Závěrečná zpráva. Integrace datových úložišť CESNET do zálohovacích procesů AMU v Praze.



Podobné dokumenty
účetních informací státu při přenosu účetního záznamu,

-1- N á v r h ČÁST PRVNÍ OBECNÁ USTANOVENÍ. 1 Předmět úpravy

ROZKLIKÁVACÍ ROZPOČET - ONLINE ZVEŘEJŇOVÁNÍ EKONOMICKÝCH DAT ÚŘADU

Záloha a obnovení Uživatelská příručka

Server. Software serveru. Služby serveru

Ing. Šárka Endrlová, starostka. Ing. Jana Dvořáková.

Zálohování a obnova Uživatelská příručka

Aplikace pro správu uživatelů

Podrobný postup pro doplnění Žádosti o dotaci prostřednictvím Portálu Farmáře. 1. kolo příjmu žádostí Programu rozvoje venkova ( )

GroupWise 6.5 for Linux

VÝZVA K PODÁNÍ NABÍDKY

INFORMAČNÍ SYSTÉM O AREÁLU

Praktické úlohy- zaměření specializace

Rozvojový projekt na rok 2012

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM

Windows 7 kompletní příručka. Bohdan Cafourek. Vydala Grada Publishing a.s. U Průhonu 22, Praha 7 jako svou publikaci

Miroslav Kunt. Srovnávací přehled terminologie archivních standardů ISAD(G), ISAAR(CPF) a české archivní legislativy

Metodika testování navazujících evidencí

DOTWALKER NAVIGACE PRO NEVIDOMÉ A SLABOZRAKÉ

Pravidla pro využívání lokální počítačové sítě Slovanského gymnázia v Olomouci. Preambule

HiPath ProCenter Office V1.0

Generátor sítového provozu

modul Jízdy a Kniha jízd uživatelská příručka

Projekt: Inovace oboru Mechatronik pro Zlínský kraj Registrační číslo: CZ.1.07/1.1.08/

Software IS Řízení stavebních zakázek

SAFETICA 7 DATA LOSS PREVENTION

F02: Oznámení o zakázce

Modul Řízení objednávek.

NEJČASTĚJI KLADENÉ DOTAZY K PUBLICITĚ PROJEKTŮ OP LZZ

Disaster recovery, zálohování dat a efektivní využití cloudových služeb

Inovované řešení VDT/VT

Co najdete v ASPI? (pro uživatele SVI FSE UJEP)

UŽIVATELSKÁ PŘÍRUČKA REGISTR CHMELNIC NA EAGRI ZÁKLADNÍ POPIS FUNKCÍ A FORMULÁŘŮ. CCV, s. r. o.

Modely rozvrhování produkce s využitím Matlabu

Zadávání tiskových zakázek prostřednictvím JDF a Adobe Acrobat Professional

METODICKÝ POKYN NÁRODNÍHO ORGÁNU

Data v počítači EIS MIS TPS. Informační systémy 2. Spojení: jan.skrbek@tul.cz tel.: Konzultace: úterý

Specifikace předmětu plnění veřejné zakázky: Poskytování mobilních hlasových a datových služeb pro potřeby Města Uherské Hradiště

ICT plán. Škola: VOŠ, SPŠ a SOŠ řemesel a služeb, Strakonice - Hodnocení: ICT VOŠ, SPŠ a SOŠ řemesel a služeb, Strakonice

1. TECHNICKÉ POŽADAVKY PRODUKTŮ VEMA Klasifikace konfigurací z hlediska podpory... 7

ZADÁVACÍ DOKUMENTACE. Pořízení a provoz konsolidované IT infrastruktury

Platnost od:

Návod k používání registračního systému ČSLH

VI. Finanční gramotnost šablony klíčových aktivit

EFESSO. Uživatelský manuál

Dlouhodobý archiv zdravotnické dokumentace informační systém dále jen (IS) musí splňovat níže uvedené technické parametry:

Navigace po budovách FEL (NaFEL)

ZADÁVACÍ DOKUMENTACE

Zadávací dokumentace. Příloha

MĚSTO LITVÍNOV se sídlem Městský úřad Litvínov, náměstí Míru 11, Litvínov

Modul informačního systému SPŠSE Liberec

Pokyny k instalaci FRIATRACE Verze 5.3

29 Evidence smluv. Popis modulu. Záložka Evidence smluv

Příloha č. 54. Specifikace hromadné aktualizace SMS-KLAS

Návod na zřízení datové schránky právnické osoby nezapsané v obchodním rejstříku

Obecně závazná vyhláška města Žlutice č. 2/2011 Požární řád obce

Výzva k podání nabídek (zadávací dokumentace)

Systém elektronického zpracování údajů o výzkumných projektech a jejich hodnocení v GA AV

Registr UJO. Příručka pro uživatele. Institut biostatistiky a analýz. Lékařské a Přírodovědecké fakulty Masarykovy univerzity.

Návod k použití aplikace MARKETINGOVÉ PRŮZKUMY.CZ

E-KRAJ.CZ. ICT úřadů a organizací v kraji. Uživatelská příručka. Verze 1.01

ČÁST PÁTÁ POZEMKY V KATASTRU NEMOVITOSTÍ

Uživatelská dokumentace

Návrh individuálního národního projektu. Podpora procesů uznávání UNIV 2 systém

Čl. 3 Poskytnutí finančních prostředků vyčleněných na rozvojový program Čl. 4 Předkládání žádostí, poskytování dotací, časové určení programu

Principy normativního rozpisu rozpočtu přímých výdajů RgŠ územních samosprávných celků na rok 2015 Č.j. MSMT-33071/2014

Komfortní datová schránka

Profesionální zaměstnanec JLV Systémové nástroje pro rozvoj zaměstnanců včetně nastavení v praxi. sarka.smolkova@jlv.cz

INTELIGENTNÍ DŮM. Zdeněk Kolář, Viktor Daněk. Střední průmyslová škola sdělovací techniky Panská 856/3, Praha 1

Č.j. 1414/SZ/09 Karlovarský kraj tímto vyzývá k podání nabídky

PLÁN INFORMAČNÍCH A KOMUNIKAČNÍCH TECHNOLOGIÍ

Vyplňte API klíč, který si vygenerujete v Nastavení obchodu v profilu Uloženky v části Nastavit klíč pro API.

Budování aplikačních rozhraní pro obousměrnou komunikaci mezi ERMS a jejich vztah k Národnímu standardu pro komunikaci mezi ERMS.

obecně závazné vyhlášky o vedení technické mapy obce A. OBECNÁ ČÁST Vysvětlení navrhované právní úpravy a jejích hlavních principů

ORGANIZAČNÍ ŘÁD ŠKOLY

MOBILNÍ KOMUNIKACE STRUKTURA GSM SÍTĚ

Dne obdržel zadavatel tyto dotazy týkající se zadávací dokumentace:

VÝZVA K PODÁNÍ NABÍDKY

DATOVÉ SCHRÁNKY. Seminární práce z předmětu Information and communication policy

Dotační program pro oblast kultury na rok 2016

Tekla Structures Multi-user Mode

499/2004 Sb. ZÁKON ČÁST PRVNÍ ARCHIVNICTVÍ A SPISOVÁ SLUŽBA

Směrnice pro zadávání veřejných zakázek malého rozsahu města Poděbrady

Příloha č. 13. Statistický metainformační systém - úvod

Správa požadavků. Semestrální práce

Zpráva o hodnocení resortních systémů centralizovaného zadávání veřejných zakázek za rok (dále jen Zpráva o hodnocení )

Výzva k podání nabídky k veřejné zakázce malého rozsahu (dále jen výzva)

Manuál uživatele čipové karty s certifikátem

Městská část Praha - Ďáblice Dne Úřad městské části Praha - Ďáblice Květnová 553/ , Praha 8 č.j.: 0078/2016-MCPD/TAJ

VÝZVA K PODÁNÍ NABÍDKY VE VEŘEJNÉ ZAKÁZCE MALÉHO ROZSAHU

Zadávací dokumentace k veřejné zakázce zadané podle zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů

ZADÁVACÍ DOKUMENTACE

Metodika kontroly naplněnosti pracovních míst

Databáze RÚIAN a možnosti jejího využití pro geografickou podporu AČR

Podrobný postup pro vygenerování a zaslání Žádosti o podporu a příloh OPR přes Portál farmáře

Aktualizace softwaru Uživatelská příručka

Sportovní soukromá základní škola Litvínov s.r.o. Podkrušnohorská 1677, Litvínov,

ČEZ Prodej, s.r.o., sídlem Duhová 425/1, 14053, Praha, IČ , zast. David Jünger, Mgr., sídlem 28. října 438/219, 70900, Ostrava

Výzva k podání nabídek

Integrita dat, hash, autenticita, šifrovací algoritmus a klíč

Transkript:

Závěrečná zpráva projektu FR CESNET 495/2013, oblast I, tematický okruh D/a Integrace datových úložišť CESNET do zálohovacích procesů AMU v Praze. Řešitel: PaedDr. Radim Chvála, CSc., vedoucí Počítačového centra AMU Spoluřešitel: Bc. Jakub Ivanov, technický pracovník Počítačového centra AMU Spoluřešitel: Bc. Tomáš Jungwirth, technický pracovník Počítačového centra AMU 1. Postup při řešení, způsob řešení 1.1 Zálohovací architektura Zálohování je postaveno na kombinaci dvou doplňujících se softwarových řešení Bareos a Veeam Backup Essentials. 1.1.1 Bareos Pro zálohování vybraných souborů fyzických a virtuálních strojů, databází PostgreSQL, MySQL, Oracle, NetIQ (Novell) edirectory, Novell Groupwise (offsite) byl vybrán program Bareos (Backup Archiving Recovery Open Sourced), který vychází z projektu Bacula, ale je plně open source. Provozován je na serveru ABACUS PCS S2420Q-M5 (platforma SUPERMICRO) s dvěma procesory řady Intel E5-2609 a 128GB RAM. Samotné šasi je osazeno 34x 3TB SAS2 HDD a 2x 100GB SAS2 SSD, 2x80Gb SATA SSD, které jsou dvěma cestami připojeny na dva LSI SAS2 řadiče bežící v IT módu (HBA). Jako operační systém je použit Debian 8 v 64-bitové verzi a souborový systém ZFS (zfsonlinux.org) v konfiguraci disků mirror (odpovídá RAID10), což představuje celkovou kapacitu 45TB. Bareos je složen z několika komponent Director - řídící prvek, spravuje katalog, plánuje úlohy Storage daemon obstarává čtení a zápis na zálohovací media, může jich být několik vzdálené lokality (offsite) File daemon klientský agent, zajištuje čtení dat a metadat ze zálohovaného serveru Katalog PostgreSQL databáze udržující informace o zálohovaných souborech, metadatech, mediích a úlohách Konzole Služba umožňující administraci komponenty Director, příkazový řádek nebo webové rozhraní Zálohování probíhá pomocí softwarových agentů (file daemon), které jsou nainstalovány na každý server a komunikují přímo s komponentou Director. Data jsou ještě na klientu před odesláním zkomprimována pomocí algoritmu LZ4 a zašifrována. - 1/10 -

Pro každý klient existuje velmi přehledná konfigurace v samostatném textovém souboru. Informace o proběhlých zálohách je možné získat přes příkazový řádek konzole bconsole nebo přímo dotazem do databáze PostgreSQL. Pro programové zpracování pak existuje rozhraní API. Bareos podporuje spuštění skriptů před a po proběhnutí zálohovací úlohy. Tato metoda exportu do souboru je použita pro zálohování databází PostgreSQL, MySQL, Oracle a Firebird. Velmi důležitým parametrem pro zálohování diskových oddílu souborového systému Novell NSS je podpora rozšířených atributů (xattr), kam jsou exportována metadata o vlastnících a právech (trustee). To přináší výrazné zlepšení oproti předešlému řešení, kdy bylo nutné separátně ukládat informace o právech do samostatného souboru a následně je po obnovení aktualizovat. Zcela odděleně je řešeno zálohování emailového systému Groupwise, kdy je Bareos použit jako plánovač pro spouštění zálohovacích skriptů. Soubory poštovních úřadů nelze zálohovat přes agent Bareos, ale jen pomocí dodávaného programu DBCOPY, který zaručí korektní zpracování otevřených souborů. Z aktuální kopie dat je pro daný poštovní úřad následně vytvořen a po 30 dní uchováván ZFS snapshot a zároveň je kopie zálohována na úložiště CESNET. V případě požadavků na obnovu je možné z daného snapshotu vytvořit zapisovatelnou kopii a nad ní spustit poštovního agenta (POA) Groupwise. Správci mají možnost obnovení dat centrálně přes program bconsole nebo jednoduché webové rozhraní. 1.1.2 Veeam Backup Essentials Jedná se o komerční řešení pro virtuální infrastrukturu, je tvořeno dvěma programy: Veeam Backup & Replication - primárně je určen pro zálohování virtuálních strojů VMWare vsphere, je zde přímá podpora hardware snapshot pole Netapp, zálohy Windows a databáze MS SQL Veeam ONE je určen pro sledování a plánování kapacity virtuální infrastruktury VMWare vsphere Provozováno na serveru DELL 2900, 2xE5420 2.5GHz, 32GB RAM, 8x600GB SAS2 RAID10-2TB HDD, operační systém Windows 2012 R2. Veeam Backup je připojen přes NFS přímo k diskovému poli NETAPP, kde jsou uloženy virtuální stroje (VM) VMWare vsphere. Během zálohovacího procesu je nejprve vytvořen snapshot na úrovni VM a následně na úrovni diskového pole NETAPP - VM snapshot tedy může být velmi rychle smazán. Tím je eliminován problém, který může často nastat u virtuálních strojů s vysokou diskovou aktivitou, kdy bez přímé podpory diskového pole dochází k odmazání VM snaphotu (proces zpětné konsolidace do původního souboru) až po kopii do zálohovacího repositáře a samotný proces mazání může zastavit běh virtuálního stroje nebo způsobit ztrátu jeho konektivity. Data prochází před uložením procesem komprimace a deduplikace, v případě např. virtuálních strojů Windows to může představovat úsporu až 60%. Kromě lokálních disků je připojen jako externí repositář i diskový prostor serveru s Bareos - nejdůležitější data jsou zálohována duplicitně do obou úložišt. Veeam One zajištuje velmi komplexní monitorování virtuální infrastruktury. Kromě procesů spojených se zálohováním umožňuje sledovat výkonnostní charakteristiky jednotlivých virtuálních strojů a připojeného diskového úložiště Netapp. V případě potřeby dokáže pro daný zálohovací plán předpovídat nároky a tím zjednodušit dlouhodobé plánování diskové kapacity. - 2/10 -

Licence Veeam je přenositelná mezi virtuálními řešeními VMware vsphere a Microsoft Hyper-V. 1.2 Napojení na CESNET DU, OFFSITE zálohy Ukládání záloh mimo lokalitu Malá strana je zajištěno napojením AMU na datové úložiště CESNET v Jihlavě. Ve vzniklé virtuální organizaci VO AMU byly zřízeny servisní účty pro zálohovací programy Veeam a Bareos. Přístup je realizován přes protokoly NFS s autentizací Kerberos a SSHFS s autentizací přes veřejný klíč SSH. Po proběhnutí běžné zálohovací úlohy se podle nastaveného plánovače zálohy každý den pomocí kopírovacích úloh (COPY JOB) zálohy pravidelně kopírují do lokalit: Divadelní fakulta z důvodu omezené kapacity jen nejdůležitější data. Veeam připojen pomocí vlastního Perl agenta, autentizace přes ssh klíč. U Bareos je použit Storage Daemon s vlastním diskovým oddílem. DU CESNET kopírování všech záloh do VO AMU. Veeam je připojen přes server BS02 pomocí NFS, autentizace kerberos. Bareos pro přípojení používá sshfs, autentizace ssh klíčem servisního účtu. Podle typu dat jsou na offsite úložištích data uchovávána od 6 měsíců do 5 let. 2. Schéma řešení: - 3/10 -

2.1 Aplikace Předmětem této části projektu je vytvoření webové aplikace umožňující (ve spolupráci s vybraným zálohovacím backendem - Bareos) obnovu dat ze záloh uživatelům bez potřeby zásahu správce zálohování. Přístup k zálohám má být konfigurovatelný tak, aby uživatelé měli přístup k zálohám svých dat (osobních, nebo aplikací, které spravují) a to na základě dat z centrálního adresáře identit (edirectory) dostupného přes protokol LDAP. 2.1.1 Hlavní vlastnosti aplikace: Všichni studenti a zaměstnanci AMU mají možnost přihlášení do aplikace pomocí standardního uživatelského jména a hesla. Mají k dispozici minimálně zálohy svého domácího adresáře a emailové schránky, u kterých si výběrem data a případně souborů mohou zadat požadavek o obnovení. Dále mohou mít k dispozici další zálohy podle nastavení. Délka historie záloh se pro jednotlivé typy dat může lišit podle zálohovacího plánu AMU. V jednu chvíli může mít uživatel aktivní (dostupnou obnovenou) jednu zálohu emailu a pět záloh dalších typů. Podle typu zálohy se uživatel k datům může dostat buď stažením komprimovaného archivu s požadovanými soubory, nebo podle návodu v rámci emailové aplikace. Po stanovené době (3 dny) je obnovená záloha automaticky zneplatněna a smazána. 2.1.2 Architektura aplikace Aplikace byla vytvořena v PHP frameworku Yii s využitím některých částí kódu z projektu bareos-webui. Pro získávání dat z katalogu záloh (data a časy záloh, obsah jednotlivých záloh) a předávání požadavků na obnovu, aplikace komunikuje pomocí API se zálohovacím backendem - konkrétně s komponentou "director". K ní se připojuje přes síť pomocí socketů (http://doc.bareos.org/master/html/bareos-manual-mainreference.html#x1-70001.3). Informace o zadaných požadavcích uživatelů na obnovu konkrétních záloh jsou zapisovány do databázové tabulky, se kterou pracují skripty spouštěné zálohovacím backendem. Ty v tabulce aktualizují stav požadavku, aby byl uživatel informován o průběhu. Autentizace uživatelů probíhá přes protokol LDAP vůči edirectory používané na AMU jako uživatelských adresář. Lze ji ale napojit v zásadě na libovolný LDAP adresář. Předpokládá se pouze jedinečnost uživatelského jména (CN). Seznam záloh, které mohou být pro uživatele v rámci aplikace dostupné, je zadán v databázové tabulce. V té je vždy uveden kromě popisu a typu především "jobname" a id klienta, které spolu definují sadu záloh v rámci katalogu Bareos. Dále je zde možné zadat cestu v rámci adresářové struktury uvnitř zálohy. Pokud je cesta - 4/10 -

zadána, jsou v aplikaci k dispozici jen data v rámci této cesty (včetně všech vnořených složek). V další tabulce jsou uvedena práva uživatelů vůči jednotlivým zálohám. Uživatel může mít přístup k záloze na základě: přímého přiřazení danému uživateli; přiřazení LDAP skupině (funguje jak pro klasické skupiny tak pro dynamické skupiny které je možné definovat v edirectory) v tabulce zadaného LDAP filteru obsahu konkrétního LDAP atributu (kvůli možnosti prohledávání atributů s binárními hodnotami, jako je ndshomedirectory na částečnou shodu) V rámci přiřazení je opět možné zadáním cesty omezit přístup k určité části zálohy. Uživatelé tak mohou mít např. v rámci zálohy celého svazku s domácími adresáři přístup jen k obsahu toho svého. 2.1.3 Uživatelský popis aplikace Po přihlášení pomocí standardního uživatelského jména a hesla má uživatel k dispozici obrazovku s přehledem důležitých informací. Především jde o seznam aktuálně dostupných obnovených dat s odkazy na jejich stažení a seznam právě běžících obnovovacích úloh. - 5/10 -

Na seznamu dostupných záloh si uživatel v rozklikávacím seznamu vybere zálohu podle typu, názvu a data (rozděleno podle měsíců, týdnů a dnů). Pokud je v rámci daného typu zálohy k dispozici i výběr konkrétních souborů (neplatí pro emaily), následuje jejich výběr: - 6/10 -

Před definitivním zadáním požadavku na obnovu je k dispozici jeho přehled. Informace o dříve zadaných požadavcích má uživatel k dispozici jednak v přehledu Požadavků na obnovu: - 7/10 -

a dále Detailu požadavku, kde je, v případě platných obnovených záloh možnost požádat o jejich zrušení (v případě, že uživatel dosáhl limitu na počet obnovených záloh a potřebuje další): - 8/10 -

Obnovená data má uživatel k dispozici podle typu zálohy: soubory a zálohy databází jako komprimovaný archiv ke stažení z URL uvedeného v aplikaci a emailu, kterým je o připravených datech informován; u zaměstnaneckého emailu (Groupwise) dostane uživatel návod pro obnovu jedním ze dvou možných způsobů: o Připojení Groupwise klienta k zvláštnímu poštovním úřadu běžícímu nad zapisovatelnou kopií svazku dat. Odtud si může pomocí funkce archivace požadované položky uložit na lokální počítač a následně vrátit do produkční schránky. o Připojení libovolného poštovního klienta k výše uvedenému poštovnímu úřadu přes protokol IMAP. Tímto způsobem není možné obnovit adresáře. u studentského emailu (maily ukládané ve formátu Maildir a zpřístupněné přes IMAP server) je záloha připojena do schránky jako další složka, ze které si můžu uživatel požadované položky přesunout 3. Zdůvodnění změn v projektu V rámci projektu došlo ke změně v původně zamýšlených možnostech způsobu "doručení" obnovených dat uživateli. Po podrobnější analýze byla vypuštěna možnost obnovy dat do původního umístění. Tato varianta byla vyhodnocena jako potenciálně problematická kvůli možnému, uživateli nezamýšlenému, přepisu novějších dat staršími. Server DELL PowerEdge R720XD byl nahrazen ABACUS PCS S2420Q-M5 z dùvodu vyšší dostupné kapacity - 34x3TB HDD + 2x SSD oproti 12x4TB + 2x SSD. - 9/10 -

4. Dosažené cíle řešení Za prostředky CESNETu byl pořízen server s kapacitou 45TB s možností dalšího rozšíření připojením SAS šasi. Proběhla registrace a vytvoření virtuální organizace VO AMU v rámci datového úložiště CESNET a následné napojení zálohovacích programů. Zálohovací plán byl rozšířen o možnost vysoké kapacity offsite záloh na nově připojené úložiště. Vzniklé rezervy diskových kapacit na lokálních úložištích tak umožní např. zálohovat vícekrát denně a uchovávat archivní logy pro obnovu databází po delší časové období. Koncoví uživatelé mají k dispozici nástroj pro samoobslužnou obnovu svých dat ze záloh. Zároveň lze tento nástroj využít, i při zachování jednotného systému zálohování, k jednoduché delegaci dalších práv pro přístup k zálohám. Především jde o fakultní IT správce, kteří mají na starosti pouze určité skupiny uživatelů, nebo o uživatele (zaměstnance nebo i studenty) starající se o různé webové projekty (weby kateder, festivalů apod.). 5. Konkrétní výstupy, další využitelnost Hlavním konkrétním výstupem tohoto projektu je webová aplikace, kterou mohou využít i další členové sdružení CESNET. 6. Přínosy projektu, vlastní hodnocení Přínosem projektu je zjednodušení a zefektivnění přístupu k zálohám pro koncové uživatele, kteří nemusí žádat o obnovu dat administrátory. Pro administrátory potom znamená úsporu práce. 7. Tisková zpráva Zpracoval: Radim Chvála, řešitel projektu, v Praze dne 30. 1. 2016-10/10 -

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář