Portal

Data protection

About data protection

Datensicherung ist ein Dienst, der zum Sichern und Wiederherstellen der Instanzdaten entwickelt wurde, indem er regelmäßig Backups erstellt und diese im Backup-Speicher ablegt. Im Gegensatz zu Schutz der Infrastruktur basiert dieser Dienst auf einem Agenten. Der Agent ist eine in der Instanz installierte Komponente, die Instanzdaten lesen und streamen kann, die in einer Backup gespeichert werden sollen. Der Agent kann zudem Operationen zur Wiederherstellung von Daten ausführen.

Der Dienst unterstützt eine Reihe von Backup-Datentypen und -methoden sowie die Möglichkeit, die Datensicherung über CLI/API und über die Portal-Benutzeroberfläche zu verwalten. Derzeit unterstützt die Benutzeroberfläche des Portals nur die Sicherung von Dateien. Um andere Daten (z. B. Datenbanken oder Anwendungsdaten) zu sichern, müssen sie möglicherweise zuerst in ein Dateiformat konvertiert werden (z. B. durch Erstellen eines lokalen Backups), bevor diese in ein Datenschutz-Backup aufgenommen werden können. Alternativ kann der CLI/API Dienst eingesetzt werden (siehe Abschnitt unten).

Architektur und Anforderungen der Datensicherung

Service-Komponenten

Der Dienst besteht aus folgenden Komponenten:

  • Freezer-Agent wird auf jeder Instanz installiert, die mit dem Datensicherungs-Dienst interagieren muss. Diese Komponente ist für die Durchführung der eigentlichen Backup- und Wiederherstellungsaufgaben verantwortlich.
  • Freezer-Scheduler wird auch zusammen mit Freezer-Agent installiert. Diese Komponente ist für das Abrufen und Verwalten von Datensicherungs-Aufgaben vom Datensicherungs-dienst sowie für die Interaktion mit dem Freezer-Agent verantwortlich.
  • Datensicherungs-Dienst-API und andere API-Endpunkte werden vom Freezer-Agent und Freezer-Scheduler verwendet, um Aufgaben auszuführen, die von den externen Komponenten und Diensten abhängen. Beispielsweise Backup und Wiederherstellung auf Hypervisor-/Volume-Ebene, Backup-Speicher, usw.

Der Freezer-Scheduler wird als Systemdienst auf der Instanz ausgeführt, auf der er installiert ist. Sie können den Status des Dienstes in Ihren Instanzen überprüfen, indem Sie folgende Befehle ausführen:

Linux:

systemctl status freezer-scheduler

Windows:

nssm status FreezerScheduler

Datensicherung Zugangsdaten

Die Instanzkomponenten interagieren mit den Plattform-API-Diensten und jenen Diensten, die eine Authentifizierung erfordern. Infolgedessen speichern die Instanzen, auf denen Datensicherungs-Software installiert ist, auch Authentifizierungsdaten in den Konfigurationsdateien – '/etc/freezer/env.rc' unter Linux und 'C:\freezer\env.bat' unter Windows.

Die richtigen Zugangsdaten werden automatisch von der Plattform bei der Bereitstellung des Datensicherungs-Agenten bereitgestellt. Normalerweise müssen Sie diese Zugangsdaten nicht manuell verwalten. Falls Sie jedoch die Zugangsdaten aktualisieren (siehe Zugangsdaten aktualisieren ), müssen Sie die in den vorhandenen Instanzen gespeicherten Zugangsdaten ändern (neu erstellte Instanzen erhalten die bereits die aktualisieren Zugangsdaten).

Networking requirements

Jeder Datensicherungs-Task wird aus der Instanz heraus initiiert. Selbst wenn der Task außerhalb der Instanz erstellt wird (wie ein vom Portal erstellter Backup- oder Wiederherstellungstask), wird der eigentliche Task innerhalb der Instanz ausgeführt, nachdem der Freezer-Agent die Details des Tasks aus der Datenschutz-API abgerufen hat.

Das bedeutet, dass Datensicherungs-Software keine eingehenden Netzwerkverbindungen und keine eingehenden Ports benötigt, die in den Sicherheitsgruppen zu öffnen wären, damit der Datensicherungs-Agent funktioniert. Es müssen jedoch ausgehende Verbindungen zu den API-Endpunkten der Plattform zugelassen sein (eine Liste der IPs und Ports finden Sie im Abschnitt „API-Dokumente“ des Portals).

In der Regel lassen Sicherheitsgruppen (einschließlich der für jedes neue Konto erstellten Standardsicherheitsgruppe) ausgehende Verbindungen ohne Einschränkungen zu. Wenn Sie dies jedoch ändern und die Datensicherungssoftware weiterhin eingesetzt werden soll, stellen Sie sicher, dass Sie diese Ausnahmen zu Ihren Sicherheitsgruppenregeln hinzufügen und ausgehende Verbindungen zu den IP-Adressen und den Ports der API-Endpunkte des Portals zulassen (zu finden unter „API docs" -> Abschnitt "API"-Endpunkte").

Managing data protection

Creating and managing data protection plans via Portal

Um eine regelmäßigen Sicherungstask zu erstellen, müssen Sie einen Sicherungsplan erstellen. Ein Sicherungsplan beinhaltet:

  • Liste der durch den Plan gesicherten Ressourcen (Dateien).
  • Liste der im Plan enthaltenen Instanzen. Es gilt der gleiche Satz an zu sichernden Dateien
  • Sicherungsplan (Intervall).
  • Sicherungsziel (Name des Object Storage Containers).

Gehen Sie wie folgt vor, um einen neuen Sicherungsplan zu erstellen:

  • Stellen Sie sicher, dass Sie eine Instanz mit installiertem Datensicherungs-Agenten haben. Sie können einen solchen Agenten bei der Instanz-Erstellung installieren, indem Sie das Kontrollkästchen „Datensicherungs-Software installieren“ auf der Seite zur Instanz-Erstellung aktivieren.
  • Navigieren Sie in der linken Navigationsleiste zu "Datensicherung -> Pläne".
  • Klicken Sie auf die Schaltfläche "Einen Plan erstellen".
  • Geben Sie Parameter des Plans an - Name, Intervall, Backup-Ziel (Standardoptionen erstellen einen Container im Object Storage).
  • Geben Sie an, welche Dateien oder Ordner Sie in den Sicherungsplan aufnehmen möchten.
  • Geben Sie an, für welche Instanzen der Plan gilt.

Nur die Instanzen mit installiertem Datensicherungs-Agenten werden in der Liste angezeigt. Den Status des Datensicherungs-Agenten können Sie auf der Instanz-Verwaltungsseite - "Details" -> Abschnitt "Hardware und Software" -> "Status des Datensicherungs-Agenten" einsehen.

Data restores

Um eine Datenwiederherstellung einzuleiten, navigieren Sie zunächst zum gewünschten Backup (über „Datensicherung“ -> „Backups“). Wählen Sie dann das Backup-Aktionsmenü und wählen Sie „Wiederherstellen“. Wählen Sie dann die Zielinstanz aus (auf ihr muss der Datensicherungs-Agent installiert sein) und geben Sie den Zielordner an (der vor der Wiederherstellung leer sein muss) und klicken Sie auf „Wiederherstellen“.

Sobald der Task von der Plattform aufgenommen wurde, finden Sie diesen im Aktionsmenü „Wiederherstellungen anzeigen“. Um den tatsächlichen Wiederherstellungsstatus anzuzeigen, melden Sie sich bei der Instanz an und überprüfen Sie die Protokolle des Datensicherungs-Agenten (/var/log/freezer-agent.log unter Linux, C:\freezer\freezer.log unter Windows).

Zugangsdaten aktualisieren

Zugangsdaten für die Datensicherung sind individuell für Ihr Kunden-Konto und werden in jeder Instanz gespeichert, auf der die Datensicherung installiert ist. Sie sind separat verwaltet und weniger restriktiv als Ihre normalen Zugangsdaten für Ihr Konto. Normalerweise müssen Sie diese Zugangsdaten nicht ändern. Wenn Sie jedoch vermuten, dass diese Zugangsdaten kompromittiert sind, und sie diese aktualisieren möchten, können Sie Folgendes tun:

  • In the Portal navigation bar, go to the "Data protection" -> "Plans".
  • Click "View credentials" button on top of the page.
  • Click "Regenerate" button and confirm.

Mehrere Projekte und Projekteinladungsunterstützung

Wie bereits erwähnt, sind Datenschutzanmeldeinformationen für Ihr Konto individuell. Aus diesem Grund werden für alle dieselben Anmeldeinformationen verwendetIhrer Projekte. Wenn Sie mehrere Projekte haben und Datenschutz-Anmeldeinformationen erstellen, werden diese Anmeldeinformationen in all Ihren Projekten gespeichert. Wenn Sie jedoch nach dem Erstellen der Anmeldeinformationen ein neues Projekt erstellen, müssen Sie die Anmeldeinformationen für dieses Projekt erneut aktualisieren. Keine Sorge, dadurch werden keine neuen Anmeldeinformationen erstellt, sondern die Anmeldeinformationen von den anderen Projekten abgerufen, sodass alle Projekte die gleichen Anmeldeinformationen haben. Um dies in einem neuen Projekt zu tun, gehen Sie folgendermaßen vor:

  • In the Portal navigation bar, go to the "Data protection" -> "Plans".
  • Click "View credentials" button on top of the page.
  • Click "Generate credentials" button and confirm.

Bei Projekteinladung dürfen nur Rollen mit Datenschutz die Daten nutzen Schutzfunktion. Allerdings können selbst Rollen mit dieser Funktion nicht um Ihre Datenschutz-Anmeldeinformationen anzuzeigen oder zu generieren. Wenn sie verwenden möchten Datenschutzfunktionen, aber das Projekt, zu dem sie eingeladen werden, nicht Aktivierter Gefrierschrank (durch Generieren der Anmeldeinformationen) müssen sie fragen: Projektbesitzer, um die Anmeldeinformationen zu generieren, damit sie das Gefrierfunktion.

Erweiterte Nutzung (CLI)

Die Portal-Benutzeroberfläche implementiert nur eine begrenzte Anzahl von Szenarien, die von der Software des Datensicherungs-Agenten unterstützt werden, nämlich:

  • Nur Sicherung von Dateien.
  • Keine Verwendung von Dateisystem-Snapshots (solche Backups können für Datenbanken ungeeignet sein).
  • Begrenzte Planeroptionen.
  • Als Sicherungsziel wird nur Object Storage unterstützt.

Sie können erweiterte Konfigurationen erstellen, die besser für Ihre Anwendungen geeignet sind, indem Sie Befehlszeilentools direkt in den Instanzen nutzen, in denen sie installiert sind. Einzelheiten zur Verwendung finden Sie in der von der Community unterstützten Dokumentation unter https://docs.openstack.org/freezer/latest/user/index.html