Proxmox备份服务器
存储池类型:`pbs
这个后端允许直接将Proxmox备份服务器集成到{pve}中,就像任何其他存储一样。可以通过{pve} API、CLI或者网页界面直接添加Proxmox备份存储。
配置
后端支持所有常见的存储属性,除了始终设置的共享标志外。此外,还有以下Proxmox Backup Server的特殊属性可用:
- 服务器
-
服务器IP或DNS名称。必填。
- 用户名
-
Proxmox Backup Server 存储的用户名。这是必需的。
|
Tip
|
不要忘记在用户名后添加域名。例如,root@pam 或 archiver@pbs。
|
- 密码
-
用户密码。该值将保存在`/etc/pve/priv/storage/<STORAGE-ID>.pw`文件中,访问权限仅限于root用户。此项为必填。
- 数据存储
-
要使用的Proxmox Backup Server数据存储的ID。必填。
- 指纹
-
Proxmox备份服务器API TLS证书的指纹。你可以在服务器仪表板中获取它,或者使用`proxmox-backup-manager cert info`命令获取。对于自签名证书或任何其他主机不信任服务器CA的情况,此为必需。
- 加密密钥
-
一个用于从客户端加密备份数据的密钥。目前仅支持不受密码保护的密钥(无密钥派生函数(kdf))。该密钥将被保存在文件`/etc/pve/priv/storage/<STORAGE-ID>.enc`中,访问权限限制为仅root用户。使用魔术值`autogen`可以通过`proxmox-backup-client key create --kdf none <path>`自动生成新的密钥。可选。
- 主公钥
-
作为备份任务的一部分,用于加密备份加密密钥的公共RSA密钥。加密副本将被附加到备份中并存储在Proxmox备份服务器实例上以用于恢复目的。可选,需要`encryption-key`。
/etc/pve/storage.cfg)pbs: backup datastore main server enya.proxmox.com content backup fingerprint 09:54:ef:..snip..:88:af:47:fe:4c:3b:cf:8b:26:88:0b:4e:3c:b2 prune-backups keep-all=1 username archiver@pbs
存储功能
Proxmox Backup Server仅支持备份,它们可以是块级别的或文件级别的。{pve}对于虚拟机使用块级别,对于容器使用文件级别。
| Content types | Image formats | Shared | Snapshots | Clones |
|---|---|---|---|---|
|
n/a |
yes |
n/a |
n/a |
加密
您可以选择使用AES-256在GCM模式下配置客户端加密。加密可以通过网络界面配置,也可以在CLI上使用`encryption-key`选项配置(见上文)。密钥将被保存在文件`/etc/pve/priv/storage/<STORAGE-ID>.enc`中,该文件仅能由root用户访问。
|
Warning
|
没有密钥,备份将无法访问。因此,你应该将密钥有序存放,并且存放在与备份内容分开的地方。例如,可能发生的情况是,你使用系统上的一个密钥备份整个系统。如果该系统因任何原因变得无法访问,并需要恢复,这将无法实现,因为加密密钥将与损坏的系统一同丢失。 |
建议您将密钥保管在安全但又便于快速获取的地方,以便在紧急情况下快速恢复。因此,最佳的存储位置是您的密码管理器,可以立即恢复。作为备份,您还应该将密钥保存到USB闪存驱动器,并将其存储在一个安全的地方。这样,密钥与任何系统隔离,但在紧急情况下仍然易于恢复。最后,为了准备最坏的情况,您还应该考虑将密钥的纸质副本锁在一个安全的地方。可以使用`paperkey`子命令创建密钥的QR编码版本。以下命令将`paperkey`命令的输出发送到文本文件,以便轻松打印。
# proxmox-backup-client key paperkey /etc/pve/priv/storage/<STORAGE-ID>.enc --output-format text > qrkey.txt
此外,可以使用单个RSA主密钥对来进行密钥恢复:配置所有执行加密备份的客户端使用单一的公共主密钥,之后所有加密的备份都将包含一个使用RSA加密的AES加密密钥副本。相应的私有主密钥允许恢复AES密钥并解密备份,即使客户端系统不再可用。
|
Warning
|
主密钥对的保管规则与常规加密密钥的保管规则相同。如果没有私钥的副本,恢复是不可能的!`paperkey`命令支持生成私有主密钥的纸质副本,以便存放在一个安全的物理位置。 |
因为加密是在客户端管理的,所以你可以在服务器上使用相同的数据存储来进行未加密备份和加密备份,即使这些备份使用的是不同的密钥。然而,使用不同密钥的备份之间无法进行数据去重,因此通常最好创建单独的数据存储。
|
Note
|
如果加密没有好处,就不要使用它,例如,当你在受信任的网络中本地运行服务器时。从未加密的备份中恢复总是更容易的。 |
示例:通过命令行接口添加存储
然后你可以使用以下方法将这个共享作为存储添加到整个 {pve} 集群中:
# pvesm add pbs <id> --server <server> --datastore <datastore> --username <username> --fingerprint 00:B4:... --password