, если Вы купили системы хранения HPE Alletra. В облачное управление последней встроен сервис HPE Backup and Recovery (BaR). HPE BaR — это решение резервного копирования AaS, созданное для гибридного облака. Он предназначен для защиты виртуальных машин VMware, экземпляров БД MS SQL (в виртуальной среде и «на голом железе»), томов Amazon Elastic Block Store (EBS) и экземпляров Amazon Elastic Compute Cloud (EC2) и этот список постоянно растет. Сервис HPE BaR, предоставляемый через платформу HPE GreenLake, позволяет ИТ персоналу защитить свои виртуальные машины, работающие в любом хранилище или ресурсе AWS, локально или в облаке, за несколько простых шагов и в течение нескольких минут, через уже известную консоль НРЕ GreenLake Data Services Cloud (DSCC). 

Фактически это облачная инновационная система управления резервным копированием и восстановлением виртуальных машин, которая защищает существующие данные, которые находятся локально в ЦОД (на земле). НРЕ BaR отделяет плоскость управления инфраструктурой от базового оборудования и перемещает ее в облако; позволяя ИТ специалистам глобально отслеживать и управлять операциями гибридного резервного копирования и восстановления с единой облачной консоли. Облачная плоскость управления автономно масштабируется вместе с инфраструктурой компании, где бы она ни находилась, поэтому управлять сотнями таких систем в разных регионах так же просто, как управлять одной. Этот сервис отдельно оплачивается по подписке (по мере использования).

Пример использования

Теперь вы понимаете, как используя HPE StoreOnce, а также другое оборудование от компании НРЕ, может помочь ИТ отделам реализовать правило 3-2-1-1-0. Используя репликацию Catalyst, ИТ специалисты могут создавать несколько резервных копий, хранящихся в разных локальных хранилищах и в облаке. Они также могут сделать хранилища Catalyst неизменяемыми, чтобы соответствовать требованиям как минимум для одной неизменяемой копии.

Таким образом, купленные системы хранения НРЕ позволяют быстро создавать резервные копии и выполнять восстановление для поддержания оптимальной производительности работы пользователей или сервисов компании, а облачное хранилище обеспечивает масштабируемость и более низкие затраты на долгосрочное хранение и архивирование ваших резервных данных.

Автор статьи - Михаил Федосеев, архитектор инфраструктурных решений Lantec.