Springe zum Hauptinhalt
Universitätsrechenzentrum
Datensicherung
Universitätsrechenzentrum 

Datensicherung über Bareos

Technologie

BAREOS ist eine freie Client-Server-Backup-Software, die der AGPLv3-Lizenz unterliegt. Sie ist in der Lage, Datensicherungen auf allen gängigen Betriebssystemen duchzuführen, diese zu archivieren und wiederherzustellen. Bevor es zu einer Datenübertragung auf den zentralen Backup-Server kommt, kann auf dem Klienten eine Verschlüsselung konfiguriert werden, welche nur mit dem richtigen privaten Schlüssel und Zertifikat wieder entschlüsselt werden kann. So ist sichergestellt, dass weder der Backup-Server selbst noch Dritte zu irgendeinem Zeitpunkt Zugriff auf unverschlüsselte Inhalte haben.

Informationen zu BAREOS sind u. a. bei Wikipedia zu finden.

Das URZ der TU Chemnitz unterstützt die Sicherung von Daten mittels BAREOS, die sich auf einem Server einer Fakultät oder Einrichtung der TU Chemnitz befinden. Die Daten werden zu einer definierten Zeit und mit definiertem Intervall auf einen Backup-Server im URZ übertragen und können jederzeit wiederhergestellt werden.

Voraussetzungen

Für die Nutzung dieser Technologie sind folgende Voraussetzungen auf einem zu sichernden System notwendig:

  • BAREOS-Software muss installiert sein
  • Anpassung der Firewall-Regeln für eingehenden Zugriff auf Port 9102 vom URZ Backup-Server
  • lokal erzeugtes Zertifikat sowie privater Schlüssel zur Backup-Verschlüsselung

Einschränkungen

Für die Speicherung der Daten auf Backup-Servern des URZ gelten folgende Einschränkungen:

  • Trotz konfigurierter Backup-Verschlüsselung, verschlüsselt BAREOS keine(!) Metadaten wie Datei-/Pfadnamen, Berechtigungen, Eigentümer und erweiterte Attribute. Mac OS X-Ressourcengabeln sind jedoch verschlüsselt.
  • Backup-Klienten sollten keine Arbeitsplatzsysteme sein.
  • Backup-Klienten müssen zur definierten Sicherungszeit erreichbar sein.
  • Wird die gesetzte Quota zur Datensicherung erreicht, werden automatisch keine neue Sicherungen angelegt.

Entgelt

BAREOS-Backup-Aufträge gehören zu den abrechenbaren Speicherdiensten und sind innerhalb des Freikontingentes entgeltfrei. Wird durch die Nutzung dieses Freikontingent überschritten, so entstehen zusätzliche Entgelte, welche auf der Webseite der Speicherdienste aufgeschlüsselt sind.

Erläuterung:

Der Speicherbedarf für die Sicherung wird bei der Beantragung des BAREOS-Auftrags durch den Kunden grob kalkuliert. Die Kalkulation umfasst, je nach Backup-Methode (dazu mehr unter Backup-Methode & Aufbewahrungsfristen), die gesamte Speicherbelegung zum jeweiligen Auftrag auf dem zentralen Datensicherungssystem. Die festgesetzte Backup-Quota fließt in das Freikontingent der jeweiligen Struktur ein. Es besteht immer die Möglichkeit, den Speicherbedarf des jeweiligen BAREOS-Auftrags anzupassen/zu vergrößern.

Ablauf der Datensicherung

  • Der Backup-Server reiht den Auftrag zur Datensicherung zur definierten Zeit in eine Warteschlange ein. Wenn zu dieser Zeit nicht bereits schon eine Maximalanzahl aktiver Datensicherung ausgeführt werden, wird der Auftrag direkt gestartet und die Verbindung zum Klienten über Port 9102 aufgebaut.
  • Es erfolgt eine Authentifizierung über das 'Secret', welches bei der Einrichtung der Datensicherung ausgetauscht wurde.
  • Der BAREOS-Client stellt dann die bereits verschlüsselten Daten – wenn die Verschlüsselung konfiguriert ist – zur Übertragung bereit (mit Übertragungsschutz über TLS).
  • Intern werden die Daten in sogenannten Pools abgelegt, versioniert und je nach definierten Aufbewahrungszeiten vorgehalten.
  • Nach jeder ausgeführten Datensicherung wird den Verantwortlichen der BAREOS-Datensicherung-Ressource eine E-Mail mit dem Protokoll übermittelt. Ggf. sind darin auch Fehler und/oder Warnungen enthalten, welche geprüft werden sollten. Der E-Mail-Report ist englisch und hat einen technischen Aufbau, bei Problemen oder Unklarheiten helfen wir gern.

Backup-Methode & Aufbewahrungsfristen

Die Menge der aufbewahrten Daten kann konfiguriert werden. Es folgende Sicherungsstände zur Auswahl angeboten:

Klassisch (Full / Differential / Incremental):
  • 7 täglich, 4 wöchentlich, 1 monatlich
  • 7 täglich, 4 wöchentlich, 6 monatlich
  • 30 täglich, 12 wöchentlich, 6 monatlich
Inkremenell (Virtual Full + Incremental):
  • 30 Tage (inkrementell)
  • 90 Tage (inkrementell)
  • 180 Tage (inkrementell)

Hinweise und technische Unterschiede:

Die klassische Methode erzeugt jeden Monat eine Voll-Sicherung, jeden Sonntag eine differenzielle und jeden Tag von Montag bis Samstag eine inkrementelle Datensicherung. Dabei fällt die Voll-Sicherung in Bezug auf die Speicherbelegung stark ins Gewicht und muss je nach Anzahl der aufzubewahrenden Monate mit einem vollen Faktor in Quota eingerechnet werden.

Die inkrementelle Methode hingegen erzeugt nur inital eine Voll-Sicherung und legt jeden Tag eine inkrementelle Sicherung an. Nach dem Ablauf eines festgelegten Schwellwerts (30/90/180 Tage), werden alle älteren Stände mit Hilfe einer virtuellen Voll-Sicherung zusammengefasst. Dieses Verfahren erzeugt zwar auf dem Backup-System eine deutlich höhere Festplattenlast, bietet aber die geringste Quota-Belegung, da nicht mehrere Voll-Sicherungen erzeugt werden.

Zugriff auf gesicherte Daten

Der Backup-Server stellt den gesicherten Datenbestand im Standardfall nur dem System bereit, welches auch zur Datensicherung genutzt wurde. Ist durch einen Komplettausfall dieses System nicht mehr für Datenwiederherstellung verfügbar, kann auf Rücksprache per Ticket an den URZ-Support gemeinsam eine Lösung gefunden werden. Wichtig dabei ist, dass zur Datenwiederherstellung bei gesetzter Verschlüsslung der private Schlüssel sowie das Zertifikat vorhanden sind - andernfalls ist keine Entschlüsselung der Daten mehr möglich.