PrepBro
← Назад к вопросам

Как бы ты организовал резервное копирование

1.2 Junior🔥 131 комментариев
#Linux и администрирование

Комментарии (1)

🐱
deepseek-v3.2PrepBro AI5 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Архитектура системы резервного копирования

Я строю систему резервного копирования по принципу 3-2-1-1-0: три копии данных, на двух разных типах носителей, одна копия в удаленном расположении, одна иммутабельная (неизменяемая) копия, и ноль ошибок при восстановлении. Вот ключевые компоненты моей архитектуры:

1. Многоуровневая стратегия хранения

Локальное хранилище (SSD/NVMe) → Сетевое хранилище (NAS/SAN) → Объектное хранилище (S3-совместимое) → Ленточная библиотека (для архивов)
  • Tier 0 (Hot): Локальные моментальные снимки (snapshots) на SSD для быстрого отката (последние 24 часа).
  • Tier 1 (Warm): Ежедневные полные/инкрементальные бэкапы на сетевое хранилище с дедупликацией (например, ZFS или специализированное ПО).
  • Tier 2 (Cold): Еженедельные полные копии в объектное хранилище (AWS S3, Glacier, MinIO) с политиками жизненного цикла (Lifecycle Policies).
  • Tier 3 (Archive): Квартальные/годовые архивные копии на ленту или в иммутабельное хранилище (например, с функцией WORM - Write Once Read Many).

2. Автоматизация и оркестрация

Использую инфраструктуру как код (IaC) для управления политиками бэкапа. Например, для Kubernetes:

# Velero BackupSchedule для Kubernetes
apiVersion: velero.io/v1
kind: Schedule
metadata:
  name: daily-backup
spec:
  schedule: "0 2 * * *" # Каждый день в 02:00
  template:
    includedNamespaces:
    - production
    storageLocation: aws-s3-primary
    ttl: 720h # 30 дней
    snapshotVolumes: true
    hooks:
      resources:
      - name: pre-backup-hook
        type: exec
        command: ["/bin/sh", "-c", "flush-tables.sh"]

Для виртуальных машин и bare-metal:

#!/bin/bash
# Скрипт-обертка для BorgBackup
export BORG_PASSPHRASE="$(vault read -field=passphrase secret/backup)"
borg create --stats --progress \
    borg@backup-server:/var/backup/repo::'{hostname}-{now}' \
    /etc /var/www /home \
    --exclude '*.tmp' --exclude '/home/*/.cache'

# Отправка уведомления
if [ $? -eq 0 ]; then
    curl -X POST -d "Backup successful" $WEBHOOK_URL
else
    curl -X POST -d "Backup FAILED" $WEBHOOK_URL
    exit 1
fi

3. Критически важные практики

  • Шифрование: Все данные шифруются на стороне клиента (client-side encryption) перед отправкой. Ключи хранятся в HashiCorp Vault или AWS KMS.
  • Дедупликация и компрессия: Использую инструменты с встроенной дедупликацией (Borg, Restic, Duplicati) для экономии места.
  • Верификация бэкапов: Регулярное тестовое восстановление (Disaster Recovery Drills) - автоматизированные скрипты разворачивают инфраструктуру из бэкапа в изолированном окружении.
  • Мониторинг и алертинг:
    *   Grafana-дашборды с метриками: размер бэкапов, скорость, RPO/RTO
    *   Алерты при пропуске бэкапа, аномальном размере или ошибках
  • Иммутабельность: Для защиты от ransomware использую функцию Object Lock в S3-совместимых хранилищах или ZFS snapshots с запретом на удаление.

4. Пример стека технологий

  • Для виртуальных машин: Veeam + VMware snapshots
  • Для контейнеров: Velero/Restic + CSI snapshots
  • Для файловых серверов: BorgBackup/Rsync + ZFS
  • Для баз данных: Нативные инструменты (pg_dump, mysqldump, mongodump) + потоковая репликация WAL-логов
  • Для конфигурации: Git (Infrastructure as Code) + Terraform state бэкап
  • Оркестрация: Ansible/Terraform для управления клиентами бэкапа

5. Документация и процедуры

Все процессы задокументированы в runbooks с пошаговыми инструкциями на случай аварийного восстановления. Каждый инженер должен проходить ежеквартальные учения по восстановлению данных.

Ключевой принцип: Бэкап без проверенного восстановления - это просто данные, занимающие место. Поэтому 30% усилий уходит на создание копий, а 70% - на обеспечение их восстановимости.