Központilag felügyelt, automatikus biztonsági mentések az AWS Backup szolgáltatással
|

Bizonyára mindenki hallott már olyan cégekről, amelyek tönkrementek, mert nem voltak biztonsági másolataik - vagy amelyek nem arról készítettek biztonsági másolatot, amiről kellett volna.

Az AWS Backup (igen, ilyen ötletes nevet kapott a szolgáltatás) egy nagyon egyszerű felülettel teszi lehetővé a biztonsági másolatok készítését. Backup készíthető vele:

  • EBS-ről, azaz a virtuális gépeink háttértárairól,
  • EFS-ről, azaz a filemegosztásokról,
  • RDS-ről azaz a menedzselt SQL-adatbázisszervereinkről,
  • DynamoDB-ről, azaz a menedzselt NoSQL-adatbázisainkról és
  • a Storage Gateway-köteteinkről, azaz lényegében az on-prem adatainkról.

Plan létrehozása az AWS Backup szolgáltatásban

Az AWS Backup használata során terveket (Plan) készítünk. A tervben meghatározzuk, hogy:

  • mit mentsen a terv,
  • hova kerüljön, illetve
  • milyen időszakonként készüljön mentés (és hogy mennyi idő múlva törlődjenek a régiek),
  • mikor (a nap mely szakában) történjen és
  • milyen címkéket kapjon az elkészült mentés.

A mit részben felsorolhatók a menteni kívánt erőforrások azonosítói, de sokkal jobb, ha címkék (tagek) alapján mentünk. Címkézni amúgy is nagyon-nagyon érdemes (mondanám, hogy kell). Minden hozzáértő azt mondja (és mi is ezt oktatjuk tanfolyamainkon), hogy szabad nem értened az AWS-hez, amikor elkezded használni, de már az első naptól egy komolyan átgondolt taggelési stratégiával kell rendelkezned. Az AWS Backup egy újabb példa, hogy miért oktatjuk ezt: hiszen így egyetlen szabállyal megmondható, hogy minden nap készüljön biztonsági másolat a "pénzgyár" projektben használt erőforrásokról. A hova részben pincét, kincseskamrát, magyarul vaultot adhatunk meg a mentés céljaként - ide kerül az, amit mentünk. Hogy ez miért fontos? Mert vaultonként adhatunk a cég alkalmazottainak hozzáférést a mentett adatokhoz. A törlődések például azért érdekesek, hogy tutira ne fizessünk a szükségesnél többet az AWS-nek. Az sem utolsó szempont, hogy ha vállaltuk (vagy a törvény kötelez rá), hogy a hogy a kamera felvételeit 30 naponként töröljük, akkor ezt tényleg megtegyük.

Nem beszéltünk még a Backup Rule-okról. A szabályok a tervekhez kapcsolódnak, tervenként egy mindenképp van. Ha például azt szeretnénk, hogy egy virtuális gép háttértáráról minden nap készüljön mentés, ami aztán két hét múlva kukázódjon, de mondjuk hetente legyen olyan mentésünk is, ami csak fél év múlva lesz az enyészeté, akkor beállítunk egy második szabályt is. Az új szabály menthet másik vaultba, azaz akár egy olyan helyre is, amihez csak az erre szakosodott csoportnak van hozzáférése, így újabb lehetséges emberi hibától védjük magunkat.

Maga az AWS Backup szolgáltatás is akkor kap hozzáférést az adatainkhoz, ha azt engedjük neki az IAM-ben. Szerencsére van egy alapértelmezetten használt és az AWS által karbantartott AWSBackupDefaultServiceRole szabály, úgyhogy az esetek nagy részében nekünk a jogosultságokkal nem kell foglalkozni. Ha különleges igényeink volnának, az út nyitva áll. A másolatok elkészülte nyomon követhető az AWS Backup szolgáltatás főképernyőjén. Hogy az elkészültük során és azt követően mi minden történik velük (például hogy ki törölte le azt a biztonsági másolatot, amiből láttuk volna, hogy a drága hacker mikor jött be a gépünkre), mindig kideríthető a CloudTrail feljegyzéseiből.

A világ összes biztonsági mentése sem ér semmit, ha nem tudjuk visszaállítani a szükséges adatainkat, ejtsünk tehát erről is szót:

  • EBS esetén visszaállítjuk a kötetet, csatoljuk egy EC2-példányhoz, mint ha egy egyszerű EBS-snapshottal dolgoznánk. Azért megy így, mert valóban azzal dolgozunk.
  • EFS esetén megadható akár fájlszinten is, hogy mit szeretnénk visszaállítani.
  • RDS esetén sincs újdonság: RDS-snapshotok készülnek, abból állítunk vissza - mint ha a snapshotot kézzel készítettük volna.
  • A DynamoDB sem jelent különbséget.
  • A Storage Gateway-köteteket meg EBS-snapshotként kapjuk vissza, és innentől lásd fentebb.

Akkor ez az egész AWS-Backup nem is olyan nagy durranás? Hiszen mindent meg tudtunk csinálni eddig is. Igen, meg tudtunk, a kérdés inkább az, hogy tényleg megcsináltuk-e. Készült nálatok a mondjuk hét naponként ürülő RDS automated backup mellett például három hónapig megmaradó heti mentés? Ha eddig ez nem volt gond, akkor az AWS Backupra nincs szükséged.

És mi a helyzet a cikk elején fel nem sorolt erőforrásokkal? Nos, a megoldás valóban nem teljeskörű, a szolgáltatások jelentős részét nem talájuk meg ott. Az AWS Backup nem túl régi szolgáltatás (tavaly januári), és bizonyára várható a támogatott szolgáltatások bővülése, amire már csak azért is számítunk, mert pár napja bejelentették, hogy lehet kérni (opt-in), hogy az egyes szolgáltatások szerepeljenek az AWS Backup által mentett erőforrások között. Amíg pedig meg nem érkezik a kedvenc szolgáltatásunk támogatása, addig marad a Lambda - abból olyan mentést készítesz, amilyet akarsz. Persze ekkor a logikát neked kell kitalálni és megvalósítani, monitorozni, támogatni - szóval van vele munka.

[Vissza a bejegyzésekhez]