如果我具有带回滚功能的冗余存储系统，是否还需要备份？

32

我的组织最近购买了一个存储系统。它具有1.5Petabyte，带有RAID6，并且在物理位置上有一个联机同步镜像。

系统允许回滚/文件恢复，默认情况下最多允许30天，但是可以增加。

如果我们需要某种额外的备份来仅存储在存储中的数据，则正在进行讨论。

该系统具有非常好的冗余级别，具有地理冗余并且可以在一定程度上回滚，这意味着我们可以恢复到定义的时间（默认为30天）的旧数据或意外删除的数据。

在这种情况下，进行“传统”备份是否仍然有意义？传统上，我指的是专用的备份系统，其中包含快照，以防万一出现问题。

我们真的需要吗？我想念什么吗？我是不是只是按照传统的方式思考并且过分热心？

backup backup-restoration

— nsn
source

如果还允许您将快照复制到另一台设备，则可以克服Sven在他的回答中提到的问题。

— Drifter104，2015年

4

绝对相关，但由于地域分离和快照回滚功能可能并非完全相同：为什么RAID不是备份？

— CVn 2015年

只要您还从该位置的每个键盘上都删除了“删除”键，您就是金;-)

— 汤姆·牛顿

1

当然比没有那个要好。我仍然希望备份的位置远离实时的“人为错误”。不过，您知道问题的答案，但这涉及对数据定价。祝好运。

— 汤姆·牛顿

7

您的“回滚”功能是否还包括对卷的更改？例如，如果有人删除所有卷，它将能够恢复吗？

— vhu 2015年

40

您所描述的内容在地理上分散的RAID至关重要，而RAID 从来都不是备份。

在线同步通常意味着您在主存储上执行的所有操作都会立即复制到备份系统，包括攻击者删除（所有）快照和/或卷或删除管理员错误等操作。

— 斯文
source

3

或者，由于两个存储可能使用相同的操作系统，因此软件错误可能会破坏数据。不太可能，管理员错误的可能性更大，但有可能。

— 桑兹2015年

8

真正。目标是没有人能够管理自动快照。这应该使人们对错误有一定的应变能力。当然，您也可以错误地删除备份。

— nsn 2015年

2

@nsn还有许多其他相关的故障，例如设备软件中的错误或管理脚本中的错误。没有其他地方的备份，您会将工作委托给供应商...您愿意这样做吗？还要量化损失的损失。答案可能取决于数据的价值。公司没有它了吗？

— usr 2015年

2

@ nsn >当然，您也可以错误地删除备份。< -是的，但是当备份脱机并放置在安全的异地存储中时，这将变得更加困难。

— 罗伯·摩尔

7

30天的回滚功能强大，但是如果“至关重要的文件xyz”损坏/损坏并且直到31天后才检测到，该怎么办？这种情况是备份计划和归档计划之间的区别，但是在您的描述中没有提到后者。归档系统通常存储在非常便宜的磁带上。此外，也没有关于该企业是否具有监管要求或其他要求将数据保留超过30天（通常是这种情况）的信息。

如果不是您的情况，那么您应该很好。

— 维克多·马克斯（Victor Marquez）
source

3

没错。30只是默认值，我们可以设置其他值。无论如何，离线存储也要花钱，而且不会永远存在。总会有一天n + 1

— nsn

2

我喜欢滚动30天，再加上去年的每月，再加上一年。我有许多文件（重要的和旧的）消失了，并且在滚动时间内没有被检测到。年度备份可以节省生命。

— Brian Knoblauch 2015年

@BrianKnoblauch：是的，对于联机快照或脱机备份，这种方案都是一个好主意。

— Ben Voigt，2015年

6

具有地理上分开的机器都具有数据是好的。

当您同时涉及到两个或全部站点的多个故障时，会发生什么情况？一个起火，另一个盗窃服务器？或它们之间的连线有问题，然后主位置的服务器熄灭，而HD控制器变猿并写垃圾？还是一些内部人员对两者都进行了恶意行为？或者FBI出于怀疑而没收了您在这两个位置的服务器（您永远不会，但是，也许您与schmucks一起托管在数据中心中）。或者..我想起了几次备受瞩目的“云”停机，这些停机都是多余的，分析到第n级，但是仍然会出错。我会向您保证这些都是不可能的，但是您已经承认，不太可能发生的事情。

因此，归结为该数据的重要性/价值？如果组织最终消失了，该怎么办？

— 戴维·戴维森
source

3

如果您有两个位置，但同时丢失了两个位置，则可能还丢失了备份。大多数答案是在两个以上的站点上进行复制的论据，而不是支持备份的论据。

— 2015年

2

那永远。每次添加一定级别的冗余时，您总是可以期望它会失败（无论是地理上的还是磁盘上的）。如果您有n个冗余磁盘，则始终可以询问“如果n + 1损坏了怎么办”。您可以在服务器机房和备用机房中起火。内部工作也可以同时攻击两者。没有100％故障安全系统。这里的事情是要知道这样的设置是否可以等同于“传统”服务器+备份

— nsn

1

我认为@nsn很有意思，但我也认为，从许多答案中得出的教训是，将备份与存储介质存储在单独的技术基础结构中是一个好主意，因为这会使技术难上加难传播失败，恶意行为者更难同时感染这两个病毒（但更难感染）。我们经常在冗余系统中看到导致故障级联的错误。拥有不同的解决方案/供应商会有所帮助。这种对冲仍在继续，但是我认为在大多数情况下，这种技术分离水平是合理的谨慎。

— 尼克

@尼克，我想你有一个非常有效的评论。我会回答。

— nsn

4

这里的问题似乎是关于在备份而不是高可用性/冗余基础结构之前，数据复制副本需要如何断开连接并在地理上与众不同。我的直觉是您很亲密，但仍需要备份。

要将其他答案和评论中的一些想法汇总在一起（樱桃选择），您可以沿着“嗯，X技术无法覆盖Y灾难场景，因此它不是备份”的路径走得很远。您需要决定什么对您来说合理，这似乎就是您要问的原因。我对此的看法以及许多评论者的看法是，您的备份需要与使用中的数据存在于独立的技术基础结构上，以使故障，事故和恶意行为无法传播或具有更高的障碍。注释中给出的一个示例是有人删除了卷，我认为这是有效的，并非天上掉馅饼的情况。但此外，我的作品中有一个真实的例子。我工作的大学（但值得庆幸的是，管理此基础结构）具有一些严重的高可用性虚拟化基础结构，可支持许多校园设施。它位于多个站点，但都在一个供应商的平台上运行。有一天出现了一个晦涩的错误，该错误导致故障级联，该故障级联首先关闭了一台服务器，然后当负载转移时，它删除了该站点的其余部分，然后当负载再次转移时，它又删除了其他托管站点该基础架构。（我相信他们从那时起已经解决了这个问题）。在这种情况下，数据不会丢失，但是可以想象一个场景，其中包含您的数据。有一天出现了一个晦涩的错误，该错误导致故障级联，该故障级联首先关闭了一台服务器，然后当负载转移时，它删除了该站点的其余部分，然后当负载再次转移时，它又删除了其他托管站点该基础架构。（我相信他们从那时起已经解决了这个问题）。在这种情况下，数据不会丢失，但是可以想象一个场景，其中包含您的数据。有一天出现了一个晦涩的错误，该错误导致故障级联，该故障级联首先关闭了一台服务器，然后当负载转移时，它删除了该站点的其余部分，然后当负载再次转移时，它又删除了其他托管站点该基础架构。（我相信他们从那时起已经解决了这个问题）。在这种情况下，数据不会丢失，但是可以想象一个场景，其中包含您的数据。

您希望备份不受所有这些因素的影响，甚至在该基础结构崩溃时也可以访问。如果在重建RAID的一周内数据不可用，那么能够从备份中恢复业务关键文档就很好了（尽管不是必需的）。如果您的RAID消失了，然后复制到另一个站点，您将真的希望备份来自单独的供应商或某些隔离的介质（如磁带）。

所有这些，我将再次重复您的备份应与数据位于单独的基础结构中。这里有很多级别的隔离，但是我认为通过直接复制连接的任何内容都太接近以至于无法备份。您还需要其他东西。

— 缺口
source

1

假设：存储系统将被许多应用程序使用。

我认为使用单独的备份系统会做得更好。

RAID和镜像不是备份，但是内置的回滚功能可以代替传统的备份系统。

但：

我更喜欢将恢复策略基于应用程序/数据，而不是基于存储，因为：

应用程序具有与恢复和可接受的数据丢失相关的不同要求（其中一些是由各种法规强加的：只读介质，加密，保留最后X年等），
一些应用程序内置了（非常）好的备份和恢复工具（oracle，mssql），并且推荐做备份/恢复部分的方法（作为Oracle DBA，我更喜欢，我将使用rman进行与Oracle有关的所有备份）。
增长，您对空间的使用可以比您预期的快得多，现在该系统可以容纳30天的回滚数据，将来无法保证
更便宜的是，经过几年的增长，使用更大的磁带来容纳备份/恢复策略的成本将比购买新的更大的磁盘以遵守与现在相同的回退窗口的成本要小。

— 瓦伦丁
source