Les instantanés NetApp peuvent-ils être utilisés comme sauvegardes?

Notre boutique s'appuie fortement sur les instantanés de volume NetApp pour les sauvegardes. Nous utilisons des sauvegardes sur bande traditionnelles basées sur des agents pour certaines de nos données, mais dans l'ensemble, nous comptons sur les instantanés pour la majorité de nos systèmes. En outre , nous ne disposons pas d' une politique de contrôle des changements rigoureux ou d' une gestion centralisée de la configuration si tousde nos serveurs, que les données fournies par leurs services soient sauvegardées ou non, devraient être reconstruites à partir du bare-metal (et sans véritable documentation). Naturellement, cela fait des instantanés une proposition très intéressante pour la gestion car nous pouvons simplement récupérer l'intégralité du serveur, les données utilisateur et la configuration incluses. Nous utilisons la console de stockage virtuelle de NetApp pour créer des instantanés de nos banques de données VMware basées sur NFS et SnapDrive de NetApp pour les LUN mappés (physiques) de périphériques bruts qui sont présentés directement aux invités. Nous SnapMirror instantanés critiques hors site vers un autre Filer. Naturellement, nous testons régulièrement notre processus de restauration.

Je ne peux pas m'empêcher de me sentir mal à l'aise avec notre dépendance à l'égard des instantanés sur les sauvegardes. Pour moi, pour qu'une technologie soit considérée comme suffisante comme stratégie de sauvegarde, elle doit répondre aux critères suivants:

• La sauvegarde doit être atomique. C'est-à-dire que la sauvegarde ne peut compter sur rien d'autre pour sa récupération.
• La sauvegarde doit être séparée du système dont il s'agit (hors bande).
• La sauvegarde doit être copiée ou transportée vers un site distant (hors site)

Je crois comprendre que les instantanés NetApp fonctionnent selon une méthodologie de redirection sur écriture (RoW). La disposition des fichiers WAFL utilise un ensemble de pointeurs (métadonnées?) Qui font référence à chaque bloc de stockage où qu'il se trouve. Pour créer un instantané, le système prend simplement une copie des métadonnées d'un volume et la stocke dans l'espace réservé de ce volume. Toutes les écritures (créations / modifications / suppressions) sont redirigées vers de nouveaux blocs. C'est censé être la sauce spéciale qui rend la WAFL de NetApp si géniale parce que vous n'avez pas à lire, puis à écrire les anciennes données dans l'espace réservé, puis à écrire vos nouvelles données sur les anciennes, comme les instantanés de copie sur écriture.

J'admets pleinement que je ne peux pas comprendre exactement comment fonctionnent les instantanés de volume NetApp, mais si ma compréhension est plus ou moins correcte, les instantanés NetApp ne répondent pas à mes critères de sauvegarde.

• Ils ne sont pas atomiques. Le "cliché" n'est en réalité qu'un ensemble de pointeurs vers les données d'origine. Si les données d'origine ne sont plus là, les métadonnées sont inutiles.
• L'instantané n'est pas séparé du système. Si quelqu'un supprime le mauvais volume, je perds l'instantané. Si le NetApp Filer explose en minuscules petits chatons, je perds la sauvegarde. Je peux utiliser SnapMirror pour déplacer mes instantanés vers un autre Filer mais encore une fois, il s'agit simplement de déplacer les métadonnées et non les blocs réels. Si je perds le volume d'origine, je ne vois pas comment un instantané copié dans un autre Filer va aider.

Quelqu'un peut-il expliquer comment les instantanés NetApp peuvent être considérés comme des sauvegardes? Je recherche de bonnes réponses subjectives , veuillez donc étayer votre position par des faits, des références et de l'expérience. Si ma compréhension de la technologie sous-jacente est incorrecte, veuillez expliquer où et pourquoi cela change ma conclusion. Si votre boutique s'appuie sur des instantanés NetApp comme sauvegardes, veuillez inclure suffisamment d'informations contextuelles pour que les utilisateurs puissent avoir une idée du type de politique de récupération que vous devez respecter.

Les sauvegardes remplissent deux fonctions.

• D'abord et avant tout, ils sont là pour vous permettre de récupérer vos données en cas d'indisponibilité. En ce sens, les instantanés ne sont pas des sauvegardes. Si vous perdez des données sur le fichier (suppression de volume, corruption de stockage, erreur de micrologiciel, etc.), tous les instantanés de ces données disparaissent également.
• Deuxièmement, et bien plus souvent, les sauvegardes sont utilisées pour corriger des choses courantes comme les suppressions accidentelles. Dans ce cas d'utilisation, les instantanés sont des sauvegardes. Ils sont sans doute l'un des meilleurs moyens de fournir ce type de récupération, car ils rendent les versions antérieures des données directement accessibles aux utilisateurs ou à leur système d'exploitation en tant que répertoire caché .snapshot à partir duquel ils peuvent lire directement leur fichier.

Aucune politique de rétention

Cela dit, bien que nous ayons des instantanés et que nous les utilisions intensivement, nous effectuons toujours des incrémentiels nocturnes sur Netbackup sur bande ou domaine de données. La raison en est que les instantanés ne peuvent pas respecter de manière fiable une politique de rétention. Si vous dites aux utilisateurs qu'ils pourront sauvegarder à partir d'une granularité quotidienne pendant une semaine puis d'une granularité hebdomadaire pendant un mois, vous ne pouvez pas tenir cette promesse avec des instantanés.

Sur un volume Netapp avec des instantanés, les données supprimées contenues dans un instantané occupent un espace de "réserve d'instantané". Si le volume n'est pas plein et que vous l'avez configuré de cette façon, vous pouvez également dépasser cette réserve d'instantanés et avoir des instantanés qui occupent une partie de l'espace de données inutilisé. Si le volume se remplit, tous les instantanés, à l'exception de ceux pris en charge par les données dans l'espace réservé, seront supprimés. La suppression des instantanés est déterminée uniquement par l'espace disponible pour les instantanés, et si elle doit supprimer les instantanés requis pour votre stratégie de rétention, elle le sera.

Considérez cette situation:

• Un volume complet avec des instantanés réguliers et une exigence de rétention de 2 semaines.
• Supposons que la moitié de la réserve utilisée pour les instantanés est basée sur le taux de changement normal.
• Quelqu'un supprime beaucoup de données (plus que la réserve d'instantanés), ce qui augmente considérablement le taux de changement, temporairement.

À ce stade, votre réserve d'instantanés est complètement utilisée, tout comme la plus grande partie de l'espace libre de données que vous avez autorisé à utiliser pour les instantanés, mais vous n'avez encore perdu aucun instantané. Cependant, dès que quelqu'un remplit le volume avec des données, vous perdrez tous les instantanés contenus dans la section des données, ce qui repoussera votre point de récupération à l'heure juste après la suppression.

Résumé

Les instantanés Netapp ne vous protègent pas contre la perte réelle de données. Un volume supprimé erroné ou une perte de données sur le filer vous obligera à reconstruire les données.

Ils sont un moyen très simple et élégant de permettre des restaurations de routine simples, mais ils ne sont pas suffisamment fiables pour remplacer une véritable solution de sauvegarde. La plupart du temps, ils rendront les restaurations de routine simples et indolores, mais lorsqu'ils ne sont pas disponibles, vous êtes exposé.

Ils sont une sauvegarde, oui. Je les ai personnellement utilisés à la place des incréments quotidiens auparavant, mais nous avons toujours fait des enregistrements hebdomadaires sur bande.

Ils protègent assez bien contre les erreurs ou problèmes non-netapp (systèmes accédant aux volumes) utilisateurs ou administrateurs.

Ils ne protègent pas contre les pannes matérielles catastrophiques de la netapp elle-même. Ma compréhension est que SnapMirror copie toutes les données (dans l'instantané) vers l'autre filer [1], donc SnapMirroring vers un autre filer devrait protéger cet ensemble de données contre la défaillance catastrophique d'un seul filer.

Le seul problème majeur, bien sûr, est que si quelqu'un qui gère le netapp supprime le volume, tous les instantanés vont avec. SnapMirror à un autre déposant devrait protéger adéquatement contre cela.

Si tous vos filers NetApp se trouvent dans le même centre de données, vous n'avez rien qui couvre une catastrophe majeure, comme vous le fourniraient les sauvegardes sur bande expédiées hors site.

Vous obtiendrez de meilleures sauvegardes de vos machines virtuelles et de toutes les bases de données (ou des éléments similaires à des bases de données) si vous utilisez l'agent SnapManager approprié, qui coordonnera brièvement la mise au repos des données lors de la prise de l'instantané. Si une machine virtuelle donnée et ses données sont entièrement contenues dans un seul volume NetApp, alors l'instantané de cette machine virtuelle doit être cohérent. Autrement dit, cela devrait être aussi bon que si vous débranchiez la prise sur un serveur et imagiez le lecteur, ce qui signifierait généralement des vérifications du système de fichiers et les équivalents de la base de données. Si les données d'une base de données sont réparties entre les LUN, il semble qu'il existe un risque important de corruption des données.

Si c'était moi, je mettrais en place toutes les bases de données pour effectuer des sauvegardes régulières sur le disque local et définir ces tâches pour conserver une copie ou deux. Cela vous donne une bien meilleure garantie de récupérabilité.

[1] http://www.netapp.com/us/system/pdf-reader.aspx?m=snapmirror.pdf&cc=us

Vous devriez aller lire l'excellente réponse de @Basil en ce moment mais voici mes deux cents:

Les instantanés ne sont pas compatibles avec les applications

Ce n'est pas parce que vous prenez un instantané du volume de stockage sous-jacent que les données sur ce volume sont récupérables. MS SQL en est un excellent exemple - vous devez vous assurer que votre base de données est cohérente avec les transactions avant de prendre un instantané du stockage qu'elle utilise autrement, comme @freiheit l'a mentionné, vous ne valez pas mieux que de récupérer après une panne matérielle. Les administrateurs de base de données adorent utiliser différentes LUN pour différentes parties de SQL afin de mieux utiliser le système de stockage, les bases de données temporaires sur le stockage rapide, les bases de données système sur le stockage plus lent, les données en lecture seule ou archivées sur le stockage en vrac et les données de travail quelque part entre les deux. Si vous ne faites que prendre un instantané de ces volumes, il est très peu probable que vous puissiez récupérer votre base de données.

NetApp fournit un certain nombre d'outils Snap pour rendre les applications de snapshots sensibles. SnapManager pour SQL fournit cette prise de conscience. Dans l'écosystème Microsoft, je pense qu'il existe également des outils SnapManager pour Exchange et SharePoint. SnapDrive n'a pas cette reconnaissance d'application. Il fournit simplement une méthode pratique pour gérer le stockage au sein de l'invité.

Si vous stockez toutes vos données et configuration IIS sur des LUN et que vous effectuez un instantané de ces LUN directement, vous ne pouvez pas garantir que les données sont récupérables. Demandez-moi comment je sais ...

Plusieurs types de stockage peuvent avoir différentes planifications d'instantanés

Si vous présentez le stockage à vos serveurs de différentes manières, cela peut compliquer votre image instantanée et de récupération. ONTAP de NetApp est une offre multiprotocole et il est très possible que vous utilisiez plusieurs méthodes ou types de stockage pour un serveur particulier. Dans notre boutique, certains de nos serveurs obtiennent leur lecteur C: \ via une banque de données basée sur NFS et leurs lecteurs de "stockage" via des LUN mappés par périphérique brut. Nous prenions des instantanés des LUN RDM mais pas des banques de données basées sur NFS. Cela a rendu la récupération du serveur difficile.

Les instantanés n'ont pas de politique de rétention garantie

Encore une fois, @Basil couvre vraiment bien cela, mais cela vaut la peine d'être réitéré. Il est possible de remplir votre Snap Reserve de telle manière que Snpashot Autodelete supprime les instantanés qui n'ont pas naturellement vieilli jusqu'à la suppression. Encore. Cela peut être très mauvais si vous ou vos clients attendez-vous à ce que trois instantanés soient disponibles.

Les instantanés sont en ligne

C'est l'inconvénient du stockage intégré ... c'est bien ... intégré. Vos instantanés résident sur la même plate-forme que vous sauvegardez. Si le volume ou le Filer sur lequel il se trouve disparaît, votre sauvegarde aussi. Vous pouvez atténuer cela quelque peu en copiant les instantanés vers un autre Filer à l'aide de SnapMirror car j'ai indiqué à tort dans ma question que la copie de SnapMirror n'est pas une copie complète.

Les instantanés permettent aux mauvaises pratiques opérationnelles de continuer

Une chose que j'ai remarquée, c'est que les instantanés permettent aux gestionnaires et aux clients de continuer un comportement d'exploitation terrible. Dans notre environnement, nous avons de très mauvaises pratiques de gestion de la documentation et de la configuration. Cela signifie que la plupart des serveurs commencent avec la même base (un modèle ou une image) mais sont ensuite configurés manuellement par différents groupes de personnes. Alors qu'ils poursuivent leur vie, les serveurs divergent de plus en plus du modèle d'une manière qui n'est généralement pas documentée ou implémentée avec la gestion de la configuration.

Et puis viennent les instantanés! Nous n'avons pas besoin de prendre du recul et de traiter certaines de nos pratiques opérationnelles fondamentales, car nous pouvons simplement prendre un instantané de tous nos serveurs! Et nous pouvons utiliser SnapMirror pour déplacer ces instantanés hors site afin que nous puissions les utiliser comme sauvegardes!

Je pense que ce n'est pas la bonne leçon à apprendre ici. Une meilleure leçon à tirer est que le cadre de gestion de la configuration, même s'il est aussi simple qu'un journal des modifications, doit être sauvegardé à des fins de restauration sans système d'exploitation. Les instantanés sont un outil fantastique, mais je peux être tenté de trop compter sur eux au détriment des fondamentaux importants.