Antworten auf Ihre häufigsten Fragen

Wie kann ich ein Backup mit Amanda-Backup erstellen?
pdf print

Dieser Artikel beschreibt die Nutzung des Backup-Systems auf Basis des Amanda-Systems (Advanced Maryland Automatic Network Disk Archiver; www.amanda.org).

Wichtiger Hinweis für Debian:

Sollten Sie Debian Etch einsetzen achten Sie bitte darauf, dass die Backups inkrementell erstellt werden. Falls nicht reichen Sie bitte einen SystemsManagement-Auftrag über das KIS ein:

Was ist ein Systems-Management-Auftrag?

 

Das Backup-System ist einsatzbereit, sobald Sie die entsprechende Bereitstellungsnotiz von uns erhalten haben. Die Nutzung ist für alle Betriebssysteme weitgehend identisch; wo es Unterschiede gibt ist dies entsprechend vermerkt.

 
Zusätzlich bitten wir zu beachten, dass aktuell kein Amanda-Paket für Debian 9 zu Verfügung steht. Dieses wird derzeit noch von uns geprüft, wodurch ein Distributions-Upgrade (Debian 8 -> Debian 9) auf Grund des Amanda-Pakets nicht möglich ist. Wir werden aktuelle Informationen in diesem Abschnitt veröffentlichen, sobald das neue Amanda-Paket zu Verfügung steht.

Ersteinrichtung (durch Host Europe):

Hier erfahren Sie, was wir auf Ihrem Server für die Nutzung des Backup-Systems verändern:

  • Für das Backup wird eine eigene Netzwerkkarte verwendet. Diese erhält eine (private) IP-Adresse aus dem Bereich 10.x.x.x. Diese wird im Rahmen eines /30er Subnetzes (Subnetzmaske 255.255.255.252) vergeben. Die andere Adresse in diesem Transfernetz (Ihre Adresse "-1") ist das Gateway zu unseren Backupservern. Bei manchen Systemen (denen im 10.11.0.0/16er-Netz) wird zusätzlich eine statische Route in das Netz 10.10.199.0/24 gesetzt.
  • Linux/BSD: Es wird eine Client-Software installiert (in /opt/hosteurope_backup), ein User angelegt und ein Dienst gestartet, der unseren Servern den Zugriff auf Ihre Daten erlaubt.
  • Windows: Hier erfolgt die Freigabe über den Windows-eigenen Mechanismus. Der dazu notwendige User "her_backup" wird von uns angelegt und mit einem zufälligen Passwort versehen. Dieses hinterlegen wir schon in unserem System für Sie.

Bitte beachten Sie, dass Änderungen an denen von uns angelegten Usern, Dateien und Berechtigungen ggf. dazu führen können, dass keine Backups erstellt werden.

Technische Eckdaten des Backupsystems: 

  • Vorhaltezeit der täglichen Backups: 14 Tage
  • Vorhaltezeit der wöchentlichen Backups: 3 Wochen
  • Beginn des täglichen Backups: Kurz nach Mitternacht (ca. 0:30h)
  • Ende des täglichen Backups: unterschiedlich, je nach Gesamt-Backup-Volumen
  • Wöchentliches Backup: Sonntags morgens
  • Inkrementelles tägliches Backup: einmal die Woche wird ein Vollbackup erstellt
  • Wenn sich zwischen zwei Inkrementellen Backups zu viele Dateien verändern wird ebenso ein Full Backup erstellt

Einrichtung durch den Kunden:

Die Konfiguration ihrerseits, also was gesichert werden soll, erfolgt vollständig über das KIS. Dies umfasst sowohl das Eintragen der Verzeichnisse, die gesichert werden sollen (Backup), als auch das Zurückspielen bestehender Sicherungen (Restore). Sie erreichen das Menü im KIS unter "Produktverwaltung -> Server -> Amanda-Backup" 

Linux: Es sind nach der Installation lediglich die Verzeichnisse im KIS einzutragen. Weitere Einrichtungen durch Sie auf dem Server sind nicht erforderlich.

Windows: Um ein Verzeichnis sichern zu können, müssen Sie zuerst eine Freigabe unter Windows dafür einrichten. Beachten Sie bitte dabei:

 
  • Der Benutzer "her_backup" muss Leserechte und Schreibrechte (sowohl für Backups als auch für Restores) für die Freigabe besitzen. Rechte für andere User sollten nicht existieren.
  • Dies Freigabe muss versteckt sein, d.h. auf "$" enden.
  • Der Benutzer "her_backup" muss Leserechte und Schreibrechte auf Dateisystemebene (NTFS) haben. Dies ist auch erforderlich, damit das System das "Archiv"-Attribut im Dateisystem umsetzen kann, anhand dessen festgestellt wird, ob eine Datei schon gesichert wurde. Ansonsten werden immer Vollbackups gemacht werden, da für das Backupsystem alle Dateien verändert aussehen.

 

Die Windows-Firewall kann für das Backupinterface deaktiviert werden. Das interne Backupnetzwerk von Host Europe besitzt keine Verbindung ins www. Diese Einstellung kann man wie folgt anpassen:
 

Verwaltung -> Windows Firewall mit erweiterter Sicherheit -> Windows-Firewalleigenschaften -> Öffentliches Profil -> Anpassen -> Checkbox für die Backup Schnittstelle nicht auswählen

Verzeichnis-Verwaltung:

Zuerst erscheint eine Übersicht Ihrer Server, wo Sie den betreffenden Server auswählen können. Wählen Sie "Server bearbeiten":
 

Intervallauswahl:

Zuerst legen Sie für den Server fest, ob die Sicherungen entweder täglich inkrementell (Linux) bzw. differenziell (Windows) oder wöchentlich als Vollbackup durchgeführt werden sollen (Inkrementelles, differenzielles und Voll-Backup).

Benachrichtigungsoptionen:

Ebenfalls in diesem Menü können Sie festlegen, ob und in welchen Fällen Sie per E-Mail über den Status des Backups informiert werden möchten. Dazu können Sie zwischen den folgenden Stufen wählen:

  • Nie: Es werden keine E-Mails versandt.
  • Bei Fehlern: Nur wenn das Backup gar nicht durchgeführt werden konnte erhalten Sie eine Mail.
  • Bei Warnungen: Sie werden benachrichtigt, wenn (mindestens) Probleme mit der Sicherung von einigen Dateien bestanden.
  • Immer: Über jedes Backup (auch erfolgreiche) erhalten Sie eine E-Mail.

SMB-Passwort (nur Windows):

Wenn Sie das Passwort des Benutzers "her_backup" auf Ihrem Server ändern, tragen Sie dies bitte auch hier ein.

Die Einstellungen und E-Mails erfolgen pro Server.
 

Backup-Trafficwarnungen:

Hier legen Sie fest, bei welchen Schwellwert Sie eine Warnung über den Backup-Traffic erhalten. Auch kann eine Deaktivierung des Backups bei Erreichen eines bestimmten Schwellwertes festgelegt werden. Hierbei ist zu beachten, dass keine gestarteten Backups abgebrochen werden. Falls also zu Beginn des Backups 90% des Inklusivtraffics verbraucht wurden, wird das Backup bei einem eingestellten Schwellwert von 100% durchgeführt, auch wenn dabei diese Marke überschritten wird. Da zu Beginn des Monates noch kein Backup gewertet wurde, kann auch das erste Backup die 100%-Marke überschreiten. Sie können auch eine E-Mail Adresse einstellen, an die eine Benachrichtigung geschickt werden soll, wenn ein Limit erreicht wurde.

Verzeichnisse/Freigaben:

Hier legen Sie fest, welche Daten wir von Ihrem Server sichern sollen.

  • Linux: Die Verzeichnisse sind mit vollem Pfadnamen (z.b. /etc/mail) anzugeben. Achten Sie bitte darauf, dass Amanda nicht partitionsübergreifend sichert. Wenn Sie also z.B. /home und /var auf verschiedenen Partitionen oder Festplatten haben und alle sichern möchten, geben Sie bitte alle Verzeichnisse explizit an.
  • Windows: Geben Sie bitte den Namen der Freigabe an, deren kompletten Inhalt Sie sichern möchten. Nutzen Sie dafür am besten einheitlich Kleinschreibung und keine Sonder- oder Leerzeichen.

Bitte achten Sie darauf, nur die Verzeichnisse anzugeben, in denen wirklich für Sie relevante, veränderliche Dateien liegen. Ein Backup von "/" oder "c$" ist nicht empfohlen, da dies fehleranfällig ist und das System nicht in einem Zug wieder hergestellt werden kann.

Unter "Kompression" legen Sie fest, ob die Daten beim Backup gepackt werden sollen. Dies beansprucht ja nach Datentyp und Menge (Rechen-)Zeit und lastet Ihren Rechner stärker aus. Dafür ist die übertragene Datenmenge geringer, was sich auch entsprechend auf den Backuptraffic zu Ihren Gunsten auswirkt. Nach einem Klick auf "hinzufügen" wird der Backup-Eintrag in unserem System übernommen und beim nächsten Backuplauf durchgeführt.

Schon bestehende Einträgen können Sie "update"n oder "löschen".

Restores und Statusanzeige:
Hier können Sie die Rücksicherung von Backups beauftragen und deren Verlauf überprüfen. Diese Anzeige wird täglich aktualisiert, wenn die Backups aller Kunden abgeschlossen sind. Deshalb kann es hier sein, dass die Anzeige nicht sofort nach Abschluss des Backups aktuell ist:
 

Hier haben Sie auch die Möglichkeit, sich eine History der bereits erstellten Backups anzuschauen. Das ist hilfreich um z.B. das Backup mit den meisten Änderungen im Monat X zu finden.
 

Um eines dieser Backups wiederherzustellen, wählen Sie zuerst die IP-Adresse Ihres Rechner aus. Sie kommen dann in die Maske, wo Sie alle Verzeichnisse sehen, für die Sicherungen vorliegen. Wählen Sie dort dasjenige aus ("Details"), dessen Daten Sie aus dem Backup zurückerhalten oder prüfen möchten.
 

Dort sehen Sie, von wann Sicherungen vorliegen:
 

Statusmeldungen:

Die farbig codierte Meldung am Anfang jeder Zeile gibt an, inwieweit der Backupvorgang durchgeführt werden konnte. Durch einen Klick auf diese Meldung wird im Fehlerfall eine (hoffentlich ;) aussagekräftige Meldung ausgegeben. Die folgende Legende erklärt die verschiedenen Farbcodes.
 

Restore:

Wählen Sie eine passende aus und wählen Sie "Restore". Die angegebenen Informationen sind wie folgt zu verstehen:

  • Datum: Wann wurde das Backup erstellt?
  • Status: siehe "Statusmeldungen" oben.
  • Level: Ist das Backup eine Vollsicherung (0), baut sie auf eine solche auf (1 = "differenzielles Backup"), oder fußt sie vielleicht schon auf einem inkrementellen Backup (2 und höher = "inkrementelles Backup")? Dies ist für die Datenmenge entscheidend, wird aber automatisch von System bestimmt. Wichtig zu wissen ist dabei, dass das System automatisch, anhand unterschiedlichster Kriterien (vorhandene Backups, voraussichtliche Gesamtauslastung,...), entscheidet, welchen Backuptyp es durchführt. Also nicht wundern, wenn ein Vollbackup einen Tag zu früh auftaucht o.ä. :)
  • Daten ges.: Wieviele Daten wurden gesichert?
  • Kompr.: Gibt den Faktor an, mit dem die Daten gepackt wurden (Daten k. * Kompr. = Daten ges.)?
  • Daten k.: Menge der tatsächlich übertragenen, komprimierten Daten.
  • Speed: Datenübertragungsgeschwindigkeit beim Backup im Durchschnitt.
  • Zeit: Wielange hat das Backup gedauert?

Nach einem Klick auf "Restore" erscheint eine Übersicht der verfügbaren Verzeichnisse, so dass Sie auch nur Teile des gewünschten Backups zurückspielen können. Klicken Sie sich einfach durch die Verzeichnisstruktur. Wählen Sie "restore ->" sobald dahinter das gewünschte Verzeichnis erscheint:

Bitte beachten Sie, dass maximal drei Verzeichnisebenen angezeigt werden können. Es werden auch lediglich Verzeichnisse angezeigt. In der Restore-Maske können Sie auch tiefere Verzeichnisebenen oder sogar eine einzelne Datei angeben - Wildcards werden jedoch nicht unterstützt.

Sie kommen dann in die Restore-Maske:
 

 
Die angegebenden Parameter erklären sich wie folgt:
  • Konfiguration: Handelt es sich um ein Restore eines täglichen oder wöchentlichen Backups?
  • Datum des Backups: Gibt das Erstellungsdatum an.
  • Quell-Verzeichnis: Das wieder herzustellende Verzeichnis.
  • Ziel-Server: Der Server, auf den das Backup zurückgespielt wird.
  • Ziel-Verzeichnis: Das Verzeichnis auf besagtem Server, in dem die Daten landen. Die Vorgabe "/restore" ist durchaus ernst gemeint. Bitte verwenden Sie keine im System aktiven Verzeichnisse für die Rücksicherung! Des Weiteren muss das Ziel-Verzeichnis bereits beim Beginn des Restores existieren. Es muss daher ggf. im Vorfeld manuell angelegt werden.
    • Linux: Die Angabe erfolgt als kompletter Linux-Pfad, z.B. "/restore".
    • Windows: Die Angabe erfolgt in der Form "/FREIGABENAME/verzeichnis", also z.B. "/restore/daten1". Bitte beachten Sie, dass die Freigabe (hier "restore$") existieren muss und der Nutzer "her_backup" dort sowohl im Dateisystem als auch auf die Freigabe Schreibrechte benötigt.

Restore-Typ: Hier geben Sie an, wie die Daten zurückgespielt werden sollen:

  • Direkt: Die Dateien werden direkt (so wie sie sind) per rsync (über ssh/smb) einzelnen wieder hergestellt. Bitte beachten Sie die Hinweise unten.
  • tar.gz via FTP: Ein ge-gzip'tes tar wird per FTP auf Ihren Server übertragen.
  • tar.bz2 via FTP: Ein ge-bzip2'tes tar wird per FTP auf Ihren Server übertragen.

Bei den folgenden Methoden erfolgt das Restore per scp. Bitte sorgen Sie dafür, dass das Zeilverzeichnis vorher existiert und der User "her_backup" Schreibrechte hat.

  • tar.gz: Ein ge-gzip'tes tar wird per scp auf Ihren Server übertragen.
  • tar.bz2: Ein ge-bzip2'tes tar wird per scp auf Ihren Server übertragen.

Port-Override: Wenn Ihr FTP-Server oder SSH auf einem nicht-Standard-Port arbeitet, müssen Sie diesen hier angeben. In der Regel können Sie dieses Feld unverändert lassen.
FTP-Zugangsdaten (Nur bei 'via FTP' nötig): Diese Daten müssen Sie angeben, wenn Sie per FTP Daten an Ihren Server schicken möchten.
Benachrichtigungen an e-mail:: An diese Adresse wird ein Statusbericht geschickt, wenn der Vorgang fertig ist oder es einen Fehler gab.

Mit "Auftrag erteilen" starten Sie den Vorgang.

Wichtiger Hinweis:

Bei der Angabe von Unterverzeichnisnamen bei der Rücksicherung, die Leer- oder bestimmte Sonderzeichenen enthalten, kann es zu Problemen kommen. Führen Sie in diesem Fall bitte eine Rücksicherung des gesamten Pfades durch (ohne das Unterverzeichnis näher zu spezifizieren) oder spielen Sie ein Archiv zurück.

Firewall-Einstellungen:

Unser Amanda-Backupsystem wird in fast allen Fällen über unser Backup-LAN realisiert. Dafür wird der Rechner über eine zweite Netzwerkkarte an unseren Backup-Server angeschlossen. Nur bei sehr alten Systemen, die keine zweite Netzwerkkarte haben erfolgt das Backup über die Basis-IP-Adresse. Durch die Nutzung von speziellen Transfernetzen pro Server wird sichergestellt, dass nur unsere Backup-Server Zugriff haben. Eine Konfiguration unserer externen Firewallprodukte ist nicht nötig. Bei einer lokalen Firewall stellen Sie bitte sicher, dass das Netzwerkinterface für das Backup nicht Beschränkungen unterliegt, die das Backup verhindern können.^

Folgende IPs müssen, je nachdem, welches Backup-Netz für Sie genutzt wird, in der Firewall und (ggf. hosts.allow für die Dienste "sshd" und "amandad") freigeschaltet sein:

  • Backup-IP, die mit 10.11.x.x beginnt: 10.10.199.0/24.
  • Backup-IP, die mit 10.12.x.x beginnt: 10.12.x.x-2/30. Beispiel: Sie haben die Backup-IP 10.12.99.18, dann ist 10.12.99.16/30 freizuschalten.
  • Backup-IP, die mit 10.101.x.x beginnt: 10.101.x.x-2/30. Beispiel: Sie haben die Backup-IP 10.101.99.18, dann ist 10.101.99.16/30 freizuschalten.
  • Backup-IP, die mit 10.102.x.x beginnt: 10.102.x.x-2/30. Beispiel: Sie haben die Backup-IP 10.102.99.18, dann ist 10.102.99.16/30 freizuschalten.
  • Backup-IP, die mit 10.103.x.x beginnt: 10.103.x.x-2/30. Beispiel: Sie haben die Backup-IP 10.103.99.18, dann ist 10.103.99.16/30 freizuschalten.
  • Backup-IP, die mit 10.104.x.x beginnt: 10.104.x.x-2/30. Beispiel: Sie haben die Backup-IP 10.104.99.18, dann ist 10.104.99.16/30 freizuschalten.
  • andere/keine Backup-IP (80.237.x.x/217.115.x.x.): Dieser Fall tritt nur noch in Ausnahmefällen auf. Bitte kontaktieren Sie unseren Support. Unabhängig davon ist die Nutzung unserer Nameserver (s.u.) vonnöten, die entsprechend freigeschaltet sein müssen.

Ein Beispiel finden sie hier:
iptables -A INPUT -s <backup-netz> -d <backup-netz> -i [BACKUP-IF] -j ACCEPT
iptables -A OUTPUT -s <backup-netz> -d <backup-netz> -o [BACKUP-IF] -j ACCEPT 

Also:
iptables -A INPUT -s 10.103.99.16/30 -d 10.103.99.16/30 -i eth1 -j ACCEPT
iptables -A OUTPUT -s 10.103.99.16/30 -d 10.103.99.16/30 -o eth1 -j ACCEPT

Nameserver-Einstellungen:

Das Amanda Backup-System nutzt spezielle, interne IP-Adressen. Um hier eine DNS-Auflösung zu gewährleisten, müssen unsere Nameserver (80.237.128.144/80.237.128.145) verwendet werden. Sollten Sie eigene Nameserver verwenden müssen, richten Sie bitte einen Forwarder ein, der Abfragen für das Netz, das Sie für die Firewall freigegeben haben (s.o.) an unsere Nameserver weiterleitet.

Im bind/named (/etc/named.conf) könnte dies z.B. so aussehen:

zone "10.in-addr.arpa" {

type forward;

forward first;

forwarders { 80.237.128.144; 80.237.128.145; };

};

Weitere Informationen über das Netzwerk und die verwendeten Dienste: 

  • Der Amanda-Dienst wird über den inetd/xinetd (je nach Betriebssystem) gestartet. Dieser muss also beim Backup laufen.
  • Restores werden nicht über Amanda selbst durchgeführt. Statt dessen werden die Dateien per rsync (ssh), SMB oder ftp übertragen. Während bei ftp/SMB die Zugangsdaten explizit angegeben werden, erfolgt dies bei ssh über eine ssh-key-Authentifizierung (dss). Zugriff über das Backupinterface mittels dieses Keys muss für den User "her_backup" auf der Netzwerkkarte mit der internen IP-Adresse per möglich sein. Beachten Sie dies bitte bei jeglichen Änderungen in SSH-Konfiguration.
  • Jeder Server verfügt über eine eigene Adresse in einem Transfernetz (/30) aus dem Block 10.11.0.0/16, 10.12.0.0/16 oder 10.101.0.0/16. Wenn z.B. das Netz 10.11.77.16/30 vergeben wurde, ist 10.11.77.17 das Gateway und 10.11.77.18 die IP des eigenen Servers auf der Backup-Netzwerkkarte.
  • Für Server mit IP-Adresse aus 10.11.0.0/16: Unsere Backup-Server befinden sich im Netz 10.10.199.0/24. Dorthin wird (über das gerade beschriebene Gateway) eine statische Route gesetzt.

Kleine Checkliste bei Problemen:

Wenn im KIS anzeigt wird, dass keine Verbindung möglich war ("Request timed out. Firewall?"), sind häufig folgende Lösungen hilfreich:

  • Ist das Netzwerkinterface (meist eth1) hochgefahren und hat es eine 10.1x.x.x-IP-Adresse? ('ifconfig eth1')
  • Ist das Gateway aus dem Transfernetz (die Adresse von eth1 "minus 1") erreichbar? ('ping 10.1x.x.x-1')
  • Für Server mit IP-Adresse aus 10.11.0.0/16: Ist die statische Route gesetzt und die Backupserver erreichbar? ('ping 10.10.199.1')
  • Läuft der (x)inetd? ('/etc/init.d/(x)inetd status')
  • Sind die Nameserver 80.237.128.144/80.237.128.145 eingetragen? ('cat /etc/resolv.conf')

Wie kann man bestimmte Daten vom Backup ausschließen?:

Bitte beachten Sie, dass wir für diesen Mechanismus keinen Support und keine Garantie für ordnungsgemäße Funktion geben können. Unter Linux können Sie im Amanda-Verzeichnis /opt/hosteurope_backup/ eine Datei namens "exclude-list" anlegen, die Verzeichnisnamen oder auf Namensmuster enthält. Diese werden dann vom Backup ausgeschlossen, wenn Sie regulär aufgrund der Verzeichnisauswahl gesichert würden. Weitere Informationen dazu finden Sie ggf. unter: (http://wiki.zmanda.com/index.php/Exclude_and_include_lists#Utilize_an_Exclude_List)

http://wiki.zmanda.com/index.php/Exclude_and_include_lists#Utilize_an_Exclude_List


otto.friedrich@hosteurope.de xanthippe.ypsilante@hosteurope.de hercules.ikarus@hosteurope.de