Весенний релиз. Что мы сделали в Кибер Бэкапе 18.5

В конце апреля мы выпустили очередное обновление нашей системы резервного копирования Кибер Бэкап. В этом обзоре познакомимся с новыми и обновленными функциями, включенными в релиз, а также расскажем о ключевых направлениях развития продукта.

Если описать релиз 18.5 коротко, то в этой версии мы расширили возможности многопоточного резервного копирования, защиты нагруженных виртуальных сред, интегрировались с популярной отечественной платформой виртуализации и системами централизованного мониторинга ИТ‑инфраструктуры. А также улучшили интеграцию с собственной программной СХД, добавили новые вызовы API управления, сделали новую версию Кибер Медиасервера и реализовали ряд других улучшений.

Теперь рассмотрим эти новинки подробнее. Начнем с производительности.

Производительность

Высокая производительность системы резервного копирования достигается, в том числе, благодаря использованию различных механизмов многопоточности и многозадачности: например, при записи в хранилища, при параллельном выполнении одним агентом нескольких задач или несколькими агентами одной задачи, а также при одновременном резервном копировании нескольких систем или объектов в рамках одной системы.

В предыдущих версиях Кибер Бэкапа мы уже реализовали различные варианты многопоточности и многозадачности:

• Распределение резервной копии на несколько потоков с последующей одновременной записью на разные ленточные носители.

• Запись потоков резервных копий с нескольких агентов на один ленточный носитель.

• Одновременное резервное копирование нескольких виртуальных машин одного хоста одним агентом уровня гипервизора.

• Одновременное выполнение одним агентом нескольких заданий резервного копирования.

• Одновременное выполнение несколькими агентами одного задания резервного копирования (кластеры агентов).

• Многопоточное полное резервное копирование PostgreSQL.

В текущем релизе мы продолжаем расширять эти возможности. 

Многопоточность файлового резервного копирования

Эта версия Кибер Бэкапа поддерживает параллельное резервное копирование файлов из нескольких папок (на локальных или сетевых дисках) в многопоточном режиме — одним агентом в рамках одного задания резервного копирования.

Настройки многопоточности задаются в конфигурационном файле. В следующих версиях Кибер Бэкапа настройки будут вынесены в графический интерфейс, а также появится возможность выполнять многопоточное резервное копирование разделов операционной системы и дисков виртуальных машин.

Многопоточное инкрементное резервное копирование PostgreSQL

В предыдущем релизе мы представили первую версию нового режима многопоточного резервного копирования экземпляров PostgreSQL и СУБД на её основе. Эта технология файлового резервного копирования БД значительно ускорила процесс, особенно при защите крупных баз данных, но была ограничена только полными резервными копиями.

В новой версии мы добавили поддержку инкрементного резервного копирования, что расширило доступные схемы защиты, а также вынесли соответствующие настройки в веб‑интерфейс. Теперь администраторы Кибер Бэкапа могут выбирать способ резервного копирования PostgreSQL, который наилучшим образом соответствует их задачам, и настраивать защиту БД единообразно через веб‑консоль.

Это позволяет сократить окна резервного копирования и восстановления, а также минимизировать потенциальные конфликты с рабочей нагрузкой. Использование файлового резервного копирования БД дает кратное ускорение самого процесса и многократное — восстановления при сохранении возможности параллельного резервирования журналов транзакций для PITR.

В данной версии реализации многопоточного резервного копирования PostgreSQL поддерживаются только отдельные экземпляры СУБД. Поддержка кластеров Patroni и Jatoba будет добавлена в следующих версиях.

Защита виртуальных и контейнерных сред

Российские компании всё активнее применяют виртуальные и контейнерные среды для ускорения DevOps‑процессов, снижения затрат на ИТ‑ресурсы и повышения отказоустойчивости инфраструктуры. В связи с этим защита таких окружений становится одной из приоритетных задач для систем резервного копирования. Практически каждый новый релиз Кибер Бэкапа включает улучшения, направленные на обеспечение защиты виртуализации и контейнеризации.

В новой версии продукта перечень платформ виртуализации, поддерживаемых в «безагентном» режиме, пополнился популярной отечественной системой Горизонт‑ВС. Кроме того, внедрена технология резервного копирования высоконагруженных виртуальных инфраструктур, построенных на базе российских решений. Также расширены возможности по резервному копированию данных из ведущего оркестратора контейнерных сред.

zVirt + аппаратные моментальные снимки YADRO TATLIN.UNIFIED

Размещение виртуальных машин (ВМ) на системах хранения данных (СХД) корпоративного класса, специально оптимизированных под задачи виртуализации, позволяет существенно повысить общую эффективность, надежность и производительность виртуальных инфраструктур. Такая конфигурация обеспечивает более предсказуемую работу в условиях высоких нагрузок и упрощает управление ресурсами.

Использование возможностей СХД со стороны систем резервного копирования в подобной связке открывает дополнительные преимущества: высвобождаются вычислительные ресурсы хоста гипервизора, ускоряются процессы резервного копирования, а также снижаются риски сбоев защищаемых информационных систем. Последнее достигается за счет сокращения времени жизни моментальных снимков (снапшотов) на уровне виртуализации, что особенно важно в нагруженных сценариях, где каждый дополнительный цикл работы снимка увеличивает нагрузку на дисковую подсистему и повышает вероятность ошибок.

В Кибер Бэкапе реализован ряд современных технологий защиты виртуальных сред, включая поддержку аппаратных моментальных снимков ВМ средствами самих систем хранения данных. Одна из СХД, входящих в этот список, — популярная российская система хранения YADRO TATLIN.UNIFIED корпоративного класса, в том числе оптимизированная под задачи виртуализации. Интеграция с этой СХД была представлена в одной из предыдущих версий продукта, где уже реализовали поддержку аппаратных снимков ВМ под управлением платформы виртуализации VMware. Подробнее об этом писали в статье «Как не перегрузить хост виртуализации бэкапами: добавляем аппаратные снапшоты уровня СХД»

В новом релизе мы обеспечили поддержку аппаратных моментальных снимков YADRO TATLIN.UNIFIED в сценарии, когда на этой СХД размещаются ВМ под управлением zVir, а также систем виртуализации на ее основе, включая отечественные, например, zVirt. Базовая схема интеграции Кибер Бэкапа, zVirt и YADRO TATLIN.UNIFIED показана ниже.

Это позволяет заказчикам создавать в своих инфраструктурах производительные и полностью импортонезависимые решения без потери функциональных возможностей, характерных для глобально лидирующих зарубежных аналогов и технологических связок на их основе.

Примерами других сценариев импортозамещения могут быть:

• Замена связки Commvault + Dell EMC Data Domain с DD Boost — хранение резервных копий с YADRO TATLIN.BACKUP

• Замена связки VMware + Veeam — защита российской платформы виртуализации zVirt

Интеграция с «Горизонт-ВС»

Защита рабочих нагрузок платформ виртуализации на уровне гипервизора является современным отраслевым стандартом для систем резервного копирования. Такой подход обеспечивает целый ряд существенных преимуществ по сравнению с традиционной защитой с помощью агентов, устанавливаемых непосредственно внутри виртуальных машин. В частности, он позволяет снизить нагрузку на вычислительные ресурсы, упростить управление процессами резервного копирования и повысить общую надёжность защиты данных. Именно поэтому Кибер Бэкап поддерживает около двух десятков различных платформ виртуализации, причём большинство из них составляют отечественные и свободно распространяемые системы.

В новом релизе в число виртуальных платформ, поддерживаемых на уровне гипервизора включена популярная российская платформа «Горизонт‑ВС».

Благодаря этому развёртывание системы защиты и само резервное копирование виртуальных машин, работающих под управлением «Горизонт‑ВС», стало существенно быстрее. Кроме того, полностью исключена конкуренция агентов с рабочими нагрузками виртуальных машин за их ресурсы — теперь агенты не отнимают вычислительные мощности у бизнес‑приложений.

Также обеспечена возможность миграции виртуальных машин с зарубежных платформ виртуализации на отечественные путём штатного резервного копирования и последующего восстановления из сохранённой резервной копии (V2V, подробнее об этом писали в статье «Система резервного копирования как телепорт для ваших виртуальных машин»).

Развитие возможностей защиты Kubernetes

Контейнеризация представляет собой один из наиболее современных и, во многих сценариях, самых эффективных подходов к архитектуре программного обеспечения и сервисов. Она обеспечивает независимость от среды исполнения, переносимость (портативность) приложений между различными платформами, изоляцию отказов, а также позволяет значительно снизить операционные и инфраструктурные расходы организаций.

Kubernetes — это один из самых популярных оркестраторов контейнерных сред. Около полутора лет назад мы начали реализацию защиты Kubernetes с помощью Кибер Бэкапа и с тех пор активно развиваем это направление. За прошедшее время мы добавили функциональность резервного копирования и восстановления пространств имён (namespaces), конфигураций и постоянных томов (persistent volumes). Это позволило привести возможности нашей системы в соответствие с ключевыми потребностями пользователей.

Тем не менее, ряд сценариев оставался неохваченным. Один из них — резервное копирование постоянных томов, созданных на базе постоянных дисков (persistent disks), которые несовместимы с драйвером CSI (Container Storage Interface — интерфейс контейнерного хранения). Такая несовместимость не позволяет использовать стандартный механизм моментальных снимков (снапшотов) для резервного копирования, что создавало ограничения для некоторых пользователей.

В новой версии продукта мы реализовали возможность резервного копирования постоянных томов без поддержки CSI‑драйвера, исключив необходимость использования моментальных снимков в таких сценариях.. Благодаря этому обеспечено более широкое покрытие реальных сценариев использования оркестратора, которые встречаются на предприятиях.

Кроме того, Кибер Бэкап получил поддержку меток Kubernetes в веб‑консоли управления. Теперь администраторы могут применять включающие и исключающие фильтры на основе этих меток как при настройке планов резервного копирования, так и в процессе восстановления данных.

Детальное (гранулярное) резервное копирование и восстановление отдельных объектов внутри контейнеров — например, подов (pods), хранилищ и других компонентов при настройке планов резервного копирования и восстановлении позволяет минимизировать окна резервного копирования и восстановления, а также снизить нагрузку на сетевую инфраструктуру.

Интеграция СРК с корпоративными ИТ‑системами

В программных инфраструктурах организаций решения резервного копирования выполняют роль моста между ИТ‑ и ИБ‑системами. Тесная интеграция со смежными решениями плотно встраивает их в единые процессы управления инфраструктурой и безопасностью, помогает автоматизировать рутинные операции. 

В дополнение к уже существующей в Кибер Бэкапе интеграциями, в версии 18.5 обеспечена безопасность использования служб каталогов, а также реализована интеграция с ИТ‑системами мониторинга инфраструктуры. 

Безопасная интеграция со службами каталогов

Управление СРК Кибер Бэкап реализовано на основе ролевой модели, обеспечивающей гибкое разграничение прав доступа. Данная модель поддерживает интеграцию с рядом зарубежных и российских служб каталогов, включая Active Directory, FreeIPA, SambaDC, ALD Pro и РЕД АДМ. Ключевые роли — такие как администрирование системы, мониторинг её состояния и аудит действий — могут назначаться непосредственно учётным записям или группам, уже существующим в используемой службе каталогов. Благодаря этому отпадает необходимость в ручном создании и периодическом обновлении внутренних учётных записей самого Кибер Бэкапа. Таким образом, система органично встраивается в централизованные политики управления доступом предприятия, используя единый источник данных о пользователях.

При штатном взаимодействии со службами каталогов обмен данными часто выполняется в открытом виде — по протоколу LDAP, что создаёт серьёзную уязвимость для перехвата трафика и компрометации учётных данных. Именно поэтому многие организации переходят на защищённую версию протокола — LDAPS (LDAP over SSL/TLS), что существенно повышает безопасность — снижает риски перехвата и модификации данных, в т.ч. учётных.

В новой версии Кибер Бэкапа мы реализовали полную поддержку системных сертификатов, которые применяются для организации защищённого канала связи (LDAPS) во всех поддерживаемых службах каталогов. Это позволяет системе соответствовать современным требованиям безопасности, актуальным методам защиты учётных данных и обеспечивает надёжное централизованное управление доступом в доменных средах любого масштаба.

Интеграция с системами ИТ‑мониторинга

В корпоративных ИТ‑инфраструктурах для мониторинга ключевых сервисов, включая системы резервного копирования, широко применяются централизованные решения. Интеграция с такими платформами позволяет своевременно визуализировать события, быстрее реагировать на инциденты и в конечном счёте повышает общую эффективность управления инфраструктурой.

Основные источники метрик для ИТ‑инфраструктур:

• Серверы и рабочие станции: метрики производительности, информация о процессах и сервисах, системных событиях.

• Оборудование: показания датчиков температуры, напряжения, систем охлаждения, статус жестких дисков.

• Виртуализация и контейнеризация: статус хостов, ВМ, узлов и контейнеров и хранилищ их метрики.

• Базы данных и приложения: статусы и метрики производительности.

• Веб‑сервисы: метрики числа запросов, соединений, скорости отклика.

• Метрики из логов: например, число ошибок.

В текущей версии Кибер Бэкапа мы реализовали возможность передачи метрик и логов в системы Prometheus и Loki, а также разработали базовую контрольную панель (дашборд) для платформы визуализации и анализа Grafana. Этот дашборд предоставляет широкие возможности для настройки под конкретные задачи за счёт использования дополнительных метрик, которые можно передавать через API‑запросы.

Для интеграции с системами ИТ‑мониторинга сервер управления Кибер Бэкапа использует несколько компонентов:

• Интеграция с Prometheus + Grafana.

  • Exporter — свободно распространяемые агенты экспорта аппаратных метрик хоста сервера управления. 

  • Node Exporter — для ОС Linux и Windows Exporter — для ОС Windows.

• Интеграция с Grafana Loki + Grafana. 

  • OpenTelemetry Collector — новый компонент в комплекте поставки Кибер Бэкапа.

• Интеграция с Grafana + Infinity.

  • Плагин Infinity — для передачи наборов данных в базовую панель Grafana.

В следующих версиях Кибер Бэкапа мы планируем расширить набор собираемых метрик, а также добавить поддержку ещё одной популярной системы мониторинга — Zabbix.

Интерфейсы управления

Кибер Бэкап предоставляет гибкие возможности централизованного управления, которые легко адаптируются под различные сценарии работы — от небольших офисных инфраструктур до крупных распределённых сред и корпоративных дата‑центров. Реализация такого подхода требует наличия нескольких типов интерфейсов управления, каждый из которых обладает набором функций, оптимально подходящих для решения конкретных задач. В текущей версии продукта мы значительно улучшили программный и веб‑интерфейсы, сделав управление системой ещё более удобным и эффективным.

API управления

В этом релизе мы продолжили активное развитие программного интерфейса Кибер Бэкапа. В частности, была реализована поддержка вызовов, связанных с работой с резервными копиями и планами резервного копирования. В число доступных операций вошли: просмотр резервных копий и архивов, удаление резервных копий, а также выполнение резервного копирования нагрузок платформ виртуализации и ряда приложений.

Благодаря этим улучшениям управление процессом резервного копирования в крупных средах, где одновременно используются сотни планов защиты и тысячи защищаемых источников данных, стало значительно эффективнее. 

В следующих версиях системы мы планируем расширить как список поддерживаемых API‑запросов, так и перечень источников данных, с которыми может работать управляющий интерфейс.

Веб‑консоль 

Планы защиты являются ядром Кибер Бэкапа. По своей сути, это детальные наборы инструкций для агентов системы, которые определяют порядок и расписание их действий. Планы защиты регулируют выполнение следующих задач: резервное копирование, репликация, очистка хранилищ, преобразование и проверка резервных копий, защита от вирусов‑шифровальщиков и криптомайнеров, а также другие сопутствующие операции.

Даже в средних по размеру инфраструктурах количество таких планов может достигать нескольких сотен. В ряде сценариев это делает индивидуальное управление каждым планом через графический интерфейс неоправданно трудоёмким и ресурсозатратным.

Именно поэтому в данной версии системы мы реализовали первый этап поддержки пакетного управления планами защиты в веб‑консоли. Теперь доступны следующие групповые операции: массовый запуск и остановка планов, а также их массовое включение и отключение. Это позволяет кардинально сократить временные и вычислительные затраты при проведении масштабных операций с планами защиты.

В следующих релизах возможности пакетного управления планами будут расширены — мы продолжим добавлять новые групповые функции, ориентируясь на потребности администраторов крупных инфраструктур.

Другие улучшения

В этой версии был реализован ряд значительных улучшений веб‑интерфейса управления, направленных на повышение удобства работы и информативности для администраторов и пользователей системы. В частности:

• Расширенные возможности управления экземплярами баз данных — реализована возможность оставлять комментарии к зарегистрированным в системе экземплярам PostgreSQL и кластерам Patroni, что упрощает документирование и командное взаимодействие.

• Усовершенствованная работа со списком планов защиты — реализованы новые колонки таблицы, а также оптимизированы механизмы фильтрации, сортировки и настройки отображения столбцов. Пользователи теперь могут сохранять индивидуальные настройки выбранного вида таблицы для быстрого доступа к предпочтительной конфигурации.

• Более детальное представление данных о ленточной библиотеке — в соответствующих разделах (панели мониторинга и отчётов) улучшено отображение информации об использованных лентах и ленточных приводах, их содержимом и степени утилизации, что позволяет оперативно оценивать состояние резервного копирования и планировать замену носителей.

• Прочие улучшения — также были внесены дополнительные доработки, повышающие общую стабильность, производительность и удобство интерфейса.

Восстановление

Мы развиваем и улучшаем не только механизмы создания резервных копий, но и возможности восстановления данных. 

Гранулярное восстановление архивных почтовых ящиков MS Exchange 

В почтовой системе MS Exchange почтовые ящики пользователей могут быть перемещены в дополнительные архивные хранилища, которые неразрывно связаны с основными почтовыми ящиками. Такое перемещение может выполняться как автоматически — в соответствии с заданными политиками хранения и архивации данных, так и вручную — по прямому указанию администратора или самого пользователя.

Кибер Бэкап обеспечивает резервное копирование всех элементов Microsoft Exchange, включая и архивные почтовые ящики. Однако до выхода текущего релиза существовало важное ограничение: гранулярное (пообъектное) восстановление архивных почтовых ящиков было недоступно. Восстановить данные из таких архивов можно было только путём полного восстановления всей базы данных MS Exchange, что занимало много времени и требовало значительных ресурсов.

В новой версии продукта мы устранили это ограничение и реализовали возможность гранулярного восстановления архивных почтовых ящиков MS Exchange. Теперь восстановление данных в подобных сценариях выполняется значительно быстрее, а нагрузка на сеть при этом существенно снижается по сравнению с полным восстановлением базы.

Развитие интеграции с программной СХД Кибер Хранилище

Кибер Хранилище представляет собой универсальную программную систему хранения данных (СХД), которая разворачивается на серверах общего назначения и поддерживает три типа хранилищ: объектное, блочное и файловое. Эта инфраструктурная платформа хранения обладает неограниченной масштабируемостью, тесно интегрирована с решением Кибер Бэкап и включает в себя специализированное хранилище для резервных копий — BGW (Backup Gateway). Подробнее о Кибер Хранилище писали в статье «Знакомьтесь: Кибер Хранилище»

Загрузочный носитель — это один из ключевых компонентов Кибер Бэкапа. Он обеспечивает возможность резервного копирования данных в изолированных средах, а также их восстановление — в том числе на оборудовании, отличающемся от исходного, или в виртуальные среды.

В рамках развития интеграции между Кибер Бэкапом и программной СХД Кибер Хранилище в данной версии СРК была реализована поддержка загрузочным носителем специализированного хранилища резервных копий BGW. Теперь при выборе резервной копии для восстановления через соответствующий интерфейс Загрузочного носителя пользователь может напрямую работать с этим типом хранилища.

Благодаря этому расширился набор возможных сценариев восстановления данных в изолированных средах, а также миграции систем на другое аппаратное обеспечение или в виртуальные инфраструктуры. Кроме того, достигнута ещё более плотная интеграция с хранилищем резервных копий, функционирующим на базе нашей программной СХД.

Установочный пакет агента для ОС семейства Linux 

СРК Кибер Бэкап отличается простотой развертывания и обновления. Она включает единые установочные пакеты для операционных систем Linux и Windows, которые уже содержат большинство необходимых компонентов — в том числе серверные части системы и агенты резервного копирования.

Тем не менее, в некоторых сценариях работы с ОС Linux (например, при развертывании, обновлении или удалении агентов) их нахождение внутри общего установочного пакета может создавать определенные неудобства для системных администраторов. Это связано с необходимостью использования общего дистрибутива там, где требуется лишь установка агентов.

Чтобы устранить это неудобство и сделать процессы более гибкими, мы выделили агенты для ОС семейства Linux в отдельный, самостоятельный установочный пакет. Такое решение позволило оптимизировать соответствующие операции и упростить работу администраторов в сценариях развертывания и обновления агентов для Linux.

Кибер Медиасервер

Отдельным стратегическим направлением развития продукта Кибер Бэкап является оптимизация архитектуры системы. Этот вектор работ направлен на последовательное наращивание производительности, масштабируемости и отказоустойчивости Кибер Бэкапа, а также на приведение возможностей продукта в полное соответствие с жёсткими требованиями, предъявляемыми к инфраструктурам класса enterprise, и стандартами информационной безопасности корпоративных заказчиков.

В недавнем релизе команда представила MVP‑версию нового медиа‑сервера под названием «Кибер Медиасервер». По мере своего развития этот компонент должен прийти на смену текущему узлу хранения (актуальному медиа‑серверу), который сегодня отвечает за централизованный доступ к хранилищам резервных копий, их защиту, масштабирование (в том числе в географически распределённых инфраструктурах), а также за реализацию других сценариев, связанных с хранением резервных копий.

В текущей версии Кибер Медиасервер уже получил поддержку неизменяемости (immutability) резервных копий в хранилищах, а также возможность переключения хранилищ между разными экземплярами сервера управления Кибер Бэкапа.

Важно подчеркнуть: эта версия Кибер Медиасервера обладает ограниченной функциональностью, пока не находится в открытом доступе и предназначена исключительно для закрытого тестирования ограниченным кругом пользователей.

Дальнейшее развитие будет происходить поэтапно. В следующих версиях Кибер Медиасервера планируется добавить:

• Поддержку отказоустойчивых конфигураций сервера.

• Использование актуальных алгоритмов шифрования управляющего трафика и данных.

• Ролевой доступ к интерфейсу управления.

• Расширенные возможности журналирования, мониторинга, аудита и сбора диагностической информации.

• Разграничение доступа к хранилищам резервных копий.

• Другие востребованные корпоративными заказчиками функции.

Заключение

Релиз версии 18.5 стал важным этапом, продолжающим развитие Кибер Бэкапа как корпоративной, импортонезависимой и высокопроизводительной системы резервного копирования. Мы не просто расширили функциональность, а сделали акцент на трех ключевых направлениях: производительность, безопасность и адаптация под реальные потребности бизнеса.

Многопоточность вышла на новый уровень: теперь это не только ускорение работы с базами данных PostgreSQL, но и эффективное файловое резервное копирование. Защита виртуальных сред стала еще более гибкой благодаря интеграции с аппаратными моментальными снимками YADRO TATLIN.UNIFIED для zVirt и поддержке платформы «Горизонт‑ВС», а также расширению возможностей защиты Kubernetes.

Особое внимание мы уделили безопасности и управляемости. Поддержка LDAPS и централизованных систем мониторинга (Prometheus, Loki, Grafana) позволяет встраивать Кибер Бэкап в современные ИТ‑ландшафты, не создавая «черных ящиков». Улучшения в API и веб‑консоли (пакетное управление планами защиты) дают администраторам инструменты для эффективной работы с сотнями и тысячами объектов.

Наконец, появление новых возможностей в Кибер Медиасервере (пусть пока и в закрытом тестировании) — это наш стратегический шаг к созданию решения корпоративного уровня с максимальной отказоустойчивостью и производительностью.

Мы продолжаем двигаться по намеченному пути. Следите за нашими обновлениями — впереди много интересного.