D31-综合架构备份服务

一、 rsync守护进程模式备份数据原理 (用户身份转换过程)

1.原理过程

第一步: 客户端 ==> 服务端：通过网络连接建立通讯，并向服务端发送用户认证信息与请求传输数据信息
第二部: 客户端 <== 服务端：通过配置文件，确认用户认证信息，并询问密码信息
第三步: 客户端 ==> 服务端：发送密码信息与请求传输数据信息
第四步: 客户端 <== 服务端：通过密码配置文件，确认密码信息
第五步: 客户端 ==> 服务端：用户携带数据通过网络进行传输，并更改配置文件指定的用户信息
第六部: 客户端 <== 服务端：发送数据存储完毕确认，将数据保存到备份目录中，并主动修改备份目录的属主属组信息与用户信息保持一致，，其次认证用户将强制修改文件属性信息，即备份数据的属主属组信息

2.常见错误：chgrp ".hosts.Zb1kyS" (in backup) failed: Operation not permitted (1)

出现错误原因

备份数据完成后，下方如提示：chgrp ".hosts.Zb1kyS" (in backup) failed: Operation not permitted (1)；则证明chgrp命令操作不允许，其原因为chgrp为修改文件或目录属组信息的命令，而修改属组信息，除root用户外，普通用户无相应权限，而在rsync备份过程中，用户已经设置成配置文件中指定的相关用户，而不是root用户，所以chgrp命令无法正常进行，但是认证用户会依然强制修改备份数据的属主属组信息，故而出现该错误提示，但不影响数据的备份。

解决错误说明

普通用户无法修改文件的属组信息，修改配置文件/etc/rsyncd.conf下的fake super = yes；意为让指定虚拟用户伪装成管理员用户, 可以强行修改文件属主属组权限信息

补充

命令：chgrp ==>修改数据属组信息
格式：chgrp 要修改的属组信息 目标文件或目录

image.png

二、rsync命令参数说明

-a, --archive archive mode; equals -rlptgoD (no -H,-A,-X)
归档模式参数; 等价于 -rlptgoD
-r, --recursive recurse into directorie
递归传输目录
-l, --links copy symlinks as symlinks
备份传输软链接文件保持属性不变，即备份传输后的软链接文件只是一个快捷方式，而非真正意义上的软连接文件，无法正常读取到软链接文件中的数据信息
-L, --copy-links transform symlink into referent file/dir
备份传输软连接文件时,会将源文件内容信息进行传输备份
-p, --perms preserve permissions
保持权限信息不变 644 755
-t, --times preserve modification times
保持文件修改时间不变
-o, --owner preserve owner (super-user only)
保持文件属主信息不变
-g, --group preserve group
保持文件属组信息不变
-D same as --devices --specials
保持设备文件属性信息不变 c b s
-v, --verbose increase verbosity
传输备份数据详细过程信息
-P same as --partial --progress
传输进度信息
--exclude=PATTERN exclude files matching PATTERN
根据指定数据信息进行排除
--exclude-from=FILE read exclude patterns from FILE
根据指定文件进行批量排除数据信息
--delete delete extraneous files from destination dirs
进行无差异同步传输数据
同步目录数据信息时, 保证目录中数据信息一模一样
-z, --compress compress file data during the transfer
在传输数据时,对文件进行压缩传输
--bwlimit=RATE limit socket I/O bandwidth
限制传输速率

image.png

--password-file 实现免交互传输数据信息

三、rsync守护进程备份服务企业应用

1.守护进程模式的两种方式

a.推: 客户端 -- 数据备份 -- 备份服务器
b.拉: 客户端 -- 数据恢复 -- 备份服务器
Pull: rsync [OPTION...] [USER@]HOST::SRC... [DEST]
SRC: 备份服务器上模块信息
DEST: 本地保存数据路径信息
格式为：rsync 认证信息名称@数据恢复到的服务器的私网IP地址：：模块信息 要还原的数据信息
注意：当使用rsync软件服务进行数据恢复时，rsync恢复的数据时全模块的数据信息，而非指定的数据恢复，如需恢复制定目录下或指定文件，需在配置文件中先行创建多个用模块信息并创建多个模块下的指定备份目录

2.企业多模块应用过程

a. 守护进程模式多模块创建

第一个里程: 配置文件中创建多个模块信息
vim /etc/rsyncd.conf
在模块信息所在行修改或添加需要的模块信息及备份目录
如：

[sa_backup]
comment = "backup dir by oldboy"
path = /backup/sa_dir/
[dev_backup]
comment = "backup dir by oldboy"
path = /backup/dev_dir/
[dba_backup]
comment = "backup dir by oldboy"
path = /backup/dba_dir/

第二个里程: 确认指定模块路径是否存在并查看权限是否正确
ll -d /backup
以及确认模块目录内所有所需信息属主属组是否为rsync
第三个里程: 重启rsync服务
systemctl restart rsyncd

b.守护进程模式数据排除功能

方法一：利用rsync命令参数 --exclude

rsync 参数信息 要同步的数据信息路径 --exclude=需要排除的数据信息 用户认证信息@备份服务器私网IP地址：：模块信息

注：--exclude排除数据信息时，要以相对路径的形式进行排除，并且一定是以需要同步的数据路径信息做为当前路径

方法二：利用rsync命令参数 --exclude-from

第一里程：编写排除数据信息文件
rsync 参数信息 要同步的数据信息路径 --exclude-from=排除数据信息文件 用户认证信息@备份服务器私网IP地址：：模块信息

注：批量排除同步数据信息时，创建的排除数据信息文件一定是在要同步的数据信息的目录下

方法三: 利用服务端配置文件参数

exclude --- 指定数据进行排除同步 == 客户端命令参数 --exclude
exclude from --- 指定多个数据排除文件信息,排除多个数据 == 客户端命令参数 --exclude-from
exclude：
vim /etc/rsyncd.conf
在模块信息中或模块信息整体上方添加exclude = 排除的数据信息1 排除的数据信息2 等
exclude from:
vim /etc/rsyncd.conf
在模块信息中或模块信息整体上方添加exclude from = 排除数据信息文件（最好是绝对路径)

注：在进行配置文件参数时，exclude from后的配置参数中的文件，不要存放在要同步的数据信息目录下

补充: rsyncd.conf配置文件说明

全局配置: 在模块上面配置的信息,为全局配置,会影响所有模块
局部配置: 在模块里面配置的信息,为局部配置,只会影响当前模块

c.守护进程模式数据无差异同步

使用rsync命令参数--delete
格式：rsync 参数 要同步的数据路径 --delete 用户认证信息@备份服务器私网IP地址：：模块信息
企业应用: 保证数据同步一致即在存储服务器无故障时，备份服务器数据等于存储服务器数据；主要应用于用户在存储服务器中存储违法违规内容信息时，由于实时同步原理，备份服务器也将存储该违法违规内容，而当网监部门屏蔽掉该内容时，企业中也需将存储服务器的该内容进行删除并无差异的同步到备份服务器中

PS: --delete参数,一定要慎用,容易造成误删数据

d.守护进程模式创建子目录功能

格式：rsync 参数 要同步的数据路径 用户认证信息@备份服务器私网IP地址：：模块信息/子目录名称/
注意：在模块信息后创建的新的子目录后一定要“/”

e.守护进程模式访问策略功能

白名单配置/黑名单配置

image.png

注：当白名单在全局配置中，而黑名单在局部配置中，跟情况3是一致的且依然遵循白名单优先黑名单
当黑名单在全局配置中，而白名单在局部配置中，跟情况3是一致的且依然遵循白名单优先黑名单
总结：综上所述，第一种情况是最安全的情况，即只有白名单，没有黑名单禁止策略

f.守护进程模式列表功能说明 (了解)

list = false/true ---关闭/开启客户端列表显示备份服务端所有模块信息及模块注释信息（默认为开启状态）
格式：rsync rsync_backup（认证用户信息）@172.16.1.41（备份服务器私网IP地址）::
说明：该格式为极简格式，在Linux中大多数软件服务（如：rsync）的格式中带有【】的内容则代表可忽略的内容，但是使用极简格式时，只能显示最基本的配置文件内容信息，并无实际操作意义
如：rsync [email protected]::
则显示所有模块信息及模块注释信息如下：
sa_backup "sa backup dir"
dev_backup "dev backup dir"
dba_backup "dba backup dir"
如将配置文件中的list=false 执行则无任何显示

建议：

在企业环境中list列表功能最好改为关闭状态，因为当不同部门之间使用同一个认证用户信息时，即意味着所有部门的认证信息以及密码信息均是一致的，此时当列表信息为开启的状态时，便可根据列表信息的内容找到各部门的模块信息，若有人故意将空目录无差别同步到其中一个部门的备份服务器中的相关目录，则造成该部门的备份数据丢失。

四、配置文件其他说明

gid和uid属主属组信息说明

当其他用户同步数据到备份服务器时，认证用户会伪装成root用户修改属主属组信息为rsync，但-a参数中有-g-o相关参数，代表保持属主属组信息不变，为何认证用户依然修改成功，其原因为配置文件/etc/rsyncd.conf中设置的属主属组信息为gid=rsync；uid=rsync，而-g-o参数只针对root用户有效，所以，配置文件应该修改为gid=root；uid=root同时注释掉伪装root用户配置
注意：确认备份服务端存在其他用户的相应信息，且gid和uid信息必须保持一致

port端口信息说明

一般情况下有部分网路端口信息为默认端口信息（如：22为远程服务端口信息;873为rsync服务端口信息）此时若有不法分子试图攻击该备份服务器，则更容易攻击成功，所以处于安全考虑在企业中端口信息为随机设定的端口信息

修改默认端口信息后依然能够同步数据信息方法

方法一:
格式：rsync [OPTION...] SRC... rsync://[USER@]HOST[:PORT]/DEST
rsync 参数 要同步的数据信息 rsync://认证用户信息@备份服务器私网IP地址：修改后的端口信息/模块信息
如：

[root@nfs01 ~]# rsync -avz /etc/hosts rsync://[email protected]:874/backup_oldboy --password-file=/etc/rsync.password
    sending incremental file list
    hosts
    
    sent 219 bytes  received 43 bytes  524.00 bytes/sec
    total size is 335  speedup is 1.28

方法二:
添加参数 --port=修改后的端口信息
如：

[root@nfs01 ~]# rsync -avz /etc/hosts [email protected]::backup_oldboy --password-file=/etc/rsync.password --port=874
    sending incremental file list
    
    sent 47 bytes  received 20 bytes  134.00 bytes/sec
    total size is 335  speedup is 5.00

其他用户（非root用户）备份数据信息时注意事项

当其他用户操作服务器时，用免交互方式备份数据到备份服务器上，会出现权限不足的错误提示报告rsync: could not open password file /etc/rsync.password: Permission denied (13)；此时证明该用户没有权限访问/etc/rsync.password文件，若通过root用户修改该文件权限使其他用户拥有读的权限，此时会出现ERROR: password file must not be other-accessible错误提示，该提示代表此文件不允许被其他用户所访问，与此同时root用户也无法正常备份数据到备份服务器中，也会出现ERROR: password file must not be other-accessible相同的错误提示，不允许其他用户访问该密码文件；此时，解决办法为：在普通用户的家目录下创建新的密码文件，且密码与原密码一致，并在告知root用户，使其修改其他用户家目录下的密码文件权限为600

如何对外网用户传输的数据进行限速 --bwlimit=n(单位为KBPS)

--bwlimit=KBPS limit I/O bandwidth; KBytes per second
没有限速传输数据情况

[root@nfs01 ~]# rsync -avzP /opt/1G [email protected]::backup --password-file=/etc/rsync.password
    sending incremental file list
    1G
      1,048,576,000 100%   57.70MB/s    0:00:17 (xfr#1, to-chk=0/1)
    
    sent 1,019,827 bytes  received 43 bytes  55,128.11 bytes/sec(没有限速速率)

设置限速传输数据情况

[root@nfs01 ~]# rsync -avzP --bwlimit=10 /opt/1G [email protected]::backup --password-file=/etc/rsync.password
    sending incremental file list
    1G
      1,048,576,000 100%   10.67MB/s    0:01:33 (xfr#1, to-chk=0/1)
    
    sent 1,019,827 bytes  received 43 bytes  10,147.96 bytes/sec(限速速率 10KB/s)
    total size is 1,048,576,000  speedup is 1,028.15

在企业应用过程中，也可以将bwlimit限速理解为限制外网用户以M为单位的传输速度，而实际其实限制的是速率，而非传输速度

补充netstat -lntup命令

netstat -lntup查看服务器所有端口信息
参数解析：
-l ==> 以列表形式显示端口信息
-n ==> 以数字形式代表端口名称
-t ==> 显示TCP协议的端口信息
-u ==> 显示ucp协议的端口信息
-p ==> 开启网络服务的进程信息