Vom Magnetband zu S3 Objectstorage

cloud-titel

Dieser Artikel zeigt am Beispiel eines Commvault DR Backups, wie eine Bandsicherung durch Backup auf S3-Buckets in der Amazon Cloud ersetzt werden kann. Außerdem werden einige der Entscheidungsgrundlagen dazu näher erläutert. Teil zwei zeigt dann, wie diese Backups in der Cloud zum Beispiel für DR-Tests genutzt werden können.

Als Beispiel für eine sinnvolle Migration von Bandsicherungen in die Cloud schauen wir uns hier an, wie eine alte L700 Tape Library, die nur noch für Commserv DR Backup verwendet wird, durch Cloud Backup ersetzt werden kann, statt in neue Hardware zu investieren.

Wichtige Gründe, warum noch auf Tape gesichert wird, sind der Schutz vor Verschlüsselungstrojanern und die Möglichkeit die Bänder auszulagern, sowie die Kosten.

Der Schutz vor Verschlüsselungstrojanern (Ransomware Protection) basiert darauf, dass ein Trojaner zwar Dateien manipulieren kann, aber keine Magnetbänder, da diese einen gänzlich anderen Workflow und anderes Knowhow voraussetzen. Bei der Sicherung in die Cloud durch eine Library Emulation der Backup-Software ist dieser Schutz jedoch genauso gegeben. Auch hier liegen die Sicherungsdaten nicht in einem lokal zugänglichen Filesystem. Ein Trojaner müsste daher genauso wie bei Bandsicherungen in der Lage sein, die Backup-Software zu bedienen, um die Daten in der Cloud zu manipulieren.

Auch das Auslagern der Sicherungen ist beim Backup in die Public Cloud kein Hindernis. Grenzen für die auszulagernde Datenmenge setzt in erster Linie die Bandbreite der Cloud Anbindung. Sind die Daten erst einmal durch die Leitung liegen diese in geschützten Rechenzentren des Cloudproviders auf Wunsch auch georedundant.

In unserem Beispiel wählen wir Amazon AWS als Cloudanbieter, da es die meist genutzte Cloud-Plattform und die Unterstützung durch die Commvault-Software schon sehr weit fortgeschritten ist. Alternativ könnte z.B. auch Microsoft Azure, oder, wenn es nur um S3-Speicher geht, Scaleways (einer der günstigsten Europäischen Cloud-Anbieter) gewählt werden.

Als Ziel für unsere Sicherungsdaten wählen wir Amazon S3, da es günstig und der weltweite Zugriff ohne weitere Cloud-Ressourcen verwenden zu müssen, einfach möglich ist. Amazon S3 ist ein Service, der es erlaubt, Daten direkt in sogenannten Buckets abzulegen. In einem Bucket können dann Verzeichnisse angelegt und die Daten abgelegt werden.

Für S3-Buckets werden verschiedene Speicherklassen angeboten, die sich durch Preise für die Lagerung, den Abruf und die Bereitstellungszeit unterscheiden. Die Hauptspeicherklassen sind Standard, Infrequent Access und Glacier sowie Mischformen daraus. 

Speicherklasse Datenübertragung aus der Cloud in Euro pro GB Lagerkosten Euro pro GB Abrufkosten Extras
Standard 0,09 0,0240 nein-Mindestlagerdauer 30 Tage
-sofortiger Zugriff
Infrequent 0,09 <0,0135 gering-Mindestlagerdauer 30 Tage
-sofortiger Zugriff
Glacier 0,09 <0,0045 hoch-Bereitstellungszeit: 1 Minute bis 12 Stunden
-Mindestlagerdauer 3-6 Monate

Standard hat die höchsten Lagerkosten von 0,024 Dollar je GB und Monat, dafür aber keine Abrufkosten und keine Bereitstellungszeiten. In der günstigeren Speicherklasse Infrequent Access liegen die monatlichen Lagerkosten unter 0,0135 Dollar je GB und Monat, jedoch fallen hier Extrakosten für den Abruf der Daten an. Die günstigste Speicherklasse ist Glacier, hier liegt der Lagerpreis unter 0,0045 Dollar. Allerdings können die Kosten für das Lesen dieser Daten sehr hoch ausfallen, bis zu über 100 Dollar pro TB. Außerdem braucht AWS Glacier eine Bereitstellungszeit von ca. 3-5 Stunden, bevor die ersten Daten gelesen werden können und hat eine Mindestlagerzeit von 3-6 Monaten. Glacier ist damit in erster Linie für Langzeitarchivierung gedacht, bei der die Daten nur selten abgerufen werden.

Der Datentransfer in das S3-Bucket ist bei Amazon ohne Kosten möglich. Der Abruf der Daten aus der Amazon Cloud verursacht jedoch extra Kosten von ca. 0,09 Dollar pro GB.

Aufgrund der relativ geringen Datenmenge und da wir nur selten mit dem Abrufen der Daten rechnen, diese dann aber möglichst schnell lesen wollen, entscheiden wir uns für S3 Infrequent.

Die Cloud-Library-Funktion der Commvault Backupsoftware kann die Daten direkt in S3-Buckets schreiben, sodass in der Konfiguration nur wenige Änderungen nötig sind. In der AWS Cloud muss dafür zunächst ein S3-Bucket angelegt werden und in Commvault ein Authentifizierungsdatensatz mit dem AWS Zugriffs- und Geheimschlüssel hinterlegt werden.

Dann kann die Cloud Library konfiguriert werden. Dafür sind nur fünf Angaben nötig, wie im Bild zu sehen ist.

 Für eventuelles Troubleshooting liefert Commvault hier die Tools „CloudStorageExplorerTool" & „CloudTestTool" mit.

Diese Authentifizierungsdaten, Host- und Bucket-Informationen sollten für den DR-Fall griffbereit aufbewahrt werden.

In der Commvault GUI sehen wir jetzt (siehe Bild unten) unsere neue Cloud-Library AWS-S3-lib1, die die alte L700 Tape-Library ersetzen soll.

Mit der neu angelegten Cloud Library kann jetzt das DR-Backup in der Commvault Systemsteuerung unter dem Punkt „DR Sicherung" eingerichtet werden. Hierzu den Haken bei „Sicherungsdaten zu Cloud Library hochladen" setzen, sowie die Cloud Library anwählen. Ab jetzt werden die DR-Daten auch in das S3-Bucket gesichert.

Zur Verschlüsselung der Daten im S3-Bucket sollte noch für den Commserv Client der Key „nCloudS3ServerSideEncryption" auf 1 (S3_SSE) oder 2 (SSE-KMS) gesetzt werden.

Im zweiten Teil des Blogartikels schauen wir uns dann einen DR-Restore einer Commserv in der AWS Cloud an.

By accepting you will be accessing a service provided by a third-party external to https://blog.ordix.de/