26.4.14. Proxmox Backup Server

⁠26.4.14. Proxmox Backup Server

Proxmox Backup Server позволяет напрямую интегрировать сервер резервного копирования в PVE.

Этот тип хранилища поддерживает только резервные копии:

на уровне блоков — для ВМ;
на уровне файлов — для контейнеров LXC.

Хранилище pbs поддерживает все общие свойства хранилищ, кроме флага shared, который всегда включён. Дополнительные параметры:

server — IP-адрес или DNS-имя сервера резервного копирования;
username — имя пользователя на сервере резервного копирования (например, root@pam, backup_u@pbs);
password — пароль пользователя. (сохраняется в /etc/pve/priv/storage/<STORAGE-ID>.pw, доступен только суперпользователю);
datastore — имя хранилища на сервере PBS;
fingerprint — отпечаток TLS-сертификата PBS. (обязателен при использовании самоподписанного сертификата). Отпечаток можно получить в веб-интерфейсе сервера резервного копирования или с помощью команды proxmox-backup-manager cert info;
encryption-key (опционально) — ключ для шифрования резервной копии. В настоящее время поддерживаются только те файлы, которые не защищены паролем (без функции получения ключа (kdf)). Сохраняется в /etc/pve/priv/storage/<STORAGE-ID>.enc, доступен только суперпользователю;
master-pubkey (опционально) — открытый ключ RSA для шифрования копии ключа шифрования (encryption-key). Зашифрованная копия будет добавлена к резервной копии и сохранена на сервере резервного копирования для целей восстановления.

Пример конфигурации (/etc/pve/storage.cfg):

pbs: pbs_backup
    datastore store2
    server 192.168.0.123
    content backup
    fingerprint 42:5d:29:20:…:d1:be:bc:c0:c0:a9:9b:b1:a8:1b
    prune-backups keep-all=1
    username root@pam

⁠26.4.14.1. Подключение хранилища

Добавление хранилища Proxmox Backup Server с именем pbs_backup с сервера 192.168.0.123:

Добавление хранилища Proxmox Backup Server в командной строке:

# pvesm add pbs pbs_backup  \
    --server 192.168.0.123  \
    --datastore store2  \
    --username root@pam  \
    --fingerprint 42:5d:29:20:…:d1:be:bc:c0:c0:a9:9b:b1:a8:1b  \
    --password

⁠26.4.14.2. Шифрование

Шифрование резервных копий выполняется на стороне клиента с использованием AES-256 в режиме GCM.

Шифрование можно настроить либо в командной строке с помощью опции encryption-key, либо через веб-интерфейс:

Сгенерировать клиентский ключ шифрования

Необходимо сохранить ключ шифрования:

Шифрование настроено:

Ключ будет сохранен в файле /etc/pve/priv/storage/<STORAGE-ID>.enc, который доступен только пользователю root.

Примечание

Для работы с ключами в командной строке используется команда proxmox-backup-client key. Например, сгенерировать ключ:

# proxmox-backup-client key create --kdf none <path>

Сгенерировать мастер-ключ:

# proxmox-backup-client key create-master-key

Важно

Без ключа шифрования восстановить резервные копии невозможно. Ключ необходимо хранить в безопасном, но доступном месте: в менеджере паролей, на USB-накопителе.

Для централизованного восстановления можно использовать мастер-ключ. Открытая часть (master-pubkey) добавляется в конфигурацию PBS-хранилища. Закрытая часть позволяет расшифровать любую резервную копию, даже если клиентская система утеряна.

Важно

Закрытый мастер-ключ должен храниться с той же степенью защиты, что и клиентские ключи. Без копии закрытого ключа восстановление невозможно!

Примечание

Не следует использовать шифрование, если от него нет никакой пользы, например, если сервер запущен локально в доверенной сети. Восстановить данные из незашифрованных резервных копий всегда проще.