bbk
0
Презентация с анализом и примерами неудачных восстановлений после серии атак вируса Not Petya, Wanna Cry и других направленных атак на Украину за последние два года, в контексте возможностей систем NetApp.

http://bit.ly/NetApp-against-ransomware-slides
bbk
–1
Опять инженера заставляют называть цены. Меня это каждый раз улыбает.
bbk
+1
Спасибо за ссылку, на статью по резервному копированию, прочёл, очень хороший материал!

Как показывает практика, нужно защищаться:
  • И программными средствами (типа Standby/ZDLRA/Continuous Data Protection/FlashBack)
  • И снэпшотами (а по хорошему ещё нужно делать реплики этих снепшотов на резервную СХД, на которой из тонких клонов тестировать эти отреплицированные снэпшоты на восстанавливаемость).


Одно другого не отменяет, а дополняет, это видно даже по приведённым примерам в статье:
  1. Потому что, если просто иметь Standby то повреждённые данные могут отреплицироваться на запасную площадку.
  2. Полное восстановление из логов или фулл/инкрементов слишком долгое
  3. А сами по себе снэпшоты они теоретически могут быть подвержены скрытым повреждениям на СХД (хотя на практике с NetApp FAS такого не встречал, но теоретически может быть).


Так что мало того, что по-хорошему, нужно иметь
  1. Standby/ZDLRA/Continuous Data Protection/FlashBack
  2. так нужны ещё на этих же системах и снэпы

Чтобы быть готовым к тому, что если первый метод вовсе не сработает или восстановление по нему будет слишком долгое, тогда откатиться быстрее по второму методу и потом накатить изменения из логов по тому же первому методу (если получиться).
bbk
+1
Действительно, если снять снеп, а потом все данные зашивруют, то по-сути данные увеличаться в два раза.
Но с технологией FabricPool снэпшоты смещаются с SSD накопителей на дешевое хранилище S3. Так что даже с вирусами-шифровальщиками снэпшоты не проблема. Так что с FabricPool снэпшоты сам доктор прописал.
bbk
0
Ну можно и rsync«ом лить на ZFS, а на ZFS снимать снэпы, чтобы защитить от изменений снэпами.
А можно просто подключить iSCSI лун с NAS4Free и снимать снэп с этого луна прямо на хранилище, тогда по сети вообще ничего гонять rsync»ом не нужно, но тогда нужно как-до добиваться консистентности, если на этом луне будут жить не просто файлы.
Самый простой способ достичь консистентности это выкючить комп и снять снэпшот луна на ZFS.
bbk
0
Да по-хорошему нужно было после WannaCry хотябы закрыть SMB1.
bbk
0
Не уверен что в NAS4free и ZFS есть WORM.
Не понял на счёт rsync. У ZFS/NAS4Free есть свой собственный механизм репликации на вторую NAS4free/ZFS.
bbk
0
Посмотрите на NAS4Free с ZFS.
Там можно хранить файловую шару и даже запускать ОС с iSCSI.

При большем желании можно написать простую интеграцию для снятия снэпшота по каким-то событиям, к примеру выключение ОС.
bbk
0
По поводу экономии, здесь 100% согласен. В постсоветских странах это мега фишка — экономия на ИТ, которая ВСЕГДА выливается боком.

Все привыкли ставить пиратское ПО из-за этого все привыкли что ИТ это дешево. Соответственно бюджетов на ИТ нормальных не выделяется и мы имеем то что имеем сейчас. Кстати из-за этого же недооценённые и сами ИТшники. Нужно объяснять бизнесу что ИТ — «это не дешево» и «это не то место, где можно экономить».
bbk
0
Если по-быстрому нужно всё закрыть в формате «Лучше перебдеть, чем недобдеть», тогда да.
bbk
+1
Основная масса в штуках, это конечно же компьютеры.
Но самые большие проблемы фирмам принесли именно вышедшие из строя сервера.

Поверьте я знаю о чем говорю, всю неделю без выходных и отдыха езжу по заказчикам ;)
bbk
0
Чтобы «лишь добавить скрипты CommVault» нужен собственно CommVault ;)
Который в свою очередь умеет работать с натаповскими снепшотами и если есть HardWare-Assistant снэпшоты СХД, то рекомендуется использовать именно их на высоконагруженных задачах.
И тут круг замкнулся.
bbk
0
Во-первых, не у всех стоит Windows, чтобы использовать VSS и не у всех Postgres.
Во-вторых, об этом и речь, что «просто если убрать галочку и больше ничего не делать», такие crash consistent снепшоты иногда полезны, но в большинстве случаев бесполезны. По-этому нужны какие-то агенты, скрипты, интеграции.
bbk
0
Вы совсем запутались и всех позапутывали :)
«ребренженный CommVault» это SnapProtect.
bbk
0
navion наверное перепутал платный и навороченный SnapCenter с бесплатным SnapCreator.
bbk
0
Хотите Python — работайте через API напрямую.
bbk
0
  1. Да, это нормально работает только для 6.Х, а вот VASA есть для 6.5
  2. Ну так пожалуйста пользуйте Veeam (или шо вам нравится) on FAS
  3. А весь мир только на Python и жиждется. И какая вам вообще разница на Python или на Perl, это же скрипт, берете и используете.


У вас всё сводиться у тому что NetApp конкретно под ваш FAS2000 не написал то что нужно именно вам. Отсюда ваши претензии. Но так не бывает. Нигде. Каждый продукт хоть закрытый, хоть опенсорсный делается «для большинства», а не для единиц. За исключением если эти единицы не гигантские заказчики.

Ну и что что забили на VSC for RHEV? И шо? Вам решение нужно или рюшечки?

Вам такое говорить не положено :-)

ЗЫ. А я не стесняюсь говорить правду.
bbk
0
Если удалить все снэпшоты снятые гипервизором (VMware или Hyper-V, не важно), дождаться полной консолидации (это может занять не мало времени), то производительнсть виртуальной машины вернётся на прежний уровень.

Другие потенциальные проблемы от снэпшотов VMware (да и Hyper-V тоже), которые автор не раскрыл в коментах.

Очень важно, что у нетаповских снэпшотов таких проблем вовсе нет.
bbk
0
Если нет острой потребности в возвращении виртуальной машины к конкретному состоянию памяти, отключите опцию «Память». Состояние памяти редко может потребоваться.


Снэпшот нужен для того, чтобы можно к нему восстановиться. Если в виртуальной машине лежит что-то, кроме файлового сервера или AD, а к примеру база данных, то как же из такого снэпшота без памяти можно восстановить БД?

Мне абсолютно ясно, почему такая рекомендация даётся, но этот сложный момент здесь слабо расписан. И выходит, что из-за такой упрощённой подачи информации у читателя может сложиться ложное впечатление, что таких ситуаций, когда возможно выключить память из снэпа, что их якобы на практике большинство.

И вовсе не рассказывается о последствиях в плане сложности, или вообще возможности, восстановления из снэпшота без памяти.

Будьте аккуратны со снапшотами высокозагруженных виртуальных машин, таких как серверы баз данных и почтовые серверы. Такие снапшоты могут быстро увеличиваться в размерах, заполняя пространство хранилища. Удаляйте снапшоты с виртуальных машин, как только они перестают быть необходимыми.


Кстати говоря, я конечно понимаю, что это статья «как пользоваться снэпшотами», а не «как ими не пользоваться», но стоило бы чуточку более широко раскрыть тему, в каких случаях ими категорически не стоит пользоваться. Ведь дело не тоько в занятом пространстве, а и в других потенциальных проблемах, ведь сам VMWare не зря же сама рекомендует вообще не включать снэпы на высоконагруженных задачах. К примеру:

  • Удаление снэпшота и консолидация это весьма трудозатратный процесс с точки зрения производительности дисковой подсистемы и как следствие дополнительной нагрузки на виртуальную машину.
  • Просто сам факт наличия снэпа уже может вносить существенные накладные расходы и тормозить виртуальную машину
  • Ну и консолидация на практике ни раз заканчивается крахом и повреждением виртуальной машины, достаточно погуглить фразу "vmware consolidation failed recovery"
bbk
0
navion По поводу интеграций


Что же касается API.


Я бы с трудом мог использовать фразы «У Нетапа тоже не всё идеально» и «нет вменяемого API для автоматизации».
bbk
0
navion нет предела совершенству.
По снепшотам я уверен, что в плане снепшотов, лучше нетапа нет никого.
bbk
0
В версии прошивки 4.3 уже поддерживается SnapMirror репликация между FAS системами и AltaVault.
bbk
0
Вот бы ещё NetApp FlexGroup, Veeam B&R и VMware vVOL научились раотать с pNFS, вообще была бы песня :)

bbk
0
Обратите внимание, что NFS — NFS'у рознь. Есть «просто NFS», а есть pNFS. Так вот, сетевые дизайны для двух таких протоколов могут отличаться. К сожалению VMware пока что не поддерживает pNFS, его поддерживает Linux сервера.

Техническая возможность прямого включения присутствует, у Циско есть дизайн настройки FI для прямого подключения по NFS (просто). Они даже могут взять себе на поддержку такой не-флекспод комплекс (была специальная программа), поддержка естесственно не бесплатная.

Для класического NFS в случае прямого включения, на сколько я помню, необходимо правильно настроить профили vNIC так, чтобы они были не привязаны к FI, а переключались с одного FI на другой. Важно чтобы при переезде физический порт FI тушился, если с него уезжает vNIC, чтобы сообщить СХД о необходимости переключиться на новый путь. Со стороны FAS системы, настройки будут зависить от того, используете вы 7-mode или cDOT, так как в последнем есть дополнительный механизм отказоустойчивости для протоколов 7го уровня, использующих IP: В 7-мод, для этой цели, есть только «single-mode interface group» (на уровне Ethernet), а в cDOT можно ещё воспользоваться Failover Group (для переезда IP).

Такой дизайн не входит в FlexPod архитектуру. Касательно правильной настройки сетевой части UCS, обратитесь за консультацией к инженерам Cisco по этому продукту.
bbk
+1
В новой прошивке ONTAP9 стала доступна функция FlexGroup, которая позволяет более равномерно размазывать нагрузку по конмонентам СХД.
FlexGroup это контейнер для хранения файлов, который можно шарить по протоколам CIFS(SMB), NFS, также как и в обычных FlexVol, они могут хранить снепшоты. И естественно FlexGroup в свете более равномерного размазывания производительности может стать инетересен для виртуализированных сред. Но как же системы резервного копирования типа Veeam, смогут ли они работать с FlexGroup?

Мне удалось проверить это на практике с ONTAP 9.1 и Veeam 8. Как видно на скриншотах ниже, аппаратные снепшоты СХД снимаются для FlexGroup, а Veeam Proxy благополучно вытягивает резерные копии прямо из этих снепшотов по NFS.

Скриншоты



bbk
0
Какая среда вас интересует?
Если вас интересует разработка под Oracle с технологией NetApp FlexClone, то возможно вам будет интересно взглянуть на документы:
bbk
0
Что именно трудоёмко?
В плане надёжности вы меня улыбнули :)

Что именно под докером будет работать?
Есть NetApp плагин для докер контейнеров, который позволяет в контейнер монтировать постоянное хранилище.
bbk
0
По цене не скажу, я это не продаю а настраиваю, но мне кажется что минимальная конфигурация должна быть существенно дешевле миллиона $ ;)

Вы совсем не внимательно читаете статью, там всё написано и даже нарисованно.
Итого между двумя сайтами минимум необходимо 4 жилы, плюс Cluster peering.
.

Как вы будете вести оптику, поразнь или всё одним маршрутом, — ваше дело.
bbk
0
Fabric-Attached MetroCluster
MetroCluster может растягиваться до 300 км.

Bridge-Attached Stretch MetroCluster
Может растягиваться до 500 метров

Stretch MetroCluster с прямым включением
Самый дешевый вариант. Может растягиваться до 500 метров
bbk
+1
trunking в NFSv4.1 пока что нет в ONTAP 9.1.

Мониторить ситуацию, появилась ли поддержка в новых версиях, можно через документ TR-4067, раздел под названием «NFSv4.1» или по ключевому слову «RFC 5661».
bbk
0
Infinite Volumes поддерживают pNFS начиная с версии Clustered Data ONTAP® 8.2.
bbk
–1
Скорость проверки зависит исключительно от антивирусной системы и количества серверов проверки. Подобные решения на базе аппаратных NAS хранилищ предназдачены для достаточно больших инфраструктур, где несколько выделенных серверов для проверки файлов не является чем-то большим, пугающим или черезмерным. Учтите также что вы можете вирртуализировать сервера проверки, а не выделять несколько физических серверов.
Каждая из антивирусных систем имеет собственные рекомендации по системным требованиям и подбору вычеслительных ресурсов (Сайзинг). К примеру вот докумнет по сайзингу для McAfee и документ по минимальным системным требованиям для того же антивирусника (стр 11).
bbk
0
Коротко писать про СХД не очень получается потому, что обычно технологии, особенно в сфере СХД, особенно в ONTAP, они, как правило, тесно связаны друг с другом, как слоённый пирог.

И если не упомянуть о этих связях, чтобы быть кратким, то не возможно ответить, почему, что-то устроено так а не иначе. В таком случае вы перестаёте понимать почему это устроено так, вместо этого вы вынуждены принимать информацию отрывчато, «как есть».
bbk
0
Кроме того не забывайте что я пишу для всех, т.е. пытаюсь рассказать сразу всё что касается заданной темы. Я не могу подстраиваться конкретно под вашу задачу, вашу инфраструктуру и ваши протоколы.

Если я уберу сслыки, найдётся множество читателей которые сразу же скажут или подумают, что всё что я пишу это «полёт мысли» не имеющий подтверждения.

Признаю, что писатель из меня так себе, но я пишу как умею, на сколько у меня получается, если у вас есть идеи как именно упростить тот или иной абзац или фрагмент текста — пожалуйста, предлагайте.
bbk
0
Конструктивная критика, это выражение которое сотоит из двух слов и называется конструктивной потому, что она состоит из критики и из конструктива.

Т.е. чтобы критика была конструктивной нужно не просто дать критику, нужно предложить что-то, как улучшить или сиправить то о чём идёт речь. Она предполагает не просто критику ради критики, а желание подправить, дополнить, улучшить.

Так вот критику я от вас слышу постоянно и нескончаяемо. Предложите ещё и конструктив.
bbk
0
Согласен, та схема была достаточно тяжёлая. Я кстати писал про такую схему когда-то давно. На самом деле та схема, это костыль к Ethernet, потому, что он плохо балансирует по линкам и у него нет встроенного мультипасинга для отказоустойчивости.

К сожалению VVOL пока что так и не научился работать с pNFS, в котором по-своему решена эта проблема. Надеюсь что VMware работает в этом направлении.
bbk
0
Полагаю, оба этих события ONTAP 9.2 & VSC 7.0 будут приурочены VASA API v3.0.
bbk
0
Спасибо за новость! Кстати ориентировочно к этому времени выйдет ONTAP 9.2.
bbk
0
Ограничения и технические требования описаны в TR документе о vVOL на стр 10.