Bei der Installation von proxmox und dem Testen der Performance mit
pveperf
musste ich feststellen, dass die Performance trotz SSD bei der Anzahl FSYNCS/SECOND miserable war (Wert von knapp über 200). Dies ließ sich ändern durch eine angepasste /etc/fstab und Ergänzung von den Optionen relatime,barrier=0 für /dev/pve/root:
TrueNAS bietet zwar von sich aus eine Backup-Lösung an, allerdings geht die Initiierung des Backups immer vom Server mit den Daten aus, der dann zum Backup-Server repliziert. Aus Sicherheitsaspekten ist dies nicht optimal, denn wenn der Datenserver kompromittiert ist, besteht auch die Gefahr, dass der Backup-Server oder die Backups verändert werden. Aus diesem Grund habe ich mich dazu entschlossen, selbst eine Backup-Lösung mit zrep zu implementieren. Diese sieht folgendermaßen aus:
Der Backup-Server greift über ssh auf den Datenserver zu. Dabei wird ein Benutzer verwendet, der nur eingeschränkte Rechte auf dem Daten- und Backupserver hat
Der Backup-Server legt mit zrep einen Snapshot auf den zu sichernden ZFS Pools des Datenservers an und kopiert diese dann auf den ZFS Pool auf dem Backup-Server
Der Backup-Server löscht in regelmäßigen Abständen nicht mehr benötigte Snapshots auf dem Backup-Server
Der Daten-Server löscht in regelmäßigen Abständen nicht mehr benötigte Snapshots auf dem Daten-Server
In TrueNAS wird im GUI unter Storage/Pools zunächst ein Dataset für den Benutzer zsbackup (s für send) angelegt (hier: /mnt/data0/zsbackup) und dann der Benutzer:
Über die Shell geben wir dem Benutzer nun die erforderlichen Rechte, laden das zrep Skript herunter und machen es ausführbar
Im nächsten Schritt müssen wir dafür sorgen, dass zrbackup sich auf dem Datenserver als zsbackup mittels ssh einloggen kann. Dazu erzeugen wir auf dem Backup-Server den ssh-key:
su zrbackup
ssh-keygen -t rsa -b 4096
Wichtig hier ist, dass alles mit Enter bestätigt wird und kein Passwort vergeben wird. Dann legen wir auf dem Datenserver das .ssh-Verzeichnis an und ergänzen den öffentlichen Key in der Datei authorized_keys hinterlegen
su zsbackup
mkdir /mnt/data0/zsbackup/.ssh
vi /mnt/data0/zsbackup/.ssh/authorized_keys
Statt mit dem Editor zu arbeiten kann man vom Backup-Server mittels root-login auch den Schlüssel wie folgt hinterlegen:
Dann sollte man vom Backup-Server den Login testen mittels
ssh zsbackup@dataserver
Erstes Backup manuell erzeugen
Wenn man noch keinen Backup-Pool hat, sondern komplett neu anfängt, kann man sich an die zrep-Anleitung halten und von Grund auf einen Backup-Pool erzeugen. Da ich jedoch bereits einen Pool mit Backup-Snapshots habe, bin ich wie folgt vorgegangen, um diesen Pool auch mit zrep zu nutzen.
Im ersten Schritt wird ein Snapshot in der zrep-Nomenklatur erzeugt und dann die entsprechende zrep-Konfiguration hinterlegt.
Anschließend kann man mit folgenden Befehlen manuell über zfs send/receive diesen Snapshot auf den backupserver übertragen und zwar vom Backupserver aus (last_synced_snapshot durch den Snapshot ersetzen, der auf beiden Systemen vorhanden ist).
Übrigens habe ich in allen Befehlen explizit den Port 22 angegeben. Das wäre nicht notwendig, aber wenn man SSH nicht auf dem Standardport laufen lässt, kann man 22 einfach ändern in den passenden Port.
Cronjobs anlegen
Nun können wir einen Cronjob anlegen – entweder direkt mit dem Befehl zum Testen oder aber über ein eigenes Skript, das den obigen Befehl enthält und z.B. so aussehen kann
Im TrueNAS GUI auf dem Backup-Server legen wir dann den Cronjob an:
Cronjobs, um alte Snapshots zu löschen
Die Berechtigung zum Löschen von Snapshots haben sowohl der zrbackup als auch der zsbackup user nicht auf den Servern, denn leider könnten diese mit der entsprechenden Berechtigung destroy sogar das komplette dataset löschen. Aus diesem Grund werden alte zrep Snapshots über einen separaten Cronjob gelöscht, der root-Rechte besitzt und dessen Befehl auf dem Backup-Server wie folgt aussieht:
Telnyx ist ein etablierter Provider in den USA (vergleichbar mit Twilio) und ermöglicht es, sehr kostengünstig verschiedene Services zu nutzen. In meinem Fall nutze ich den SIP Trunking-Service. Wichtig war mir, dass ich damit auch eingehende Faxe empfangen kann. Nach einigem Rumprobieren, habe ich nun folgende Konfiguration gefunden, die perfekt mit T.38 als Protokoll und der Fritz!Box 7490 funktioniert.
Einrichtung bei Telnyx
Nach dem Einloggen auf dem Telnyx-Kundenportal folgende Einstellungen vornehmen:
Neue Rufnummer für das Fax buchen (Numbers > Search & Buy Numbers) oder bestehende verwenden. Dann die Rufnummer konfigurieren und bei Advanced > Expert Settings > Enable T.38 FAX Gateway das Häkchen setzen
Neue SIP-Verbindung anlegen mit SIP-Connection Type: Credentials, dann noch das Outbound Voice Profile festlegen (auch wenn wir eigentlich faxen wollen)
Caller ID Override: Hier die Rufnummer festlegen, die der Anrufer sehen soll. Es hat leider nicht funktioniert, dies die Fritz!Box setzen zu lassen, daher manuell setzen
T.38 Re-invite Initiated By: auf Customer setzen
Enable on-net T.38 passthrough aktivieren
Nochmal zu Numbers > My Numbers gehen und dort Connection / App auf die gerade erstellte SIP-Verbindung setzen
Einrichtung der Fritz!Box 7490
T.38 aktivieren, unter Telefonie > Eigene Rufnummern > Anschlusseinstellungen > Telefonieverbindung > Faxübertragung auch mit T.38, also dort das Häkchen setzen
Eigene Rufnummer anlegen mit Telnyx als Provider
Telefonie > Eigene Rufnummern > Neue Rufnummer
Als Telefonieanbieter habe ich SIP-Trunking mit unterschiedlichen Rufnummern ausgewählt
Unter Rufnummer für die Anmeldung, Interne Rufnummer in der Fritz!Box und Anzeigename habe ich die Rufnummer ohne Landesvorwahl eingetragen (also alles identisch ausgefüllt)
Zugangsdaten einrichten: Benutzername: Benutzername aus dem Telnyx-Portal Kennwort: Passwort aus dem Telnyx-Portal Registrar: sip.telnyx.com Alle anderen Feld bleiben leer (Authentifizierungsname, Proxy-Server, Stun-Server)
Bei Weitere Einstellungen zur Verbindung habe ich Transportprotokoll auf TLS gesetzt
Fax auf der Fritz!Box einrichten (sollte selbsterklärend sein)
Fax-Empfang testen
Testfaxanbieter suchen und darüber ein Testfax an die eigene Rufnummer schicken
Für das NAS zuhause nutze ich FreeNAS und das funktioniert wunderbar. Das dort genutzt ZFS-Dateisystem bietet die wunderbare Möglichkeit, Snapshots anzulegen und durch deren zeitsparende Synchronisierung auf einen anderen Server ein verlässliches Backup einzurichten. Unter FreeNAS kann das komfortabel über das GUI unter Tasks > Replication eingerichtet werden. Da ich allerdings auf einen Rasperry Pi mit FreeBSD als Betriebssystem sichern möchte, ist nur der Push von Backups möglich. Wie sich zeigte, kann ein speziell für das Backup errichtete Nutzerkonto nicht mit ausreichend Privilegien ausgestattet werden, um ein funktionierendes Backup einzurichten. Als root hätte ich es zwar einrichten können, dann wäre allerdings für den Fall, dass jemand Zugriff auf den NAS-Server erhält auch das komplette Backup-System kompromitiert. Somit schaute ich mich nach anderen Lösungen um. Zrep war die erste Wahl und funktioniert auch sehr gut, allerdings habe ich es nicht geschafft, rekursiv zu synchronisieren (siehe Bug). Mit zettarepl, dem Tool das auch in FreeNAS Anwendung findet, startete ich einen neuen, erfolgreichen Versuch. Dazu bin ich wie folgt vorgegangen, um zettarepl in FreeBSD einzurichten:
pkg install python py37-setuptools py37-pytz py37-yaml py37-paramiko py37-croniter py37-coloredlogs py37-jsonschema py37-isodate py37-dateutil
mkdir zettarepl
cd zettarepl
fetch https://github.com/freenas/zettarepl/archive/master.tar.gz
tar xzf master.tar.gz
cd zettarepl-master/
python setup.py install --prefix /usr/local
Dann kopieren der Konfigurationsdatei und entsprechendes Anpassen:
zettarepl -l "debug" run --once ~/zettarepl_pull_backup.yaml
getestet werden, ob alles richtig funktioniert.
Leider funktionierte es irgendwie nicht und ich habe nicht herausgefunden, warum. Nun greife ich auf einen FreeNAS Replication Task zurück. Damit sichert zwar das zu sichernde System selbst auf den Backup-Server (eigentlich sollte es so sein, dass der Backup-Server sich die Daten selbst holt), aber wenigstens funktioniert es so. Dazu habe ich einen speziellen Backup-User eingerichtet (mit entsprechenden ZFS-Privilegien).
Hilfreich und eine Alternative dazu ist auch diese Vorgehensweise mit zrep. Diese setze ich in Verbindung miz zrep-expire ein für ein spezielles zvol.
Leider lässt sich FreeBSD auf dem Rasperry Pi nicht mit freebsd-update aktualisieren, da dort leider die Unterstützung für arm-Architekturen fehlt. In Anlehnung an einen Post im FreeBSD-Forum habe ich nun FreeBSD auf dem Rasperry Pi 3 wie folgt aktualisiert, um den langwierigen build-Prozess zu umgehen.
Clone-Version installieren
mkdir -p /usr/local/etc/pkg/repos/
vi /usr/local/etc/pkg/repos/FreeBSD.conf
Backup des aktuellen OS (SD-Karte auf externe USB-Festplatte)
In meinem Fall das Backup-Drive mounten:
zfs mount remote_backup
Wechseln ins Backup-Verzeichnis:
cd /remote_backup/backup_haning
Über
geom disk list
herausfinden, welches das Systemvolume ist (hier SD-Karte mmcsd0) und dann den Parameter if im folgenden Befehl anpassen, um die Backup-Datei zu erzeugen: