Können NetApp Snapshots als Backups verwendet werden?

11

Unser Shop ist für Backups sehr stark auf NetApp Volume Snapshots angewiesen. Wir verwenden für einige unserer Daten herkömmliche agentenbasierte Bandsicherungen, verlassen uns jedoch im Großen und Ganzen bei den meisten unserer Systeme auf die Snapshots. Des Weiteren haben wir keine strenge Kontrolle Politik zu ändern oder eine zentralisierte Konfigurationsmanagement so alleUnabhängig davon, ob die von ihren Diensten bereitgestellten Daten gesichert wurden, müssten unsere Server aus Bare-Metal (und ohne echte Dokumentation) neu erstellt werden. Dies macht Snapshots natürlich zu einem sehr attraktiven Angebot für das Management, da wir nur den gesamten Server einschließlich der Benutzerdaten und der Konfiguration wiederherstellen können. Wir verwenden die Virtual Storage Console von NetApp, um Snapshots unserer NFS-basierten VMware-Datenspeicher zu erstellen, und SnapDrive von NetApp für (physische) LUNs mit Raw-Gerätezuordnung, die den Gästen direkt präsentiert werden. Wir SnapMirror kritische Snapshots außerhalb eines anderen Filers. Natürlich testen wir regelmäßig unseren Wiederherstellungsprozess.

Ich kann nicht anders, als mich unwohl zu fühlen, wenn wir uns auf Snapshots von Backups verlassen. Damit eine Technologie als Backup-Strategie als ausreichend angesehen werden kann, muss sie für mich die folgenden Kriterien erfüllen:

  • Das Backup muss atomar sein. Das heißt, das Backup kann sich bei seiner Wiederherstellung nicht auf etwas anderes verlassen.
  • Das Backup muss von dem System getrennt werden, von dem es ein Backup ist (außerhalb des Bandes).
  • Das Backup muss kopiert oder an einen Remote-Standort (außerhalb des Standorts) transportiert werden.


NetApp Snapshots

Nach meinem Verständnis funktionieren NetApp Snapshots nach einer Roirect-On-Write-Methode (RoWect). Das WAFL- Dateilayout verwendet eine Reihe von Zeigern (Metadaten?), Die tatsächlich auf jeden Speicherblock verweisen, wo immer er sich befindet. Um einen Schnappschuss zu erstellen, nimmt das System lediglich eine Kopie der Metadaten eines Volumes und speichert sie im reservierten Speicherplatz dieses Volumes. Alle Schreibvorgänge (Kreationen / Änderungen / Löschungen) werden in neue Blöcke umgeleitet. Dies soll die spezielle Sauce sein, die die WAFL von NetApp so großartig macht, weil Sie die alten Daten nicht lesen und dann in den reservierten Speicherplatz schreiben und dann Ihre neuen Daten wie Copy-On-Write-Snapshots über die alten schreiben müssen.


Ich gebe voll und ganz zu, dass ich möglicherweise nicht genau verstehe, wie NetApp Volume Snapshots funktionieren, aber wenn mein Verständnis mehr oder weniger korrekt ist, erfüllen NetApp Snapshots meine Kriterien für Sicherungen nicht.

  • Sie sind nicht atomar. Der "Schnappschuss" ist eigentlich nur ein Satz von Zeigern auf die Originaldaten. Wenn die Originaldaten nicht mehr vorhanden sind, sind die Metadaten unbrauchbar.
  • Der Schnappschuss ist nicht vom System getrennt. Wenn jemand das falsche Volume löscht, verliere ich den Schnappschuss. Wenn der NetApp Filer in winzige kleine Kätzchen explodiert, verliere ich das Backup. Ich kann SnapMirror verwenden, um meine Snapshots in einen anderen Filer zu verschieben, aber auch hier werden nur die Metadaten und nicht die tatsächlichen Blöcke verschoben. Wenn ich das ursprüngliche Volume verliere, kann ich nicht sehen, wie ein in einen anderen Filer kopierter Snapshot helfen wird.



Kann jemand erklären, wie NetApp Snapshots als Backups betrachtet werden können? Ich bin auf der Suche nach guten subjektiven Antworten. Bitte unterstützen Sie Ihre Position mit Fakten, Referenzen und Erfahrungen. Wenn ich die zugrunde liegende Technologie nicht richtig verstehe, erklären Sie bitte, wo und warum dies meine Schlussfolgerung ändert. Wenn Ihr Shop auf NetApp Snapshots als Backups angewiesen ist, geben Sie bitte genügend Kontextinformationen an, damit die Benutzer einen Eindruck davon bekommen, welche Art von Wiederherstellungsrichtlinie Sie einhalten müssen.

backup  storage  snapshot  netapp 
Einige nützliche Einblicke / Best Practices erhalten Sie möglicherweise auch aus der Mailingliste der Toaster- Administratoren unter teaparty.net/mailman/listinfo/toasters . (Haftungsausschluss: Ich
führe
4
Ich bin der festen Überzeugung, dass Backups sowohl extern als auch offline sein müssen. Ein böswilliger Angreifer kann keinen elektronischen Angriff starten, bei dem ein Band im Schließfach gelöscht wird. Sie veranlassen einen Angreifer, kinetische Mittel aufzurufen, sobald Sie Backups offline schalten.
Evan Anderson
Wie Sie in der Frage selbst angegeben haben, stellen Sie bereits fest, dass Schnappschüsse keine Kopie der Daten sind. Deshalb wird SnapMirror benötigt. Warum fragen Sie nach Snapshots und nicht danach, ob Snapshot + SnapMirror ein gültiger Sicherungsmechanismus ist?
200_Erfolg
Sie erstellen häufig Backups von Dingen, die nicht gespiegelt sind. Zum Beispiel Umgebungen ohne Produkt. Der Wiederaufbau dauert lange, bringt aber das Geschäft nicht zum Erliegen, wenn Sie sie verlieren.
Basil

Antworten:

15

Backups haben zwei Funktionen.

  • In erster Linie dienen sie dazu, Ihre Daten wiederherzustellen, wenn sie nicht mehr verfügbar sind. In diesem Sinne sind Snapshots keine Backups. Wenn Sie Daten im Filer verlieren (Löschen des Volumes, Beschädigung des Speichers, Firmware-Fehler usw.), werden auch alle Snapshots für diese Daten gelöscht.
  • Zweitens und weitaus häufiger werden Backups verwendet, um routinemäßige Dinge wie versehentliches Löschen zu korrigieren. In diesem Anwendungsfall, Schnappschüsse sind Sicherungen. Sie sind wohl eine der besten Möglichkeiten, um diese Art der Wiederherstellung bereitzustellen, da sie die früheren Versionen der Daten den Benutzern oder ihrem Betriebssystem direkt als verstecktes .snapshot-Verzeichnis zur Verfügung stellen, aus dem sie ihre Datei direkt lesen können.

Keine Aufbewahrungsrichtlinie

Das heißt, obwohl wir Snapshots haben und diese ausgiebig verwenden, führen wir bei Netbackup auf Band oder Datendomäne immer noch nächtliche Inkremente durch. Der Grund dafür ist, dass Snapshots eine Aufbewahrungsrichtlinie nicht zuverlässig einhalten können. Wenn Sie Benutzern mitteilen, dass sie eine Woche lang von einer täglichen Granularität und dann einen Monat lang von einer wöchentlichen Granularität sichern können, können Sie dieses Versprechen nicht mit Snapshots einhalten.

Auf einem Netapp-Volume mit Snapshots belegen gelöschte Daten in einem Snapshot den Speicherplatz "Snap Reserve". Wenn das Volume nicht voll ist und Sie es auf diese Weise konfiguriert haben, können Sie auch diese Snapshot-Reserve überschreiten und Snapshots erstellen, die einen Teil des nicht verwendeten Datenbereichs belegen. Wenn das Volume jedoch voll ist, werden alle Snapshots außer den von Daten im reservierten Bereich unterstützten gelöscht. Das Löschen von Snapshots wird nur durch den verfügbaren Snapshot-Speicherplatz bestimmt. Wenn Snapshots gelöscht werden müssen, die für Ihre Aufbewahrungsrichtlinie erforderlich sind, wird dies der Fall sein.

Betrachten Sie diese Situation:

  • Ein vollständiges Volumen mit regelmäßigen Schnappschüssen und einer Aufbewahrungsfrist von 2 Wochen.
  • Angenommen, die Hälfte der für Schnappschüsse verwendeten Reserve basiert auf der normalen Änderungsrate.
  • Jemand löscht viele Daten (mehr als die Snapshot-Reserve) und erhöht vorübergehend die Änderungsrate drastisch.

Zu diesem Zeitpunkt ist Ihre Snapshot-Reserve vollständig belegt, ebenso wie der datenfreie Speicherplatz, den OnTap für Snapshots verwendet hat, aber Sie haben noch keine Snapshots verloren. Sobald jedoch jemand das Volume wieder mit Daten füllt, verlieren Sie alle im Datenabschnitt enthaltenen Snapshots, wodurch Ihr Wiederherstellungspunkt auf die Zeit unmittelbar nach dem großen Löschen zurückgesetzt wird.

Zusammenfassung

Netapp-Snapshots schützen Sie nicht vor echtem Datenverlust. Bei einem fehlerhaften gelöschten Volume oder Datenverlust im Filer müssen Sie die Daten neu erstellen.

Sie sind eine sehr einfache und elegante Möglichkeit, einfache routinemäßige Wiederherstellungen zu ermöglichen, aber sie sind nicht zuverlässig genug, um eine echte Sicherungslösung zu ersetzen. Meistens machen sie routinemäßige Wiederherstellungen einfach und schmerzlos, aber wenn sie nicht verfügbar sind, sind Sie exponiert.

Basilikum
quelle
Deletion of snapshots is determined only by available snapshot space, and if it needs to delete snapshots that are required for your retention policy- Das habe ich nicht einmal in Betracht gezogen. Hervorragender Punkt.
Du willst Spaß haben? Versuchen Sie, Snapshots auf einem Snapmirrored-Volume für Flexclones des Ziels zu erstellen. Versuchen Sie dann, 100% des nicht reservierten Speicherplatzes auf der Quelle zu verwenden. Es funktioniert , bis die Snapshot - Unterstützung , dass Flexclone auf dem Quellvolume gelöscht wird, an welchem Punkt der Replikation stoppt .
Basil
1
Obwohl ich Ihnen größtenteils zustimme, würde ich Sie wahrscheinlich in Ihrem ersten Punkt korrigieren. Denken Sie an die 3-2-1-Sicherungsregel und daran, dass die 2 für zwei verschiedene Medien steht. SnapShots passen als eine Ihrer drei Kopien und möglicherweise als Ihr häufigeres Wiederherstellungsszenario. Sie sind nicht Ihre Off-Media-Kopie oder Ihre Offsite-Kopie. Ich würde also sagen, dass SnapShots als Backups dienen, aber nicht als EINZIGE Backups oder als gesamte Backup-Strategie ausreichen. Ich denke, das ist es, worauf du gekommen bist; Aber ich denke, das ist etwas nuancierter.
Abegosum
Gute Unterscheidung zwischen den beiden (vergleichsweise wichtigen) Funktionen von Backups, die enger als Disaster Recovery bzw. Moron Recovery bezeichnet werden können.
MadHatter
8

Sie sind ein Backup, ja. Ich habe sie persönlich anstelle von täglichen Inkrementellen verwendet, aber wir haben immer noch wöchentliche Fulls auf Band gemacht.

Sie schützen recht gut vor Fehlern oder Problemen von Nicht-Netapp-Benutzern (Systeme, die auf Volumes zugreifen) oder Administratoren.

Sie schützen nicht vor katastrophalen Hardwarefehlern der NetApp selbst. Nach meinem Verständnis kopiert SnapMirror alle Daten (im Snapshot) in den anderen Filer [1]. Daher sollte SnapMirroring in einen anderen Filer diesen Datensatz vor einem katastrophalen Ausfall eines einzelnen Filers schützen.

Das einzige große Problem ist natürlich, dass, wenn jemand, der die NetApp verwaltet, das Volume löscht, alle Snapshots dazu gehören. SnapMirror für einen anderen Filer sollte angemessen davor schützen.

Wenn sich alle Ihre NetApp-Filer im selben Rechenzentrum befinden, haben Sie nichts, was eine Katastrophe größeren Ausmaßes abdeckt, wie es Bandsicherungen außerhalb des Unternehmens bieten würden.

Sie erhalten bessere Sicherungen Ihrer VMs und aller Datenbanken (oder datenbankähnlicher Dinge), wenn Sie den entsprechenden SnapManager-Agenten verwenden, der die Stilllegung der Daten während der Erstellung des Snapshots kurz koordiniert. Wenn eine bestimmte VM und ihre Daten vollständig in einem einzelnen NetApp-Volume enthalten sind, sollte der Snapshot dieser VM absturzkonsistent sein. Das heißt, es sollte genauso gut sein, als ob Sie den Stecker auf einem Server gezogen und das Laufwerk abgebildet hätten, was normalerweise Dateisystemprüfungen und Datenbankäquivalente bedeuten würde. Wenn die Daten einer Datenbank auf LUNs aufgeteilt werden, besteht anscheinend ein erhebliches Risiko einer Datenbeschädigung.

Wenn ich es wäre, würde ich alle Datenbanken für regelmäßige Sicherungen auf der lokalen Festplatte einrichten und diese Jobs so einstellen, dass ein oder zwei Kopien aufbewahrt werden. Dies gibt Ihnen eine viel bessere Garantie für die Wiederherstellbarkeit.

[1] http://www.netapp.com/us/system/pdf-reader.aspx?m=snapmirror.pdf&cc=us

freiheit
quelle
+1 für die Erwähnung von SnapMirroring gegenüber einem anderen Filer; Leute scheinen diese Funktionalität zu übersehen.
MadHatter
1
Das Snapmirroring zu einem anderen Filer schützt Sie jedoch nicht vor dem automatischen Löschen von Snapshots, wodurch Ihr Wiederherstellungspunkt verkürzt wird. Es schützt jedoch vor Volumenlöschungen und Filerverlust.
Basil
2

Sie sollten jetzt @Basils ausgezeichnete Antwort lesen , aber hier sind meine zwei Cent:

Snapshots sind nicht anwendungsbezogen

Nur weil Sie einen Snapshot des zugrunde liegenden Speichervolumes erstellen, bedeutet dies nicht, dass die Daten auf diesem Volume wiederhergestellt werden können. MS SQL ist ein gutes Beispiel dafür. Sie müssen sicherstellen, dass Ihre Datenbank transaktionskonsistent ist, bevor Sie einen Snapshot des verwendeten Speichers erstellen. Andernfalls sind Sie, wie @freiheit erwähnt, nicht besser dran, als sich von einem Hard-Down-Fehler zu erholen. DBAs lieben es, verschiedene LUNs für verschiedene Teile von SQL zu verwenden, um das Speichersystem, temporäre Datenbanken für schnellen Speicher, Systemdatenbanken für langsameren Speicher, schreibgeschützte oder archivierte Daten für Massenspeicher und Arbeitsdaten irgendwo dazwischen besser zu nutzen. Wenn Sie nur Snapshots dieser Volumes erstellen, ist es sehr unwahrscheinlich, dass Sie Ihre Datenbank wiederherstellen können.

NetApp bietet eine Reihe von Snap-Tools, mit denen Snapshots auf Anwendungen aufmerksam gemacht werden können. SnapManager für SQL bietet dieses Bewusstsein. Ich glaube, dass es im Microsoft-Ökosystem auch SnapManager-Tools für Exchange und SharePoint gibt. SnapDrive verfügt nicht über diese Anwendungserkennung. Es bietet lediglich eine bequeme Methode zum Verwalten des Speichers innerhalb des Gasts.

Wenn Sie alle Ihre IIS-Daten und -Konfigurationen auf LUNs speichern und diese LUNs direkt erstellen, können Sie nicht garantieren, dass Daten wiederherstellbar sind. Fragen Sie mich, woher ich weiß ...


Mehrere Speichertypen können unterschiedliche Snapshot-Zeitpläne haben

Wenn Sie Ihren Servern Speicher auf unterschiedliche Weise präsentieren, kann dies Ihren Snapshot und Ihr Wiederherstellungsbild erschweren. ONTAP von NetApp ist ein Multiprotokollangebot und es ist sehr wahrscheinlich, dass Sie mehr als eine Methode oder einen Speichertyp für einen bestimmten Server verwenden. In unserem Shop erhalten einige unserer Server ihr Laufwerk C: \ über einen NFS-basierten Datenspeicher und ihre "Speicher" -Laufwerke über Raw Device Mapped LUNs. Wir haben Snapshots der RDM-LUNs gemacht, aber nicht der NFS-basierten Datenspeicher. Dies machte die Wiederherstellung des Servers schwierig.


Für Snapshots gilt keine garantierte Aufbewahrungsrichtlinie

Auch hier deckt @Basil das wirklich gut ab, aber es lohnt sich, es noch einmal zu wiederholen. Es ist möglich, Ihre Snap-Reserve so aufzufüllen, dass Snpashot Autodelete Snapshots entfernt, die von Natur aus nicht bis zum Löschen gealtert sind. Nochmal. Dies kann sehr schlimm sein, wenn Sie oder Ihre Kunden damit rechnen, dass drei Wochen lang Schnappschüsse verfügbar sind.


Schnappschüsse sind inline

Dies ist der Nachteil des integrierten Speichers ... es ist gut ... integriert. Ihre Snapshots befinden sich auf derselben Plattform, die Sie sichern. Wenn das Volume oder der Filer, auf dem es sich befindet, verschwindet, verschwindet auch Ihre Sicherung. Sie können dies etwas abmildern, indem Sie die Snapshots mit SnapMirror in einen anderen Filer kopieren, da ich in meiner Frage fälschlicherweise angegeben habe, dass die SnapMirror-Kopie keine vollständige Kopie ist.


Mit Snapshots können schlechte Betriebspraktiken fortgesetzt werden

Eine Sache, die mir aufgefallen ist, ist, dass Schnappschüsse es Managern und Kunden ermöglichen, schreckliches Betriebsverhalten fortzusetzen. In unserer Umgebung haben wir sehr schlechte Dokumentations- und Konfigurationsmanagementpraktiken. Dies bedeutet, dass die meisten Server mit derselben Basis (einer Vorlage oder einem Image) beginnen, dann aber von verschiedenen Personengruppen manuell konfiguriert werden. Während sie ihr Leben fortsetzen, weichen die Server immer weiter von der Vorlage ab, und zwar auf eine Weise, die im Allgemeinen nicht mit dem Konfigurationsmanagement dokumentiert oder implementiert wird.

Und dann kommen Schnappschüsse! Wir müssen nicht zurücktreten und einige unserer grundlegenden betrieblichen Praktiken ansprechen, da wir einfach alle unsere Server als Snapshot erstellen können! Und wir können SnapMirror verwenden, um diese Snapshots von der Site zu verschieben, damit wir sie als Backups verwenden können!

Ich denke, das ist die falsche Lektion, die man hier lernen kann. Eine bessere Lektion ist, dass das Konfigurationsverwaltungsframework, auch wenn es so einfach wie ein Änderungsprotokoll ist, zum Zwecke der Bare-Metal-Wiederherstellung gesichert werden sollte. Schnappschüsse sind ein fantastisches Werkzeug, aber ich kann sagen, dass die Versuchung besteht, sich zu sehr auf sie zu verlassen, um wichtige Grundlagen abzuschrecken.

Gemeinschaft
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.