Auf der Suche nach einer "simplen" Backupstrategie - leicht verwirrt!?

[voodoopupp]

Hallo,

aktuell bin ich auf der Suche nach einer sinnvollen Backupstrategie, die ich für unser kleines Büro einrichten möchte (aktuell 4 Mitarbeiter bzw. kleiner Familienbetrieb ). Dabei bin ich über einige Dinge hier gestolpert, die mir noch nicht so ganz klar sind bzw. ich nicht sicher bin, wie ich eine sinnvolle und sichere Backupstrategie fahren kann. Da wir nur ein kleines Team sind und jeder genügend Aufgaben hat, ist hier niemand rundum mit dem Thema Datensicherheit betraut bzw. muss das eben nebenher gemacht werden....Primär werden unsere Synologys nur für die Datenablage von Bildern, Logos, Angebotserstellungen, Rechnungen, etc verwendet. Die Synos müssen hier also keine Rechenleistung bieten.

---

Aktuell haben wir unsere betagte DS209 durch eine DS216+II ersetzt. Die Backups laufen sporadisch auf eine externe Festplatte, die zum Backup angeschlossen wird.
Grundsätzliche Gedanken wären wie folgt, jedoch fehlt mir da noch das Konzept, so dass es auch sicher und gut funktioniert:

• im ersten Schritt würden wir gerne unser altes NAS (DS209) im Keller aufstellen und in den Backup-Ablauf mit einbringen - hier sollte wenn möglich ein automatisches Backup laufen
• im zweiten Schritt sollten die Daten dann extern auf ein weiteres Synology NAS übers Internet gespeichert werden (diese wäre jedoch meine eigene privat genutzte DS zu Hause)
• eine weitere DS in einem weiteren Haus wäre dann auch noch denkbar.
• schlußendlich sollte dann natürlich auch immer mal wieder ein manuelles Backup auf eine externe HDD durchgeführt werden
  

---

Nun habe ich jedoch ein paar Fragen, und hoffe ein wenig mehr Licht ins Dunkel zu bringen und schlußendlich auf einen "grünen Zweig" zu kommen:

1. Immer wieder habe ich hier von versioniertem Backups gelesen. Hier bin ich nicht ganz sicher, wie das abläuft:
wir haben hier zig-tausend Dateien, wobei hier nur ein ganz kleiner Teil immer wieder bearbeitet wird. Die meisten Dateien sind "statisch" und werden auf dem NAS gespeichert (z.B. Herstellerbilder, Preislisten...)
Wie läuft nun also ein versioniertes Backup ab? Werden hierbei nur neue und geänderte Dateien in ein versioniertes Backup aufgenommen oder wird jedesmal der komplette Inhalt gespeichert?
Also was passiert, wenn z.B. die gesamten Daten 500 GB umfassen und jeden Tag ein paar hundert MB hinzukommen und z.B. 10 Dateien geändert werden?
Wird dann bei jeder Versionierung wieder 500 GB gespeichert oder eben "nur" die paar hundert MB + geänderte Dateien?

2. Ransomware: bin nun auch schon über dieses Thema gestolpert und dabei ist mir klar geworden, dass wir hier bisher noch keinen Schutz haben. Dabei stellt sich mir die Frage, ob wir das zumindest schonmal etwas abfangen könnten, indem wir unsere DS209 in den Backup-Prozess einbinden würden. Die DS209 könnte bei Bedarf auch gegen eine neuere ausgetauscht werden.

3. Da quasi jede DS an den unterschiedlichen Standorten auch dort genutzt wird, stellt sich mir die Frage, ob hier dann Viren und Ransomware-Befall "Haus und Hof" geöffnet wird, denn vor Ort sind die DS natürlich als Netzlaufwerke eingebunden. Könnte man hierbei über Benutzerrollen und bestimmte freigegebene Ordnerstrukturen etwas erreichen bzw so einstellen, dass es eben "versteckte" Ordner gibt, die nicht angreifbar wären?

4. eine Spiegelung der drei DS untereinander wäre dann auch noch in der Überlegung, denn dann wären ebenso private Daten an unterschiedlichen Orten gewährleistet.

---

Sorry, dass das hier alles ein wenig durcheinander ist, aber wir stehen hier noch ganz am Anfang, aber jetzt wird es wirklich mal Zeit, sich über eine sinnvolle, tragbare Backup-Lösung Gedanken zu machen und diese schnellstmöglich umzusetzen.


Ich bedanke mich schonmal vorab für eure Antworten

Grüße
Voodoopupp

 

[dil88]

Zu 1. Das hängt sicherlich auch von der technischen Umsetzung an. Nur als Beispiels Time Backup, was in DSM 6.1 nicht mehr unterstützt wird: Dort werden neue und geänderte Daten in ein neues Verzeichnis kopiert, die gleichbleibenden Dateien über einen Hardlink mit den Daten in den bisherigen Backupverzeichnissen (Versionen) verknüpft. Diese Hardlinks belegen so gut wie keinen Plattenplatz, stellen die Daten aber nach außen fast genauso dar, wie eine Kopie.

Zu 2. Gegen Ransomware hilft kein nicht versioniertes, vergleichsweise oft laufendes Backup. Insofern hilft eine Backup-DS da nicht, wenn das Konzept nicht diesen Punkten Rechnung trägt. Helfen würde aber ein manuelles Backup nach vorherigem Trockenlauf, Logfile- und ggfs. Datenanalyse.

Zu 3. Richtig, Du müsstest dafür sorgen, dass die Backupverzeichnisse nicht mit den Accounts als Netzlaufwerk verbunden werden können, die in den Rechnern eingerichtet sind.

 

[voodoopupp]

Hallo,

erstmal danke für deine Antwort.

zu 1) nun ja, eigentlich dachte ich daran, die Bordmittel zu nutzen. Hier würde aktuell unter DSM 6.1 das Hyper Backup zur Verfügung stehen - allerdings kann ich das nicht auf der DS209 laufen lassen. Aber zumindest sollte die Versionierung dann vom Platz machbar sein.

zu 2) Wie gesagt, geplant ist ja ein versioniertes Backup. Das sollte also zumindest schonmal etwas besser helfen, korrekt? Wenn die zweite Backup-DS nur im Netzwerk hängt und dann so eingerichtet wird, dass kein Zugriff stattfinden kann, außer durch das Backup und einen entsprechenden Nutzer!?
Bezüglich deines manuelles Backups inkl. Trockenlauf, Logfile- und ggfs. Datenanalyse müsste ich mich nochmals schlauer lesen, wie genau das von statten gehen soll. Alternativ bzw. optional ja, aber dennoch muss es auch eine Art automatisiertes Backup geben...

zu 3) Verstehe ich das richtig: wenn ich nun also quasi jede DS "teile", so dass auf jeder DS dann ein "versteckter" Backup-Ordner vorhanden ist, dann könnte ich auch einigermaßen sicher die Synologys untereinander sichern? Oder ist das eine weitere Anfälligkeit, um eventuelle Schadsoftware weiter zu verbreiten?


Grüße
Voodoopupp

 

[dil88]

Ich persönlich würde und werde Ultimate Backup vorziehen - insbesondere mit einer DS209, aber das versionierte HyperBackup ist sicherlich auch nicht schlecht, wenn man eine ausreichend starke DS und ein zweites Backup hat, das die Daten ins Filesystem schreibt.

Zu 3. Wenn Du das in der Form sauber konfiguriert bekommst, dann sollte es ausreichend sicher sein.

 

[Tommes]

Ich persönlich würde und werde Ultimate Backup vorziehen - insbesondere mit einer DS209...

Wobei zu prüfen wäre ob die DS209, auf der sich ja scheinbar DSM 4.2 befindet, mit Ultimate Backup harmoniert. Vor allem den SSH-Zugang müsste man wohl zu Fuß auf der Konsole einrichten und das ist nicht jedermanns Sache.

Tommes

 

[dil88]

Richtig. Ohne ssh im LAN geht nicht?

 

[voodoopupp]

Also die DS209 kann auch ersetzt werden, wenn das die Sache vereinfachen würde - ist es überhaupt notwendig, dass die "Keller-DS" ebenfalls ein RAID ist, oder ist hier eine 1-Slot-Version ausreichend, sofern dann noch extern auf andere örtlich getrennte DSen gesichert wird bzw. ebenfall noch auf sporadisch auf eine externe HDD?

Durch ein 2-Bay NAS hätte ich ja theoretisch noch eine Spiegelung, so dass ebenso noch der Ausfall einer Backup-Platte verschmerzbar wäre. Oder ist das unnötig?


Aber wichtig wäre es, dass die Backup-Stategie auch berücksichtigen kann, dass auf örtlich entfernte DSen gebackupt werden kann.

Und dann stellt sich mir die große Frage: wenn ein Backup wiederhergestellt werden muss (aus welchem Grund auch immer), wie einfach funktioniert das? Brauche ich da technische Kenntnisse, oder könnte das auch ein DAU,der mit der Materie kaum bis wenig Ahnung hat? Man muss ja auch mal vom Worst Case ausgehen, dass ich bsp. gegen den Baum fahre....wie kommen die anderen dann an die Backups?

Grüße
Voodoopupp

 

[TeXniXo]

Also die DS209 kann auch ersetzt werden, wenn das die Sache vereinfachen würde - ist es überhaupt notwendig, dass die "Keller-DS" ebenfalls ein RAID ist, oder ist hier eine 1-Slot-Version ausreichend, sofern dann noch extern auf andere örtlich getrennte DSen gesichert wird bzw. ebenfall noch auf sporadisch auf eine externe HDD?

Durch ein 2-Bay NAS hätte ich ja theoretisch noch eine Spiegelung, so dass ebenso noch der Ausfall einer Backup-Platte verschmerzbar wäre. Oder ist das unnötig?

Das ist auch meine Sicht, deshalb hat meine Backup DS kein RAID. Wenn die Platte ausfallen sollte, ist es leicht verschmerzbar, da die DSM-Installation und HyperBackup Vault kaum Aufwand kostet. Wichtig ist, dass die Rotation der externen HDD passt.

 

[voodoopupp]

Also ich hab mir nun einmal Ultimate Backup angesehen und das scheint ja wirklich ein absolut geniales Tool zu sein! Respekt!

Dafür habe ich nun ein paar Fragen, vielleicht komme ich ja schlußendlich schon auf die für uns richtige Strategie:
1. kann ich verschiedene Jobs anlegen, die dann auch nur auf ein ganz bestimmtes Medium bezogen funktioniert? Also z.B:
- externe Festplatte 1 & 2: tägliche inkrementelle Sicherung (im Wechsel)
- externe Festplatte 3 & 4: wöchentliches, vollständiges Backup (im Wechsel)
- Keller-DS: täglich e, inkrementelle Sicherung bis max. 30 Tage rückwirkend
- entfernte DS (über Internet): wöchentliche, inkrementelle Sicherung

2. kann ich die Jobs für die externen Festplatten dann auch irgendwie beim anstöpseln automatisiert starten und die Festplatte danach wieder auswerfen lassen?

3. muss dann das Ultimate-Backup für die Sicherung übers Internet auf allen DSen eingerichtet werden? Kann ich die entfernten DSen irgendwie dann auch "fernsteuern"? Oder muss das einmalig alles korrekt vor Ort eingestellt werden?

4. Muss für ein versioniertes Backup die erste Vollsicherung von Ultimate Backup erstellt werden, damit Ultimate Backup das überhaupt als Sicherung erkennt? Oder kann ich diese einfach auf alle Medien erstmalig drauf kopieren?
Also z.B. wäre es natürlich leichter eine externe Festplatte mit den zu sicherenden Daten zu bespielen und das dann in an den anderen Standorten auf die dortigen DSen zu kopieren, statt die erste Vollsicherung über die Internetleitung schieben zu müssen!


Danke schonmal für eure unermüdliche Hilfe.


Grüße
Voodoopupp

 

[dil88]

Ohne den Experten zu sehr vorgreifen zu wollen, schon als kurzes Feedback: M.E. geht das alles.

Zu 2. Für diese Funktion musst Du noch das Paket autorun installieren.

Zu 3. Es muss nicht überall eingerichtet sein, vereinfacht aber das Erstellen/Austauschen von ssh-keys, was ansonsten händisch geschehen muss.

Zu 4. Hier musst Du im Zweifel darauf achten, dass die gleichen User verwendet werden beim Kopieren.

 

[voodoopupp]

Danke dir nochmals für deine Antworten - komme der Sache schon näher.

Nun stellt sich mir eigentlich nur noch die Frage nach der richtigen Strategie:
aktuell würde ich die alte DS209 wohl doch noch laufen lassen und einfach nur eine Datenkopie erstellen. Damit gewinne ich zumindest eine Sicherheit, falls die aktuelle DS216+II ein rein physisches Problem bekommen sollte. Dann sollte somit dennoch einfach und schnell weitergearbeitet werden.

Als echtes Backup würde ich dann nun im ersten Schritt auf externe Festplatten gehen, die Sicherung auf die entfernten DSen kommt dann irgendwann später.
Nun habe ich vom Generatioenprinzip gelesen und das erscheint mir grundsätzlich gut, aber einfach für uns viel zu umfangreich. Vor allem, was da die Menge an Fesplatten angeht.
Ebenso sind die Türme von Hanoi auf tägliche Sicherung ausgelegt.

Nun würde ich gerne also mit 2-3 externen Festplatten starten, bin mir aber nicht ganz so sicher, wie ich da vorgehen sollte. Grundsätzlich geht bei unseren Daten die Welt nicht unter, falls wir mal eine Woche verlieren. Unschön, aber verschmerzbar. Primär kommen eigentlich (fast) nur Daten hinzu, es wird also nicht allzuviel an bestehenden Daten geändert!
Natürlich ist eine kürzere Sicherung besser, aber da suche ich noch nach dem richtigen Ablauf.

Also ich kann z.B. auf jede externe HDD wöchentlich speichern, aber dann müsste ich ja wohl eher auf vollständige Backups gehen, statt auf Vvrsionierte. Denn wenn ich 1x wöchentlich versioniere und dann nach vier Wochen erst wieder komplett sichere, können natürlich auch mal bis zu vier Wochen flöten gehen. Aber die Komplettsicherung dauert natürlich um einiges länger!

Macht es also vielleicht eher Sinn, ein Medium wöchentlich voll zu sichern und das andere irgendwie täglich inkrementell?

Irgendwie finde ich da nicht so recht den richtigen Weg. Vielleicht habt ihr ja ne gute Idee, die eine gute Mischung aus Sicherheit, nicht allzu vielen Backup-Medien und guter Handhabung ist?!

Ach ja: und welche Größe sollten dann die Medien haben, wenn die zu sichernden Daten aktuell ca. 300GB haben und jährlich um ca. 20-30 GB wachsen? Reichen da bereits 500GB-Fesplatten, oder sollte bei Versionierung dann mehr vorhanden sein?

Grüße
Voodoopupp

 

[dil88]

Was spricht denn dagegen, die Datenkopie durch eine versionierte Sicherung a la Hyper Backup oder Ultimate Backup zu ergänzen?

 

[voodoopupp]

Meinst du auf der DS209 oder generell?

Bei der Versionierung habe ich gelesen, dass das Backup eben nur herstellbar ist, sofern alle Versionen dann auch korrekt gelaufen sind. Sprich, wenn eine davon nen Becker hat, dann ist das Backup unbrauchbar. Somit wollte ich eben nicht nur auf Versionierung gehen, aber eben genau die richtige Kombination aus Datenkopie und Versionierung suche ich

Grüße
Voodoopupp

 

[dil88]

Generell. Für Hyper Backup könnte die DS209 zu langsam sein, wenn es überhaupt funktioniert, aber Ultimate Backup könnte gehen, wenn man die ssh-Zertifikatsgeschichte hinbekommt. Ansonsten das versionierte Backup lokal auf eine externe Platte machen?

 

[TeXniXo]

Wenn eine "Version" der Versionierung defekt ist, lässt sich die Sicherung auch nicht korrekt durchführen und das müsstest du hiervon benachrichtigt werden.

 

[voodoopupp]

Generell. Für Hyper Backup könnte die DS209 zu langsam sein, wenn es überhaupt funktioniert, aber Ultimate Backup könnte gehen, wenn man die ssh-Zertifikatsgeschichte hinbekommt. Ansonsten das versionierte Backup lokal auf eine externe Platte machen?

Da eben die DS209 schon zu alt ist, wird hier keine funktionierende Versionierung möglich sein, ohne groß rumbasteln zu müssen. Das möchte ich vermeiden, und somit dachte ich eben ich nutze sie erstmal nur als Kopie. Besser als nichts. Oder ich ersetze sie gleich z.B. durch eine DS116...

Wenn eine "Version" der Versionierung defekt ist, lässt sich die Sicherung auch nicht korrekt durchführen und das müsstest du hiervon benachrichtigt werden.

Das heißt also, dass ich zumindest bei fehlerhaften Backups sowieso ne Info habe, falls etwas schief geht. Demnach würde lediglich ein Hardware-Defekt ein wirkliches Problem darstellen, korrekt?

 

[dil88]

Mit Ultimate Backup sollte eine Versionierung auch auf der DS209 möglich sein.

 

[voodoopupp]

Auch cphub steht aber:
"Version 1.0.0 vom 07.02.2017

Das System (Backend)
- Die Unterstützung für DSM 5.2 sowie Vorgängerversionen wurde eingestellt.
- Demnach unterstützt Ultimate Backup ab Version 1.0.0 nur noch DSM 6.0 und höher."

Demnach gehe ich davon aus, dass es nicht korrekt funktioniert. Aber ich kann es ja notfalls mal testen


Aber jetzt nochmals eine Frage zur Versionierung:
wenn ich z.B. auf HDD1 am Freitag eine Vollsicherung mache, und dann MO, DI, Mi, DO darauf jeweils inkrementell sichere:
dann ist doch zumindest selbst bei einer defekten Teilsicherung immer noch die Vollsicherung vom Freitag vorhanden, oder?

 

[dil88]

Du musst Ultimate Backup auf einem DSM 6 installieren, aber nicht auf der Backup-DS. Deswegen schrieb ich in Beitrag 14: "wenn man die ssh-Zertifikatsgeschichte hinbekommt", weil einem das dann nicht das Paket abnimmt.

Die Versionierung funktioniert m.W. etwas anders: Du hast für jeden Backuplauf ein Verzeichnis, das alle Daten enthält. Neue Daten gibts nur im neuen Verzeichnis, geänderte Dateien werden auch aus der Quelle übernommen. Alle gleichen Daten werden als Hardlink abgebildet. Kostet praktisch keinen Platz, sieht aber mehr oder weniger im Filesystem genauso aus wie eine Kopie.

 

[voodoopupp]

Danke. Okay, bedeutet also in meinem Verständnis:
FR - Vollsicherung
MO - 1. Versionierung
DI - 2. Versionierung
MI - 3 Versionierung
DO - 4. Versionierung (mal angenommen mit Fehler)
FR - 5. Versionierung

Nun könnte ich also bis einschließlich MI zurücksichern? Oder eben nur die Vollsicherung?