Datensicherung

Letzte Aktualisierung: 17. September 2018


Damit Ihre Monitoringdaten im Falle eines Hardwaredefekts oder einer andersartigen Zerstörung gesichert sind, können Sie über die Weboberfläche Ihres Geräts die Sicherung Ihrer Daten konfigurieren.

Um die Daten wirklich zu sichern, müssen Sie auf einem anderen Gerät, z. B. einem Fileserver, abgelegt werden. Hierzu konfigurieren Sie zunächst über die Dateisystemverwaltung die für die Sicherung zu nutzende Netzwerkfreigabe. Diese richten Sie anschließend in der Konfiguration der Datensicherung als Sicherungsziel ein. Sobald Sie dies gemacht haben, können Sie einen Sicherungs-Job anlegen, der dann im festgelegten Intervall eine Datensicherung Ihres Geräts auf der Netzwerkfreigabe ablegt.

Die volle Datensicherung beinhaltet alle von Ihnen auf dem Gerät getätigten Konfigurationen, installierte Dateien sowie Ihre Monitoring-Instanzen.

Die Datensicherung wird während des Betriebs (online) durchgeführt. Dies ist allerdings erst vollständig möglich, wenn alle Monitoring-Instanzen auf dem Gerät Check_MK 1.2.8p6, 1.4.0i1 oder einen Daily-Build ab dem 22.07.2016 nutzen. Instanzen, die ältere Versionen einsetzen und gestartet sind, werden vor der Sicherung dieser Instanz gestoppt und nach der Sicherung wieder gestartet.

1. Automatische Sicherung

Um eine automatische Datensicherung einzurichten, konfigurieren Sie einen oder mehrere Sicherungs-Jobs. Pro Sicherungs-Job wird auf dem Sicherungsziel eine Datensicherung abgelegt. Beim Abschluss der Folgesicherung wird die vorherige Sicherung gelöscht. Das bedeutet, dass Sie auf dem Zielsystem temporär mit dem doppelten Speicherbedarf rechnen müssen.

Die Sicherung kümmert sich nicht um die Verwaltung mehrerer Generationen. Wenn Sie also von einem Sicherungs-Job mehrere Kopien über längere Zeiträume aufheben wollen, müssen Sie diese selbst anlegen.

2. Konfiguration der Sicherung

Konfigurieren Sie mit Hilfe der Dateisystemverwaltung zunächst Ihre Netzwerkfreigaben. In unserem Beispiel ist eine Netzwerkfreigabe unter dem Pfad /mnt/auto/backup konfiguriert.

Wählen Sie nun aus dem Hauptmenü der Weboberfläche den Punkt Gerätesicherung und öffnen von dort aus die Sicherungsziele. Erzeugen Sie nun ein Neues Sicherungsziel. Die ID den Titel können Sie frei wählen. Unter dem Punkt Zielverzeichnis für Sicherung konfigurieren Sie den Pfad der eingehängten Netzwerkfreigabe, hier /mnt/auto/backup. Die Option Ist ein Mount-Point sollte aktiv sein, wenn Sie auf eine Netzwerkfreigabe sichern. Damit prüft die Datensicherung vor der Speicherung, ob die Netzwerkfreigabe auch wirklich eingehängt ist.

Nachdem Sie das Sicherungsziel angelegt haben, gehen Sie zurück auf die Seite Gerätesicherung und wählen von dort aus Neuer Job aus. Hier können Sie wieder eine ID und einen Titel wählen. Wählen Sie dann das soeben angelegte Sicherungsziel aus und legen Sie das gewünschte Ausführungsintervall der Sicherung fest.

Nach dem Speichern sehen Sie auf der Seite Gerätesicherung einen Eintrag für Ihren neuen Sicherungs-Job. Hier wird Ihnen am Ende der Zeile der Zeitpunkt der nächsten Ausführug angezeigt. Sobald der Job läuft, bzw. abgeschlossen ist, wird Ihnen in dieser Ansicht der Status angezeigt. Sie können hier den Job auch manuell starten bzw. laufende Sicherungen abbrechen.

Starten Sie nun testweise Ihren soeben eingerichteten Job durch einen Klick auf das Play-Icon. Sie sehen nun in der Tabelle, dass der Job aktuell ausgeführt wird. Mit einem Klick auf das Log-Icon können Sie sich den fortschritt des Jobs in Form der Log-Ausgaben anzeigen lassen.

Sobald die Sicherung abgeschlossen ist, wird dies ebenfalls in der Tabelle angezeigt.

3. Format der Sicherung

Jeder Sicherungs-Job erzeugt auf dem Sicherungsziel ein Verzeichnis. Dieses Verzeichnis wird nach dem folgenden Schema benannt:

  • Gerätesicherungen: Check_MK_Appliance-[HOSTNAME]-[LOCAL_JOB_ID]-[STATE]
  • Instanzsicherungen: Check_MK-[HOSTNAME]-[SITE]-[LOCAL_JOB_ID]-[STATE]

In den Platzhaltern werden die Bindestriche jeweils durch +-Zeichen ersetzt, damit die einzelnen Felder auseinander gehalten werden können.

Während der Sicherung wird in das Verzeichnis mit dem Suffix -incomplete gesichert. Bei Abschluss der Sicherung wird dieses Vezeichnis umbenannt und das Suffix zu -complete geändert.

In dem Verzeichnis liegt eine Datei mkbackup.info, die Metainformationen zu der Sicherung enthält. Neben dieser Datei werden mehrere Archive in dem Verzeichnis abgelegt.

Das Archiv mit dem Namen system enthält die Gerätekonfiguration, system-data enthält die Daten des Datendateisystems exklusive der Monitoring-Instanzen. Die Monitoring-Instanzen sind in separaten Archiven nach dem Namensschema site-[SITENAME] gespeichert.

Je nach Modus der Sicherung werden diese Dateien mit den Dateiendungen .tar für unkomprimierte und unverschlüsselte, .tar.gz für komprimierte aber unverschlüsselte und .tar.gz.enc für komprimierte und verschlüsselte Archive gespeichert.

4. Verschlüsselung

Wenn Sie Ihre Datensicherung verschlüsseln wollen, können Sie dies direkt aus der Weboberfläche heraus konfigurieren. Ihre gesicherten Dateien werden hierbei vor der Übertragung auf das Sicherungsziel komplett verschlüsselt. Die Verschlüsselung geschieht mit einem zuvor angelegten Sicherungsschlüssel. Dieser Schlüssel ist durch ein Passwort geschützt, das Sie beim Anlegen des Schlüssels festlegen und zusammen mit dem Schlüssel gut verwahren müssen, da nur damit die Wiederherstellung der Sicherung möglicht ist.

Öffnen Sie hierzu die Seite Datensicherung und wählen von dort aus die Seite Sicherungsschlüssel. Erzeugen Sie hier von hier aus einen neuen Sicherungsschlüssel. Bei der Angabe des Passworts sollten Sie darauf achten ein ausreichend komplexes zu verwenden. Je länger bzw. komplexer das Passwort ist, desto schwerer würde es für einen Angreifer den privaten Schlüssel und damit Ihre Sicherung zu entschlüsseln.

Nachdem Sie den Schlüssel erzeugt haben, laden Sie diesen herunter und verwahren Sie ihn an einem sicheren Ort.

Eine verschlüsselte Sicherung kann nur mit dem Sicherungsschlüssel und dem dazugehörigen Password wiederhergestellt werden. Editieren Sie nun von der Gerätesicherung aus den Sicherungs-Job, der verschlüsselte Sicherungen erzeugen soll und aktivieren Sie dort den Punkt Verschlüsselung und wählen Sie den soeben angelegten Sicherungsschlüssel aus.

Nachdem Sie den Dialog bestätigt haben, wird die nächste Sicherung automatisch verschlüsselt.

5. Komprimierung

Es ist möglich die gesicherten Daten während des Kopiervorgangs zu komprimieren. Dies kann nützlich sein, wenn Sie Bandbreite sparen müssen oder auf dem Zielsystem nur begrenzt Platz haben.

Bitte beachten Sie jedoch, dass die Komprimierung deutlich mehr CPU-Zeit erfordert und daher den Vorgang der Sicherung verlängert. In der Regel ist es Empfehlenswert die Komprimierung nicht zu aktivieren.

Die nicht komprimierte Sicherung wird erst ab Check_MK-Version 1.2.8p5 unterstützt. Wenn Sie Monitoring-Instanzen mit älteren Versionen betreiben, müssen Sie die Komprimierung der gestamten Sicherung aktivieren.

6. Wiederherstellung

Eine Datensicherung können Sie über die in der Weboberfläche eingebauten Mechanismen nur komplett wiederherstellen. Die Wiederherstellung einzelner Dateien über die Weboberfläche ist nicht vorgesehen. Dies ist jedoch über die Kommandozeile durch manuelles auspacken aus der Sicherung möglich.

Wenn Sie eine komplette Sicherung auf einem laufenden Geräte wiederherstellen wollen, wählen Sie auf der Seite Gerätesicherung den Punkt Wiederherstellen und auf der Folgeseite das Sicherungsziel von dem Sie die Sicherung wiederherstellen wollen. Nach der Auswahl des Sicherungsziels bekommen Sie alle dort vorhandenen Sicherungen aufgelistet.

Klicken Sie nun bei der Sicherung, die Sie wiederherstellen wollen, auf den Pfeil um die Wiederherstellung zu starten. Nach einer Sicherheitsabfrage startet die Wiederherstellung.

Während die Wiederherstellung läuft, können Sie den Zustand durch Aktualisieren der Seite Wiederherstellung, die Ihnen automatisch angezeigt wird, einsehen.

Im Anschluss an die Wiederherstellung startet Ihr Gerät automatisch neu. Nach dem Neustart ist die Wiederherstellung abgeschlossen.

6.1. Desaster Recovery

Wenn Sie ein Gerät komplett neu wiederherstellen müssen, läuft das Desaster-Recovery in folgenden Schritten ab:

  • Sie starten mit einem Gerät im Werkszustand (Neues, baugleiches Gerät, oder auf Werkszustand zurückgesetztes Gerät).
  • Stellen Sie sicher, dass die Firmware-Version mit der Version der Sicherung übereinstimmt.
  • Konfigurieren Sie an der Konsole mindestens folgende Einstellungen:
  • Netzwerkeinstellungen
  • Zugriff auf Weboberfläche
  • Konfigurieren Sie in der Weboberfläche:
  • das Sicherungsziel, von dem Sie wiederherstellen wollen.
  • bei einer verschlüsselten Datensicherung laden Sie den Sicherungsschlüssel hoch.
  • Starten Sie nun die Wiederherstellung wie im vorherigen Kapitel beschrieben.

7. Monitoring

Für jeden konfigurierten Sicherungs-Job findet die Service Discovery von Check_MK ab Version 1.4.0i1 auf dem Gerät einen neuen Service Backup [JOB-ID]. Dieser Service informiert Sie über eventuelle Probleme bei der Sicherung und zeichnet hilfreiche Messwerte wie Größe und Dauer auf.

8. Besonderheiten im Cluster

Die gesamte Konfiguration der Datensicherung inkl. Sicherungsschlüssel wird zwischen den Cluster-Knoten synchronisiert. Die Cluster-Knoten führen Ihre Datensicherung voneinander getrennt aus, erstellen also im Sicherungsziel auch separate Verzeichnisse für die Sicherung.

Der aktive Cluster-Knoten sichert das komplette Gerät inklusive der die Daten des Datendateisystems und die Monitoring-Sites. Der inaktive Cluster-Knoten sichert nur seine lokale Gerätekonfiguration.

Bei der Wiederherstellung einer Sicherung kann demnach auch nur die Sicherung des aktiven Cluster-Knotens die Monitoring-Instanzen wiederherstellen.