Backup-Ziel an ESXi Host

S

S320E

Neuling
Thread Starter
Mitglied seit
30.11.2016
Beiträge
9
Hallo zusammen,

habe hier 2x Storage mit FreeNAS für meinen ESXi. Der eine ist der Hauptstorage, der andere nimmt die snapshotbasierten Backups des 1. auf. Nun habe ich noch ein altes Thecus NAS rumliegen und würde da gerne noch 1x wöchentlich ein klassisches Backup drauf machen. Um Strom zu sparen, möchte ich das NAS ausschalten, wenn nicht grad ein Backup-Job läuft.
Nun bin ich unsicher wie ich das NAS an meinen Host anschliessen soll. Ich sehe 2 Varianten, welche jedoch beide einen entscheidenden Nachteil haben:

- iSCSI/NFS: Bei ausgeschaltetem NAS verliert der Host die Verbindung zum Datenspeicher und spuckt unschöne Alarme/Fehler aus. Die Backup-VM müsste ich so wohl auch ausschalten.
- SAMBA Freigabe: Backup Files sind übers Netzwerk für Ransomware erreichbar.

Gibt es noch andere Möglichkeiten, oder was würdet Ihr tun?

danke für Eure Einschäzung.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du bei SAMBA eine PW-geschützte Freigabe verwendest zu der nur der ESXi das PW kennt, bist Du damit doch recht sicher. Die Ransom-Dinger verschlüsseln ja nur die frei verfügbaren Freigaben.
 
Du hast die beiden Möglichkeiten ja schon selber gefunden.

Die unschönen Fehler sind natürlich nervig aber nur kosmetischer Natur...
Falls du bei der SMB Freigabe auf Nummer sicher gehen willst häng das NAS doch an eine dedizierte NIC des ESX abgeschottet vom restlichen Netz.
Dann kann ja keine Ransomware o.Ä. einfallen ;)
 
Einen NFS oder ISCSI Datastore kannst du ggf auch per CLI mounten, dein Backup machen und wieder entfernen. Schlussendlich hängt es davon ab was du unter einem "klassischen" Backup verstehst.
 
Wow, soviele gute Antworten so früh am Morgen :cool:
Herzlichern Dank, ich bin überwältigt :)

Wenn ich so darüber nachdenke, ist der Ausdruck klassisches Backup ziemlich unsinnig. Bin wegen der Flexibilität ein grosser Fan meiner Veeam-Appliance. Damit kann ich einzelne Gast-Files, ganze Festplatten (VMDK) und auch komplette VM's recovern.
Habe gerade gesehen, dass ich im Veeam Backup Repository Credentials für eine SMB Freigabe eintragen kann. Dadurch kann ich einen User nur dafür anlegen und müsste gut for Ransomeware geschützt sein.

Eine dedizierte NIC klingt sehr gut, leider habe weder eine NIC noch einen PCI Steckplatz frei.

Datastore per CLI (de)mounten klingt nach dem Ferrari unter den Lösungen. Hat halt den Vorteil, dass ich den Datastore auch mal temporär für VMs verwenden kann. Da muss ich mich mal einarbeiten. Bis ich da fit bin, werd ich eine SMB Freigabe mit entsprechenden Zugriffsrechten einrichten.

Vielen Dank für Eure Hilfe!
 
Schlussendlich kannst du den SMB Share auch relativ einfach absichern. Neben dem User kannst du den Zugriff noch auf die IP deiner Appliance beschränken.
 
VirtuGuy schrieb:
Schlussendlich kannst du den SMB Share auch relativ einfach absichern. Neben dem User kannst du den Zugriff noch auf die IP deiner Appliance beschränken.
Zum Vergrößern anklicken....
Gute Idee. Per VLAN oder MAC-Adressen Filter kann ich die Freigabe noch weiter abschotten. Soll der Switch auch mal was machen :)
 
Ein eigener Benutzername mit (möglichst langem und zufälligen) Kennwort reicht gegen das, was Du ansprichst, vollkommen aus. Ransomware versucht (bisher) nicht, per Brute Force Benutzernamen und Kennwörter herauszufinden, sondern verschlüsselt nur doof die Dateien auf den erreichbaren Partitionen und Netzlaufwerken, auf die der aktuell angemeldete Benutzer Schreibzugriff besitzt.
Des weiteren sind mir bisher noch keine Ransomware-Varianten untergekommen, die Veeam-Sicherungsdateien verschlüsseln würden. Die gehen eigentlich nur auf die dem jeweiligen Benutzer höchstwahrscheinlich am wichtigsten erscheinenden Dateien wie Office-Dokumente, PDFs und Bilddateien los.

Somit ist das, was Du mit VLAN und MAC-Adress-Filter machen willst, "der Ferrari unter den Lösungen". ;)
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh