Différences

Ci-dessous, les différences entre deux révisions de la page.

--- admin:procedures:sauvegarder_machines [2017/06/04 18:14] – créée vincentxavier
+++ admin:procedures:sauvegarder_machines [2026/03/03 16:25] (Version actuelle) – Correction typographique fhenry2
@@ Ligne 1: / Ligne 1: @@
 ====== Backups ======
-Pour le backup, on utilise borg backup avec un script en cron, le script étant déployé par un paquet backup
+Pour la sauvegarde, on utilise Borg Backup avec le gestionnaire Borgmatic, exécuté par un compteur (//timer//) de Systemd.
-Il faut en plus créer des clefs ssh pour root et les placer dans le fichier de clef du paquet
+Le tout est déployé par un [[admin:infrastructure:backup|paquet backup]].
-Les dépôts sont initialisés sur icinga2.chapril.org (qui sert de backup) avec ''borg init /srv/backups/{fqdn}
+Pour que tout ceci fonctionne il faut créer la clé SSH pour ''root'' et la placer de sorte que la machine pousse la sauvegarde sur ''backup.chapril.org''.
-/srv/backups'' est une partition montée sur un disque lvm directement accédé par libvirt/qemu
-Le dépot doit être instancié avec un ''borg init /srv/backups/<fqdn>''
+===== Accès SSH =====
-Les clefs sur les hôtes et les invités ont été générées :
+Créer une clé SSH sans mot de passe :
+<code bash>
+ssh-keygen -t ed25519
+</code>
-    for i in dns admin mail ; do ssh $i.cluster.chapril.org ssh-keygen -t ed25519 ; done
+Copiez le contenu de la clef publique ''/root/.ssh/id_ed25519.pub'' sur ''felicette.orbite.chapril.org'' dans ''/etc/ssh/authorized_keys/backup'', en recopiant ou adaptant les paramètres de commande forcée :
-    for i in 192.168.1.2 192.168.1.3 ; do ssh $i ssh-keygen -t ed25519 ; done
+<code>
-    for i in dns admin mail bastion ; do ssh $i.cluster.chapril.org cat ~/.ssh/id_ed25519.pub ; done > clefs
+command="borg serve --restrict-to-path /srv/backups/bling.cluster.chapril.org",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc ssh-ed25519 AAAAC3[...] root@bling.cluster.chapril.org
-    for i in 192.168.1.2 192.168.1.3 ; do ssh $i cat ~/.ssh/id_ed25519.pub ; done >> clefs
+</code>
-et installées pour les user april@galanga.april.org et root@icinga2.chapril.org afin de traverser le nat.
+Veillez en particulier à adapter l'argument ''%%-%%-restrict-to-path''.
+Initialisez ensuite la première connexion pour authentifier l'hôte.
+<code bash>
+ssh -p 2242 backup@backup.chapril.org true
+</code>
+<code>
+The authenticity of host '[backup.chapril.org]:2242 ([88.191.250.11]:2242)' can't be established.
+ECDSA key fingerprint is e0:f9:98:26:24:da:d0:bd:04:a1:bc:00:50:7f:51:e5.
+Are you sure you want to continue connecting (yes/no)?
+</code>
+<code>
+yes
+</code>
+<code>
+Warning: Permanently added '[backup.chapril.org]:2242' (ECDSA) to the list of known hosts.
+</code>
+Testez alors votre connectivité SSH.
+Ceci devrait fonctionner bruyamment, le bruit étant le retour de //borg serve// :
+<code bash>
+ssh -p 2242 backup@backup.chapril.org true
+</code>
+===== Installation du backup =====
+Testez votre //hostname//.
+Celui-ci doit être sous la forme ''bling.cluster.chapril.org'' :
+<code bash>
+hostname
+</code>
+Installez alors le paquet :
+<code bash>
+apt install backup-chapril
+</code>
+Si vous avez le message suivant c'est que tout est OK.
+<code>
+  ############################################################
+  #                       Dépot initialisé                   #
+  ############################################################
+</code>
+Sinon tant pis pour vous : pas de bras, pas de chocolat.
+<note tip>
+On peut forcer la première exécution de sauvegarde pour apaiser le dieu Icinga :
+<code bash>
+systemctl start borgmatic.service
+</code>
+Prévoir environ 35 minutes pour une machine dérivée du modèle de base.
+La sauvegarde est rapide mais un délais de 30 minutes rallonge l'exécution pour empêcher une sauvegarde après un redémarrage trop frais.
+</note>
+===== Restauration du backup =====
+En cas de besoin, il y a une page pour ça : //[[admin:procedures:restaurer_machine|Restauration d'une machine depuis un backup]]//.
-Le backup est déployé par un paquet April spécifique qui installe un script de backup dans ''/srv/bin/backup.sh'' et une crontab.