Lieber Tobias,
ich mache meine Backups auch über Borgbackup und als Ziel bietet sich für deine Zwecke vermutlich auch was ganz anderes an, als ein NAS:
Was hältst du davon, dir einen Speicher bei einem großen deutschen Hoster zu mieten, (z.B. Storagebox 5TB für 12,99 im Monat)?
Wenn du ein günstiges NAS mit zwei 5TB Platten zur Ausfallsicherheit kaufst, bist du wahrscheinlich Geld in Höhe von 3,5 Jahren Miete los und musst dann auch wieder anfangen, die Platten zu ersetzen.
Die Storageboxen haben borg installiert, so dass du easy verschlüsselt und dedupliziert dort hin sichern kannst.
Hi Jesko,
ja, das ist eine sehr gute Idee. Auch das und Proxmox Backup Server auch
Danke!
(kein Aber:) Die größte Arbeit steckt ja im Detail:
Dokumentieren (siehe oben), damit es auch andere verstehen (primär an meiner Schule)
das Disaster Recovery durchspielen
das ganze nachhaltig machen und nicht nur basteln, dass es läuft. Und dazu gehört momentan bei mir, das in ansible-skripte zu packen… und wenn man halt ansible nicht so beherrscht, aber trotzdem verstehen will, dann dauert es halt… und wenn dann noch so Sachen kommen wie ansible-borgbackup erstellt eine config, die borgmatic 1.8.4 nicht verarbeiten will… dann hilft alle Anleitung aus dem Internet nicht und man muss selbst verstehen.
Und zur Argumentation: sobald (nicht falls) wir mal gehackt worden sind, ist nicht klar, ob das Internet auf Anhieb funktioniert. Aber ja, nach der 3-2-1 Methode ist der storage hoster ein Argument.
Und wenn schon, als letztes: seit letzter Woche haben wir Solarstrom auf dem Dach. Der storage hoster hat evtl. auch 100% Ökostrom, aber man kann das ja mit in die Betrachtung ziehen. Ich könnte das NAS abschalten und per WOL anschalten. Der hoster könnte dagegen mit der Abwärme heizen, usw…
Da wäre die Frage ob du von Disaster Recovery ausgehst.
„Gehackt“ muss ja nicht gleich „Internet weg“ bedeuten, wobei auch Softwarefehler (s. u.) eine Ursache sein können. Aber gesetzt dem Fall, sollte neben der digitalen Dokumentation auf einem offline lauffähigen mobilen Rechner auch ein Notfallhandbuch, so richtig als Papier abgeheftet im Ordner im Regal, die notwendigen Infos enthalten, wie du vielleicht erstmal ein Laptop direkt hinter den Router am Internetanschluss bekommst. Das sollte mindestens alle Schritte umfassen, die notwendig sind um an die umfangreichere digitale Dokumentation zu kommen. Ich glaube niemand will sich die kompletten Handbücher zu Firewall-, Switch-, und VM-Host-Konfiguration ausdrucken, aber es könnte nötig sein mit entsprechenden Befehlen aus den Handbüchern Softwarestände und Konfigurationen zu überprüfen und ggf. zu korrigieren. Ich kann nur berichten, dass ich schon die Situation hatte, in der ein zentraler Core-Switch nach Reboot wegen Firmware-Upgrade im ersten von zwei Speicherplätzen auf Grund eines Bugs seine Konfiguration vergessen hat und mit der Default-Konfiguration bootete.
Danach entsprechend weiter Kapitel zum Aufsetzen von Firewall, VM-Host, Backupsystem, Anbinden des Backup-Repositories. Hier hilft jeweils vielleicht ein Onsite-Konfigurationsbackup (ggf. auch noch das Installationsmedium als ISO-Datei von der zu Backupzeit lauffähigen Version) zeitlich viel mehr als ein Offsite-Fullbackup.
Sofern möglich empfiehlt es sich das Konfigurationsbackup in eine von Mensch und Maschine lesbaren Textdatei zu realisieren. Dann kann man
diese direkt importieren oder bei Inkompatibilitäten ggf. händisch korrigieren (ja, ich habe schon die config.xml von pfSense (OPNsense-Konkurrenz) per Hand nachbearbeitet, damit sie sich in neuerer Version importieren ließ) oder
zumindest nachlesen, was gemeint war, um dies in CLI oder GUI manuell nachzubauen.
Das lässt sich in ein Git-Repository werfen, um es lokal und remote vorzuhalten. Dann hat man gleich Versionierung, ggf. Benachrichtigung bei Änderungen (wenn man ein E-Mail-Skript in githooks hinterlegt hat) und Offline-Kopie in einem.
