Différences

Ci-dessous, les différences entre deux révisions de la page.

--- admin:procedures:sauvegarder_machines [2017/06/04 18:14] – créée vincentxavier
+++ admin:procedures:sauvegarder_machines [2023/12/09 11:11] (Version actuelle) – [Accès ssh] backups are on felicette pitchum
@@ Ligne 1: / Ligne 1: @@
 ====== Backups ======
-Pour le backup, on utilise borg backup avec un script en cron, le script étant déployé par un paquet backup
+Pour le backup, on utilise borg backup avec le gestionnaire borgmatic, executé par un timer systemd. Le tout est déployé par un [[admin:infrastructure:backup|paquet backup]].
-Il faut en plus créer des clefs ssh pour root et les placer dans le fichier de clef du paquet
-Les dépôts sont initialisés sur icinga2.chapril.org (qui sert de backup) avec ''borg init /srv/backups/{fqdn}
+Pour que tout ceci fonctionne il faut créer la clé ssh pour root et la placer de sorte que la machine pousse le backup sur backup.chapril.org.
-/srv/backups'' est une partition montée sur un disque lvm directement accédé par libvirt/qemu
-Le dépot doit être instancié avec un ''borg init /srv/backups/<fqdn>''
+===== Accès ssh =====
-Les clefs sur les hôtes et les invités ont été générées :
+Crééz une clé ssh sans mot de passe :
+  ssh-keygen -t ed25519
-    for i in dns admin mail ; do ssh $i.cluster.chapril.org ssh-keygen -t ed25519 ; done
+Copiez le contenu de la clé publique (/root/.ssh/id_ed25519.pub) sur //felicette.orbite.chapril.org// dans /etc/ssh/authorized_keys/backup, en recopiant/adaptant les paramètres de commande forcée :
-    for i in 192.168.1.2 192.168.1.3 ; do ssh $i ssh-keygen -t ed25519 ; done
+  command="borg serve --restrict-to-path /srv/backups/bling.cluster.chapril.org",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc ssh-ed25519 AAAAC3[...] root@bling.cluster.chapril.org
-    for i in dns admin mail bastion ; do ssh $i.cluster.chapril.org cat ~/.ssh/id_ed25519.pub ; done > clefs
-    for i in 192.168.1.2 192.168.1.3 ; do ssh $i cat ~/.ssh/id_ed25519.pub ; done >> clefs
-et installées pour les user april@galanga.april.org et root@icinga2.chapril.org afin de traverser le nat.
+Veillez en particulier à adapter l'argument ''--restrict-to-path''.
+Initialisez ensuite la première connexion pour authentifier l'hôte.
+  # ssh -p 2242 backup@backup.chapril.org true
+  The authenticity of host '[backup.chapril.org]:2242 ([88.191.250.11]:2242)' can't be established.
+  ECDSA key fingerprint is e0:f9:98:26:24:da:d0:bd:04:a1:bc:00:50:7f:51:e5.
+  Are you sure you want to continue connecting (yes/no)? yes
+  Warning: Permanently added '[backup.chapril.org]:2242' (ECDSA) to the list of known hosts.
+Testez alors votre connectivité ssh. Ceci devrait fonctionner bruyamment :
+  # ssh -p 2242 backup@backup.chapril.org true
+Le bruit étant le retour de borg serve.
+===== Installation du backup =====
+Testez votre hostname. Celui-ci doit être sous la forme bling.cluster.chapril.org :
+  hostname
+Installez alors le paquet :
+  apt install backup-chapril
+Si vous avez le message suivant c'est que tout est ok.
+  ############################################################
+  #                       Dépot initialisé                   #
+  ############################################################
+Sinon tant pis pour vous : pas de bras, pas de chocolat.
+<note tip>On peut forcer la première exécution de backup pour apaiser le dieu icinga : ''systemctl start borgmatic.service''. Prévoir environ 35 mins pour une machine dérivée du modèle de base. Le backup est rapide mais un délais de 30 minutes rallonge l'exécution pour empêcher un backup après un reboot trop frais.</note>
+===== Restauration du backup =====
+En cas de besoin, il y a une page pour ça : [[admin:procedures:restaurer_machine|Restauration d'une machine depuis un backup]].
-Le backup est déployé par un paquet April spécifique qui installe un script de backup dans ''/srv/bin/backup.sh'' et une crontab.