Otthoni és (kis)céges fájlszerver adatbiztonsága: RAID, offline és online backup

Az Élet egy újabb témát dobott elém, ami egy eléggé költséges téma és sajnos saját fájlszerverrel történt az eset, az elmúlt 6 évben másodszorra. Előzetesként csak azt tudom mondani, amit minden rendszergazda: A RAID nem helyettesíti a biztonsági mentést!

Adatok tárolása

Mivel sok komponenssel dolgozom, sok verziót kell tárolni a munkákból és a családi fotóknak és videóknak is kell a hely, ezért adott volt a feladat, hogy NAS kell. Fontos volt, hogy villámcsapás, winyóhalál, véletlen törlés, titkosítós vírus esetén is a lehető legtöbb adat maradjon meg.

A hardver

2db NAS-ra kiváló hardverrel rendelkezem, egy HP MiroServer N36L-el (AMD Athlon II Neo 1.3GHz 2 mag, 3GB RAM, 3y1TB WD blue) és egy HP MicroServer Gen8 (Celeron, 2GB, 3x2TB WD blue). A kisebbik gépben korábban 2TB-s WD greenek voltak és igen, az 1.6GB instant bad sector szériából. Akkor néhány óra alatt 4 merevlemez esett ki a 4 lemezes tömbből, a nagyon fontos cuccokról volt mentés külső 160GB-s winchesteren. A jelen gép a gen8, ami másfél éves, a merevlemezek 1 évesek. Abba ne mmennék bele, hogy a HP sebességben csak visszafele fejlődik, az egy másik bejegyzés témája lehet.

Persze mondhatnád, hogy a WD gagyi, sokkal jobb a … márka. Sok-sok év tapasztalata nálam azt mutatja, hogy a legkisebb baj még mindig a WD-vel következik be. A Seagate pl. jellemzően egyik pillanatról a másikra úgy hal meg, hogy a vezérlő sem látja. Ami valljuk be sokkal rosszabb, mint ha 6 darab bad sector miatt esik ki az eszköz a RAID-ből vagy válik olvashatatlanná 1-2 fájl a sok százezerből.

A szoftver

Sok éve piacvezető a NAS-ra készített rendszerek között a FreeNAS. Mivel régen nem kezelt még linuxos fájlrendszereket (ext2-4), csak a saját BSD-s fájrendszereit, ezért ha gubanc volt, elég kacifántos volt visszaszerezni az adatokat. Rossz emlékeim vannak róla és – hiába talán az egyik legjobb rendszer –  rossz érzéssel használom, ezért kerülöm. A FreeNAS-ből nőtt ki a NAS4Free, ami a mai napig megőrizte az UI dizjánt, kisebb rendszerigénye van, a pro rendszergazdák köpködnek rá (FreeNAS az isten), de valahogy nekem sokkal stabilabb pontnak tűnik.

Utána következett az OpenMediaVault, amiben tetszett, hogy szabvány Debian Linuxra épül. A kezdetekben volt is ebből probléma, mert nagyobb rendszerfrissítések után bizonyos modulok vagy funkciók nem vagy nem jól működtek. Mára ez is kiforrta magát, és még mindig szívesebben használom, mint a BSD alapú megoldásokat. Plusz valahogy a GUI-ja is kicsit barátibb számomra.

Persze nem mindenki rendszergazda és nem is tudja, hogy mi az az SMB protokoll. Csak egy olyan megoldást szeretne, amit könnyű kezelni, és biztonságbn tudhatja az adatait. Ilyenkor jönnek képbe a „fröccsöntött” NAS-ok, pl. Synology, QNAP, ASUStor, Zyxel, Netgear, … Ebből az első 2 kiemelkedik a többi közül, modern, csilli, egyszerű felületével. A QNAP kicsit cégesebb tudással és felülettel, a Synology pedig inkább kicsit otthoni felhasználásra van igazítva. A Synology rendszere nagyon sok nyílt forráskódú komponenst használ, így elérhetővé tették a kezelőfelület forráskódját. Ehhez készítettek egy kis nem hivatalos „okosságot” hogy működjön nem Synology hardveren is, így megszületett az XPEnology. Amí eléggé pengeélen táncol a legalitás és illegalitás határán. Én ezt a rendszert választottam, nagyfokú egyszerűsége, az elérhető bővítmények , a Docker GUI, a Google Storage, a Dropbox stb. miatt.

A RAID

Egy kis olvasnivaló a Wikipedián: https://hu.wikipedia.org/wiki/RAID ami közel sem fedi le a témát, de az alapvető dolog megértéséhez elég. Esetemben ennek azért volt lényege, hogy egy RAID5 típusú tömböt hozhassak létre, ami 2db adat és 1db paritás merevlemezből állt, azaz a 3x 2TB össz méretből 4TB-t használhattam és 1 meghibásodását viseli el adatvesztés nélkül. Általában ez otthonra elég, sőt céges környezetekben is elég népszerű. Előnye, hogy nagy hasznos kapacitással rendelkezik és 1 eszköz hibáját elviseli (3 lemez esetén). Használata kicsit több processzor kapacitást igényel a paritás számítások miatt, de manapság ez már annyira nem probléma. Ha ezt ún. hot-swap (menet közben cserélhető) képességű kiépítésben használjuk, akkor egy eszköz meghibásodása esetén a felhasználók csak pár órás lassulást fognak észrevenni az egészből és máris újra egészséges az adattároló tömbünk.

„Az ellen nem véd”

A RAID-et arra találták ki, hogy a lehető legkevesebb kieséssel és adatvesztés nélkül tudjunk dolgozni (kivéve ügye a RAID0). Ez azt jelenti, hogy ez nem helyettesíti a hagyományos biztonsági mentéseket, nem véd a titkosítós vírusok, a véletlen törlés, a felülírás ellen. Ezért minden esetben ki kell egészíteni valamilyen mentési megoldással. Ez nálam a Google Storage szemtelenül olcsó (0.01$/GByte + tranzakciós díj) megoldása lett, aminek használata telekomos ADSL2 kapcsolaton keresztül rémálom (a kis feltöltési sebesség miatt).

Amikor mégis beüt a ménkű’

Éppen VPS mentéseket töltök le a NAS-ra, amikor is jön az értesítés a telefonomra, hogy a Disk 1-en I/O error van, és megajándékozott engem 6 darab hibás szektorral. Hát ez az a pillanat, amikor meg kell nézni az aktuális merevlemez árakat, és elgondolkodni a lehető leggyorsabb beszerzésen, plusz a fontos dolgokat újra lementeni egy aktuális RAID tömből független helyre. Ugyanis a RAID érdekes jószág. Ha egy háttértároló kicsit is elgondolkodik, nem válaszol x millimásodperc alatt, akkor azonnal hibásként lesz megjelölve és a RAID tömb és „adatvisszaállítási” állapotba kerül. De ilyenkor a megmaradt és ép merevlemezek sokkal nagyobb intenzitással vannak használva és ugyanúgy hisztisen viselkedik a RAID vezérlő (akár szoftveres, akár hardveres). Így 1 lemez kiesése után általában órákkal – esetleg 1-5 nappal – később jó eséllyel várható egy újabb kiesése. Ez nem kötelező jellegű, de jelentősen nő az esélye. Ez nálam régen pár órán belül az összesnél bekövetkezett, de mivel a gyártási hibás WD greenekről volt szó, ezért az nem számít.

Mivel még épp produktív állapotomban talált a hiba (kb. hajnal 1-kor), előástam a kissé pókhálós – üzemen kívüli – régi microserverem és gondoltam akkor itt az ideje kipróbálni mennyit változott a ZFS támogatás a NAS4Free-ben. Ezért beüzemeltem, rákerült egy NAS4Free és elkezdtem átmásolni az adatokat. 5 órával később jött az újabb értesítés, hogy a Disk 2-nek annyi. Mivel összesen csak 3 van, ezért megjósolható volt a következő riasztás: a tömb összeomlott.

Ó jajj

Szerencsés esetben a rendszer még elérhetővé teszi számunkra azokat az adatokat csak olvasható módban, ami még kinyerhető a sérült tömbből, de az adatvesztés ilyenkor már garantált. Csak az a kérdés, hogy mekkora része veszett el. Ilyenkor ha nincs biztonsági mentés, több napos szenvedés, adatmentő cégek luxusutazásainak szponzorálása következhet, garantálható eredmény nélkül. Szerencsétlen esetben az egész RAID tömb széthullik azonnal és szerencsejátékká alakul a visszaállítás, mert hiába csak 1 lemez hibás, ha nem tudjuk melyik az, mert mindet hibásnak látjuk. A jó eltávolításával nem lesz „féllábú” tömbünk sem, a rossz eltávolsításával viszont jó eséllyek minden adatunk megmarad. Ez utóbbi viccet az Intel RAID kártyák, az Intel szerverekben előszeretettel űzik.

Nálam ez azt jelentette, hogy mivel nem volt dugig, viszonlag kis része sérült az adatoknak, kb. 10%-a, ami a legkülönbözőbb mappákban okozott gondot. Legfőképpen pont a családi képeket és videókat, valamint az épp futó projektmunkákat tárolóban. Hol máshol?

Jelenleg egy ősi HP MicroServeren, ősi merevlemezekből épített, általam még nem kipróbált technológián, ZFS-en csücsülnek a megmentett adatok. A többi letöltésre vár majd a Google-től, kiderül majd, megérte-e a hatalmas havidíjat a 96GB-nyi cuccért (0.96$/hó).

Online backup

Valamilyen Interneten (esetleg egy másik, belsőhálózaton) tároló biztonsági mentési megoldás. A legegyszerűbb ilyen a DropBox, a legolcsóbb a Google Storage. Előnye, hogy akár tűzvész esetén is megmaradnak az adataink. Hátránya, hogy ha ellopják a jelszavunkat akkor vele az összes fontos adatunkat is.

Offline backup

Legjellemzőbb formája, amikor fogunk egy USB-s külső winchestert és rámásoljuk a fontos adatokat, majd azt lehetőleg a lehető legmesszebb (off-site, azaz telephelyen kívül) polcra tesszük. Előnye, hogy gyors, könnyen kezelhető, viszont a betörő a jelszó nélkül is megléphet a cuccal, valamint ha a NAS közelében tartjuk akkor a tűzvész ellen nem véd.

A konklúzió

  1. A RAID nem helyetesíti a rendszeres biztonsági mentést
  2. Az összes mentési és adatvédelmi rendszert kombinálni kell
  3. A RAID és a másik megosztott mappába másolás nem véd a titkosítós vírusok ellen (de ha van snapshot is, akkor az már segíthet)
  4. Ha nincs szuperérzékeny adatod, akkor fontold meg az online mentés lehetőségét (pl. Google Storage)
  5. Régen minden jobb volt, mert akkor még volt anyag a cuccokban 🙂
  6. Tök mindegy hogy megveszed a NAS-ba való merevlemezt vagy a legolcsóbbat teszed bele, ugyanolyan eséllyel döglik meg
  7. Vegyél egy rendes szünetmentest (lásd korábbi bejegyzést a típusokról), mert a feszültség-ingadozások (és a rázkódás) okozza a legtöbb merevlemezzel kapcsolatos hibát.

Update #1:

Az adatok lementése, amjd teljes lemezellenőrzés után nyomtam egy újraindítást (ezt NE tedd, ha még nem mentettél mindent, ami menthető). Úgy látszik, még még képes megbékélni pár darab bad sectorral, amíg nem okotnak I/O errort és dobjáák ki újra. A másik winchester sajnos már nem fog visszatérni a tömmbe. Így még van esély megmenteni a kiamaradt fájlokat.