基于ZFS和GnuPG的安全远程备份方案

需求及方案

这事的需求是这样的，公司服务器上有一些数据需要备份，主要是数据库和一些共享文件，早年是通过磁带机备份，然后离线保存磁带实现的，但是这个方法实在是很麻烦，而且用了几年以后，一盘磁带已经装不下所有备份了，再说那个老型号的磁带机已经过保可以报废了，所以前年的时候重新搞了一个远程备份方案，用了一年多，基本靠谱，最近稍微调整一下顺便作个记录。

基本方案是这样：

在本地备份服务器上将所有数据压缩打包加密，通过互联网传到远程服务器上保存。因为远程服务器在外地分公司那边，那边的同事是没有权限访问这些备份数据的，而且那边的机房环境也不能保障安全，加上传输过程是通过互联网，所以数据安全是很重要的。

虽然通过rsync over SSH可以解决互联网传输中的安全问题，但远程保存的安全性还是需要保证，所以加密是必须的。

具体实现

首先是本地备份服务器的搭建。

因为源数据都是需要被Windows访问的，所以这个备份服务器必须是可以通过网络被Windows使用的。因为原本共享数据就是在FreeBSD上通过Samba提供的，所以最初的备份方案中也是让备份服务器通过共享给数据库服务器，让它备份过来，但是在Windows上这么搞其实是很麻烦的（因为默认的system用户不能访问共享）。

后来因为搞了这个《用FreeBSD10搭建基于ZFS的iSCSI服务 》，所以现在是通过iSCSI来为Windows提供存储服务，比共享好得多，而且高版本的Windows自带Initiator，用起来还是相当方便的。

之所以要用FreeBSD做备份，当然是因为ZFS。我讨厌Windows那个垃圾说过了很多次了，除了业务应用必须用Windows以外，我都换成了FreeBSD或Linux——比如远程备份服务器就是CentOS，这是因为分公司那边的IT同事除了Windows就只会这个，不然我肯定也是要搞成FreeBSD的。

本地备份系统结构大体如下：

共享服务器（FreeBSD+ZFS+Samba） <=> 备份服务器（FreeBSD+ZFS+iSCSI） <=> 业务服务器（Windows）

共享服务器通过Samba共享出一个ZFS，这个ZFS启用dedup以节约空间改善性能ÿ