Offsite backup opstelling

[butskristof]

Dag iedereen,

Onlangs heb ik een HP MicroServer op de kop kunnen tikken, die ik graag zou gebruiken als target voor offsite backups van mijn primaire Synology NAS. Graag jullie advies rond de opstelling, aangezien er nogal wat aspecten toch onduidelijk zijn voor mij.

• Locatie 1
  • Synology DS218+
  • 10 GB RAM
  • 2x 8 TB om te gebruiken in RAID1
  • krijgt nog clean install met DSM7
  • Orange modem/router
• Locatie 2
  • HP MicroServer N40L
  • 4 GB RAM
  • 128 GB SSD boot drive
  • 4x 1 TB om te gebruiken in RAID0
  • Unifi Dream Machine

Praktische zaken waar ik niet goed aan uit kan:

• OS voor de HP: OpenMediaVault en TrueNAS Core zijn mij bekend. OMV lijkt nogal sober, maar gezien de beperking van 4 GB RAM en dat "backup target zijn" het enige doel is van deze machine lijkt me dit wel oké.
  • Xpenology is mij ook gekend, maar ik zie niet echt meerwaarde in het onderhouden van een niet-ondersteund systeem.
• Backup format: gezien DSM is HyperBackup de voor de hand liggende keuze. Dit is dan wel proprietary.
  • De Synology kan gerust met Docker overweg, dus als daar betere mogelijkheden zijn kunnen die zeker bekeken worden.
  • Er is op locatie ook een NUC met hypervisor waar ik VM's en/of Docker packages op kan draaien. Dan moet alle te backuppen data wel eerst over het netwerk, maar biedt misschien qua opstelling meer mogelijkheden met het volgende puntje in gedachten.
• VPN: ik wil de data natuurlijk veilig overdragen tussen beide locaties. Zowel op locatie 1 als op locatie 2 is er al een WireGuard server. Ik ben er echter helemaal niet uit hoe ik die kan inschakelen voor het overbrengen van de backup traffic.
  • Met de 'Allowed IPs' configuratie kan ik ervoor zorgen dat bv enkel traffic naar het subnet van locatie 2, of het IP van de HP, over de tunnel wordt gestuurd.
  • Maar hoe zorg ik ervoor dat HyperBackup überhaupt van die tunnel gebruik kan maken? Idealiter zou HB een verbinding opzetten, z'n werk doen, en de verbinding sluiten. Dat soort configuratie lijkt me in HyperBackup, zeker in combinatie met WireGuard, echter niet te vinden. Dus wellicht moet ik één en ander aan elkaar knopen.
  • Een permanente tunnel tussen beide locaties is misschien ook een oplossing? Beide locaties hebben er verschillend subnet, dus dat gaat geen conflicten geven. Maar hoe weten de apparaten op het netwerk dat ze voor range 192.168.1.X via die tunnel moeten gaan? Static routes vermoed ik, maar dat zal in de Orange modemrouter wellicht niet in te stellen zijn...
• Power management (optioneel)
  • Gezien de HP waarschijnlijk niet echt zuinig is, zou ik bv na voltooien van de backup wilen kunnen aangeven dat die moet afgesloten worden of in idle gaan. Ik vermoed dat ik in de BIOS wel kan instellen dat die bv 10 voor de dagelijkse backup tijd opnieuw moet opstarten. Of misschien is hier iets als wake on lan mogelijk om dat automatisch te laten gebeuren?

Alvast bedankt voor jullie tips, hier ben ik toch wat "in over my head" dus ik hoor graag hoe jullie dit zouden aanpakken.

PS: initiële backup ga ik natuurlijk op hetzelfde netwerk doen, daarna verhuist de HP pas naar locatie 2.

[tien]

Hoe ga je 8T gebackupped krijgen op 4T?

Nu ja, waarschijnlijk in het begin geen issue. 4/8T disks kosten ook geen fortuin meer en voor puur disk kan die dat zeker aan.

Beetje paranoia maar wel over na te denken... Als er permanente tunnel is en offsite is continu bereikbaar is dat niet echt helemaal offsite. Wel bescherming als site 1 afbrand (of actueler onder water staat) maar niet tegen beestjes op site1. Beetje detail en niet zo belangrijk als privé. Al wel verbetering als server idd niet bereikbaar is buiten backup window.

power management:
WOL zal die misschien kunnen, ook mogelijkheid voor contactdoos op afstand (smart stekker als al domotica aanwezig of iets zoals energenie, die zet hier alles cnc aan als op pc de controller start maar twijfel of dat via syno kan gaan.)

Proprietary: Als ik me goed herinner is Hyperbackup naar remote gewoon naar een rsync server (hier tussen qnap & syno)

[butskristof]

Het is niet de bedoeling om de hele NAS te backuppen, enkel bepaalde shares/folders. De Synology wordt bv ook gebruikt voor Time Machine, maar het is niet de bedoeling dat die backups ook nog eens verder gekopieerd worden.

Klopt over die permanente tunnel. Het opbouwen van de connectie in het backupproces (en dus de verbinding en credentials beperken tot dat proces) lijkt me dan wel aangewezen. Als we daarmee buiten de mogelijkheden van HyperBackup treden, het zij zo.

Proprietary ga ik volgens mij altijd op één of andere manier hebben als ik versioning wil. Single-version is inderdaad gewoon een raw file copy, maar beschermt nog niet tegen bv het per ongeluk verwijderen van een bestand tenzij je het meteen weet.

[devilkin]

Duplicati. Opzetten als docker container, target via ftp/ssh/... Je krijgt versioning, encryptie, compressie, dedup,... out of the box.

[Sasuke]

Duplicati inderdaad. Truenas ga je niet deftig kunnen draaien op de micro server en heeft dan geen nut.

[DarkV]

Duplicati inderdaad.

Ooit een test mee gedaan... was totaal onbetrouwbaar, hopelijk is er dus veel verbetering.

Persoonlijk zou ik gewoon kiezen voor één van de ondersteunde packages in de Synology NAS zelf (zoals Hyperbackup).

[devilkin]

Ik heb een 1. 5tb volume in backblaze zitten ermee. Gene problemen gehad om backups te restore tot hiertoe, en ik test dat regelmatig.

[Sasuke]

Als je aan beide kanten iets van Windows kan draaien kan je ook nog opteren voor een Veeam Community Edition te installeren (10 servers/workstations in backup met quasi full features). Linux en Windows agents beschikbaar indien ze op een niet ondersteunde hypervisor draaien of fysieke bakken zijn. Replicatie naar de andere kant doe je dan met een copy job. Veeam gebruikt dan CBT (Changed Block Tracking) om enkel de benodigde data over de lijn te sturen.

[8balljunkie]

Ik zelf heb ook gebruik gemaakt van Duplicati, maar na een tijd is die er mee gestopt en wou die niet meer backupen.
Het voelt als nog niet betrouwbaar product aan. Zelf maak ik nu gebruik van rclone richting Stack(SFTP) met encryptie vanuit mijn OMV.

Heb er een howto van geschreven.
https://forum.openmediavault.org/index. ... ia-docker/

[butskristof]

Duplicati en/of rclone kan ik inderdaad ook eens bekijken om via Docker op de Synology te runnen.

Ik zie dan iets als volgt voor me via docker-compose:

• containers:
  • wireguard: verbindt naar VPN op locatie 2
  • duplicati
• storage:
  • mount van de nodige shares/folders in synology naar Duplicati container
  • volume voor duplicati config
  • volume voor wireguard config
• netwerk: virtueel netwerk dat de containers verbindt zodat Duplicati over de WireGuard VPN naar buiten kan

Zit er hier een Docker wizard die me kan helpen om daarvoor een docker-compose file op te stellen? Indien rclone lijkt de Docker setup me gelijkaardig als je de Duplicati container vervangt.

Als je aan beide kanten iets van Windows kan draaien kan je ook nog opteren voor een Veeam Community Edition te installeren (10 servers/workstations in backup met quasi full features). Linux en Windows agents beschikbaar indien ze op een niet ondersteunde hypervisor draaien of fysieke bakken zijn. Replicatie naar de andere kant doe je dan met een copy job. Veeam gebruikt dan CBT (Changed Block Tracking) om enkel de benodigde data over de lijn te sturen.

Bedoeling is eerder om ruwe data op de NAS te backuppen, niet de VM's en fysieke machines. Veeam heb ik al in gebruik om m'n Windows laptop te backuppen naar de NAS, maar het is niet de bedoeling dat die backup overgedragen wordt naar locatie 2. De hele Windows/Veeam route lijkt me dus minder geschikt aangezien dezelfde vraagstukken voor de VPN-connectie en "copy job" blijven gelden.

[DarkV]

De vraag is waarom wil je dit zo complex/risicovol maken met Docker en software die (destijds) door één persoon is ontwikkeld ?

Wat is er mis met een standaard oplossing zoals Hyperbackup van Synology zelf (of wat is de toegevoegde waarde van iets anders) ?

[devilkin]

Als je even naar de github commits kijkt zie je dat dit project best nog levendig is, met redelijk wat committers.

Waarom ik dit zou prefereren tov hyperbackup?

• Open source
• Dedup builtin
• veel meer targets supported
• eenvoudiger (imho) in gebruik

Ik heb een tijd hyperbackup gebruikt om data van 1 syno naar een andere te sturen, maar ik vond het op z'n zachtst gezegd error-prone. Als er iets misloopt heb je ook geen flauw idee waar/waarom.

De opensource factor is van belang omdat je dan net niet afhankelijk bent van 1 partij: als de auteur er de brui aan geeft, is de kans (zeer) groot dat er anderen uit de community gaan opstaan om dit verder vast te nemen. De gebruikersbasis is groot.

Wat me compleet niet aanstaat is dat het in .net geschreven is, but ok - it works

[butskristof]

De vraag is waarom wil je dit zo complex/risicovol maken met Docker en software die (destijds) door één persoon is ontwikkeld ?

Wat is er mis met een standaard oplossing zoals Hyperbackup van Synology zelf (of wat is de toegevoegde waarde van iets anders) ?

Voor de backup lijken zowel HyperBackup als Duplicati mij goede oplossingen, en door de HP als rsync server op te zetten kan ik die in beide softwares gebruiken als target. Beide opties liggen voor mij nog open.

Met Docker heb ik wel een zicht op het de tunnel beperkt kan worden tot die ene container, maar ik mis de praktische kennis om tot een opstelling te komen. Als ik toch voor HyperBackup lijkt een tunnel opzetten op de NUC + static route instellen op de Synology mij de enige oplossing?

[DarkV]

Met Docker heb ik wel een zicht op het de tunnel beperkt kan worden tot die ene container, maar ik mis de praktische kennis om tot een opstelling te komen. Als ik toch voor HyperBackup lijkt een tunnel opzetten op de NUC + static route instellen op de Synology mij de enige oplossing?

De tunnel is toch geen probleem... enkel wat naar je andere subnet verwijst gaat over de tunnel, de rest gewoon naar buiten via je normale gateway (da's allemaal gewoon een kwestie van routering). Dit staat volledig los van of je nu Docker of wat dan ook voor backup oplossing kiest.

Ik heb hier een UDM en UDM Pro op twee verschillende locaties en een S2S-VPN tussen beide... werkt prima (voor oa. het aanspreken van servers en andere devices die aan beide kanten staan... het is gewoon alsof het één grote LAN is).

[fuserke]

Gebruik de gratis veeam oplossing. Werkt zeer goed.

[butskristof]

Beetje paranoia maar wel over na te denken... Als er permanente tunnel is en offsite is continu bereikbaar is dat niet echt helemaal offsite. Wel bescherming als site 1 afbrand (of actueler onder water staat) maar niet tegen beestjes op site1. Beetje detail en niet zo belangrijk als privé. Al wel verbetering als server idd niet bereikbaar is buiten backup window.

De tunnel is toch geen probleem... enkel wat naar je andere subnet verwijst gaat over de tunnel, de rest gewoon naar buiten via je normale gateway (da's allemaal gewoon een kwestie van routering). Dit staat volledig los van of je nu Docker of wat dan ook voor backup oplossing kiest.

Klopt, maar met Docker zou ik de toegang wel kunnen beperken tot enkel het backupproces. Nu ja, dat kan met de tunnel waarschijnlijk ook door in de firewall enkel traffic toe te laten vanaf het IP van de Synology.

Voorlopig denk ik dat volgende opstelling nog het best zal uitkomen dan:

• HP: OpenMediaVault ingesteld als rsync server
• VM op de NUC die een tunnel opbouwt naar locatie 2
• Static route op de Synology om traffic naar het subnet van locatie 2 via de nieuwe VM te sturen
• HyperBackup naar rsync target op de HP (eventueel Duplicati, maar built-in heeft dan toch de voorkeur)

[ITnetadmin]

Je kan, zelfs met een permanente tunnel, redelijk goed beschermd zijn tegen beestjes.
Maar... Je moet een backup wel pullen, niet pushen.
Als je originele machine write rechten heeft op de backup, is het game over.
Je moet de backup machine read rechten geven op de originele, zodat die, geheel zelfstandig, en met eigen credentials, de nodige files naar zichzelf kan kopieren.

Blijft dat ik wel een offline backup aanraad, zoiezo.

[DarkV]

Als je originele machine write rechten heeft op de backup, is het game over.

Dat is een beetje afhankelijk van hoe de backup werkt... als het een eigen protocol is met de nodige security hoeft dit zeker zo niet te zijn.

Als je backup target gewoon een SMB share of rsync server is dan is het wel zo.