Резервное копирование и аварийное восстановление
Резервное копирование для аварийного восстановления — ZFS send/receive. Теория.
BastilleBSD создаёт свои наборы данных и монтирует их в /usr/local/bastille. Здесь нет баз данных, все конфигурации jail находятся внутри этой точки монтирования, поэтому довольно легко сделать резервную копию и восстановить все jail или любой отдельный jail за один раз. Более того, подход "всё в jail" упрощает процесс восстановления, поскольку вам не нужно восстанавливать всю ОС хоста, просто установите пустой сервер FreeBSD, установите BastilleBSD и восстановите jail. Или добавьте jail в уже существующие системы FreeBSD.
Обычно мы используем серверы резервного копирования FreeBSD (или Linux с ZFS), хорошо защищённые и зашифрованные при хранении. Для подхода ZFS send/receive наши серверы НЕ доступны извне. Мы можем подключиться к ним по ssh только с помощью VPN — они слишком ценны, чтобы их можно было открыть в World Wild Web — или, если это крайне необходимо, мы открываем ssh только с помощью ключей, без паролей. Мы выполняем резервное копирование, используя стратегию вытягивания: сервер резервного копирования подключается к рабочим серверам, получает данные, отключается. У рабочих серверов НЕТ ДОСТУПА к основному резервному серверу. Если они когда-либо будут серьезно скомпрометированы, резервная копия будет в безопасности.
Существует множество инструментов, которые могут помочь настроить такой вид конфигурации. Я попробовал многие из них и обнаружил, что все они имеют как хорошие, так и плохие стороны. Я решил использовать для наших серверов zfs-autobackup. Он прост в использовании, всё можно настроить через командную строку и имеет хороший вывод cron (или Jenkins), полезный для понимания, всё ли правильно.
Продолжение следует...
Перевод с некоторыми авторскими заголовками. Автор оригинала: Stefano Marinelli.
