• 0
    Презентация с анализом и примерами неудачных восстановлений после серии атак вируса Not Petya, Wanna Cry и других направленных атак на Украину за последние два года, в контексте возможностей систем NetApp.

    http://bit.ly/NetApp-against-ransomware-slides
    Как защитить корпоративное хранилище от вирусов-шифровальщиков снэпшотами
  • –1
    Опять инженера заставляют называть цены. Меня это каждый раз улыбает.
    Pure Storage: час //m настал
  • +1
    Спасибо за ссылку, на статью по резервному копированию, прочёл, очень хороший материал!

    Как показывает практика, нужно защищаться:
    • И программными средствами (типа Standby/ZDLRA/Continuous Data Protection/FlashBack)
    • И снэпшотами (а по хорошему ещё нужно делать реплики этих снепшотов на резервную СХД, на которой из тонких клонов тестировать эти отреплицированные снэпшоты на восстанавливаемость).


    Одно другого не отменяет, а дополняет, это видно даже по приведённым примерам в статье:
    1. Потому что, если просто иметь Standby то повреждённые данные могут отреплицироваться на запасную площадку.
    2. Полное восстановление из логов или фулл/инкрементов слишком долгое
    3. А сами по себе снэпшоты они теоретически могут быть подвержены скрытым повреждениям на СХД (хотя на практике с NetApp FAS такого не встречал, но теоретически может быть).


    Так что мало того, что по-хорошему, нужно иметь
    1. Standby/ZDLRA/Continuous Data Protection/FlashBack
    2. так нужны ещё на этих же системах и снэпы

    Чтобы быть готовым к тому, что если первый метод вовсе не сработает или восстановление по нему будет слишком долгое, тогда откатиться быстрее по второму методу и потом накатить изменения из логов по тому же первому методу (если получиться).
    Как защитить корпоративное хранилище от вирусов-шифровальщиков снэпшотами
  • +1
    Действительно, если снять снеп, а потом все данные зашивруют, то по-сути данные увеличаться в два раза.
    Но с технологией FabricPool снэпшоты смещаются с SSD накопителей на дешевое хранилище S3. Так что даже с вирусами-шифровальщиками снэпшоты не проблема. Так что с FabricPool снэпшоты сам доктор прописал.
    Как защитить корпоративное хранилище от вирусов-шифровальщиков снэпшотами
  • 0
    Ну можно и rsync«ом лить на ZFS, а на ZFS снимать снэпы, чтобы защитить от изменений снэпами.
    А можно просто подключить iSCSI лун с NAS4Free и снимать снэп с этого луна прямо на хранилище, тогда по сети вообще ничего гонять rsync»ом не нужно, но тогда нужно как-до добиваться консистентности, если на этом луне будут жить не просто файлы.
    Самый простой способ достичь консистентности это выкючить комп и снять снэпшот луна на ZFS.
    Как защитить корпоративное хранилище от вирусов-шифровальщиков снэпшотами
  • 0
    Да по-хорошему нужно было после WannaCry хотябы закрыть SMB1.
    Как защитить корпоративное хранилище от вирусов-шифровальщиков снэпшотами
  • 0
    Не уверен что в NAS4free и ZFS есть WORM.
    Не понял на счёт rsync. У ZFS/NAS4Free есть свой собственный механизм репликации на вторую NAS4free/ZFS.
    Как защитить корпоративное хранилище от вирусов-шифровальщиков снэпшотами
  • 0
    Посмотрите на NAS4Free с ZFS.
    Там можно хранить файловую шару и даже запускать ОС с iSCSI.

    При большем желании можно написать простую интеграцию для снятия снэпшота по каким-то событиям, к примеру выключение ОС.
    Как защитить корпоративное хранилище от вирусов-шифровальщиков снэпшотами
  • 0
    По поводу экономии, здесь 100% согласен. В постсоветских странах это мега фишка — экономия на ИТ, которая ВСЕГДА выливается боком.

    Все привыкли ставить пиратское ПО из-за этого все привыкли что ИТ это дешево. Соответственно бюджетов на ИТ нормальных не выделяется и мы имеем то что имеем сейчас. Кстати из-за этого же недооценённые и сами ИТшники. Нужно объяснять бизнесу что ИТ — «это не дешево» и «это не то место, где можно экономить».
    Как защитить корпоративное хранилище от вирусов-шифровальщиков снэпшотами
  • 0
    Если по-быстрому нужно всё закрыть в формате «Лучше перебдеть, чем недобдеть», тогда да.
    Как защитить корпоративное хранилище от вирусов-шифровальщиков снэпшотами
  • +1
    Основная масса в штуках, это конечно же компьютеры.
    Но самые большие проблемы фирмам принесли именно вышедшие из строя сервера.

    Поверьте я знаю о чем говорю, всю неделю без выходных и отдыха езжу по заказчикам ;)
    Как защитить корпоративное хранилище от вирусов-шифровальщиков снэпшотами
  • 0
    Чтобы «лишь добавить скрипты CommVault» нужен собственно CommVault ;)
    Который в свою очередь умеет работать с натаповскими снепшотами и если есть HardWare-Assistant снэпшоты СХД, то рекомендуется использовать именно их на высоконагруженных задачах.
    И тут круг замкнулся.
    Как правильно работать со снапшотами виртуальных машин
  • 0
    Во-первых, не у всех стоит Windows, чтобы использовать VSS и не у всех Postgres.
    Во-вторых, об этом и речь, что «просто если убрать галочку и больше ничего не делать», такие crash consistent снепшоты иногда полезны, но в большинстве случаев бесполезны. По-этому нужны какие-то агенты, скрипты, интеграции.
    Как правильно работать со снапшотами виртуальных машин
  • 0
    Вы совсем запутались и всех позапутывали :)
    «ребренженный CommVault» это SnapProtect.
    FabricPool — технология экономии для All Flash хранилищ
  • 0
    navion наверное перепутал платный и навороченный SnapCenter с бесплатным SnapCreator.
    FabricPool — технология экономии для All Flash хранилищ
  • 0
    Хотите Python — работайте через API напрямую.
    FabricPool — технология экономии для All Flash хранилищ
  • 0
    1. Да, это нормально работает только для 6.Х, а вот VASA есть для 6.5
    2. Ну так пожалуйста пользуйте Veeam (или шо вам нравится) on FAS
    3. А весь мир только на Python и жиждется. И какая вам вообще разница на Python или на Perl, это же скрипт, берете и используете.


    У вас всё сводиться у тому что NetApp конкретно под ваш FAS2000 не написал то что нужно именно вам. Отсюда ваши претензии. Но так не бывает. Нигде. Каждый продукт хоть закрытый, хоть опенсорсный делается «для большинства», а не для единиц. За исключением если эти единицы не гигантские заказчики.

    Ну и что что забили на VSC for RHEV? И шо? Вам решение нужно или рюшечки?

    Вам такое говорить не положено :-)

    ЗЫ. А я не стесняюсь говорить правду.
    FabricPool — технология экономии для All Flash хранилищ
  • 0
    Если удалить все снэпшоты снятые гипервизором (VMware или Hyper-V, не важно), дождаться полной консолидации (это может занять не мало времени), то производительнсть виртуальной машины вернётся на прежний уровень.

    Другие потенциальные проблемы от снэпшотов VMware (да и Hyper-V тоже), которые автор не раскрыл в коментах.

    Очень важно, что у нетаповских снэпшотов таких проблем вовсе нет.
    FabricPool — технология экономии для All Flash хранилищ
  • 0
    Если нет острой потребности в возвращении виртуальной машины к конкретному состоянию памяти, отключите опцию «Память». Состояние памяти редко может потребоваться.


    Снэпшот нужен для того, чтобы можно к нему восстановиться. Если в виртуальной машине лежит что-то, кроме файлового сервера или AD, а к примеру база данных, то как же из такого снэпшота без памяти можно восстановить БД?

    Мне абсолютно ясно, почему такая рекомендация даётся, но этот сложный момент здесь слабо расписан. И выходит, что из-за такой упрощённой подачи информации у читателя может сложиться ложное впечатление, что таких ситуаций, когда возможно выключить память из снэпа, что их якобы на практике большинство.

    И вовсе не рассказывается о последствиях в плане сложности, или вообще возможности, восстановления из снэпшота без памяти.

    Будьте аккуратны со снапшотами высокозагруженных виртуальных машин, таких как серверы баз данных и почтовые серверы. Такие снапшоты могут быстро увеличиваться в размерах, заполняя пространство хранилища. Удаляйте снапшоты с виртуальных машин, как только они перестают быть необходимыми.


    Кстати говоря, я конечно понимаю, что это статья «как пользоваться снэпшотами», а не «как ими не пользоваться», но стоило бы чуточку более широко раскрыть тему, в каких случаях ими категорически не стоит пользоваться. Ведь дело не тоько в занятом пространстве, а и в других потенциальных проблемах, ведь сам VMWare не зря же сама рекомендует вообще не включать снэпы на высоконагруженных задачах. К примеру:

    • Удаление снэпшота и консолидация это весьма трудозатратный процесс с точки зрения производительности дисковой подсистемы и как следствие дополнительной нагрузки на виртуальную машину.
    • Просто сам факт наличия снэпа уже может вносить существенные накладные расходы и тормозить виртуальную машину
    • Ну и консолидация на практике ни раз заканчивается крахом и повреждением виртуальной машины, достаточно погуглить фразу "vmware consolidation failed recovery"
    Как правильно работать со снапшотами виртуальных машин
  • 0
    navion По поводу интеграций


    Что же касается API.


    Я бы с трудом мог использовать фразы «У Нетапа тоже не всё идеально» и «нет вменяемого API для автоматизации».
    FabricPool — технология экономии для All Flash хранилищ
  • 0
    navion нет предела совершенству.
    По снепшотам я уверен, что в плане снепшотов, лучше нетапа нет никого.
    FabricPool — технология экономии для All Flash хранилищ
  • 0
    В версии прошивки 4.3 уже поддерживается SnapMirror репликация между FAS системами и AltaVault.
    NetApp AltaVault: Резервное копирование и архивирование данных в облаке
  • 0
    Вот бы ещё NetApp FlexGroup, Veeam B&R и VMware vVOL научились раотать с pNFS, вообще была бы песня :)

    NetApp ONTAP c Veeam Backup & Replication
  • 0
    Обратите внимание, что NFS — NFS'у рознь. Есть «просто NFS», а есть pNFS. Так вот, сетевые дизайны для двух таких протоколов могут отличаться. К сожалению VMware пока что не поддерживает pNFS, его поддерживает Linux сервера.

    Техническая возможность прямого включения присутствует, у Циско есть дизайн настройки FI для прямого подключения по NFS (просто). Они даже могут взять себе на поддержку такой не-флекспод комплекс (была специальная программа), поддержка естесственно не бесплатная.

    Для класического NFS в случае прямого включения, на сколько я помню, необходимо правильно настроить профили vNIC так, чтобы они были не привязаны к FI, а переключались с одного FI на другой. Важно чтобы при переезде физический порт FI тушился, если с него уезжает vNIC, чтобы сообщить СХД о необходимости переключиться на новый путь. Со стороны FAS системы, настройки будут зависить от того, используете вы 7-mode или cDOT, так как в последнем есть дополнительный механизм отказоустойчивости для протоколов 7го уровня, использующих IP: В 7-мод, для этой цели, есть только «single-mode interface group» (на уровне Ethernet), а в cDOT можно ещё воспользоваться Failover Group (для переезда IP).

    Такой дизайн не входит в FlexPod архитектуру. Касательно правильной настройки сетевой части UCS, обратитесь за консультацией к инженерам Cisco по этому продукту.
    FlexPod Express: UCS-Managed конфигурация
  • +1
    В новой прошивке ONTAP9 стала доступна функция FlexGroup, которая позволяет более равномерно размазывать нагрузку по конмонентам СХД.
    FlexGroup это контейнер для хранения файлов, который можно шарить по протоколам CIFS(SMB), NFS, также как и в обычных FlexVol, они могут хранить снепшоты. И естественно FlexGroup в свете более равномерного размазывания производительности может стать инетересен для виртуализированных сред. Но как же системы резервного копирования типа Veeam, смогут ли они работать с FlexGroup?

    Мне удалось проверить это на практике с ONTAP 9.1 и Veeam 8. Как видно на скриншотах ниже, аппаратные снепшоты СХД снимаются для FlexGroup, а Veeam Proxy благополучно вытягивает резерные копии прямо из этих снепшотов по NFS.

    Скриншоты



    NetApp ONTAP c Veeam Backup & Replication
  • 0
    Какая среда вас интересует?
    Если вас интересует разработка под Oracle с технологией NetApp FlexClone, то возможно вам будет интересно взглянуть на документы:
    NetApp FlexClone: Как технология ускоряющая разработку
  • 0
    Что именно трудоёмко?
    В плане надёжности вы меня улыбнули :)

    Что именно под докером будет работать?
    Есть NetApp плагин для докер контейнеров, который позволяет в контейнер монтировать постоянное хранилище.
    NetApp FlexClone: Как технология ускоряющая разработку
  • 0
    По цене не скажу, я это не продаю а настраиваю, но мне кажется что минимальная конфигурация должна быть существенно дешевле миллиона $ ;)

    Вы совсем не внимательно читаете статью, там всё написано и даже нарисованно.
    Итого между двумя сайтами минимум необходимо 4 жилы, плюс Cluster peering.
    .

    Как вы будете вести оптику, поразнь или всё одним маршрутом, — ваше дело.
    NetApp MetroCluster (MCC)
  • 0
    Fabric-Attached MetroCluster
    MetroCluster может растягиваться до 300 км.

    Bridge-Attached Stretch MetroCluster
    Может растягиваться до 500 метров

    Stretch MetroCluster с прямым включением
    Самый дешевый вариант. Может растягиваться до 500 метров
    NetApp MetroCluster (MCC)
  • +1
    trunking в NFSv4.1 пока что нет в ONTAP 9.1.

    Мониторить ситуацию, появилась ли поддержка в новых версиях, можно через документ TR-4067, раздел под названием «NFSv4.1» или по ключевому слову «RFC 5661».
    Зачем обновляться до Data ONTAP Cluster Mode?
  • 0
    Infinite Volumes поддерживают pNFS начиная с версии Clustered Data ONTAP® 8.2.
    Зачем обновляться до Data ONTAP Cluster Mode?
  • –1
    Скорость проверки зависит исключительно от антивирусной системы и количества серверов проверки. Подобные решения на базе аппаратных NAS хранилищ предназдачены для достаточно больших инфраструктур, где несколько выделенных серверов для проверки файлов не является чем-то большим, пугающим или черезмерным. Учтите также что вы можете вирртуализировать сервера проверки, а не выделять несколько физических серверов.
    Каждая из антивирусных систем имеет собственные рекомендации по системным требованиям и подбору вычеслительных ресурсов (Сайзинг). К примеру вот докумнет по сайзингу для McAfee и документ по минимальным системным требованиям для того же антивирусника (стр 11).
    NetApp ONTAP и антивирусная защита NAS
  • 0
    Коротко писать про СХД не очень получается потому, что обычно технологии, особенно в сфере СХД, особенно в ONTAP, они, как правило, тесно связаны друг с другом, как слоённый пирог.

    И если не упомянуть о этих связях, чтобы быть кратким, то не возможно ответить, почему, что-то устроено так а не иначе. В таком случае вы перестаёте понимать почему это устроено так, вместо этого вы вынуждены принимать информацию отрывчато, «как есть».
    NetApp ONTAP & ESXi 6.х tuning
  • 0
    Кроме того не забывайте что я пишу для всех, т.е. пытаюсь рассказать сразу всё что касается заданной темы. Я не могу подстраиваться конкретно под вашу задачу, вашу инфраструктуру и ваши протоколы.

    Если я уберу сслыки, найдётся множество читателей которые сразу же скажут или подумают, что всё что я пишу это «полёт мысли» не имеющий подтверждения.

    Признаю, что писатель из меня так себе, но я пишу как умею, на сколько у меня получается, если у вас есть идеи как именно упростить тот или иной абзац или фрагмент текста — пожалуйста, предлагайте.
    NetApp ONTAP & ESXi 6.х tuning
  • 0
    Конструктивная критика, это выражение которое сотоит из двух слов и называется конструктивной потому, что она состоит из критики и из конструктива.

    Т.е. чтобы критика была конструктивной нужно не просто дать критику, нужно предложить что-то, как улучшить или сиправить то о чём идёт речь. Она предполагает не просто критику ради критики, а желание подправить, дополнить, улучшить.

    Так вот критику я от вас слышу постоянно и нескончаяемо. Предложите ещё и конструктив.
    NetApp ONTAP & ESXi 6.х tuning
  • 0
    Согласен, та схема была достаточно тяжёлая. Я кстати писал про такую схему когда-то давно. На самом деле та схема, это костыль к Ethernet, потому, что он плохо балансирует по линкам и у него нет встроенного мультипасинга для отказоустойчивости.

    К сожалению VVOL пока что так и не научился работать с pNFS, в котором по-своему решена эта проблема. Надеюсь что VMware работает в этом направлении.
    NetApp ONTAP & VMware vVOL
  • 0
    Полагаю, оба этих события ONTAP 9.2 & VSC 7.0 будут приурочены VASA API v3.0.
    NetApp ONTAP & VMware vVOL
  • 0
    Спасибо за новость! Кстати ориентировочно к этому времени выйдет ONTAP 9.2.
    NetApp ONTAP & VMware vVOL
  • 0
    Ограничения и технические требования описаны в TR документе о vVOL на стр 10.
    NetApp ONTAP & VMware vVOL