Différences

Ci-dessous, les différences entre deux révisions de la page.

--- admin:procedures:sauvegarder_machines [2017/06/04 18:14] – créée vincentxavier
+++ admin:procedures:sauvegarder_machines [2021/01/02 17:37] – fpoulain
@@ Ligne 1: / Ligne 1: @@
 ====== Backups ======
-Pour le backup, on utilise borg backup avec un script en cron, le script étant déployé par un paquet backup
+Pour le backup, on utilise borg backup avec le gestionnaire borgmatic, executé par un timer systemd. Le tout est déployé par un [[admin:infrastructure:backup|paquet backup]].
-Il faut en plus créer des clefs ssh pour root et les placer dans le fichier de clef du paquet
-Les dépôts sont initialisés sur icinga2.chapril.org (qui sert de backup) avec ''borg init /srv/backups/{fqdn}
+Pour que tout ceci fonctionne il faut créer la clé ssh pour root et la placer de sorte que la machine pousse le backup sur backup.chapril.org.
-/srv/backups'' est une partition montée sur un disque lvm directement accédé par libvirt/qemu
-Le dépot doit être instancié avec un ''borg init /srv/backups/<fqdn>''
+===== Accès ssh =====
-Les clefs sur les hôtes et les invités ont été générées :
+Crééz une clé ssh sans mot de passe :
+  ssh-keygen -t ed25519
-    for i in dns admin mail ; do ssh $i.cluster.chapril.org ssh-keygen -t ed25519 ; done
+Copiez le contenu de la clé publique (/root/.ssh/id_ed25519.pub) sur <del>backup</del>icinga2.chapril.org dans /etc/ssh/authorized_keys/backup (ssh-copy-id ne sait pas faire ça visiblement), en recopiant/adaptant les paramètres de commande forcée :
-    for i in 192.168.1.2 192.168.1.3 ; do ssh $i ssh-keygen -t ed25519 ; done
+  command="borg serve --restrict-to-path /srv/backups/bling.cluster.chapril.org",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc ssh-ed25519 AAAAC3[...] root@bling.cluster.chapril.org
-    for i in dns admin mail bastion ; do ssh $i.cluster.chapril.org cat ~/.ssh/id_ed25519.pub ; done > clefs
-    for i in 192.168.1.2 192.168.1.3 ; do ssh $i cat ~/.ssh/id_ed25519.pub ; done >> clefs
-et installées pour les user april@galanga.april.org et root@icinga2.chapril.org afin de traverser le nat.
+Veillez en particulier à adapter l'argument ''--restrict-to-path''.
+Initialisez ensuite la première connexion pour authentifier l'hôte.
+  # ssh -p 2242 backup@backup.chapril.org true
+  The authenticity of host '[backup.chapril.org]:2242 ([88.191.250.11]:2242)' can't be established.
+  ECDSA key fingerprint is e0:f9:98:26:24:da:d0:bd:04:a1:bc:00:50:7f:51:e5.
+  Are you sure you want to continue connecting (yes/no)? yes
+  Warning: Permanently added '[backup.chapril.org]:2242' (ECDSA) to the list of known hosts.
+Testez alors votre connectivité ssh. Ceci devrait fonctionner bruyamment :
+  # ssh -p 2242 backup@backup.chapril.org true
+Le bruit étant le retour de borg serve.
+===== Installation du backup =====
+Testez votre hostname. Celui-ci doit être sous la forme bling.cluster.chapril.org :
+  hostname
+Installez alors le paquet :
+  apt install backup-chapril
+Si vous avez le message suivant c'est que tout est ok.
+  ############################################################
+  #                       Dépot initialisé                   #
+  ############################################################
+Sinon tant pis pour vous : pas de bras, pas de chocolat.
+<note tip>On peut forcer la première exécution de backup pour apaiser le dieu icinga : ''/srv/bin/backup.sh''. Prévoir environ 35 mins pour une machine dérivée du modèle de base. Le backup est rapide mais un délais aléatoire entre 0 et 30 minutes rallonge l'exécution pour alléger l'hote des backups.</note>
+===== Restauration du backup =====
+En cas de besoin, il y a une page pour ça : [[admin:procedures:restaurer_machine|Restauration d'une machine depuis un backup]].
-Le backup est déployé par un paquet April spécifique qui installe un script de backup dans ''/srv/bin/backup.sh'' et une crontab.