BACKUP
Opslagleveranciers geven zegen aan DPM
Maakt Microsoft tape-backup overbodig?
48
Microsoft heeft het nieuwe Data Protection Manager (DPM) product ontwikkeld dat een efficiënte, ‘near-continuous’ bescherming biedt. Het is snel en maakt een betrouwbaar herstel van data mogelijk
STORAGE MAGAZINE · 3 · AUGUSTUS 2005
gecombineerd met een operationele eenvoud. Betekent dit het einde van de vertrouwde tape-backup?
DOOR BRAM DONS
Bij de toepassing en het functioneren van systemen voor dataprotectie spelen diverse factoren een belangrijke rol. De drie belangrijkste problemen met conventionele backup-systemen zijn bekend. Ten eerste is het herstelproces onbetrouwbaar en omslachtig. De snelheid van het tape-gebaseerde herstelsysteem wordt bepaald door de tape-hardware en is foutgevoelig. Er is altijd het gevaar van verlies van een tape of een beschadiging daarvan. Sommige IT-analisten schatten dat meer dan 40 procent van alle herstelpogingen mislukt. Ten tweede, de bestaande backup-systemen zijn vaak te complex, te langzaam en inefficiënt. Conventionele backup-methoden vereisen te veel handmatige planning, zijn lastig te monitoren en vaak niet flexibel genoeg om eenvoudig in te spelen op een verandering in een bestaand disaster recovery-planningsysteem. Backup-systemen worden doorgaans om een viertal redenen toegepast: bij verlies of beschadiging van een bepaald deel of een compleet herstel van individuele bestanden; het bieden van offsite-bescherming van data en archivering op lange termijn. De tapegebaseerde systemen bieden voor de laat-
ste twee genoemde gevallen een betere oplossing dan voor de eerste. Tenslotte, de kosten voor een backupsysteem zijn hoog. Bij een gecentraliseerd backupsysteem is voor elk te beschermen systeem individuele ‘agent’ software nodig met bijbehorende licentie. Bij de niet-gecentraliseerde oplossing moet backup lokaal op elk individueel systeem worden uitgevoerd dat, afgezien van de benodigde backup-hardware, enorme beheerkosten met zich meebrengt. Al deze factoren leiden tot een aantal problemen met conventionele backupimplementaties. Gebruikers kunnen hun eigen bestanden niet herstellen zodat voor het herstel, zelfs van een enkel bestand, al de directe betrokkenheid van een beheerder nodig is en het in het algemeen uren duurt voordat het bestand weer is hersteld. In vergelijking met disk-gebaseerde backup zijn tape-systemen minder betrouwbaar. Echter, proprietary diskgebaseerde backup-systemen zijn in het algemeen te duur voor algemene toepassing, gedeeltelijk vanwege de hoge aanschafprijs en gedeeltelijk doordat ze niet goed binnen het NT operating system
zijn geïntegreerd of met de bestaande conventionele backup-systemen zijn te combineren.
Synchronisatie is het proces waarbij DPM alleen de veranderingen aan het bestand naar de DPM server stuurt en deze veranderingen ook op de replica van de protected data doorvoert. Het synchronisatieproces brengt, vanaf het tijdstip dat het de synchronisatie begint, wijzigingen aan op de replica, in overeenstemming met de protected data. De DPM updates gebeuren op byte-niveau binnen protected bestanden, de bestandsbewerkingen zelf (hernoemen, verwijderen en creëren) worden gerepliceerd alsof ze de echte bytes zijn die naar een protected bestand worden geschreven. DPM-synchronisatie gebeurt asynchroon zodat de disk-I/O niet wordt geblokkeerd. Veranderingen aan beschermde objecten worden in de agent synchronization log opgeslagen en daarna via het netwerk gerepliceerd naar de DPM server, waar ze in een transfer log worden opgeslagen. Door het lokale synchronisatie log-bestand op de protected server te bewaren, biedt dit naderhand de mogelijkheid om bij netwerkproblemen of onderbrekingen van het synchronisatieproces de veranderingen bij herstel daarvan alsnog naar de DPM-server te sturen.
DPM Microsoft heeft het nieuwe Data Protection Manager (DPM) product ontwikkeld dat een efficiënte, ‘near-continuous’ bescherming biedt. Het is snel en maakt een betrouwbaar herstel van data mogelijk gecombineerd met een operationele eenvoud. De integratie met het Windows operating system biedt meer dan de conventionele tape- of hybride disk/tape backup-systemen kunnen bieden. Hierna bespreken we uitvoerig de architectuur van DPM en zien we hoe installatie van de allereerste beta-versie van DPM verloopt. DPM is weliswaar ontworpen voor ondernemingen en organisaties in uiteenlopende groottes, maar richt zich in de praktijk toch meer op het middelgrote data center met tussen de 5 en 50 servers. Deze omgevingen hebben in het algemeen een dure en inefficiënte backupoplossing, zodat er vaak geen genoeg tijd is voor het maken van een reguliere backup. Voor het herstel van bepaalde gegevens die verloren zijn gegaan, moeten vaak enkele malen per maand bestanden van tape worden teruggehaald. De doelgroep die in aanmerking komt voor de implementatie van een DPM oplossing is vaak al wel bekend met de voordelen van Volume Shadow Copy Services (VSS), shadow copy’s of Shared Folder-voorzieningen van de Windows Server 2003 omgeving. Deze ondernemingen hebben vaak een Recovery Point Objective (RPO) van ongeveer een uur of minder en een Recovery Time Objective (RTO) die vaak korter is dan hun
De data in het transfer log-bestand worden gebruikt om naderhand complete replica’s te construeren voor het creëren van een point-in-time shadow copy. Naarmate het synchronisatieproces voortschrijdt, worden checkpoints gebruikt als ‘fallback’ methode voor hersynchronisatie. Nadat er twee minuten verstreken zijn, of 10 MB aan data-veranderingen verstuurd zijn, wordt een checkpoint ingesteld. Bij onderbreking van het netwerk of synchronisatieproces gaat bij een herstart het synchroniseren verder vanaf het laatste checkpoint. Er worden twee communicatiekanalen tussen de DPM servers en agents gebruikt: besturingscommando’s worden via het DCOM-protocol verstuurd en de replicatie-updates via TCP in combinatie met een beveiligde ‘data mover’ protocol. Beide kanalen zijn met behulp van IP-sec te beveiligen.
49
bestaande tape-oplossing kan bieden. In tegenstelling tot de conventionele tape-gebaseerde backup-systemen biedt DPM wel een efficiënte continu bescherming. Met behulp van logging en replicatie worden alleen veranderingen aan bestanden op byte-niveau bijgehouden, in plaats van een kopie van het hele bestand. Dit heeft als voordeel dat het de backup efficiënter maakt en het zogenaamde ‘backup window’ probleem elimineert. Naast replicatie zijn tussentijds point-in-time backups met behulp van shadow copy’s te maken (ook wel
Active Directory Third-party tape backup software
snapshot, past-time of cache copy’s genoemd). DPM maakt van de Windows Server 2003 VSS-component gebruik om ‘captured’ data van beveiligde servers op te nemen en replica’s te creëren die op een DPM-server worden opgeslagen. Hiermee zijn verwijderde of gecorrumpeerde bestanden op bepaalde tijdstippen uit het verleden terug te halen of om shadow copy’s op tape te bewaren, die deel van een backup-proces kunnen uitmaken. Er kunnen per volume maximaal 64 shadow copy’s worden aangemaakt. De DPM agents zorgen voor de logging en backup van elk van de productie-servers die zijn gekoppeld aan de server waarop DPM draait. Als het netwerk uitvalt, dan houdt de agent op de productie-server alle veranderingen bij totdat het netwerk weer beschikbaar is. Tenslotte, DPM is als aanvulling, dus niet als vervanging, te integreren met bestaande backup-systemen. IT-beheerders kunnen nog steeds op elk moment een backup naar tape maken van de server waarop DPM draait.
DPM
Architectuur DPM DPM Server
Clients
File Servers
Afbeelding 1: Microsoft DPM architectuur.
STORAGE MAGAZINE · 3 · AUGUSTUS 2005
HET DPM SYNCHRONISATIEPROCES
Tape Server
Een DPM data protection-infrastructuur bestaat uit verschillende componenten: de DPM server software; DPM agent software op de Protected File Server(s); Windows XP en Windows Server 2003 clients; een of meer te beschermen File
Servers en optioneel tape-backup agent software op de DPM Server voor de koppeling naar een optionele Tape Server. De DPM Server software wordt op een dedicated server geïnstalleerd waarop Windows Server 2003 SP1 of Windows Storage Server 2003 SP1 draait (zie afbeelding 1). Op elke te beschermen File Server wordt de DPM protection software geïnstalleerd, die zorgt voor de afhandeling en uitvoering van het DPM data protection proces; naast Windows 2003 mogen dat ook Windows 2000 servers zijn. Verder is een Windows Active Directory (AD) Domain nodig voor de registratie van servers en de beveiliging van alle files en folders binnen een bepaald Domain. Het AD-schema bevat ook de configuratie-instellingen die een eindgebruiker nodig heeft om data via een shadow copy vanaf de DMP Server op te vragen. De DPM Server slaat de meta-data op in een Microsoft SQL Server 2000; het DPM product bevat een beperkte licentie voor het exclusief gebruik van SQL Server 2000, in combinatie met de DPM software. DPM is ontworpen om een efficiënt, ‘near-continuous’ backup en snel herstel van beschermde data te bieden. Dit proces wordt in een drietal stappen uitgevoerd. Ten eerste, op het moment dat een object of server wordt opgenomen in een ‘protection group’ dan wordt een initiële copy (een replica) van de protected server naar de DPM server gemaakt. De DPM agent houdt de beschermde data bij en stuurt daarna op basis van een synchronisatie schedule alleen de veranderde datablocken naar de DPM server. Verder worden op van te voren, door de beheerder gedefinieerde tijdstippen, shadow copy’s van de replica op de DPM server
Afbeelding 3: Installatie SQL Server.
gecreëerd. Deze kunnen daarna op elk moment voor een herstel van data worden gebruikt. Omdat DPM volledig met VSS is geïntegreerd, bepaalt de protection policy hoeveel shadow copy’s of snapshots beschikbaar zijn. Het default shadow copy schedule is bedoeld voor het maken van ongeveer 30 dagen aan shadow copy’s met drie kopieën per dag. Dit biedt voor de meeste IT-omgevingen een goede bescherming in combinatie met een efficiënt gebruik van
die het moet beschermen, maar mag zelf geen Domain Controller of applicatieserver zijn. Aan disk-ruimte voor de storage pool moet minimaal 1,5 maal de hoeveelheid te beschermen data aanwezig zijn. De DPM installatie-wizard begeleidt de gebruiker bij het specificeren van de DPM configuratie-instellingen en de installatie van SQL Server 2000 en Reporting Services. Na installatie van DPM scant de Active Directory service het netwerk op aanwezige file servers. Vanuit
HET IS MOGELIJK DAT GEBRUIKERS ZELF DIRECT TOEGANG HEBBEN TOT DE SNAPSHOTS
diskcapaciteit. Wanneer men een hogere beschermingsgraad wenst dan kan men bijvoorbeeld kiezen voor de synchronisatie om het uur en na beëindiging daarvan een shadow copy uitvoeren. In dat geval worden dagelijks acht shadow copy’s opgeslagen, maar gezien de 64 shadow copy limiet kan dit dan maar voor acht dagen. Naast de beheerder, is het mogelijk dat gebruikers zelf direct toegang hebben tot de snapshots om zelf bestanden te herstellen binnen Windows Explorer en Office 2003.
Installatie DPM Als eerste wordt de DPM server geïnstalleerd op een Windows 2003 server (Standard of Enterprise Edition). Deze server moet een member zijn van dezelfde AD domain als de File Servers
de DPM’s server administratieve console wordt vervolgens de DPM agents remote geïnstalleerd op de te beschermen file servers. Zoals gesteld, de agent software is verantwoordelijk voor het bewaken van de te beschermen data op de file server en de veranderingen te synchroniseren met de DPM server. De DPM agent bestaat uit twee componenten: een ‘file system filter’ die binnen de Windows kernel draait en een DPM File Agent service die in user mode draait en die de synchronisatie uitvoert. Voor het maken van shadow copy’s door eindgebruikers moet op ieder systeem de DPM client-software worden geïnstalleerd. Na de installatie van de DPM Server en Agents, wordt de voor DPM hoeveelheid benodigde opslagcapaciteit bepaald, Protection Groups gedefinieerd en daarvoor geldende restricties en richtlijnen aangemaakt.
STORAGE MAGAZINE · 3 · AUGUSTUS 2005
Afbeelding 2: Installatieproces.
51
Afbeelding 4: Creatie Protection Group.
Protection Groups
52 STORAGE MAGAZINE · 3 · AUGUSTUS 2005
De eerste stap bij het plannen van een backup-strategie is het maken van een selectie van de te beschermen data. Alhoewel DPM primair ontworpen is voor de bescherming van bestanden is het mogelijk om ook andere type data, zoals databases of messaging data, te exporteren naar een ‘vlak’ bestand en deze daarna in de DPM backup mee te nemen. Op dezelfde manier kan men het systeem beveiligen door met de standaard Windows Backup utility de ‘system state’ naar een bestand te exporteren.
Afbeelding 5: DPM disk-allocatie.
‘Protection Group’. De protection policy omvat een bepaald synchronisatie- en shadow copy schedule. Zo is het mogelijk om data te groeperen in groepen die een relatief laag of hoog risico voor het verlies van data vormen. Bij de selectie van group members geldt een aantal beperkingen en richtlijnen: een data-bron kan slechts lid zijn van één protection
ken maar Microsoft beveelt aan om voor een van de twee te kiezen. Elk methode heeft zijn voordelen. Het volume en folder namespace model is bij de meeste beheerders bekend en maakt het eenvoudig om exact te identificeren welke items moeten worden beschermd en welke niet. Het share namespace model biedt een eenvoudiger restore-operatie
BIJ UITVAL VAN DE DATA PROTECTION SERVER GAAN WEL ALLE DATA VERLOREN
DPM kan data beschermen op volume-, folders-, of share-niveau. Data-typen die vaak veranderen, en voor welke men een snelle restore via point-in-time copie wenst, komen als eerste in aanmerking voor backup met DPM. Het alternatief is om gewoonweg alle data in de backup mee te nemen, maar daar hangt natuurlijk een (disk) prijskaartje aan. Op basis van dezelfde ‘protection policy’ groepeert men de te beschermen data in een
group; data-bronnen van meer dan één volume kunnen deel uitmaken van een enkele group; subfolders zijn niet uit te sluiten bij de selectie van een folder. DPM ondersteunt de bescherming van data via twee methoden: volumes and ‘folder paths’ of ‘share names’. Het is mogelijk om beide methoden te gebrui-
omdat het daarbij niet nodig is om het data path te specificeren. Bij verplaatsing van een bescherm-object blijft de bescherming via DPM gewaarborgd. De hoeveelheid voor DPM server beschikbare diskcapaciteit bepaald hoe ver de backup-historie reikt. De totale hoeveelheid data voor replica’s en shadow copy’s
DPM in combinatie met tape backup Met behulp van de standaard ‘NTBackup’ utility kunnen DPM replica’s naar tape worden geschreven, waarbij geen gebruik van VSS wordt gemaakt voor het maken van een snapshot. Een backup softwarepakket die dat al wel kan is Yosemite Backup (versie 8.00). Yosemite Backup maakt van VSS gebruik om snapshots van gerepliceerde data te creëren en te mounten, zodat ze op tape kunnen worden opgeslagen. Daartoe biedt Yosemite Backup een geïntegreerde DPM Agent die vaststelt of het een backup vanaf een DPM’s service replica maakt, waarbij het VSS gebruikt om ‘native’ een snapshot te creëren en mounten als onderdeel van een backup job. Met Yosemite Backup kan men de door DPM-gearchiveerde data direct, zonder tussenkomst van de DPM server, vanaf het gearchiveerde medium (tape of virtual tape drive) restoren. Men kan ook data naar de DPM server restoren.
Maakt DPM tape-backup overbodig? Doel van DPM’s disk-gebaseerde backupoplossing is om alle inefficiënte en complexiteit van bestaande tape-gebaseerde backup- en restore oplossingen op te heffen, een loffelijk streven. Het backup-proces is gebaseerd op Microsoft’s Distributed File System (DFS) en Volume Shadow Copy service, wat voor het backup-proces een paar belangrijke voordelen biedt. Ten eerste kunnen ‘geopende’ bestanden tijdens de backup worden meegenomen en ten tweede hoeft men niet langer te wachten op een geschikt moment om de backup te draaien. Bovendien kan men zoveel keer als men wenst een backup maken (zelfs elk uur). Dit klinkt allemaal fantastisch maar is daar niet een geweldige hoeveelheid diskruimte voor nodig? Nee dus, door een bestand eenmalig op te slaan en daarna alleen de veranderingen op byte-niveau bij
Volume synchronizations (hourly)
Full tape backups (weekly)
File Servers running DPM agent
DPM server running Windows Backup, backing up to local media
Afbeelding 6: DPM en Windows Backup.
Yosemite Backup Master Server
Yosemite Backup Media Server
Yosemite Backup SAN Media Server
Production Server
DPM Server
SAN
Afbeelding 7: DPM en Yosemite Backup.
te houden, kunnen maximaal 64 versies van het bestand worden bewaard. Deze backup-techniek op byte-niveau bespaart natuurlijk enorm veel diskruimte en netwerkbandbreedte; bovendien biedt DPM een ‘bandwidth throttling’ voorziening in gevallen waarbij de backup te veel hinder veroorzaakt voor het overige netwerkverkeer. De directe disk-benadering voor restore biedt gebruikers de mogelijkheid om binnen enkele minuten een bestand te restoren, waarvoor geen systeembeheerder langer meer nodig is. De gebruiker, of een help disk, kan zelf vorige versies van bestanden weer terughalen; men zou het kunnen zien als een beperkte vorm van ‘file versioning’, een techniek die we al dertig geleden zagen op de mini-computers. De schaduwkant van dergelijke ‘nearcontinuous’ disk-gebaseerde backupoplossingen wordt meestal niet door de leveranciers van dergelijke producten genoemd. Want, bij uitval van de Data Protection Server gaan wel alle data verloren. Door replica’s op een andere server binnen het netwerk op te slaan
(via bijvoorbeeld iSCSI) kan het genoemde nadeel echter worden geminimaliseerd. Daar hangt natuurlijk wel een stevig prijskaartje aan (extra server met opslagcapaciteit). DPM is dus absoluut geen vervanger van alle bestaande tape-gebaseerde backup-oplossingen! Voor een volledige bescherming blijft de noodzaak aanwezig om van de bestaande tape-gebaseerde oplossingen gebruik te moeten maken. De eerste DPM release zal hoofdzakelijk bedoeld zijn voor backup van file servers, toekomstige versies zullen de mogelijkheid bieden om specifieke applicaties, zoals SQL en Exchange, te combineren met DPM. Tientallen opslagleveranciers hebben al hun zegen gegeven aan de DPMoplossing (gezien de invloed van Microsoft kunnen ze ook niet veel anders). De betaversie van DPM is te downloaden vanaf www.microsoft.com/windowsserversystem/ dpm/download/default.mspx Microsoft heeft DPM voor de tweede helft van 2005 gepland, de prijs is nog niet bekend. ■ BRAM DONS IS ONAFHANKELIJK IT-ANALIST.
STORAGE MAGAZINE · 3 · AUGUSTUS 2005
die zich in de beschikbare opslag pool bevindt, kan over meerdere disks worden verspreid en zonodig worden uitgebreid. Default gaat DPM voor een protected volume uit van een bepaalde grootte. Daarbij wordt voor een replica 1,5 maal de ruimte van het te beschermen volume gereserveerd, voor een shadow copie 20 procent van de grootte van de replicatoewijzing (met een minimum van 550 MB) en voor transfer logging 1,4 maal de ruimte die is toegewezen voor synchronisatie-logging.
53