[How-To] Scality ARTESCA
ARTESCA Object Storage
Mit dem Produkt ARTESCA bietet die Firma Scality einen skalierbarern und sicheren Object Storage im Sinne einer Software Defined Storage Lösung.
Ein Object Storage bietet ein skalierbarer Storage für direkten Zugriff für moderne Applikationen. Dabei erfolgt der Zugriff über HTTPS. Im Gegensatz zu einem herkömmlichen File Server hat ein Object Storage eine flache Ablage Hierarchie. Die gespeicherten Daten werden dabei als Objekte abgespeichert. Nebst den Daten können auch Metadaten hinterlegt werden. Dies erlaubt auf Basis dieser Metadaten nach Objekten mit einem speziellen Attribut zu suchen. Die ARTESCA bietet nahezu alle verfügbaren Funktionen welche Amazon im S3 Protokoll vergesehen hat. Die Versionierung und der Object Lock sind für einen sicheren Backupspeicher sehr wichtige Funktionen, denn damit wird das Nutzen von Immutability erst möglich.
Durch den Software Defined Storage Ansatz, kann ARTESCA auf Standard X86 Servern installiert werden. Dabei wird der Scale-Out und Scale-Up Ansatz verfolgt.
Ein ARTESCA Cluster kann als Single Server oder als Mulit-Server Cluster mit 3 – 6 Nodes realisiert werden. Die Startkapazität beträgt 50TB und skaliert bis zu 8.5PB.
Nebst dem Backup Use Case können parallel weitere Use Case auf dem selben Cluster betrieben werden. Einige beliebte weitere Use Cases sind Storage für Kubernetes, Archivierung, PACS, CMS, System Log (Splunk), CCTV, IoT und vieles mehr.
ARTESCA Features
Das Deployment kann auf zertifizierten X86 oder als Virtuelle Appliance erfolgen. Die gespeicherten Daten werden im Rahmen von Local Data Protection und Distributed Protection sicher abgelegt. Im Lieferumfang ist auch das gehärtete RockyLinux. Scality übernimmt dabei das Patching und Hardening des Rocky Linux. Das Hardening entfernt z.B. die Privilegien für den User root und sudo Zugriff.
Über die Validated Designs mit Erweitertem API Support für Applikations Partner wie z.B. Veeam kann die Object Storage Konfiguration und Integration in die Applikation sehr einfach erfolgen.
Über getrennte Netzwerke, kann der Workload für das Management und den Datenfluss voneinander getrennt werden.
Unterschiedliche Netze für Verwaltung (Control Plane) und Workload (Workload Plane). Mehrere Netzwerke für die Workload-Ebene ermöglichen ein getrenntes Netzwerk pro Anwendung
Der Zugriff auf das ARTESCA Management GUI bietet Role Based Access Control. Steuerung des Zugriffs auf UI und Ressourcen über Rollen. Storage Manager Rolle – Daten Administration Services (Accounts, Data Browser, Workflows), Plattform Admin Rolle – Plattform and Storage Administration Services
ARTESCA Architektur
Die ARTESCA Software Architektur verfolgt einen Kubernetes Ansatz. So sind sämtliche Funktionen als Micro Services implementiert.
Datenspeicherung mit Erasure Coding
Wie bei Software Defined Storage Produkten üblich werden die Daten nicht mitels RAID geschützt, sondern mittels Erasure Coding. Dies erlaubt nebst einer lokalen Protection auch eine Distributed Protection, welche vor dem Ausfall eines ganzes Servers schützt. Im folgenden sind die Vorgehensweisen beider Protection Levels beschrieben.
Single Server – Local Protection
Kleine Objects (<60KB) werden mittels drei Replikas, verteilt über verschiedene Disks gespeichert.
Grosse Objects (>60KB) werden innerhalb des Servers mit EC 8+2 geschrieben. Die ARTESCA unterteilt das original Object in Acht Chunks und erstellt zwei Parities und verteilt sie über verschiedene Disks. Diese Vorgehensweis Schützt vor dem gleichzeitigen Verlust von zwei beliebigen Disk. Es ermöglicht den schnellen, lokalen Rebuild bei einem Disk Ausfall.
Multi Server – Dual Level Protection
Network Protection
Die Daten werden über das Netzwerk auf alle Server verteilt. Kleine Objekte sind mit zwei Replikas geschützt, grosse Objects werden mit Erasure Coding 2+1 oder 5+1 über die Server verteilt. Der Erasure Coding Wert wird anhand der Clustergrösse automatisch gesetzt und schützt vor einem Server Ausfall.
Local Protection
Die Daten werden immer auf zwei Disk geschrieben. Kleine Objekte (<60KB) sind mit zwei Replikas, verteilt über verschiedene Disks geschützt, grosse Objects werden mit local EC 9+1 geschrieben. Schützt vor dem Verlust einer beliebigen Disk und ermöglicht den schnellen, lokalen Rebuild bei einem Disk defekt
ARTESCA Update
Der Update einer ARTESCA erfolgt direkt aus dem WEBGUI. Beim einloggen wird angezeigt, ob eine neue Version verfügbar ist und wie lange die installierte Version noch supportet ist. Über die Download Funktion können die Update Files für das OS (RockyLinux) und ARTESCA direkt vom Download Server der Scality heruntergeladen und installiert werden. Bei einem Cluster mit 3-6 Nodes erfolgt der Update vollständig im Online Betrieb. Dies erlaubt den Update zu jeder Zeit, ohne das es Einschränkungen bei der Service Verfügbarkeit gibt.
ARTESCA CORE5
Bei ARTESCA bietet nicht nur die Software eine sichere Speichermöglichkeit für deine Daten, sondern es ist der ganze Aufbau und die Architektur, welche grösstmöglichen Schutz bietet. Dabei verfolgt Scality seinen CORE5 Ansatz.
Scalitys neue CORE5-Funktionen schützen Daten auf fünf kritischen Ebenen von der API bis hin zur Architektur und bieten so End-to-End-Cyber-Resilienz:
API-Ebene: Die über die S3-Objektsperre implementierte Unveränderlichkeit bietet leistungsstarken Schutz, da sie sicherstellt, dass Backups direkt nach der Erstellung nicht mehr verändert werden können. Multi-Faktor-Authentifizierung (MFA) und Zugriffskontrolle helfen Administratoren, Verletzungen durch Mitarbeiter zu verhindern.
Datenebene: Mehrere Sicherheitsmassnahmen auf Datenebene verhindern, dass Angreifer auf gespeicherte Daten zugreifen und diese aus dem System ausschleusen können.
Speicherebene: Fortschrittliche Verschlüsselungstechniken verhindern die Zerstörung oder Exfiltration von Backups, indem sie gespeicherte Daten für Angreifer unleserlich machen. Das funktioniert selbst, wenn sie gestohlene Zugriffsrechte nutzen, um übergeordnete Schutzmaßnahmen zu umgehen.
Standort-Ebene: Durch die einfache, preiswerte Speicherung von Daten an mehreren Standorten gehen Daten auch dann nicht verloren, wenn ein ganzes Rechenzentrum angegriffen wird.
Architektur-Ebene: Die intrinsisch unveränderliche Kernarchitektur stellt sicher, dass einmal gespeicherte Daten immer in ihrer ursprünglichen Form verbleiben, selbst wenn ein Angreifer die erforderlichen Zugriffsrechte erhält und die Unveränderlichkeit auf API-Ebene umgeht.
ARTESCA und Veeam
Die Verwendung eines ARTESCA Object Storage als Immutable Backup Storage ist ein hervorragender Use Case. Veeam unterstützt die ARTESCA sowohl für Veeam Backup and Replication als auch für Veeam Backup for M365.
Mit Veeam Backup and Replication Version 12 steht auch der Direct to Object Backup zur Verfügung. Damit müssen die Daten nicht zuerst auf einen Disk Storage geschrieben werden. Damit sind auch Instant VM Recovery Aktionen möglich. Durch die Immutability werden die Daten direkt bei Eintreffen vor Manipulationen geschützt.
Wichtig, die Daten sind über die ganze Zeit gemäss Retention Policy geschützt. Bei einer früheren Version von Veeam war dies im GUI etwas klarer beschrieben, als dies heute der Fall ist.
Veeam Backup for M365 setzt voll auf Object Storage, denn er ist der von Veeam favorisierte Speicher Typ. Dabei bietet der Object Storage eine viel bessere Performance als Disk bassierter Storage welcher mit NTFS oder ReFS formatiert ist. Auch ist die Speichereffizienz gegenüber einer lokalen Disk viel besser. Also mehr Daten auf weniger Speicherplatz. Mit der Version 8 des M365 Backup ermöglicht Veeam die Immutability für den Backup Job wie auch für den Backup Copy Job.
ARTESCA Wizzard für Veeam
Über den Veeam Integration Wizzard ist das Konfigurieren der ARTESCA sehr einfach. Der Wizzard erstellt den Account, User mit Access Key und Secret Key sowie den Bucket inkl. Immutability und die entsprechende Policy.
Spannender Content? Dieser Blogpost war eine Session am letzten TRT Event
Falls dich Content wie dieser interessiert und du gerne mehr dazu hören möchtest und/oder dich mit uns dazu austauschen möchtest, dann komme an unserem nächsten Technical Round Table (TRT) vorbei. Wir führen die Veranstaltung zweimal pro Jahr durch. Mehr Informationen findest du jeweils hier:
https://soultec.ch/trt
Wir lassen dich nicht in der Wüste stehen!
Leave a Reply